Artikel

Datenschutz-Grundverordnung (DSGVO) – Ein Leitfaden

von Rechtsanwalt Sebastian Karch, Kanzlei Michaelis Rechtsanwälte

Jeder Unternehmer in Deutschland sollte bis zum 25. Mai 2018 das Thema Datenschutz im Griff haben. Denn an diesem Tag endet die zweijährige Übergangsfrist, die den Unternehmern in der EU gewährt wurde, um sich an die neuen Datenschutz-Standards, welche der EU-Gesetzgeber mit der DSGVO aufstellt, anzupassen.

Das neue Datenschutz-Niveau ist aus deutscher Sicht zwar gar nicht viel höher, als das bisher im deutschen Bundesdatenschutzgesetz (BDSG) und diversen weiteren Einzelgesetzen (Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) usw.) verankerte Datenschutzrecht. Aber die deutschen Datenschutzbehörden haben in der Vergangenheit nicht alles sanktioniert/sanktionieren müssen. In der Praxis muss man wohl sagen, dass die kleinen und mittleren Unternehmen (KMU) den Datenschutz im Durchschnitt nicht ernst genommen haben und auch keinen großen Druck seitens der Datenschutzbehörden erfahren haben. Aber auch KMU verarbeiten personenbezogene Daten wie beispielsweise Name, Kontaktdaten, ggf. Gesundheitsdaten. Der Begriff der Verarbeitung beinhaltet sämtliche Arbeitsschritte wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Hierbei ist natürlich der sachliche Anwendungsbereich der DSGVO gemäß Art. 2 DSGVO zu berücksichtigen, der nur Verarbeitungen erfasst, die „ganz oder teilweise automatisiert“ stattfinden. Dies bedeutet aber auch, dass manuell erhobene Daten, die einer automatisierten Verarbeitung zugeführt werden sollen, bereits unter den Schutz der DSGVO fallen.

Ab 25. Mai 2018 werden die Behörden den KMU mehr Aufmerksamkeit widmen, da sie dann verpflichtet sind zu sanktionieren. Die Frage ist dann nur noch, in welcher Höhe der einzelne Verstoß geahndet wird.

Es bedarf daher einer guten Compliance-Strategie, um das neue Datenschutz-Niveau erfolgreich im Unternehmen zu integrieren. Dabei darf dies nicht als einmalige Anstrengung verstanden werden, sondern sollte als fortlaufende, jeden Unternehmensprozess durchziehende Anforderung verstanden werden.

Dringende Empfehlung! – bis 25. Mai 2018 wenigstens Kernthemen angehen

Das neue Datenschutz-Niveau bis zum Stichtag zu erreichen, wird vielen Unternehmern nicht gelingen. Umso wichtiger ist es, bis dahin unbedingt die Kernthemen angegangen zu haben. Denn das schlimmste was dem Unternehmer passieren kann, ist, wenn er am 25. Mai 2018 gar nichts vorweisen kann und damit nachweislich den Datenschutz nicht ernst nimmt. Die folgenden Punkte stellen die wichtigsten Kernthemen dar, mit denen sich bis dahin und natürlich darüber hinaus unbedingt beschäftigt werden sollte. Denn der Datenschutz ist keine einmalige Anstrengung, sondern ein Prozess!

I. 15 Punkte für eine gute Compliance-Strategie

Damit es nicht zum Bußgeld kommt, und jeder Unternehmer zum 25. Mai 2018 die Basics im Unternehmen etabliert hat, hier nun eine „Checkliste“, die dem Leser als Unterstützung bei dieser Aufgabe dienen soll.

1. Datenschutzbeauftragter (Art. 37 DSGVO)

Eine der ersten Fragen, die Sie sich als Versicherungsmakler stellen sollten, ist die, ob Sie einen Datenschutzbeauftragten (DSB) bestellen müssen bzw. freiwillig bestellen wollen.

a) Mitarbeiterzahl (Art. 37 Abs. 4 DSGVO i.V.m. § 38 Abs. 1 BDSG-neu)

Die Bestellpflicht wird zum einen ausgelöst, wenn im Unternehmen mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Welche Personen dies sind, ist irrelevant. Es zählt jeder Kopf, also auch jeder Praktikant und jede Teilzeitkraft, Azubi, Aushilfe, Schwangerschaftsvertretung etc.

b) „Kerntätigkeit“

Unabhängig von der Mitarbeiterzahl ist für den Versicherungsmakler aber die Bestellpflicht nach Art. 37 Abs. 1 Buchstabe c) DSGVO. Diese wird nämlich (unabhängig von der Mitarbeiterzahl!) ausgelöst, wenn die „Kerntätigkeit“ in der umfangreichen Verarbeitung besonderer Kategorien von Daten (u.a. Gesundheitsdaten und biometrische Daten, vgl. Begriffe in Art. 4 DSGVO) besteht.

Das bedeutet, dass es nicht auf die Mitarbeiterzahl ankommt, wenn z.B. Gesundheitsdaten „umfangreich“ in der „Kerntätigkeit“ verarbeitet werden!
Die Begriffe „Kerntätigkeit“ und „umfangreich“ sind sehr weit gefasst und lösen somit Unklarheiten aus. Aus dem Erwägungsgrund 97 zur DSGVO ergibt sich die Hilfestellung, dass sich die „Kerntätigkeit eines Verantwortlichen“ auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht. Eine klare Abgrenzung, wann die Bestellpflicht noch nicht ausgelöst wird, ist derzeit allerdings nicht möglich.

Zur Klärung der Frage, ob eine umfangreiche Verarbeitungstätigkeit vorliegt, ist am Ende jeder Einzelfall für sich zu betrachten. Entscheidungserhebliche Parameter, wie etwa die Kundenzahl sowie Art und Umfang der Verarbeitung von besonderen personenbezogenen Daten, dürfte von Versicherungsmakler zu Versicherungsmakler unterschiedlich ausfallen. Je kleiner das Unternehmen, umso mehr Argumente sollten für den Versicherungsmakler sprechen, dass keine Bestellpflicht ausgelöst wird. Je umfangreicher die Verarbeitung von „sensiblen“ Daten der Versicherungsnehmer, umso mehr Argumente sprechen für eine „umfangreiche“ Verarbeitung besonderer personenbezogener Daten.

In der derzeitigen Umbruchphase scheint es bezüglich der konkreten Fragstellung, ob der Versicherungsmakler unter die Bestellpflicht fällt oder nicht, überdies noch regionale Unterschiede je nach zuständige datenschutzrechtlichen Aufsichtsbehörden zu geben. Deshalb ist unbedingt darauf zu achten, was von der für Sie zuständigen Landesdatenschutzbehörde zu diesem Thema veröffentlicht wird.

Für einzelne Makler mag es hier daher einen gewissen Argumentationsspielraum geben, wenn kein DSB genommen wird. Diese Entscheidung, keinen DSB zu bestellen, sollte aber in jedem Fall mit Argumenten dokumentiert werden. Das unternehmerische Risiko besteht darin, dass die Datenschutzbehörde im Nachhinein zu dem Ergebnis kommen könnte, dass die Bestellpflicht gegeben ist. Entsprechend könnte dann die Nichtbestellung von der Behörde mit einem empfindlichen Bußgeld sanktioniert werden.

Bei Zweifeln über die Bestellpflicht, ist der sicherste Weg also die Bestellung eines Datenschutzbeauftragten. Wenn Sie sich zur Bestellung eines DSB entscheiden, so muss dieser bis zum Ablauf des Stichtags, den 25.05.2018, dem für Sie zuständigen Landesamt für Datenschutzaufsicht gemeldet werden.

c) Interner oder externer Datenschutzbeauftragter

Die Folgefrage ist, ob man einen internen Mitarbeiter zum Datenschutzbeauftragten ernennen soll oder sich lieber einen externen Datenschutzbeauftragten nimmt.
Ein interner Datenschutzbeauftragter wird im Rahmen seines Anstellungsverhältnisses für das Unternehmen tätig, ein externer Datenschutzbeauftragter aufgrund eines Dienstleistungsvertrages. Der externe Datenschutzbeauftragte ist also einfach auszutauschen, der interne Datenschutzbeauftragte nicht. Für die Qualifikation eines externen Datenschutzbeauftragten muss auch der Geschäftsführer nicht sorgen. Ein interner Datenschutzbeauftragter muss regelmäßig zu Fortbildungsmaßnahmen geschickt und somit von der Arbeit freigestellt werden. Der externe Datenschutzbeauftragte kostet das, was Sie mit ihm vereinbaren.

d) Verantwortlicher bleibt der Unternehmer

Nur um es einmal klar gesagt zu haben. Die Datenschutzpflichten des Unternehmers können nicht auf einen Datenschutzbeauftragten abgewälzt werden. Der Verantwortliche bleibt der Unternehmer. Der Datenschutzbeauftragte muss ihn „lediglich“ darauf hinweisen, was im Unternehmen in Sachen Datenschutz gemacht werden sollte. Die Umsetzung verbleibt Sache des Unternehmers.

2. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Das Verarbeitungsverzeichnis ist der Dreh- und Angelpunkt der Datenschutz-Compliance und es ist Pflicht ein solches anzulegen und vorzuhalten! Mit dem Verzeichnis ist nachzuweisen, wie in Ihrem Unternehmen der Datenschutz beachtet wird. Es dient als Nachweis einer DSGVO-konformen Datenverarbeitung und der Vermeidung von Haftungsfällen. Die Pflicht zum Vorhalten eines Verarbeitungsverzeichnisses resultiert aus dem Grundsatz der Rechenschaftspflicht (Art. 5 DSGVO).

Einzelheiten

Das Verarbeitungsverzeichnis kann in schriftlicher oder elektronischer Form angelegt werden und muss folgende Pflichtangaben enthalten:

Name und Kontaktdaten des Verantwortlichen und ggfs. dem Datenschutzbeauftragten, Zwecke der Verarbeitung, Beschreibung der Kategorien betroffener und personenbezogener Daten, Auskunft, ob die Daten in ein Drittland übermittelt werden, Löschfristen sowie eine Beschreibung der getroffenen TOMs.

