Artikel

Datenschutzverstöße, die weh tun

Der Schmerzensgeldanspruch aus Art. 82 DSGVO

von Rechtsanwalt Sebastian Karch (Kanzlei Michaelis)

SebastianKarch

SebastianKarch

In aller Munde waren und sind die hohen Bußgelder, welche Art. 83 DSGVO mit sich gebracht hat und damit den bis Mai diesen Jahres wenig beachteten Datenschutz aus dem Schattendasein ins Rampenlicht gezogen hat. Was dabei aber gerne übersehen wird, ist die andere finanzielle Sanktionsnorm aus der DSGVO:

Der Schadensersatzanspruch für Jedermann. Der Art. 82 DSGVO.

Zunächst, was steht im Art. 82 DSGVO?

Art. 82 DSGVO ist eine eigenständige datenschutzrechtliche Haftungsnorm für zivilrechtlichen Schadensersatz, welche selbständig neben vertraglichen, deliktischen oder sonstigen Ansprüchen steht. Gemäß Absatz 1 der Norm „hat jede Person, die wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder Auftragsverarbeiter.“

Im Vergleich zum alten § 7 BDSG ermöglicht die DSGVO dem Betroffenen also jetzt neu auch die Geltendmachung von nicht bezifferbaren immateriellen Schäden.

Was bedeutet das konkret?

Der Anwendungsbereich der Norm ist extrem weit. Es wird lediglich die Geltendmachung eines Schadens aus einem schuldhaften datenschutzrechtlichen Pflichtenverstoß vorausgesetzt. Die allermeisten deutschen Unternehmer haben dieses Jahr früher oder später die Erkenntnis gewonnen, dass sie wohl aktuell noch nicht vollständig DSGVO-konform agieren.

Diesbezüglich wird noch einmal auf die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO und Art. 24 DSGVO) hingewiesen, wonach jeder, der über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, also Verantwortlicher ist, die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze nachweisen können muss. Die Nachweispflicht für ein datenschutzrechtlich richtiges Verhalten ist auch noch einmal explizit in Art. 82 Abs. 3 DSGVO selbst genannt.

Das Vorliegen eines Datenschutzverstoßes und das Verschulden des Verantwortlichen / Auftragsverarbeiters, ist schnell behauptet. Ob sich dann seitens des Unternehmens exkulpiert werden kann, hängt von dessen DSGVO-Konformität ab. Kann er dies nicht und weist der Betroffene, dessen Daten der Verantwortliche oder Auftragsverarbeiter nicht DSGVO-konform verarbeitet hat, nach, dass daraufhin ein konkreter bezifferbarer Schaden entstanden ist (materieller Schaden), so kann er diesen in Geld ersetzt verlangen. Soweit so klar. Aber was blüht dem Verantwortlichen / Auftragsverarbeiter, wenn der Betroffene einen immateriellen Schaden, sprich Schmerzensgeld, geltend macht?

Beispiele für „emotional distress“:

Als ein Beispiel ist die Pflicht zur Verschlüsselung auf Webseiten zu nennen. Dies hat nichts mit der Einführung der DSGVO zu tun, sondern ist schon seit Jahren Pflicht in Deutschland (§ 13 Abs. 7 TMG). Der Webseitenbetreiber muss also eine Verschlüsselung auf seiner Webseite installiert haben, insbesondere wenn er ein Kontaktformular oder Newsletter anbietet, welches vom Webseitenbesucher die elektronische Übermittlung seiner personenbezogenen Daten verlangt. Ist hier keine entsprechende Schutzmaßnahme getroffen worden, wie etwa durch die Verwendung eines anerkannten Verschlüsselungsverfahrens (SSL oder TLS), so stellt dies einen erheblichen Datenschutzverstoß dar. In solchen Fällen sollen bereits zwischen EUR 6.500,- bis 12.500,- an Schmerzensgeld verlangt worden sein. Völlig losgelöst davon wäre bei einem derart gravierenden Datenschutzverstoß auch ein Bußgeld fällig, was vermutlich noch deutlich höher ausfallen dürfte. Derartigen Abmahnungen kann man aus Unternehmersicht noch relativ entspannt gegenübertreten, da meist schon nicht sauber begründet wurde, worin denn eigentlich der Seelenschmerz liegen soll, wenn der Betroffenen selbst sehenden Auges das unverschlüsselte Kontaktformular mit seinen Daten gefüttert hat. Je mehr Abmahnungen dieser eine Betroffene daraufhin verschickt hat, desto leichter ist nachzuweisen, dass dies nur eine Masche vom Betroffenen ist, um Geld einzufordern. Erste Gerichtsentscheidungen hierzu werden Klarheit verschaffen, was dem Betroffenen an Ausgleich zusteht bei derart offensichtlichen Datenschutzverstößen.

Als weiteres Beispiel sind fehlerhafte oder nicht vorhandene Löschkonzepte und der falsche Umgang mit Löschanfragen der Betroffenen zu nennen. Hierbei gilt es gewisse Fristen zu beachten. Antwortet der Verantwortliche nicht innerhalb von längstens einem Monat, so verstößt er gegen die DSGVO.

Auch wenn den Informationsrechten (Art. 13 und 14 DSGVO) nicht nachgekommen wird, begeht der Verantwortliche / Auftragsverarbeiter schnell einen DSGVO-Verstoß. Dieser ist auch leicht nachgewiesen, wenn es dem Unternehmen nicht gelingt, zu beweisen, dass ein entsprechender Datenschutzhinweis spätestens „bei Erhebung der Daten“ zugesandt wurde. Dann kann der Betroffene geltend machen, dass er nicht darüber informiert wurde, was mit seinen Daten geschieht und damit die Herrschaft über seine Daten verloren hat.

Aus diesen wenigen Beispielen wird deutlich, weshalb die DSGVO konsequenterweise auch einen Anspruch auf Ersatz immaterieller Schäden gewährt. Der Betroffene, dessen Daten an Dritte weitergegeben worden sind, soll nicht schlechter gestellt werden, nur weil ihm durch diese Art des Datenschutzverstoßes kein bezifferbarer materieller Schaden entstanden ist. Das ist beispielsweise in den USA schon lange geltendes Recht, wo unter dem Begriff „emotional distress“ der Kontrollverlust über die eigenen Daten zum Schadensersatz berechtigt.

In welcher Höhe nun Schadensersatzansprüche aus Art. 82 DSGVO geltend gemacht werden und wann ein Kontrollverlust eingetreten sein soll und wann nicht, lässt sich nur schwer vorhersehen. Die DSGVO selbst sagt, dass sich die Höhe des Schmerzensgeldes für immaterielle Schäden an der Genugtuungs- und Abschreckungsfunktion des Schmerzensgeldes orientieren soll. Ob die deutsche Rechtsprechung auch bei diesem Schmerzensgeldanspruch eher restriktiv urteilen wird, bleibt zunächst abzuwarten.

Fazit und Handlungsempfehlungen

Art. 82 DSGVO stärkt die Rechte der Betroffenen, indem er es Ihnen ermöglicht, mit einer sehr effektiven Schadensersatznorm Ansprüche wegen angeblicher oder tatsächlicher Schadensersatzansprüche geltend zu machen. Die Verantwortlichen und Auftragsverarbeiter tragen die Beweislast dafür, dass sie die Daten des Betroffenen datenschutzrechtlich einwandfrei verarbeitet haben. Gelingt der Nachweis nicht, sieht es schlecht aus und man kann sich eigentlich nur noch um die Schadenshöhe streiten. Wenn es sich bei dem beanstandeten Datenschutzverstoß auch nicht nur um einen Einzelfall gehandelt hat, sondern um einen sogenannten Strukturverstoß, dann kann es auch schnell existenzbedrohend werden.

Es gilt daher weiterhin im Unternehmen einen DSGVO-Datenschutzstandard zu etablieren. Das ist viel Arbeit und kostet Zeit, ist aber die einzige Möglichkeit enorme wirtschaftliche Risiken, wie die hohen Bußgelder von Behördenseite oder etwaige Schadenersatzansprüche der Betroffenen, später abwehren zu können.

Der Datenschutz sollte daher nicht als einmalige Anstrengung verstanden werden, sondern als fortlaufender Prozess.

Darüber hinaus sollten Verantwortliche und Auftragsverarbeiter weiterhin daran arbeiten, dass Sie einen Überblick darüber gewinnen, welche personenbezogenen Daten einzelner Betroffener im Betrieb auf welche Weise und für welchen konkreten Zweck verarbeitet werden. Nur, wer dies organisatorisch und technisch „im Griff hat“ und dokumentiert hat, kann seiner Nachweispflicht nachkommen.

Verordnung zur Umsetzung der Richtlinie (EU) 2016/97 des Europäischen Parlaments und des Rates vom 20. Januar 2016 über Versicherungsvertrieb

Verordnung des Bundesministeriums für Wirtschaft und EnergieA

Problem und Ziel

Mit Artikel 1 des Gesetzes zur Umsetzung der Richtlinie (EU) 2016/97 des Europäischen Parlaments und des Rates vom 20. Januar 2016 über Versicherungsvertrieb und zur Änderung weiterer Gesetze vom 20. Juli 2017 (BGBl. I S. 2789) wurde § 34d der Gewerbeordnung (Versicherungsvermittler, Versicherungsberater) neu gefasst. Einzelheiten über das Erlaubnisverfahren und die Pflichten der Gewerbetreibenden sind durch Rechtsverordnung auf der Grundlage des ebenfalls neu gefassten § 34e der Gewerbeordnung zu regeln.

B. Lösung

Mit der Verordnung über Versicherungsvermittlung und –beratung (Artikel 1) wird von der Verordnungsermächtigung in § 34e der Gewerbeordnung Gebrauch gemacht. Das Erlaubnisverfahren einschließlich der Berufshaftpflichtversicherung und das Registrierungsverfahren werden näher ausgestaltet. Zudem werden die Pflichten der Gewerbetreibenden, insbesondere die Pflicht zu einer regelmäßigen Weiterbildung, ausgestaltet. In der Finanzanlagenvermittlungsverordnung (Artikel 2) und der Immobiliardarlehensvermittlungsverordnung (Artikel 3) werden notwendige Folgeänderungen vorgenommen.

weiterlesen

Muss der Makler eine Auftragsdatenverarbeitung mit Maklerpools schließen?

von Rechtsanwälten Sebastian Karch/ Stephan Michaelis (Kanzlei Michaelis)

Stephan Michaelis

Stephan Michaelis

„Nein, der Makler muss in der Regel keinen Vertrag über Auftragsverarbeitung mit Maklerpools schließen, jedenfalls nicht mit den allermeisten“, sagt Rechtsanwalt Stephan Michaelis (Fachanwalt für Versicherungsrecht, Handels- und Gesellschaftsrecht).

Viele Makler fragen sich daraufhin: „Wie kann das sein? Der Pool erhält doch von mir personenbezogene Daten meiner Kunden zur Verarbeitung.“

Diese einfach anmutende Fragestellung, welche derzeit in der Branche heiß diskutiert wird, weil viele Pools jetzt eine AVV anbieten, sollte man sich datenschutzrechtlich Stück für Stück nähern, um die Abgrenzung von Auftragsverarbeitung zu eigener Verantwortlichkeit des Pools nachvollziehen zu können.

Zunächst, wer ist Auftragsverarbeiter?

Ein Vertrag über Auftragsdatenverarbeitung (im Folgenden „AVV“ genannt) ist zwischen einem Verantwortlichen und einem (oder mehreren) Auftragsverarbeiter(n) gemäß Art. 28 DSGVO zu schließen. Folglich ist die entscheidende Frage, ob ein Maklerpool als Auftragsverarbeiter anzusehen ist? Denn nur dann wäre eine AVV mit dem Makler als Verantwortlichen abzuschließen.

Ob eine Auftragsverarbeitung vorliegt, ist mittels einer sachbezogenen, funktionalen Betrachtung der tatsächlichen Verhältnisse zwischen Verantwortlichem und Auftragsverarbeiter festzustellen.

SebastianKarch

SebastianKarch

Die Datenverarbeitung muss selbstverständlich im Auftrag des Verantwortlichen stattfinden. Das zentrale Element der AVV ist darüber hinaus die Weisungsgebundenheit des Auftragsverarbeiters.[1] Der Verantwortliche legt allein Zwecke und Mittel der Verarbeitung fest und gibt dem Auftragsverarbeiter weisungsgebunden die von diesem vorzunehmenden Verarbeitungen vor. Davon darf nicht abgewichen werden. Fehlt es an der strengen Weisungsgebundenheit, so liegt keine Auftragsverarbeitung vor.

Typisches Beispiel für eine Auftragsverarbeitung ist die Auslagerung der Datenspeicherung bei einem Maklerverwaltungsprogramm (MVP). Typische Beispielsfälle für das Nichtvorliegen einer erforderlichen Auftragsverarbeitung sind auch die Datenübertragung an Rechtsanwälte, Steuerberater, weil hier eine gesetzliche Schweigepflicht besteht.

