WM Shareholder Rights Directive Hub

Hinweise zum Datenschutz und zur Verwendung von Cookies

1. Vorbemerkung – Hintergrund

Die EU Shareholder Rights Directive II sowie die korrespondierende Umsetzung in nationales Recht gibt Aktiengesellschaften das Recht, bei Banken und Verwahrstellen Informationen über ihre Aktionäre abzurufen. Die diesem Transfer zugrundeliegenden Gesetze und Verordnungen sehen ausdrücklich vor, dass Aktiengesellschaften sich bei der Anforderung der Daten hierauf spezialisierter Dienstleister bedienen können. Diese Dienstleister sollen sicherstellen, dass der Datentransfer automatisiert, reibungslos und sicher erfolgt.

Die WM Gruppe erbringt seit vielen Jahrzehnten zuverlässig Datenservices für den Finanzmarkt. Mit dem SRD-HUB stellt die WM Gruppe einen weiteren Dienst zur Verfügung, mit dessen Hilfe Aktiengesellschaften ihren gesetzlich verbrieften Auskunftsanspruch effizient in Anspruch nehmen und Banken bzw. Verwahrstellen ihrer Auskunftspflicht entsprechen können.

Um den SRD-HUB nutzen zu können, muss mit der WM Gruppe ein Vertrag geschlossen werden. Die Anbahnung und Durchführung dieses Vertrages ist mit der Verarbeitung personenbezogener Daten verbunden. Diese Datenschutzhinweise erläutern die Details hierzu.

Allgemeine Datenschutzhinweise der WM Gruppe finden Sie hier: https://www.wmgruppe.de/datenschutz

2. Verantwortlicher der Datenverarbeitung

2.1 Verarbeitung von Vertragsdaten

Die Nutzung des SRD-HUBs ist nur registrierten Nutzern möglich. Die Registrierung setzt den Abschluss eines Vertrages mit dem Betreiber des SRD-HUBs voraus. Der Betreiber ist die

Herausgebergemeinschaft WERTPAPIER-MITTEILUNGEN
Keppler, Lehmann GmbH & Co. KG

Düsseldorfer Straße 16
60329 Frankfurt a. M.

Tel. +49-(0)69-27 32-0

www.wmgruppe.de

Vertretungsberechtigt ist die Verlagsbeteiligungs- und Verwaltungsgesellschaft mbH (Anschrift wie oben).

In Kurzform – und hier im Text stets bezeichnet als: WM Gruppe

Die WM Gruppe hat einen Datenschutzbeauftragten bestellt, der über die oben genannte Anschrift oder per E-Mail datenschutz@wmgruppe.de erreichbar ist.

Notfallnummer: Bei wirklich dringenden Datenschutz-Problemen in Bezug auf den SRD-HUB wählen Sie bitte die +49-(0)69-27 32-677 (täglich 24h erreichbar).

2.2 Verarbeitung von Aktionärsdaten

Der SRD-HUB soll auf Anforderung einer Aktiengesellschaft Informationen über ihre Aktionäre bei Banken und Verwahrstellen anfordern und der Aktiengesellschaft zur Verfügung stellen. Dieses Auskunftsrecht der Aktiengesellschaft ist unter anderem im Gesetz zur Umsetzung der zweiten Aktionärsrichtlinie (ARUG II) sowie in einer Durchführungsverordnung der EU (2018/1212) zur Umsetzung der EU-Richtlinie 2007/36/EG begründet. Im Gesetz sind das Auskunftsrecht, die Fristen und vor allem der Umfang der zu überlassenden Daten genau geregelt.

