Die EU-DSGVO im Überblick

Umsetzung von MiFID II

Gesetzliche Grundlage

Mit den im Rahmen der Novellierung der EU-Finanzmarktrichtlinie (Markets in Financial Instruments Directive, MiFID II) festgelegten Regelungen beabsichtigen Politik und Gesetzgebung, dem Entstehen einer erneuten Finanzmarktkrise entgegenzuwirken. Höhere Transparenzvorschriften an den Kapitalmärkten und strengere Verfahrensregelungen sollen in Zukunft insbesondere den Anlegerschutz verbessern. Die MiFID II wurde im Rahmen des zweiten Finanzmarktnovellierungsgesetzes (2. FiMaNoG) in nationales Recht umgesetzt.

Die MiFID II wird ergänzt durch die Finanzmarktverordnung (Markets in Financial Instruments Regulation – MiFIR), deren thematischer Schwerpunkt auf der Markttransparenz bei Geschäften in Finanzinstrumenten liegt. MiFIR bedarf aufgrund der Eigenschaft als Verordnung keiner weiteren Umsetzung. Eine verbesserte Markttransparenz soll insbesondere durch eine starke Ausweitung der Vor- und Nachhandelstransparenzvorschriften und zum anderen durch eine Meldepflicht für Geschäfte in Finanzinstrumenten erreicht werden. Darüber hinaus wurde durch die MiFIR eine Handelspflicht für bestimmte OTC-Derivate eingeführt.

Das im Juni 2017 verkündete 2. FiMaNoG trat in weiten Teilen am 03.01.2018 in Kraft. Durch dieses wurde die MiFID II in deutsches Recht umgesetzt und unter anderem zu folgenden Verordnungen Ausführungsbestimmungen erlassen:

  • Verordnung (EU) Nr. 600/2014 (MiFIR)
  • Verordnung (EU) Nr. 2015/2365 (SFT-Verordnung, SFTR)
  • Verordnung (EU) Nr. 2016/1011 (Benchmark-Verordnung)

Die nachfolgenden bereits bestehenden nationalen Vorschriften wurden insbesondere durch das 2. FiMaNoG geändert:

  • Wertpapierhandelsgesetz (WpHG)
  • Kreditwesengesetz (KWG)
  • Börsengesetz (BörsG)
  • Kapitalanlagegesetzbuch (KAGB)
  • Versicherungsaufsichtsgesetz (VAG)

• diverse Durchführungsverordnungen wie z.B. die Verordnung zur Konkretisierung der Verhaltensregeln und Organisationsanforderungen für Wertpapierdienstleistungsunternehmen (WpDVerOV).

Die nachfolgenden Themen wurden u.a. durch das 2. FiMaNoG umgesetzt:

Positionen in Warenderivaten

Im WpHG wurden die Regelungen zur Überwachung von Positionslimits bei Warenderivaten neu definiert. Durch eine verstärkte Kontrolle sollen das Potential für Marktmanipulationen und Missbrauch einer marktbeherrschenden Position bei Warenderivaten reduziert werden. Insbesondere auf den Märkten für Nahrungsmittel und Rohstoffe sollen potentielle negative Folgen für die Realwirtschaft vermieden werden.

Datenbereitstellungsdienste

Durch das 2. FiMaNoG soll eine verbesserte Transparenz durch einen einfachen und kostengünstigen Zugriff auf wichtige Marktdaten erreicht werden. Hierzu wurde ein verbindliches Regelwerk für Anbieter von Datenbereitstellungsdiensten festgelegt. Solche Anbieter werden seit dem 03.01.2018 von der BaFin unter Berücksichtigung des neuen Abschnitts 10 des WpHG beaufsichtigt und bedürfen einer Erlaubnis nach dem KWG.

Hochfrequenzhandel

Der Hochfrequenzhandel wird zukünftig einer verschärften Regulierung unterliegen. Hier wurden insbesondere die Vorschriften zu den Mindestpreisänderungsgrößen und zum Order-Transaktionsverhältnis konkretisiert.

Organisierte Handelssysteme

Neu ist ebenfalls, dass ab sofort nicht nur reguläre Märkte und multilaterale Handelssysteme der Regulierung durch die BaFin unterliegen, sondern auch die sogenannten organisierten Handelssysteme. Hierdurch werden intransparente Handelssysteme wie z.B. Broker-Crossing-Netzwerke, die elektronischen Handel außerhalb regulärer Märkte durchführen, von der Aufsicht kontrolliert und unterliegen einer Vielzahl an Organisations- und Verhaltenspflichten, da seit dem 01.03.2018 das Betreiben eines organisierten Handelssysteme als erlaubnispflichtige Finanzdienstleistung nach dem KWG gilt.