 

Wonach erfolgt also die Abgrenzung der Auftragsverarbeitung zur eigenen Verantwortlichkeit?

EXKURS: Früher wurde die weisungsgebundene Auftrags(daten)verarbeitung abgegrenzt zur sogenannten „Funktionsübertragung“. Eine Funktionsübertragung lag vor, wenn eine eigene Entscheidungsbefugnis des Dritten hinsichtlich des „Wie“ der Datenverarbeitung oblag. Dies ist nunmehr überholt, da die DSGVO dem Auftragsverarbeiter mehr Gestaltungsspielraum bei     der Wahl der Mittel, also wie er den Auftrag umsetzt, lässt, ohne an seiner Rolle als Auftragsverarbeiter zu rütteln. Die DSGVO geht insoweit davon aus, dass in der heutigen Zeit die Aufgabenteilung selbstverständlich ist. Nicht jedes Unternehmen macht alles, um ihren Kunden zufriedenzustellen, sondern bedient sich dafür wiederum spezialisierter Unternehmen, dem potenziellen Auftragsverarbeiter.

Aus diesem Grund kann es sich bei der Datenverarbeitung jetzt nur noch entweder um einen Auftragsverarbeiter oder einem Verantwortlichen handeln.

Für die Abgrenzung ist festzustellen, wann der Verantwortliche nicht mehr (allein oder gemeinsam mit anderen Verantwortlichen) die Entscheidung über Zwecke und Mittel der Verarbeitung trifft, sondern dem (vermeintlichen) Auftragsverarbeiter so viel Entscheidungskompetenz hinsichtlich der Verarbeitung überlässt, dass dieser selbst zum Verantwortlichen wird. Mit anderen Worten, der Auftragsverarbeiter ist, im Gegensatz zum Verantwortlichen derjenige, der nicht „allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung entscheidet“.

Ausschlaggebend ist demnach, wer von beiden tatsächlich über die Zwecke und Mittel der Verarbeitung entscheidet. Bei den allermeisten Maklerpools ist diese Waagschale eindeutig zur eigenen Verantwortlichkeit des Pools „hin gekippt“, denn dieser verarbeitet in der Regel freiwillig und eigenverantwortlich die Daten aus den Versicherungsvertragsverhältnissen, ohne großartig gegenüber dem akquirierenden Makler selbst ausschließlich Weisungsgebunden zu sein.

Zur Untermauerung dessen sollen die tatsächlichen Verhältnisse im üblichen Poolgeschäft einmal näher beleuchtet werden:

 

Tatsache 1

Rechtlich gesehen zieht der Pool die Versicherungsverträge an sich. Diese „gehören“ dann also nicht mehr dem akquirierenden Makler. Am ehesten ist das am Insolvenzfall eines Pools nachvollziehbar. Dann kann der Pool dem Makler im Vorfeld noch so viele (schuldrechtliche) Versprechungen gemacht haben, um ihn an sich zu binden. Im Pool-Insolvenzfall wird der Insolvenzverwalter die Vergütungen aus den Versicherungsverträge so schnell er nur kann in die Insolvenzmasse bringen. Der Makler hat dann keine Chance mehr, an vermeintlich „seine“ Verträge heranzukommen. Das vertragliche Versprechen, dass der Makler jederzeit seine Bestände haben kann, greift nicht mehr. Der Makler müsste zu seinem Kunden gehen und sich eine neue Vollmacht holen und den Kunden erneut umdecken. Dann ist aber meist die eine Hauptfälligkeit an Courtage weg, also in der Insolvenzmasse.

Zudem ist der Maklerpool in aller Regel umsatzsteuerbefreit. Nach dem hierfür einschlägigen § 4 Nr. 11 UStG sind die Umsätze steuerbefreit, welche aus der Tätigkeit von Versicherungsvermittlern (und Bausparkassen- und Versicherungsvertreter) stammen. Das heißt, die Tätigkeiten des Maklerpools entsprechen denen eines Versicherungsvermittlers.

Somit liegt dann aber denklogisch eine Eigenverantwortlichkeit des Pools (als Vermittler) vor, da er die Verträge an sich zieht und die Rolle des Vermittlers selbst ausfüllt und selbst zumindest mit-entscheidet. Wer selbst vermittelt, entscheidet auch selbst. Auch wenn es nur um das Entscheidungsrecht geht, nicht zu vermitteln. Aber ein Pool würde mit Sicherheit nicht eine Weisung des Maklers ausführen, die zu einer späteren Haftung führen könnte. Pools folgen also nicht allen Weisungen strikt und müssen es nach den Kooperationsverträgen mit den Maklern i.d.R. auch nicht.

 

Tatsache 2

Noch einleuchtender wird die Argumentation, dass der Pool kein Auftragsverarbeiter ist, wenn man sich vor Augen führt, dass der Pool in aller Regel eigenverantwortlich entscheidet, ob der vom Makler avisierte Versicherungsvertrag am Ende tatsächlich bei dem vom Makler ausgewählten Versicherer eingereicht wird. Der Pool kann also, zumeist vertraglich vereinbart, allein darüber entscheiden, ob der Auftrag des Maklers überhaupt umgesetzt wird. Manchmal entscheidet der Pool auch, dass ganze Kundenbestände auf einen anderen Versicherer umgedeckt werden. Hat der Pool aufgrund seiner Expertise eine bessere Möglichkeit für den Kunden gesehen, so kann er auch bei einem anderen Versicherer den Vertragsabschluss zum Wohle des Kunden herbeiführen. Oder es werden die Konditionen, der Versicherungsumfang oder die Versicherbarkeit von dem Pool mit dem Versicherer verhandelt. Wenn folglich der Pool eigene Deckungskonzepte anbietet, so ist er quasi selbstProduktgeber. Diese Tatsachen machen deutlich, dass der Makler es in aller Regel nicht einmal fest in der Hand hat, ob der Pool seinen Auftrag, so wie er es angetragen hat, strikt umsetzt, sondern der Pool ist der aktive Helfer!

 

Tatsache 3

Maklerpools bieten umfangreiche Dienstleistungen an, die er dem Makler nicht auf Geheiß erbringt, sondern von sich aus anbietet. Die allermeisten Maklerpools bieten dabei nicht nur bloße Unterstützungsdienstleistungen an, wie die Stellung eines Vergleichsrechners für die Internetseite des Maklers oder ein Back-Office, sondern eine sehr lange Liste an Dienstleistungen. Dazu gehören:

Bestandsoptimierung; Neukundenakquise mit Leads; Datenoptimierung; App-Lösungen; Stellung eines Maklerverwaltungsprogramms; persönliches Back-Office; Abrechnungsmodelle; Fortbildungen für Berater; Recherchetätigkeiten; Schadenfallunterstützung etc. etc.

Dem Makler geht es natürlich zuvorderst um die Teilnahme an den Konditionen, welche dieser Pool mit diesen und jenen Versicherungsgesellschaften ausgehandelt hat, oder um überhaupt den Marktzugang zu manchen Versicherern zu bekommen. Aber er bekommt zusätzlich eben noch weit mehr Dienstleistungen, völlig ohne, dass er dahingehend eine Weisung an den Pool ausgesprochen hätte. Geschweige denn, dass er diese Prozesse irgendwie steuert.

Wenn der Pool sogar über das „Ob“ entscheiden kann, dann ist die Weisungsgebundenheit so sehr eingeschränkt, dass nach den tatsächlichen Verhältnissen nicht mehr von einer Auftragsverarbeitung gesprochen werden kann.

Im Übrigen gibt auch die Größe und damit Verhandlungsstärke das Ergebnis nicht vor. Denn es kann auch Auftragsverarbeiter sein, wer kraft seiner Größe / Verhandlungsstärke nur einen vorgegebenen, standardisierten Leistungskatalog anbietet, von dem es kein Abrücken gibt. Entscheidend ist diesbezüglich nur, dass der Verantwortliche die Wahl hat, die vom Auftragsverarbeiter angebotenen Leistungen anzunehmen und nicht zum Vertragsschluss gedrängt wird. Da es am Markt genügend Maklerpools gibt und der einzelne Makler theoretisch immer wechseln könnte, ist die Marktgröße des Pools also kein Argument dafür, dass keine AVV abzuschließen ist.

 

Wenn der Pool kein Auftragsverarbeiter ist, was ist er dann?

Die DSGVO sieht ein neues Instrument vor, die sogenannte „gemeinsame Verantwortlichkeit“ nach Art. 26 DSGVO. Läge diese vor, so müsste der Makler mit dem Pool eine „Vereinbarung“ abschließen, in der sie gemeinsam festlegen, wer von ihnen welche DSGVO-Verpflichtung erfüllt. Verlangt wird für dieses Instrument also eine gemeinsame Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Jeder der gemeinsam Verantwortlichen muss einen steuernden und kontrollierenden Einfluss auf die gemeinsamen Verarbeitungen nehmen können.

Nach den oben dargestellten tatsächlichen Verhältnissen kann davon in den allermeisten Fällen nicht gesprochen werden. Der Pool stellt dem Makler eine Plattform zur Verfügung, z.B. eine Bestandsverwaltung mit Abrechnungssystem. Das kann der Makler natürlich nutzen, aber er hat keinen steuernden Einfluss auf die Inhalte. Zudem benutzen die Maklerpools in aller Regel ihr MVP selber zu eigenen weiteren Zwecken. Ohne steuernden Einfluss, wird dem Makler nur die Entscheidung über Nutzen oder Nicht-Nutzen gewährt. Es ist kein „Miteinander“ im Sinne von Art. 26 DSGVO. Demzufolge dürfte auch Art. 26 DSGVO in den allermeisten Maklerpool-Fällen nicht einschlägig sein.

 

Der Maklerpool ist eigener Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO

Wenn alle anderen Möglichkeiten nach oben Gesagtem ausgeschlossen sind, bleibt konsequenterweise nur noch eine Möglichkeit übrig. Der Maklerpool ist als eigenständiger Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO anzusehen, mit allen damit verbundenen Pflichten.

 

Maklerpool in Einwilligungserklärung benennen

„Wichtig ist, dass der Makler in seiner Datenschutzerklärung zum Maklervertrag die Einwilligung des Kunden in die Datenweitergabe an den Maklerpool einholt. Der Pool ist dabei mit Namen zu benennen, damit der Kunde transparent darüber informiert wird, wohin seine personenbezogenen Daten im Rahmen des Maklervertrages weitergegeben werden.“ (Rechtsanwalt Stephan Michaelis).

Damit sich der Makler nicht schadensersatzpflichtig macht, sollte in jedem Fall darauf geachtet werden, dass er in seiner Datenschutzerklärung zum Maklervertrag den Maklerpool, an welchen er angebunden ist, namentlich vollständig benennt. Dies gilt selbstverständlich auch dann, wenn der Makler eine AVV mit seinem Pool geschlossen haben sollte. Denn es ist nicht das eine oder das andere zu tun. Eine AVV befreit den Makler nicht davon, dass er einen Datenschutzverstoß begeht, wenn er im Poolgeschäft keine nachweisliche Einwilligung einholt und den Kunden nicht über die Einbindung des Pool informiert.

 

Fazit

In den allermeisten Fällen muss der Makler keine AVV mit dem Maklerpool abschließen. Wenn der Makler nicht aufpasst, entstehen auch noch nachteilige vertragliche Pflichten. Nur wenn der Pool sich auf reine Back-Office-Dienstleitungen, wie etwa  nur die Zurverfügungstellung eines MVP beschränkt und rechtlich auch keine Versicherungsverträge an sich gezogen hat, ist vielleicht eine AVV zu schließen. Dann liegt die Konstellation zugrunde, dass der Pool strikt die Weisungen des Maklers umzusetzen hat. Denn aus Sicht des Pools wird dieser ansonsten immer freiwillig und eigenverantwortlich tätig, ohne entscheidend und vollständig nach den Vorgaben des Maklers weisungsgebunden zu sein.

Viel wichtiger ist es, dass der Makler seine Kunden transparent darüber informiert, dass er personenbezogenen Daten des Kunden, insbesondere die besonderen personenbezogenen Daten, an den Maklerpool weitergeben wird. Dazu hat er sich die Einwilligung des Kunden einzuholen, auch wenn eine AVV vereinbart wurde!

[1] In diesem Artikel werden die neuen Begrifflichkeiten aus der DSGVO verwendet; legaldefiniert in Art. 4 DSGVO. Zur besseren Nachvollziehbarkeit: Verantwortlicher entspricht dem „alten“ Auftraggeber und Auftragsverarbeiter dem Auftragnehmer. Die „alten“ Begrifflichkeiten werden auch noch weiterhin in vielen neuen AVV verwendet.

„Zeitbombe“ in Arbeitsverträgen mit Arbeitnehmern mit Provisionsvergütung?

