Das neue Datenschutzregime baut auf den bestehenden Datenschutzregeln auf und verbessert deren praktische Durchsetzung, indem Unternehmen stärker in die Pflicht genommen und Betroffenen umfassendere Rechte eingeräumt werden. Dementsprechend ist eine Überprüfung des Datenschutz-Managements und bestehender Verträge unausweichlich.
Fondsmanager und zu schützende Daten
Fondsmanager (Kapitalverwaltungsgesellschaften) kommen regelmäßig an verschiedenen Stellen im Lebenszyklus eines Private Equity- oder Venture Capital-Fonds mit zu schützenden personenbezogenen Daten („Daten“) in Berührung. Personenbezogene Daten sind sämtliche Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen („Betroffene“) beziehen.
Fondsmanager müssen vor allem im Umgang mit Daten von Anlegern, von Geschäftsleitern oder Mitarbeitern von (potentiellen) Portfoliounternehmen oder von Geschäftspartnern die neuen Compliance-Anforderungen erfüllen.
Zulässigkeit der Datenverarbeitung
Dabei ist die Verarbeitung dieser Daten oftmals auch ohne Einwilligung des Betroffenen zulässig, weil regelmäßig bereits ein anderer Erlaubnistatbestand des Art. 6 DS-GVO die Datenverarbeitung gestattet. So dürfen Daten soweit und solange verarbeitet werden, wie dies u.a. erforderlich ist
- zur Erfüllung eines Vertrages zwischen dem Fondsmanager und dem Betroffenen;
- zur Erfüllung gesetzlicher Pflichten des Fondsmanagers; oder
- zur Wahrung von berechtigten Interessen des Fondsmanagers, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten des Betroffenen überwiegen.
Transparenzpflichten
In der Praxis sind die erweiterten Transparenzpflichten nach Art. 12-14 DS-GVO äußerst relevant. Sie spiegeln sich in umfangreichen Dokumentations-, Informations- und Rechenschaftspflichten wider, die z.T. erheblichen Anpassungsbedarf mit sich bringen. Fondsmanager müssen Betroffene von nun an z.B. über Zwecke und Rechtsgrundlage der Datenverarbeitung und ihre Rechte im Zuge der Datenverarbeitung (z.B. auf Berichtigung, Sperrung oder Löschung) informieren – und zwar grundsätzlich unabhängig davon, ob sie die Daten bei den Betroffenen direkt erheben (Direkterhebung) oder nicht (Dritterhebung).
Die Erfüllung von Transparenzpflichten kann sich in der Praxis durchaus als schwierig erweisen. Hat etwa eine investierende Gesellschaft dem Fonds im Zuge des Zeichnungsprozesses Daten natürlicher Personen (z.B. Vertretungsberechtigte, wirtschaftlich Berechtigte oder Eigentümerstrukturen) zur Verfügung gestellt, ist das Informieren dieser betroffenen natürlichen Personen durch den Fonds über die Verarbeitung ihrer Daten zwar aufwendig, aber häufig nicht unmöglich. Das Informieren von Betroffenen im Rahmen einer Due Diligence kann hingegen die Geheimhaltung der gesamten Transaktion gefährden. Die DS-GVO gewährt hier nur unter engen Voraussetzungen eine Befreiung von den Informationspflichten.
Fondsmanager müssen ihre Zeichnungsunterlagen, Datenschutzerklärungen und die sonstige Vertragsdokumentation auch mit Blick auf die Transaktionspraxis prüfen und ggf. anpassen.
Neue technische und organisatorische Anforderungen
Von nun an müssen Fondsmanager jederzeit in der Lage sein, ihr risikoangemessenes Datenschutz-Managementsystem gegenüber Aufsichtsbehörden und Betroffenen nachzuweisen.
Die DS-GVO fordert, geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung nach einem risikobasierten Ansatz zu ergreifen. Zu den zentralen organisatorischen Pflichten gehört ferner, dass Fondsmanager sämtliche datenschutzrelevanten Vorgänge identifizieren und bestimmte Angaben in einem (laufend zu aktualisierenden) Verarbeitungsverzeichnis erfassen müssen.
