Die am 25. Mai in Kraft getretene EU-Datenschutzverordnung DSGVO hat für viel Unruhe in der Wirtschaft gesorgt. Welche Auswirkungen die neue Verordnung konkret auf Emittenten, beispielsweise rund um die Hauptversammlung, haben
wird, diskutierten Experten in einem von Computershare und dem GoingPublic Magazin moderierten Roundtable.

Zu den Interviewpartnern
Christian Hamann ist Rechtsanwalt bei Gleiss Lutz in Berlin. Er berät nationale und internationale Mandanten zu allen Fragen des Umgangs mit personenbezogenen Informationen.
Barbara Schmitz leitet den Konzerndatenschutz bei OSRAM in München und ist seit langem als Unternehmensjuristin im betrieblichen Datenschutz tätig. Sie ist zudem Autorin zahlreicher Buch- und Zeitschriftenbeiträge zum Datenschutz und regelmäßig Referentin von Seminaren und Fachtagungen.
Nikola Zacherl, Syndikusrechtsanwältin, ist seit 2006 Leiterin Recht beim Triebwerkshersteller MTU Aero Engines in München.

HV Magazin/Coumputershare: Was änderte sich mit der Datenschutzgrundverordnung (DSGVO) am 25. Mai, insbesondere für Emittenten?
Dr. Hamann: Was sich u.a. verändern hat, ist der Umgang mit der Dokumentation der Verarbeitung von personenbezogenen Daten. Sehr spürbar sind auch die Veränderungen beim Behördenvollzug und im Bereich Sanktionen. Wir hatten bislang schon sehr strenge Datenschutzregeln, aber ab jetzt können richtig hohe Geldbußen folgen. Im schlimmsten Fall 4% des Jahresumsatzes. Natürlich sorgt das aktuell für viel Aufruhr am Markt.

Schmitz: Dem stimme ich zu. Vor der Festlegung der DSGVO war Datenschutz zwar natürlich auch ein großes Thema bei den Aktiengesellschaften, doch es wurde kein „Zwang“ in diesem Zusammenhang auferlegt. Durch die DSGVO hat man jetzt keine Wahl mehr. In der Praxis ist die Dokumentationspflicht die gravierendste Änderung. Hier wird es künftig erheblich mehr Aufwand geben. Aus Datenschutz-Gesichtspunkten finde ich das neue Gesetz übrigens komplett richtig, denn in anderen Geschäftsbereichen haben wir solche Dokumentationspflichten ja auch schon längst.
Zacherl: Die DSGVO wird sich deutlich auf die Prozesse innerhalb der Unternehmen auswirken. Vieles wird künftig formalisierter ablaufen und intensiver dokumentiert werden. Insgesamt wird dadurch der interne
Aufwand natürlich größer.

Barbara Schmitz:
„In der Praxis ist

die Dokumenta-
tionspflicht die

gravierendste
Änderung. Hier
wird es künftig
erheblich mehr
Aufwand geben.“

Kommen wir zum Thema Hauptversammlungseinladung: Was sollte da für ein Hinweis aufgenommen werden?
Schmitz:
Wir haben uns überlegt, dass wir bei einem postalischen Anschreiben die Datenschutzerklärung für Aktien hinzufügen. Zudem verweisen wir in dem Brief noch auf den Link der Website. Man kann sich vorher auch elektronisch anmelden, und da würden wir nur auf den Link verweisen.
Zacherl: Dem kann ich zustimmen für den administrativen schriftlichen HV-Prozess, wie den Versand der Einladungen oder der Eintrittskarten. Anders sieht es beim E-Voting aus, weil hier unter Umständen mehr Daten
erfasst werden, z.B. die IP-Adresse oder ein Datenabruf über Cookies. Dafür sollte man in der Datenschutzerklärung einen speziellen Unterpunkt aufnehmen.