Wird die WM Gruppe beauftragt, Aktionärsdaten für eine Aktiengesellschaft zu beschaffen, tut sie das ausschließlich als Dienstleister und quasi blind – in jedem Fall ohne mit diesen Daten eigene Zwecke zu verfolgen. Damit ist die WM Gruppe als sog. Auftragsverarbeiter im Sinne des Art. 28 DSGVO tätig. Praktisch bedeutet dies, dass von der Datenverarbeitung Betroffene zwar durchaus auch bei der WM-Gruppe Rechte aus der DSGVO geltend machen können, der datenschutzrechtlich Verantwortliche in so einer Konstellation jedoch der Auftraggeber der WM Gruppe, hier also die jeweilige Aktiengesellschaft ist.

Formell fragt die WM Gruppe bei den depotführenden Banken und Verwahrstellen übrigens deshalb auch immer im Namen der anfragenden Aktiengesellschaft an und stellt sich selbst dort stets nur als beauftragter Dienstleister (als Auftragsverarbeiter) vor. Bis zu dem Zeitpunkt, in dem Aktionärsdaten von der Bank oder Verwahrstelle an die WM Gruppe (bzw. formell an die Aktiengesellschaft) ausgehändigt werden, ist die Bank oder Verwahrstelle der datenschutzrechtlich Verantwortliche. Da die Herausgabe der Daten in Form einer Kopie erfolgt, bleiben die Banken und Verwahrstellen selbstverständlich weiterhin Verantwortlicher im Sinne der DSGVO. Für die Kopie entsteht im Moment der Übergabe eine Verantwortung für die Aktiengesellschaft.

Wir erläutern diese Hintergründe, um möglichst einen guten Überblick zur Datenverarbeitung als Ganzes zu zeichnen. Zuständig für die Datenschutzinformationen der Aktionärsdaten sind jedoch die jeweils datenschutzrechtlich Verantwortlichen. Folglich beziehen sich die im Folgenden dargestellten Details nur auf die Daten, für die die WM Gruppe Verantwortlicher im Sinne der DSGVO ist. Noch eine Einschränkung: Wir beschreiben nur Verarbeitungstätigkeiten, die unmittelbar mit dem SRD-HUB zu tun haben. Allgemeine, ansonsten die WM Gruppe betreffende Datenverarbeitungen werden hier[1] erläutert.

3. Weitere Informationen zu den verarbeiteten Daten

3.1 Allgemeines

Die Nutzung des SRD-HUBs ist nur nach einer Registrierung einschließlich dem Abschluss eines Vertrages möglich. Dies gilt gleichermaßen für Aktiengesellschaften (können Daten anfordern) wie für Banken / Verwahrstellen (müssen Daten bereitstellen) und deren Dienstleister.

Unsere Vertragspartner sind regelmäßig juristische Personen (Unternehmen), die als solche von der DSGVO gar nicht als „Betroffene“ erfasst werden. Unternehmen können mit uns jedoch nur verbindlich durch sog. natürliche Personen handeln (vertretungsberechtigte Personen). Bei der Vorbereitung und beim Vertragsabschluss (auch bei der Kündigung) sind also zwangsläufig personenbezogene Daten im Spiel. Auch bei der Vertragsdurchführung kommunizieren natürlich Menschen miteinander, obwohl der SRD-HUB auf einen vollautomatischen Betrieb ausgerichtet ist. Irgendwann gibt es doch etwas abzustimmen oder zu klären, sodass Menschen E-Mails austauschen oder sich anrufen. Hier kommt es dann zur Verarbeitung von personenbezogenen Daten im Sinne der DSGVO.

Die DSGVO fordert, dass für jede Verarbeitungstätigkeit in den Datenschutzhinweisen angegeben wird, auf welcher Rechtsgrundlage sie erfolgt. Diese Information ist für die Betroffenen durchaus von Interesse, weil sich in Abhängigkeit von der Rechtsgrundlage unterschiedliche Rechte ergeben (mehr dazu im Abschnitt Rechte). Einen Katalog dieser Rechtsgrundlagen liefert Art. 6, Abs. 1. Wir nennen die Rechtsgrundlagen im Folgenden nur bei ihrer umgangssprachlichen Bezeichnung (kursiv dargestellt), über die jedoch bei Bedarf eine genaue Zuordnung in der DSGVO möglich ist.

