Festschrift für Jürgen Taeger

Bezüglich der Einhaltung des Datenschutzes i.S.d. DSGVO gilt nach Art. 4 Nr. 7 DSGVO als Verantwortlicher unter anderem diejenige natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Insofern ist das Leitungsorgan angesprochen, d.h. der Vorstand einer Aktiengesellschaft, die Geschäftsführer einer GmbH usw.35 Hier wird ebenfalls eine Delegation auf untergeordnete Ebenen in Betracht kommen, wobei dann beim Leitungsorgan eine Überwachungspflicht verbleibt.

Im Hinblick auf die durch die Regelungen Geschützten bzw. Betroffenen bezieht sich die DSGVO ausschließlich auf natürliche Personen.36 Das Datenschutzrecht findet damit nicht auf die Verarbeitung personenbezogener Daten juristischer Personen Anwendung.37 Dagegen ist der persönliche Anwendungsbereich des § 83 WpHG weiter. Er erstreckt sich von Gesetzes wegen auf „Kunden“ und erfasst damit sowohl Privatkunden als auch professionelle Kunden. Damit gilt diese Norm gemäß § 67 Abs. 1 WpHG auch zugunsten von juristischen Personen. Insofern stellt sich die Frage der Normkollision von DSGVO und MiFID II bzw. WpHG lediglich in Bezug auf natürliche Personen.

Für die DSGVO und das WpHG sind jeweils unterschiedliche Aufsichtsbehörden zuständig. Die Einhaltung der WpHG-Regelungen werden durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) überwacht und deren Nichteinhaltung sanktioniert. Aufsichtsbehörde i.S.d. DSGVO ist nach Art. 4 Nr. 21 DSGVO die nach Art. 51 DSGVO eingerichtete unabhängige staatliche Stelle.

Im Zusammenhang mit Wertpapiergeschäften müssen bestimmte Telefonate aufgezeichnet werden (sog. Taping). Diese Pflicht zur Aufzeichnung von Telefongesprächen und von bestimmter elektronischer Kommunikation wurde mit Art. 16 Abs. 7 MiFID II neu eingeführt. Umgesetzt wurde diese MiFID II-Regelung in Deutschland mit § 83 Abs. 3ff. WpHG. Eine Konkretisierung findet sich in Art. 76 DelVO 2017/565. Bei der Auslegung zu berücksichtigen sind zudem die Hinweise der ESMA38 (sog. Level 3) sowie die Ausführungen der BaFin39 im Hinblick auf bestimmte Aspekte der Aufzeichnungspflicht.

§ 83 Abs. 3 bezieht sich auf die beim Handel für eigene Rechnung getätigten Geschäfte und die Erbringung von Dienstleistungen, die sich auf die Annahme, Übermittlung und Ausführung von Kundenaufträgen beziehen (§ 83 Abs. 3 Satz 1 WpHG). Zu den „Dienstleistungen“ zählt schon die bloße Vorbereitung von Wertpapier(neben)dienstleistungen. Damit gilt die Aufzeichnungspflicht auch für unternehmensinterne Telefonate über die Behandlung von Aufträgen und Transaktionen (Art. 76 Abs. 1 lit. a DelVO 2017/565).40

Zwar ist die Verarbeitung personenbezogener Daten grundsätzlich verboten,41 nach Art. 6 Abs. 1 lit. c DSGVO ist diese jedoch ausnahmsweise unter anderem dann erlaubt, wenn sie der Erfüllung einer den Verantwortlichen treffenden rechtlichen Verpflichtung dient.42 § 83 Abs. 3 WpHG kann als ein Erlaubnistatbestand i.S.d. Art. 6 Abs. 1 lit. c, Abs. 3 DSGVO gesehen werden,43 aus dem sich die Rechtmäßigkeit der Verarbeitung bzw. der Aufnahme der Gespräche und deren Aufbewahrung ergibt.

Dieser Erlaubnisvorbehalt gilt allerdings nur, wenn die Verarbeitung auch zur Erfüllung dieser Pflicht erforderlich ist (so Art. 6 Abs. 1 lit. c DSGVO). Das bedeutet, dass die Datenverarbeitung auf solche Daten zu beschränken ist, die zur Pflichterfüllung und zu dem sich aus der Verpflichtung ergebenden Zweck benötigt werden.44

In diesem Zusammenhang können sich hier für den Rechtsanwender Schwierigkeiten ergeben, weil noch unklar ist, wie weit die Aufzeichnungspflicht nach § 83 Abs. 3 WpHG geht. Aus § 83 Abs. 3 Satz 1 WpHG kann als Einschränkung lediglich herausgelesen werden, dass die Inhalte „für Zwecke der Beweissicherung“ aufzuzeichnen sind. Das bedeutet, dass alles, was nicht Beweiszwecken dient, wertpapierhandelsrechtlich nicht aufgezeichnet werden muss und datenschutzrechtlich nicht aufgezeichnet werden darf, sofern nicht ein anderer Erlaubnisvorbehalt i.S.d. § 6 Abs. 1 DSGVO greift. Aus der Zweckrichtung der Norm ist aber im Hinblick auf die Frage nach dem Umfang der Aufzeichnungspflicht nach § 83 Abs. 3 WpHG nicht viel gewonnen.

