MiFID II – PRIIPs – DSGVO – Transparenzregister & Kein Ende für luxemburgische Investmentfonds

MiFID II – PRIIPs – DSGVO – Transparenzregister & Kein Ende für luxemburgische Investmentfonds

Seit Anfang des Jahres ist die Luxemburger Investmentfondswelt um mindestens zwei regulatorische Prachtstücke reicher, deren Auswirkungen auf die Luxemburger Investmentfondswelt wir im Folgenden noch einmal in Erinnerung bringen wollen. Zunächst einmal ist da die zweite Finanzmarktrichtlinie 2014/65/EU („MiFID II“) zu nennen, unmittelbar gefolgt von der Verordnung Nr. 1286/2014/EU [1] über Basisinformationsblätter für verpackte Anlageprodukte für Kleinanleger und Versicherungsanlageprodukte („PRIIP-VO“).

Mit Wirkung zum 26. Mai sollten die hiesigen Investmentfonds dann die Datenschutz-Grundverordnung[2] („DSGVO“) implementiert haben.

Da zwischen dem 02. Januar – dem Inkrafttreten der PRIIP-VO – und dem 26. Mai fast fünf Monate liegen, hat der luxemburgische Gesetzgeber in der ruhigen Vorweihnachtszeit des Weiteren beschlossen, dass sich die Finanzmarktindustrie in der Zwischenzeit sicherlich auch noch mit der Implementierung eines Transparenzregisters für in Luxemburg ansässige Gesellschaften beschäftigen kann.[3]

Das Erfreuliche an diesen vier aufsichtsrechtlichen Neuerungen ist, dass alle vier miteinander interagieren – der geschätzte Anwender muss MiFID II, DSGVO, PRIIP-VO und Transparenzregister (die „Vier“) also nicht isoliert betrachten. Das sollte er auch nicht. Weniger erfreulich ist, dass die „Zusammenarbeit“ dieser Vier nicht immer so ganz aufeinander abgestimmt zu sein scheint. Einfassen lassen sich die Vier noch von der AIFMD, hier ist insbesondere an die Verantwortung des AIFM für den Vertrieb von Fondsanteilen zu denken.[4]

Zusammenfassung:

  • MiFIDII betrifft in Teilen auch Investmentfonds
  • Es gibt eine Reihe von relevanten Überschneidungen zwischen MiFIDII und PRIIP-VO
  • Die steigenden Transparenzanforderungen verlangen erhöhten Informationsaustausch, der in Einklang mit der DSGVO zu bringen ist
  • Das Transparenzregister wird Informationen über UBO öffentlich zugänglich machen
  • AIFM, Verwaltungsräte und Geschäftsführer von Investmentfonds und KVG sollten sich über die Umsetzung dieser Anforderungen Gedanken machen bzw. gemacht haben und die Umsetzung sicherstellen

MiFID II:

Nun könnte der eine oder andere AIFM, Geschäftsführer bzw. Verwaltungsrat einer SICAV bzw. einer KVG zumindest hinsichtlich MiFID II an Erwägungsgrund 34 und Artikel 2 Abs. 1 Buchstabe j) der MiFID II denken, der Organismen für gemeinsame Anlagen explizit von dem Anwendungsbereich der MiFID II [5] ausnimmt. Glück gehabt? Bleiben Investmentfonds erst mal verschont? Ja schon, aber …

Die Regelungen der MiFID II setzen zunächst einmal den rechtlichen Rahmen für Wertpapierfirmen, Marktbetreiber, Datenprovider und Anbieter von Wertpapierdienstleistungen. Hierzu gehören unter anderem und in unserem Kontext relevant neben Banken auch häufig Vertriebspartner Luxemburger Investmentfonds. „Wertpapierfirma“ („WP“) im Sinne der MiFID II ist jede juristische Person, die gewerbsmäßig eine oder mehrere Wertpapierdienstleistungen für Dritte erbringt und/oder eine oder mehrere Anlagetätigkeiten ausübt.[6] Zu diesem Adressatenkreis zählen neben Finanzportfolioverwaltern insbesondere auch Anlageberater und Anlagevermittler. Von diesen verlangt MiFID II in Bezug auf die betreuten bzw. vertriebenen Investmentfonds unter anderem die Einhaltung der neuen Vergütungsvorschriften, das Vorhalten einer aktuellen sog. Product Governance Policy („PGP“) inklusive einer sog. Zielmarktdefinition und die korrespondierende Dokumentation. Die Regelungen im Bereich der Product Governance sind eines der Kernelemente der MiFID-II-Regelungen und betreffen den gesamten Produktlebenszyklus z. B. eines betreuten/vertriebenen Investmentfonds von der Produktstrukturierung über dessen Vertrieb bis hin zu fortlaufenden Beobachtungspflichten. Die WP hat ein Verfahren für die interne Freigabe zum Vertrieb eines jeden Finanzinstruments zu unterhalten, zu betreiben und regelmäßig zu überprüfen.[7] Ein Bestandteil dieses Verfahrens ist die Bestimmung eines oder mehrerer Zielmärkte. Der Zielmarkt ist eine abstrakte Beschreibung der Kundengruppe, an die sich das Finanzinstrument jeweils richtet.[8] Ferner muss die WP allen Vertriebspartnern sämtliche erforderlichen und sachdienlichen Informationen zu dem Investmentfonds und dem Produktfreigabeverfahren einschließlich des bestimmten Zielmarktes zur Verfügung stellen. Darüber hinaus muss die WP sicherstellen, dass der Investmentfonds lediglich an den vorher bestimmten Zielmarkt vertrieben wird.[9] 

