AssCompact suche
Home
Steuern & Recht
19. Juli 2017
Was beim Datenschutzrecht im Vermittlerbüro zu beachten ist

Was beim Datenschutzrecht im Vermittlerbüro zu beachten ist

Der Umgang mit Daten ist aus unserer digitalisierten Welt nicht mehr wegzudenken. Auch im Vermittlerbüro werden automatisiert personenbezogene Daten – insbesondere Kundendaten – verarbeitet. Im Umgang mit ihnen müssen jedoch stets die Anforderungen des Datenschutzrechts beachtet werden. Darauf weisen Oliver Schmidt und Kai Wischnat von der KPMG Rechtsanwaltsgesellschaft mbH hin.

Das Datenschutzrecht schützt personenbezogene Daten. Personenbezogene Daten sind alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person („Betroffener“). Das Datenschutzrecht knüpft regulatorisch an die Verarbeitung solcher Daten an. Typische personenbezogene Daten sind Name, Adresse, Kontonummer, E-Mail-Adresse und ggf. Arbeitgeber einer Person, aber auch die IP-Adresse. Daten, die ausschließlich Unternehmen, das heißt juristische Personen betreffen, werden dagegen nicht vom Datenschutzrecht erfasst. Versicherungsvertreter und Versicherungsmakler sind verpflichtet, die Vorschiffen des Bundesdatenschutzgesetzes (BDSG) und die für sie einschlägigen besonderen bereichsspezifischen Datenschutzregeln einzuhalten, sofern sie personenbezogene Daten verarbeiten.

Zu prüfen: Ist die Verarbeitung der Daten zulässig?

Die Zulässigkeit der Verarbeitung von personenbezogenen Daten durch einen Versicherungsvermittler beurteilt sich, sofern nicht bereichsspezifische Datenschutzvorschriften anzuwenden sind, grundsätzlich nach § 4 Abs. 1 BDSG. Danach ist das Erheben, Verarbeiten, Nutzen und das Übermitteln personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Es gilt also ein sogenanntes Verbot mit Erlaubnisvorbehalt: Verarbeitungen von personenbezogenen Daten sind immer verboten, soweit sie nicht ausdrücklich erlaubt sind oder eine Einwilligung des Betroffenen dazu vorliegt. Diese wichtige Grundregel ist für jeden einzelnen Schritt der Verarbeitung personenbezogener Daten, also insbesondere bei der Datenerhebung, der Datenspeicherung und der Datenweitergabe im Vermittlerbüro, zu beachten. So muss im Rahmen der Vermittlung eines Geschäfts durch den Versicherungsvermittler schon der erste Schritt – die Erhebung der personenbezogenen Daten – datenschutzrechtlich zulässig sein. Welcher Erlaubnistatbestand hierfür greift, kommt auf den Einzelfall und auf die Rolle des Versicherungsvermittlers an, also ob er als Versicherungsvertreter für ein Versicherungsunternehmen oder als Versicherungsmakler für einen potenziellen Versicherungsnehmer tätig ist. Grundsätzlich erlaubt das Gesetz insbesondere die Verarbeitung von personenbezogenen Daten zur Durchführung eines Vertrages mit dem Betroffenen.

Wann ist das Vermittlerbüro „verantwortliche Stelle“?

In diesem Zusammenhang stellt sich die Frage der datenschutzrechtlichen Verantwortlichkeit des Vermittlerbüros. Nach dem Gesetz ist die „verantwortliche Stelle“ jede Person oder Stelle, die personenbezogene Daten für sich selbst verarbeitet oder dies durch andere im Auftrag vornehmen lässt. Dagegen ist derjenige, der Daten nur in Auftrag für andere verarbeitet, keine verantwortliche Stelle.

