Festschrift für Jürgen Taeger

Dagegen sollen personenbezogene Daten gemäß der DSGVO grundsätzlich nur so lange gespeichert werden, wie dies unbedingt notwendig ist.84 Damit wird die Verarbeitung bzw. Speicherung auf das absolute Minimum beschränkt. Insofern besteht nach Art. 17 Abs. 1 lit. b DSGVO eine Löschpflicht, wenn die betroffene Person ihre Einwilligung widerruft bzw. wenn sie die Löschung begehrt, worin konkludent ein Widerruf der Einwilligung gesehen werden kann. Eine Pflicht zur Löschung besteht zudem, wenn die Daten für die Zwecke, zu denen sie erhoben wurden, nicht mehr notwendig sind (Art. 17 Abs. 1 lit. a DSGVO) bzw. sich die Löschpflicht aus der rechtlichen Verpflichtung ergibt (Art. 17 Abs. 1 lit. e DSGVO).

Allerdings spielt auch hier wieder die bereits angesprochene85 Rechtmäßigkeit des Umfangs der Datenverarbeitung eine Rolle. Denn ein Recht zur Löschung besteht nach Art. 17 Abs. 3 lit. b DSGVO dann nicht, wenn die weitere Verarbeitung bzw. Speicherung der Daten zur Erfüllung einer rechtlichen Verpflichtung, wie etwa § 83 Abs. 3 WpHG, erforderlich ist (vgl. Art. 6 Abs. 1 lit. c DSGVO).86 Damit ist das Verlangen einer Löschung in den vorliegenden Fällen dann unbeachtlich, wenn dem die gesetzlichen Aufbewahrungspflichten aus § 83 Abs. 8 WpHG entgegenstehen.

Problematisch wird das Zusammenspiel zwischen DSGVO und MiFID II aber dann, wenn mit einem Teil des Schrifttums die Pflicht zur Löschung der Aufzeichnung in bestimmten Konstellationen einschränkend auszulegen sein soll. Das soll etwa der Fall sein, wenn das Wertpapierdienstleistungsunternehmen in einem laufenden Zivilprozess mit dem Kunden die Aufzeichnung aus Beweisgründen benötigt.87

Die MiFID II-Regelung bzw. § 83 Abs. 3 WpHG wird teilweise als der „Tod“ der Telefonorders gesehen. Ob dem wirklich so ist, war hier nicht zu untersuchen. Untermauert wird das durch die empirische Untersuchung, wonach seit Geltung der genannten Bestimmung eine Abnahme von Telefonorders zu verzeichnen ist.88 Sollte diese Tendenz anhalten, würden sich die genannten Kollisionsprobleme zwischen Datenschutz- und Wertpapierhandelsrecht von selbst erledigen.

Jedenfalls ist die regulatorische Abstimmung zwischen der MiFID II bzw. dem WpHG und der DSGVO nicht vollständig gelungen. Das geht zulasten der Rechtsanwender, die sich erheblicher Rechtsunsicherheit ausgesetzt sehen. Insofern ist der (europäische) Gesetzgeber etwa im Rahmen des bereits begonnenen MiFID II-Reviews gefragt, hier nicht nur zugunsten der Wertpapierdienstleistungsunternehmen, sondern auch der Kunden für Klarheit zu sorgen.

In seinem Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz vom 20.11.201989 hat der Gesetzgeber jedenfalls davon abgesehen und mit dem dortigen Art. 58 im Hinblick auf § 83 Abs. 3 Satz 3 WpHG lediglich die Wörter „erheben, verarbeiten und nutzen“ personenbezogener Daten durch den Begriff „verarbeiten“ ersetzt. Der weitere Umgang mit dem sog. Taping wird zeigen, welche Herausforderungen die Gemengelage von Datenschutz- und Wertpapierhandelsrecht für Wissenschaft und Praxis noch bereithält.

1Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016, S. 1, berichtigt in ABl. Nr. L 314 vom 22.11.2016, S. 72 und ABl. Nr. L 127 vom 23.5.2018, S. 2. 2Taeger/Schmidt, in: Taeger/Gabel, DSGVO/BDSG, 3. Aufl. 2019, Einführung Rn. 19. 3Das sind nach § 2 Abs. 10 WpHG Kreditinstitute, Finanzdienstleistungsinstitute sowie nach § 53 Abs. 1 Satz 1 KWG tätige Unternehmen, die Wertpapierdienstleistungen allein oder zusammen mit Wertpapiernebendienstleistungen gewerbsmäßig oder in einem Umfang erbringen, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert. 4Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates vom 15.5.2014 über Märkte für Finanzinstrumente sowie zur Änderung der Richtlinie 2002/02/EG und 2011/61/EU, ABl. EU Nr. L 173 vom 12.6.2014, S. 349. 5Zweites Gesetz zur Novellierung von Finanzmarktvorschriften auf Grund europäischer Rechtsakte (Zweites Finanzmarktnovellierungsgesetz – 2. FiMaNoG), BGBl. I 2017, S. 1693. 6Soweit ersichtlich lediglich Heinson, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 14 Rn. 65ff.; Kipker/Stelter, DuD 2018, 364ff. 7Heinson, in: Specht/Mantz (Fn. 6), § 14 Rn. 66. 8Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25.11.2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinie 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG, ABl. EU Nr. L 337 vom 23.12.2015, S. 35. 9Siehe etwa Heinson, in: Specht/Mantz (Fn. 6), § 14 Rn. 56f.; Indenhuck/Stein, BKR 2018, 136ff.; Weichert, NJW 2017, 3334ff. 10Delegierte Verordnung (EU) 2017/565 der Kommission vom 25.4.2016 zur Ergänzung der Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates in Bezug auf die organisatorischen Anforderungen an Wertpapierfirmen und die Bedingungen für die Ausübung ihrer Tätigkeit sowie in Bezug auf die Definition bestimmter Begriffe für die Zwecke der genannten Richtlinie, ABl. EU Nr. L 87 vom 31.3.2017, S. 1. 11ESMA, Questions and Answers on MiFID II and MiFIR investor protection and intermediaries topics, ESMA 35-43-349, Stand: 4.12.2019, Abschnitt 3 und 4. 12Verordnung zur Konkretisierung der Verhaltensregeln und Organisationsanforderungen für Wertpapierdienstleistungsunternehmen (Wertpapierdienstleistungs-Verhaltens- und -Organisationsverordnung – WpDVerOV), BGBl. I 2017, S. 3566. 13Siehe Begr. RegE 2. FiMaNoG, BT-Drs. 18/10936, S. 244. 14Siehe etwa Grischuk/Vollmer, BaFinJournal 06/2018, 23, 26. 15Schäfer, in: Heidel, Aktien- und Kapitalmarktrecht, 5. Aufl. 2019, § 83 WpHG Rn. 16. 16Taeger/Schmidt, in: Taeger/Gabel (Fn. 2), Einführung Rn. 19. 17Hornung/Spiecker gen. Döhmann, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Einleitung Rn. 208. 18Dazu Taeger/Schmidt, in: Taeger/Gabel (Fn. 2), Einführung Rn. 50ff. 19Zur verfassungsrechtlichen Kritik Taeger/Schmidt, in: Taeger/Gabel (Fn. 2), Einführung Rn. 45. 20Taeger, Die erste Seite, BB Nr. 20/2017. 21Taeger/Schmidt, in: Taeger/Gabel (Fn. 2), Einführung Rn. 37. 22Taeger/Schmidt, in: Taeger/Gabel (Fn. 2), Einführung Rn. 37. 23Siehe Taeger, Die erste Seite, BB Nr. 20/2019. 24Heinson, in: Specht/Mantz (Fn. 6), § 14 Rn. 79. 25Heinson, in: Specht/Mantz (Fn. 6), § 14 Rn. 79. 26Heinson, in: Specht/Mantz (Fn. 6), § 14 Rn. 79; Kipker/Stelter, DuD 2018, 364, 366. 27Heinson, in: Specht/Mantz (Fn. 6), § 14 Rn. 79. 28Heinson, in: Specht/Mantz (Fn. 6), § 14 Rn. 57. 29Heinson, in: Specht/Mantz (Fn. 6), § 14 Rn. 79. 30Kipker/Stelter, DuD 2018, 364, 366. 31Hornung/Spiecker gen. Döhmann, in: Simitis/Hornung/Spiecker gen. Döhmann (Fn. 17), Einleitung Rn. 268. 