Es ist also nicht damit getan, die Anforderungen der MiFID II einmal zu erfüllen und sich dann über die getane Arbeit zu freuen. Nach der Erstimplementierung und entsprechender Dokumentation hat die WP die betroffenen Investmentfonds laufend diesbezüglich zu überwachen und z. B. eine PGP bei Bedarf anzupassen.

Vertreibt nun eine WP nicht ihre eigenen Produkte, sondern wird von einem externen AIFM, einer KVG, einem Komplementär oder einem Verwaltungsrat eines Luxemburger Investmentfonds mit dem Vertrieb der Fondsanteile beauftragt, wird sie im Gegenzug erfahrungsgemäß verlangen, dass „der Fonds“ die PGP inklusive Zielmarktdefinition in Einklang mit den Vorgaben der MiFID II zuliefert. Gleichzeitig sollte der Auftraggeber der WP, also der externe AIFM, eine KVG, ein Komplementär oder ein Verwaltungsrat eines Luxemburger Investmentfonds sicherstellen, dass die beauftragte WP ihrerseits die Anforderungen der MiFID II auch einhält. Ansonsten lässt sich ihm wohl der Vorwurf einer nicht den marktüblichen Standards entsprechenden Due Diligence und Vertragsgestaltung machen.

Mit anderen Worten schlagen die oben beschriebenen Anforderungen der MiFID II mittelbar auf Investmentfonds durch, wofür zumindest die Vertriebspartner sorgen.

Bei bestehenden und zukünftigen Vertriebsvereinbarungen ist darüber hinaus sicherzustellen bzw. sollte bereits sichergestellt worden sein, dass gemäß Artikel 24 Abs. 4 Buchstabe a) der MiFID II ein Vertriebspartner den potentiellen Investor vor der Beratung darüber informiert, ob die erbrachte Dienstleistung als „abhängige“ oder „unabhängige“ Anlageberatung zu verstehen ist. Unabhängige Anlageberater dürfen keine Zuwendungen von Dritten oder dem Vertreter eines Dritten in Bezug auf den Vertrieb erhalten – also auch und gerade nicht von dem Investmentfonds.[10] Falls Zuwendungen von Dritten erhalten werden, müssen diese vollständig und alsbald an den Kunden ausgekehrt werden.[11] Bei abhängigen Beratern ist eine Vergütung nur in festgelegten Grenzen zulässig.

Auch in diesem Zusammenhang kann es als Pflicht des externen AIFM, einer KVG eines Komplementärs oder eines Verwaltungsrates eines Luxemburger Investmentfonds – je nachdem, wer die Vertriebsvereinbarungen geschlossen hat – angesehen werden, sicherzustellen, dass bestehende und zukünftige Vertriebsvereinbarungen den Vorgaben der MiFID II entsprechen.

 

PRIIP-VO[12]:

Vergleichbar mit MiFID II verlangt die PRIIP-VO ebenfalls den Ausweis eines Zielmarktes in dem KID und die Unterscheidung, ob es sich um ein komplexes oder nicht-komplexes Produkt handelt.[13Initiale und laufende Kosten sowie Transaktionskosten des verpackten Produkts [14] sind gemäß den Vorgaben der PRIIP-VO darzustellen. Auch MiFID II schreibt „Kostentransparenz“ seitens der WP gegenüber potentiellen Investoren eines Investmentfonds vor.[15] Es wird also deutlich, dass MiFID II und PRIIP-VO an diversen, für Luxemburger Investmentfonds relevanten Stellen, in die gleiche Richtung zielen. Hier ist es aus unserer Sicht wichtig a) sicherzustellen, dass keine divergierenden Informationen in den Markt gegeben werden – einmal gemäß den Vorgaben der MiFID II und einmal gemäß der PRIIP-VO – und b) nach Möglichkeit Effizienzen zu nutzen, um nicht die gleiche Arbeit doppelt zu erledigen.

