DSGVO-Compliance für Wertpapierhändler in Österreich: MiFID II, DORA & Datenschutz
DSGVO- und MiFID II-Compliance für Wertpapierhändler
Als Wertpapierhändler oder Wertpapierfirma in Österreich unterliegen Sie einigen der strengsten Datenschutz- und Finanzvorschriften in der EU. Die Datenschutz-Grundverordnung (DSGVO) kombiniert mit MiFID II und DORA (seit Januar 2025 vollständig in Kraft) schafft umfassende, sich überschneidende Verpflichtungen zum Schutz von Anlegerdaten.
Dieser Leitfaden behandelt, was tatsächlich für Ihr Unternehmen gilt—mit korrekten Rechtsverweisen und aktuellen Anforderungen.
Regulatorisches Rahmenwerk für Wertpapierhändler
Österreichische Wertpapierhändler müssen mehrere überlappende Vorschriften navigieren. Hier ist das vollständige Bild:
| Verordnung | Schwerpunkt | Österreichische Umsetzung | Behörde |
|---|---|---|---|
| DSGVO | Datenschutz | DSG 2018 | DSB |
| MiFID II | Märkte für Finanzinstrumente | WAG 2018 | FMA |
| AML/KYC | Geldwäschebekämpfung | FM-GwG | FMA |
| DORA | Digitale operationelle Resilienz | DORA-VG (BGBl. I Nr. 112/2024) | FMA |
Wichtige Unterscheidung: Anders als Güterhändler (die unter die GewO 1994 fallen), unterliegen Wertpapierfirmen korrekterweise dem FM-GwG (Finanzmarkt-Geldwäschegesetz) für AML-Zwecke. Ihre Aufsichtsbehörde ist die Finanzmarktaufsicht (FMA).
Warum die DSGVO für Ihr Wertpapiergeschäft wichtig ist
Wertpapierhändler verarbeiten umfangreiche persönliche und finanzielle Daten, die sorgfältige Handhabung erfordern:
- Kundenidentifikationsdaten: Umfassende KYC-Informationen, die weit über grundlegende Einzelhandelsanforderungen hinausgehen
- Finanzprofile: Einkommen, Vermögen, Anlageerfahrung, Risikotoleranz—sensible Daten, die erweiterte Begründung erfordern
- Transaktionsaufzeichnungen: Detaillierte Handelshistorie, Portfolio-Bestände, Auftragsflussdaten
- Anlageberatungsunterlagen: Angemessenheits- und Eignungsprüfungen, die Ihre Empfehlungen dokumentieren
- Kommunikation: Telefonaufzeichnungen, E-Mails, Chat-Protokolle—alle unterliegen MiFID II-Aufbewahrungspflichten und können als Beweismittel dienen
Wichtige DSGVO-Verpflichtungen: Rechtsgrundlage für Datenverarbeitung
Wertpapierhändler stützen sich typischerweise auf mehrere Rechtsgrundlagen, die klar dokumentiert werden müssen:
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): MiFID II-Anforderungen, KYC/AML-Compliance nach FM-GwG, Transaktionsmeldung. Dies ist Ihre primäre Grundlage für die obligatorische Datenerhebung.
- Vertragserfüllung (Art. 6 Abs. 1 lit. b): Ausführung von Trades, Abwicklung von Transaktionen, Bereitstellung vereinbarter Wertpapierdienstleistungen
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f): Risikomanagement, Betrugsprävention, interne Audits—erfordert dokumentierte Interessenabwägung
- Einwilligung (Art. 6 Abs. 1 lit. a): Nur für Marketing-Kommunikation—muss von Dienstleistungsvereinbarungen getrennt sein
Kritischer Punkt: Sie können die Dienstleistungserbringung nicht von der Einwilligung für nicht-wesentliche Datenverarbeitung abhängig machen. Ein Kunde kann Marketing-Einwilligung verweigern und trotzdem ein Konto eröffnen.