Vorlagen für Verarbeitungsverzeichnisse gibt es dieser Tage viele, da es keine formelle Vorgabe gibt. Zu empfehlen sind z.B. die vom BDVM (Bundesverband Deutscher Versicherungsmakler e.V.). Auf einem Vorblatt sind folgende Pflichtangaben auszufüllen:

– Angabe zum Verantwortlichen bzw. Auftragsverarbeiter;
– Angaben zu ggf. einem weiteren gemeinsamen Verantwortlichen bzw. Auftragsverarbeiter;
– Angaben zum Vertreter des Verantwortlichen bzw. des Auftragsverarbeiter
– Angaben zur Person des Datenschutzbeauftragten
und auf dem Hauptblatt, was am einfachsten per Excel-Tabelle erstellt wird, werden zu jedem einzelnen Verarbeitungsvorgang die Pflichtangaben des Art. 30 DSGVO abgearbeitet:

– Benennung des Verarbeitungsvorgangs;
– Datum der Einführung und Datum der letzten Änderung;
– Benennung der verantwortlichen Fachabteilung im Unternehmen;
– Angabe des Zwecks der Verarbeitung, z.B. Terminabsprache, Beratungsgespräch;
– Rechtsgrundlage: regelmäßig der Maklervertrag: Art. 6 Abs. 1 Buchst. b) DSGVO oder eine Einwilligungserklärung des betroffenen: Art. 6 Abs. 1 Buchst. a) DSGVO;
– Beschreibung der Kategorien betroffener Personen: z.B. Interessenten, Kunden;
– Beschreibung der Kategorien von personenbezogenen Daten
– Beschreibung der Kategorien von Empfängern, ggü. denen die personenbezogenen Daten offen gelegt werden: intern und extern
– Mitteilung, ob personenbezogene Daten in ein Drittland oder an eine internationale Organisation weitergegeben werden: Wenn ja, dann konkrete Benennung
– Fristen für die Löschung der Daten benennen
– Benennung der technisch- organisatorischen Schutzmaßnahmen (TOMs), die jeweils getroffen werden

Wenn im Unternehmen bereits ein Verfahrensverzeichnis nach BDSG existiert, so kann dies wunderbar als Vorlage genommen werden und ist lediglich um die o.g. neuen Anforderungen zu ergänzen.

3. Datenschutz-Folgenabschätzung (DSFA), Art. 35 DSGVO

Die Datenschutz-Folgenabschätzung steigert das Niveau noch einmal. Dies entspricht der alten „Vorab-Analyse“. Es gilt also bei neuen automatisierten Prozessen vorab zu prüfen, ob der eigene Umgang mit den Daten des Betroffenen voraussichtlich ein hohes Risiko für dessen persönliche Rechte und Freiheiten darstellt. Als Konsequenz der Feststellung eines hohen Risikos ist dieses vor der Datenverarbeitung durch Maßnahmen zu minimieren oder die zuständige Aufsichtsbehörde zu konsultieren und mit dieser abzustimmen, wie Sie sich zu verhalten haben.

Als Anhaltspunkte, wann Sie von einer Pflicht zur DSFA ausgehen sollen, hat die „Artikel 29-Datenschutzgruppe“ (Gremium auf EU-Ebene) u.a. folgende Fälle benannt:

– Verarbeitung sensibler Daten (z.B. Gesundheitsdaten)
– umfangreiche Verarbeitungsvorgänge
– Verwendung neuer Technologien
– zusammengeführte oder kombinierte Datensätze
– Datentransfers außerhalb der Europäischen Union

Für gleichgelagerte Fälle reicht es aus, wenn nur einmal eine DSFA getroffen wird.
Als weitere Hilfestellung sollte eigentlich eine sogenannten „Black-List“ von Behördenseite zur Verfügung gestellt und in dieser die Prozesse bewertet werden, bei welchen eine Datenschutzfolgeabschätzung durchgeführt werden muss. Diese liegt aktuell jedoch noch nicht vor, sodass noch unklar ist, wann die Pflicht definitiv greift.

4. Technisch-organisatorische Maßnahmen (TOM)

Die Technisch-Organisatorischen Maßnahmen beschreiben, wie in Ihrem Unternehmen die Sicherheit Ihrer Daten gewährleistet ist. Sie sind Grundlage für das Sicherheitsniveau beim Beschreiben Ihrer Verarbeitungstätigkeiten.
Denn der Unternehmer hat Schutzmaßnahmen zu treffen, damit die personenbezogenen Daten seines Kunden nicht verloren gehen oder unbefugten Dritten in die Hände fallen. Dafür ist es ausreichend, dass ein „angemessenes“ Schutzniveau eingerichtet wird, welches an den Risiken im Falle des Datenschutzverstoßes festzumachen ist. Damit wird dem DSGVO-Grundsatz der „Integrität und Vertraulichkeit“ (vgl. Art. 5 Abs. 1 Buchst. f DSGVO) entsprochen.

Mit „angemessenes Schutzniveau“ hat man es allerdings wieder mit einem sogenannten unbestimmten Rechtsbegriff zu tun, der interpretationsfähig ist. Auch an dieser Stelle wird aber an den gesunden Menschenverstand appelliert. Wer beispielsweise sensible Kundendaten über WhatsApp versendet, hat offensichtlich keine Schutzmaßnahme getroffen. Stellen Sie sich also immer die Frage, ob Sie die Integrität, Vertraulichkeit, Verfügbarkeit und Belastbarkeit der Datenverarbeitung beim einzelnen Verarbeitungsvorgang durch entsprechende Schutzmaßnahmen beachten. Es gilt für jeden einzelnen Verarbeitungsvorgang zu prüfen, ob dazu eine „angemessene“ TOM getroffen wurde.
Die Verschlüsselung ist neben der Pseudonymisierung, die für Versicherungsmakler eher keine Option ist, eine gute Schutzmaßnahme. Dem Kunden sollte immer die Wahl gelassen werden, ob er die verschlüsselte Kommunikation wünscht oder in die unverschlüsselte Kommunikation einwilligt.

Überdies soll gewährleistet werden, dass die Daten auch nach eventuellen Zwischenfällen wieder rasch verfügbar sind. Dies Alles soll stets auf dem aktuellen Stand der Technik erfolgen. Was unter „Stand der Technik“ genau zu verstehen sein soll, ist zwar nicht klar definiert, aber so zu verstehen, dass keine stark veraltete Software oder Software mit bekannten Sicherheitslücken verwendet werden soll. Tagesaktuelle Software hingegen muss nicht vorgehalten werden. Es gilt auch hier das sogenannte „Augenmaßprinzip“ von Behördenseite einzuhalten.

Behalten Sie diese Begrifflichkeit bitte im Blick, um eventuelle Verschärfungen bei der Auslegung zeitnah mitzubekommen. Informieren können Sie sich z.B. beim Bundesministerium des Inneren (BSI), welches zu den Mindeststandards für den Einsatz von Verschlüsselungsprotokollen regelmäßig Veröffentlichungen publiziert.

5. Einwilligungserklärungen überprüfen und ggfs. neu einholen

Neben dem Versicherungsmaklervertrag als solchem empfiehlt sich immer auch die Einholung von Einwilligungen der Kunden in die Datenverarbeitungsvorgänge. Die Einwilligung stellt dann eine eigene Rechtsgrundlage dar. Beispielsweise sollte für die Zusendung von Werbung immer eine separate Einwilligung eingeholt werden, um nicht Gefahr zu laufen unter das „Kopplungsverbot“ zu fallen. Das heißt es sollen keine Sachen miteinander gekoppelt werden, die miteinander nichts zu tun haben. Ihr Kunde muss also die Möglichkeit eingeräumt bekommen, den Versicherungsmaklervertrag mit Ihnen zu schließen, ohne dass er in die Zusendung von Werbung einwilligen muss.

Alt-Einwilligungen sind nicht per se veraltet. Sie sind auch über den 25. Mai hinaus noch wirksam. Allerdings nur, wenn Sie den DSGVO-Standard erfüllen. Dies erfüllen sie regelmäßig nicht, wenn z.B. kein Hinweis auf das Widerrufsrecht enthalten ist. Im Einzelfall empfiehlt sich also immer die diesbezügliche juristische Prüfung von Alt-Einwilligungen.

6. Auftragsdatenverarbeitungsvereinbarungen abschließen, Art. 28 DSGVO

Sie können und sollten als Verantwortlicher mit Ihren diversen Dienstleistern (Auftragsverarbeiter) sogenannte Auftragsdatenverarbeitungsvereinbarungen/-verträge (abgekürzt „AVV“ oder „ADV“) abschließen bzw. bereits bestehende Verhältnisse überprüfen (lassen).
Ob eine Auftragsdatenverarbeitung vorliegt oder nur eine Funktionsübertragung (Verarbeitung der Daten als eigene verantwortliche Stelle), die keine ADV rechtfertigt, muss für jeden Einzelfall geprüft werden. Als Faustregel sollte hierzu überlegt werden, ob Ihr Unternehmen personenbezogene Daten an einen Dienstleister weisungsgebunden weitergibt, damit dieser eine bestimmte Aufgabe für Sie erfüllt. Wenn der Dienstleister hingegen auch ein Eigeninteresse an der Datenverarbeitung hat und auch eigenverantwortlich agiert, wie bspw. oftmals ein Maklerpool, so spricht dies gegen eine Auftragsdatenverarbeitung. Natürlich ist hier die Prüfung des Einzelfalles notwendig, da es auch Maklerpools gibt, die als Auftragsdatenverarbeiter tätig werden und selbst mit eigenen IT-Töchtern im Auftragsdatenverhältnis zusammenarbeiten. Im Zweifel müssen Sie den Maklerpool konsultieren.

Der Klassiker einer Funktionsübertragung liegt in der Beauftragung von Rechtsanwälten oder Steuerberatern. Hier kann ebenfalls keine Auftragsdatenverarbeitung vorliegen.
Klassische Anwendungsfälle für eine ADV sind somit Verträge mit IT-Servicefirmen.

