Wenn Aktiengesellschaften direkt mit ihren Aktionären kommunizieren wollen, war das aufgrund von Zwischenhändlern bzw. Investmentplattformen oft ein Problem. Mit der Umsetzung der zweiten Aktionärsrichtlinie (ARUG II) im Aktiengesetz (AktG) wurde dies in Deutschland nun maßgeblich vereinfacht. Wir zeigen Ihnen auf, welche Daten Sie wie erheben, nutzen und speichern dürfen.
Ziel der Richtlinie ARUG II
Die ARUG II Richtlinie (Richtlinie (EU) 2017/828) löst die frühere Richtlinie 2007/36/EG ab, um die langfristige Mitwirkung der Aktionäre einer Aktiengesellschaft und die Transparenz zwischen den Gesellschaften und Anlegern zu fördern. Aktiengesellschaften haben nun insbesondere das Recht, personenbezogene Daten ihrer Aktionäre zu erheben, damit sie mit ihren Aktionären unmittelbar kommunizieren können. Es besteht allerdings keine gesetzliche Pflicht zur Erhebung der Kontaktdaten, was für die Rechtsgrundlage zur Datenverarbeitung ausschlaggebend ist.
Die EU sah die Notwendigkeit einer Neuregelung, da Aktiengesellschaften oftmals nicht in der Lage waren, ihre Aktionäre aufgrund diverser Zwischenhändler oder Investmentplattformen (in der Richtlinie als Intermediär bezeichnet) konkret zu identifizieren. Die Identifizierung der Aktionäre ist nach Erwägungsgrund 4 der Richtlinie (EU) 2017/828 jedoch für die Ausübung von Aktionärsrechten und die Mitwirkung der Aktionäre notwendig.
Den Mitgliedsstaaten stand es bei der Umsetzung der Richtlinie frei, Kleinanleger von der Identifizierungsanforderung auszunehmen. Deutschland hat davon jedoch keinen Gebrauch gemacht.
Ergänzt wird die Richtlinie durch Art. 3 Abs. 2 und Tabelle 2 der Durchführungsverordnung (EU) 2018/1212, welche die konkrete Art der zu erhebenden Daten festlegt.
Rechtsgrundlage für die Datenerhebung
In Erwägungsgrund 52 der Richtlinie (EU) 2017/828 wird darauf hingewiesen, dass die Datenerhebung im Einklang mit der DSGVO zu erfolgen hat.
Für die Verarbeitung der Kontaktdaten kommt wegen des abschließenden Katalogs der Rechtsgrundlagen aus Art. 6 DSGVO nur ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht. Eine gesetzliche Verpflichtung zur Erhebung der Aktionärsdaten durch die Aktiengesellschaft gemäß Art. 6 Abs. 1 lit. c DSGVO ist nicht gegeben, da Aktiengesellschaften gerade nicht in der Pflicht zur Erhebung stehen sollen.
Deshalb ist eine Interessensabwägung vorzunehmen. Diese wird aufgrund der vorgeprägten gesetzgeberischen Intention in den allermeisten Fällen ein berechtigtes Interesse der Aktiengesellschaft an der Datenerhebung als Ergebnis haben.
Gemäß § 67a Abs. 1 AktG in Verbindung mit Art. 6 Abs. 1 lit. c DSGVO sind deutsche Aktiengesellschaften hingegen verpflichtet, bei Unternehmensereignissen (eine vom Emittenten oder einem Dritten initiierte Maßnahme, die die Ausübung der mit den Aktien verbundenen Rechte beinhaltet und die zugrunde liegende Aktie beeinflussen kann, z. B. die Gewinnausschüttung oder eine Hauptversammlung) den Inhaber (bei Namensaktien) oder den Intermediär zu informieren.
Des Weiteren trifft den Vorstand einer Aktiengesellschaft die Pflicht gemäß §125 AktG in Verbindung mit Art. 6 Abs. 1 lit. c DSGVO über die Einberufung der Hauptversammlung mindestens 21 Tage vor dieser zu informieren. Der Inhalt dieser Mitteilungspflicht bestimmt sich nach Art. 3 Abs. 1 Durchführungsverordnung (EU) 2018/1212 und Tabelle 3 dieser Verordnung.
Umsetzung der ARUG II Richtlinie in Deutschland
Die Richtlinie (EU) 2017/828 wurde in Deutschland bezüglich Auskunft einer Aktiengesellschaft über die Identität der Aktionäre in den §§ 67a ff. Aktiengesetz (AktG) umgesetzt. Das Änderungsgesetz zur Umsetzung der Richtlinie ist seit dem 1. Januar 2020 in Kraft. § 67d Abs. 1 S.2 und Abs. 2 AktG verweisen bezüglich Inhalt und Format des Auskunftsverlangens auf die Durchführungsverordnung (EU) 2018/1212.
Datenerhebung
Konkret dürfen Aktiengesellschaften folgende Daten erheben:
Bei juristischen Personen:
- Die nationale Registrierungsnummer des Aktionärs, seine internationale Bankleitzahl oder Kundenkennziffer,
- Name der juristischen Person.
Bei natürlichen Personen:
- die nationale Kundenkennung,
- Vor- und Nachname.