Befugnisse der BaFin und Sanktionen

Die Befugnisse der BaFin werden ausgeweitet sowie der Informationsaustausch zwischen den betroffenen Behörden neu geregelt. Ferner werden im WpHG, KWG, BörsG und KAGB die Kataloge der Ordnungswidrigkeitstatbestände erweitert und der Bußgeldrahmen erhöht.

Verhaltens- und Organisationspflichten

Im WpHG wurden in dem neuen Abschnitt 11 die erweiterten Verhaltens- und Organisationspflichten für Wertpapierdienstleistungsunternehmen, die insbesondere höhere Transparenz- und Informationspflichten vorsehen, festgelegt. Die Schwerpunkte liegen insbesondere in den neuen Regelungen zu den Aufzeichnungspflichten, zur Geeignetheitserklärung, zu Kosten und Zuwendungen sowie zur Produktüberwachung.

Die Zeit drängt, denn bis zum 25. Mai 2018 müssen alle Unternehmen die grundlegenden Maßnahmen der EU-Datenschutz-Grundverordnung (EU-DSGVO) umgesetzt haben.

Laut einer Umfrage des Digitalverbands Bitkom haben 48% der Unternehmen bezüglich der EU-DSGVO externe Experten hinzugezogen. Jedes vierte Unternehmen setzt zusätzliches Personal ein, um die Umsetzung voranzubringen. Allerdings haben lediglich 5% dieser Unternehmen zusätzliches Personal eingestellt. Die anderen 20% greifen auf vorhandenes Personal zurück, welches umstrukturiert wird.

Wir haben für Sie die wichtigsten Neuerungen zusammengefasst. Bußgelder

Der Bußgeldrahmen wird mit Strafen von bis zu 20 Mio. Euro oder 4% des Jahresumsatzes deutlich erhöht.
Datenschutzbeauftragter

Die Bestellpflicht für den Datenschutzbeauftragten soll weiterhin unverändert gelten. Ab zehn Mitarbeitern, die Zugriff auf personenbezogene Daten haben, muss das Unternehmen einen Datenschutzbeauftragten bestellen. Er sollte über die nötige Fachkunde verfügen und keine Leitungsfunktion innehaben, da dies zu Interessenkonflikten führen könnte.

Datenschutzorganisation

Im ersten Schritt sollte eine Bestandsaufnahme durchgeführt werden, um festzustellen welche Pflichten bereits erfüllt werden und wo Lücken vorhanden sind. Darauf aufbauend sollte jedes Unternehmen eine Datenschutz-Richtlinie vorweisen können. Außerdem wird ein internes Verfahrensverzeichnis (Verzeichnis von Verarbeitungstätigkeiten, Art. 30 EU-DSGVO) benötigt, in dem die gesetzlichen Mindestangaben und relevanten Punkte wie z.B. Datenschutz-Folgenabschätzungen und interne Audits dokumentiert werden.
Geltungsbereich

Die EU-DSGVO gilt nicht nur für Anbieter innerhalb der EU, sondern auch für Anbieter, die ihre Angebote an Bürger der EU richten. Somit ist nicht mehr der Sitz des verantwortlichen Unternehmens maßgebend, sondern der Ort der tatsächlichen Datenverarbeitung (Marktortprinzip).
Informationspflichten und -rechte

Betroffene müssen zukünftig umfangreicher über die Datenverarbeitung und über ihre Rechte informiert werden. Hierzu müssen u.a. die Kontaktdaten des Datenschutzbeauftragten sowie die Speicherdauer veröffentlicht werden.

Eigentlich ist die Verarbeitung personenbezogener Daten verboten und nur in Ausnahmefällen erlaubt, d.h. wenn es der Betroffene oder das Gesetz gestattet oder rechtliche Verpflichtungen vorliegen.
Konzerndatenschutz

Übermittlungen für interne Verwaltungszwecke werden als legitim anerkannt und es können sich auch mehrere Stellen zusammenschließen, um Daten gemeinsam zu verarbeiten. Hierdurch wird die Datenverarbeitung innerhalb eines Konzerns vereinfacht.

Privacy by design und privacy by default

Elektronische Geräte, Software und Onlinedienste müssen datenschutzfreundlich entwickelt werden und die Grundeinstellungen sind im Voraus diesbezüglich anzupassen. Der Betroffene soll selbst entscheiden können, ob er die Einstellungen ändern möchte.