7. Rechte der Betroffenen (Kapitel 3 DSGVO)

Sämtliche Betroffenenrechte müssen vollumfänglich beachtet werden. Nicht, oder verspätet zu reagieren, kann zu ernsthaften Konsequenzen führen.

a) Informationsrecht

Die betroffenen Personen müssen vom Unternehmer über deren Rechte transparent informiert werden. Die Informationsrechte sind umfangreicher als früher, weshalb gerade Datenschutzbestimmungen auf Webseiten überarbeitet werden sollten. Zu informieren ist u.a. über:

– Name/Kontaktdaten des Verantwortlichen
– Name/ Kontaktdaten des Datenschutzbeauftragten
– Art der verarbeiteten Daten
– Zweck der Datenverarbeitung
– Art der Personen, deren Daten verarbeitet werden
– Information darüber, ob Daten an Dritte weitergegeben werden
– Information darüber, ob Daten in ein Drittland übermittelt werden
– Angabe von Löschfristen
– Informationen über die Rechte des Betroffenen in leicht verständlicher Form
– Aufklärung über das Recht auf Widerruf der Einwilligung
– Aufklärung des Betroffenen, dass er sich bei Datenschutzbehörde beschweren kann

b) Auskunftsrecht (Art. 15 DSGVO)

Etwaigen Auskunftsansprüchen ist „unverzüglich“ nachzukommen. Die Daten müssen also so im Unternehmen vorgehalten werden, dass sie sofort dem einzelnen Betroffenen zuordenbar sind.

c) Berichtigungsrecht (Art. 16 DSGVO)

Sollte nach Auskunftserteilung der Betroffene Sie darauf hinweisen, dass Fehler in seinen personenbezogenen Daten sind, müssen diese berichtigt werden.

d) Recht auf Löschung (Art. 17 DSGVO)

Sollte der Betroffene die Löschung seiner personenbezogenen Daten verlangen, empfiehlt es sich immer zwei Dinge zu prüfen.
Ist derjenige, der den Löschungsanspruch stellt auch wirklich die betroffene Person. Wenn nicht, würden Sie gerade durch die Löschung einen Datenschutzverstoß begehen.
Weiterhin ist zu prüfen, ob die Daten, statt zu löschen, gesperrt werden können. Denn nur dann können Sie sich später noch gegen etwaige Ansprüche, z.B. wegen Falschberatung, effektiv wehren. Die ehemalige „Sperrung“ heißt jetzt übrigens „Recht auf Einschränkung der Datenverarbeitung“ und ist in Art. 18 DSGVO geregelt.

e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Gänzlich neu ist, dass der Unternehmer die personenbezogenen Daten derart vorhalten muss, dass sie in einem gängigen Datenformat (z.B. pdf, Excel, csv-Datei) übertragen werden können. Hintergrund dieser Regelung ist der, dass der Betroffene die Kontrolle über seine Daten behalten soll. Wenn er beispielsweise von einem Sozialen Netzwerk oder Cloud-Anbieter zu einem anderen wechseln will, so soll er seine Daten schnell und unkompliziert beim ersten Anbieter abziehen und dem neuen zur Verfügung stellen können.

f) Widerspruchsrecht (Art. 21 DSGVO)

Für Direktwerbung besitzt der Betroffene ebenfalls ein eigenes Widerspruchsrecht. Macht er davon Gebrauch, sollte er tunlichst auch keine Werbung mehr erhalten.

8. Internes Datenschutzkonzept erstellen

Dies ist eigentlich ein Selbstläufer. Wenn man sich als Unternehmer die Mühe macht, sich intensiv mit dem Datenschutzrecht zu befassen, müssen natürlich zwangsläufig dabei Entscheidungen getroffen werden, bspw. Welche Daten erhebe ich bei der Neu-Kundenakquise, um nicht zu viele Daten zu erheben („Datenminimierungsgrundsatz“) oder wann werden welche Daten gelöscht/gesperrt oder welche Mitarbeiter haben auf welche Daten wann Zugriff (TOMs) usw. Diese ganzen Entscheidungen zu durchdenken und zu dokumentieren kann dann „Datenschutzkonzept“ betitelt werden. Wichtig ist eigentlich nur, dass es auch gemacht wird.

Dazu gehört auch, dass „Privacy-by-Design“ und „Privacy-by-Default“ im Unternehmen etabliert werden. Das bedeutet nichts anderes als „Datenschutz durch Technikgestaltung“ bzw. „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Die technischen Voreinstellungen sollen also immer zu Gunsten des Kunden, d.h. zum Schutz seiner Daten, eingestellt sein.

9. Rechenschaftspflicht nachkommen

Nicht nur gegenüber den betroffenen Personen hat der Unternehmer Rechenschaft über die Datenverarbeitung abzugeben. Vor allem die Rechenschaftspflicht gegenüber den zuständigen Behörden ist nachzukommen, um Bußgelder zu vermeiden.

An dieser Stelle seien noch einmal die Maximalstrafen genannt. Wo vorher Bußgelder in Höhe von „nur“ bis zu EUR 300.000,- verhängt werden durften, dürfen Behörden nun theoretisch bis zu 20 Mio. Euro bzw. 4% des Jahresumsatzes bei „schweren“ Verstößen und bis zu 10 Mio. Euro bzw. bis zu 2% des Jahresumsatzes bei „leichten“ Verstößen verhängen.

Als leichter Verstoß gilt z.B. die Nichtbestellung eines Datenschutzbeauftragten, obwohl eine Pflicht zur Bestellung besteht. Als schwerer Verstoß kann eigentlich jede Verletzung der Grundsätze der DSGVO gewertet werden, also z.B. wenn der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nicht nachgekommen wird oder eine Datenverarbeitung ohne Rechtsgrundlage stattfindet. In Art. 5 DSGVO sind übrigens alle Grundsätze abschließend aufgezählt, die ausnahmslos und jederzeit zu beachten sind.
Bei der Verhängung von Bußgeldern, haben die Behörden natürlich weiterhin mit Augenmaß zu agieren. Werden Geldbußen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so sollte die Aufsichtsbehörde bei der Erwägung des angemessenen Betrags für die Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedsstaat und der wirtschaftlichen Lage der Person Rechnung tragen (Erwägungsgrund 150 zur EU DSGVO). Dem Willen des EU-Gesetzgebers folgend, sind sie aber dazu angehalten abschreckend und empfindlich zu ahnden.

10. Cyber-Risk-Versicherung abschließen?

Man kann sich zwar nicht generell dagegen versichern lassen, dass eigene Datenschutzverstöße von einer Versicherung getragen werden. Aber immerhin gibt es Cyber-Risk-Versicherungen, um sich gegen Datenschutzverstöße aufgrund von Cyberattacken auf das eigene Unternehmen, versichern zu lassen. In der Regel ist der jährliche Versicherungsbeitrag ein verhältnismäßig kleiner Aufwand, um sich gegen ein großes Risiko im Unternehmen zu versichern.

11. Mitarbeiterschulungen

Es besteht die Pflicht zur Mitarbeiterschulung. Einmal im Jahr ist ausreichend. Es empfiehlt sich aber solche Schulungen regelmäßig durch qualifizierte Referenten durchführen zu lassen. Denn letztlich sind es die Mitarbeiter, die die häufigsten Datenschutzverstöße verursachen, nicht unbedingt die Cyber-Angriffe von außen. Der Klassiker ist hierbei das Versenden einer E-Mail mit personenbezogenen Daten Ihres Kunden an einen falschen Empfänger. Schon ist ein Datenschutzverstoß begangen. Da hilft auch kein Standard-Disclaimer unter der E-Mail-Signatur. Umso wichtiger ist es, dass für solch einen vorhersehbaren Datenschutzverstoß den Mitarbeitern Regelungen an die Hand gegeben werden, wie sie sich in diesem Fall zu verhalten haben. Wer muss intern darüber informiert werden? Wer ist dessen Vertretung? Wer informiert den betroffenen Kunden? Wer entscheidet, ob der Vorfall so schwer wiegt, dass die Datenschutzbehörde informiert werden muss?; Stichwort: 72 Stunden Meldepflicht!

Natürlich empfehlen sich auch externe Schulungen von Dienstleistern zu diesem Thema. Am Ende muss im Unternehmen das Datenschutzniveau auf DSGVO-Standard gebracht werden. Dies ist keine einmalige Anstrengung, sondern ein dauerhafter Prozess.

12. IT / EDV auf „aktuellen Stand der Technik“ bringen

Art. 25 DSGVO schreibt es ausdrücklich vor. Der Datenschutz ist durch Technikgestaltung und datenschutzfreundliche Voreinstellungen auf dem Stand der Technik zu gewährleisten. Einzig eine Definition, was denn der Gesetzgeber mit „Stand der Technik“ genau meint, fehlt leider.

Versetzen Sie sich auch hier in die Lage eines Prüfers bei der Behörde, der Ihr Unternehmen als Fall auf seinen Tisch bekommt und sich die Frage stellen muss, ob Ihr Unternehmen auf dem Stand der Technik Datenverarbeitung durchführt. So können Sie selbstkritisch selbst einschätzen, ob Sie an dieser Stelle DSGVO-konform sind oder nicht.

13. Fortentwicklung des Datenschutzrechts / Meldungen der Aufsichtsbehörden verfolgen

Es sollte gerade in den ersten Monaten nach Wirksamwerden der DSGVO in Deutschland verfolgt werden, wie sich zu einzelnen Fragen seitens der Behörden geäußert wird. Das neue Gesetz muss sich erst „einschleifen“ und konkrete Einzelfragen werden naturgemäß erst im Laufe der Zeit geklärt werden.
Nicht zu vergessen ist in diesem Zusammenhang, dass der EU-Gesetzgeber in der DSGVO für alle EU-Mitgliedstaaten bewusst Öffnungsklauseln im Gesetzeswerk gelassen hat, welche durch die nationalen Gesetzgeber eigenständig im Detail zu regeln sind. In Deutschland hat sich der Gesetzgeber diese Chance nicht nehmen lassen und ein neues Bundesdatenschutzgesetz erarbeitet, dass ebenfalls am 25.05.2018 in Kraft treten wird. Interessanterweise ist dieses neue BDSG, welches nur Lücken der DSGVO schließen sollte, umfangreicher geworden, als das alte BDSG, welches bis dahin das datenschutzrechtliche Grundwerk in Deutschland gewesen ist.