Erweiterte KYC-Anforderungen
Nach MiFID II (umgesetzt durch WAG 2018) und FM-GwG müssen Sie umfangreiche Kundeninformationen erheben und verifizieren:
Privatkunden
- Vollständiger Name, Geburtsdatum, Nationalität, Geburtsort
- Adresse und Kontaktinformationen
- Steueridentifikationsnummer (TIN) und steuerliche Ansässigkeit
- Beruf und Arbeitgeberdetails
- Herkunft der Mittel und Vermögen (AML-Anforderung)
- Anlagekenntnisse und -erfahrung nach Produktkategorie (MiFID II)
- Finanzielle Situation: Einkommen, Vermögenswerte, Verbindlichkeiten (MiFID II)
- Anlageziele und Risikobereitschaft (MiFID II)
Firmenkunden
- Unternehmensregistrierungsdetails (Firmenbuchauszug)
- Informationen zu wirtschaftlich Berechtigten (≥25% über WiEReG-Register)
- Ultimativ kontrollierende Personen
- Geschäftstätigkeiten und Zweck der Beziehung
- Herkunft der Mittel
Datenminimierungs-Überlegung: Obwohl MiFID II umfangreiche Informationen für Eignungsprüfungen erfordert, müssen Sie dennoch dokumentieren, warum jeder Datenpunkt unbedingt notwendig ist. Sammeln Sie keine spekulativen Informationen "für alle Fälle".
Aufbewahrung von Transaktionsaufzeichnungen
Obligatorische Aufbewahrungsfristen haben Vorrang vor dem Recht auf Löschung. Hier sind die korrekten Fristen:
| Dokumentenart | Aufbewahrungsfrist | Rechtsgrundlage | Gezählt ab |
|---|---|---|---|
| Transaktionsaufzeichnungen, Kundenaufträge | 5 Jahre | MiFID II Art. 16(7) | Ende der Geschäftsbeziehung |
| Anrufaufzeichnungen | 5 Jahre (auf 7 verlängerbar) | MiFID II Art. 16(7) | Datum der Aufzeichnung |
| KYC-Dokumente, AML-Unterlagen | 10 Jahre | § 21 FM-GwG | Ende der Geschäftsbeziehung |
| Buchhaltungsunterlagen | 7 Jahre | § 132 BAO | Ende des Kalenderjahres |
Hinweis zur BAO-Aufbewahrung: Die häufig zitierten "10 Jahre" für Buchhaltung verwechseln die Aufbewahrungspflicht (7 Jahre nach § 132 BAO) mit der Steuerhinterziehungs-Verjährungsfrist. Nach DSB-Rechtsprechung stellt die Verjährungsfrist keine rechtliche Aufbewahrungspflicht dar, die eine fortgesetzte Datenspeicherung unter der DSGVO rechtfertigt.
DSGVO-Anforderung: Nach Ablauf der obligatorischen Aufbewahrungsfristen müssen Sie Kundendaten unverzüglich löschen oder anonymisieren. Implementieren Sie automatisierte Löschzeitpläne—manuelle Prozesse sind fehleranfällig und schaffen Compliance-Risiken.
Aufzeichnung von Kundenkommunikation
MiFID II verlangt die Aufzeichnung von Kommunikation, die zu Transaktionen führen soll oder sich auf Anlageberatung bezieht:
- Alle Telefongespräche im Zusammenhang mit Kundenaufträgen
- Elektronische Kommunikation (E-Mails, Chat, Messaging) im Zusammenhang mit Transaktionen
- Schriftliche Protokolle von persönlichen Treffen mit Anlageberatung
DSGVO-Anforderungen für Anrufaufzeichnung
- Klare Benachrichtigung: Informieren Sie Kunden vor Aufzeichnungsbeginn—typischerweise zu Beginn jedes Anrufs
- Datenschutzhinweis: Erklären Sie Rechtsgrundlage (rechtliche Verpflichtung), Aufbewahrungsfrist (5 Jahre) und Zwecke in der Kundendokumentation
- Sichere Speicherung: Verschlüsselung, manipulationssichere Speicherung mit nachvollziehbaren Änderungen—Aufzeichnungen müssen für FMA-Anfragen sofort zugänglich sein
- Zugriffskontrollen: Beschränkung auf autorisiertes Personal
- Kundenzugang: Kunden können während der Aufbewahrungsfrist Kopien anfordern
Die 5-jährige Aufbewahrungsfrist nach MiFID II Artikel 16(7) ist bestätigt, wobei die FMA in bestimmten Untersuchungen eine Verlängerung auf 7 Jahre anfordern kann.
