„Datenschutz in die DNA des Unternehmens einfügen“

Seit dem 25. Mai sorgt ein neues EU-Recht für Umbruch am Markt: die Datenschutz-Grundverordnung (DSGVO) . Sie soll EU-weit die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen vereinheitlichen. Ziel ist der Schutz persönlicher Daten und die Gewährleistung des Datenverkehrs innerhalb Europas. Welche Auswirkungen hat die Verordnung auf Namensaktien? Das und vieles mehr beantworten Datenschutzexperten beim Roundtable des GoingPublic Magazins.

GoingPublic: Liebe Gesprächskreisteilnehmer, was ändert sich mit der Datenschutz-Grundverordnung (DSGVO) am 25. Mai, insbesondere für Emittenten?

Dr. Hamann: Was sich u.a. verändern wird, ist der Umgang mit der Dokumentation der Verarbeitung von personenbezogenen Daten. Sehr spürbar werden auch die Veränderungen beim Behördenvollzug und im Bereich Sanktionen. Wir hatten bislang schon sehr strenge Datenschutzregeln, aber ab jetzt können richtig hohe Geldbußen folgen. Im schlimmsten Fall 4% des Jahresumsatzes. Natürlich sorgt das aktuell für viel Aufruhr am Markt.

Schmitz: Dem stimme ich zu. Vor der Festlegung der DSGVO war Datenschutz zwar natürlich auch ein großes Thema bei den Aktiengesellschaften, doch es wurde kein „Zwang“ in diesem Zusammenhang auferlegt. Durch die DSGVO hat man jetzt keine Wahl mehr. In der Praxis ist die Dokumentationspflicht die gravierendste Änderung. Hier wird es künftig erheblich mehr Aufwand geben. Aus Datenschutzgesichtspunkten finde ich das neue Gesetz übrigens komplett richtig, denn in anderen Geschäftsbereichen haben wir solche Dokumentationspflichten ja auch schon längst.

Zacherl: Die DSGVO wird sich deutlich auf die Prozesse innerhalb der Unternehmen auswirken. Vieles wird künftig formalisierter ablaufen und intensiver dokumentiert werden. Insgesamt wird dadurch der interne Aufwand natürlich größer.

Unklarheiten gibt es vor allem noch bei Namens- und Inhaberaktien, da hier oft mehrere Akteure beteiligt sind, wie u.a. Banken und Emittenten. Hier stellen sich die Fragen: Wer ist überhaupt in der Pflicht, die Daten zu erheben, und wer muss die Aktionäre informieren? Bank oder Emittent?

Hamann: Einer der Schwerpunkte der DSGVO ist die Transparenzpflicht, die viel ausführlicher geregelt ist als bisher. Art. 13 DSGVO verpflichtet jeden, der Daten direkt von einer betreffenden Person – hier also einem Aktionär – erhebt, den Betreffenden detailliert über die Verwendung der Daten und seine Rechte zu informieren. Nun bekommen Aktiengesellschaften in der Regel personenbezogene Daten nicht direkt von den Aktionären, sondern von den depotführenden Banken. Für solche Fälle einer Datenerhebung aus „anderen Quellen“ schreibt Art. 14 DSGVO auch eine Informationspflicht vor. Diese gilt allerdings nicht für Informationen, die dem Betreffenden bereits vorliegen. Damit stellt sich für Aktiengesellschaften die Frage, ob und inwieweit sie sich darauf verlassen können, dass die Banken, die ja ihrerseits auch nach Art. 13 DSGVO informationspflichtig sind, den Aktionären bereits alles notwendige mitgeteilt haben.

Nochmal zusammengefasst und aus rein praktischer Sicht: Wenn ich eine Namensaktie bei einer Gesellschaft kaufe – von wem und in welcher Form werde ich über die Datenerhebung informiert werden?