3.2 Vertragsdaten

Im Zusammenhang mit dem Vertragsabschluss, mit der Vertragsdurchführung oder der Kündigung von Verträgen verarbeiten wir die erforderlichen Stamm- bzw. Kontaktdaten der Vertretungsberechtigten und / oder anderer für das Unternehmen uns gegenüber tätigen Personen. Sofern diese Daten zum erforderlichen Vertragsbestandteil werden, gilt hier aus naheliegenden Gründen als Rechtsgrundlage der Vertrag.

3.3 Sonstige Kontaktdaten

Vielfach werden über die zwingend aus dem Vertrag erforderlichen Kontaktdaten hinaus noch die Daten weitere Personen notiert, um sie zu bestimmten Anliegen aus der Geschäftsbeziehung heraus direkt ansprechen zu können. Insbesondere bei komplexeren Sachverhalten machen wir uns gelegentlich auch Notizen aus den Gesprächen, um bei Folgegesprächen nicht immer wieder mit denselben Fragen anfangen zu müssen. Diese Form der Datenverarbeitung erfolgt, weil wir ein Interesse an einer effizienten und kundenfreundlichen Zusammenarbeit haben und erwarten, dass die Betroffenen diese Sichtweise teilen, also keine Einwände haben. Bei der Verarbeitung der Daten beschränken wir uns natürlich auf das geschäftlich Notwendige und geben die Informationen grundsätzlich nicht ohne Rechtsgrundlage an Dritte weiter. Die hier beschriebenen Rahmenbedingungen erlauben, diese Datenverarbeitung auf das sog. berechtigte Interesse abzustellen (Interessenabwägung).

Gleiches gilt im Übrigen auch für Daten von Betroffenen, die noch kein Kunde für den SRD-HUB sind, dies aber in Erwägung ziehen (Interessenten).

3.4 Abrechnungen

Die Nutzung des SRD-HUB ist nicht kostenlos. Sofern die Entgelte nutzungsabhängig erhoben werden, müssen wir Daten über die Nutzung erheben. Hierbei wird protokolliert, welche UserID wann welche Transaktionen durchgeführt hat. Wir möchten korrekte Rechnungen erstellen und im Fall des Falles auch nachweisen können, dass eine Nutzung tatsächlich stattgefunden hat. Diese Datenverarbeitung ergibt sich nicht in jedem Detail zwingend bzw. wörtlich aus dem Vertrag. Wir gehen jedoch davon aus, dass eine korrekte und nachvollziehbare Abrechnung nicht nur unser legitimes Interesse ist, sodass wir auch diese Verarbeitung mit einer Interessenabwägung begründen.

3.5 Technische Prozesse, Protokolldaten

3.5.1 Aufruf der Webseite des SRD-HUB

Jeder Aufruf einer Webseite ist mit der Verarbeitung von personenbezogenen oder personenbeziehbaren Daten verbunden. Damit die Webseite überhaupt übertragen und in der vorgesehenen Form auf einem Endgerät dargestellt werden kann, übermittelt der Internet-Browser folgende Daten an den Web-Server:

  • die aktuelle IP-Adresse des von Ihnen genutzten Internetanschlusses;
  • falls Sie die Webseite über einen Link besuchen, die Seite, von der aus Sie die Seite des SRD-HUB besuchen;
  • Datum und Uhrzeit Ihres Besuches;
  • das von Ihnen verwendete Betriebssystem, den Browsertypen (z.B. Chrome, Firefox, etc.) und die Browserversion;
  • sowie weitere zur Darstellung erforderliche technische Details wie z.B. die Bildschirmauflösung.

Technisch betrachtet könnten Daten nach dem Aufbau der Seite verworfen / gelöscht werden. Wir speichern diese Daten trotzdem noch für bis zu 7 Tage, um eventuelle Fehler nachvollziehen zu können oder illegitime Angriffe auf die Webseite besser abwehren zu können. Diese illegitimen Angriffe gefährden auch Ihre Sicherheit beim Besuch unserer Webseite, sodass Schutzmaßnahmen auch in Ihrem Interesse sind.