Hohe legale Gehaltserhöhung für Arbeitsnehmer im Versicherungsbereich, die (mit Stornoreservekonten abgesicherte) Provisionen vom Arbeitgeber erhalten, durch das Urteil des Bundesarbeitsgerichtes in  BAG 10 AZR 84/14 ?

Dr. Jan Freitag

Dr. Jan Freitag

Das Bundesarbeitsgericht hat nach der Revision des Unterzeichners am 21.01.2015 unter dem Aktenzeichen BAG 10 AZR 84/14 insoweit ein Stück deutsche Rechtsgeschichte geschrieben, als dass sich die in der Überschrift gestellte Frage stellt.

Sie stellt sich jetzt, Anfang des Jahres 2017, noch vehementer, weil es, nach der Zurückverweisung vom Bundesarbeitsgericht und nach dem zwischenzeitlichen Abschluss des Verfahrens nach Zurückverweisung durch das BAG zum vorinstanzlichen Landesarbeitsgericht und vieler Parallelverfahren auf Ebene der Landesarbeitsgerichtsbarkeit, zwar im Ergebnis, nicht aber in der Interpretation des BAG-Urteiles Rechtsklarheit gibt:

In manchen Arbeitsvertragskonstellationen könnte die Konsequenz aus dem genannten Urteil des Bundesarbeitsgerichtes sein, dass es für alle Arbeitnehmer, die solche laufenden Arbeitsverträge haben, um eine saftige Gehaltserhöhung geht.

Aus Arbeitgebersicht gilt es daher, gründlich zu prüfen, ob man nach dem Urteil des Bundesarbeitsgerichtes solche „Zeitbomben“ in den eigenen Arbeitsverträgen hat. Hierauf sollte dringend im Sinne der Personalkosten geachtet und ggf. gegengesteuert werden.

Aus Arbeitsnehmersicht stellt sich die Frage, ob man legal das Urteil des Bundesarbeitsgerichtes nutzt und um eine entsprechende Gehaltserhöhung kämpft.

Arbeitsrechtlich geht es um folgendes:

Das Bundesarbeitsgericht hat, neben einer deutlichen Erhöhung der Bearbeitungs- und Dokumentationslast für Arbeitgeber bei Stornierungen für von Arbeitnehmer vermittelten Versicherungen, zwei bisher nicht unübliche Klauseln in Arbeitsverträgen für unwirksam erklärt.

  1. Provisions- und Provisionsrückzahlungsklausel, BAG 10 AZR 84/14, RN 43-48

 Dem Bundesarbeitsgericht ging es um folgende, gleichlautende oder ähnliche Klauseln:

Voraussetzung für die (vorschüssige) Zahlung von Superprovision und Provision für Eigengeschäft ist, dass der Mitarbeiter die Provisionsbedingungen, insbesondere die Stornohaftungsbedingungen der einzelnen Gesellschaften anerkennt und als vertragsgemäß akzeptiert. Gleiches gilt für die Allgemeinen Provisionsbestimmungen der Gesellschaft. Die Gesellschaft wird das Prozedere hierzu noch festlegen und dem Mitarbeiter mitteilen.

Dem Bundesarbeitsgericht ging es ersichtlich um Transparenz von Arbeitsverträgen. Die Entscheidung, dass solche Klauseln unwirksam sind, ist eindeutig. Über die rechtliche Konsequenz wird jedoch noch gestritten:

Die Konsequenz aus dem Wortlaut der Entscheidung des Bundesarbeitsgerichtes muss nach einer Ansicht sein, dass die Rückforderungsklauseln in Arbeitsverträgen dann, wenn sie unwirksam sind und der Arbeitgeber eben die Provisions- und Stornohaftungsbedingungen dem Arbeitnehmer nicht vorgelegt hat, keine Rechtsgrundlage für die Rückforderung von Arbeitsvergütung im Falle einer Stornierung bieten.

 In der Konsequenz hätte der Arbeitnehmer also einen Provisionsanspruch, aber er wäre (wegen der unwirksamen Rückforderungsklausel und weil der Arbeitgeber keine Provisions- und Stornohaftungsbedingungen vorgelegt hat) nicht gefährdet, nach Stornierungen  Provisionen zurückzahlen zu müssen.

Die andere Auffassung vertritt die Ansicht, dass für den Arbeitgeber andere gesetzliche Rechtsgrundlagen zur Rückforderung der Provisionen bestünden, z.B. aus dem HGB (§ 87 Absatz 3 i.V.m. § 92 Absatz 2 und 3 HGB, § 87a Absatz 3 und § 92 Absatz 4 HGB seien zu beachten bzw. Grundlage) oder aus dem BGB (§ 812 BGB). Diese bestünden, als klare gesetzliche Regelungen, unabhängig von der Vorlage und Kenntnisnahme der Provisions- und Stornohaftungsbedingungen auf Arbeitnehmerseite.

Der Verfasser dieses Artikels vertritt die Auffassung, dass das zitierte Urteil des Bundesarbeitsgerichtes nur dann vollständig Sinn ergibt, wenn man der ersten Auffassung folgt. Sonst hätte das Urteil keine rechtliche Konsequenz. Zwar sind gesetzliche Rückforderungsansprüche, z.B. über das Bereicherungsrecht, nicht ausgeschlossen. Hier wird es aber nur um Ausnahmefälle, wie Missbrauch des Arbeitnehmers in der Vermittlung, gehen.

So führte auch das Bundesarbeitsgericht nach einer Frage des Unterzeichners in der mündlichen Verhandlung am 21.01.2015  aus, dass es davon ausginge, dass der Arbeitgeber bei einer Rückforderung von Vergütung vom Arbeitnehmer auch darlegen und beweisen müsse, wie er konkret die Provisions- und Stornohaftungsbedingungen dem Arbeitnehmer näher gebracht habe. Die Vorlage und Kenntnisnahme (inklusive Einverständnis) der Provisions- und Stornohaftungsbedingungen sind also offensichtlich für das Bundesarbeitsgericht Teil der geforderten Transparenz, wenn der Arbeitgeber Provisionsvergütung vom Arbeitnehmer zurückerlangen möchte.

Die Landesarbeitsgerichte (das Bundesarbeitsgericht hatte nach seinem zitierten Urteil zurückverwiesen bzw. war naturgemäß Grundlage für Entscheidungen von Landesarbeitsgerichten in Parallelverfahren) haben jedoch die Unbegründetheit der Rückforderung von Provisionen durch den Arbeitgeber nicht so begründet, wie der Verfasser es erwartet hatte. U.E. wäre naheliegend gewesen, die Klagen des Arbeitgebers nach dem BAG-Urteil abzuweisen, weil der Arbeitgeber die Provisions- und Stornohaftungsbedingungen dem Arbeitnehmer nicht vorgelegt hat. Die Landesarbeitsgerichte, die nach dem hier besprochenen Urteil des BAG entschieden haben, haben aber die Rückforderungsklagen des Arbeitgebers an den hohen Schlüssigkeitsforderungen, die das Bundesarbeitsgericht in seinem Urteil aufgestellt hat, scheitern lassen („deutlichen Erhöhung der Bearbeitungs- und Dokumentationslast für Arbeitgeber bei Stornierungen für von Arbeitnehmer vermittelten Versicherungen“).

  1. Stornoreservekonten in Arbeitsverträgen, BAG 10 AZR 84/14, RN 58, 60

Das Bundesarbeitsgericht hat außerdem folgende Klausel bezüglich Stornoreservekonten für unwirksam erklärt, die ebenfalls in der Praxis nicht unüblich sein dürften:

„Es werden 10 % der vom Mitarbeiter erwirtschafteten Provisionen – gleich welcher Art – einem unverzinslichen Sicherheitskonto gutgeschrieben, welches von der Gesellschaft verwaltet wird. Über diese Ansprüche kann der Mitarbeiter erst verfügen, wenn sich kein Vertrag mehr in der Stornohaftungszeit befindet und auch sonst keine Rückforderungsansprüche der Gesellschaft bestehen oder entstehen können.“

In diesem Punkt waren sich alle Prozessbeteiligten einig, dass die Konsequenz aus dem Urteil des Bundesarbeitsgerichtes bei solchen Klauseln sein dürfte, dass der Arbeitsnehmer, jedenfalls nach seiner letzten Abrechnung des Stornoreservekontos, das dort ausgewiesene bestehende Guthaben ausgezahlt bekommen muss.

So lauteten auch die dem BAG-Urteil folgenden Landesarbeitsgerichtsentscheidungen, die der Unterzeichner widerklagend erwirkt hat.

  1. Rechtliche Konsequenzen ?

Der „erste Zünder der Bombe“ wäre, sich auszumalen, dass der Arbeitnehmer Provisionsvergütung unabhängig von späteren Stornierungen immer voll behalten darf, weil (siehe Ziffer 1) wegen Unwirksamkeit der arbeitsvertraglichen Klausel der Arbeitgeber die Provision nicht mehr zurückfordern darf, sogar wenn er nachweisen könnte, dass es zu korrekten Stornierungen gekommen sei. Denn er hat wegen Nichtvorlage der Provisions- und Stornohaftungsbedingungen keine Rechtsgrundlage mehr (siehe oben).

Im Grunde wären Rückforderung von Provisionsvergütung von Arbeitnehmern ohne Vorlage und Einverständnis von Provisions- und Stornohaftungsbedingungen in der Sphäre des Arbeitnehmers immer unwirksam.

Im laufenden Arbeitsverhältnis würde dies für die Zukunft gelten und im Rahmen der Verjährungs- oder arbeitsvertraglichen Verfallfristen auch für bestimmte Zeiten in der Vergangenheit.

Dies wäre schon eine ordentliche Gehaltserhöhung, und zwar in der Höhe der Storno-Quote der vom Arbeitnehmer für den Arbeitgeber vermittelten Versicherungen.

Der „zweite Zünder der Bombe“ geht jedoch noch weiter:

Stornoreservekonten werden in der Praxis in laufenden Arbeitsverhältnissen im Kontokorrent geführt. Ein bestimmter Anteil des Gehaltes des Arbeitsnehmers (im BAG-Fall 10 %) wird in das Stornoreservekonto gebucht, davon werden laufend Stornierungen abgezogen, so dass sich ein Saldo zu Gunsten oder zu Lasten des Arbeitnehmers ergibt.

Wenn aber nun auch das Stornoreservekonto nach dem Bundesarbeitsgericht unwirksam ist (und wie im hier besprochenen BAG-Fall beide Klauseln vorhanden und unwirksam sind), hat der Arbeitnehmer denklogisch nicht nur Anspruch darauf, ein ggf. vorhandenes Guthaben sofort ausgezahlt zu bekommen und zukünftig weder Stornoreserve noch tatsächliche Stornierungen abgezogen zu bekommen, sondern der Arbeitgeber wäre auch bezüglich des in der Vergangenheit einbehaltenen Gehaltes im Stornoreservekonto ungerechtfertigt bereichert.

Im besprochenen BAG-Fall ginge es also um 10 % Gehaltserhöhung für die Zukunft und um eine sehr hohe Einmalzahlung (10 Prozent des Gehaltes seit Beginn des Arbeitsvertrages !), wenn die Storno-Quote höher wäre, sogar um noch mehr.

Denn die rechtliche Konsequenz wäre zusätzlich, dass der Arbeitnehmer für Jahre (denn durch das Kontokorrent dürfte auch die Verjährung oder ein arbeitsvertraglicher Verfall keine Rolle spielen) das einbehaltene Gehalt voll zurückbekommt, unabhängig von der Berechtigung jeder Stornierung.

Praktische Konsequenz wäre die vielleicht ein wenig provokativ bzw. martialisch klingende Überschrift und Zwischenüberschrift zu diesem Artikel.

Fazit:

Jedenfalls das Risiko der rechtlichen Konsequenz einer sehr hohen Gehaltserhöhung für alle Vertriebsangestellten im Versicherungsbereich, die arbeitsvertraglich in der vom Bundesarbeitsgericht kritisierten, in der Praxis aber nicht unüblichen Weise Vermittlungsprovisionen zugesichert bekommen haben, liegt auf der Hand.

Das Bundesarbeitsgericht hat die Klauseln für unwirksam erklärt. Der Eindruck des Verfassers ist, dass dem Bundesarbeitsgericht die rechtliche Konsequenz nicht vollständig bewusst war, was er auch aus den Erörterungen in der mündlichen Verhandlung vor dem Bundearbeitsgericht in Erfurt schließt.

Hintergrund war ersichtlich, dass es in dem vorliegenden Fall nicht darauf ankam, da es um ein lange (jenseits der Verjährungsfristen) beendetes Arbeitsverhältnis ging. Die rechtlichen Überlegungen des Bundesarbeitsgerichtes insgesamt (Unwirksamkeit derartiger Klauseln und „hohe Hürden“ für die Rückforderung von Provisionsvergütung) sind nach Überzeugung des Verfassers dieses Artikels in jedem Fall arbeitsrechtlich überzeugend. Von uns wurde in der Revisionsbegründung in eine ähnliche Richtung argumentiert.