Kundenrechte unter der DSGVO
MiFID II-Verpflichtungen schränken oft die sofortige Ausübung bestimmter DSGVO-Rechte ein:
Auskunftsrecht (Art. 15)
- Kunden Kopien aller personenbezogenen Daten innerhalb eines Kalendermonats bereitstellen
- Einschließlich Transaktionshistorie, Risikobewertungen, aufgezeichnete Kommunikation
- Angemessene Gebühr für übermäßige oder wiederholte Anfragen möglich
Recht auf Berichtigung (Art. 16)
- Unrichtige KYC-Informationen umgehend korrigieren
- Finanzprofile bei Änderung der Umstände aktualisieren—MiFID II erfordert ohnehin regelmäßige Updates
Recht auf Löschung (Art. 17)
- Konflikt: Dieses Recht wird durch die rechtliche Verpflichtung zur Datenaufbewahrung nach MiFID II und FM-GwG verdrängt
- Löschung auf Anfrage erst nach Ablauf aller obligatorischen Aufbewahrungsfristen
- Ablehnung möglich, wenn Daten für Rechtsansprüche oder behördliche Untersuchungen benötigt werden
Recht auf Datenübertragbarkeit (Art. 20)
- Transaktionshistorie und Kontodaten in maschinenlesbarem Format bereitstellen
- Übertragung an konkurrierende Wertpapierfirmen auf Anfrage ermöglichen
DSGVO mit MiFID II und AML in Einklang bringen
Datenminimierung vs. Umfassende Profile
DSGVO erfordert minimale Datenerhebung, aber MiFID II schreibt detaillierte Eignungsprüfungen vor.
Lösung: Dokumentieren Sie die regulatorische Verknüpfung für jeden erhobenen Datenpunkt. MiFID II dient als Ihre rechtliche Begründung—aber nur für Daten, die tatsächlich für Angemessenheits-/Eignungstests erforderlich sind.
Recht auf Löschung vs. Aufbewahrungspflichten
Kunden können Löschung beantragen, aber Sie müssen Daten 5-10 Jahre aufbewahren.
Lösung: Kommunizieren Sie obligatorische Aufbewahrungsfristen klar in Datenschutzhinweisen beim Onboarding. Schulen Sie Mitarbeiter, zu erklären, warum sofortige Löschung nicht möglich ist und wann Daten gelöscht werden.
Transparenz vs. Proprietäre Strategien
DSGVO erfordert Erklärung automatisierter Entscheidungsfindung, aber Sie können proprietäre Handelsalgorithmen verwenden.
Lösung: Stellen Sie aussagekräftige Informationen über automatisierte Entscheidungen bereit, die Kunden betreffen. Erklären Sie Logik, Bedeutung und Konsequenzen, ohne proprietäre Strategien preiszugeben. Stellen Sie sicher, dass Kunden menschliche Überprüfung anfordern können.