Die Verarbeitung der technischen Daten / Protokolldaten erfolgt insgesamt auf Basis einer Interessenabwägung.

Eine darüberhinausgehende Verwendung der Daten insbesondere für Werbezwecke oder Profilbildung findet übrigens nicht statt.

3.5.2 Absicherung des SRD-HUB

Die durch den SRD-HUB im Auftrag verarbeiteten Aktionärsdaten haben einen hohen Schutzbedarf, sodass wir die Verarbeitungsprozesse umfassend absichern; das sind wir den Betroffenen und unseren Kunden schuldig. Teil der Absicherung ist auch die Identifikation von Anomalitäten im System und die Nachvollziehbarkeit von Transaktionen. Hierzu werden ab dem Registriervorgang und anschließend nach jeder Anmeldung nutzerabhängige Protokolldaten erstellt, die folgende Daten umfassen:

  • User ID
  • Datum und Uhrzeit
  • Art der Transaktion
  • IP-Adresse

Außer der proaktiven Absicherung werden diese Daten auch verwendet, um Unstimmigkeiten über die Nutzung des SRD-HUBs aufzuklären. In diesem Zusammenhang kann es erforderlich sein, dass wir die Daten einer UserID dem zugehörigen Kunden offenlegen, sodass im Kundenunternehmen dann andere als der hinter der UserID tätige Mitarbeitende Informationen über die Aktivitäten im SRD-HUB erfahren könnten. Auf die Prozesse in unseren Kundenunternehmen haben wir keinen Einfluss.

Sofern sich diese Datenverarbeitung nicht bereits explizit aus unseren Verträgen mit unseren Kunden ergibt, führen wir diese Verarbeitung auf Basis einer sorgfältigen Interessenabwägung durch.

3.6 Verwendung von Cookies

Wir verwenden sog. technische Session-Cookies ausschließlich zum Erhalt der Funktionsfähigkeit unserer Webseite. Im Gegensatz zu Werbe- oder sog. Tracking-Cookies werden unsere Cookies automatisch gelöscht, wenn Sie unsere Webseite verlassen, spätestens beim Schließen des Internet-Browsers.

Cookies sind kleine Text-Pakete, die von einer Webseite an den Internet-Browser geschickt werden können und von diesem gespeichert und wieder zurückgeschickt werden. Diese Technik erlaubt z.B. das Blättern zwischen Internet-Seiten, ohne dass einmal eingegebene Daten erneut erfasst werden müssten. Würden die Cookies nicht wie bei uns nach der Nutzung automatisch gelöscht, könnten sie auch zur Reichweitenmessung oder Nachverfolgung genutzt werden (Werbe- und sog. Tracking-Cookies).

Werbe- oder Tracking-Cookies dürfen nur verwendet werden, wenn der Nutzer ausdrücklich seine Einwilligung hierzu erteilt. Die von uns verwendeten technischen Cookies müssen nicht über eine Einwilligung legitimiert werden; sie dürfen auf Basis einer Interessenabwägung verwendet werden.

3.7 Sonstige Verarbeitungen

Der guten Ordnung halber müssen wir ergänzen, dass wir in theoretisch denkbaren Fällen auch Daten etwa aufgrund eines gerichtlichen Beschlusses verarbeiten müssen (u.a. Übergabe von Nutzerdaten an staatliche Stellen). Hier greift dann die Rechtsgrundlage der rechtlichen Verpflichtung. Im Rahmen von zivilrechtlichen Streitigkeiten nutzen wir Daten im Interesse einer effizienten Klärung bestrittener Sachverhalte (berechtigtes Interesse).

4 Löschung, nachlaufende Verarbeitung

4.1 Auftragsverarbeitung

Die uns anvertrauten personenbezogenen Daten aus der Auftragsverarbeitung werden stets nach Weisung des Auftraggebers unverzüglich und vollständig gelöscht.