Ob dieses Urteil des Bundesarbeitsgerichtes eine Dimension erhält, wie z.B. die Unwirksamkeit von Widerrufsklauseln in Darlehensverträgen, ist sicher noch nicht abzusehen. Jedoch ist jedem Arbeitnehmer und jedem Arbeitgeber dringend anzuraten, die eigenen Arbeitsverträge auf diesen Aspekt hin zu prüfen und Rechtsklarheit zu schaffen.

Dr. Jan Freitag, Fachanwalt für Arbeitsrecht, Kanzlei Michaelis Rechtsanwälte, Glockengießerwall 2, 20095 Hamburg, 040 88888 777, www.Kanzlei-Michaelis.de

Unsere Kanzlei, die ihren Mandanten-Schwerpunkt im Versicherungsbereich hat, bietet über ihre Rechtsanwälte anwaltliche Beratung in unterschiedlicher juristischen Disziplinen. Denn es gibt bei den Firmen-Mandanten nicht nur rechtlichen Fragestellungen zur eigenen Versicherungsvermittlung. Jede Firma kann rechtliche Probleme, z.B. mit ihren Arbeitnehmern oder im Wettbewerb, jede Firma kann z.B. arbeitsrechtliche oder gesellschaftsrechtliche Gestaltungswünsche haben.

Viele dieser Firmen nutzen die Kanzlei Michaelis Rechtsanwälte über eine monatliche Beratungspauschale als „externe Rechtsabteilung“.

Bewerberdatenschutz

Auf unserer Webseite bieten wir Ihnen die Möglichkeit, sich mittels eines Kontaktformulars direkt Online auf unsere Stellenausschreibungen zu bewerben. Im Folgenden informieren wir Sie darüber, welche personenbezogenen Daten wir dabei von Ihnen als Bewerber verarbeiten und erläutert den Umgang mit Ihren persönlichen Daten im Laufe des Bewerbungsverfahrens.

a) Welchen Zweck hat die Erhebung personenbezogener Daten?

Für die Onlinebewerbung benötigen wir Ihre persönlichen Daten zur Bearbeitung Ihrer Bewerbung. Die Daten, die Sie uns im Zuge Ihrer Bewerbung übermitteln, werden nur für den Zweck der Bewerberauswahl verwendet und verarbeitet. Zur Bearbeitung Ihrer Bewerbung verwenden wir nur die Informationen, die Sie uns direkt übermittelt haben. Hierzu können auch Informationen gehören, die Sie in Online-Karriere-Netzwerken oder anderen Job-Portalen angegeben haben.

Darüber hinaus ist es unser Ziel, den Bewerbungsprozess für Sie so einfach wie möglich zu machen. Wir berücksichtigen Ihre Bewerbung auch gerne für weitere Positionen bei uns im Haus. In diesem Fall würden wir Sie kontaktieren und Sie einladen, sich auf eine andere Position zu bewerben, wenn Ihr Profil passt. Sie entscheiden dann, ob Sie sich bewerben möchten. Dasselbe gilt für Initiativbewerbungen, die Sie uns übermitteln.

b) Welche personenbezogenen Daten erfassen wir?

Wir erfassen Ihre persönlichen Daten, die für das Bewerbungsverfahren relevant sind oder die Sie uns im Zuge des Bewerbungsverfahrens übermitteln (darunter zum Beispiel Nachname, Vorname, Anschrift, E-Mail, die Position, auf die Sie sich bewerben, und Angaben zu Ihrer persönlichen Bewerbung). Um Ihre Bewerbung sorgfältig zu beurteilen, benötigen wir eventuell auch zusätzliche Angaben, z.B. zu Ihrem bisherigen beruflichen Werdegang.
Bei der Online-Bewerbung tragen Sie Ihre persönlichen Daten in die Online-Formulare ein und laden die zugehörigen Unterlagen hoch. Bei Bewerbungen über andere Kanäle erfassen wir die relevanten Informationen aus Ihrer Bewerbung und speichern Ihre Bewerbungsunterlagen in unserem System.

c) Auf welcher Rechtsgrundlage und wie erheben wir Ihre persönlichen Daten im Rahmen einer Bewerbung?

Wir erheben Ihre persönlichen Daten zum Zweck der Durchführung des Bewerbungsverfahrens auf der Rechtsgrundlage des Art. 6 Abs. 1 b), Art. 88 Datenschutzgrundverordnung (DSGVO) i.V.m. § 26 Abs. 1 Satz 1, 1. Alt. Bundesdatenschutzgesetz (BDSG).Bei einer Onlinebewerbung auf eine konkrete Stelle oder einer Initiativbewerbung geben Sie Ihre Daten selbständig in das entsprechende Onlineformular ein. Aus Sicherheitsgründen schicken wir Ihnen nach Ihrer Onlineanmeldung eine Bestätigungsnachricht. Bei einer Email-Bewerbung erfassen wir alle relevanten Daten in unserem Rekrutierungssystem und laden Ihre Dokumente inkl. Ihrer Email hoch. Ihre Email wird im Anschluss aus unserem Postfach gelöscht.


d) Wer wird über Ihre Bewerbung informiert?

Ihre persönlichen Daten werden streng vertraulich behandelt und nur den zuständigen am Bewerbungsverfahren beteiligten Personen zur Verfügung gestellt. Falls Sie für eine Beschäftigung in Betracht kommen, ist die nachfolgende Verwendung bzw. Weitergabe Ihrer persönlichen Daten auf rein beschäftigungsbezogene Zwecke und auf die Personengruppe beschränkt, die im Rahmen der Einstellung Kenntnis darüber erlangen muss.


e) Welche Daten erheben wir im Rahmen Ihrer Bewerbung?
Wir verpflichten uns im Rahmen Ihrer Bewerbung nur diejenigen Daten zu verwenden, die unmittelbar und persönlich von Ihnen stammen. Hierzu können auch solche Daten gehören, die Sie zum Zwecke der beruflichen Darstellung (z.B. in sozialen Netzwerken) online zur Verfügung stellen. Eine darüber hinaus gehende Recherche zu Ihrer Person, z.B. mittels Online-Suchmaschinen, nehmen wir nicht vor. Die Angabe Ihres Alters bzw. die Eingabe Ihres Geburtsdatums ist dadurch begründet, dass für einige unserer Tätigkeiten gesetzlich ein Mindestalter vorgesehen ist.


f) Wie werden Ihre persönlichen Daten übermittelt?

Die Internet-Server unseres Providers erfüllen aktuelle Sicherheitsstandards. Wir versuchen damit Ihre persönlichen Daten gegen Verlust, Missbrauch, unbefugten Zugriff, Bekanntwerden, Änderung und Löschung zu schützen. Die Übermittlung Ihrer persönlichen Daten an die Server erfolgt nach den Sicherheitsstandards der TLS-Methode.


g) Wann werden Ihre personenbezogenen Daten gelöscht?
Im Rahmen einer Onlinebewerbung auf eine konkrete Stelle können Sie jederzeit Ihre Daten sowie die beigefügten Anhänge (wie z.B. Ihren Lebenslauf) selbst löschen. Zusätzlich haben Sie die Möglichkeit, uns um die Löschung Ihrer Daten zu bitten. Wenn Sie die sofortige Löschung Ihres Bewerberprofils wünschen, wenden Sie sich bitte an die in der Datenschutzerklärung angegebene Kontaktadresse.

Unsere Regellöschfrist für eine Bewerbung beträgt nach Abschluss des Bewerberverfahrens (Absage bzw. Einstellung erfolgt) oder nach Abschluss der Recruiting-Veranstaltung vier Monate.

Care-Paket DSGVO: Datenschutz für Versicherungsmakler

Am 25.5. läuft die letzte Frist zur Umsetzung der DSGVO in allen Gewerbebetrieben im Raum der EU ab. Versicherungsmakler sind – durch Verarbeitung besonderer personenbezogener Daten – auch in besonderem Maße aufgefordert und betroffen, die Richtlinien des Datenschutzes ernst zu nehmen. Wie im Betrieb auf einen datenschutzkonformen Ablauf hingewirkt werden kann, erklärt Datenschutzexperte Dipl.-Ing. (FH) Harald Müller-Delius, MBA, Datenschutzbeauftragter der Kanzlei Michaelis im Video

 

Datenschutz-Grundverordnung (DSGVO) – Ein Leitfaden

von Rechtsanwalt Sebastian Karch, Kanzlei Michaelis Rechtsanwälte

Jeder Unternehmer in Deutschland sollte bis zum 25. Mai 2018 das Thema Datenschutz im Griff haben. Denn an diesem Tag endet die zweijährige Übergangsfrist, die den Unternehmern in der EU gewährt wurde, um sich an die neuen Datenschutz-Standards, welche der EU-Gesetzgeber mit der DSGVO aufstellt, anzupassen.

Das neue Datenschutz-Niveau ist aus deutscher Sicht zwar gar nicht viel höher, als das bisher im deutschen Bundesdatenschutzgesetz (BDSG) und diversen weiteren Einzelgesetzen (Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) usw.) verankerte Datenschutzrecht. Aber die deutschen Datenschutzbehörden haben in der Vergangenheit nicht alles sanktioniert/sanktionieren müssen. In der Praxis muss man wohl sagen, dass die kleinen und mittleren Unternehmen (KMU) den Datenschutz im Durchschnitt nicht ernst genommen haben und auch keinen großen Druck seitens der Datenschutzbehörden erfahren haben. Aber auch KMU verarbeiten personenbezogene Daten wie beispielsweise Name, Kontaktdaten, ggf. Gesundheitsdaten. Der Begriff der Verarbeitung beinhaltet sämtliche Arbeitsschritte wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Hierbei ist natürlich der sachliche Anwendungsbereich der DSGVO gemäß Art. 2 DSGVO zu berücksichtigen, der nur Verarbeitungen erfasst, die „ganz oder teilweise automatisiert“ stattfinden. Dies bedeutet aber auch, dass manuell erhobene Daten, die einer automatisierten Verarbeitung zugeführt werden sollen, bereits unter den Schutz der DSGVO fallen.

Ab 25. Mai 2018 werden die Behörden den KMU mehr Aufmerksamkeit widmen, da sie dann verpflichtet sind zu sanktionieren. Die Frage ist dann nur noch, in welcher Höhe der einzelne Verstoß geahndet wird.

Es bedarf daher einer guten Compliance-Strategie, um das neue Datenschutz-Niveau erfolgreich im Unternehmen zu integrieren. Dabei darf dies nicht als einmalige Anstrengung verstanden werden, sondern sollte als fortlaufende, jeden Unternehmensprozess durchziehende Anforderung verstanden werden.

Dringende Empfehlung! – bis 25. Mai 2018 wenigstens Kernthemen angehen

Das neue Datenschutz-Niveau bis zum Stichtag zu erreichen, wird vielen Unternehmern nicht gelingen. Umso wichtiger ist es, bis dahin unbedingt die Kernthemen angegangen zu haben. Denn das schlimmste was dem Unternehmer passieren kann, ist, wenn er am 25. Mai 2018 gar nichts vorweisen kann und damit nachweislich den Datenschutz nicht ernst nimmt. Die folgenden Punkte stellen die wichtigsten Kernthemen dar, mit denen sich bis dahin und natürlich darüber hinaus unbedingt beschäftigt werden sollte. Denn der Datenschutz ist keine einmalige Anstrengung, sondern ein Prozess!

I. 15 Punkte für eine gute Compliance-Strategie

Damit es nicht zum Bußgeld kommt, und jeder Unternehmer zum 25. Mai 2018 die Basics im Unternehmen etabliert hat, hier nun eine „Checkliste“, die dem Leser als Unterstützung bei dieser Aufgabe dienen soll.

1. Datenschutzbeauftragter (Art. 37 DSGVO)

Eine der ersten Fragen, die Sie sich als Versicherungsmakler stellen sollten, ist die, ob Sie einen Datenschutzbeauftragten (DSB) bestellen müssen bzw. freiwillig bestellen wollen.

a) Mitarbeiterzahl (Art. 37 Abs. 4 DSGVO i.V.m. § 38 Abs. 1 BDSG-neu)

Die Bestellpflicht wird zum einen ausgelöst, wenn im Unternehmen mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Welche Personen dies sind, ist irrelevant. Es zählt jeder Kopf, also auch jeder Praktikant und jede Teilzeitkraft, Azubi, Aushilfe, Schwangerschaftsvertretung etc.

b) „Kerntätigkeit“

Unabhängig von der Mitarbeiterzahl ist für den Versicherungsmakler aber die Bestellpflicht nach Art. 37 Abs. 1 Buchstabe c) DSGVO. Diese wird nämlich (unabhängig von der Mitarbeiterzahl!) ausgelöst, wenn die „Kerntätigkeit“ in der umfangreichen Verarbeitung besonderer Kategorien von Daten (u.a. Gesundheitsdaten und biometrische Daten, vgl. Begriffe in Art. 4 DSGVO) besteht.

