Einheitliche Praxis
Ein Vergleich der Umsetzung der neuen Compliance-Anforderungen verschiedener Verantwortlicher zeigt, dass sich durchaus eine einheitliche Praxis im Umgang mit den neuen Transparenzpflichten herauskristallisiert. Fondsmanager müssen ihre Anleger bereits bei Zeichnung über die Verwendung der über sie zu erhebenden personenbezogenen Daten in den Zeichnungsunterlagen informieren. Bei der Aufklärung von Bestandsanlegern etablieren sich fondsspezifische Datenschutzerklärungen. Ob die Umsetzung der Informations-, Dokumentations- und Rechenschaftspflichten einer Überprüfung durch die Aufsichtsbehörden standhält oder nachjustiert werden muss, bleibt jedoch abzuwarten.
Aufsicht ist grundsätzlich Ländersache
Dabei hängt diese Beurteilung nicht zwangsläufig von den deutschen Datenschutzbehörden ab. Zwar bleibt die Aufsicht grundsätzlich Sache der Länder. Auch stimmen sich die 18 Aufsichtsbehörden regelmäßig im Rahmen einer Konferenz (Datenschutzkonferenz – DSK) ab, um eine bundeseinheitliche Auslegung und Verwaltungspraxis zu gewährleisten. Diese gemeinsamen Auffassungen werden in so genannten DSK-Kurzpapieren zur DS-GVO auf den Homepages der Datenschutzbehörden veröffentlicht. Die Auffassung der deutschen Aufsichtsbehörden steht jedoch unter dem Vorbehalt einer künftigen – potentiell abweichenden – Auslegung durch den Europäischen Datenschutzausschuss. Dennoch bieten die DSK-Kurzpapiere in der Praxis eine gute erste Orientierung.
Aufsichtsbehörden zurzeit am Limit
Dies gilt umso mehr, weil von den Aufsichtsbehörden derzeit keine zügige Beantwortung etwaiger Auskünfte und Beratungsersuchen erwartet werden kann. Denn bei deren Arbeitsbelastung zeigt sich ein bundesweit einheitliches Bild: Die Vielzahl von Beschwerden und Beratungsersuchen bringe die Behörden an die Grenze ihrer Kapazität, stellt Helga Block, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen und derzeitige DSK-Vorsitzende, fest.
So meldete die Aufsichtsbehörde von Hamburg (23 Mitarbeiter) innerhalb der ersten zwei Wochen unter der DS-GVO 140 Beschwerden, während bei der Aufsichtsbehörde von Schleswig-Holstein (40 Mitarbeiter) im ersten Monat bereits 400 Beschwerden eingingen – bei z.T. mehr als 200 schriftlichen Anfragen täglich, die unzähligen Anfragen via E-Mail oder Telefon nicht mitgerechnet. Auch in Bayern meldete die zuständige Aufsichtsbehörde für den Zeitraum vom 25. Mai bis zum 23. Juli dieses Jahres bereits 523 Anzeigen. Im gesamten Jahr 2017 gab es dort noch 155 Datenschutzvorfälle.
Keine Angst vor überzogenen Sanktionen
Inwieweit die Aufsichtsbehörden bei der Ahndung von Datenschutzverletzungen die neuen Sanktionsmöglichkeiten ausreizen, ist noch nicht ersichtlich. Reichte der Bußgeldrahmen des alten Bundesdatenschutzgesetzes (BDSG) bis zu 300.000 Euro, können nach dem Katalog der DS-GVO Bußgelder von bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes angeordnet werden. Die Ausweitung des Bußgeldrahmens dürfte jedoch vornehmlich auf die Sanktionierung von schwerwiegenden Datenschutzverletzungen und solchen von erheblichem Ausmaß zielen.
So wandte sich der Bundesinnenminister an die DSK-Vorsitzende und warb für „verhältnismäßige Sanktionen mit Augenmaß“. Und auch die zuständige EU-Kommissarin Věra Jourová versucht, Unternehmen zu beruhigen: Die Aufsichtsbehörden seien keine Bestrafungsmaschinen. Bevor sie eine Strafe aussprechen, haben sie viele andere Instrumente zur Verfügung – etwa Warnungen oder Abmahnungen. Das dürfte gerade für die ersten Monate unter dem neuen Datenschutzregime gelten.
Lesen Sie mehr zum Thema: Was Fondsmanager im Umgang mit personenbezogenen Daten praktisch beachten sollten.