Festschrift für Jürgen Taeger

Auch nach § 83 Abs. 5 Satz 1 WpHG i.V.m. Art. 76 Abs. 8 DelVO 2017/565 hat das Wertpapierdienstleistungsunternehmen seine Kunden, deren Gespräche aufgezeichnet werden, seine Mitarbeiter sowie die beauftragten Personen über die Aufzeichnung der Telefongespräche zu informieren.66 Das braucht lediglich einmalig vor Erbringung der Wertpapierdienstleistung zu geschehen (vgl. Art. 16 Abs. 7 Unterabs. 5 MiFID II). In der Praxis wird daher regelmäßig gleichermaßen nach der DSGVO und der MiFID II informiert.67

Nach § 83 Abs. 7 WpHG kann der Kunde vom Wertpapierdienstleistungsunternehmen bis zur Löschung der Daten verlangen, dass ihm die telefonischen Aufzeichnungen bzw. die elektronische Kommunikation oder eine Kopie zur Verfügung gestellt werden. Dabei wird das Erfordernis der „Kopie“ nach Angaben der BaFin nicht erfüllt, wenn lediglich eine schriftliche Darstellung des Telefongesprächs in Papierform erfolgt oder nur eine Abschrift des Gesprächs zur Verfügung gestellt wird.68

Die Zurverfügungstellung hat auf einem dauerhaften Datenträger zu erfolgen. Es muss ein leichter Zugang zur Aufzeichnung bzw. eine leichte Verfügbarkeit der Aufzeichnung gewährleistet sein (Art. 76 Abs. 10 Unterabs. 2 DelVO 2017/565), sodass diese dem Kunden entschlüsselt zur Verfügung zu stellen ist.69 Die Informationen i.S.d. DSGVO sind in einem gängigen elektronischen Format zur Verfügung zu stellen (Art. 15 Abs. 3 Satz 3 DSGVO).

Das gilt auch für die Aufzeichnungen der internen Kommunikation, die sich auf die Wertpapierdienstleistung gegenüber dem Kunden bezieht.70 Selbst wenn in Bezug auf solche Aufzeichnungen im Schrifttum teilweise ein berechtigtes Interesse des Kunden in Abrede gestellt wird,71 ist zu berücksichtigen, dass dies die derzeitige Verwaltungsauffassung darstellt.

Gleichzeitig muss das Wertpapierdienstleistungsunternehmen im Rahmen des Art. 15 Abs. 1 DSGVO der betroffenen Person bei Anfrage Auskunft über die verarbeiteten personenbezogenen Daten geben. Zudem muss der Verantwortliche eine Kopie der personenbezogenen Daten zur Verfügung stellen (Art. 15 Abs. 3 Satz 1 DSGVO). Hintergrund ist, dass nur derjenige, der die bzgl. seiner Person verarbeiteten personenbezogenen Daten und Datenverarbeitungsvorgänge kennt, seine weiteren Rechte, wie etwa die Berichtigung, Löschung usw. effektiv ausüben kann.72 Insofern wird der Anspruch als eine Verbraucherschutzvorschrift gesehen.73

Ob und inwiefern es zu Kollisionen zwischen dem § 83 Abs. 7 WpHG und § 15 Abs. 1 und 3 DSGVO bezüglich der Zurverfügungstellung der Aufzeichnungen und Dokumentationen kommen kann, ist bislang noch nicht untersucht. Dabei könnte der Streit im Schrifttum hinsichtlich Umfang und Reichweite des Art. 15 Abs. 3 DSGVO74 hier grundsätzlich keine Rolle spielen, da es in Bezug auf die Wertpapierdienstleistung nicht um eine „Ausforschung“ gehen kann. Die Regelungen in § 83 WpHG dienen gerade der Beweissicherung (§ 83 Abs. 3 Satz 1 WpHG).

Je nach Verständnis des § 15 Abs. 3 DSGVO kann diese Norm aber weitergehende Auskünfte ermöglichen als § 83 Abs. 7 WpHG. Insofern wird im Schrifttum vereinzelt gefordert, dem Kunden über den Wortlaut des § 83 Abs. 7 WpHG hinaus einen Anspruch auf Einsichtnahme in sämtliche Aufzeichnungen zuzusprechen, die das Wertpapierdienstleistungsunternehmen zur Erfüllung seiner Aufzeichnungs- und Dokumentationspflichten führt, soweit es um die Wertpapierdienstleistung geht. Ein solcher Anspruch soll dann auf § 810 BGB gestützt werden können.75 Diese Ansicht erscheint jedoch datenschutzrechtlich bedenklich.

Da sich die Zurverfügungstellung nach § 83 Abs. 7 WpHG auch auf sämtliche mit der Wertpapier(neben)dienstleistung zusammenhängenden „Daten“ bezieht, d.h. zudem die unternehmensinterne Kommunikation in der Sache davon erfasst ist, wird im konkreten Fall – unabhängig von der Diskussion um eine Reichweite des Art. 15 Abs. 3 DSGVO – ein Anspruch aus jener Norm nicht weiter sein.

