FONDS professionell Österreich, Ausgabe 1/2018

245 www.fondsprofessionell.at | 1/2018 Datensicherheit eingeteilt sein. Das Einhalten dieser Dokumentationspflichten muss gege- benenfalls nachgewiesen werden. 4. Risikobewertungen und Daten- schutz-Folgenabschätzung: Sofern mit der Datenverarbeitung ein er- höhtes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen verbunden ist, müssen die Folgen der Datenverarbeitung vorab abschätzbar sein. Darunter fällt etwa das Verarbeiten besonderer Informationen wie etwa Gesundheitsdaten. 5. Was passiert, wenn was passiert? „Data Breach“ ist ein Vorfall, bei dem Unbe- fugten Zugriff auf persönliche Daten möglich wird, zum Beispiel durch einen Hackerangriff. In einem solchen Fall muss die Meldung an die Aufsichtsbehörde unverzüglich, das heißt innerhalb von 72 Stunden nach Bekanntwer- den der Verletzung, erfolgen. Darüber hinaus ist jede betroffene Person zu verständigen. 6. Wann wird ein Datenschutz- beauftragter benötigt? Besteht die Kerntätigkeit eines Unterneh- mens in der Verarbeitung personenbezogener Daten (zum Beispiel Profiling, Standort- Tracking, Kundenbindungsprogramme) oder werden sensible Daten (Religion, sexuelle Ausrichtung, Gesundheitsinformationen) ver- arbeitet, muss ein Datenschutzbeauftragter eingesetzt werden. Das kann ein Mitarbeiter des Unternehmens oder ein externer Experte sein. Dieser kontrolliert, ob die datenschutz- rechtlichen Vorschriften und die internen Datenschutzstrategien eingehalten werden. 7. Strafen in Millionenhöhe sind möglich: Unternehmen, die diese und die sonstigen Regeln der DSGVO nicht einhalten, drohen Strafen in der Höhe von bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorherigen Ge- schäftsjahres, wobei hier der höhere Wert gilt. Verboten, was nicht erlaubt ist Unter dem Regime der DSGVO ist folgen- der Grundsatz zu beachten: „Es ist verboten, was nicht erlaubt ist.“ Dies bedeutet, dass die Verarbeitung von personenbezogenen Daten einer Rechtsgrundlage bedarf, etwa einer aus- drücklichen gesetzlichen Erlaubnis oder der Einwilligung der betroffenen Person. Die DSGVO richtet sich dabei vorrangig an jenen, der die Verarbeitung der personenbezogenen Daten verantwortet, daher an denjenigen, der über das Was (Zweck) und das Wie (Mittel) der Verarbeitung entscheidet. Ob diese Ver- antwortung beim Wertpapierunternehmen oder (zur Gänze) auch beim Wertpapierver- mittler liegt, ist im Einzelfall zu prüfen. Dabei ist zu beachten, dass der Geltungs- bereich der DSGVO nicht nur Konsumen- tendaten umfasst, sondern sich auf die Daten aller natürlichen Personen erstreckt. Für Wert- papiervermittler bedeutet dies, dass auch dann, wenn es sich bei Kunden um Unternehmen handelt, das unmittelbare Gegenüber stets eine natürliche Person ist, die den Schutz der DSGVO genießt. In der Praxis besonders relevant ist der Aspekt der Datensicherheit. Vor allem wenn Smartphones und Tablets zur Datenverarbei- tung eingesetzt werden, ist besonderes Augen- merk auf die IT-Infrastruktur zu legen. Ein- fach umzusetzen sind noch etwa Maßnahmen, wie jene Geräte, die der Wertpapiervermittler für seine Tätigkeit nutzt, mit Passwörtern oder PIN zu schützen. Der Wertpapiervermittler sollte aber auch stets auf dem aktuellen Stand der Technik bleiben, um die Sicherheit der Daten zu gewährleisten. Das bedeutet, bei PCs und mobilen Endgeräten regelmäßig Pro- gramm-Updates durchzuführen, Virenscanner zu verwenden und die Daten regelmäßig zu sichern. Diese Backups sind wiederum sicher aufzubewahren. Bei den verwendeten Pro- grammen ist darauf zu achten, dass diese mit den Vorgaben der DSGVO kompatibel sind. So muss etwa bei Lösungen für Kundenda- tenbanken darauf geachtet werden, dass die Daten des Kunden gegebenenfalls gelöscht werden können (auch aus den Backups). An- dernfalls wird man dem Ersuchen eines (ehe- maligen) Kunden, ihn zu „vergessen“, nicht nachkommen können (siehe auch Checkliste zu den fünf wichtigsten Grundsätzen bei der Verarbeitung personenbezogener Daten im Kasten unten). Es bleibt abzuwarten, wie die mitunter neuen und teilweise gestärkten Rechte bei den Verbrauchern ankommen und ob diese davon verstärkt Gebrauch machen werden. Eine kürzlich veröffentlichte Studie zeigt aber, dass eine große Mehrheit der Verbraucher in der EU ihre Rechte auch tatsächlich ausüben möchte. Die Autoren Mag. Christian Lenz, Rechtsan- walt, und Mag. David Zlabinger, Rechts- anwaltsanwärter, arbeiten bei der auf Kapi- talmarktrecht spezialisierten Kanzlei Brandl & Talos Rechtsanwälte GmbH. Die Kanzlei bietet auch rechtliche Schulungen für Anlage- berater an. FP Checkliste für das Verarbeiten von Daten 1. Daten dürfen erst verarbeitet werden, nachdem die betroffene Person dazu eingewilligt hat. Eine Datenver- arbeitung hat nach dem Grundsatz der Rechtmäßigkeit zu erfolgen. Das heißt, dass die Verarbeitung auf Basis einer Einwilligung, einer Vertragsanbahnung, einer rechtlichen Verpflichtung oder zum Schutz lebenswichtiger Interessen sowie nach den Grundsätzen von Treu und Glauben (somit fair) und transparent für die betroffene Person zu erfolgen hat. 2. Jede Verarbeitung bedarf eines im Vorhinein festgeleg- ten und eindeutig zuordenbaren Zwecks. 3. Nach Möglichkeit sollten so wenige Daten wie mög- lich verarbeitet werden. Dem liegt der Grundsatz der Datenminimierung zugrunde. Die Daten dürfen somit nur im unbedingt erforderlichen Ausmaß und nicht länger als für die Zweckerreichung notwendig gespeichert werden. 4. Die Daten müssen vertraulich behandelt werden. Wie auch schon bisher gilt der Grundsatz der Richtigkeit, der Integrität und der Vertraulichkeit der Daten. Es dürfen nur sachlich richtige Daten verarbeitet werden. Personen- bezogene Daten sind zusätzlich vor unbefugter oder unrechtmäßiger Verarbeitung und/oder vor Verlust und Zerstörung zu schützen. 5. Eine rechtsgültige Einwilligungserklärung des Kunden ist notwendig. Diese setzt voraus, dass die betroffene Person vom Verantwortlichen in leicht verständlicher und leicht zugänglicher Form sowie in einfacher und klarer Sprache über die Datenverarbeitung aufgeklärt wurde. Dazu muss nachweislich auf den Zweck und die Dauer der Verarbeitung sowie auf die Möglichkeit des Widerrufs der Einwilligung hingewiesen werden. Quelle: Brandl & Talos