4.2 Aufbewahrungspflicht aus Handels- und Steuerrecht

Bei allen Daten, die in unserer Verantwortung verarbeitet werden, müssen wir die Löschung jeweils selbst anstoßen. Auch wir folgen hier den Forderungen der DSGVO, die eine Löschung nach Erreichung des Zwecks der Verarbeitung vorschreibt – außer es schließt sich ein weiterer Zweck an, der eine Verarbeitung erforderlich macht bzw. legitimiert. Dies ist vor allem bei kaufmännischen Daten der Fall. Hier fordern Handels- und Steuergesetze eine Aufbewahrung der Daten im Rahmen der gesetzlich festgelegten Fristen. Dieser rechtlichen Verpflichtung folgen wir selbstverständlich, nutzen die Daten jedoch in Konsequenz nur noch genau zu diesem Zweck (insb. Offenlegung bei einer Steuerprüfung).

Nutzungsdaten, die z.B. für die Erstellung einer Rechnung notwendig waren, könnten spätestens nach der Akzeptanz und der Bezahlung der Rechnung durch den Kunden gelöscht werden, wenn aufgrund der Steuergesetze keine Aufbewahrung zwingend vorgeschrieben wäre. Hier schließt sich an den ursprünglichen Zweck also eine nachlaufende Verarbeitung an.

4.3 Sales und Kundenservice

Daten, die wir zur Unterstützung der Kommunikation mit unseren Interessenten oder Kunden verarbeitet haben, löschen wir regelmäßig spätestens nach 36 Monaten (Start nach Ende des Kalenderjahres) sobald sich uns ein Vorgang als erledigt darstellt (Interessent hat sich gegen uns entschieden; Ansprechpartner bei einem Kunden wird durch einen Kollegen ersetzt; Daten von Ansprechpartnern eines Kunden, dessen Vertrag erfüllt und damit beendet wird). Eine sofortige Löschung halten wir nicht für zweckdienlich, weil häufig auch im Nachgang doch noch Kommunikation stattfindet, obwohl z.B. ein Vertrag bereits beendet wurde. Diese nachlaufende Verarbeitung erfolgt auf Basis einer Interessenabwägung.

4.4 Technische Daten und Protokolldaten

Für die Aufbewahrung von technischen Daten aus dem Betrieb von Serversystemen gibt es für öffentliche Stellen präzise Vorgaben aus dem Bundesdatenschutzgesetz von 2018. Im § 76 wird nicht nur ein Recht zur Speicherung, sondern eine dedizierte Pflicht definiert. Für privatwirtschaftlich organisierte Unternehmen fehlt es an solchen Vorgaben. Hier muss man unter Berücksichtigung der Umstände des Einzelfalls eigenverantwortlich eine Lösung finden. Wir halten es für legitim, wenn wir uns an den Vorgaben für öffentliche Stellen orientieren und Protokolldaten für jeweils 12 Monate vorhalten und erst anschließend löschen. Diese Frist korrespondiert mit den in unseren Verträgen für den SRD-HUB individuell definierten Verjährungsfristen zu diesem Themenkomplex.

Diese Regelung gilt für alle Protokolldaten innerhalb des SRD-HUB, also für alles, was im nicht öffentlich zugänglichen Bereich protokolliert wird. Die Lebensdauer der Protokolldaten vor der Anmeldung hatten wir bereits im Vorfeld erläutert (nur bis zu 7 Tage).

5. Pflicht zur Datenbereitstellung

Die DSGVO fordert, dass wir auch erläutern, ob es eine Pflicht zur Bereitstellung der Daten gibt.

Wir verarbeiten nur Daten, die zur jeweiligen Zweckerfüllung erforderlich sind. Fehlt es an den Daten, kann also der Zweck nicht erfüllt werden (insb. Vertragsabschluss zur Nutzung des SRD-HUB, Kommunikation etc.).