32Dazu etwa Langenbucher, in: Langenbucher, Europäisches Privat- und Wirtschaftsrecht, 4. Aufl. 2017, § 1 Rn. 85ff. 33Hornung/Spiecker gen. Döhmann, in: Simitis/Hornung/Spiecker gen. Döhmann (Fn. 17), Einleitung Rn. 272. 34Rothenhöfer, in: Kümpel/Mülbert/Früh/Seyfried, Bank- und Kapitalmarktrecht, 5. Aufl. 2019, Rn. 13.320; Koller, in: Assmann/U.H. Schneider/Mülbert, Wertpapierhandelsrecht, 7. Aufl. 2019, § 81 WpHG Rn. 5. 35Krätschmer, in: Specht/Mantz (Fn. 6), § 6 Rn. 5; Arning/Rothkegel, in: Taeger/Gabel (Fn. 2), Art. 4 DSGVO Rn. 165f.; Schild, in: BeckOK Datenschutzrecht, Art. 4 DSGVO Rn. 89; Löschkorn/Fuhrmann, NZG 2019, 161, 166f. 36Vgl. Art. 1 Abs. 1 DSGVO, wonach sich die Verordnung auf den Schutz natürlicher Personen bezieht. 37Vgl. Rabe, K&R 2019, 464ff. 38ESMA, Questions and Answers on MiFID II and MiFIR investor protection and intermediaries topics, ESMA35-43-349, Stand: 4.12.2019, Abschnitt 3 und 4. 39BaFin, FAQ zu MiFID II-Wohlverhaltensregeln nach §§ 63ff. WpHG, vom 4.5.2018, Stand: 24.4.2019. 40ESMA, Questions and Answers on MiFID II and MiFIR investor protection and intermediaries topics, ESMA35-43-349, Stand: 4.12.2019, Abschnitt 3 Question 1; Koller, in: Assmann/U. H. Schneider/Mülbert (Fn. 34), § 83 WpHG Rn. 10; Grischuk/Vollmer, BaFinJournal 06/2018, 23, 24; kritisch zum Umfang auch Rothenhöfer, in: Kümpel/Mülbert/Früh/Seyfried (Fn. 34), Rn. 13.304, 13.306. 41Siehe oben bei II.2. 42Darauf beziehen sich auch regelmäßig die Institute; vgl. die Datenschutzhinweise der DZ Bank, dass die Datenverarbeitung „zur Erfüllung gesetzlicher Pflichten, Art. 6 Abs. 1c DSGVO“ erfolgt, www.dzbank.de/content/dam/dzbank_de/de/footermetanavigation/datenschutz/Datenschutzhinhweise_Anruf-Sprachaufzeichnung.pdf, zuletzt abgerufen am 10.1.2020. 43Heinson, in: Specht/Mantz (Fn. 6), § 14 Rn. 70. 44Taeger, in: Taeger/Gabel (Fn. 2), Art. 6 DSGVO Rn. 73. 45Heinson, in: Specht/Mantz (Fn. 6), § 14 Rn. 70. 46Nieding, in: Baas/Buck-Heeb/Werner, Anlegerschutzgesetze, 2019, S. 764. 47Siehe Frölich/Gies, BaFinJournal 05/2019, 20, 21; siehe auch BaFin, FAQ zu MiFID II-Wohlverhaltensregeln nach §§ 63ff. WpHG, vom 4.5.2018, Stand: 24.4.2019, Teil B, Frage 2. 48Vgl. Begr. RegE 2. FiMaNoG, BT-Drs. 18/10936, S. 244; Buck-Heeb/Poelzig, BKR 2017, 486, 489; Roth/Blessing, CCZ 2017, 8, 11. 49Roth/Blessing, CCZ 2017, 8, 11f. 50So Heinson, in: Specht/Mantz (Fn. 6), § 14 Rn. 71. 51Zur Praxis der deutschen Aufsichtsbehörden Hamann/Wegmann, BB 2019, 1347, 1354; zu den Sanktionen auch etwa Rost, DuD 2019, 488ff. 52Begr. RegE 2. FiMaNoG, BT-Drs. 18/10936, S. 245; siehe auch Schäfer, in: Heidel (Fn. 15), § 83 WpHG Rn. 37. 53ESMA, Questions and Answers on MiFID II and MiFIR investor protection and intermediaries topics, ESMA35-43-349, Stand: 4.12.2019, Abschnitt 3, Question 8. 54So auch Kipker/Stelter, DuD 2018, 364, 367. 55Heinson, in: Specht/Mantz (Fn. 6), § 14 Rn. 73; Kipker/Stelter, DuD 2018, 364, 367. 56Begr. RegE 2. FiMaNoG, BT-Drs. 18/10936, S. 244; siehe auch Buck-Heeb/Poelzig, BKR 2017, 485, 489; Roth/Blessing, CCZ 2017, 8, 12. 57BaFin, FAQ zu MiFID II-Wohlverhaltensregeln nach §§ 63ff. WpHG, vom 4.5.2018, Stand: 24.4.2019. 58Begr. RegE 2. FiMaNoG, BT-Drs. 18/10936, S. 244f. 59Begr. RegE 2. FiMaNoG, BT-Drs. 18/10936, S. 245; Roth/Blessing, CCZ 2017, 8, 12. 60Begr. RegE 2. FiMaNoG, BT-Drs. 18/10936, S. 244. 61Vgl. Schäfer, in: Heidel (Fn. 15), § 83 WpHG Rn. 30; siehe auch Begr. RegE 2. FiMaNoG, BT-Drs. 18/10936, S. 244. 