Das bedeutet, dass es nicht auf die Mitarbeiterzahl ankommt, wenn z.B. Gesundheitsdaten „umfangreich“ in der „Kerntätigkeit“ verarbeitet werden!
Die Begriffe „Kerntätigkeit“ und „umfangreich“ sind sehr weit gefasst und lösen somit Unklarheiten aus. Aus dem Erwägungsgrund 97 zur DSGVO ergibt sich die Hilfestellung, dass sich die „Kerntätigkeit eines Verantwortlichen“ auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht. Eine klare Abgrenzung, wann die Bestellpflicht noch nicht ausgelöst wird, ist derzeit allerdings nicht möglich.

Zur Klärung der Frage, ob eine umfangreiche Verarbeitungstätigkeit vorliegt, ist am Ende jeder Einzelfall für sich zu betrachten. Entscheidungserhebliche Parameter, wie etwa die Kundenzahl sowie Art und Umfang der Verarbeitung von besonderen personenbezogenen Daten, dürfte von Versicherungsmakler zu Versicherungsmakler unterschiedlich ausfallen. Je kleiner das Unternehmen, umso mehr Argumente sollten für den Versicherungsmakler sprechen, dass keine Bestellpflicht ausgelöst wird. Je umfangreicher die Verarbeitung von „sensiblen“ Daten der Versicherungsnehmer, umso mehr Argumente sprechen für eine „umfangreiche“ Verarbeitung besonderer personenbezogener Daten.

In der derzeitigen Umbruchphase scheint es bezüglich der konkreten Fragstellung, ob der Versicherungsmakler unter die Bestellpflicht fällt oder nicht, überdies noch regionale Unterschiede je nach zuständige datenschutzrechtlichen Aufsichtsbehörden zu geben. Deshalb ist unbedingt darauf zu achten, was von der für Sie zuständigen Landesdatenschutzbehörde zu diesem Thema veröffentlicht wird.

Für einzelne Makler mag es hier daher einen gewissen Argumentationsspielraum geben, wenn kein DSB genommen wird. Diese Entscheidung, keinen DSB zu bestellen, sollte aber in jedem Fall mit Argumenten dokumentiert werden. Das unternehmerische Risiko besteht darin, dass die Datenschutzbehörde im Nachhinein zu dem Ergebnis kommen könnte, dass die Bestellpflicht gegeben ist. Entsprechend könnte dann die Nichtbestellung von der Behörde mit einem empfindlichen Bußgeld sanktioniert werden.

Bei Zweifeln über die Bestellpflicht, ist der sicherste Weg also die Bestellung eines Datenschutzbeauftragten. Wenn Sie sich zur Bestellung eines DSB entscheiden, so muss dieser bis zum Ablauf des Stichtags, den 25.05.2018, dem für Sie zuständigen Landesamt für Datenschutzaufsicht gemeldet werden.

c) Interner oder externer Datenschutzbeauftragter

Die Folgefrage ist, ob man einen internen Mitarbeiter zum Datenschutzbeauftragten ernennen soll oder sich lieber einen externen Datenschutzbeauftragten nimmt.
Ein interner Datenschutzbeauftragter wird im Rahmen seines Anstellungsverhältnisses für das Unternehmen tätig, ein externer Datenschutzbeauftragter aufgrund eines Dienstleistungsvertrages. Der externe Datenschutzbeauftragte ist also einfach auszutauschen, der interne Datenschutzbeauftragte nicht. Für die Qualifikation eines externen Datenschutzbeauftragten muss auch der Geschäftsführer nicht sorgen. Ein interner Datenschutzbeauftragter muss regelmäßig zu Fortbildungsmaßnahmen geschickt und somit von der Arbeit freigestellt werden. Der externe Datenschutzbeauftragte kostet das, was Sie mit ihm vereinbaren.

d) Verantwortlicher bleibt der Unternehmer

Nur um es einmal klar gesagt zu haben. Die Datenschutzpflichten des Unternehmers können nicht auf einen Datenschutzbeauftragten abgewälzt werden. Der Verantwortliche bleibt der Unternehmer. Der Datenschutzbeauftragte muss ihn „lediglich“ darauf hinweisen, was im Unternehmen in Sachen Datenschutz gemacht werden sollte. Die Umsetzung verbleibt Sache des Unternehmers.

2. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Das Verarbeitungsverzeichnis ist der Dreh- und Angelpunkt der Datenschutz-Compliance und es ist Pflicht ein solches anzulegen und vorzuhalten! Mit dem Verzeichnis ist nachzuweisen, wie in Ihrem Unternehmen der Datenschutz beachtet wird. Es dient als Nachweis einer DSGVO-konformen Datenverarbeitung und der Vermeidung von Haftungsfällen. Die Pflicht zum Vorhalten eines Verarbeitungsverzeichnisses resultiert aus dem Grundsatz der Rechenschaftspflicht (Art. 5 DSGVO).

Einzelheiten

Das Verarbeitungsverzeichnis kann in schriftlicher oder elektronischer Form angelegt werden und muss folgende Pflichtangaben enthalten:

Name und Kontaktdaten des Verantwortlichen und ggfs. dem Datenschutzbeauftragten, Zwecke der Verarbeitung, Beschreibung der Kategorien betroffener und personenbezogener Daten, Auskunft, ob die Daten in ein Drittland übermittelt werden, Löschfristen sowie eine Beschreibung der getroffenen TOMs.

Vorlagen für Verarbeitungsverzeichnisse gibt es dieser Tage viele, da es keine formelle Vorgabe gibt. Zu empfehlen sind z.B. die vom BDVM (Bundesverband Deutscher Versicherungsmakler e.V.). Auf einem Vorblatt sind folgende Pflichtangaben auszufüllen:

– Angabe zum Verantwortlichen bzw. Auftragsverarbeiter;
– Angaben zu ggf. einem weiteren gemeinsamen Verantwortlichen bzw. Auftragsverarbeiter;
– Angaben zum Vertreter des Verantwortlichen bzw. des Auftragsverarbeiter
– Angaben zur Person des Datenschutzbeauftragten
und auf dem Hauptblatt, was am einfachsten per Excel-Tabelle erstellt wird, werden zu jedem einzelnen Verarbeitungsvorgang die Pflichtangaben des Art. 30 DSGVO abgearbeitet:

– Benennung des Verarbeitungsvorgangs;
– Datum der Einführung und Datum der letzten Änderung;
– Benennung der verantwortlichen Fachabteilung im Unternehmen;
– Angabe des Zwecks der Verarbeitung, z.B. Terminabsprache, Beratungsgespräch;
– Rechtsgrundlage: regelmäßig der Maklervertrag: Art. 6 Abs. 1 Buchst. b) DSGVO oder eine Einwilligungserklärung des betroffenen: Art. 6 Abs. 1 Buchst. a) DSGVO;
– Beschreibung der Kategorien betroffener Personen: z.B. Interessenten, Kunden;
– Beschreibung der Kategorien von personenbezogenen Daten
– Beschreibung der Kategorien von Empfängern, ggü. denen die personenbezogenen Daten offen gelegt werden: intern und extern
– Mitteilung, ob personenbezogene Daten in ein Drittland oder an eine internationale Organisation weitergegeben werden: Wenn ja, dann konkrete Benennung
– Fristen für die Löschung der Daten benennen
– Benennung der technisch- organisatorischen Schutzmaßnahmen (TOMs), die jeweils getroffen werden

Wenn im Unternehmen bereits ein Verfahrensverzeichnis nach BDSG existiert, so kann dies wunderbar als Vorlage genommen werden und ist lediglich um die o.g. neuen Anforderungen zu ergänzen.

3. Datenschutz-Folgenabschätzung (DSFA), Art. 35 DSGVO

Die Datenschutz-Folgenabschätzung steigert das Niveau noch einmal. Dies entspricht der alten „Vorab-Analyse“. Es gilt also bei neuen automatisierten Prozessen vorab zu prüfen, ob der eigene Umgang mit den Daten des Betroffenen voraussichtlich ein hohes Risiko für dessen persönliche Rechte und Freiheiten darstellt. Als Konsequenz der Feststellung eines hohen Risikos ist dieses vor der Datenverarbeitung durch Maßnahmen zu minimieren oder die zuständige Aufsichtsbehörde zu konsultieren und mit dieser abzustimmen, wie Sie sich zu verhalten haben.

Als Anhaltspunkte, wann Sie von einer Pflicht zur DSFA ausgehen sollen, hat die „Artikel 29-Datenschutzgruppe“ (Gremium auf EU-Ebene) u.a. folgende Fälle benannt:

– Verarbeitung sensibler Daten (z.B. Gesundheitsdaten)
– umfangreiche Verarbeitungsvorgänge
– Verwendung neuer Technologien
– zusammengeführte oder kombinierte Datensätze
– Datentransfers außerhalb der Europäischen Union

Für gleichgelagerte Fälle reicht es aus, wenn nur einmal eine DSFA getroffen wird.
Als weitere Hilfestellung sollte eigentlich eine sogenannten „Black-List“ von Behördenseite zur Verfügung gestellt und in dieser die Prozesse bewertet werden, bei welchen eine Datenschutzfolgeabschätzung durchgeführt werden muss. Diese liegt aktuell jedoch noch nicht vor, sodass noch unklar ist, wann die Pflicht definitiv greift.

4. Technisch-organisatorische Maßnahmen (TOM)

Die Technisch-Organisatorischen Maßnahmen beschreiben, wie in Ihrem Unternehmen die Sicherheit Ihrer Daten gewährleistet ist. Sie sind Grundlage für das Sicherheitsniveau beim Beschreiben Ihrer Verarbeitungstätigkeiten.
Denn der Unternehmer hat Schutzmaßnahmen zu treffen, damit die personenbezogenen Daten seines Kunden nicht verloren gehen oder unbefugten Dritten in die Hände fallen. Dafür ist es ausreichend, dass ein „angemessenes“ Schutzniveau eingerichtet wird, welches an den Risiken im Falle des Datenschutzverstoßes festzumachen ist. Damit wird dem DSGVO-Grundsatz der „Integrität und Vertraulichkeit“ (vgl. Art. 5 Abs. 1 Buchst. f DSGVO) entsprochen.

Mit „angemessenes Schutzniveau“ hat man es allerdings wieder mit einem sogenannten unbestimmten Rechtsbegriff zu tun, der interpretationsfähig ist. Auch an dieser Stelle wird aber an den gesunden Menschenverstand appelliert. Wer beispielsweise sensible Kundendaten über WhatsApp versendet, hat offensichtlich keine Schutzmaßnahme getroffen. Stellen Sie sich also immer die Frage, ob Sie die Integrität, Vertraulichkeit, Verfügbarkeit und Belastbarkeit der Datenverarbeitung beim einzelnen Verarbeitungsvorgang durch entsprechende Schutzmaßnahmen beachten. Es gilt für jeden einzelnen Verarbeitungsvorgang zu prüfen, ob dazu eine „angemessene“ TOM getroffen wurde.
Die Verschlüsselung ist neben der Pseudonymisierung, die für Versicherungsmakler eher keine Option ist, eine gute Schutzmaßnahme. Dem Kunden sollte immer die Wahl gelassen werden, ob er die verschlüsselte Kommunikation wünscht oder in die unverschlüsselte Kommunikation einwilligt.

Überdies soll gewährleistet werden, dass die Daten auch nach eventuellen Zwischenfällen wieder rasch verfügbar sind. Dies Alles soll stets auf dem aktuellen Stand der Technik erfolgen. Was unter „Stand der Technik“ genau zu verstehen sein soll, ist zwar nicht klar definiert, aber so zu verstehen, dass keine stark veraltete Software oder Software mit bekannten Sicherheitslücken verwendet werden soll. Tagesaktuelle Software hingegen muss nicht vorgehalten werden. Es gilt auch hier das sogenannte „Augenmaßprinzip“ von Behördenseite einzuhalten.

Behalten Sie diese Begrifflichkeit bitte im Blick, um eventuelle Verschärfungen bei der Auslegung zeitnah mitzubekommen. Informieren können Sie sich z.B. beim Bundesministerium des Inneren (BSI), welches zu den Mindeststandards für den Einsatz von Verschlüsselungsprotokollen regelmäßig Veröffentlichungen publiziert.

5. Einwilligungserklärungen überprüfen und ggfs. neu einholen

Neben dem Versicherungsmaklervertrag als solchem empfiehlt sich immer auch die Einholung von Einwilligungen der Kunden in die Datenverarbeitungsvorgänge. Die Einwilligung stellt dann eine eigene Rechtsgrundlage dar. Beispielsweise sollte für die Zusendung von Werbung immer eine separate Einwilligung eingeholt werden, um nicht Gefahr zu laufen unter das „Kopplungsverbot“ zu fallen. Das heißt es sollen keine Sachen miteinander gekoppelt werden, die miteinander nichts zu tun haben. Ihr Kunde muss also die Möglichkeit eingeräumt bekommen, den Versicherungsmaklervertrag mit Ihnen zu schließen, ohne dass er in die Zusendung von Werbung einwilligen muss.