Recht auf Datenübertragbarkeit

Betroffene können in Zukunft ihre Daten mitnehmen, wenn sie den Anbieter (z.B. Bank, Telefon) wechseln. Dies gilt aber nur für Daten, die der Betroffene selbst zur Verfügung gestellt hat.
Recht auf Löschen/Vergessenwerden

Betroffene haben ein Recht darauf, dass ihre Daten gelöscht werden, wenn diese nicht mehr benötigt werden, die Einwilligung für die Verarbeitung zurückgezogen wird oder die Daten unrechtmäßig verarbeitet wurden. Ebenso können Betroffene verlangen, dass ihre Daten korrigiert werden.
Risikoanalyse und Datenschutz-Folgenabschätzung (Art. 35 EU-DSGVO)

Bislang wurde eine Vorabkontrolle durchgeführt, welche jetzt durch eine deutlich umfangreichere Datenschutz-Folgenabschätzung ausgebaut wird. In diesem Rahmen hat, bezogen auf einen konkreten Datenverarbeitungsvorgang, eine umfangreiche Risikoanalyse im Hinblick auf die Rechte der betroffenen Personen zu erfolgen. Zum Beispiel beim Einsatz von neuen Technologien, bei denen automatisiert Daten verwertet werden, muss der Verantwortliche in Absprache mit dem Datenschutzbeauftragten überprüfen, ob die geplanten Sicherheitsvorkehrungen ausreichen.

Durch regelmäßige Audits soll das Risiko von Datenschutzverstößen minimiert werden.
Verstöße

Alle Datenschutzpannen, bei denen ein Datenschutzrisiko besteht, müssen zukünftig der Aufsichtsbehörde gemeldet werden. Diese Meldung ist innerhalb von 72 Stunden einzureichen und ggf. sind darüber hinaus auch die Betroffenen zu informieren.

(Julia Mohr, Assistant Consultant Compliance, Creditreform Compliance Services GmbH)

Darstellung der neuen Verhaltens- und Organisationspflichten

Aufzeichnungspflichten

Eine der neuen Organisations- und Verhaltensanforderungen bedeutet für Wertpapierdienstleistungsunternehmen ein gesteigertes Maß an Aufzeichnungspflichten. Hiervon betroffen ist die Kundenkommunikation bei der Erbringung von Dienstleistungen, die sich auf die Annahme, Übermittlung oder Ausführung von Kundenaufträgen im Rahmen der

• Abschlussvermittlung,
• Anlagevermittlung,
• Anlageberatung und/oder • Finanzportfolioverwaltung

beziehen. Konkret ist seit dem 03.01.2018 die telefonische und elektronische Kommunikation wie z.B. Festnetz- oder Mobiltelefonie, E-Mails, SMS, Video- oder Text- Chat mit dem Kunden aufzuzeichnen. Diese Verpflichtung besteht auch für die

Kundenkommunikation, bei der es nicht abschließend zu einer Ordererteilung kommt. Darüber hinaus ist auch die interne Kommunikation mit Bezug zur Bearbeitung und Abwicklung der erteilten Kundenaufträge sowie für den Handel auf eigene Rechnung aufzeichnungspflichtig. Durch die Aufzeichnungspflichten soll zum einen eine Verbesserung der Sicherheit an den Finanzmärkten und der Marktüberwachung erzielt und zum anderen eine verbesserte Rechtssicherheit durch eine beweissichere Dokumentation erreicht werden.

Sowohl Neu- als auch Bestandskunden sind vor der ersten Aufzeichnung zu informieren. Vor einer solchen Information darf keine Aufzeichnung erfolgen. Diese Information muss den Kunden ebenfalls darüber aufklären, dass er eine Kopie der Aufzeichnung der Telefonate auf Anfrage innerhalb der Aufbewahrungsfrist verlangen kann.

Wenn ein Kunde der Aufzeichnung der telefonischen Kommunikation widerspricht, dürfen keine Wertpapierdienstleistungen erbracht werden, wenn sich diese auf die Annahme, Übermittlung und Ausführung von Kundenaufträgen beziehen. Die neuen Aufzeichnungspflichten der Finanzmarktrichtlinie verursachen aufgrund der damit notwendig werdenden Organisationsanpassungen einen erheblichen Mehraufwand bei den betroffenen Unternehmen.

Die aufgezeichneten Telefonmitschnitte sind gemäß § 83 Abs. 8 WpHG in einer geeigneten Art und Weise mindestens 5 Jahre lang aufzubewahren. Die Aufsicht kann im Einzelfall eine Verlängerung der Aufbewahrungspflichten um 2 Jahre anordnen. Sowohl die Aufsicht, als auch der Kunde haben gemäß § 87 Abs. 7 WpHG ein Recht auf Herausgabe einer Kopie der Aufzeichnung.

