Mit diesem Gesetz werden diverse Vorschriften abgeändert, die den Finanz- und Versicherungssektor regulieren. Dabei wird auch das Bank- und Versicherungsgeheimnis insoweit abgeschwächt, als eine Weitergabe von Kundendaten im Rahmen eines Outsourcings erleichtert wird. Wildgen berichtete bereits im Jahr 2017 über den Gesetzesentwurf auf FondsTrends (Verlinkung) und geht im Folgenden auf die Auswirkungen ein.
Ausgangslage
Das Bankgeheimnis ist in Luxemburg im Gesetz vom 5. April 1993 über den Finanzsektor, wie abgeändert, geregelt. Das zum Bankgeheimnis äquivalente Versicherungsgeheimnis ist im Gesetz vom 7. Dezember 2015 über den Versicherungssektor, wie abgeändert, normiert. Entsprechende Vorschriften existieren auch nach dem Gesetz vom 10. November 2009 über Zahlungsdienste. Ergänzend bestehen auch strafrechtliche Vorschriften im Strafgesetzbuch (Code Pénal).
Die Geheimnisvorschriften gelten in Luxemburg nach diesen Vorschriften insbesondere für Kreditinstitute, Gewerbetreibende des Finanzsektors (professionnels du secteur financier), Versicherungen, Gewerbetreibende des Versicherungssektors (professionnels du secteur assurance), Zahlungsinstitute und E-Geld-Institute.
Bisherige Voraussetzungen
Bislang waren das Outsourcing, insbesondere das IT-Outsourcing, und die damit verbundene Weitergabe von vertraulichen Informationen nur unter sehr strengen Voraussetzungen möglich. So galt im Wesentlichen nur die Ausnahme, dass ohne Verstoß gegen den Geheimnisschutz vertrauliche Daten an andere Personen weitergegeben werden dürfen, die auf der Grundlage eines Dienstleistungsvertrags denselben Geheimnisvorschriften unterliegen . Darüber hinaus hatte die Luxemburger Aufsichtsbehörde des Finanzsektors (Commission de Surveillance du Secteur Financier, „CSSF“) unter anderem in dem Rundschreiben 12/552 die Voraussetzungen für ein Outsourcing für Tätigkeiten im Finanzsektor und die damit verbundene Weitergabe von vertraulichen Informationen weiter präzisiert.
Aktuelle Änderungen
In dem ersten Gesetzesentwurf für das Gesetz wurde zunächst noch eine Unterscheidung zwischen der Auslagerung an Gruppengesellschaften und gruppenexterne Dienstleister gemacht. Die entsprechend im Gesetzesentwurf niedergelegten Voraussetzungen wurden jedoch als unklar und nicht nachvollziehbar kritisiert. Eine solche Unterscheidung besteht mit dem Gesetz nun nicht mehr.
Eine Auslagerung und die Weitergabe von Kundendaten sind nach dem Gesetz grundsätzlich zulässig. Während sich der erste Gesetzesentwurf nur auf den Finanzsektor bezog, werden nun die Regelungen für den Finanz- und Versicherungssektor sowie den Bereich der Zahlungsdienste insoweit entsprechend abgeändert, wenn:
- diese an in Luxemburg ansässige, regulierte Unternehmen erfolgt oder
- eine vorherige Zustimmung des Kunden vorliegt (Zustimmung per se oder per Vertrag).
Auslagerung an in Luxemburg ansässige, regulierte Unternehmen
Nach dem Gesetz darf nunmehr eine Auslagerung und damit eine Offenlegung von vertraulichen Informationen aufgrund eines Dienstleistungsvertrages erfolgen, soweit:
- es sich bei dem Dienstleister um ein in Luxemburg ansässiges Unternehmen handelt,
- das von der CSSF, der Europäischen Zentralbank oder der Luxemburger Versicherungsaufsichtsbehörde (Commissariat aux Assurances, „CAA“) überwacht wird und
- dessen Pflicht zur Geheimhaltung strafrechtlich bewehrt ist.
Dies bedeutet eine erhebliche Ausweitung des potentiellen Empfängerkreises im Vergleich zu der bisher geltenden Rechtslage, nach der eine Weitergabe nur an bestimmte von dem jeweiligen Geheimnisschutz betroffenen Personen vorsah.
Auslagerung mit Zustimmung des Kunden
Eine Auslagerung und die damit verbundene Weitergabe von vertraulichen Informationen war bislang – gruppenintern sowie an Dritte –zumindest für den Finanzsektor nur auf der Basis der im CSSF Rundschreiben 12/552 aufgeführten Voraussetzungen möglich, was insbesondere eine ausdrückliche Zustimmung des Kunden erforderte. Eine gesetzliche Regelung fehlte aber insoweit bislang, was zu einer gewissen Rechtsunsicherheit geführt hatte.