Alt-Einwilligungen sind nicht per se veraltet. Sie sind auch über den 25. Mai hinaus noch wirksam. Allerdings nur, wenn Sie den DSGVO-Standard erfüllen. Dies erfüllen sie regelmäßig nicht, wenn z.B. kein Hinweis auf das Widerrufsrecht enthalten ist. Im Einzelfall empfiehlt sich also immer die diesbezügliche juristische Prüfung von Alt-Einwilligungen.

6. Auftragsdatenverarbeitungsvereinbarungen abschließen, Art. 28 DSGVO

Sie können und sollten als Verantwortlicher mit Ihren diversen Dienstleistern (Auftragsverarbeiter) sogenannte Auftragsdatenverarbeitungsvereinbarungen/-verträge (abgekürzt „AVV“ oder „ADV“) abschließen bzw. bereits bestehende Verhältnisse überprüfen (lassen).
Ob eine Auftragsdatenverarbeitung vorliegt oder nur eine Funktionsübertragung (Verarbeitung der Daten als eigene verantwortliche Stelle), die keine ADV rechtfertigt, muss für jeden Einzelfall geprüft werden. Als Faustregel sollte hierzu überlegt werden, ob Ihr Unternehmen personenbezogene Daten an einen Dienstleister weisungsgebunden weitergibt, damit dieser eine bestimmte Aufgabe für Sie erfüllt. Wenn der Dienstleister hingegen auch ein Eigeninteresse an der Datenverarbeitung hat und auch eigenverantwortlich agiert, wie bspw. oftmals ein Maklerpool, so spricht dies gegen eine Auftragsdatenverarbeitung. Natürlich ist hier die Prüfung des Einzelfalles notwendig, da es auch Maklerpools gibt, die als Auftragsdatenverarbeiter tätig werden und selbst mit eigenen IT-Töchtern im Auftragsdatenverhältnis zusammenarbeiten. Im Zweifel müssen Sie den Maklerpool konsultieren.

Der Klassiker einer Funktionsübertragung liegt in der Beauftragung von Rechtsanwälten oder Steuerberatern. Hier kann ebenfalls keine Auftragsdatenverarbeitung vorliegen.
Klassische Anwendungsfälle für eine ADV sind somit Verträge mit IT-Servicefirmen.

7. Rechte der Betroffenen (Kapitel 3 DSGVO)

Sämtliche Betroffenenrechte müssen vollumfänglich beachtet werden. Nicht, oder verspätet zu reagieren, kann zu ernsthaften Konsequenzen führen.

a) Informationsrecht

Die betroffenen Personen müssen vom Unternehmer über deren Rechte transparent informiert werden. Die Informationsrechte sind umfangreicher als früher, weshalb gerade Datenschutzbestimmungen auf Webseiten überarbeitet werden sollten. Zu informieren ist u.a. über:

– Name/Kontaktdaten des Verantwortlichen
– Name/ Kontaktdaten des Datenschutzbeauftragten
– Art der verarbeiteten Daten
– Zweck der Datenverarbeitung
– Art der Personen, deren Daten verarbeitet werden
– Information darüber, ob Daten an Dritte weitergegeben werden
– Information darüber, ob Daten in ein Drittland übermittelt werden
– Angabe von Löschfristen
– Informationen über die Rechte des Betroffenen in leicht verständlicher Form
– Aufklärung über das Recht auf Widerruf der Einwilligung
– Aufklärung des Betroffenen, dass er sich bei Datenschutzbehörde beschweren kann

b) Auskunftsrecht (Art. 15 DSGVO)

Etwaigen Auskunftsansprüchen ist „unverzüglich“ nachzukommen. Die Daten müssen also so im Unternehmen vorgehalten werden, dass sie sofort dem einzelnen Betroffenen zuordenbar sind.

c) Berichtigungsrecht (Art. 16 DSGVO)

Sollte nach Auskunftserteilung der Betroffene Sie darauf hinweisen, dass Fehler in seinen personenbezogenen Daten sind, müssen diese berichtigt werden.

d) Recht auf Löschung (Art. 17 DSGVO)

Sollte der Betroffene die Löschung seiner personenbezogenen Daten verlangen, empfiehlt es sich immer zwei Dinge zu prüfen.
Ist derjenige, der den Löschungsanspruch stellt auch wirklich die betroffene Person. Wenn nicht, würden Sie gerade durch die Löschung einen Datenschutzverstoß begehen.
Weiterhin ist zu prüfen, ob die Daten, statt zu löschen, gesperrt werden können. Denn nur dann können Sie sich später noch gegen etwaige Ansprüche, z.B. wegen Falschberatung, effektiv wehren. Die ehemalige „Sperrung“ heißt jetzt übrigens „Recht auf Einschränkung der Datenverarbeitung“ und ist in Art. 18 DSGVO geregelt.

e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Gänzlich neu ist, dass der Unternehmer die personenbezogenen Daten derart vorhalten muss, dass sie in einem gängigen Datenformat (z.B. pdf, Excel, csv-Datei) übertragen werden können. Hintergrund dieser Regelung ist der, dass der Betroffene die Kontrolle über seine Daten behalten soll. Wenn er beispielsweise von einem Sozialen Netzwerk oder Cloud-Anbieter zu einem anderen wechseln will, so soll er seine Daten schnell und unkompliziert beim ersten Anbieter abziehen und dem neuen zur Verfügung stellen können.

f) Widerspruchsrecht (Art. 21 DSGVO)

Für Direktwerbung besitzt der Betroffene ebenfalls ein eigenes Widerspruchsrecht. Macht er davon Gebrauch, sollte er tunlichst auch keine Werbung mehr erhalten.

8. Internes Datenschutzkonzept erstellen

Dies ist eigentlich ein Selbstläufer. Wenn man sich als Unternehmer die Mühe macht, sich intensiv mit dem Datenschutzrecht zu befassen, müssen natürlich zwangsläufig dabei Entscheidungen getroffen werden, bspw. Welche Daten erhebe ich bei der Neu-Kundenakquise, um nicht zu viele Daten zu erheben („Datenminimierungsgrundsatz“) oder wann werden welche Daten gelöscht/gesperrt oder welche Mitarbeiter haben auf welche Daten wann Zugriff (TOMs) usw. Diese ganzen Entscheidungen zu durchdenken und zu dokumentieren kann dann „Datenschutzkonzept“ betitelt werden. Wichtig ist eigentlich nur, dass es auch gemacht wird.

Dazu gehört auch, dass „Privacy-by-Design“ und „Privacy-by-Default“ im Unternehmen etabliert werden. Das bedeutet nichts anderes als „Datenschutz durch Technikgestaltung“ bzw. „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Die technischen Voreinstellungen sollen also immer zu Gunsten des Kunden, d.h. zum Schutz seiner Daten, eingestellt sein.

9. Rechenschaftspflicht nachkommen

Nicht nur gegenüber den betroffenen Personen hat der Unternehmer Rechenschaft über die Datenverarbeitung abzugeben. Vor allem die Rechenschaftspflicht gegenüber den zuständigen Behörden ist nachzukommen, um Bußgelder zu vermeiden.

An dieser Stelle seien noch einmal die Maximalstrafen genannt. Wo vorher Bußgelder in Höhe von „nur“ bis zu EUR 300.000,- verhängt werden durften, dürfen Behörden nun theoretisch bis zu 20 Mio. Euro bzw. 4% des Jahresumsatzes bei „schweren“ Verstößen und bis zu 10 Mio. Euro bzw. bis zu 2% des Jahresumsatzes bei „leichten“ Verstößen verhängen.

Als leichter Verstoß gilt z.B. die Nichtbestellung eines Datenschutzbeauftragten, obwohl eine Pflicht zur Bestellung besteht. Als schwerer Verstoß kann eigentlich jede Verletzung der Grundsätze der DSGVO gewertet werden, also z.B. wenn der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nicht nachgekommen wird oder eine Datenverarbeitung ohne Rechtsgrundlage stattfindet. In Art. 5 DSGVO sind übrigens alle Grundsätze abschließend aufgezählt, die ausnahmslos und jederzeit zu beachten sind.
Bei der Verhängung von Bußgeldern, haben die Behörden natürlich weiterhin mit Augenmaß zu agieren. Werden Geldbußen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so sollte die Aufsichtsbehörde bei der Erwägung des angemessenen Betrags für die Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedsstaat und der wirtschaftlichen Lage der Person Rechnung tragen (Erwägungsgrund 150 zur EU DSGVO). Dem Willen des EU-Gesetzgebers folgend, sind sie aber dazu angehalten abschreckend und empfindlich zu ahnden.

10. Cyber-Risk-Versicherung abschließen?

Man kann sich zwar nicht generell dagegen versichern lassen, dass eigene Datenschutzverstöße von einer Versicherung getragen werden. Aber immerhin gibt es Cyber-Risk-Versicherungen, um sich gegen Datenschutzverstöße aufgrund von Cyberattacken auf das eigene Unternehmen, versichern zu lassen. In der Regel ist der jährliche Versicherungsbeitrag ein verhältnismäßig kleiner Aufwand, um sich gegen ein großes Risiko im Unternehmen zu versichern.

11. Mitarbeiterschulungen

Es besteht die Pflicht zur Mitarbeiterschulung. Einmal im Jahr ist ausreichend. Es empfiehlt sich aber solche Schulungen regelmäßig durch qualifizierte Referenten durchführen zu lassen. Denn letztlich sind es die Mitarbeiter, die die häufigsten Datenschutzverstöße verursachen, nicht unbedingt die Cyber-Angriffe von außen. Der Klassiker ist hierbei das Versenden einer E-Mail mit personenbezogenen Daten Ihres Kunden an einen falschen Empfänger. Schon ist ein Datenschutzverstoß begangen. Da hilft auch kein Standard-Disclaimer unter der E-Mail-Signatur. Umso wichtiger ist es, dass für solch einen vorhersehbaren Datenschutzverstoß den Mitarbeitern Regelungen an die Hand gegeben werden, wie sie sich in diesem Fall zu verhalten haben. Wer muss intern darüber informiert werden? Wer ist dessen Vertretung? Wer informiert den betroffenen Kunden? Wer entscheidet, ob der Vorfall so schwer wiegt, dass die Datenschutzbehörde informiert werden muss?; Stichwort: 72 Stunden Meldepflicht!

Natürlich empfehlen sich auch externe Schulungen von Dienstleistern zu diesem Thema. Am Ende muss im Unternehmen das Datenschutzniveau auf DSGVO-Standard gebracht werden. Dies ist keine einmalige Anstrengung, sondern ein dauerhafter Prozess.

12. IT / EDV auf „aktuellen Stand der Technik“ bringen

Art. 25 DSGVO schreibt es ausdrücklich vor. Der Datenschutz ist durch Technikgestaltung und datenschutzfreundliche Voreinstellungen auf dem Stand der Technik zu gewährleisten. Einzig eine Definition, was denn der Gesetzgeber mit „Stand der Technik“ genau meint, fehlt leider.

Versetzen Sie sich auch hier in die Lage eines Prüfers bei der Behörde, der Ihr Unternehmen als Fall auf seinen Tisch bekommt und sich die Frage stellen muss, ob Ihr Unternehmen auf dem Stand der Technik Datenverarbeitung durchführt. So können Sie selbstkritisch selbst einschätzen, ob Sie an dieser Stelle DSGVO-konform sind oder nicht.

13. Fortentwicklung des Datenschutzrechts / Meldungen der Aufsichtsbehörden verfolgen

Es sollte gerade in den ersten Monaten nach Wirksamwerden der DSGVO in Deutschland verfolgt werden, wie sich zu einzelnen Fragen seitens der Behörden geäußert wird. Das neue Gesetz muss sich erst „einschleifen“ und konkrete Einzelfragen werden naturgemäß erst im Laufe der Zeit geklärt werden.
Nicht zu vergessen ist in diesem Zusammenhang, dass der EU-Gesetzgeber in der DSGVO für alle EU-Mitgliedstaaten bewusst Öffnungsklauseln im Gesetzeswerk gelassen hat, welche durch die nationalen Gesetzgeber eigenständig im Detail zu regeln sind. In Deutschland hat sich der Gesetzgeber diese Chance nicht nehmen lassen und ein neues Bundesdatenschutzgesetz erarbeitet, dass ebenfalls am 25.05.2018 in Kraft treten wird. Interessanterweise ist dieses neue BDSG, welches nur Lücken der DSGVO schließen sollte, umfangreicher geworden, als das alte BDSG, welches bis dahin das datenschutzrechtliche Grundwerk in Deutschland gewesen ist.