Die ESMA erlaubt in Bezug auf die wertpapierhandelsrechtliche Aufzeichnungspflicht nach der MiFID II, für die vom Kunden angeforderte Kopie eine Vergütung zu berechnen. Eine solche darf aber nicht die Selbstkosten übersteigen und abschreckend wirken.76 Anders als nach der Ansicht der europäischen Aufsichtsbehörde ESMA zur MiFID II-Regelung ist im Hinblick auf die von der betroffenen Person i.S.d. DSGVO angeforderten Kopien die Erstkopie kostenfrei zu übermitteln (Art. 12 Abs. 5 Satz 1 DSGVO). Lediglich für weitere Kopien ist ein angemessenes Entgelt zu leisten.77 Hierin liegt ein Unterschied der beiden Kopienrechte.

Überlegt werden könnte, ob eine parallele Geltung der beiden Informations- bzw. Kopienregelungen nicht deshalb ausscheidet, weil von der Öffnungsklausel des Art. 23 DSGVO unter anderem in § 34 BDSG Gebrauch gemacht wurde. Nach § 34 Abs. 1 Nr. 2 lit. a BDSG muss nicht über solche Daten Auskunft gegeben werden, die „nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher ... Aufbewahrungsvorschriften nicht gelöscht werden dürfen ... oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen“.78 Weitere Voraussetzung für eine Auskunftsverweigerung ist jedoch, dass eine Auskunft unverhältnismäßigen Aufwand erfordern würde.79 Das ist im vorliegenden Fall nicht gegeben, sodass die genannte Beschränkung hier unerheblich ist.

Auch für die Datenverarbeitung nach § 83 WpHG bzw. der MiFID II gelten die Anforderungen des Art. 32 DSGVO an die Sicherheit der Verarbeitung. Danach sind geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DSGVO). Insbesondere sind dabei die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind. Das bezieht sich vor allem auf die Vernichtung, den Verlust, die Veränderung oder unbefugte Offenlegung von personenbezogenen Daten bzw. den unbefugten Zugang zu diesen (Art. 32 Abs. 2 DSGVO).

Allerdings enthält die MiFID II bestimmte bereichsspezifische Vorschriften in den §§ 80 und 83 WpHG. § 83 Abs. 9 WpHG schreibt vor, dass die nach § 83 WpHG erfolgten Aufzeichnungen gegen nachträgliche Verfälschung und gegen unbefugte Verwendung zu sichern sind. Nach der Organisationsregelung des § 80 Abs. 1 Satz 2 Nr. 4 WpHG hat das Wertpapierdienstleistungsunternehmen zu gewährleisten, dass es über entsprechende „solide Sicherheitsmechanismen“ insbesondere bzgl. der Vertraulichkeit der Daten verfügt. Auch etwa in Art. 21 Abs. 2f. DelVO 2017/565 sind Anforderungen im Hinblick auf Systeme und Verfahren enthalten, welche die Sicherheit, Integrität und Vertraulichkeit der Informationen gewährleisten sollen.

Diesbezüglich wird im Schrifttum eine Normkollision gesehen, deren Auflösung noch nicht durch Behörden und Rechtsprechung geklärt sei.80 Allerdings wird nicht näher ausgeführt, worin diese Kollision konkret bestehen soll. Ob sich die Anforderungen aus Art. 16 Abs. 5 MiFID II mit denen nach Art. 32 DSGVO decken oder nicht, ist jedoch unerheblich.81 Schließlich haben die Wertpapierdienstleistungsunternehmen die Vorgaben beider Bereiche zu erfüllen.

Eine Relevanz von Abweichungen ergäbe sich lediglich dann, wenn divergierende Anforderungen gestellt würden. Diese würden dazu führen, dass das Wertpapierdienstleistungsunternehmen in jedem Fall eine bußgeldbewehrte Handlung begeht, weil es dann bei seinem Handeln zwingend entweder gegen eine MiFID- bzw. WpHG- oder eine DSGVO-Vorgabe verstößt.

Art. 16 Abs. 7 Unterabs. 9 der MiFID II und in der Folge § 83 Abs. 8 Satz 1 WpHG verlangen eine Aufbewahrung aller Unterlagen über einen Zeitraum von fünf Jahren. Dabei handelt es sich um eine Höchstfrist (vgl. § 83 Abs. 8 Satz 4 WpHG). Danach sind die Daten zu löschen oder zu vernichten (§ 83 Abs. 8 Satz 2 WpHG). Die BaFin kann diese Frist insbesondere zur Beweissicherung um zwei Jahre verlängern (§ 83 Abs. 8 Satz 4 WpHG).82 Da der vom WpHG vorgesehene Zeitraum von fünf Jahren kürzer ist als die absolute Verjährung nach § 199 Abs. 3 Satz 1 Nr. 1 BGB (10 Jahre), wird im Schrifttum in Richtung Gesetzgeber teilweise eine Verlängerung der Aufbewahrungspflicht vorgeschlagen.83