Schmitz: Wenn wir als Emittent von der Bank die Information bekommen haben, dass jemand Namensaktien gekauft hat, kann ich davon ausgehen, dass derjenige auch ausführliche Informationen über das Unternehmen bekommt. Das schließt auch die Datenschutzinformationen mit ein. In dem Fall würde Art. 14 Abs. 5 greifen, der Ausnahmefälle festlegt. Dieser Artikel besagt, dass nicht jeder individuell über die Neuerung im Datenschutz informiert werden muss, sondern es reicht aus, über die Website, z.B. im IR-Bereich, explizit zu informieren. Dies handhaben wir auch in der Praxis so. Zudem wird in unserer allgemeinen Daten-Policy nochmals über die neuen Richtlinien informiert. Kritisch sehe ich jedoch in der Tat, dass nicht unbedingt jeder Aktionär einen Internetzugang hat, vor allem ältere Generationen. Da habe ich ehrlich gesagt noch keine allgemeingültige Lösung gefunden.

Wird denn bei den Banken überhaupt daran gearbeitet, umfassender zu informieren?

Hamann: Ja. Die Banken haben alle ihre Datenschutz-Policies, Hinweise und Erklärungen ganz genau angeschaut. Insofern sind schon Bemühungen seitens der Banken da. Allerdings werden die Banken nicht alles abdecken können, wofür die Aktiengesellschaften informationspflichtig sind, z.B. Angaben zu eingebundenen Dienstleistern oder die Kontaktdaten des Datenschutzbeauftragten der Gesellschaft.

Zacherl: Grundsätzlich ist es so, dass ein Emittent keine Übersicht hat, über welche Bank der Aktionär seine Namensaktie kauft. Um sich auf die Information des Aktionärs durch die Depotbank verlassen zu können, müsste man das bei jeder Bank abfragen. Das ist aufgrund der vielen Depotbanken praktisch unmöglich. Viele Käufe werden zudem übers Ausland getätigt – das macht es noch schwieriger.

Hamann: Laut Art. 14 Abs. 5c) DSGVO greift außerdem eine Ausnahme von der Informationspflicht, wenn die Gesellschaft die Daten auf der Grundlage einer ausdrücklichen gesetzlichen Regelung erhält. Das ist z.B. der Fall bei den Daten, die die Depotbanken den Aktiengesellschaften gem. § 67 Abs. 4 AktG für die Zwecke des Aktienregisters übermitteln müssen.

Wie bereits erwähnt ist im Artikel 67.1 AktG die Übermittlung der Daten von Namensaktien gesetzlich verankert. Eine Ausnahme bildet die Nationalität, die dort nicht explizit aufgeführt wird. Würde dieser Bereich dazu führen, dass man durch die DSGVO den Neuaktionär künftig darüber informieren muss, dass man seine Nationalität erhebt?

Hamann: Zunächst braucht man da als Gesellschaft einen legitimen Zweck und eine gesetzliche Grundlage, um diese Daten erheben zu dürfen. Das können bei einem Datum wie Nationalität Compliance-Pflichten sein oder Maßnahmen gegen Geldwäsche. Allerdings ist bei der Geldwäsche eher der Wohnsitz als die Nationalität entscheidend. Im Hinblick auf Terrorlisten u.Ä. sollte man ggf. etwas genauer auf die Nationalität schauen, ohne natürlich bestimmte Ethnien zu diskriminieren. Aber das ist eine ziemliche Grauzone. Wenn ich als Gesellschaft berechtigt bin, Informationen zur Nationalität o.Ä. zu erheben, muss ich über die beabsichtigte Verwendung auch gem. Art. 13 oder 14 DSGVO informieren.

Schmitz: Hierzu möchte ich noch ergänzen, dass der Aspekt der Nationalität mit der DSGVO nicht neu hinzugekommen ist. Für einige Aspekte wie Terrorlisten oder Compliance muss die Nationalität natürlich überprüft werden. Aber dazu kann man ja auch ein milderes Mittel anwenden. Von daher müsste man nochmal den Aspekt der Nationalität überdenken. Jedoch kommt hier der risikobasierte Ansatz der DSGVO schon zum Vorschein. In dem oben genannten Fall sieht man deutlich, dass das Risiko der Privatsphärenmissachtung nicht hoch ist. Von daher finde ich die beiden Kombinationen aus Personenbezug und risikobasiertem Ansatz sehr hilfreich.