14. Meldefrist

Bereits unter Punkt 11 erwähnt, aber aufgrund der Wichtigkeit auch noch einmal gesondert aufgeführt, ist die Pflicht gemäß Art. 33 DSGVO, einen Datenschutzverstoß gegenüber der gemäß Art. 55 DSGVO zuständigen Datenschutzbehörde innerhalb von 72 Stunden ab Kenntniserlangung zu melden. Die Meldepflicht gilt allerdings nicht, wenn Sie nach Prüfung des Vorfalls zu dem Schluss kommen, dass die Verletzung beim Betroffenen voraussichtlich nicht zu einem Risiko für dessen Rechte und Freiheiten führt. Jeder einzelne Verstoß ist also dahingehend zu prüfen, ob dieser zu melden ist. In jedem Fall ist er zu dokumentieren zusammen mit den ergriffenen Maßnahmen, um zukünftige Verstöße dieser Art zu unterbinden.
Bei Datenschutzverstößen laufen sehr kurze Meldefristen. Deshalb ist unbedingt zu empfehlen, den Ablauf im Unternehmen vorher zu durchdenken. Es ist festzulegen, welche Abläufe wann in Gang gesetzt werden sollen. Vor allem den Verantwortlichen im Unternehmen zu benennen, dem der einzelne Vorfall zur Prüfung vorzulegen ist. Schon allein die nicht rechtzeitige Meldung des Verstoßes kann ein Bußgeld nach sich ziehen.
Beim Vorliegen eines Datenschutzverstoßes trifft Sie daneben unter Umständen auch die Pflicht zur Information des Betroffenen, dessen Rechte ja verletzt wurden.
Es empfiehlt sich die Verwendung eines Mustervordrucks „Meldung Datenpanne“, der bereits vorgehalten werden sollte und dann nur noch abgearbeitet werden muss. In dem Meldeformular müssen die in Art. 33 Abs. 3 DSGVO genannten Informationen enthalten sein.

15. Dokumentation

Die Rechenschaftspflicht ist ein Grundsatz der DSGVO, dem unbedingt Folge zu leisten ist. Daher ist es in keinem Fall schädlich Datenverarbeitungsprozesse, wie auch immer, im Unternehmen zu dokumentieren. Gerne kann dann im Verarbeitungsverzeichnis auf diese Dokumentation, wie auch immer sie aussehen mag, verwiesen werden. Somit kommen Sie der Verpflichtung nach, die Maßnahmen der Datensicherheit im Verarbeitungsverzeichnis zu beschreiben.

Fazit

Auch der Versicherungsmakler, wie alle Unternehmer in Deutschland, steht in der Pflicht zur Einhaltung des Datenschutzes. Dabei stellt der Versicherungsmaklervertrag stets die Rechtsgrundlage für die Verarbeitung dar (Art. 6 Abs. 1 Buchst. b) DSGVO). Zudem sollten Einwilligungen in die Verarbeitung der Daten von den Kunden eingeholt werden und geprüft werden, ob mit Dienstleistern ein Auftragsdatenverarbeitungsvertrag (ADV/AVV) abzuschließen ist. Die Dokumentation aller datenschutzrechtlichen Anstrengungen ist zu empfehlen. Ein Verarbeitungsverzeichnis muss unbedingt erstellt werden!

Um den Nachweispflichten nachzukommen müssen also diverse Dokumente erstellt werden. Wir empfehlen Ihnen dazu die Nutzung des von uns vertriebenen „Care-Pakets“ von „HMDATA“. Dieses ist für einen geringen Endpreis über folgenden Online-Shop direkt zu erwerben und enthält neben Erläuterungen vor allem Muster für alle relevanten Standard-Datenschutzprozesse.

https://hmdata.shop.epages.de/p/care-paket-dsgvo-fuer-mandanten-der-kanzlei-michaelis-download

Courtageplus: Wie Servicegebühren zum Rettungsanker werden

Quelle: Artikel veröffentlicht am 20.04.2018 auf http://www.procontra-online.de von Stefan Terliesner

Beim Thema Servicegebühren fehlt den meisten Vermittlern noch der Mut. Dabei räumt der Gesetzgeber genügend Freiheiten ein, das schwindende Courtageniveau zu kompensieren. Experten sehen hier hohes Potenzial.

Für einen Juristen sind die an Makler gerichteten Worte eindeutig: „Lassen Sie sich mehr Services vergüten. Seien Sie frei in der Gestaltung, wann Sie wofür Geld beim Kunden nehmen. Sie dürfen Dienstleistungen an Verbraucher verkaufen, wenn jene nichts mit der Vermittlung zu tun haben. Für die Vermittlung bekommen Sie Courtage. Für den Service können Sie eine Gebühr verlangen. Nach oben gibt es kaum Deckelungen, es sei denn, Ihre Forderung ist Wucher.“

Den ganzen Artikel weiterlesen:

Teil 1
Teil 2

Unter http://www.app-riori.de/ werden Servicevereinbarungen als Muster angeboten

Compliance-Organisation nach den neuen IDD Vorgaben

von Oliver Timmermann

Oder: Wer schuldet, der haftet auf neudeutsch – 1. Teil: Haftung

Die IDD hat in Art. 17 IDD den Grundsatz der „redlichen, professionellen und im bestmöglichen Kundeninteresse geschehenden Beratung“ normiert. Der deutsche Gesetzgeber ist dem für die Versicherer in § 1a VVG und für die Versicherungsvermittler in § 59 Abs. 1, der nun auf § 1a VVG verweist, nachgekommen.

Oliver Timmermann

Oliver Timmermann

I. Einleitung

Der nachfolgende Text weist nach, dass es auch für die Makler GmbH unternehmensbezogene Pflichten gibt, die Angestellten intern über Gefahren des Interessenkonfliktes aufzuklären, dies zu dokumentieren und entsprechende Reaktionen im Falle eines Fehlhandelns zu installieren. Diese Maßnahmen gehören fortan zur betriebsinternen compliance. Nach Herausarbeitung der Pflicht dieser ComplianceOrganisation (siehe II.) gilt es in einem ersten Schritt aufzuzeigen, was im Falle einer zögerlichen Umsetzung der GmbH und insbesondere dem GmbH Geschäftsführer drohen kann, wenn hier gezögert wird, vgl. siehe III. (Gegebenenfalls folgen in weiterer Folge Texte, die das Erkennen eines solchen „Interessenkonfliktes“ und die konkrete Umsetzung von compliance-Ordnungsmaßnahmen untersuchen.)

II. Compliance-Pflicht

1.) Bestehen einer compliance-Pflicht für makler GmbHs

In Deutschland hat sich insbesondere nach der Entscheidung des LG München I vom 10.12.2013 (vgl. NZG 2014, 345 f. – das Verfahren vor dem OLG München unter dem Az.: 7 U 113/14 ist nach wie vor anhängig) für Aktiengesellschaften die Diskussion um die Einführung von compliance-Maßnahmen verschärft, vgl. Oppenheim, „Die Pflicht des Vorstandes zur Einrichtung einer auf Dauer angelegten compliance-Organisation“ in DStR 2014, 1063 ff. Ob solche Verpflichtung dann aber auch für eine GmbH in Frage kommen soll, war lange umstritten, vgl. krit. Zöllner/ Noack in Baumbach/ Hueck, GmbHG, 21. Aufl. 2017, zu § 43 Rn. 17 m. w. N. Traditionell wurde hierbei zwischen der Frage des „Ob“ und dem „Wie“ unterschieden. Konkrete Maßnahmen sollten nur in bestimmten Risikofällen angenommen werden können. Insgesamt wurde dem Geschäftsführer hierfür ein gewisses Ermessen zugesprochen, vgl. insg. Dreher, „Die Vorstandverantwortung im Geflecht von Risikomanagement, compliance und interner Revision“ in FS Hüffner 2010, S. 161 ff.;

Nach dem IDD ist dies für makler-GmbHs nun anders. Danach kann die Frage nach dem „Ob“ einer solchen Pflicht nicht mehr zweifelhaft sein.

Während für die Versicherer im Versicherungsaufsichtsrecht die Regeln über „den Versicherungsvertrieb“ erheblich angepasst wurden (vgl. Reiff, „Das VersicherungsvertriebsR nach Inkrafttreten des Gesetzes zur Umsetzung der Versicherungsvertriebsrichtlinie“ in VersR 2018, 193, 197 f.) und so z. B. in §§ 48 Abs. 2a, 48a Abs. 2 VAG geeignete Maßnahmen der Geschäftsorganisation verlangt werden, sind diese Vorgaben für die einfache Makler-GmbH sehr viel versteckter. Jedoch: Es gibt diese Vorschriften und diese Änderungen sollten ab dem 23.02.2018 auch unbedingt beachtet werden, da sich hier sehr viel Haftungspotential verbergen kann.

Unmittelbar ordnet der neue § 34e Abs. 1 Nr. 2d GewO an, dass in einer Rechtsverordnung Vorschriften über die allgemeinen Anforderungen an den Geschäftsbetrieb erlassen werden können. Dies wurde in § 14 Abs. 2 Ref.E. VersVermV aufgegriffen. Danach dürfen Versicherungsvermittler ihre Beschäftigten nicht so vergüten und bewerten, dass diese in Konflikt mit ihrer Pflicht der „redlichen, professionellen und bestmöglichen“ Beratung geraten.

Es sollen keine „Fehlanreize“ durch Vergütungen bzw. Verkaufsziele gesetzt werden, die den einzelnen Angestellten dazu verleiten könnten, statt eines besser geeigneten Vertrages eine andere Versicherung anzubieten.

Über diese Norm, die erst unter der neuen Bundesregierung in Kraft treten kann, enthält aber bereits jetzt die Delegierten VO 2359/2017 konkrete Vorgaben zur Umsetzung von Maßnahmen der Geschäftsleitung. Diese ist ebenfalls am 23.02.2018 in Kraft getreten. Es muss hier auf eine umfängliche Darstellung des Regelungsgehaltes dieser EU Verordnung verzichtet werden. Dies ist ggfs. an späterer Stelle nachzuholen. Wichtig ist für das heutige Darstellungsziel auf die Art. 3, 4 und 6 dieser Delegierten VO aufmerksam zu machen. Hier wird eine (wenn auch relativ abstrakte) Definition eines „Interessenkonfliktes“ (vgl. Art. 3) sowie Vorgaben für den Umgang (vgl. Art. 4 und 5) gegeben.

Es kann damit nicht länger in Frage stehen, dass mit dieser Delegierten VO eine Makler GmbH keinerlei Einschätzungsprärogative hinsichtlich des „Ob“ von compliance-Organisation mehr zusteht. Diese ist nun schlicht verpflichtend.

2.) Rechtsfolge einer Verweigerung der Umsetzungspflicht

Die Einrichtung einer compliance-Struktur gehört zu den sog. „Legalitätspflichten“ eines GmbH-Geschäftsführers. Bislang wurde v. a. auf den Tatbestand des § 130 OwiG hingewiesen, wenn ein Defizit in der Umsetzung besprochen werden sollte, vgl. Kort, „Compliance-Pflichten und Haftung von GmbH-Geschäftsführern“ in GmbHR 2013, 566 ff. An dieser Stelle soll aber auf eine sehr viel unmittelbarere Gefahr dieser compliance-Organisationspflicht hingewiesen werden.

a) Ausgangsfall
Wir denken uns folgenden Fall: Der freundliche Versicherungsvermittler V. berät im Außenverhältnis den Kunden K., obwohl
– ein „Interessenkonflikt“ besteht,
– in der GmbH keine compliance-Struktur existiert, weil sich der Geschäftsführer G. nicht darum gekümmert hat und
– aufgrund dieses „Interessenkonfliktes“ längst eine sog. „Offenlegung“ (Art. 6 Delegierte VO) angezeigt gewesen wäre.

Der Versicherungsvermittler V. hat im Verhältnis zum Kunden eine vorvertragliche Pflichtverletzung durch Unterlassen begangen, indem dieser den bestehenden „Interessenkonflikt“ nicht offenlegte. Eine solche vorvertragliche Pflichtverletzung ist fahrlässig und durch ein Unterlassen möglich, vgl. Giesler/ Nauschütt, „Vorvertragliche Aufklärung“ in BB 2003, 435 ff. – anders als bei der Arglist-Täuschung kommt bei den §§ 241 Abs. 2, 311 BGB auch fahrlässiges Handeln in Betracht, vgl. Grigoleit, „Vorvertragliche Informationshaftung“ 2002, S. 66 ff. – Angriff auf das „Vorsatzdogma“; ders. in NJW 2002, 1151 ff.

Wichtig ist, hierzu das Folgende zu wissen: Der Versicherungsvermittler V. hätte bei pflichtgemäßen Handeln von der Offenlegungspflicht bei Interessenkonflikten wissen können und auch müssen! Er handelt ab dem 23.02.2018 zumindest „fahrlässig“ i. S. des § 276 BGB gegenüber dem Kunden.