62BaFin, FAQ zu MiFID II-Wohlverhaltensregeln nach §§ 63ff. WpHG, vom 4.5.2018, Stand: 24.4.2019, Teil B, Frage 2. 63So Koller, in: Assmann/U. H. Schneider/Mülbert (Fn. 34), § 83 WpHG Rn. 15. 64Vgl. Koller, in: Assmann/U. H. Schneider/Mülbert (Fn. 34), § 83 WpHG Rn. 17. 65Dazu etwa B. Lorenz, VuR 2019, 213ff. 66Siehe auch Koller, in: Assmann/U.H. Schneider/Mülbert (Fn. 34), § 83 WpHG Rn. 15. 67Heinson, in: Specht/Mantz (Fn. 6), § 14 Rn. 80. 68BaFin, FAQ zu MiFID II-Wohlverhaltensregeln nach §§ 63ff. WpHG, vom 4.5.2018, Stand: 24.4.2019, Teil B, Frage 1; vgl. auch Art. 76 Abs. 10 Unterabs. 2 DelVO 2017/565 („für den Kunden auf Wunsch leicht zugänglich“). 69Vgl. ESMA, Questions and Answers on MiFID II and MiFIR investor protection and intermediaries topics, ESMA 35-43-349, Stand: 4.12.2019, Abschnitt 4, Question 1. 70ESMA, Questions and Answers on MiFID II and MiFIR investor protection and intermediaries topics, ESMA 35-43-349, Stand: 4.12.2019, Abschnitt 3, Question 9. 71Rothenhöfer, in: Kümpel/Mülbert/Früh/Seyfried (Fn. 34), Rn. 13.312. 72So dezidiert etwa Brink/Joos, ZD 2019, 483. 73Brink/Joos, ZD 2019, 483, 484. 74Siehe etwa Schmidt-Wudy, in: BeckOK Datenschutzrecht, Art. 15 DSGVO Rn. 52ff. sowie Rn. 85ff.; Brink/Joos, ZD 2019, 483, 484ff.; Engeler/Quiel, NJW 2019, 2201ff.; Härting, CR 2019, 223ff.; Wybitul/Brams, NZA 2019, 672, 674ff.; Hamann/Wegmann, BB 2019, 1347, 1350f.; siehe auch Riemer, Datenschutz-Berater 2019, 223ff. 75Binder, in: GroßkommHGB, 5. Aufl. 2018, Bankvertragsrecht, Investmentbanking II, 7. Teil, Rn. 110 (S. 548). 76ESMA, Questions and Answers on MiFID II and MiFIR investor protection and intermediaries topics, ESMA 35-43-349, Stand: 4.12.2019, Abschnitt 3 Question 2. 77Vgl. Schmidt-Wudy, in: BeckOK Datenschutzrecht, Art. 15 DSGVO Rn. 86; Paal, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, Art. 15 DSGVO Rn. 35. 78Missverständlich daher Brink/Joos, ZD 2019, 483, 488, die von einem „und“-Verhältnis ausgehen. 79Zu diesem Erfordernis etwa Koreng, in: Taeger/Gabel (Fn. 2), § 34 BDSG Rn. 19; Schmidt-Wudy, in: BeckOK Datenschutzrecht, § 34 BDSG Rn. 36. 80Heinson, in: Specht/Mantz (Fn. 6), § 14 Rn. 82. 81Das konzediert letztendlich auch Heinson, in: Specht/Mantz (Fn. 6), § 14 Rn. 82, wenn er darauf abstellt, dass die Maßnahmen nach dem WpHG in der Praxis ohnehin auch nach Art. 32 DSGVO zu treffen wären. 82Zum Erfordernis der raschen Mitteilung an das Institut, wenn das „Interesse“ der Aufsichtsbehörde an einer verlängerten Aufbewahrung nicht mehr besteht, ESMA, Questions and Answers on MiFID II and MiFIR investor protection and intermediaries topics, ESMA 35-43-349, Stand: 4.12.2019, Abschnitt 3 Question 4. 83Nieding, in: Baas/Buck-Heeb/Werner (Fn. 46), S. 763. 84Vgl. ErwG 39 DSGVO. 85Oben bei IV. 1. 86Vgl. Worms, in: BeckOK Datenschutzrecht, Art. 17 DSGVO Rn. 22; Meents/Hinzpeter, in: Taeger/Gabel (Fn. 2), Art. 17 DSGVO Rn. 117ff. 87Rothenhöfer, in: Kümpel/Mülbert/Früh/Seyfried (Fn. 34), Rn. 13.313. 88Paul/Schröder/Schumacher, Auswirkungsstudie MiFID II/MiFIR und PRIIPs-VO: Effektivität und Effizienz der Neuregelungen vor dem Hintergrund des Anleger- und Verbraucherschutzes, Abschlussbericht Februar 2019, S. 15; so auch die BaFin, wenn sie in der Folge einer Marktuntersuchung im Mai 2019 konstatiert, die Kunden hätten sich mit der Aufzeichnungspflicht arrangiert, siehe Frölich/Gies, BaFinJournal 05/2019, 20, 21. 89BGBl. I, S. 1626.