Datensicherheitsanforderungen
Wertpapierhändler sind bevorzugte Ziele für Cyberangriffe. Implementieren Sie robuste Sicherheit nach DSGVO Art. 32 und DORA:
Technische Maßnahmen
- Verschlüsselung: Ende-zu-Ende-Verschlüsselung für Kommunikation; Verschlüsselung im Ruhezustand für alle Datenbanken
- Multi-Faktor-Authentifizierung: Für alle Kunden- und Mitarbeiterzugriffe—keine Ausnahmen
- Netzwerksegmentierung: Kundendatensysteme von Handelsinfrastruktur trennen
- Intrusion Detection: Echtzeit-Überwachung auf unbefugte Zugriffsversuche
- Sichere Backups: Verschlüsselte, getestete Backup- und Wiederherstellungsverfahren mit dokumentierten RTO/RPO
Organisatorische Maßnahmen
- Zugriffskontrollen: Rollenbasierter Zugriff nach Need-to-know-Prinzip
- Audit-Protokollierung: Alle Zugriffe auf sensible Kundeninformationen verfolgen
- Mitarbeiterschulung: Regelmäßige Sicherheitsbewusstseins- und Phishing-Simulationen
- Penetrationstests: Jährliche Drittanbieter-Sicherheitsbewertungen
- Incident Response Plan: Dokumentierte Verfahren für Verletzungsszenarien
DORA-Compliance—Jetzt Pflicht
DORA ist seit dem 17. Januar 2025 vollständig anwendbar ohne Übergangsfristen. Österreich hat das DORA-VG (BGBl. I Nr. 112/2024) zur Durchsetzung der Verordnung erlassen.
Wichtige DORA-Anforderungen für Wertpapierhändler
- IKT-Risikomanagement-Framework: Umfassende Governance-Struktur für Technologierisiken mit Rechenschaftspflicht auf Vorstandsebene
- Vorfallmeldung: Erstmeldung innerhalb von 4 Stunden nach Klassifizierung (max. 24 Stunden nach Kenntnisnahme), Zwischenbericht innerhalb 72 Stunden, Abschlussbericht innerhalb eines Monats
- Tests zur digitalen operationellen Resilienz: Regelmäßige Tests einschließlich bedrohungsgeleiteter Penetrationstests (TLPT) für bedeutende Einrichtungen
- IKT-Drittanbieter-Risikomanagement: Due Diligence, vertragliche Anforderungen und Exit-Strategien für Technologieanbieter
- Informationsaustausch: Teilnahme an Threat-Intelligence-Sharing-Vereinbarungen
DORA-Strafen in Österreich
- Bis zu €150.000 für Einzelpersonen
- Bis zu €500.000 oder 1% des Umsatzes für Institute
Die FMA hat Null-Toleranz-Durchsetzung für Ausfälle der operationellen Resilienz signalisiert. 2024 verhängte die FMA €4,3 Millionen an AML-bezogenen Bußgeldern, darunter eine €2,07 Millionen-Strafe gegen Raiffeisen Bank International für KYC-Versäumnisse.
Drittanbieter-Auftragsverarbeiter und Datenübermittlungen
Wertpapierhändler nutzen typischerweise zahlreiche externe Dienste:
- Handelsplattformen und Börsen
- CRM-Systeme (Salesforce, Microsoft Dynamics)
- Portfolio-Management-Software
- Marktdatenanbieter (Bloomberg, Refinitiv)
- Cloud-Infrastruktur (AWS, Azure, Google Cloud)
- Compliance-Überwachungstools
DSGVO-Anforderungen
- Auftragsverarbeitungsverträge (AVV) mit allen Verarbeitern nach Art. 28 abschließen
- Sicherstellen, dass Verarbeiter DSGVO-Sicherheitsstandards erfüllen
- Für Nicht-EU-Verarbeiter angemessene Schutzmaßnahmen verifizieren (Standardvertragsklauseln, Angemessenheitsbeschlüsse)
- Register aller Verarbeiter führen, die Kundendaten handhaben
DORA-Anforderungen für IKT-Drittanbieter
- Umfassendes Register von IKT-Drittanbietern führen
- Due Diligence vor Beauftragung durchführen
- Spezifische Vertragsbestimmungen einschließen: Exit-Strategien, Prüfungsrechte, Vorfallmeldung innerhalb 24 Stunden
- Konzentrationsrisiko überwachen—Überabhängigkeit von einzelnen Anbietern vermeiden
- Kritische IKT-Anbieter unterliegen direkter EU-Aufsicht
Praktische Compliance-Schritte
Schritt 1: Datenkartierung und -inventar