Datenschutzbeauftragter
Fondsmanager haben weiterhin einen Datenschutzbeauftragten zu benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung von Daten beschäftigen. Hierfür dürfte bereits die Nutzung von technischen Hilfsmitteln wie Computer und Smartphones genügen.
Zum Datenschutzbeauftragten kann ein intern Beschäftigter oder externer Dienstleister bestellt werden. Er dient der betrieblichen Selbstkontrolle und steht dem Fondsmanager ausschließlich beratend zur Seite. Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und der zuständigen Aufsichtsbehörde mitgeteilt werden. Für die Veröffentlichung ist die Angabe einer E-Mail-Adresse ausreichend. Zur Erfüllung der Meldepflicht bieten die meisten Aufsichtsbehörden Online-Meldeportale an.
Auftragsverarbeitung
Fondsmanager können i.R.d. Auftragsverarbeitung die Datenverarbeitung an externe Dienstleister auslagern (z.B. Cloud-Betreiber und Datenraum-Anbieter). Die Datenübermittlung zwischen einem solchen Auftragsverarbeiter und dem Fondsmanager ist ohne zusätzliche Erlaubnis gestattet. Dafür legt die DS-GVO Voraussetzungen für die Auswahl und Kontrolle eines Auftragsverarbeiters fest, die Verträge zur Auftragsverarbeitung erfüllen müssen. Dies gilt sowohl für künftige als auch bestehende Verträge. Deshalb müssen bereits geschlossene Verträge zur Auftrags(daten)verarbeitung geprüft und ggf. um Zusatzvereinbarungen ergänzt werden.
Weitergabe von Daten an Dritte
Fondsmanager dürfen Daten an Dritte (z.B. Banken oder Behörden) nur im Rahmen des jeweiligen Erlaubnistatbestandes weitergeben. Dies ist etwa der Fall, wenn die Weitergabe zur vertraglichen Erfüllung oder wegen einer gesetzlichen Verpflichtung erforderlich ist. Andernfalls ist eine Einwilligung des Betroffenen zur Datenweitergabe notwendig.
Datenübermittlung in Drittländer
Bei der Datenübermittlung an Empfänger in Ländern außerhalb der EU bzw. des EWR („Drittländer“) stellt die DS-GVO sicher, dass ihr Schutzniveau nicht unterlaufen werden kann, indem sie grundsätzlich einen Beschluss der EU-Kommission über ein angemessenes Datenschutzniveau für das jeweilige Drittland oder geeignete Garantien verlangt. Geeignete Garantien bestehen z.B. in Standardvertragsklauseln oder verbindlichen unternehmensinternen Datenschutzvorschriften, die von den Aufsichtsbehörden zu genehmigen sind. In Ausnahmefällen ist eine Datenübermittlung u.a. zulässig, wenn der Betroffene ausdrücklich darin eingewilligt hat oder der Datentransfer zur vertraglichen Erfüllung erforderlich ist.
Meldepflichten und Rechtsfolgen bei Verstößen
Datenschutzverletzungen sind binnen 72 Stunden gegenüber der Aufsichtsbehörde zu melden, es sei denn, es droht voraussichtlich kein Risiko für die persönlichen Rechte und Freiheiten der Betroffenen. Bei voraussichtlich hohem Risiko für die Rechte und Freiheiten der Betroffenen sind Datenschutzverletzungen auch ihnen gegenüber anzuzeigen.
Verstöße stellen kein Kavaliersdelikt mehr da: Der neue Bußgeldkatalog der DS-GVO sieht teils empfindliche Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes bzw. von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes vor. Außerdem gewährt die DS-GVO Betroffenen einen Direktanspruch auf Schadensersatz, wenn ihnen durch Verstoß gegen die DS-GVO ein Schaden entstanden ist.