zur Übersicht

Investorendaten schützen – Vertrauen bewahren: Datenschutz bei Fonds und Fondsadmins

Supergau Datenpanne

In einer zunehmend digitalisierten Welt, in der persönliche Daten eine zentrale Rolle spielen, gewinnt der Datenschutz eine immer größere Bedeutung. Insbesondere im Investmentbereich, in dem sensible Informationen über oft anspruchsvolle High-Networth-Kunden und deren Vermögenswerte verwaltet werden, ist der Schutz dieser Daten von entscheidender Bedeutung.

Trotz ihres statistisch gesehen geringen Anteils an der Gesamtunternehmensanzahl, werden Fonds und Fondsadministratoren regelmäßig medienwirksam Opfer von Cyberattacken mit den daraus resultierenden mehr oder weniger gravierenden Datenabflüssen. So wurden z. B. die Fondsadministratoren SEI Investments und Mainstream Opfer von Cyberattacken, die Abflüsse von sensiblen Daten ihrer nicht wenigen Fondskunden bzw. von deren Investoren verursachten. Eine Cayman Island Investmentfirma veröffentlichte versehentlich wegen falscher Systemeinstellungen Jahre ihres Backups, inklusive Passdaten, Bankkontodetails usw. Und selbst der norwegische Staatsfonds Norfund erlebte eine Datenpanne der besonders perfiden Art: Der Fonds und einer seiner Kunden wurden wegen offenbar fehlender E-Mail-Verschlüsselung Opfer von Identitätsdiebstahl. Kriminelle manipulierten über einen längeren Zeitraum den E-Mail-Verkehr zwischen Norfund und Kunde, gaben sich als letzterer aus und leiteten so über USD 10 Mio. von Norfund an ihre eigenen mexikanischen Konten weiter.

Ein Fiasko für jeden Fonds bzw. deren Verwalter, dessen höchstes Gut das Vertrauen der Investoren ist. Der Investoren nämlich, die sich – dank umfangreicher gesetzlicher Offenlegungs- und Mitwirkungspflichten aus KAGB und Geldwäschegesetz – dem Fonds und oft deren Administratoren gegenüber weitgreifend entblößen und sensibelste Daten preisgeben müssen. Dass sie eine entsprechende Vertraulichkeit im Umgang mit diesen erwarten, überrascht nicht.

Vorgaben und Vorteile

Nicht nur die Investoren, also die wesentlichen Stakeholder eines Fonds, verlangen allerdings wirksamen Datenschutz. Vor allem die Datenschutzgesetze, insbesondere die EU-Datenschutzgrundverordnung (DSGVO), gilt es einzuhalten, um sich nicht Bußgeldrisiken oder Schadenersatzforderungen auszusetzen. Im Hinblick auf die Datensicherheit, also der Sicherheit der weiteren IT-Infrastruktur, ist auch der EU Digital Operational Resiliance Act (DORA) zu erwähnen, der ab dem 17. Januar 2025 Anwendung findet, wenn auch nicht für alle Arten von Kapitalverwaltungsgesellschaften, die für die Einhaltung der DSGVO und etwaiger regulatorischer Vorgaben der von ihnen verwalteten Fonds verantwortlich sind.

Gemäß DSGVO gelten bestimmte Datenschutzprinzipien (z. B. Datenminimierung, Zweckbindung für die Datenverarbeitung usw.) sowie umfassende Vorgaben zum Datenschutzmanagement und der Datensicherheit. Deren Einhaltung kann ein Fonds auch dazu nutzen, das eigene Geschäft sicherer und seriöser, attraktiver eben, zu gestalten. Fonds kennen dies in ähnlicher Weise aus dem Bereich der Geldwäsche: Wie mit robustem Geldwäsche-Risikomanagement lassen sich durch Datenschutz-Compliance strategische Vorteile mit der gesetzlichen Pflichterfüllung vereinen, Stichwort vertrauensbildende Maßnahmen.

Besonderes Risiko Auslagerung

Ein besonders kritischer Bereich sind die für den Fonds eingesetzten Dienstleister, insbesondere soweit diese als Auftragsverarbeiter gemäß Artikel 28 DSGVO ausschließlich im Auftrag und für Zwecke des Fonds tätig werden. Hier zu nennen sind typischerweise Fondsadministratoren oder webbasierte Fondsadmin-Tools, wie Carta oder Fundrbird, sowie Cloud-Anbieter, wie Google, Nextcloud oder Dropbox, und Anbieter cloudbasierter Business-Anwendungen, z. B. MS 365.