6. Weitergabe an Dritte

Die Aktionärsdaten werden erhoben und verarbeitet, um Sie an den Auftraggeber zu übergeben. Da wir hier quasi im Namen des Auftraggebers tätig sind, erfolgt keine Weitergabe an ‚Dritte‘ im engeren Sinne. Tatsächlich erhält ja derjenige, dem die Daten zustehen, seine eigenen Daten.

Auch wir bedienen uns bei der Verarbeitung der Daten sogenannter Auftragsverarbeiter. Dies tun wir vor allem auch im Interesse des Datenschutzes und der Datensicherheit, indem wir für die einzelnen Gewerke jeweils ausgewiesene Spezialisten einbinden. Als Auftragsverarbeiter sind diese Spezialisten bezüglich der Datenverarbeitung vollständig weisungsgebunden und natürlich auch den Vorschriften der DSGVO unterworfen. Alle für den Betrieb des SRD-HUB eingebunden Dienstleister sind für uns ausschließlich in Deutschland tätig.

7. Ihre Rechte

Die DSGVO räumt jedem Betroffenen verschiedene Rechte ein (insb. in Art. 15 bis 18 [Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung] sowie in Art. 20 und 21 [Datenübertragbarkeit, Widerspruch]). Anstelle einer ausführlichen inhaltlichen Wiederholung dessen, was bereits im Gesetz steht, wollen wir hier vor allem auf den Widerspruch ausführlicher eingehen.

Bei allen Verarbeitungstätigkeiten, die formell auf dem berichtigten Interesse beruhen, haben wir bereits sorgfältig eine Interessenabwägung vorgenommen. Hier hatten wir also überlegt, ob die Verarbeitung tatsächlich legitim ist und eben nicht die Rechte der Betroffenen verletzt. Es kann jedoch immer zu Situationen kommen, in denen Sie in Ihrem persönlichen Einzelfall dennoch berechtigte Einwände gegen die Verarbeitung haben.

Die DSGVO gibt Ihnen deshalb ein Widerspruchsrecht bei allen Verarbeitungen, die wir auf Basis einer Interessenabwägung durchführen. Wenden Sie sich bitte in diesem Fall an die oben genannten Kontaktdaten und erläutern Sie, warum Sie widersprechen, damit wir den Vorgang nachvollziehen und bewerten können – und vor allem den von Ihnen vorgebrachten Einwand auflösen können.

Sollte sich der Widerspruch auf eine durch uns vorgenommene Direktwerbung beziehen, müssen Sie übrigens keine Gründe nennen; das Vorgehen würde in jedem Fall sofort und ohne weitere Prüfung eingestellt. Ihre Daten würden nicht mehr für diesen Zweck verwendet.

Ansonsten bieten wir gerne an, Ihre Fragen zum Datenschutz individuell zu klären. Wenden Sie sich hierzu bitte an die oben genannten Kontaktdaten; dies gilt natürlich auch, wenn Sie von den verbrieften Rechten formell Gebrauch machen wollen.

Wir nehmen Datenschutz sehr ernst und sind sicher, auf alle Fragen eine punktgenaue Antwort geben zu können. Sollte Ihnen die Verarbeitung Ihrer Daten im Kontext des SRD-HUB nicht behagen, wollen wir gerne eine beidseitig interessewahrende Lösung finden.

Sollte all dies Sie nicht zufriedenstellen, haben Sie zudem jederzeit das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Die für uns direkt zuständige Aufsicht ist

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit; Postfach 3163; 65021 Wiesbaden; Telefon: +49-(0)611-1408-0.

8. Aktualisierung

Änderungen in der Funktionsweise unserer Webseite und oder des SRD-HUBs machen ggf. Anpassungen dieser Datenschutzhinweise erforderlich.

Diese Datenschutzhinweise wurden zuletzt am 20.08.2020 inhaltlich bearbeitet.

[1] https://www.wmgruppe.de/datenschutz