Wie verhält es sich im Fall Inhaberaktien? Hier werden die Einladungskarten ja in der Regel über die Bank verschickt?
Hamann:
Hier würde Art. 13 der DSGVO greifen, also muss der Aktionär bereits in dem Anmeldeformular des Einladungsschreibens den Datenschutzhinweis des Emittenten vorfinden. An sich sollte dafür aus meiner Sicht ein Hinweis oder Link auf die Datenschutzinformationen auf der Webseite genügen. Sicherer ist es natürlich, die vollständigen Datenschutzinformationen oder zumindest eine Zusammenfassung der wichtigsten Punkte mit zu der Einladung in den Briefumschlag zu stecken.
Spannend sieht es auch bei der Dritterhebung im Falle einer Bevollmächtigung aus: Benötigt diese auch eine Belehrung über die Datenschutzerklärung?
Hamann:
Das Thema der Bevollmächtigung ist gesetzlich geregelt – von daher käme hier wieder die Ausnahme von der Informationspflicht in Art. 14 Abs. 5c DSGVO zur Geltung. Trotzdem würde ich aber empfehlen, den Bevollmächtigten genauso wie den Aktionär über die Datenverarbeitung zu informieren, sobald ich ihn kontaktiere, z.B. beim Verschicken der Eintrittskarte für die HV.
Schmitz: Man könnte z.B. explizit nochmal in der Einladung der HV darauf hinweisen, dass im Falle eines Bevollmächtigten dieser auf jeden Fall informiert werden muss. Eine Möglichkeit wäre ja z.B., dass
auch in dem Schreiben/Formular, in dem der Aktionär den Bevollmächtigten einträgt, ein Verweis mit Sternchen erfolgt, in dem explizit auf die Datenschutzverordnung hingewiesen wird.

NIKOLA ZACHERL: „DIE DSGVO WIRD SICH
DEUTLICH AUF DIE PROZESSE INNERHALB
DER UNTERNEHMEN AUSWIRKEN.

Zacherl: Den Bevollmächtigten vor der Datenerfassung individuell zu informieren, ist in der Praxis schwer umsetzbar. Dessen Daten müssen ja schon erfasst werden, bevor man das erste Mal über den Versand
der Eintrittskarte Kontakt aufnimmt. Ich denke auch, dass man dies am besten auffängt, indem man die Datenschutzhinweise mit der Einladung verschickt. Was man auch erwähnen sollte, ist dass der Bevollmächtigte, der nicht erscheint,
nicht ins Teilnehmerverzeichnis eingetragen wird.

Wie verhält es sich mit elektronischen Portalen?
Zacherl:
Das ist relativ einfach. Sobald der Aktionär sich in das E-Voting-Portal einloggt, bestätigt er durch Setzen eines Häkchens, dass er die Datenschutzerklärung zur Kenntnis genommen hat.

Dr. Christian Hamann: „Interessant

finde ich, dass die DSGVO ursprüng-
lich mit dem Versprechen einer

Entbürokratisierung angepriesen
wurde.“

 

Kurz und knapp zusammengefasst: Was bedeutet die DSVGO wirklich für einen Mehraufwand aus Sicht der Emittenten? Und wird die Diskussion in ein paar Jahren überhaupt noch Relevanz haben?

Hamann: Interessant finde ich, dass die DSGVO ursprünglich mit dem Versprechen einer Entbürokratisierung angepriesen wurde. Eingetreten ist das komplette Gegenteil: Der bürokratische Aufwand ist deutlich erhöht. Allerdings wird der Aufwand in dem Bereich, über den wir gesprochen haben – Informationen der Aktiengesellschaften an die Aktionäre im Bereich Namens- und Inhaberaktien – sicherlich überschaubar bleiben. Man muss nicht anfangen, jeden einzelnen Namensaktionär per Post über jede Verarbeitung seiner Daten zu informieren.

Schmitz: Das sehe ich ähnlich. Der entscheidende Punkt wird sein, dass man das Thema Datenschutz in die DNA des Unternehmens einfügt. Man sollte nicht anfangen, den Datenschutz neu zu erfinden, sondern vielmehr in das Unternehmen fest verankern – insofern sollte das eigentlich nichts Neues sein für die einzelnen Gesellschaften.

Zacherl: Ich bemerke eine gewisse Unruhe, weil es in vielen Detailfragen noch Unklarheiten gibt. Ich denke, dass sich das Ganze sicherlich in den nächsten Jahren einspielen und zum Alltag werden wird.

Liebe Teilnehmer, vielen Dank für die spannende Diskussionsrunde. Das Gespräch führten Christof Schwab (Computershare) und Svenja Liebig ( GoingPublic Magazin).

Bildnachweis: V.l.n.r.: Christof Schwab, Computershare, Svenja Liebig, GoingPublic Magazin, Nikola Zacherl, MTU Aero Engines, Dr. Christian Hamann, Gleiss Lutz, und Barbara Schmitz, Osram..

Über den Autor

Svenja Liebig ist Redakteurin des GoingPublic Magazins sowie verantwortlich für goingpublic.de