§ 83 Abs. 3 Satz 4 WpHG erstreckt die Aufzeichnungspflicht auch auf solche Telefonate und elektronische Kommunikation, bei denen es letztlich nicht zum Geschäftsabschluss oder zur Erbringung der Dienstleistung kommt.45 Das macht deshalb Sinn, weil während des Telefongesprächs häufig unsicher sein wird, ob sich der Kunde letztendlich für den Abschluss eines Geschäfts entscheidet. Über den Umfang der Aufzeichnung als solcher sagt dies jedoch nichts aus.

Zudem soll sich die Aufzeichnungspflicht von Gesetzes wegen vor allem auf die Darstellung von Risiken, Ertragschancen und die Produktausgestaltung beziehen (§ 83 Abs. 3 Satz 2 WpHG). Dies ist jedoch eine bloße inhaltliche Klarstellung, die nichts über den Anfang, das Ende oder Pausen der Aufzeichnung aussagt.

Art. 16 Abs. 7 Unterabs. 1 MiFID II bestimmt, dass „zumindest“ solche Telefongespräche aufzuzeichnen sind, welche die Annahme, Übermittlung und Ausführung von Kundenaufträgen betreffen. Dagegen sieht § 83 Abs. 3 WpHG ohne weiteren Hinweis „nur“ solche Telefongespräche als aufzeichnungspflichtig an. Daher fragt sich, ob die Umsetzung zu kurz greift. Dann müsste § 83 Abs. 3 WpHG richtlinienkonform weit ausgelegt werden und über das im WpHG erwähnte Minimum hinausgehen. Ohne das an dieser Stelle vertiefen zu können, wäre dies datenschutzrechtlich insofern „gedeckt“, als die MiFID II solche Vorgaben enthält.

Unklar ist, ob nicht dennoch eine Kollision mit Art. 6 Abs. 1 lit. c DSGVO bzw. dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) gegeben ist. Allein die Berufung darauf, dass mit einer umfassenden Aufzeichnung die rechtliche Verpflichtung aus § 83 WpHG erfüllt wird, vermag nämlich datenschutzrechtlich aufgrund der Beschränkung auf das Erforderliche gerade nicht auszureichen. Deshalb wird teilweise im Schrifttum moniert, dass es hier an einer klaren Regelung fehlt.46

Das ist umso misslicher, als die BaFin in einer Marktuntersuchung von 2018 noch das Betätigen einer Kombination von Stopp- und Starttasten bemängelt hat. Die Verwendung dieser bzw. einer Pausentaste soll jedoch laut einer Marktuntersuchung von 2019 behoben sein. Eine solche scheint daher von den Instituten nicht mehr eingesetzt zu werden und damit die Datenerhebung teilweise umfassender als bislang zu sein.47

Gegen eine solche selektive Aufzeichnung lässt sich anführen, dass hier der Zusammenhang von Gesprächen unterbrochen sein kann und die Abgrenzung zwischen relevanten und nicht-relevanten Gesprächsinhalten in vielen Fällen fließend sein wird. Dadurch besteht die Gefahr, dass sich nachträglich als relevant erweisende Punkte nicht dokumentiert werden. Für eine bloße unterbrochene Teilaufzeichnung spricht dagegen das Gebot der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO). Allerdings besteht nicht nur das Risiko überschießender,48 sondern auch zu geringer Aufzeichnungen,49 sodass die Sichtweise der Aufsichtsbehörde trotz datenschutzrechtlicher Bedenken wertpapierhandelsrechtlich erforderlich erscheint.

Unzutreffend ist es jedoch, wenn im Schrifttum eine Normkollision mit dem Argument abgelehnt wird, die DSGVO habe keinen prinzipiellen Vorrang gegenüber der MiFID II.50 Die Feststellung eines Nichtvorrangs ist zwar korrekt, aber es wird bei dieser Aussage nicht beachtet, dass der Rechtsanwender dann beide Anforderungen zu erfüllen hat, selbst wenn diese widersprüchlich sind. Insofern geht es nicht um eine Vorrangstellung der einen vor der anderen Regelung, sondern darum, dass, da gerade keine solche besteht, durch die kumulative Geltung der beiden Regelungen eine Rechtsanwendungskollision vorliegt.