Vermögensberater: Auftragsverarbeiter oder Verantwortlicher nach DSGVO?

Header_Datenschutz

Gewerbliche Vermögensberater, insbesondere jene, die auch als vertraglich gebundene Vermittler VgV oder Wertpapiervermittler WPV tätig sind, verarbeiten eine Fülle an personenbezogenen Daten. Diese Daten werden beim Geschäftsabschluss unter anderem auch von Vertragspartnern (Versicherungen, Depotbanken, usw.) sowie im Falle der Wertpapiervermittlung vom jeweiligen Haftungsdach verarbeitet. Daher stellt sich seit Anwendung der DSGVO die Frage, ob Vermögensberater eigenständig Verantwortliche oder Auftragsverarbeiter sind.

Sowohl beim Umsetzen der neuen Datenschutz-Vorschriften als auch gemeinsam mit dem Fachverband Finanzdienstleister kommen wir zum Schluss, dass gewerbliche Vermögensberater im Rahmen des Erbringens ihrer Dienstleistung grundsätzlich als Verantwortliche im Sinne der DSGVO zu werten sind. Um dies zu begründen, müssen wir eine Reihe von Fragen beantworten. Vorausgeschickt werden muss, dass jeder grundsätzlich jeder Fall einzeln zu betrachten ist.

  • Was ist die Kerntätigkeit und ist das Verarbeiten der Daten hierfür erforderlich?
  • Wer entscheidet über Mittel und Zweck der Datenverarbeitung?
  • Woher stammen die Daten und von wem werden sie beim Betroffenen erhoben?
  • Haben Vermögensberater direkten Kundenkontakt oder treten sie im Namen eines anderen auf?
  • Kann der Vermögensberater die Daten jederzeit löschen?

Der Vermögensberater erhebt die personenbezogenen Daten, die er zwingend für das Erbringen seiner Dienstleistung benötigt, in der Regel selbst direkt beim Kunden (Betroffenen). Er alleine entscheidet darüber, welche Vermögensanlage für den Kunden angemessen und passend ist, und wählt daher auch eigenständig jene Vertragspartner aus, denen er die Kundendaten zwecks Vertragsabschlusses (ggf. mit zusätzlicher Einwilligung) weiterleitet. Vermögensberater können Daten auch nicht (wie das bei einem Auftragsverarbeiter der Fall sein müsste) auf Anweisung eines Verantwortlichen (wie dem Haftungsdach) löschen, da sie als Gewerbetreibende eigenen Aufbewahrungspflichten unterliegen.

Der Fachverband Finanzdienstleister ist folglich ebenso wie Marktteilnehmer und Datenschutz-Experten der Meinung, dass gewerbliche Vermögensberater im Sinne der DSGVO als eigenständige Verantwortliche für das Verarbeiten der Daten gelten. Für das Weiterleiten der personenbezogenen Daten an zum Beispiel ein Haftungsdach oder eine Bank wird daher in der Regel kein Auftragsverarbeitervertrag benötigt.

Bild DSGVO-Basis-Paket für FinanzdienstleisterAuch wenn Vermögensberater als vertraglich gebundener Vermittler (Erfüllungsgehilfen) tätig sind, liegt grundsätzlich keine Auftragsverarbeitung vor. Da gewerbliche Vermögensberater in der Regel nicht nur als VgV tätig sind, sondern bei ein und demselben Kunden auch andere Finanzdienstleistungen erbringen – wie zum Beispiel das Vermitteln von Krediten und Pensionsvorsorgen – müssen Kundendaten alle Tätigkeitsbereiche verarbeitet werden. Alleine deshalb schon wird ein VgV als eigenständig Verantwortlicher zu betrachten sein.

Wertpapiervermittler WPV, die zwar „nur“ bestimmte Finanzinstrumente vermitteln dürfen, können dies für bis zu drei Haftungsdächer tun. Die Entscheidung, welches Haftungsdach für einen Kunden gewählt wird, obliegt eigenständig dem WPV. Und auch Wertpapiervermittler sind selbstständige Gewerbetreibende, die Aufbewahrungspflichten unterliegen, und daher personenbezogene Daten nicht auf Anweisung (des Haftungsdaches) löschen können. Daher sind auch WPV als eigenständige Verantwortliche zu sehen,

Konsequenzen als eigenständig Verantwortlicher

Bild Datenschutz in der Praxis jetzt im HandelVerantwortliche sind für das Einhalten und Umsetzen sämtlicher datenschutzrechtlicher Vorschriften alleine verantwortlich. Dafür müssen sie unter anderem auch ein Verzeichnis der Verarbeitungstätigkeiten erstellen und alle Informationspflichten erfüllen (und dürfen sich nicht auf Haftungsdächer verlassen). Ebenso sind technische und organisatorische Maßnahmen wirksam umzusetzen und die Mitarbeiter zu schulen. Verantwortliche sind weiters die ersten Ansprechpartner, wenn Betroffene ihre Rechte wahrnehmen wollen (Auskunft, Berichtigung, Löschung, usw.) und die Datenschutzbehörde Nachweise für das Umsetzen der DSGVO verlangt. All diese Pflichten gilt es von verantwortlichen Vermögensberatern nachweisbar zu erfüllen.

Für das Erfüllen der grundsätzlichen Pflichten gemäß DSGVO haben Mag. Matthias Aichinger und ich ein DSGVO Basispaket für Finanzdienstleister (Vermögensberater und Versicherungsvermittler) zusammengestellt. Alle Details dazu finden sie im Beitrag Datenschutz für Gewerbliche Vermögensberater & Wertpapiervermittler.

Sehr hilfreich für das Umsetzen in die Praxis kann auch unser Datenschutz-Leitfaden Datenschutz in der Praxis sein. Für indivuelle Lösungen …

Kontaktieren Sie mich noch heute!
So bleiben Sie auf dem Laufenden!

Nach Klick auf den Button können Sie mir eine Nachricht an meine Adresse jaichwillnews@andreasdolezal.at mit Ihren Kontaktdaten in der Signatur senden. Diese Nachricht verstehe ich als Ihre Zustimmung für das Zusenden von Informationen an Ihre Absender-Mailadresse sowie das Akzeptieren der Datenschutzerklärung.


Weitere interessante Beiträge:

DSGVO: Darf WhatsApp weiterhin genutzt werden?

Einfacher Datenschutz im beruflichen und privaten Alltag

Datenschutz: Muss HTTPS-Verschlüsselung für Internetseiten sein?