14. Meldefrist

Bereits unter Punkt 11 erwähnt, aber aufgrund der Wichtigkeit auch noch einmal gesondert aufgeführt, ist die Pflicht gemäß Art. 33 DSGVO, einen Datenschutzverstoß gegenüber der gemäß Art. 55 DSGVO zuständigen Datenschutzbehörde innerhalb von 72 Stunden ab Kenntniserlangung zu melden. Die Meldepflicht gilt allerdings nicht, wenn Sie nach Prüfung des Vorfalls zu dem Schluss kommen, dass die Verletzung beim Betroffenen voraussichtlich nicht zu einem Risiko für dessen Rechte und Freiheiten führt. Jeder einzelne Verstoß ist also dahingehend zu prüfen, ob dieser zu melden ist. In jedem Fall ist er zu dokumentieren zusammen mit den ergriffenen Maßnahmen, um zukünftige Verstöße dieser Art zu unterbinden.
Bei Datenschutzverstößen laufen sehr kurze Meldefristen. Deshalb ist unbedingt zu empfehlen, den Ablauf im Unternehmen vorher zu durchdenken. Es ist festzulegen, welche Abläufe wann in Gang gesetzt werden sollen. Vor allem den Verantwortlichen im Unternehmen zu benennen, dem der einzelne Vorfall zur Prüfung vorzulegen ist. Schon allein die nicht rechtzeitige Meldung des Verstoßes kann ein Bußgeld nach sich ziehen.
Beim Vorliegen eines Datenschutzverstoßes trifft Sie daneben unter Umständen auch die Pflicht zur Information des Betroffenen, dessen Rechte ja verletzt wurden.
Es empfiehlt sich die Verwendung eines Mustervordrucks „Meldung Datenpanne“, der bereits vorgehalten werden sollte und dann nur noch abgearbeitet werden muss. In dem Meldeformular müssen die in Art. 33 Abs. 3 DSGVO genannten Informationen enthalten sein.

15. Dokumentation

Die Rechenschaftspflicht ist ein Grundsatz der DSGVO, dem unbedingt Folge zu leisten ist. Daher ist es in keinem Fall schädlich Datenverarbeitungsprozesse, wie auch immer, im Unternehmen zu dokumentieren. Gerne kann dann im Verarbeitungsverzeichnis auf diese Dokumentation, wie auch immer sie aussehen mag, verwiesen werden. Somit kommen Sie der Verpflichtung nach, die Maßnahmen der Datensicherheit im Verarbeitungsverzeichnis zu beschreiben.

Fazit

Auch der Versicherungsmakler, wie alle Unternehmer in Deutschland, steht in der Pflicht zur Einhaltung des Datenschutzes. Dabei stellt der Versicherungsmaklervertrag stets die Rechtsgrundlage für die Verarbeitung dar (Art. 6 Abs. 1 Buchst. b) DSGVO). Zudem sollten Einwilligungen in die Verarbeitung der Daten von den Kunden eingeholt werden und geprüft werden, ob mit Dienstleistern ein Auftragsdatenverarbeitungsvertrag (ADV/AVV) abzuschließen ist. Die Dokumentation aller datenschutzrechtlichen Anstrengungen ist zu empfehlen. Ein Verarbeitungsverzeichnis muss unbedingt erstellt werden!

Um den Nachweispflichten nachzukommen müssen also diverse Dokumente erstellt werden. Wir empfehlen Ihnen dazu die Nutzung des von uns vertriebenen „Care-Pakets“ von „HMDATA“. Dieses ist für einen geringen Endpreis über folgenden Online-Shop direkt zu erwerben und enthält neben Erläuterungen vor allem Muster für alle relevanten Standard-Datenschutzprozesse.

https://hmdata.shop.epages.de/p/care-paket-dsgvo-fuer-mandanten-der-kanzlei-michaelis-download

Courtageplus: Wie Servicegebühren zum Rettungsanker werden

Quelle: Artikel veröffentlicht am 20.04.2018 auf http://www.procontra-online.de von Stefan Terliesner

Beim Thema Servicegebühren fehlt den meisten Vermittlern noch der Mut. Dabei räumt der Gesetzgeber genügend Freiheiten ein, das schwindende Courtageniveau zu kompensieren. Experten sehen hier hohes Potenzial.

Für einen Juristen sind die an Makler gerichteten Worte eindeutig: „Lassen Sie sich mehr Services vergüten. Seien Sie frei in der Gestaltung, wann Sie wofür Geld beim Kunden nehmen. Sie dürfen Dienstleistungen an Verbraucher verkaufen, wenn jene nichts mit der Vermittlung zu tun haben. Für die Vermittlung bekommen Sie Courtage. Für den Service können Sie eine Gebühr verlangen. Nach oben gibt es kaum Deckelungen, es sei denn, Ihre Forderung ist Wucher.“

Den ganzen Artikel weiterlesen:

Teil 1
Teil 2

Unter http://www.app-riori.de/ werden Servicevereinbarungen als Muster angeboten

Compliance-Organisation nach den neuen IDD Vorgaben

von Oliver Timmermann

Oder: Wer schuldet, der haftet auf neudeutsch – 1. Teil: Haftung

Die IDD hat in Art. 17 IDD den Grundsatz der „redlichen, professionellen und im bestmöglichen Kundeninteresse geschehenden Beratung“ normiert. Der deutsche Gesetzgeber ist dem für die Versicherer in § 1a VVG und für die Versicherungsvermittler in § 59 Abs. 1, der nun auf § 1a VVG verweist, nachgekommen.

Oliver Timmermann

Oliver Timmermann

I. Einleitung

Der nachfolgende Text weist nach, dass es auch für die Makler GmbH unternehmensbezogene Pflichten gibt, die Angestellten intern über Gefahren des Interessenkonfliktes aufzuklären, dies zu dokumentieren und entsprechende Reaktionen im Falle eines Fehlhandelns zu installieren. Diese Maßnahmen gehören fortan zur betriebsinternen compliance. Nach Herausarbeitung der Pflicht dieser ComplianceOrganisation (siehe II.) gilt es in einem ersten Schritt aufzuzeigen, was im Falle einer zögerlichen Umsetzung der GmbH und insbesondere dem GmbH Geschäftsführer drohen kann, wenn hier gezögert wird, vgl. siehe III. (Gegebenenfalls folgen in weiterer Folge Texte, die das Erkennen eines solchen „Interessenkonfliktes“ und die konkrete Umsetzung von compliance-Ordnungsmaßnahmen untersuchen.)

II. Compliance-Pflicht

1.) Bestehen einer compliance-Pflicht für makler GmbHs

In Deutschland hat sich insbesondere nach der Entscheidung des LG München I vom 10.12.2013 (vgl. NZG 2014, 345 f. – das Verfahren vor dem OLG München unter dem Az.: 7 U 113/14 ist nach wie vor anhängig) für Aktiengesellschaften die Diskussion um die Einführung von compliance-Maßnahmen verschärft, vgl. Oppenheim, „Die Pflicht des Vorstandes zur Einrichtung einer auf Dauer angelegten compliance-Organisation“ in DStR 2014, 1063 ff. Ob solche Verpflichtung dann aber auch für eine GmbH in Frage kommen soll, war lange umstritten, vgl. krit. Zöllner/ Noack in Baumbach/ Hueck, GmbHG, 21. Aufl. 2017, zu § 43 Rn. 17 m. w. N. Traditionell wurde hierbei zwischen der Frage des „Ob“ und dem „Wie“ unterschieden. Konkrete Maßnahmen sollten nur in bestimmten Risikofällen angenommen werden können. Insgesamt wurde dem Geschäftsführer hierfür ein gewisses Ermessen zugesprochen, vgl. insg. Dreher, „Die Vorstandverantwortung im Geflecht von Risikomanagement, compliance und interner Revision“ in FS Hüffner 2010, S. 161 ff.;

Nach dem IDD ist dies für makler-GmbHs nun anders. Danach kann die Frage nach dem „Ob“ einer solchen Pflicht nicht mehr zweifelhaft sein.

Während für die Versicherer im Versicherungsaufsichtsrecht die Regeln über „den Versicherungsvertrieb“ erheblich angepasst wurden (vgl. Reiff, „Das VersicherungsvertriebsR nach Inkrafttreten des Gesetzes zur Umsetzung der Versicherungsvertriebsrichtlinie“ in VersR 2018, 193, 197 f.) und so z. B. in §§ 48 Abs. 2a, 48a Abs. 2 VAG geeignete Maßnahmen der Geschäftsorganisation verlangt werden, sind diese Vorgaben für die einfache Makler-GmbH sehr viel versteckter. Jedoch: Es gibt diese Vorschriften und diese Änderungen sollten ab dem 23.02.2018 auch unbedingt beachtet werden, da sich hier sehr viel Haftungspotential verbergen kann.

Unmittelbar ordnet der neue § 34e Abs. 1 Nr. 2d GewO an, dass in einer Rechtsverordnung Vorschriften über die allgemeinen Anforderungen an den Geschäftsbetrieb erlassen werden können. Dies wurde in § 14 Abs. 2 Ref.E. VersVermV aufgegriffen. Danach dürfen Versicherungsvermittler ihre Beschäftigten nicht so vergüten und bewerten, dass diese in Konflikt mit ihrer Pflicht der „redlichen, professionellen und bestmöglichen“ Beratung geraten.

Es sollen keine „Fehlanreize“ durch Vergütungen bzw. Verkaufsziele gesetzt werden, die den einzelnen Angestellten dazu verleiten könnten, statt eines besser geeigneten Vertrages eine andere Versicherung anzubieten.

Über diese Norm, die erst unter der neuen Bundesregierung in Kraft treten kann, enthält aber bereits jetzt die Delegierten VO 2359/2017 konkrete Vorgaben zur Umsetzung von Maßnahmen der Geschäftsleitung. Diese ist ebenfalls am 23.02.2018 in Kraft getreten. Es muss hier auf eine umfängliche Darstellung des Regelungsgehaltes dieser EU Verordnung verzichtet werden. Dies ist ggfs. an späterer Stelle nachzuholen. Wichtig ist für das heutige Darstellungsziel auf die Art. 3, 4 und 6 dieser Delegierten VO aufmerksam zu machen. Hier wird eine (wenn auch relativ abstrakte) Definition eines „Interessenkonfliktes“ (vgl. Art. 3) sowie Vorgaben für den Umgang (vgl. Art. 4 und 5) gegeben.