Im Zusammenhang mit der Aufzeichnung der Kundenkommunikation müssen Wertpapierdienstleistungsunternehmen eine Aufzeichnungs-Policy erstellen, die den Rahmen der Aufzeichnungspflichten festlegt. Insbesondere ist in dieser institutsspezifisch zu regeln, welche Kommunikation erfasst wird und wie die Erfassung erfolgt. Die Arten und Mittel der Kommunikation sind technologieneutral zu definieren. Etwaige Änderungen der Kommunikationsmittel sind in der Aufzeichnungs-Policy zu berücksichtigen und neue Kommunikationsmittel hinzuzufügen. Des Weiteren ist der Personenkreis zu benennen, der über Firmengeräte oder private Geräte verfügt, die zur Kommunikation zur Verfügung gestellt bzw. genutzt werden. Darüber hinaus ist festzulegen, dass alle Mitarbeiter und Berater private Kommunikationsmittel ausschließlich dann für die Kommunikation mit Kunden nutzen dürfen, wenn eine Aufzeichnung erfolgt.

Die Aufzeichnungs-Policy hat außerdem darzustellen, welche Maßnahmen zu ergreifen sind, falls außergewöhnliche Umstände eintreten, die eine Aufzeichnung auf den zugelassenen Geräten verhindern. Über diese Umstände sind Belege aufzubewahren, auf die die Aufsichtsbehörde zugreifen kann. Die Aufzeichnungs-Policy muss in regelmäßigen Abständen auf ihre Wirksamkeit überprüft und gegebenenfalls angepasst werden. Bei Anfragen der Aufsichtsbehörde müssen die definierten Verfahren und Strategien schlüssig dargelegt werden können.

Geeignetheitserklärung

Auch wenn die Kundenkommunikation aufgezeichnet wird, bedeutet das nicht, dass das Wertpapierdienstleistungsunternehmen von der Pflicht zur Dokumentation der Anlageberatung in einer Geeignetheitserklärung befreit wäre. Die Geeignetheitserklärung hat am 03.01.2018 das alte Anlageberatungsprotokoll gemäß § 34 Abs. 2a WpHG abgelöst und ist dem Kunden im Rahmen einer Anlageberatung vor Vertragsschluss auf

einem dauerhaften Datenträger zur Verfügung zu stellen. In der Geeignetheitserklärung muss eine Zusammenfassung der während der Beratung ausgesprochenen Empfehlungen dokumentiert werden. Insbesondere ist zu erläutern, aus welchen Gründen dem Kunden gegenüber eine bestimmte Empfehlung abgegeben wurde. Darüber hinaus ist zu beachten, dass in der Geeignetheitserklärung gemäß § 64 Abs. 4 S. 2 WpHG darzustellen ist, wie die Anlageempfehlung auf die Anlageziele, die Präferenzen und sonstigen Merkmale des Kunden abgestimmt wurde. Die neuen Anforderungen der MiFID II zur Aufzeichnung von Telefongesprächen haben potenziell weitreichende Implikationen, insbesondere bereitet die Bestimmung des Zeitpunkts des Beginns sowie der Beendigung der Aufzeichnungspflicht in der Praxis Schwierigkeiten. Die nachfolgenden Grafiken sollen exemplarisch aufzeigen, wie eine Telefonaufzeichnung zum einem im Zusammenhang mit einer Anlageberatung und zum anderen mit einem beratungsfreien Gespräch abläuft.

Beratungsfreies Gespräch

Beispiel 1 zur Telefonaufzeichnung

Beratungsgespräch

Beispiel 2 zur Telefonaufzeichnung

Kosten und Zuwendungen

Im Zusammenhang mit der Erbringung von Wertpapierdienstleistungen oder Wertpapiernebendienstleistungen durften Wertpapierdienstleistungsunternehmen auch unter den Vorgaben des alten Wertpapierhandelsgesetzes nur unter bestimmten Voraussetzungen Zuwendungen von Dritten annehmen oder an Dritte gewähren. Die Regelungen zur Annahme von Zuwendungen wurden durch die Umsetzung der MiFID II erneut verschärft.

