Читать книгу Festschrift für Jürgen Taeger - Группа авторов - Страница 142

Auch für die Datenverarbeitung nach § 83 WpHG bzw. der MiFID II gelten die Anforderungen des Art. 32 DSGVO an die Sicherheit der Verarbeitung. Danach sind geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DSGVO). Insbesondere sind dabei die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind. Das bezieht sich vor allem auf die Vernichtung, den Verlust, die Veränderung oder unbefugte Offenlegung von personenbezogenen Daten bzw. den unbefugten Zugang zu diesen (Art. 32 Abs. 2 DSGVO).

Allerdings enthält die MiFID II bestimmte bereichsspezifische Vorschriften in den §§ 80 und 83 WpHG. § 83 Abs. 9 WpHG schreibt vor, dass die nach § 83 WpHG erfolgten Aufzeichnungen gegen nachträgliche Verfälschung und gegen unbefugte Verwendung zu sichern sind. Nach der Organisationsregelung des § 80 Abs. 1 Satz 2 Nr. 4 WpHG hat das Wertpapierdienstleistungsunternehmen zu gewährleisten, dass es über entsprechende „solide Sicherheitsmechanismen“ insbesondere bzgl. der Vertraulichkeit der Daten verfügt. Auch etwa in Art. 21 Abs. 2f. DelVO 2017/565 sind Anforderungen im Hinblick auf Systeme und Verfahren enthalten, welche die Sicherheit, Integrität und Vertraulichkeit der Informationen gewährleisten sollen.

Diesbezüglich wird im Schrifttum eine Normkollision gesehen, deren Auflösung noch nicht durch Behörden und Rechtsprechung geklärt sei.80 Allerdings wird nicht näher ausgeführt, worin diese Kollision konkret bestehen soll. Ob sich die Anforderungen aus Art. 16 Abs. 5 MiFID II mit denen nach Art. 32 DSGVO decken oder nicht, ist jedoch unerheblich.81 Schließlich haben die Wertpapierdienstleistungsunternehmen die Vorgaben beider Bereiche zu erfüllen.

Eine Relevanz von Abweichungen ergäbe sich lediglich dann, wenn divergierende Anforderungen gestellt würden. Diese würden dazu führen, dass das Wertpapierdienstleistungsunternehmen in jedem Fall eine bußgeldbewehrte Handlung begeht, weil es dann bei seinem Handeln zwingend entweder gegen eine MiFID- bzw. WpHG- oder eine DSGVO-Vorgabe verstößt.