Fondsmanagement unter neuem Datenschutzregime

Die seit 25.5.18 geltende EU-Datenschutz-Grundverordnung (DSGVO) gilt auch für die Verwaltung von Private Equity- und Venture Capital-Fonds. Fondsmanager müssen das neue Datenschutzrecht nicht nur bei künftigen Verträgen berücksichtigen, sondern auch ihr Datenschutz-Management und bestehende Verträge überprüfen und gegebenenfalls anpassen, wie Stephan Schade, Counsel der Kanzlei P+P Pöllath + Partners, erläutert.

Regelmäßig kommen Kapitalverwaltungsgesellschaften – kurz: Fondsmanager – an verschiedenen Stellen im Lebenszyklus eines Private Equity- oder Venture Capital-Fonds mit zu schützenden personenbezogenen Daten in Berührung. Personenbezogene Daten sind dabei sämtliche Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Für Fondsmanager stellen sich vor allem im Umgang mit Daten von Anlegern, von Geschäftsleitern oder Mitarbeitern von (potenziellen) Portfoliounternehmen oder von Geschäftspartnern neue Compliance-Anforderungen.

Zulässige Datenverarbeitung und Transparenzpflicht

Dabei ist die Verarbeitung dieser Daten oftmals auch ohne Einwilligung des Betroffenen zulässig, weil regelmäßig bereits ein anderer Erlaubnistatbestand des Art. 6 DSGVO die Datenverarbeitung gestattet. So dürfen Daten soweit und solange verarbeitet werden, wie dies u. a. erforderlich ist, um das Vertragsverhältnis zwischen Fondsmanager und Betroffenem zu erfüllen, um gesetzliche Pflichten des Fondsmanagers zu erfüllen oder um berechtigte Interessen des Fondsmanagers zu wahren, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten des Betroffenen überwiegen.

In der Praxis sind die erweiterten Transparenzpflichten nach Art. 12-14 DSGVO äußerst relevant. Sie spiegeln sich in umfangreichen Dokumentations-, Informations- und Rechenschaftspflichten wider, die z. T. erheblichen Anpassungsbedarf mit sich bringen. Fondsmanager müssen Betroffene von nun an z. B. über Zwecke und Rechtsgrundlage der Datenverarbeitung und ihre Rechte im Zuge der Datenverarbeitung (wie auf Berichtigung, Sperrung oder Löschung) informieren – und zwar grundsätzlich unabhängig davon, ob sie die Daten bei den Betroffenen direkt erheben oder über Dritte. Gerade die Erfüllung von Transparenzpflichten bei solchen Dritterhebungen kann sich in der Praxis als schwierig erweisen. Denn werden etwa im Zuge einer Due Diligence Mitarbeiterdaten oder während des Zeichnungsprozesses Daten natürlicher Personen (z. B. Vertretungsberechtigte, wirtschaftlich Berechtigte oder Eigentümerstrukturen) nicht von diesen selbst zur Verfügung gestellt, muss der Fondsmanager diese Betroffenen prinzipiell über die Verarbeitung ihrer Daten informieren.

Neue technische und organisatorische Vorgaben

Die DSGVO fordert, geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung nach einem risikobasierten Ansatz zu ergreifen. Fondsmanager müssen also weiterhin einen Datenschutzbeauftragten benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung von Daten beschäftigen. Hierfür dürfte bereits die Nutzung von technischen Hilfsmitteln wie Computer und Smartphones genügen. Zum Datenschutzbeauftragten kann ein intern Beschäftigter oder externer Dienstleister bestellt werden. Er dient der betrieblichen Selbstkontrolle und hat eine ausschließlich beratende Funktion.

Auftragsverarbeitung und Weitergabe von Daten

Plant der Fondsmanager, die Datenverarbeitung an einen externen Dienstleister (z. B. Cloud-Betreiber oder Datenraum-anbieter) auszulagern, so ist dies ohne zusätzliche Erlaubnis gestattet. Dafür legt die DSGVO Voraussetzungen für die Auswahl und Kontrolle eines Auftragsverarbeiters fest, die die Verträge zur Auftragsverarbeitung erfüllen müssen. Dies gilt sowohl für künftige als auch für bestehende Verträge. Bereits geschlossene Verträge zur Auftrags(daten)verarbeitung müssen deshalb ebenfalls geprüft und gegebenenfalls um Zusatzvereinbarungen ergänzt werden.
Fondsmanager dürfen Daten an Dritte (z. B. Banken oder Behörden) grundsätzlich nur im Rahmen des jeweiligen Erlaubnistatbestandes weitergeben. Dies ist etwa der Fall, wenn die Weitergabe zur vertraglichen Erfüllung oder wegen gesetzlicher Verpflichtung erforderlich ist. Andernfalls ist eine Einwilligung des Betroffenen zur Datenweitergabe notwendig.

Bei Datenübermittlung an Empfänger in so genannten Drittländern (d. h. außerhalb der EU bzw. des EWR) stellt die DSGVO sicher, dass ihr Schutzniveau nicht unterlaufen werden kann, indem sie grundsätzlich einen Beschluss der EU-Kommission über ein angemessenes Datenschutzniveau für das jeweilige Drittland oder geeignete Garantien verlangt. Geeignete Garantien bestehen z. B. in Standardvertragsklauseln oder verbindlichen unternehmensinternen Datenschutzvorschriften, die von den Aufsichtsbehörden genehmigt werden müssen. Ausnahmsweise ist eine Datenübermittlung u. a. zulässig, wenn der Betroffene ausdrücklich darin eingewilligt hat oder der Datentransfer zur vertraglichen Erfüllung erforderlich ist.

Datenschutzverletzungen müssen grundsätzlich binnen 72 Stunden gegenüber der Aufsichtsbehörde gemeldet werden, es sei denn, es droht voraussichtlich kein Risiko für die persönlichen Rechte und Freiheiten der Betroffenen. Bei voraussichtlich hohem Risiko einer Rechtsverletzung müssen Verstöße auch gegenüber den Betroffenen angezeigt werden.