Es kann damit nicht länger in Frage stehen, dass mit dieser Delegierten VO eine Makler GmbH keinerlei Einschätzungsprärogative hinsichtlich des „Ob“ von compliance-Organisation mehr zusteht. Diese ist nun schlicht verpflichtend.

2.) Rechtsfolge einer Verweigerung der Umsetzungspflicht

Die Einrichtung einer compliance-Struktur gehört zu den sog. „Legalitätspflichten“ eines GmbH-Geschäftsführers. Bislang wurde v. a. auf den Tatbestand des § 130 OwiG hingewiesen, wenn ein Defizit in der Umsetzung besprochen werden sollte, vgl. Kort, „Compliance-Pflichten und Haftung von GmbH-Geschäftsführern“ in GmbHR 2013, 566 ff. An dieser Stelle soll aber auf eine sehr viel unmittelbarere Gefahr dieser compliance-Organisationspflicht hingewiesen werden.

a) Ausgangsfall
Wir denken uns folgenden Fall: Der freundliche Versicherungsvermittler V. berät im Außenverhältnis den Kunden K., obwohl
– ein „Interessenkonflikt“ besteht,
– in der GmbH keine compliance-Struktur existiert, weil sich der Geschäftsführer G. nicht darum gekümmert hat und
– aufgrund dieses „Interessenkonfliktes“ längst eine sog. „Offenlegung“ (Art. 6 Delegierte VO) angezeigt gewesen wäre.

Der Versicherungsvermittler V. hat im Verhältnis zum Kunden eine vorvertragliche Pflichtverletzung durch Unterlassen begangen, indem dieser den bestehenden „Interessenkonflikt“ nicht offenlegte. Eine solche vorvertragliche Pflichtverletzung ist fahrlässig und durch ein Unterlassen möglich, vgl. Giesler/ Nauschütt, „Vorvertragliche Aufklärung“ in BB 2003, 435 ff. – anders als bei der Arglist-Täuschung kommt bei den §§ 241 Abs. 2, 311 BGB auch fahrlässiges Handeln in Betracht, vgl. Grigoleit, „Vorvertragliche Informationshaftung“ 2002, S. 66 ff. – Angriff auf das „Vorsatzdogma“; ders. in NJW 2002, 1151 ff.

Wichtig ist, hierzu das Folgende zu wissen: Der Versicherungsvermittler V. hätte bei pflichtgemäßen Handeln von der Offenlegungspflicht bei Interessenkonflikten wissen können und auch müssen! Er handelt ab dem 23.02.2018 zumindest „fahrlässig“ i. S. des § 276 BGB gegenüber dem Kunden.

Nach h. M. ist die verkehrserforderliche Sorgfalt objektiviert, vgl. BGHZ 24, 21, 28; BGH, VersR 2006, 228, 229, d. h. diese verlangt Einhaltung der Standards, die im betreffenden Berufskreis oder Verkehrskreis gelten, vgl. BGH, NJW 2003, 2022, 2024. Der Schuldner garantiert damit letztlich, dass er über die erforderlichen Fähigkeiten verfügt, vgl. Singer, „Dogmatik der Vertrauenshaftung im deutschen Privatrecht“, 2. FS Canaris 2017, S. 425 ff. Es gilt deshalb kein individueller Maßstab, nach dem sich der Verpflichtete darauf berufen könnte, die in seinem Berufskreis geltenden Standards selbst nicht erreichen zu können, etwa weil er mangelhaft ausgebildet ist, vgl. BGH NJW-RR 2003, 1454, 1455.

Zu den Grenzen der gebotenen Sorgfalt zählt allein die Zumutbarkeit des geforderten Verhaltens. Es war dem Versicherungsvermittler V. allerdings zumutbar, sich angemessen zu verhalten.

Zu der im Verkehr erforderlichen Sorgfalt gehört auch die gebotene Vergewisserung über Tatsachen und die Rechtslage. Tatsachenirrtümer und Rechtsirrtümer entlasten den Schuldner nur, soweit sie nicht ihrerseits auf Fahrlässigkeit beruhen, vgl. BGH NJW 2011, 2120. Die Standards für die entstehenden Nachforschungspflichten folgen hier denselben Regeln wie bei der Fahrlässigkeit im Allgemeinen, vgl. OLG Karlsruhe, NJW 2005, 989, 990 f. Zumutbare Anstrengungen der Selbstvergewisserung schließen dabei auch ein Nachfragen beim Gläubiger ein, vgl. BGH NJW 2011, 2120.

Die Einhaltung der erforderlichen Sorgfalt wird, insbesondere, wenn die Rechtslage schwierig ist, entlastend berücksichtigt, vgl. BGH NJW 2014, 2947, Rz. 24. Jedoch ist die bare Unkenntnis einschlägiger Rechtsvorschriften oder des Vertragsinhalts stets als fahrlässig anzusehen, vgl. Caspers in Staudinger, BGB, Stand 2009, zu § 276 Rn. 61 f. Bei einer zweifelhaften Rechtsfrage handelt jedoch bereits fahrlässig, wer sich erkennbar in einem Grenzbereich des rechtlich Zulässigen bewegt, in dem er eine von der eigenen Einschätzung abweichende Beurteilung der rechtlichen Zulässigkeit des fraglichen Verhaltens in Betracht ziehen muss, vgl. BGH NJW 1998, 2144; BGH NJW 2015, 2419, Rz. 63. Erforderlichenfalls muss der Schuldner Rechtsrat einholen, vgl. BGH NJW 2014, 2914, Rz. 14. Für Fehler des Ratgebers gilt § 278 BGB.

Nach der IDD, der Delegierten VO und Inkrafttreten des deutschen UmsetzungsG ab dem 23.02.2018 hat der Versicherungsvermittler die neue Rechtslage zu kennen und hatte Gelegenheit, sich entsprechend zu informieren! Im Falle eines Zweifels und/ oder der Unsicherheit, ob in der konkreten Beratungssituation ein „Interessenkonflikt“ vorliegen könnte, hat dieser – in Vorbereitung auf das anstehende Kundengespräch – Information bei dem zuständigen compliance-Organ der GmbH einzuholen. Diese Frage, ob und wann ein Interessenkonflikt vorliegt, kann im Einzelfall schwer erkennbar sein. Deshalb bestimmt Art. 4 Abs. 2 lit. a) der Delegierten VO, vorher festzulegen, „unter welchen Umständen ein Interessenkonflikt, der den Interessen eines oder mehrerer Kunden schaden könnte, vorliegen“ soll.

Wenn V. hier diese Frage aber internen nicht klären kann, weil dafür keiner zuständig sein will und weil eine organisation dafür schlicht nicht existiert, schlägt diese „Unkenntnis“ sofort 1 zu 1 auf diesen Berater durch. Dieser handelt dann seinerseits gegenüber dem Kunden „fahrlässig“.

Diese Pflichtverletzung des Vermittlers ist dann allerdings ihrerseits – Bäumchen wechsle dich – wiederum der Gesellschaft gem. § 278 BGB (wenn es sich bei V. um keinen verfassungsmäßig gewählten Repräsentanten i. S. des § 31 BGB handelt) zuzurechnen. Dann ist aber zugleich denkbar, dass der Gesellschaft im Innenverhältnis ein Schadensersatzanspruch gegen das verantwortliche Organmitglied gem. § 43 Abs. 2 GmbHG zusteht. Der Geschäftsführer hat wegen der fehlenden compliance-Struktur eklatant gegen seine sog. Legalitätspflicht verstoßen, vgl. Hüffner, „Compliance im Innen- und Außenrecht der Unternehmen“ in FS Roth, 2011, S. 299, 301, 304 f.

Es kommt dann für den Geschäftsführer darauf an, ob er
– überhaupt eine D&O Versicherung zur Abdeckung von Vermögensschadens-Fällen unterhält und
– welche Ausschluss-Klauseln diese Versicherung im Falle „wissentlichen“ bzw. „vorsätzlichen“ Handelns enthält.

In der D&O Versicherung werden vom Versicherer regelmäßig sog. „Vorsatzausschluss-Klauseln“ verwandt, vgl. Seitz, „Vorsatzausschluss in der D&O Versicherung“ in VersR 2007, 1476 ff.

b) Vorsatz des Geschäftsführers bei Nichtstun

Das Problem hierbei ist dann folgendes: Angesichts des Umstandes, dass nun das Fehlen von Vorsatz eine sog. negative Tatsache betrifft, müssen sich aus dem Vortrag zur objektiven Pflichtverletzung des Anlegers Indizien dafür ergeben, dass der Geschäftsführer G. seine Pflichten vorsätzlich verletzt hat, vgl. OLG Karlsruhe, NJOZ 2012, 2218, Rn. 27; OLG Frankfurt a. M., BKR 2015, 38, Rn. 33.

An dieser Stelle ist kein Raum dafür, in die feinziselierten Abgrenzungen zwischen „unvermeidbarem“ und „einfachem“ Rechtsirrtum einzusteigen, vgl. OLG Köln, GWR 2016, 36 f, Rz. 28 f. Es mag stattdessen ein Hinweis auf OLG Stuttgart (Urt. v. 16.03.2011 – Az.: 9 U 129/10 in ZIP 2011, 803 f.) genügen:

„Wer vor gesetzlich normierten und allgemein anerkannten Regelungen und einer auf der Hand liegenden Problematik die Augen verschließt, handelt – auch ohne Rechtsberater – mindestens bedingt vorsätzlich.“

Jedem GmbH-Geschäftsführer, der nach den ausdrücklichen neuen IDD Regeln (und ihren deutschen Umsetzungen) deshalb in puncto compliance-Struktur die Hände in den Schoss legt, kann dann nur viel mut gewünscht werden, von seinem D&o Versicherer ggfs. eine Deckungszusage zu erhalten. Dies wird m. E. in den allermeisten Fällen misslingen!

