Growth through compliance.

Auswirkung der Europäischen Datenschutz-Grundverordnung (DSGVO) auf Vermögensverwalter in der Schweiz

Einleitung

Mit der europäischen DSGVO, welche am 25. Mai 2018 in Kraft tritt, sollen Personendaten und damit die Privatsphäre von natürlichen Personen umfassend geschützt werden. Zudem sollen die Menschen die Verwendung ihrer persönlichen Daten durch Dritte besser kontrollieren und der Missbrauch von Personendaten soll leichter bekämpft werden können. Gleichzeitig besteht die Absicht, das Datenschutzrecht zu modernisieren sowie den raschen technologischen Entwicklungen und den Anforderungen der Globalisierung anzupassen.

Ab dem 25. Mai 2018 ist die DSGVO in sämtlichen 28 EU-Staaten direkt anwendbar, in den EWR-Staaten Liechtenstein, Norwegen und Island etwas später. Dann gilt im gesamten Europäischen Wirtschaftsraum eine einheitliche Datenschutzgesetzgebung. Europaweit tätige Unternehmen wie z.B. Banken oder Versicherungen, müssen somit nur noch ein Datenschutzrecht anwenden und sie sind nicht mehr gezwungen, die uneinheitlichen nationalen Gesetze eines jeden Landes zu berücksichtigen. Dadurch sinken die Verwaltungskosten und der Marktzutritt wird erleichtert.

Anwendbarkeit des Europäischen Datenschutzrechts auf Vermögensverwalter in der Schweiz

Die DSGVO gilt nicht nur für Unternehmen mit Sitz in den EWR-Staaten. Auch Unternehmen aus Drittstaaten, die weder ihren Sitz noch eine Niederlassung in einem EWR-Staat haben, werden von der DSGVO betroffen sein, falls sie Personendaten von EWR-Bürgern oder Personen mit Wohnsitz im EWR-Raum verarbeiten. Dies führt dazu, dass auch zahlreiche Unternehmen, die ausschliesslich in der Schweiz domiziliert sind und welche ihr Angebot (z.B. eine Online-Anlageberatung) auch an Leute aus EWR-Staaten richten, die neuen Regeln der DSGVO einhalten müssen. Diese richten sich somit nicht nur an grosse amerikanische Unternehmen wie Facebook, Google und Apple, sondern auch an kleinere Vermögensverwalter in der Schweiz.

Ein Vermögensverwalter in der Schweiz muss somit die Europäischen Datenschutzgesetze einhalten, auch wenn sich sein Sitz in der Schweiz befindet und er keine Niederlassung in einem EWR-Staat betreibt, sofern er:

  • Personendaten in EWR-Staaten verarbeitet oder verarbeiten lässt; oder
  • in der Schweiz Personendaten von natürlichen Personen verarbeitet, die Bürger eines EWR-Staates sind oder in einem EWR-Staat wohnen.

Bearbeiten von Personendaten

Die DSGVO regelt die Bearbeitung von Personendaten. Diese besteht in der automatisierten, in der teilweise automatisierten und in der manuellen Verarbeitung von Daten von natürlichen Personen, die in einem Datensystem (z.B. CRM, Salesforce, Cloud) gespeichert sind oder gespeichert werden sollen. Zu diesen Daten gehören Namen, Adresse, E-Mail und Telefonnummer des Kunden, Zivilstand, Familienverhältnisse, Beruf, Vermögensverhältnisse, Umfang der verwalteten Vermögen, Anlagehorizont etc. Es handelt sich somit um diejenigen Daten, die ein Vermögensverwalter in der Schweiz im Rahmen der Identifizierung seines Kunden (Know-your-Customer-Prinzip) sowie der Feststellung von dessen Risikoprofil umfassend festhalten muss.

Nicht unter die DSGVO fällt die Verarbeitung von Daten von juristischen Personen.

Auswirkung der DSGVO auf das Verhältnis zwischen dem Vermögensverwalter in der Schweiz und seinen EWR-Kunden

Ab dem Inkrafttreten der DSGVO am 25. Mai 2018 gilt für das Verhältnis zwischen dem Vermögensverwalter in der Schweiz und seinen Kunden aus dem EWR-Raum bzw. seinen Kunden mit Wohnsitz in der Schweiz und Pass eines EWR-Staates Folgendes:

  • Für jede Speicherung (=Verarbeitung) von personenbezogenen Daten benötigt der Vermögensverwalter die ausdrückliche Einwilligung des Kunden. Diese muss er in seinem System speichern.
  • Die Einwilligung des Kunden muss durch eine eindeutig bestätigende Handlung erfolgen (z.B. schriftliche Erklärung, die auch elektronisch übermittelt werden kann). Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person stellen keine genügende Einwilligung dar.
  • Der Kunde kann verlangen, dass die Verarbeitung seiner Daten gestoppt wird.
  • Der Kunde kann verlangen, dass ihm seine über ihn angelegten Daten übergeben werden.
  • Der Kunde kann verlangen, dass seine über ihn angelegten Daten berichtigt werden.
  • Der Kunde kann verlangen, dass die vom UVV gespeicherten Daten gelöscht werden (=Recht auf Vergessen). Hier besteht ein Widerspruch zur Pflicht, gewisse Akten während 10 Jahren aufzubewahren.
  • Der Vermögensverwalter muss beweisen können, dass die von ihm gespeicherten Personendaten durch technische und organisatorische Massnahmen genügend gesichert sind.
  • Verstösse gegen den Datenschutz müssen dem Kunden sofort, jedoch spätestens innerhalb von 72 Stunden gemeldet werden. Zudem muss der Vermögensverwalter allfällige Datenschutzverstösse protokollieren.

Sanktionen

Neu drohen bei der Verletzung der europäischen Datenschutzgesetzgebung abschreckende Strafen. Sie reichen bis zu max. Euro 20 Mio. oder 4 % des weltweiten Jahresumsatzes. Möglich sind auch Schadenersatzansprüche.

Das schweizerische Datenschutzgesetz (DSG)

Das DSG wird zur Zeit revidiert. Die Vernehmlassung ist abgelaufen und der Bundesrat hat am 15. September 2017 die Botschaft zur Totalrevision des DSG verabschiedet. Das neue Gesetz könnte 2019 in Kraft treten. Es ist zu hoffen, dass die Europäische Datenschutzverordnung und das schweizerische Datenschutzgesetz möglichst übereinstimmen.

Empfehlungen

Auch nach dem 25. Mai 2018 darf und soll ein Vermögensverwalter personenbezogene Daten über seine Kunden erheben, doch der Umgang mit diesen Daten muss sich allenfalls ändern:

  • Der Vermögensverwalter soll dokumentieren, welche Personendaten er zu welchem Zweck speichert und ein Inventar über diese Daten anlegen.
  • Dies ist den Kunden offenzulegen und die Zustimmung der Kunden ist einzuholen.
  • Idealerweise ist den Kunden eine Datenschutzerklärung zu unterbreiten und der Vermögensverwaltungsvertrag ist durch eine Erklärung zu ergänzen, welche die zu verarbeitenden Personendaten auflistet und eine Zustimmung der Kunden zur Datenverarbeitung enthält.
  • Erlass eines Datenschutzreglements, welches die Rechte der Kunden des Vermögensverwalters aufzeigt (Recht auf Information, Auskunft, Berichtigung, Löschung und Widerspruch) sowie die vom Vermögensverwalter vorgenommenen organisatorischen und technischen Massnahmen zu deren Sicherstellung beschreibt und eine Person bestimmt, die für den Datenschutz verantwortlich ist.