- Alle von Kunden erhobenen personenbezogenen Daten dokumentieren
- Rechtsgrundlage für jede Verarbeitungsaktivität identifizieren
- Datenflüsse kartieren (interne Systeme, Drittanbieter-Verarbeiter)
- Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 erstellen
Schritt 2: Datenschutzdokumentation
- Datenschutzerklärung: Umfassende Richtlinie für alle Verarbeitungsaktivitäten
- Kundenhinweise: Klare, geschichtete Informationen bei Kontoeröffnung
- Einwilligungsformulare: Separate Opt-ins für Marketing (getrennt von Servicebedingungen)
- Anrufaufzeichnungshinweis: Standardskript für Telefonkommunikation
Schritt 3: Technische Umsetzung
- Verschlüsselung für Datenbanken und Kommunikation implementieren
- MFA über alle Systeme einsetzen—keine Ausnahmen
- Automatisierte Aufbewahrungs- und Löschzeitpläne konfigurieren
- Umfassende Audit-Protokollierung aktivieren
- DORA-konforme Vorfallserkennung und -meldung etablieren
Schritt 4: DORA-Implementierung
- IKT-Risikomanagement-Framework mit Vorstandsaufsicht etablieren
- 4-Stunden-Vorfallklassifizierung und FMA-Meldeverfahren implementieren
- Tests zur digitalen operationellen Resilienz durchführen
- Alle IKT-Drittanbieterverträge überprüfen und aktualisieren
Schritt 5: Governance und Schulung
- Datenschutzbeauftragten ernennen, wenn umfangreiche sensible Daten verarbeitet werden
- Datenschutz-Governance mit Vorstandsberichterstattung etablieren
- Mitarbeiter zu DSGVO, MiFID II und DORA-Anforderungen schulen
- Regelmäßige Compliance-Audits durchführen
Strafen und Durchsetzung
DSGVO-Strafen (DSB)
- Bis zu €20 Millionen oder 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
- Korrekturanordnungen und Verarbeitungsverbote
- In der Praxis liegen österreichische DSB-Bußgelder für KMU typischerweise bei €5.000-15.000, aber Finanzdienstleister unterliegen verstärkter Prüfung
FMA-Strafen (MiFID II/DORA-Verstöße)
- Erhebliche Verwaltungsstrafen
- Verwarnungen und öffentliche Erklärungen (Naming and Shaming)
- Vorübergehendes Verbot von Geschäftstätigkeiten
- Lizenzentzug bei schweren Verstößen
- Persönliche Haftung für verantwortliche Manager
Offizielle Ressourcen
- Österreichische Datenschutzbehörde
- Finanzmarktaufsicht (FMA)
- FMA – DORA-Informationen
- FM-GwG (Finanzmarkt-Geldwäschegesetz)
- WAG 2018 (Wertpapieraufsichtsgesetz)
- Europäischer Datenschutzausschuss
Holen Sie sich Experten-Compliance-Unterstützung
VETOSEC spezialisiert sich auf Compliance für österreichische Finanzdienstleistungsunternehmen und hilft Wertpapierhändlern, die komplexe Überschneidung von DSGVO, MiFID II und DORA zu navigieren.
Unsere Dienstleistungen für Wertpapierhändler umfassen:
- Umfassende DSGVO-, MiFID II- und DORA-Gap-Analyse
- Entwicklung von IKT-Risikomanagement-Frameworks
- Unterstützung bei Tests zur digitalen operationellen Resilienz
- Entwicklung von Datenschutzerklärungen und Dokumentation
- Mitarbeiterschulungsprogramme
- FMA-Audit-Vorbereitung und -Unterstützung
- Laufendes Compliance-Monitoring
Kontaktieren Sie VETOSEC heute für eine kostenlose Beratung zur Erreichung umfassender regulatorischer Compliance bei gleichzeitiger Aufrechterhaltung der Betriebseffizienz.
GDPR and MiFID II Compliance for Securities Traders
As a securities trader or investment firm in Austria, you operate under some of the strictest data protection and financial regulations in the EU. The General Data Protection Regulation (GDPR/DSGVO) combined with MiFID II and DORA (now fully in force since January 2025) creates comprehensive, overlapping obligations for protecting investor data.