Am „besten“ kommt in dieser traurigen Haftungskette dann noch der den Kunden beratende Versicherungsvermittler V. weg. Mit Beschluss vom 27.09.1994 hat das BAG seine Theorie zur „gefahrgeneigten Arbeit“ aufgegeben und durch eine neue Haftungsprivilegierung des Angestellten bei „betrieblich veranlassten Tätigkeiten“ ersetzt, vgl. BAG, Beschl. v. 27.09.1994 – GS 1/89; BAG, BB 2015, 2041 ff. Danach richtet sich der Umfang eines Schadensersatzanspruches nach einer Abwägung der Gesamtumstände. Dabei ist auch ein vom Arbeitgeber einkalkuliertes Haftungsrisiko mit zu berücksichtigen, vgl. BAG, a. a. O. D. h. ggfs. kann bei einem eklatanten Verstoß gegen die compliance-Organisation der Arbeitnehmer im Innenverhältnis eine Haftungsfreistellung verlangen.

c) Schaden des Kunden im Falle der Beratung trotz „Interessen konfliktes“?

Es kann auch nicht eingewandt werden, dass der Kunde ja „eigentlich“ keinen Schaden erlitten hat.
Denn, (vgl. BGH, Urt. v. 28.06.2017 – Az.: IV ZR 440/14 in NJW 2017, 3387 ff.):
Der Grundsatz gemeinschaftsrechtskonformer auslegung und Rechtsfortbildung darf mithin nicht zu einer auslegung des nationalen Rechts contra legem führen;
– nach nationalem Recht kommt ein Versicherungsvertrag unabhängig von einer vorherigen Information des VN zustande;
– der Gesetzgeber hat bewusst davon abgesehen, für einen wirksamen Abschluss eines Versicherungsvertrages vom allgemeinen Zivilrecht grundlegend abweichende Regeln aufzustellen. Im Rahmen des von ihm gewählten Umsetzungskonzepts hat er eine ausdrückliche Pflicht für den Versicherer geschaffen, den VN rechtzeitig vor Abgabe seiner Vertragserklärung zu informieren.
Im Falle der Verletzung dieser Pflicht hat er als Sanktion vorgesehen, dass die Widerrufsfrist noch nicht zu laufen beginnt. Daneben kommen nach seiner Vorstellung aber auch Schadensersatzansprüche und aufsichtsrechtliche maßnahmen in Betracht (BT-Drucks. 16/3945 S. 60).

M.a.W.: Die Widerrufsregelungen der §§ 8, 9 VVG entfalten keine Sperrwirkung gegen einen Schadensersatzanspruch aus §§ 241, 311 BGB, da sie eine andere Schutzrichtung haben; vgl. Pohlmann in Looschelders/ Pohlmann, VVG, 3. Aufl. § 7 Rn. 56. Während das Widerrufsrecht eine Bedenkzeit einräumen soll, innerhalb derer der VN den Vertrag ohne Angabe von Gründen rückgängig machen kann, beruht der Schadensersatzanspruch auf einer schuldhaften Verletzung vorvertraglicher Pflichten. Nach dem Konzept des Gesetzgebers soll dieser Schadensersatzanspruch ausdrücklich als weitere mögliche
Sanktion für die verspätete Übermittlung der Vertragsinformationen neben dem hinausgeschobenen Beginn der Widerrufsfrist in Betracht kommen, vgl. BT-Drs. 16/3945 S. 60.

Wer dies anders sieht, hat das Institut der vorvertraglichen Aufklärungspflicht als „Schuldverhältnis ohne primäre Leistungspflicht“ (vgl. Canaris „Die Schuldrechtsreform vor dem Hintergrund des GemeinschaftsR“ 2001, 43, 59; Riehm „Rechtsgrund, Pflicht, Anspruch – Dogmatik des Schuldverhältnisses“ in 2. FS für Canaris 2017, S. 345, 346 ff.) missinterpretiert.

Wenn das so ist – und das muss man sich auf der Zunge zergehen lassen – dann kommt in dem oben geschilderten kleinen Fall aber aus der vorvertraglichen Aufklärungspflichtverletzung auch ein Anspruch auf Rückabwicklung des vermittelten Versicherungsvertrages durch den Kunden in Betracht.

Dieser Anspruch auf Rückabwicklung des Vertrages aufgrund einer Verletzung von Informationspflichten gerichtete Schadensersatzanspruch setzt nun zunächst die Möglichkeit eines Vermögensschadens voraus, vgl. BGH, Urt. v. 11.07.2012 – Az.: IV ZR 164/11, BGH, r+s 2013,297. Hierfür genügt aber jeder wirtschaftliche Nachteil, der mit dem aufgrund der Pflichtverletzung eingegangenen Vertrag verbunden ist, vgl. BGH, Urt. v. 20. 05.2015 – Az.: IV ZR 127/14,in VersR 2016, 133 Rn. 31.

Im Ergebnis kann dann weder argumentiert werden, dass für einen „Rücktritt“ doch ggfs. die Widerrufsfrist abgelaufen wäre, da der aus den §§ 241 Abs. 2, 311 BGB resultierende Rücktritt anderen Regeln aus das Widerrufsrecht des § 8 VVG unterworfen ist. Auch muss ggfs. nicht geschaut werden, ob ein anderer statt des „Interessenkonflikt“ behafteter Vertrag für den Kunden tatsächlicher günstiger gekommen wäre. Zur Annahme eines das Rücktrittsrecht auslösenden Vermögensschaden reicht „jeder wirtschaftliche Nachteil“ aus. Dieser muss sich mithin nicht aus dem konkreten Vertragsvergleich ergeben, sondern kann ganz woanders liegen.

III. Endergebnis

Durch die IDD (und die deutschen UmsetzungsG) sowie in deren Gefolge der Delegierten VO wurden konkrete Vorgaben zur Anlage einer compliance-Struktur auch des Versicherungsvermittlers und damit auch des Geschäftsführers einer Makler GmbH geschaffen. Die (vorsätzliche) Nichtbeachtung durch diesen hat zukünftig das Potential, eklatante Haftungsfolgen im Innen- wie im Außenverhältnis auszulösen.

Wann ist der beste Zeitpunkt für einen „Leitungswasserschaden“ und muss es immer gleich Schimmel sein?

Lars Krohn LL.M., Rechtsanwalt, Fachanwalt für Versicherungsrecht, Master of Laws Versicherungsrecht

 

Lars Krohn

Lars Krohn

BGH-Urteil vom 12.07.2017 – Az.: IV ZR 151/15

I.

Natürlich gibt es insbesondere aus Sicht eines geschädigten Versicherungsnehmers keinen guten Zeitpunkt für einen Leitungswasserschaden. Noch ärgerlicher ist es dann, wenn es zur Auseinandersetzung mit dem Versicherer über den bedingungsgemäßen Eintritt des Versicherungsfalls kommt.

Der BGH hatte sich deshalb in seiner Entscheidung vom 12.07.2017 – Az.: IV ZR 151/15 – mit der Frage auseinanderzusetzen, wann der Versicherungsfall eines bedingungsgemäßen Leitungswasserschadens im Sinne der Allgemeinen Bedingungen für die Wohngebäudeversicherung (VGB 2001) vorliegt, welche hierzu auszugsweise lauten:

„§ 4 Versicherungsfall; versicherte und nicht versicherte Gefahren und Schäden

  1. Entschädigt werden versicherte Sachen…, die durch

    b) Leitungswasser…,
    zerstört oder beschädigt werden… (Versicherungsfall).
  2. Entschädigt werden auch Bruchschäden an Rohren der Wasserversorgung und Frontschäden an sonstigen Leitungswasser führenden Einrichtungen. …

 § 6 Leitungswasser  

  1. Leitungswasser ist Wasser, das bestimmungswidrig ausgetreten ist aus

 a) Zu- oder Ableitungsrohren der Wasserversorgung,…

 3. der Versicherungsschutz gegen Leitungswasser erstreckt sich ohne Rücksicht auf mitwirkende Ursachen nicht auf Schäden durch

d) Schwamm oder Schimmel, …

 

 § 13 Beginn des Versicherungsschutzes; …

  1. Der Versicherungsschutz beginnt zu dem im Versicherungsschein angegebenen Zeitpunkt, wenn der Versicherungsnehmer den ersten oder einmaligen Beitrag rechtzeitig zahlt. …

 

 § 26 Obliegenheiten des Versicherungsnehmers im Versicherungsfall

  1. Der Versicherungsnehmer ist verpflichtet, bei Eintritt des Versicherungsfalles…

 a.) den Versicherer unverzüglich zu informieren…“

Die Klärung des Zeitpunktes des Vorliegens eines bedingungsgemäßen Versicherungsfalls war in dem entschiedenen Fall deshalb von entscheidender Bedeutung, weil der Versicherer den gern bemühten Einwand erhob, der Schaden, hier Durchfeuchtungen im Fußbodenbereich der Küche infolge einer Undichtigkeit der im Fußboden verlegten Kaltwasserleitung, habe bereits bei Eintritt der Errichtung des versicherten Gebäudes und damit zeitlich dem Versicherungsschutz vorgelagert vorgelegen.

Insoweit hob der Versicherer darauf ab, dass nach seiner Auffassung der Versicherungsnehmer Versicherungsleistungen nur dann beanspruchen könne, wenn der Leitungswasseraustritt erst in versicherter Zeit begonnen hat.

Unter gebotener Auslegung der VGB 2001 hat der BGH diese Auffassung des Versicherers indessen als unzutreffend entlarvt:

Nach ständiger Rechtsprechung des BGH (BGHZ 211, 51 m.w.N.) sind allgemeine Versicherungsbedingungen so auszulegen, wie ein durchschnittlicher Versicherungsnehmer sie bei verständiger Würdigung, aufmerksamer Durchsicht und unter Berücksichtigung des erkennbaren Sinnzusammenhangs verstehen kann. Dabei kommt es auf die Verständnismöglichkeiten eines Versicherungsnehmers ohne versicherungsrechtliche Spezialkenntnisse und damit auch auf seine Interessen an. In erster Linie ist vom Bedingungswortlaut auszugehen. Der mit dem Bedingungswerk verfolgte Zweck und der Sinnzusammenhang der Klauseln sind zusätzlich zu berücksichtigen, soweit sie für den Versicherungsnehmer erkennbar sind.