Bei juristischen und natürlichen Personen:
- Anschrift,
- Postleitzahl,
- Wohn- oder Firmensitz,
- Land,
- die Postleitzahl des Postfachs,
- Nummer des Postfachs,
- die E-Mail-Adresse (wenn vorhanden),
- die Art der Beteiligung,
- die Zahl der gehaltenen Aktien,
- der Beginn der Beteiligung,
- der Name und die Kennung des vom Aktionär benannten Dritten.
Verfahren zur Erhebung der Daten
Die Erhebung erfolgt durch einen Antrag bei dem Intermediär. Dieser muss die Daten unter Berücksichtigung des Antrags gemäß § 67d Abs. 3 AktG und Art. 9 Abs. 6 Durchführungsverordnung (EU) 2018/1212 unverzüglich oder spätestens bis zum Ende des Geschäftstages (vor 16:00 Uhr), an dem der Antrag eingegangen ist, an den nächsten Intermediär übermitteln. Der Informationsanspruch der Gesellschaft gilt daher gegenüber sämtlichen Intermediären. Ein Antrag nach 16.00 Uhr ist bis 10:00 Uhr des nächsten Geschäftstages zu übermitteln. Diese Frist gilt jedoch nicht, wenn der Antrag nicht maschinell oder vollautomatisiert abgewickelt werden kann.
Zweck der Datenverarbeitung
Der Zweck der Datenerhebung ist gemäß §67e Abs. 1 AktG beschränkt. So dürfen die Daten nur für folgende Zwecke erhoben werden:
- Identifikation,
- Kommunikation mit den Aktionären, den Gesellschaften und den Intermediären,
- Ausübung der Rechte der Aktionäre,
- Führung des Aktienregisters,
- Zusammenarbeit zwischen der Gesellschaft und den Aktionären.
Eine weitere Verarbeitung zu anderen Zwecken (wie z.B. Werbung) ist für Aktiengesellschaften grundsätzlich interessant, verstößt jedoch gegen die DSGVO. So darf eine Aktiengesellschaft die erhobene E-Mail-Adresse zum Beispiel nicht zum Zwecke der Direktwerbung mittels Newsletter basierend auf der Rechtsgrundlage aus Art. 6 Abs. 1 lit. f) DSGVO verwenden, da die Zwecke der ursprünglichen Datenverarbeitung dies nicht umfassen und nur so dem Grundsatz der Zweckbindung aus Art. 5 Abs. 1 lit. b) DSGVO ausreichend Rechnung getragen wird.
Speicherdauer
Weiterhin ist die Speicherung der Daten gemäß § 67e Abs. 2 AktG begrenzt. Wenn die Gesellschaft oder der Intermediär Kenntnis erlangen, dass ein Aktionär seine Beteiligung nicht mehr hält, so darf die Gesellschaft die erhobenen Daten noch für maximal zwölf Monate speichern.
Ausnahmen davon bestehen bei Vorliegen einer gesetzlichen Verarbeitungspflicht oder wenn die Speicherung der Daten für einen Rechtsstreit erforderlich ist.
Berichtigung
- 67e Abs. 4 AktG sieht ein unverzügliches Berichtigungsrecht eines Aktionärs bei unvollständiger oder unrichtiger Datenerhebung vor. Dieser Anspruch besteht sowohl gegenüber der Aktiengesellschaft als auch gegenüber dem Intermediär. Damit soll vor allem die Integrität der Daten gewährleistet werden.
Verarbeitung im Auftrag ist möglich
Die Daten dürfen auch durch Dienstleister erhoben werden. Wichtig dabei ist, dass zwischen der Gesellschaft und dem Dienstleister ein Auftragsverarbeitungsvertrag geschlossen wird, um den Anforderungen des Art. 28 DSGVO gerecht zu werden. Dadurch wird bei der Erhebung der Daten durch einen Dienstleister ein angemessenes Schutzniveau der Daten gewährleistet.
Bei Nichtbeachtung dieses Erfordernisses kann die zuständige Aufsichtsbehörde nach Art. 83 Abs. 4 DSGVO ein Bußgeld in Höhe von 10 Millionen Euro oder bis zu 2 % des weltweit erzielten Jahresgesamtumsatzes des vorangegangenen Geschäftsjahrs verhängen.
Fazit
Eine Datenverarbeitung durch Aktiengesellschaften zum Zweck der Identifikation ihrer Aktionäre ist im aufgezeigten Umfang möglich. Jedoch dürfen die personenbezogenen Daten eines Aktionärs nicht weitergehend als zu den gesetzlich festgelegten Zwecken verarbeitet werden.
Aktiengesellschaften sollten daher darauf achten, personenbezogene Daten ihrer Aktionäre getrennt von anderen personenbezogenen Daten (z.B. im Bereich des Marketings) zu speichern. Dies ist insbesondere vor dem Hintergrund der festgelegten maximalen Speicherdauer wichtig.
Da in der Praxis oftmals Dienstleister eingesetzt werden, die für die Informationserhebung und Benachrichtigung der Aktionäre beauftragt werden, sollte mit diesen ein Rechtsinstrument nach Maßgabe des Art. 28 DSGVO geschlossen werden. Bestenfalls umfasst dieser Vertrag den regelmäßigen Abgleich der Datensätze mit den Intermediären, so dass eine rechtszeitige Löschung gewährleistet werden kann. Aktiengesellschaften sollten im Zuge einer etwaigen Regelkontrolle ihrer Auftragsverarbeiter explizit prüfen, ob diese Anforderung eingehalten wird.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.