Bei diesen Auftragsverarbeitern gelten besondere Auswahl-, Monitoring- und Vertragsgestaltungspflichten. Diese ergeben sich bereits aus der DSGVO und werden zudem für einige Fondsarten konkretisiert durch die Auswirkungen der Einführung des Gesetzes zur Stärkung der Finanzmarkstabilität auf z. B. das KAGB, das bestimmte Anzeige- und Verwaltungspflichten hinsichtlich Auslagerungen im Sinne eines Know Your Outsourcing normiert. Die EBA Leitlinien zu Auslagerungen und die brandneue BaFin-Aufsichtsmitteilung zu Cloud-Auslagerungen können hier bei der Orientierung helfen. Gleichzeitig trägt es nicht unerheblich zum Aufsichtsdruck bei, wenn das Thema nicht nur von den Datenschutzaufsichtsbehörden, sondern auch von der oft präsenteren Finanzmarktaufsicht beobachtet wird.

Auch die Auftragsverarbeiter selbst, allen voran die Fondsadmins, sollten ein originäres Interesse an wirksamem Datenschutz und starker Datensicherheit haben. Denn gemäß Artikel 82 Abs. 2 Satz 2 DSGAVO haftet ein Auftragsverarbeiter auf Schadenersatz für den durch eine Datenverarbeitung verursachten Schaden, wenn er seinen speziell als Auftragsverarbeiter auferlegten Pflichten aus der DSGVO nicht nachgekommen ist. Auch von Aufsichten verhängbare Bußgelder berücksichtigen den Grad der Verantwortung des Auftragsverarbeiters unter Berücksichtigung der von diesem getroffenen technischen und organisatorischen Maßnahmen (TOM).

Leitfragen und Empfehlungen

Was können Fonds und Fondsadmins also tun, damit die von ihnen verarbeiteten Investorendaten nicht kompromittiert werden und ihr guter Ruf intakt bleibt?

Zum einen sollte das Thema Datenschutz als integrativer Bestandteil von datenverarbeitenden Geschäftsprozessen erachtet werden. Sodann braucht es allgemeinen Überblick, spezifische Regeln und umfassende Dokumentation – im Sinne eines umfassenden Datenschutz-Management-System (DSMS), das folgende Fragen beantworten können sollte:

Woher kommen die Daten, wohin gehen sie intern oder extern? Welche Daten werden zu welchen Zwecken mit welchen Tools verarbeitet? Wie lange können die Daten aufbewahrt werden? Welche Informationen müssen den Investoren zur Verarbeitung ihrer Daten gegeben, welche Einwilligungen ggfs. von diesen eingeholt werden? Wie ist der Austausch zwischen Fonds und Fondsadmin zu gestalten; sollten Verschlüsselungstechnologien zum Einsatz kommen? Hierzu bedarf es Verzeichnissen, Verträgen, Datenschutzerklärungen, Musterformularen und einer all dies regelnden internen Richtlinie. Für all das gibt es selbstverständlich nützliche digitale Tools, deren Anbieter, Achtung, in der Regel auch als Auftragsverarbeiter fungieren.

Aufgrund der allgemeinen Komplexität von betrieblichen Datenströmen sowie der schier ausufernden Aufsichtsveröffentlichungen und Rechtsprechung sollte der betriebliche Datenschutz nicht ohne rechtliche Expertise und technischen Sachverstand auskommen. Gegebenenfalls ist auch ein Datenschutzbeauftragter zu benennen.

Falls Sie Unterstützung hinsichtlich ihrer Auftragsverarbeiter benötigen oder selbst einer sind, wir helfen beim Aufsetzen, Benchmarken oder Optimieren Ihres Datenschutz-Managements, prüfen und gestalten Verträge und technische Maßnahmen und helfen gerne mit unserer Expertise und den bewährten Mustervorlagen aus unserer Content Library.

Abonnieren Sie auch gerne unseren Newsletter, um keinen Datenschutztrend mehr zu verpassen.