Nach zutreffender Auslegung des BGH kann ein durchschnittlicher Versicherungsnehmer den VGB 2001 nicht entnehmen, dass Leitungswasserschäden nur dann versichert sind, wenn aus einer defekten Leitung erstmals in versicherter Zeit Wasser ausgetreten ist oder begonnen hat, versicherte Gegenstände zu schädigen.

Der durchschnittliche Versicherungsnehmer wird den §§ 4 Nr. 1 b und 6 VGB 2001 nach Auffassung des BGH entnehmen, dass der Versicherungsfall „Leitungswasserschaden“ so lange andauert, wie Wasser aus den in § 6 Nr. 1 VGB 2001 aufgeführten Anlagen bestimmungswidrig austritt und versicherte Sachen, insbesondere das versicherte Gebäude, zerstört oder beschädigt.

Die Regelungen der VGB 2001 verdeutlichen dem durchschnittlichen Versicherungsnehmer nicht, dass Leitungswasserschäden ungeachtet des Zeitpunkts ihrer Entstehung oder Vergrößerung vom Versicherungsschutz bereits deshalb vollständig ausgenommen sein sollen, wenn aus einer schadhaften Leitung schon in nicht versicherter Zeit bestimmungswidrig Wasser ausgetreten ist. Eine derartige ausdrückliche zeitliche Begrenzung des Versicherungsschutzes enthalten die VGB 2001 für den Leitungswasserschaden nämlich nicht.

Anders als in früheren Bedingungswerken zur Wohngebäudeversicherung ist dieser Versicherungsfall in den §§ 4 und 6 VGB 2001 nicht vollständig definiert. Es fehlt eine eindeutige Festlegung, zu welchem Zeitpunkt der Versicherungsfall als eingetreten gilt, so nun auch der BGH auch unter Berufung auf Gruber/Mittendorf, NJW 2015 2433, 2434.

Der BGH stellte fest, dass der durchschnittliche Versicherungsnehmer die von dem Versicherer angenommene zeitliche Begrenzung auch nicht dem Zusammenspiel der §§ 4 &6 VGB 2001 mit anderen Klauseln des Bedingungswerks entnehmen kann. Vielmehr legt dem durchschnittlichen Versicherungsnehmer die in dem Bedingungswerk gemachte strikte Unterscheidung der Versicherungsfälle „Rohrbruch“ und „Leitungswasserschaden“ in § 4 VGB 2001 nahe, dass es für die Entschädigung des letztgenannten Schadens auf den Rohrbruchschaden und dessen – auch zeitliche – Voraussetzungen nicht ankomme, so auch OLG Hamm, r+s 2015, 451, RN 18.

Für den durchschnittlichen Versicherungsnehmer entsteht nach den vorgenannten Bedingungen der Eindruck, er genieße in Bezug auf von ihm nach Vertragsschluss entdeckte Leitungswasserschäden umfassenden Versicherungsschutz, weil es für die zeitliche Festlegung des Versicherungsfalles nicht auf den Beginn des schädigenden Vorgangs, sondern auf die Entdeckung des Schadens ankommt, (so auch OLG Schleswig, NJW 2015, 2431, Rn. 22; OLG Hamm a. O.; Hoenicke in Veith/Gräfe/Gebert, der Versicherungsprozess, 3. Auflage, § 4 Rn. 20; Schwintowski, VuR 2012, 374, 375).

Darin werde nach Auffassung des BGH der Versicherungsnehmer auch dadurch bestärkt, dass § 26 Nr. 1 a VGB 2001 die Obliegenheit begründet, den Versicherungsfall „bei Eintritt“ unverzüglich anzuzeigen. Da eine solche Anzeigeobliegenheit immer voraussetzt, dass der Versicherungsnehmer den anzeigepflichtigen Umstand positiv kennt, wird der Versicherungsnehmer daraus, dass die Anzeigeobliegenheit des § 26 Nr. 1 a VGB 2001 an den „Eintritt“ des Versicherungsfalles anknüpft, den Schluss ziehen, dieser Eintritt liege in der Entdeckung des Leitungswasserschadens.

Versicherungsrechtliche Grundsätze stehen dem nach Auffassung des BGH nicht entgegen und es könne auch offen bleiben, ob der vorliegend in Rede stehende Versicherungsfall als gedehnter oder lediglich als schrittweise eintretender anzusehen sei, denn der durchschnittliche Versicherungsnehmer, auf dessen Verständnis es für die Auslegung der Versicherungsbedingungen ankommt, kenne weder die Lehre vom gedehnten Versicherungsfall noch dessen Abgrenzung zu einem schrittweise eintretenden Versicherungsfalls genauso wenig, wie dem Versicherungsnehmer die juristische Diskussion darüber bekannt ist.

Dementsprechend kann nach der Entscheidung des BGH für den Zeitpunkt des Versicherungsfalles „Leitungswasserschaden“ im Sinne der §§ 4 Nr. 1 b und 6 VGB 2001 eben nicht darauf abgestellt werden, wann aus einer defekten Leitung erstmals Wasser ausgetreten ist oder begonnen hat versicherte Gegenstände zu schädigen.

Folglich kann im Rahmen der VGB 2001 sehr wohl Versicherungsschutz für den Fall bestehen, dass der Leitungswasseraustritt bereits vor versicherter Zeit begonnen hat.

II.

Zweiter wesentlicher Aspekt der Entscheidung des BGH vom 12.07.2017 zum Az.: IV ZR 151/15 ist, dass er im Hinblick auf die streitgegenständlichen Schäden durch Schimmel, welche auf die infolge der Undichtigkeit der im Fußbodenaufbau verlegten Kaltwasserleitung entstandenen Durchfeuchtungen eine erhebliche mikrobielle Belastung des Estrichaufbaus zurückzuführen sind, feststellte, dass die Erwägungen des BGH-Urteils vom 27.06.2012 – Az.: IV ZR 2012/10 – nach denen der Ausschluss von Schwammschäden in der Gebäudeversicherung keinen Wirsamkeitsbedenken begegnet, nicht auf den Ausschluss von Schimmelschäden ohne weiteres übertragbar seien.

Vorliegend hatte der Versicherer sich hierauf und auf die bedingungsgemäße Regelung nach § 6 Ziff. 3 d VGB 2001 berufen, wonach der Versicherungsschutz gegen Leitungswasser sich ohne Rücksicht auf mitwirkende Ursachen nicht auf Schäden durch Schwamm oder Schimmel erstreckt.

Diesbezüglich führte der BGH aus, das Vertragszweck der Leitungswasserversicherung die Entschädigung für durch Leitungswasser beschädigte versicherte Sachen ist und dieser Zweck dann in Frage gestellt wird, wenn regelmäßige oder zwangsläufige Folgeschäden eines zunächst unerkannt gebliebenen Leitungswasserschadens von der Deckung ausgeschlossen werden. Ein Unmittelbarkeitserfordernis im Sinne einer Einschränkung des Versicherungsschutzes auf Schäden, die durch unmittelbare Einwirkung der versicherten Gefahr „Leitungswasser“ auf versicherte Sachen entstanden sind, enthalten die Versicherungsbedingungen – anders als etwa für Blitzschlag und Sturm – nicht (vgl. BGH r+s 2005, 290).

Eine Leistungsbegrenzung, die jedwede Leistung auch für typische Folgen eines längere Zeit unentdeckt gebliebenen Leistungswasserschadens ausschlösse, löste sich vom Leistungsversprechen, welches eine Kostenerstattung für solche Folgeschäden grundsätzlich einschließt. Sie griffe nach dem Urteil des BGH zudem in die zentralen Leistungserwartungen des Versicherungsnehmers in erheblicher Weise ein und tangierte sein Bedürfnis, sich gegen solche Gefahren zu versichern, bei denen die abstrakte Möglichkeit besteht, dass sie bei der Mehrzahl der Versicherungsnehmer eintreten. Das führte wiederum zu einer einseitigen Begünstigung des Versicherers und zugleich zu einer Vernachlässigung des berechtigen Interesse des Versicherungsnehmers, gerade für solche Schäden Versicherungsschutz zu erhalten, für die er die Versicherung nimmt. Darin läge ein so wesentlicher Eingriff in die Rechte des Versicherungsnehmers, dass der Vertragszweck partiell ausgehöhlt wäre.

Von entscheidender Bedeutung ist vorliegend die Abweichung zum vorerwähnten BGH-Urteil hinsichtlich des Ausschlusses von Schwammschäden in der Gebäudeversicherung, dass in dem damals entschiedenen Fall – im Gegensatz zu dem Vorliegenden – nichts dafür ersichtlich oder vorgetragen war, dass Schwammschäden regelmäßige oder zumindest sehr häufige, zwangsläufige und kennzeichnende Folge eines Leitungswasseraustritts wären, während dies im Streitfall für Schimmelschäden von den Klägern behauptet und unter Beweis gestellt worden ist.

Da über diese streitentscheidende Frage allerdings Beweis bislang nicht erhoben worden war, konnte der BGH den Rechtsstreit insoweit nicht selbst entscheiden, sondern musste ihn zur Durchführung einer entsprechenden Beweisaufnahme zurückverweisen.

Nach den von dem Bundesgerichtshof in seiner Entscheidung vom 12.07.2017 – Az.: IV ZR 1151/15 – gemachten Ausführungen, steht allerdings für den Fall des Ergebnisses der Beweisaufnahme, dass es sich bei den streitgegenständlichen Schimmelschäden um typische Folgen des stattgehabten Leitungswasserschadens handelt außer Frage, dass die einen solchen Schaden vom Leistungskatalog ausschließenden Bedingungen dem Vertragszweck zuwider laufen und damit unwirksam sind, so dass auch die streitgegenständlichen Schäden durch Schimmelpilzbefall vom Versicherer zu ersetzen wären.

BGH-Urteil I ZR 143/16 vom 30.11.2017

Der BGH hält an seiner Rechtsprechung fest, dass der Makler seinen Kunden über die Fristen in der Schadenregulierung zu beraten hat, wenn der Makler über den Schaden informiert ist.

