Festschrift für Jürgen Taeger

In anderen Bereichen des Finanzmarktrechts dagegen wird die Diskussion bzgl. einer Normenkollision bereits seit geraumer Zeit geführt. So enthält § 59 Abs. 2 ZAG (Zahlungsdiensteaufsichtsgesetz), der eine Umsetzung der 2. Zahlungsdiensterichtlinie (2. Payment Services Directive, sog. PSD 2)8 darstellt, spezifische Datenschutzregelungen, die mit den Regelungen der DSGVO nicht konform gehen.9 Inwiefern auch zwischen den WpHG- und den DSGVO-Bestimmungen Widersprüche bestehen, soll nachfolgend in Bezug auf die Aufzeichnung von Telefongesprächen und elektronischer Kommunikation thematisiert werden.

Die Aufzeichnungspflichten für Wertpapierdienstleistungsunternehmen sind in Umsetzung der EU-Richtlinie 2014/65/EU (MiFID II) vor allem in § 83 WpHG geregelt. Als sog. Level 2-Maßnahme wurde 2016 auf europäischer Ebene ein ergänzender delegierter Rechtsakt veröffentlicht (bzgl. der Aufzeichnungen Art. 72ff. DelVO 2017/565).10 Eine Auslegungshilfe sollen auch die „Questions and Answers“ der europäischen Aufsichtsbehörde ESMA (European Securities and Markets Authority) sein.11 Zudem findet sich in § 9 Abs. 2 WpDVerOV12 als nationaler Rechtsverordnung eine Bestimmung, die sich auf die Vorhaltung auf einem dauerhaften Datenträger bezieht. All diese Regelungen haben das Ziel des Anlegerschutzes13 bzw. des Verbraucherschutzes.14

§ 83 Abs. 3 WpHG, welcher Art. 16 Abs. 6 und 7 MiFID II umsetzt, regelt die Aufzeichnung von Telefongesprächen und elektronischer Kommunikation hinsichtlich der beim Handel für eigene Rechnung getätigten Geschäfte und der Erbringung von Dienstleistungen, die sich auf die Annahme, Übermittlung und Ausführung von Kundenaufträgen beziehen. In Satz 1 wird dezidiert darauf hingewiesen, dass die Aufzeichnungspflicht vor allem dem „Zwecke der Beweissicherung“ dient.15

§ 83 Abs. 3 Satz 3 WpHG enthält die Erlaubnis („darf“) für das Wertpapierdienstleistungsunternehmen, zur Erfüllung seiner Aufzeichnungspflichten personenbezogene Daten zu verarbeiten. Das soll nach § 83 Abs. 3 Satz 4 WpHG auch dann gelten, wenn das Telefongespräch oder die elektronische Kommunikation nicht zum Abschluss eines solchen Geschäfts oder zur Erbringung einer solchen Dienstleistung führt. Konkretisiert wird Art. 16 Abs. 6 bzw. 7 MiFID II bzw. § 83 Abs. 3 WpHG durch Art. 76 DelVO 2017/565. Dabei müssen die Wertpapierdienstleistungsunternehmen unter anderem die Qualität, Genauigkeit und Vollständigkeit der Aufzeichnungen aller Telefongespräche sowie der gesamten elektronischen Kommunikation sicherstellen (Art. 76 Abs. 10 Unterabs. 3 Del-VO 2017/565).

Die gemäß Art. 99 DSGVO zum 25.5.2018 in Kraft getretene EU-Datenschutzgrundverordnung soll natürliche Personen vor den Gefahren der Datenverarbeitung schützen.16 Die DSGVO gilt als „Herzstück“ der Datenschutzregulierung17 und hat die nationalen Datenschutzrechte weitgehend, d.h. abgesehen von ausdrücklichen oder impliziten Öffnungsklauseln,18 abgelöst.19 Der europäische Gesetzgeber geht von einem risikobasierten Ansatz aus.20 Er wählte die Form einer unmittelbar in den Mitgliedstaaten anwendbaren Verordnung.

Nach der DSGVO gilt ein grundsätzliches Verbot der Datenverarbeitung mit Erlaubnisvorbehalt.21 Die Voraussetzungen einer Rechtfertigung der Datenverarbeitung ergeben sich aus Art. 6 Abs. 1 Unterabs. 1 DSGVO. Damit ist die Frage, ob eine solche Erlaubnis der Datenverarbeitung vorliegt, insbesondere aufgrund der ansonsten drakonischen Strafen für die Praxis zentral. Umso misslicher ist es, dass diese Regelungen teilweise für „branchenübergreifende Verunsicherung“22 sorgen. Insofern kommt es hier, wie vergleichbar schon in Bezug auf die MiFID II, etwa auf die „Orientierungshilfen“ der Datenschutz-Aufsichtsbehörden oder die Leitlinien des EU-Datenschutzausschusses an.23

Für die Aufzeichnung von Wertpapierdienstleistungen gilt nicht nur § 83 WpHG, sondern es sind, da es um „ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten“ geht (Art. 2 Abs. 1 DSGVO), gleichzeitig die Regelungen der DSGVO zu beachten. Die Frage nach dem Verhältnis von DSGVO und MiFID II ist in den Fällen relevant, in denen an die Rechtsanwender widerstreitende Anforderungen gestellt werden. Immerhin können Verstöße in beiden Bereichen zu erheblichen Sanktionen führen.

