Buchstaben formen DSGVO im Fokus, im Hintergrund steht der Schriftzug Datenschutz
© Sonja Birkelbach | stock.adobe.com
Finanzdienstleister, Fachverband

Gewerbliche Vermögensberater: Auftragsverarbeiter oder Verantwortlicher nach DSGVO?

Analyse des Fachverbands Finanzdienstleister

Lesedauer: 4 Minuten

1. Ausgangslage

Kundendaten werden sowohl von Vermittlern als auch vom Haftungsdach verarbeitet. Ist der Vermittler hier als Auftragsverarbeiter zu beurteilen?

Grundsätzlich ist jeder Fall einzeln zu betrachten. Der Fachverband Finanzdienstleister ist jedoch der Ansicht, dass Gewerbliche Vermögensberater datenschutzrechtlich als Verantwortliche der Daten ihrer eigenen Kunden gelten. Für die Weiterleitung der Daten an ein Haftungsdach oder ein Kreditinstitut wird daher in der Regel kein Auftragsverarbeitungsvertrag benötigt.

Die Rechtsgrundlage der Verarbeitung bzw. Weiterleitung der Kundendaten wird regelmäßig eine andere sein – in den meisten Fällen der Vertrag (des vermittelten Produkts), zu dessen Abwicklung die Daten nötig sind. In Einzelfällen kann eine datenschutzrechtliche Einwilligung des Kunden zur Verarbeitung und Weitergabe der Daten erforderlich sein, z.B. wenn es sich um besondere, personenbezogene Daten (wie etwa Gesundheitsdaten) handelt.

2. Auftragsverarbeiter oder Verantwortlicher: 5 Fragen

Bei der Beurteilung, ob Daten als Verantwortlicher oder Auftragsverarbeiter verarbeitet werden, müssen Sie für sich diese fünf Fragen beantworten:

  1. Was ist Ihre Kerntätigkeit und ist die Verarbeitung der Daten hierfür erforderlich?
  2. Wer hat die Entscheidungsbefugnis über die Datenverarbeitung (über Mittel und Zwecke)?
  3. Woher stammen die Daten?
  4. Haben Sie direkten Kundenkontakt oder treten Sie im Namen eines anderen auf?
  5. Können Sie die Daten jederzeit löschen?

3. … als Gewerblicher Vermögensberater

Die Kerntätigkeit der Gewerblicher Vermögensberatung ist die Beratung in finanziellen Angelegenheiten und die Vermittlung von unterschiedlichen Finanzprodukten wie Krediten, Versicherungen und Veranlagungen. Dafür ist es notwendig, neben den Stammdaten der Kunden auch noch genauere Informationen zur Vermögenssituation zu verarbeiten. Ohne die Abfrage und Archivierung der Vermögensumstände, des Einkommens, etc. ist die Beratung nicht möglich. Das alles spricht dafür, dass die Daten in Eigenverantwortung – also als Verantwortlicher – verarbeitet werden.

Die Entscheidungsbefugnis über die Datenverarbeitung wird regelmäßig beim Berater selbst liegen. Die Daten stammen direkt vom eigenen Kunden und durch direkten Kundenkontakt. Während aufrechter Vertragsbeziehung könnten die zur Vertragserfüllung notwendigen personenbezogenen Daten nicht ohne weiteres gelöscht werden.

Darüber hinaus müssen gesetzliche Aufbewahrungsfristen (z.B. aufgrund der Bundesabgabenordnung, Geldwäschebestimmungen, etc.) eingehalten werden und muss auf gesetzliche Verjährungsfristen (z.B. Schadenersatz) Bedacht genommen werden, was bedeutet, dass die aufzubewahrenden Daten auch auf Kundenwunsch hin nicht gelöscht werden können.

4. … als Wertpapiervermittler oder vertraglich gebundener Vermittler - Erfüllungsgehilfen

Bei der Vermittlung von Finanzinstrumenten treten Wertpapiervermittler (WPV) und Vertragliche gebundene Vermittler (VgV) als Erfüllungsgehilfen ihrer jeweiligen Haftungsdächer auf.

Kann man daraus schließen, dass auch die Verarbeitung der Kundendaten im Auftrag des Haftungsdaches geschieht?