This guide covers what actually applies to your business—with correct legal references and current requirements.
Regulatory Framework for Securities Traders
Austrian securities traders must navigate multiple overlapping regulations. Here's the complete picture:
| Regulation | Focus Area | Austrian Implementation | Authority |
|---|---|---|---|
| GDPR/DSGVO | Data protection | DSG 2018 | DSB |
| MiFID II | Markets in Financial Instruments | WAG 2018 | FMA |
| AML/KYC | Anti-money laundering | FM-GwG | FMA |
| DORA | Digital operational resilience | DORA-VG (BGBl. I Nr. 112/2024) | FMA |
Important distinction: Unlike goods dealers (who fall under GewO 1994), securities firms are correctly governed by the FM-GwG (Finanzmarkt-Geldwäschegesetz) for AML purposes. Your supervisory authority is the Austrian Financial Market Authority (FMA).
Why GDPR Matters for Your Securities Business
Securities traders process extensive personal and financial data requiring careful handling:
- Client identification data: Comprehensive KYC information going well beyond basic retail requirements
- Financial profiles: Income, net worth, investment experience, risk tolerance assessments—sensitive data requiring enhanced justification
- Transaction records: Detailed trading history, portfolio holdings, order flow data
- Investment advice records: Suitability and appropriateness assessments documenting your recommendations
- Communications: Phone recordings, emails, chat logs—all subject to MiFID II retention requirements and potentially used as evidence
Key GDPR Obligations: Legal Basis for Data Processing
Securities traders typically rely on multiple legal bases, which must be clearly documented:
- Legal obligation (Art. 6(1)(c)): MiFID II requirements, KYC/AML compliance under FM-GwG, transaction reporting. This is your primary basis for mandatory data collection.
- Contract performance (Art. 6(1)(b)): Executing trades, settling transactions, providing agreed investment services
- Legitimate interests (Art. 6(1)(f)): Risk management, fraud prevention, internal audits—requires documented balancing test
- Consent (Art. 6(1)(a)): Marketing communications only—must be separate from service agreements
Critical point: You cannot condition service provision on consent for non-essential data processing. A client can refuse marketing consent while still opening an account.
Enhanced KYC Requirements
Under MiFID II (implemented via WAG 2018) and FM-GwG, you must collect and verify extensive client information:
Private Clients
- Full name, date of birth, nationality, place of birth
- Address and contact information
- Tax identification number (TIN) and tax residency
- Occupation and employer details
- Source of funds and wealth (AML requirement)
- Investment knowledge and experience by product category (MiFID II)
- Financial situation: income, assets, liabilities (MiFID II)
- Investment objectives and risk tolerance (MiFID II)
Corporate Clients
- Company registration details (Firmenbuch extract)
- Beneficial ownership information (≥25% via WiEReG register)
- Ultimate controlling persons
- Business activities and purpose of relationship
- Source of funds
Data minimization consideration: While MiFID II requires extensive information for suitability assessments, you must still document why each data point is strictly necessary. Don't collect speculative information "just in case."
Transaction Record Retention
Mandatory retention periods take precedence over the right to erasure. Here are the correct periods:
| Record Type | Retention Period | Legal Basis | Counted From |
|---|---|---|---|
| Transaction records, client orders | 5 years | MiFID II Art. 16(7) | End of business relationship |
| Call recordings | 5 years (extendable to 7) | MiFID II Art. 16(7) | Date of recording |
| KYC documents, AML records | 10 years | § 21 FM-GwG | End of business relationship |
| Accounting records | 7 years | § 132 BAO | End of calendar year |
Note on BAO retention: The commonly cited "10 years" for accounting confuses the retention obligation (7 years under § 132 BAO) with the tax evasion limitation period. Per DSB case law, the limitation period does not constitute a legal retention obligation justifying continued data storage under GDPR.