DSGVO:

Es sollte bisher deutlich geworden sein, dass MiFID II und PRIIP-VO deutlich erhöhte Anforderungen an die Transparenz von Investmentfonds gegenüber (potentiellen) Investoren stellen, z. B. im Rahmen der Zielmarktdefinition, also u. a. des „gewünschten“ Investorentyps und der Kosten von beispielsweise Vertriebsleistungen. Dies geht einher mit entsprechend steigenden Informationsbedürfnissen der beteiligten Parteien. Um beispielsweise überwachen zu können, dass ein Investmentfonds in der Tat an Investoren in Einklang mit der Zielmarktdefinition vertrieben wird, müssen Vertrieb und Investmentfonds wohl oder übel entsprechende Informationen austauschen. Die PRIIP-VO verlangt den Ausweis einer Beschwerdestelle für jeden Investor. Ruft der Investor an oder schreibt eine E-Mail, wird er wohl seine Kontaktdaten hinterlassen und diese werden dann gespeichert, weitergegeben und – im besten Fall – für eine Antwort genutzt.

Hier kommt nun ab 26. Mai die DSGVO ins Spiel. Sie enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Die DSGVO gilt für jede natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.[16] Die DSGVO verlangt eine erhöhte Transparenz gegenüber den betroffenen Personen bei der Verarbeitung von personenbezogenen Daten, wie beispielsweise der Übermittlung von Kundendaten an Vertriebspartner, sowie die Einwilligung der betroffenen Personen zur Datenverarbeitung durch eine eindeutige bestätigende Handlung „in informierter Weise und unmissverständlich“. Unter „personenbezogenen Daten“ versteht die DSGVO nach Artikel 4 Nr. 1 „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“. Um diese Definition zu erfüllen, genügt bereits die Weiterleitung einer personalisierten E-Mail-Adresse.

Die DSGVO enthält – anders als zumindest bislang MiFID II – keine Ausnahme für z. B. OGAW, AIF oder AIFM. Das heißt: Zum 26. Mai müssen AIFM, KVGen, Komplementäre oder Verwaltungsräte eines Luxemburger Investmentfonds einen Datenschutzverantwortlichen im Sinne der DSGVO benennen und dieser hat die Einhaltung der DSGVO im Unternehmen, also hier für den Investmentfonds, sicherzustellen. Zu diesen Anforderungen gehört an erster Stelle das Einverständnis der betroffenen Personen – häufig werden die Investoren betroffen sein, aber z.B. auch Vertriebspartner und Geschäftsführer oder Verwaltungsräte des Investmentfonds – in informierter Weise und unmissverständlich über die Verwendung ihrer Daten informiert worden zu sein und hierin eingewilligt zu haben.

Werden z. B. Investorendaten von der Transfer- und Registerstelle sowie der Verwahrstelle eines Investmentfonds gespeichert und verarbeitet, was in der Regel der Fall ist, hat der Investmentfonds also ein entsprechendes Outsourcing-Controlling einzurichten und zu dokumentieren.[17] Im Rahmen des Fondsvertriebs werden zwischen Investmentfonds bzw. AIFM und den Vertriebspartnern häufig Daten über bereits bestehende oder kontaktierte potentielle Investoren ausgetauscht. Auch hier sind häufig Daten natürlicher Personen betroffen und auch hier sollten die Vertriebsverantwortlichen aufseiten des Investmentfonds eine entsprechende Dokumentationskette etablieren.

Im Ergebnis werden Investmentfonds bzw. AIFM/KVGen nicht umhin kommen, zu analysieren, wo überall personenbezogene Daten gespeichert, verarbeitet oder/und weitergeben werden, und sich überlegen müssen, wie ein entsprechendes Einverständnis der Betroffenen eingeholt werden und dies im Falle eines Falles auch nachgewiesen werden kann.

Transparenzregister:

Last but not least wird auch noch das zukünftige Transparenzregister die Investmentfondswelt erfrischen. Es dient der Umsetzung der Artikel 30 und 31 der Richtlinie (EU) 2015/849 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung („AML-RL“).[18] Mit dem Inkrafttreten des Transparenzregisters in Luxemburg werden hiesige Unternehmen verpflichtet, ihre wirtschaftlich berechtigten Personen im Sinne der AML-RL in dem Register zu veröffentlichen. Es wird unmittelbar deutlich, dass dies in jedem Fall Auswirkungen im Sinne der DSGVO hat, denn hierbei handelt es sich grundsätzlich um Daten von natürlichen Personen. Hinzu kommt, dass sich die betroffenen Fondsverantwortlichen darüber Gedanken machen müssen, wer diesen neuen Pflichten nachkommt. Wie wird am Anfang, aber auch laufend, sichergestellt, dass z. B. Tochtergesellschaften diese Anforderungen ebenfalls erfüllen?

