Article Post on 10 April 2018

Änderung des Bank- und Versicherungsgeheimnisses in Luxemburg

_In Luxemburg ist vor kurzem das Gesetz vom 27. Februar 2018 zur Umsetzung der Verordnung (EU) 2015/751 des Europäischen Parlaments und des Rates vom 29. April 2015 über Interbankenentgelte für kartengebundene Zahlungsvorgänge (das „Gesetz“) in Kraft getreten. Mit diesem Gesetz werden diverse Vorschriften, die den Finanz- und Versicherungssektor regulieren, abgeändert. Dabei wird auch das Bank- und Versicherungsgeheimnis insoweit abgeschwächt, als eine Weitergabe von Kundendaten im Rahmen eines Outsourcings erleichtert wird.

 

Ausgangslage

Das Bankgeheimnis ist in Luxemburg im Gesetz vom 5. April 1993 über den Finanzsektor, wie abgeändert, geregelt. Das zum Bankgeheimnis äquivalente Versicherungsgeheimnis ist im Gesetz vom 7. Dezember 2015 über den Versicherungssektor, wie abgeändert, normiert. Entsprechende Vorschriften existieren auch nach dem Gesetz vom 10. November 2009 über Zahlungsdienste. Ergänzend bestehen auch strafrechtliche Vorschriften im Strafgesetzbuch (Code Pénal).

Die Geheimnisvorschriften gelten in Luxemburg nach diesen Vorschriften insbesondere für Kreditinstitute, Gewerbetreibende des Finanzsektors (professionnels du secteur financier), Versicherungen, Gewerbetreibende des Versicherungssektors (professionnels du secteur assurance), Zahlungsinstitute und E-Geld-Institute.

Bislang waren das Outsourcing, insbesondere das IT-Outsourcing, und die damit verbundene Weitergabe von vertraulichen Informationen nur unter sehr strengen Voraussetzungen möglich. So galt im Wesentlichen nur die Ausnahme, dass ohne Verstoß gegen den Geheimnisschutz vertrauliche Daten an andere Personen, die denselben Geheimnisvorschriften unterliegen auf der Grundlage eines Dienstleistungsvertrags weitergegeben werden dürfen. Darüber hinaus hatte die Luxemburger Aufsichtsbehörde des Finanzsektors (Commission de Surveillance du Secteur Financier, „CSSF“) unter anderem in dem Rundschreiben 12/552 die Voraussetzungen für ein Outsourcing für Tätigkeiten im Finanzsektor und die damit verbundene Weitergabe von vertraulichen Informationen weiter präzisiert.

Während in dem ersten Gesetzesentwurf für das Gesetz (siehe hierzu unser Artikel „Gesetzesentwurf zur Abänderung des Bankgeheimnisses) zunächst noch eine Unterscheidung zwischen der Auslagerung an Gruppengesellschaften (die entsprechend im Gesetzesentwurf niedergelegten Voraussetzungen wurden als unklar und nicht nachvollziehbar kritisiert) und gruppenexterne Dienstleister gemacht wurde, besteht eine solche mit dem Gesetz nun nicht mehr.

Eine Auslagerung und die Weitergabe von Kundendaten sind nach dem Gesetz grundsätzlich zulässig – die Regelungen für den Finanz- und Versicherungssektor sowie den Bereich der Zahlungsdienste werden insoweit entsprechend abgeändert (der erste Gesetzesentwurf bezog sich nur auf den Finanzsektor):

  • wenn diese an in Luxemburg ansässige, regulierte Unternehmen erfolgt oder
  • wenn eine vorherige Zustimmung des Kunden vorliegt (Zustimmung per se oder per Vertrag).

 

Auslagerung an in Luxemburg ansässige, regulierte Unternehmen

Nach dem Gesetz darf nunmehr eine Auslagerung und damit eine Offenlegung von vertraulichen Informationen aufgrund eines Dienstleistungsvertrages erfolgen, soweit:

  • es sich bei dem Dienstleister um ein in Luxemburg ansässiges Unternehmen handelt,
  • das von der CSSF, der Europäischen Zentralbank oder der Luxemburger Versicherungsaufsichtsbehörde (Commissariat aux Assurances, CAA“) überwacht wird und
  • dessen Pflicht zur Geheimhaltung strafrechtlich bewehrt ist.

Dies bedeutet eine erhebliche Ausweitung des potentiellen Empfängerkreises im Vergleich zu der bisher geltenden Rechtslage, nach der eine Weitergabe nur an bestimmte von dem jeweiligen Geheimnisschutz betroffenen Personen vorsah.