GDPR requirement: After mandatory retention periods expire, you must delete or anonymize client data promptly. Implement automated deletion schedules—manual processes are error-prone and create compliance risk.
Recording Client Communications
MiFID II requires recording of communications intended to result in transactions or relating to investment advice:
- All telephone conversations related to client orders
- Electronic communications (emails, chat, messaging) related to transactions
- Written minutes of face-to-face meetings involving investment advice
GDPR Requirements for Call Recording
- Clear notice: Inform clients before recording begins—typically at the start of each call
- Privacy notice: Explain legal basis (legal obligation), retention period (5 years), and purposes in client documentation
- Secure storage: Encryption, tamper-proof storage with traceable changes—recordings must be immediately accessible for FMA requests
- Access controls: Restrict to authorized personnel only
- Client access: Clients may request copies during the retention period
The 5-year retention period under MiFID II Article 16(7) is confirmed, with FMA able to request extension to 7 years in specific investigations.
Client Rights Under GDPR
MiFID II obligations often restrict the immediate exercise of certain GDPR rights:
Right to Access (Art. 15)
- Provide clients with copies of all personal data within one calendar month
- Include transaction history, risk assessments, recorded communications
- May charge reasonable fee for excessive or repetitive requests
Right to Rectification (Art. 16)
- Correct inaccurate KYC information promptly
- Update financial profiles when circumstances change—MiFID II requires periodic updates anyway
Right to Erasure (Art. 17)
- Conflict: This right is superseded by legal obligation to retain data under MiFID II and FM-GwG
- Must delete upon request only after all mandatory retention periods expire
- May refuse if data needed for legal claims or regulatory investigations
Right to Data Portability (Art. 20)
- Provide transaction history and account data in machine-readable format
- Facilitate transfer to competing investment firms upon request
Balancing GDPR with MiFID II and AML
Data Minimization vs. Comprehensive Profiles
GDPR requires minimal data collection, but MiFID II mandates detailed suitability assessments.
Solution: Document the regulatory link for every data point collected. MiFID II serves as your legal justification—but only for data actually required for suitability/appropriateness tests.
Right to Erasure vs. Retention Obligations
Clients may request deletion, but you must retain data for 5-10 years.
Solution: Clearly communicate mandatory retention periods in privacy notices at onboarding. Train staff to explain why immediate deletion isn't possible and when data will be deleted.
Transparency vs. Proprietary Strategies
GDPR requires explaining automated decision-making, but you may use proprietary trading algorithms.
Solution: Provide meaningful information about automated decisions affecting clients. Explain logic, significance, and consequences without revealing proprietary strategies. Ensure clients can request human review.
Data Security Requirements
Securities traders are prime targets for cyber attacks. Implement robust security under both GDPR Art. 32 and DORA:
Technical Measures
- Encryption: End-to-end encryption for communications; encryption at rest for all databases
- Multi-factor authentication: For all client and employee access—no exceptions
- Network segmentation: Separate client data systems from trading infrastructure
- Intrusion detection: Real-time monitoring for unauthorized access attempts
- Secure backups: Encrypted, tested backup and recovery procedures with documented RTO/RPO
Organizational Measures
- Access controls: Role-based access on need-to-know principle
- Audit logging: Track all access to sensitive client information
- Employee training: Regular security awareness and phishing simulations
- Penetration testing: Annual third-party security assessments
- Incident response plan: Documented procedures for breach scenarios
DORA Compliance—Now Mandatory
DORA became fully applicable on January 17, 2025 with no transitional periods. Austria enacted DORA-VG (Federal Law Gazette I No. 112/2024) to enforce the regulation.
Key DORA Requirements for Securities Traders
- ICT Risk Management Framework: Comprehensive governance structure for technology risks with board-level accountability
- Incident Reporting: Initial notification within 4 hours of classification (max 24 hours from awareness), intermediate report within 72 hours, final report within one month
- Digital Operational Resilience Testing: Regular testing including threat-led penetration testing (TLPT) for significant entities
- Third-Party ICT Risk Management: Due diligence, contractual requirements, and exit strategies for technology providers
- Information Sharing: Participation in threat intelligence sharing arrangements
DORA Penalties in Austria
- Up to €150,000 for individuals
- Up to €500,000 or 1% of turnover for institutions
FMA has signaled zero-tolerance enforcement for operational resilience failures. In 2024, FMA issued €4.3 million in AML-related fines, including a €2.07 million penalty against Raiffeisen Bank International for KYC failures.