Nach den neuen Vorschriften dürfen nur noch Zuwendungen angenommen werden, wenn die Zuwendung darauf ausgelegt ist, die Qualität der für den Kunden erbrachten Dienstleistung zu verbessern und der ordnungsgemäßen Erbringung der Dienstleistung im bestmöglichen Interesse des Kunden nicht entgegensteht. Konkrete Beispiele, wann eine Zuwendung geeignet ist, die Qualität der für den Kunden erbrachten Dienstleistung zu verbessern, werden in § 70 WpHG sowie § 6 der Verordnung zur Konkretisierung der Verhaltensregeln und Organisationsanforderungen für Wertpapierdienstleistungsunternehmen (WpDVerOV) genannt. Im Rahmen der unabhängigen Honorar-Anlageberatung sind nicht-monetäre Zuwendungen Dritter an das Wertpapierdienstleistungsunternehmen nicht zulässig sowie monetäre Zuwendungen nur unter engen Voraussetzungen zulässig und müssen an den Kunden ausgekehrt werden. Dem Kunden gegenüber ist die Zuwendung vor der Erbringung der Wertpapierdienstleistung oder Wertpapiernebendienstleistung in umfassender, zutreffender und verständlicher Weise offenzulegen. Die Informationspflicht bezieht sich insbesondere auf die Art und den Umfang der Zuwendung. Ein weiterer Fokus des 2.

FiMaNoG im Hinblick auf die Verbesserung der Informationspflichten gegenüber dem Kunden besteht in der Offenlegung der im Zusammenhang mit der Erbringung der Wertpapierdienstleistung oder Wertpapiernebendienstleistung anfallenden Kosten. Insbesondere die Kosten, die mit dem Erwerb oder der Veräußerung eines Finanzinstruments in Verbindung stehen, müssen transparenter als bisher aufgeschlüsselt werden. Ihre Auswirkungen auf die Rendite des Finanzinstrumentes sind in nachvollziehbarer und verständlicher Art und Weise zu erläutern.

Produktüberwachung

Durch die seit dem 03.01.2018 anzuwendenden Produktüberwachungspflichten (Product Governance) soll durch ein neu einzurichtendes
internes Produktfreigabeverfahren und eine Zielmarktdefinition für jedes Finanzinstrument gewährleistet werden, dass die zum Vertrieb freizugebenen Finanzinstrumente den Bedürfnissen der jeweiligen Endkundenkategorie gerecht werden. Die dritte Komponente der Produktüberwachung neben dem Produkfreigabeverfahren und der Zielmarktdefinition besteht aus einem ganzheitlichen Produktüberwachungsprozess. Demnach endet die Verantwortung für ein Finanzinstrument nicht zum Verkaufszeitpunkt, sondern besteht solange ein Finanzinstrument Anlegern zum Kauf angeboten wird. Wertpapierdienstleistungsunternehmen sollen durch diese kontinuierliche Überwachung rechtzeitig feststellen können, wenn sich die Eigenschaften eines Produktes entgegen den Interessen Ihrer Kunden ändern. Die neuen Product Governance Regeln sind bereits während der Konzeption und Erstellung des Finanzinstrumentes zu beachten und sind dementsprechend bereits abgeschlossen, bevor die Wertpapierdienstleistung erbracht wird. Unter Berücksichtigung von Leitlinien der Wertpapieraufsicht der EU (European Securities and Market Authority – ESMA), wurden Parameter definiert, die von den Herstellern/Emittenten bei der Zielmarktdefinition zu berücksichtigen sind. Diese Kategorien bestehen aus den nachfolgenden Elementen:

Diese Parameter werden von den Herstellern/Emittenten in der Regel allgemein bei der Zielmarktdefinition berücksichtigt, sodass die Finanzinstrumente vertreibenden Wertpapierdienstleistungsunternehmen den Zielmarkt ggf. unter Berücksichtigung der Kundenstruktur nachjustieren und konkretisieren müssen.

Ausblick

Die Novellierung der MiFID II hat grundlegende Auswirkungen auf Wertpapierdienstleistungsunternehmen und die europäischen Wertpapiermärkte, insbesondere im Hinblick auf die strategische Ausrichtung, bestehende und neue Prozesse sowie die technische und organisatorische Aufbau- und Ablauforganisation. Nach dem komplexen und mehrjährigen Umsetzungsprojekt MiFID II und MiFIR ist davon auszugehen, dass es zunächst keine weiteren regulatorischen Neuerungen geben wird, bevor in einigen Jahren die dritte Novelle der MiFID Wertpapierdienstleistungsunternehmen vor neue Herausforderungen stellen wird.

(Kristin Kramer, Fachreferentin Compliance und Geldwäscheprävention, Creditreform Compliance Services GmbH)