Bei Versicherungsvermittlern wird man immer unterscheiden müssen: Versicherungsmakler, die für potenzielle Versicherungsnehmer tätig werden, sind stets verantwortliche Stelle. Sie suchen mit den von ihnen erhobenen Daten in eigener Verantwortung ein Versicherungsunternehmen. Bei Versicherungsvertretern ist die datenschutzrechtliche Verantwortlichkeit weniger eindeutig. Sie erheben und verarbeiten Daten sowohl für sich selbst als auch für das vertretene Unternehmen. Nach § 61 Abs. 1 VVG haben auch Versicherungsvertreter eigene Beratungspflichten. Insoweit sind sie im Rahmen der Kundenbetreuung beim Geschäftsabschluss auch selbst verantwortliche Stelle. Anderes gilt, wenn der Vertreter nach Abschluss der Versicherung ausschließlich und nur auf Weisung für das Versicherungsunternehmen personenbezogene Daten entgegennimmt, verarbeitet und weitergibt. Umfang und Zweck der Verarbeitung sind dann allein vom Versicherungsunternehmen festgelegt und der Vertreter agiert nur als „verlängerter Arm“ des Unternehmens. In diesem Fall handelt sich um eine sogenannte Auftragsdatenverarbeitung gemäß § 11 BDSG, welche eine schrift­liche Vereinbarung zwischen dem Versicherungsvertreter und dem Versicherungsunternehmen voraussetzt. Die datenschutzrechtlichen Pflichten des Versicherungsverstreters ergeben sich dann aus dieser sogenannten Auftragsdatenverarbeitungsvereinbarung.

Grundsatz der Datensparsamkeit, Erforderlichkeit und Löschpflicht

Bei jeglicher Verarbeitung von persönlichen Daten muss der Versicherungsvermittler den Grundsatz der Datensparsamkeit und Erforderlichkeit beachten. Danach dürfen vom Kunden, für den ein Geschäft vermittelt werden soll, nur diejenigen Daten verlangt werden, die für die Abwicklung erforderlich sind. Welche Daten im Einzelfall konkret erforderlich sind, ergibt sich aus der Natur des zu vermittelnden Geschäfts.

Sofern der Zweck für die Verarbeitung der Daten entfallen ist und keine gesetzlichen Aufbewahrungspflichten (insbesondere aus dem Steuerrecht) bestehen, müssen die personenbezogenen Daten schließlich zwingend gelöscht werden. Ist der Versicherungsvermittler Auftragsdatenverarbeiter, so darf dies allerdings nur nach Anweisung durch das Versicherungsunternehmen erfolgen, welches verantwortliche Stelle ist.

Datenschutzmanagement mit Verfahrensverzeichnis, Passwörtern und Verschlüsselung

Um die Übersicht über alle relevanten Verarbeitungen zu behalten, müssen Versicherungsvermittler ein sogenanntes Verfahrensverzeichnis erstellen. Dies ist gesetzlich vorgeschrieben. Das Verzeichnis ist ein wichtiges Element des eigenen Datenschutzmanagements, das der Bestandsaufnahme und Kontrolle über die laufenden Verarbeitungen von personenbezogenen Daten im eigenen Betrieb dient. Die im Verfahrensverzeichnis aufzunehmenden Angaben ergeben sich aus dem Gesetz, § 4e Satz 1 BDSG.

Daneben muss der Makler durch technische und organisatorische Maßnahmen nach § 9 BDSG sicherstellen, dass ein unbefugter Zugriff auf die verarbeiteten Daten ausgeschlossen wird. Klassischerweise ist dies der Passwortschutz beim Computer, aber auch die Verschlüsselung der Festplatte stellt eine solche Maßnahme dar. Daneben muss gewährleistet werden, dass besonders sensible Daten wie zum Beispiel Gesundheitsdaten nur verschlüsselt übertragen werden. Hat der Versicherungsvermittler seine IT ausgelagert, so muss er mit diesem Dienstleister seinerseits eine Auftragsdatenverarbeitungsvereinbarung abschließen.

Neues europäisches Datenschutzrecht kommt

Im Mai 2018 tritt das neue europäische Datenschutzrecht in Kraft. Versicherungsvermittler sollten sich daher schon jetzt mit den neuen Vorschriften befassen und prüfen, welche Prozesse im Betrieb angepasst werden müssen. Die Verordnung bringt einige Neuerungen für das Datenschutzrecht mit sich. Zudem werden die Geldbußen für Verstöße massiv erhöht.

Den Artikel lesen Sie auch in AssCompact 07/2017, Seite 120 f.

 
Ein Artikel von
Oliver Schmidt
Kai Wischnat