 

Auslagerung mit Zustimmung des Kunden

Eine Auslagerung und die damit verbundene Weitergabe von vertraulichen Informationen war bislang – gruppenintern sowie an Dritte – nur zumindest für den Finanzsektor auf der Basis der im CSSF Rundschreiben 12/552 aufgeführten Voraussetzungen möglich, was insbesondere eine ausdrückliche Zustimmung des Kunden erforderte. Eine gesetzliche Regelung fehlte aber insoweit bislang, was zu einer gewissen Rechtsunsicherheit geführt hatte.

Das Gesetz schafft nun Klarheit, indem es die Möglichkeit einer Auslagerung nun insbesondere unter den folgenden Voraussetzungen gestattet:

  • der Dienstleister muss gesetzlich oder aufgrund eines Vertrags mit der auslagernden Luxemburger Gesellschaft zur Vertraulichkeit verpflichtet sein und
  • der Kunde, also die Person zu dessen Gunsten das Bankgeheimnis besteht, muss vorab seine Zustimmung in Bezug auf die Auslagerung, die an den Dienstleister offenzulegenden Informationen und das Land, in dem der Dienstleister ansässig ist, erteilt haben.

Während der erste Gesetzesentwurf noch die ausdrückliche, schriftliche Zustimmung des Kunden erforderte, sieht das Gesetz nunmehr eine gewisse Flexibilität vor. Eine Zustimmung kann demnach auch unter den Bedingungen erfolgen, die zwischen den Parteien vertraglich vereinbart wurden.

Dies bedeutet, dass eine Zustimmung auch implizit unter Berücksichtigung der konkreten Umstände – so etwa möglicherweise auch durch die allgemeinen Geschäftsbedingungen – erfolgen kann. Wie diese Voraussetzung konkret auszulegen ist, wird sich erst noch zeigen. Insoweit wären klarstellende Erläuterungen der Aufsichtsbehörden wünschenswert.

 

Verhältnis zum Datenschutzrecht

Der Gesetzgeber sah sich schließlich auch dazu veranlasst, im Gesetz (im Gegensatz noch zum ersten Gesetzesentwurf) klarzustellen, dass die Geheimnisvorschriften keinen Einfluss auf die datenschutzrechtlichen Vorschriften des Gesetzes vom 2. August 2002 zum Schutz personenbezogener Daten bei der Datenverarbeitung haben.

Geheimnisschutz und Datenschutzrecht stehen also nebeneinander, was auch für die ab dem 25. Mai 2018 unmittelbar anwendbare Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG und das diesbezüglich relevante nationale, derzeit aber nur im Entwurf vorliegende Ausführungsgesetz gelten dürfte.

Insoweit ist beispielsweise zu beachten, dass die Voraussetzungen für eine Zustimmung bzw. Einwilligung (im Sinne der datenschutzrechtlichen Terminologie) für eine Weiterleitung von Kundendaten in den beiden Rechtsbereichen nicht deckungsgleich sind.

So erfordert eine datenschutzrechtliche Einwilligung – unter anderem – auch eine umfangreiche Aufklärung des Betroffenen über seine Rechte (Auskunft, Löschung, Widerspruch etc.). Eine solche Aufklärungspflicht besteht in Bezug auf den Geheimnisschutz nicht. Auch ist die Übermittlung von personenbezogenen Daten ins nicht EU-/EWR-Ausland im Datenschutzrecht nur unter besonderen Voraussetzungen möglich. Beim Geheimnisschutz hingegen muss sich die Zustimmung des Begünstigten nur allgemein auf das Land, in dem der Dienstleister tätig ist, beziehen.

 

Fazit

Mit dem Gesetz werden weitgehend klare Regelungen für das Outsourcing und die damit verbundene Weitergabe von Kundendaten geschaffen. Dies bedeutet eine größere Flexibilität und zugleich ein höheres Maß an Rechtssicherheit für die Marktteilnehmer. Die wirtschaftlichen Auswirkungen bleiben aber abzuwarten. Einzig wie eine Zustimmung – wenn nicht explizit – eingeholt werden kann, ist nicht ganz eindeutig und Bedarf gegebenenfalls noch Klärung durch die Aufsichtsbehörden (also CSSF und CAA), denen – nach wie vor – die Überwachung der vom Luxemburger Geheimnisschutz betroffenen Marktteilnehmer obliegt.

 

This article has been previously released in FondsTrends - Die Zukunft ds Fondsgeschäftes (Hauck & Aufhäuser Investment Gesellschaft S.A. (HAIG)).

Share this content