Das Gesetz schafft nun Klarheit, indem es die Möglichkeit einer Auslagerung nun insbesondere unter den folgenden Voraussetzungen gestattet:
- Der Dienstleister muss gesetzlich oder aufgrund eines Vertrags mit der auslagernden Luxemburger Gesellschaft zur Vertraulichkeit verpflichtet sein und
- der Kunde, also die Person, zu dessen Gunsten das Bankgeheimnis besteht, muss vorab seine Zustimmung in Bezug auf die Auslagerung, die an den Dienstleister offenzulegenden Informationen und das Land, in dem der Dienstleister ansässig ist, erteilt haben.
Während der erste Gesetzesentwurf noch die ausdrückliche, schriftliche Zustimmung des Kunden erforderte, sieht das Gesetz nunmehr eine gewisse Flexibilität vor. Eine Zustimmung kann demnach auch unter den Bedingungen erfolgen, die zwischen den Parteien vertraglich vereinbart wurden.
Dies bedeutet, dass eine Zustimmung auch implizit unter Berücksichtigung der konkreten Umstände – so etwa möglicherweise auch durch die allgemeinen Geschäftsbedingungen – erfolgen kann. Wie diese Voraussetzung konkret auszulegen ist, wird sich erst noch zeigen. Insoweit wären klarstellende Erläuterungen der Aufsichtsbehörden wünschenswert.
Verhältnis zum Datenschutzrecht
Der Gesetzgeber sah sich im Gegensatz noch zum ersten Gesetzesentwurf schließlich auch dazu veranlasst, im Gesetz klarzustellen, dass die Geheimnisvorschriften keinen Einfluss auf die datenschutzrechtlichen Vorschriften des Gesetzes vom 2. August 2002 zum Schutz personenbezogener Daten bei der Datenverarbeitung haben.
Geheimnisschutz und Datenschutzrecht stehen also nebeneinander, was auch für die ab dem 25. Mai 2018 unmittelbar anwendbare Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG und das diesbezüglich relevante nationale, derzeit aber nur im Entwurf vorliegende Ausführungsgesetz gelten dürfte.
Insoweit ist beispielsweise zu beachten, dass die Voraussetzungen für eine Zustimmung bzw. Einwilligung (im Sinne der datenschutzrechtlichen Terminologie) für eine Weiterleitung von Kundendaten in den beiden Rechtsbereichen nicht deckungsgleich sind. So erfordert eine datenschutzrechtliche Einwilligung – unter anderem – auch eine umfangreiche Aufklärung des Betroffenen über seine Rechte, z.B. Auskunft, Löschung oder Widerspruch. Eine solche Aufklärungspflicht besteht in Bezug auf den Geheimnisschutz nicht. Auch ist die Übermittlung von personenbezogenen Daten ins nicht-EU-/EWR-Ausland im Datenschutzrecht nur unter besonderen Voraussetzungen möglich. Beim Geheimnisschutz hingegen muss sich die Zustimmung des Begünstigten nur allgemein auf das Land, in dem der Dienstleister tätig ist, beziehen.
Fazit
Mit dem Gesetz werden weitgehend klare Regelungen für das Outsourcing und die damit verbundene Weitergabe von Kundendaten geschaffen. Dies bedeutet eine größere Flexibilität und zugleich ein höheres Maß an Rechtssicherheit für die Marktteilnehmer. Die wirtschaftlichen Auswirkungen bleiben aber abzuwarten. Einzig wie eine Zustimmung – wenn nicht explizit – eingeholt werden kann, ist nicht ganz eindeutig und Bedarf gegebenenfalls noch Klärung durch die Aufsichtsbehörden (also CSSF und CAA), denen nach wie vor die Überwachung der vom Luxemburger Geheimnisschutz betroffenen Marktteilnehmer obliegt.
16. April 2018
Schreibe einen Kommentar
Mevlüde-Aysun Tokbag
Mevlüde-Aysun Tokbag ist Partnerin & Rechtsanwältin bei Wildgen S.A. und hat mehr als 10 Jahre Erfahrung im Fonds- sowie Finanzmarktrecht, überwiegend im grenzüberschreitenden Deutsch-Luxemburgischen Rechtsverkehr. Seit 2015 leitet Frau Tokbag auch den kanzleiintern neu gegründeten German Desk und betreut mit ihrem Team, bestehend aus mehreren Rechtsanwälten, vorwiegend deutsche Unternehmen, Versicherungsgesellschaften sowie Kredit- und Finanzdienstleistungsinstitute in ihren luxemburgischen Projekten.