Konkret wurde in der Unfallversicherung nicht auf die 18 Monatsfrist für die Geltendmachung der Invalidität durch den Makler hingewiesen.

Beachten Sie als Makler auch den Michaelis-Fristenkalender, den wir für Sie auf http://App-RIORI.de hinterlegt haben, damit Sie die Fristen kennen, die dem VN den Leistungsanspruch aus dem Versicherungsvertrag kosten können.

Lesen Sie die ganze BGH Entscheidung hier.

Fachtagung für das Versicherungswesen vom 22.02.2018

Agenda:

Referent

Titel

Video

Präsentation

Einleitung

zur Präsentation

Stephan Michaelis

Stephan Michaelis

Wissenswertes zum Vermittlerrecht: IDD

zum Video zur Präsentation

Kathrin Pagel

Kathrin Pagel

Aktuelle Rechtsprechung Versicherungsrecht

zum Video zur Präsentation

Fabian Kosch

Fabian Kosch

Widerruf der Courtagevereinbarung

zum Video zur Präsentation

Oliver Timmermann

Oliver Timmermann

Pflicht zum Compliance System nach IDD?

zum Video zur Präsentation

Dr. Jan Freitag

Dr. Jan Freitag

Fristen & Formalien im Arbeitsrecht

zum Video zur Präsentation

Markus Kirner

Markus Kirner

Auswirkung des Betriebsrentenstärkungsgesetz

zum Video zur Präsentation

SebastianKarch

SebastianKarch

EU-DSGVO für den Vertrieb

zum Video zur Präsentation

Prof. Dr. Hans-Peter Schwintowski

Prof. Dr. Hans-Peter Schwintowski

Provisionsabgabeverbot & Doppelvergütung?

zum Video zur Präsentation

Lars Krohn

Lars Krohn

Widerruf von LV-Verträgen

zum Video zur Präsentation

Boris Glameyer

Boris Glameyer

Anforderung an Vermittlung & Dokumentation

zum Video zur Präsentation

Danksagung & Ende

zur Präsentation

 

DSGVO – Das müssen Versicherungmakler wissen

von Rechtsanwalt Sebastian Karch, Kanzlei Michaelis

SebastianKarch

SebastianKarch

Auf die Versicherungsmakler kommt 2018 einiges an neuen Gesetzesregelungen zu. Auch das Thema Datenschutz muss angepackt werden. Eine große Tageszeitung titelte gar sinngemäß: „größter Umbruch im Datenschutzrecht aller Zeiten“. Soweit würde der Verfasser zwar nicht gehen, aber unstreitig gibt es für deutsche Unternehmer erhöhten Handlungsbedarf. Es bedarf einer guten Compliance-Strategie, um das neue Datenschutzniveau zu erreichen.

Den 25. Mai 2018 im Kalender rot anstreichen

Am 25. Mai 2018 läuft die zweijährige Umsetzungsfrist ab, die der EU-Gesetzgeber allen Unternehmern gewährt, um sich auf den neuen Datenschutz-Standard in der EU einzustellen. Mit Ablauf dieser Umsetzungsfrist gibt es keine Ausreden mehr für diejenigen Unternehmer, die sich bis dahin noch nicht mit der EU-Datenschutz-Grundverordnung (DSGVO) beschäftigt haben. Gleichzeitig mit Ablauf dieser Frist tritt ebenfalls ein neues Bundesdatenschutzgesetz (BDSG) in Deutschland in Kraft.

Ziel (Art. 1 DSGVO) und Grundsätze (Art. 5 DSGVO) der DSGVO

Datenschutz ist Grundrechtsschutz! Das Ziel der DSGVO ist der Schutz der „personenbezogenen Daten“ aller EU-Bürger. Der EU- Gesetzgeber will ein einheitliches Datenschutzniveau in den Mitgliedstaaten etablieren. Skandale, wie die Datensammelwut sozialer Netzwerke und die Speicherung von Fluggastdaten, waren Auslöser der Datenschutzreform. Dabei haben deutsche Unternehmer einen klaren Standortvorteil, da der Datenschutz nach aktuellem BDSG (zumindest theoretisch) schon sehr hoch ist und von der DSGVO im Vergleich zu anderen Mitgliedstaaten nur wenig angehoben wird. Datenschutzverstöße sollen auch großen Unternehmen richtig weh tun. Daher sind Bußgelder von bis zu € 20 Mio. möglich.

Zur Erreichung des Ziels muss jeder Unternehmer folgende DSGVO-Grundsätze leben: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht. Dabei gilt natürlich weiterhin der Gesetzesvorbehalt, d.h. es ist alles verboten, was nicht ausdrücklich durch Gesetz oder Einwilligung des Betroffenen erlaubt ist.

Das Problem bei der Umsetzung der DSGVO ist, dass sie keinen Maßnahmenkatalog enthält, den der Unternehmer einfach abarbeiten kann. Vielmehr ist jeder Unternehmer angehalten die Datenschutzgrundsätze eigenverantwortlich in seinem Unternehmen zu implementieren. Es ist also keine einmalige Anstrengung des Unternehmers gefordert, sondern die Etablierung einer konkreten Compliance-Strategie.

4 Punkte für eine gute Compliance-Strategie

  1. Datenschutzbeauftragter (Art. 37 DSGVO)

Es gilt eine Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) im Unternehmen, wenn die „Kerntätigkeit“ in der umfangreichen Verarbeitung besonderer Kategorien von Daten (u.a. Gesundheitsdaten und biometrische Daten) besteht.

Die gute Nachricht für Versicherungsmakler ist, dass nur durch die Ausübung des Berufs an sich keine Bestellpflicht ausgelöst wird. Die weniger gute Nachricht ist, dass die „Kerntätigkeit“ im o.g. Sinne durch die Erfüllung der Pflichten aus dem  Versicherungsmaklervertrag recht schnell betroffen sein dürfte. Für einzelne Makler mag es hier einen gewissen Argumentationsspielraum geben, aber jedem muss klar sein, dass die Entscheidung keinen DSB zu bestellen, teuer werden kann. Denn, sollte die Datenschutzbehörde im Nachhinein zu dem Ergebnis kommen, dass die Bestellpflicht gegeben ist, kann die Nichtbestellung von der Behörde mit bis zu € 10 Mio. sanktioniert werden. Bei Zweifeln über die Bestellpflicht, ist der sicherste Weg also die freiwillige Bestellung eines DSB.

  1. Technisch-organisatorische Maßnahmen (TOMs), Art. 32 DSGVO

Der Unternehmer hat Schutzmaßnahmen zu treffen, damit die personenbezogene Daten seines Kunden nicht verloren gehen oder unbefugten Dritten in die Hände fallen. Dafür ist es ausreichend, dass ein „angemessenes“ Schutzniveau eingerichtet wird, welches an den Risiken im Falle des Datenschutzverstoßes festzumachen ist. Die Verschlüsselung ist hierbei ein vorzugswürdiges Mittel. Eine Pflicht zur Verschlüsselung gibt es indes nicht. Wird sich gegen die Verschlüsselung entschieden, sollte dies unbedingt mit guten Argumenten dokumentiert werden. Weiterhin sollen die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sichergestellt werden. Überdies soll gewährleistet werden, dass die Daten auch nach eventuellen Zwischenfällen wieder rasch verfügbar sind. Dies Alles soll stets auf dem aktuellen Stand der Technik erfolgen. Was unter „Stand der Technik“ genau zu verstehen sein soll, ist allerdings unklar.

  1. Verarbeitungsverzeichnis (Art. 30 DSGVO) und Folgenabschätzung (Art. 35 DSGVO)

Das Verarbeitungsverzeichnis ist der Dreh- und Angelpunkt der Datenschutz-Compliance. Der Verfasser empfiehlt dringend bis zum 25. Mai ein Verarbeitungsverzeichnis anzulegen. Dies ist Pflicht! Das Verfahrensverzeichnis kann in schriftlicher oder elektronischer Form angelegt werden und muss folgende Pflichtangaben enthalten: Name und Kontaktdaten des Verantwortlichen und ggfs. dem Datenschutzbeauftragten, Zwecke der Verarbeitung, Beschreibung der Kategorien betroffener und personenbezogener Daten, Auskunft, ob die Daten in ein Drittland übermittelt werden, Löschfristen sowie eine Beschreibung der getroffenen TOMs.

Die Datenschutz-Folgenabschätzung steigert das Niveau noch einmal. Hier trifft den Unternehmer die Pflicht zur Vorab-Analyse, wenn die Datenverarbeitung ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen darstellt. Wann dies in der Praxis der Fall sein soll, sollte eigentlich mittels einer sogenannten „Black-List“ von Behördenseite zur Verfügung gestellt werden. Diese liegt aktuell jedoch noch nicht vor, sodass noch unklar ist, wann die Pflicht definitiv greift.

  1. Rechte der Betroffenen

Gegenüber ihren Kunden müssen Versicherungsmakler diese über deren Rechte transparent informieren, etwaigen Auskunftsansprüchen „unverzüglich“ nachkommen, ggfs. die Daten berichtigen und Löschungsansprüchen nachgekommen werden. Der Löschungsanspruch sollte allerdings stets in eine „Sperrung“ der Daten abgewandelt werden, um sich später noch gegen etwaige Ansprüche wegen Falschberatung währen zu können.

Fazit:

Auch der Versicherungsmakler, wie alle Unternehmer in Deutschland, steht in der Pflicht zur Einhaltung des Datenschutzes. Dabei stellt der Versicherungsmaklervertrag stets die Rechtsgrundlage für die Verarbeitung dar (Art. 6 Abs. 1 Buchst. b) DSGVO). Zudem sollten Einwilligungen in die Verarbeitung der Daten von den Kunden eingeholt werden und geprüft werden, ob mit Dienstleistern ein Auftragsdatenverarbeitungsvertrag (ADV) abzuschließen ist. Die Dokumentation aller datenschutzrechtlichen Anstrengungen ist zu empfehlen. Ein Verfahrensverzeichnis muss unbedingt erstellt werden.

 

Unter folgendem Link finden Sie eine hilfreiche Checkliste zur Umsetzung:

 

https://kanzlei-michaelis.de/15-punkte-checkliste-wegen-der-eu-dsgvo/