Beim VgV kann das nach Ansicht des Fachverbands eher ausgeschlossen werden, da alle VgV Gewerbliche Vermögensberater sind und regelmäßig auch andere Tätigkeiten verrichten. Beim selben Kunden kann der Gewerbliche Vermögensberater Finanzinstrumente über den Rechtsträger vermitteln, vielleicht auch einen Kredit und seine Pensionsvorsorge. Die Kundendaten müssen für alle Tätigkeitsbereiche verarbeitet werden und der VgV wird regelmäßig schon deshalb als Verantwortlicher der Daten zu sehen sein. Darüber hinaus können die Daten aus den bereits genannten Gründen nicht jederzeit gelöscht werden.

Wie ist das zu beurteilen, wenn nur das Gewerbe Wertpapiervermittler ausgeübt wird?

Die Wertpapiervermittlertätigkeit wird zur Gänze als Erfüllungsgehilfe unter einem Haftungsdach durchgeführt. Allerdings kann der Wertpapiervermittler bis zu drei Vertretungsverhältnisse mit unterschiedlichen Rechtsträgern haben. Die Entscheidung, welcher Kunde zu welchem Haftungsdach gehört, liegt nicht beim Rechtsträger. Außerdem gelten auch hier dieselben Grundsätze bezüglich der Löschung der Daten. Auch der Wertpapiervermittler hat gewisse Aufbewahrungspflichten, die eingehalten werden müssen. Daher wird auch der Wertpapiervermittler als Verantwortlicher seiner Kundendaten zu sehen sein.

5. … als Bausparvermittler

Beim Bausparvermittler, der gleichzeitig Gewerblicher Vermögensberater ist, ist die Konstellation parallel zur Situation beim VgV bzw. WPV: der Vermittler ist aus den bereits oben genannten Gründen Verantwortlicher der Daten.

Wenn Bausparvermittlung als alleiniges Gewerbe ausgeübt wird, kann trotzdem an mehrere Bausparkassen vermittelt werden. Außerdem werden auch hier Aufbewahrungspflichten vom Vermittler einzuhalten sein (beispielsweise aufgrund der Bundesabgabenordnung). Dies spricht für eine eigenverantwortliche Datenverarbeitung. Üblicherweise wird auch der (Erst-)Kontakt des Kunden vom Bausparvermittler an die Bausparkasse geliefert, was wiederrum für den Status als Verantwortlicher spricht.

6. Konsequenzen als Verantwortlicher

Der Verantwortliche ist für den gesamten Datenverarbeitungsvorgang verantwortlich und muss auch den Nachweis erbringen können, dass er sämtliche datenschutzrechtlichen Pflichten erfüllt. Er fungiert als erster Ansprechpartner für betroffene Personen (Informationspflichten, Auskunftsanfragen, Löschungsanfragen, etc.) und Behörden (Haftung). Er muss insbesondere geeignete technische und organisatorische Maßnahmen (TOM) zur rechtmäßigen Datenverarbeitung sicherstellen und ein Verzeichnis aller Datenverarbeitungstätigkeiten führen.

7. Konsequenzen als Auftragsverarbeiter

Werden die Daten als Auftragsverarbeiter verarbeitet, so ist der Auftragsverarbeiter als "verlängerter Arm" des Verantwortlichen zu sehen. Die Rechtsgrundlage der Datenverarbeitung ist der jeweilige Auftragsverarbeitungsvertrag und die Daten werden auf Weisung des Verantwortlichen verarbeitet. Das hat unter anderem die Konsequenz, dass die TOM des jeweiligen Verantwortlichen sicherzustellen und dass die Daten auf Weisung des Verantwortlichen zu verarbeiten – daher auch zu löschen – sind. Dies wird in der Regel auch vom Verantwortlichen kontrolliert. 

8. Weiterführende Informationen

Muster für Verarbeitungsverzeichnisse finden Sie online in der Wissensdatenbank des Fachverbands Finanzdienstleister unter dem Stichwort "Datenschutz".


Abschließend ist wichtig zu betonen, dass diese Überlegungen Sie bei der Beurteilung unterstützen können, jedoch immer der Einzelfall gesondert betrachtet und geprüft werden muss. Bislang gibt es noch keine Entscheidung der Datenschutzbehörde in dieser Angelegenheit seit Geltung der DSGVO. Im Zweifel wenden Sie sich an einen Rechtsanwalt Ihres Vertrauens.


Stand: 12.02.2024