Third-Party Processors and Data Transfers
Securities traders typically use numerous external services:
- Trading platforms and exchanges
- CRM systems (Salesforce, Microsoft Dynamics)
- Portfolio management software
- Market data providers (Bloomberg, Refinitiv)
- Cloud infrastructure (AWS, Azure, Google Cloud)
- Compliance monitoring tools
GDPR Requirements
- Execute Auftragsverarbeitungsverträge (AVV) with all processors under Art. 28
- Ensure processors meet GDPR security standards
- For non-EU processors, verify adequate safeguards (Standard Contractual Clauses, adequacy decisions)
- Maintain register of all processors handling client data
DORA Requirements for ICT Third Parties
- Maintain comprehensive register of ICT third-party providers
- Conduct due diligence before engagement
- Include specific contractual provisions: exit strategies, audit rights, incident notification within 24 hours
- Monitor concentration risk—avoid over-reliance on single providers
- Critical ICT providers subject to direct EU oversight
Practical Compliance Steps
Step 1: Data Mapping and Inventory
- Document all personal data collected from clients
- Identify legal basis for each processing activity
- Map data flows (internal systems, third-party processors)
- Create Records of Processing Activities (ROPA) per Art. 30
Step 2: Privacy Documentation
- Privacy Policy: Comprehensive policy covering all processing activities
- Client Notices: Clear, layered information at account opening
- Consent Forms: Separate opt-ins for marketing (distinct from service terms)
- Call Recording Notice: Standard script for telephone communications
Step 3: Technical Implementation
- Implement encryption for databases and communications
- Deploy MFA across all systems—no exceptions
- Configure automated retention and deletion schedules
- Enable comprehensive audit logging
- Establish DORA-compliant incident detection and reporting
Step 4: DORA Implementation
- Establish ICT Risk Management Framework with board oversight
- Implement 4-hour incident classification and FMA reporting procedures
- Conduct digital operational resilience testing
- Review and update all ICT third-party contracts
Step 5: Governance and Training
- Appoint Data Protection Officer if processing large-scale sensitive data
- Establish data protection governance with board reporting
- Train employees on GDPR, MiFID II, and DORA requirements
- Conduct regular compliance audits
Penalties and Enforcement
GDPR Penalties (DSB)
- Up to €20 million or 4% of annual global turnover, whichever is higher
- Corrective orders and processing bans
- In practice, Austrian DSB fines for SMBs typically range €5,000-15,000, but financial services face enhanced scrutiny
FMA Penalties (MiFID II/DORA Violations)
- Substantial administrative fines
- Warnings and public statements (naming and shaming)
- Temporary prohibition of business activities
- License withdrawal for serious violations
- Personal liability for responsible managers
Official Resources
- Austrian Data Protection Authority (Datenschutzbehörde)
- Austrian Financial Market Authority (FMA)
- FMA – DORA Information
- FM-GwG (Finanzmarkt-Geldwäschegesetz)
- WAG 2018 (Wertpapieraufsichtsgesetz)
- European Data Protection Board
Get Expert Compliance Support
VETOSEC specializes in compliance for Austrian financial services firms, helping securities traders navigate the complex intersection of GDPR, MiFID II, and DORA.
Our services for securities traders include:
- Comprehensive GDPR, MiFID II, and DORA gap analysis
- ICT risk management framework development
- Digital operational resilience testing support
- Privacy policy and documentation development
- Employee training programs
- FMA audit preparation and support
- Ongoing compliance monitoring
Contact VETOSEC today for a free consultation on achieving comprehensive regulatory compliance while maintaining operational efficiency.