Rolle und Verantwortung des AIFM

Nach dem AIFM-Gesetz verfügt der AIFM über die EU-weite Vertriebsberechtigung der von ihm verwalteten alternativen Investmentfonds. Übt der AIFM den Vertrieb nicht selbst aus, sondern werden z. B. externe Vertriebspartner wie eine WP eingeschaltet, ändert das nichts an der Verantwortlichkeit des AIFM für diesen Vertrieb. Darüber hinaus hat der AIFM im Rahmen des Risikomanagements auch operationelle Risiken der AIF zu überwachen, was eine Umsetzungskontrolle für neue aufsichtsrechtliche Vorgaben nach MiFID II und DSGVO einschließt. Vor diesem Hintergrund wird deutlich, dass die oben beschriebenen, neuen Anforderungen auch entsprechende Prozesse und Dokumentationspflichten bei den AIFM nach sich ziehen sollten. Schlussendlich ist es aber in der Verantwortung der Verwaltungsräte bzw. der Geschäftsführer, der Komplementäre und der KVGen sicherzustellen, dass die neuen, regulatorischen Anforderungen auch umgesetzt werden.

Sprechen Sie uns an, wir helfen Ihnen.

Harald Strelen

+352 26202332

office@aiqunited.com

Impressum: AIQUNITED, 1C, rue Gabriel Lippmann · L-5365 Munsbach

 

[1] Verordnung (EU) Nr. 1286/2014 des europäischen Parlaments und des Rates vom 26. November 2014 über Basisinformationsblätter für verpackte Anlageprodukte für Kleinanleger und Versicherungsanlageprodukte (PRIIP)

[2] VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG

[3] Luxemburger Gesetzentwurf Nr. 7217 über die Einführung eines Transparenzregisters. Der aktuelle Stand des Verfahrens kann hier abgefragt werden: https://www.chd.lu/wps/portal/public/Accueil/TravailALaChambre/Recherche/RoleDesAffaires?action=doDocpaDetails&id=7217

[4] Anhang 1 der AIFMD: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32011L0061&from=EN

[5] https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32014L0065&from=DE

[6] Artikel 4 Abs. 1 Nr. 1 der MiFID II; jedoch können die Mitgliedstaaten unter gewissen Voraussetzungen auch Unternehmen, die nicht juristische Personen sind, als Wertpapierfirma definieren, was z.B. in Deutschland der Fall ist.

[7] § 80 Abs. 9 Satz 1Gesetzesentwurf zum 2. FiMaNoG.

[8] Vgl. https://www.esma.europa.eu/sites/default/files/library/esma35-43-620_report_on_guidelines_on_product_governance.pdf.

[9] § 63 Abs. 4 zum 2. FiMaNoG.

[10] Artikel 24 Abs. 7 und 8 der MiFID II.

[11] Artikel 12 Abs. 1 der Delegierten Richtlinie in Bezug auf die Gewährung oder Entgegennahme von Gebühren, Provisionen, oder anderen monetären und nicht-monetären Vorteilen.

[12] Zu den inhaltlichen Anforderungen der PRIIP-VO verweisen wir auf unsere entsprechenden NL: https://aiqunited.com/b-l-o-g/

[13] Artikel 2 Abs.3 PRIIP-VO und Artikel 1 Abs.2 technische Standards PRIIP-VO: https://ec.europa.eu/finance/docs/level-2-measures/priips-delegated-regulation-2017-1473_en.pdf

[14] Hinsichtlich der Geltung der PRIIP-VO für AIF verweisen wir auf unsere vorherigen NL: https://aiqunited.com/b-l-o-g/

[15] Vgl. Artikel 24 Abs 4 MiFID II.

[16] Artikel 4 Nr. 7 der DSGVO.

[17] Auch bisher wurde die entsprechende Datenweitergabe-und Verarbeitung in der Regel bereits durch den Investor freigegeben, z.B. über eine Zeichnungsvereinbarung. Allerdings wurde die entsprechende Kontrolle der ordnungsgemäßen Umsetzung der datenschutzrechtlichen Vorgaben durch den Investmentfonds: VR, AIFM, KVG etc. nicht unbedingt immer dokumentiert. Dies wird sich in Zukunft ändern müssen.

[18] https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32015L0849&from=DE