Auch wenn die DSGVO eine EU-Verordnung und die MiFID II eine EU-Richtlinie darstellt, sind doch beide auf dem sog. Level 1 ergangen und stehen damit in der Normenhierarchie auf gleicher Stufe.24 Daher wird weder die DSGVO von den Regelungen der MiFID II noch umgekehrt die MiFID II durch die Bestimmungen der DSGVO verdrängt.25 Damit gelten im Bereich der Wertpapierdienstleistungen in datenschutzrechtlicher Hinsicht nicht nur die speziellen einschlägigen Bestimmungen des § 83 WpHG, sondern auch die Datenschutzregelungen der DSGVO.26

Sofern die MiFID II-Umsetzung in § 83 WpHG von der DSGVO abweicht, soll nach einer Ansicht im Schrifttum der Normkonflikt mit den anerkannten Kollisionsregeln aufgelöst werden.27 Das wirft jedoch das Problem auf, dass gute Gründe für einen Vorrang der DSGVO und ebenso gute Gründe für einen solchen der MiFID II sprechen. In ersterem Fall kann man den Grundsatz „lex posterior derogat legi priori“ heranziehen, in letzterem Fall den Grundsatz „lex specialis derogat legi generali“.28

Der Hinweis in Erwägungsgrund 57 Unterabs. 1 Satz 2 MiFID II, dass die Aufzeichnung von Telefongesprächen oder elektronischen Mitteilungen in Bezug auf Kundenaufträge mit der Charta der Grundrechte der Union vereinbar und im Übrigen gerechtfertigt sei, um den Anlegerschutz zu stärken, die Marktüberwachung zu verbessern und die Rechtssicherheit im Interesse von Wertpapierfirmen und ihren Kunden zu erhöhen, vermag bei der Beurteilung nicht weiterzuhelfen.

Ob Art. 78 MiFID II, der auf den Datenschutz abstellt, zur Auflösung eines Konflikts herangezogen werden kann, ist noch unklar. Dort wird darauf verwiesen, dass die Verarbeitung personenbezogener Daten nach der MiFID II in Einklang mit der inzwischen durch die DSGVO abgelösten Datenschutzrichtlinie steht. Teilweise wird in der Literatur aber darauf abgehoben, diese Bestimmung betreffe laut Überschrift des Titels VI („Zuständige Behörden“) nur die Datenverarbeitung durch die Aufsichtsbehörde.29 Andere wiederum sehen die Geltung des Art. 78 MiFID II weiter und wollen die MiFID II-Regelungen daher an der DSGVO „messen“.30

Letzteres ist jedoch schon deshalb abzulehnen, weil sich aus Art. 78 MiFID II nicht wirklich Weiterführendes für eine Auslegung der Regelungen ergeben kann. Zum Ausdruck gebracht wird lediglich, dass ein Widerspruch zum Datenschutzrecht nicht gewollt ist. Allenfalls kann das bei Zweifeln innerhalb der Auslegung einer MiFID II-Bestimmung dazu führen, dass diejenige Auslegung gewählt werden muss, die dem Datenschutzrecht nicht widerspricht.

Unabhängig davon sind die Regelungen der DSGVO wie alle EU-Verordnungen autonom auszulegen.31 Die nationalen, auf der MiFID II basierenden Bestimmungen sind dagegen richtlinienkonform auszulegen.32 Ob sich aus diesen unterschiedlichen Auslegungsgrundsätzen im Einzelfall zusätzliche Schwierigkeiten ergeben können, ist noch offen. Das Letztentscheidungsrecht über die Auslegung und das Verständnis sowohl der DSGVO als auch der nationalen MiFID II-Umsetzungsregelungen hat jedenfalls der EuGH.33

Zu unterscheiden ist zwischen denjenigen, welche die Pflichten im Hinblick auf eine Aufzeichnung treffen und denjenigen, die geschützt sind. Die Pflicht zur Aufzeichnung nach § 83 WpHG trifft das Wertpapierdienstleistungsunternehmen. Innerhalb dessen sind vor allem die sog. „Geschäftsleiter“ der Wertpapierdienstleistungsunternehmen i.S.d. § 81 WpHG bzw. das Leitungsorgan i.S.d. Art. 76 Abs. 2 DelVO 2017/565 angesprochen. Nach der letzteren Bestimmung sind diese für die „wirksame Aufsicht und Kontrolle der Strategien und Verfahren“ hinsichtlich der einschlägigen Aufzeichnungen des Wertpapierdienstleistungsunternehmens zuständig. Um die dort genannten Strategien und Verfahren beurteilen zu können, wird im Schrifttum angeraten, den jährlichen Compliance-Bericht um einen entsprechenden Abschnitt zu ergänzen.34