Nach h. M. ist die verkehrserforderliche Sorgfalt objektiviert, vgl. BGHZ 24, 21, 28; BGH, VersR 2006, 228, 229, d. h. diese verlangt Einhaltung der Standards, die im betreffenden Berufskreis oder Verkehrskreis gelten, vgl. BGH, NJW 2003, 2022, 2024. Der Schuldner garantiert damit letztlich, dass er über die erforderlichen Fähigkeiten verfügt, vgl. Singer, „Dogmatik der Vertrauenshaftung im deutschen Privatrecht“, 2. FS Canaris 2017, S. 425 ff. Es gilt deshalb kein individueller Maßstab, nach dem sich der Verpflichtete darauf berufen könnte, die in seinem Berufskreis geltenden Standards selbst nicht erreichen zu können, etwa weil er mangelhaft ausgebildet ist, vgl. BGH NJW-RR 2003, 1454, 1455.

Zu den Grenzen der gebotenen Sorgfalt zählt allein die Zumutbarkeit des geforderten Verhaltens. Es war dem Versicherungsvermittler V. allerdings zumutbar, sich angemessen zu verhalten.

Zu der im Verkehr erforderlichen Sorgfalt gehört auch die gebotene Vergewisserung über Tatsachen und die Rechtslage. Tatsachenirrtümer und Rechtsirrtümer entlasten den Schuldner nur, soweit sie nicht ihrerseits auf Fahrlässigkeit beruhen, vgl. BGH NJW 2011, 2120. Die Standards für die entstehenden Nachforschungspflichten folgen hier denselben Regeln wie bei der Fahrlässigkeit im Allgemeinen, vgl. OLG Karlsruhe, NJW 2005, 989, 990 f. Zumutbare Anstrengungen der Selbstvergewisserung schließen dabei auch ein Nachfragen beim Gläubiger ein, vgl. BGH NJW 2011, 2120.

Die Einhaltung der erforderlichen Sorgfalt wird, insbesondere, wenn die Rechtslage schwierig ist, entlastend berücksichtigt, vgl. BGH NJW 2014, 2947, Rz. 24. Jedoch ist die bare Unkenntnis einschlägiger Rechtsvorschriften oder des Vertragsinhalts stets als fahrlässig anzusehen, vgl. Caspers in Staudinger, BGB, Stand 2009, zu § 276 Rn. 61 f. Bei einer zweifelhaften Rechtsfrage handelt jedoch bereits fahrlässig, wer sich erkennbar in einem Grenzbereich des rechtlich Zulässigen bewegt, in dem er eine von der eigenen Einschätzung abweichende Beurteilung der rechtlichen Zulässigkeit des fraglichen Verhaltens in Betracht ziehen muss, vgl. BGH NJW 1998, 2144; BGH NJW 2015, 2419, Rz. 63. Erforderlichenfalls muss der Schuldner Rechtsrat einholen, vgl. BGH NJW 2014, 2914, Rz. 14. Für Fehler des Ratgebers gilt § 278 BGB.

Nach der IDD, der Delegierten VO und Inkrafttreten des deutschen UmsetzungsG ab dem 23.02.2018 hat der Versicherungsvermittler die neue Rechtslage zu kennen und hatte Gelegenheit, sich entsprechend zu informieren! Im Falle eines Zweifels und/ oder der Unsicherheit, ob in der konkreten Beratungssituation ein „Interessenkonflikt“ vorliegen könnte, hat dieser – in Vorbereitung auf das anstehende Kundengespräch – Information bei dem zuständigen compliance-Organ der GmbH einzuholen. Diese Frage, ob und wann ein Interessenkonflikt vorliegt, kann im Einzelfall schwer erkennbar sein. Deshalb bestimmt Art. 4 Abs. 2 lit. a) der Delegierten VO, vorher festzulegen, „unter welchen Umständen ein Interessenkonflikt, der den Interessen eines oder mehrerer Kunden schaden könnte, vorliegen“ soll.

Wenn V. hier diese Frage aber internen nicht klären kann, weil dafür keiner zuständig sein will und weil eine organisation dafür schlicht nicht existiert, schlägt diese „Unkenntnis“ sofort 1 zu 1 auf diesen Berater durch. Dieser handelt dann seinerseits gegenüber dem Kunden „fahrlässig“.

Diese Pflichtverletzung des Vermittlers ist dann allerdings ihrerseits – Bäumchen wechsle dich – wiederum der Gesellschaft gem. § 278 BGB (wenn es sich bei V. um keinen verfassungsmäßig gewählten Repräsentanten i. S. des § 31 BGB handelt) zuzurechnen. Dann ist aber zugleich denkbar, dass der Gesellschaft im Innenverhältnis ein Schadensersatzanspruch gegen das verantwortliche Organmitglied gem. § 43 Abs. 2 GmbHG zusteht. Der Geschäftsführer hat wegen der fehlenden compliance-Struktur eklatant gegen seine sog. Legalitätspflicht verstoßen, vgl. Hüffner, „Compliance im Innen- und Außenrecht der Unternehmen“ in FS Roth, 2011, S. 299, 301, 304 f.

Es kommt dann für den Geschäftsführer darauf an, ob er
– überhaupt eine D&O Versicherung zur Abdeckung von Vermögensschadens-Fällen unterhält und
– welche Ausschluss-Klauseln diese Versicherung im Falle „wissentlichen“ bzw. „vorsätzlichen“ Handelns enthält.

In der D&O Versicherung werden vom Versicherer regelmäßig sog. „Vorsatzausschluss-Klauseln“ verwandt, vgl. Seitz, „Vorsatzausschluss in der D&O Versicherung“ in VersR 2007, 1476 ff.

b) Vorsatz des Geschäftsführers bei Nichtstun

Das Problem hierbei ist dann folgendes: Angesichts des Umstandes, dass nun das Fehlen von Vorsatz eine sog. negative Tatsache betrifft, müssen sich aus dem Vortrag zur objektiven Pflichtverletzung des Anlegers Indizien dafür ergeben, dass der Geschäftsführer G. seine Pflichten vorsätzlich verletzt hat, vgl. OLG Karlsruhe, NJOZ 2012, 2218, Rn. 27; OLG Frankfurt a. M., BKR 2015, 38, Rn. 33.

An dieser Stelle ist kein Raum dafür, in die feinziselierten Abgrenzungen zwischen „unvermeidbarem“ und „einfachem“ Rechtsirrtum einzusteigen, vgl. OLG Köln, GWR 2016, 36 f, Rz. 28 f. Es mag stattdessen ein Hinweis auf OLG Stuttgart (Urt. v. 16.03.2011 – Az.: 9 U 129/10 in ZIP 2011, 803 f.) genügen:

„Wer vor gesetzlich normierten und allgemein anerkannten Regelungen und einer auf der Hand liegenden Problematik die Augen verschließt, handelt – auch ohne Rechtsberater – mindestens bedingt vorsätzlich.“

Jedem GmbH-Geschäftsführer, der nach den ausdrücklichen neuen IDD Regeln (und ihren deutschen Umsetzungen) deshalb in puncto compliance-Struktur die Hände in den Schoss legt, kann dann nur viel mut gewünscht werden, von seinem D&o Versicherer ggfs. eine Deckungszusage zu erhalten. Dies wird m. E. in den allermeisten Fällen misslingen!

Am „besten“ kommt in dieser traurigen Haftungskette dann noch der den Kunden beratende Versicherungsvermittler V. weg. Mit Beschluss vom 27.09.1994 hat das BAG seine Theorie zur „gefahrgeneigten Arbeit“ aufgegeben und durch eine neue Haftungsprivilegierung des Angestellten bei „betrieblich veranlassten Tätigkeiten“ ersetzt, vgl. BAG, Beschl. v. 27.09.1994 – GS 1/89; BAG, BB 2015, 2041 ff. Danach richtet sich der Umfang eines Schadensersatzanspruches nach einer Abwägung der Gesamtumstände. Dabei ist auch ein vom Arbeitgeber einkalkuliertes Haftungsrisiko mit zu berücksichtigen, vgl. BAG, a. a. O. D. h. ggfs. kann bei einem eklatanten Verstoß gegen die compliance-Organisation der Arbeitnehmer im Innenverhältnis eine Haftungsfreistellung verlangen.

c) Schaden des Kunden im Falle der Beratung trotz „Interessen konfliktes“?

Es kann auch nicht eingewandt werden, dass der Kunde ja „eigentlich“ keinen Schaden erlitten hat.
Denn, (vgl. BGH, Urt. v. 28.06.2017 – Az.: IV ZR 440/14 in NJW 2017, 3387 ff.):
Der Grundsatz gemeinschaftsrechtskonformer auslegung und Rechtsfortbildung darf mithin nicht zu einer auslegung des nationalen Rechts contra legem führen;
– nach nationalem Recht kommt ein Versicherungsvertrag unabhängig von einer vorherigen Information des VN zustande;
– der Gesetzgeber hat bewusst davon abgesehen, für einen wirksamen Abschluss eines Versicherungsvertrages vom allgemeinen Zivilrecht grundlegend abweichende Regeln aufzustellen. Im Rahmen des von ihm gewählten Umsetzungskonzepts hat er eine ausdrückliche Pflicht für den Versicherer geschaffen, den VN rechtzeitig vor Abgabe seiner Vertragserklärung zu informieren.
Im Falle der Verletzung dieser Pflicht hat er als Sanktion vorgesehen, dass die Widerrufsfrist noch nicht zu laufen beginnt. Daneben kommen nach seiner Vorstellung aber auch Schadensersatzansprüche und aufsichtsrechtliche maßnahmen in Betracht (BT-Drucks. 16/3945 S. 60).

M.a.W.: Die Widerrufsregelungen der §§ 8, 9 VVG entfalten keine Sperrwirkung gegen einen Schadensersatzanspruch aus §§ 241, 311 BGB, da sie eine andere Schutzrichtung haben; vgl. Pohlmann in Looschelders/ Pohlmann, VVG, 3. Aufl. § 7 Rn. 56. Während das Widerrufsrecht eine Bedenkzeit einräumen soll, innerhalb derer der VN den Vertrag ohne Angabe von Gründen rückgängig machen kann, beruht der Schadensersatzanspruch auf einer schuldhaften Verletzung vorvertraglicher Pflichten. Nach dem Konzept des Gesetzgebers soll dieser Schadensersatzanspruch ausdrücklich als weitere mögliche
Sanktion für die verspätete Übermittlung der Vertragsinformationen neben dem hinausgeschobenen Beginn der Widerrufsfrist in Betracht kommen, vgl. BT-Drs. 16/3945 S. 60.

Wer dies anders sieht, hat das Institut der vorvertraglichen Aufklärungspflicht als „Schuldverhältnis ohne primäre Leistungspflicht“ (vgl. Canaris „Die Schuldrechtsreform vor dem Hintergrund des GemeinschaftsR“ 2001, 43, 59; Riehm „Rechtsgrund, Pflicht, Anspruch – Dogmatik des Schuldverhältnisses“ in 2. FS für Canaris 2017, S. 345, 346 ff.) missinterpretiert.

Wenn das so ist – und das muss man sich auf der Zunge zergehen lassen – dann kommt in dem oben geschilderten kleinen Fall aber aus der vorvertraglichen Aufklärungspflichtverletzung auch ein Anspruch auf Rückabwicklung des vermittelten Versicherungsvertrages durch den Kunden in Betracht.

Dieser Anspruch auf Rückabwicklung des Vertrages aufgrund einer Verletzung von Informationspflichten gerichtete Schadensersatzanspruch setzt nun zunächst die Möglichkeit eines Vermögensschadens voraus, vgl. BGH, Urt. v. 11.07.2012 – Az.: IV ZR 164/11, BGH, r+s 2013,297. Hierfür genügt aber jeder wirtschaftliche Nachteil, der mit dem aufgrund der Pflichtverletzung eingegangenen Vertrag verbunden ist, vgl. BGH, Urt. v. 20. 05.2015 – Az.: IV ZR 127/14,in VersR 2016, 133 Rn. 31.

Im Ergebnis kann dann weder argumentiert werden, dass für einen „Rücktritt“ doch ggfs. die Widerrufsfrist abgelaufen wäre, da der aus den §§ 241 Abs. 2, 311 BGB resultierende Rücktritt anderen Regeln aus das Widerrufsrecht des § 8 VVG unterworfen ist. Auch muss ggfs. nicht geschaut werden, ob ein anderer statt des „Interessenkonflikt“ behafteter Vertrag für den Kunden tatsächlicher günstiger gekommen wäre. Zur Annahme eines das Rücktrittsrecht auslösenden Vermögensschaden reicht „jeder wirtschaftliche Nachteil“ aus. Dieser muss sich mithin nicht aus dem konkreten Vertragsvergleich ergeben, sondern kann ganz woanders liegen.

III. Endergebnis

Durch die IDD (und die deutschen UmsetzungsG) sowie in deren Gefolge der Delegierten VO wurden konkrete Vorgaben zur Anlage einer compliance-Struktur auch des Versicherungsvermittlers und damit auch des Geschäftsführers einer Makler GmbH geschaffen. Die (vorsätzliche) Nichtbeachtung durch diesen hat zukünftig das Potential, eklatante Haftungsfolgen im Innen- wie im Außenverhältnis auszulösen.