Datenschutzrecht

Der Anspruch des Kunden auf Datenlöschung

von RAe Michaelis / Conradt, Kanzlei Michaelis Rechtsanwälte, August 2017

Stephan Michaelis

Stephan Michaelis

Die gestiegenen Anforderungen bei der Umsetzung des bundes- und EU-rechtlichen Datenschutzes stellen Versicherungsmakler regelmäßig vor Probleme, wenn Kunden nach Beendigung der Geschäftsbeziehung mit dem Wunsch an sie herantreten, bitte alle vorhandenen personenbezogenen Daten zu löschen. Dieser Anspruch ist sowohl im Bundesdatenschutzgesetz (BDSG) als auch in der EU-Datenschutzgrundverordnung (EU-DSGV) verbrieft. Zu Recht stellt sich dann die Frage, wie sich Makler ohne entsprechende Unterlagen überhaupt gegen einen späteren, möglichen Schadensersatzanspruch zur Wehr setzen können?

Problematik der Beweislastumkehr

Um diese Problematik zu erörtern, muss etwas weiter ausgeholt werden. Zwar ist die Dokumentation einer Beratung im Zuge der Versicherungsvermittlung gesetzlich vorgeschrieben, jedoch muss stets mit der Besonderheit der Beweislastumkehr im § 63 VVG umgegangen werden. Diese besagt im Groben, dass im Fall der Maklerhaftung nicht der Anspruchsteller (der Versicherungsnehmer) die Pflichtverletzung beweisen muss und der Anspruch überhaupt begründet ist, sondern zunächst allein die plausible Behauptung dessen ausreichen kann. Kann der Versicherungsmakler nicht durch Vorlage einer Beratungsdokumentation diese Behauptung entkräften, bleibt er seiner sekundären Beweislast schuldig und der Versicherungsnehmer hat gute Chancen, Schadensersatz zugesprochen zu bekommen.

Demzufolge ist es überaus wichtig, dass der Versicherungsmakler stets über Beweise für den Inhalt, den Zeitpunkt und gegebenenfalls für die Richtigkeit seiner Beratung verfügt. Denn sobald er ein Schriftstück als „Urkunde“ im zivilprozessualen Sinne vorlegt, gilt wiederum zunächst dessen Richtigkeit als vermutet, wenn der Versicherungsnehmer nicht das Gegenteil beweisen kann. Was ist nun aber, wenn der Versicherungsmakler dem Wunsch des Kunden nach Datenlöschung konsequent entsprochen hat und nun über keinerlei weitere Dokumentation seiner Beratung verfügt?

Geltendmachung von Schadensersatzansprüchen auch Jahre später denkbar

Denkbar ist z. B. der folgende Fall: Ein Kunde mit Vorerkrankungen wünscht die Beratung und gegebenenfalls die Vermittlung einer Berufsunfähigkeitsversicherung und der Versicherungsmakler findet keinen entsprechenden Versicherungsschutz, den der Kunde sich leisten will. 18 Jahre nach der Beratung und eventuell auch nach Beendigung des Maklermandates wird der Kunde berufsunfähig und findet heraus, dass entgegen der Aussage seines Versicherungsmaklers die Möglichkeit bestanden hätte, sich preisgünstig gegen Berufsunfähigkeit zu versichern. Den Anspruch auf Zahlung der Berufsunfähigkeitsrenten macht er nun im Wege des Schadensersatzes gegenüber dem Versicherungsmakler geltend. Dieser ist dann in der unangenehmen Situation, über keinerlei Beweismittel zur Entkräftung des Vortrages des ehemaligen Kunden zu verfügen. Die Wahrscheinlichkeit einer Verurteilung zur Zahlung eines entsprechenden Schadensersatzes ist nun wesentlich höher, als wenn der Makler durch Vorlage der entsprechenden Dokumentation beweisen könnte, dass damals tatsächlich kein gewünschter Versicherungsschutz am Markt verfügbar gewesen ist.

Um rechtssicher jegliche Beratungsdokumentation vernichten oder herausgeben zu können, bedürfte es schon einer gesetzlichen Regelung, nach wie vielen Jahren die Beweislastumkehr des § 63 S. 2 VVG erlischt. Eine solche gibt es nicht, allerdings haben die Gesetzgeber der entsprechenden datenschutzrechtlichen Vorschriften von BDSG und EU-DSGV an diese Problematik gedacht.

Datenschutzrechtliche Lösung

Gemäß § 35 BDSG müssen solche personenbezogenen Daten nicht vollständig herausgegeben oder gelöscht, sondern nur „gesperrt“ werden, wenn einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen (§ 35 Abs. 3 Nr. 1 BDSG) oder dies zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle liegenden Gründen unerlässlich ist (§ 35 Abs. 8 BDSG). Auch das in Art. 17 der EU-DSGV festgeschriebene „Recht auf Vergessenwerden“, dass insbesondere die Löschung aller personenbezogenen Daten durch ehemalige Auftragnehmer umfasst, ist insoweit beschränkt. Dies gilt nur dann, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen nicht doch erforderlich ist (Art. 17 Abs. 3b) und e) EU-DSGV).

Denn nicht nur die Inanspruchnahme durch ehemalige Kunden ist denkbar, sondern auch die öffentlich-rechtlichen Auskunftsinteressen durch behördliche Maßnahmen (Finanzamt, Zoll, Staatsanwaltschaft, BaFin etc.) müssen berücksichtigt werden. Gerade hinsichtlich der finanzbehördlichen Interessen können ja ohnehin die in der Abgabenordnung vorgegebenen Fristen zu beachten sein. Gemäß § 147 AO sind Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz (sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen), Buchungsbelege und „Unterlagen nach Artikel 15 Absatz 1 und Artikel 163 des Zollkodex der Union“ zehn Jahre, übrige Unterlagen sechs Jahre aufzubewahren.

Was ist mit der Verjährung und wann können Unterlagen vernichtet werden?

Hinsichtlich des exemplarisch geschilderten Falls muss man stets bedenken, dass eine gesetzliche Verjährungsfrist von drei Jahren darüber hinaus erst dann zu laufen beginnt, wenn der Anspruchsteller Kenntnis aller Anspruch begründenden Tatsachen hat. Solange dieser insofern gar nichts von einem möglichen Schadensanspruch weiß bzw. von einem Beratungsfehler noch überhaupt keine Kenntnis hat, kann sich der Versicherungsmakler auch nicht seiner sicher sein. Ist ein möglicher Schadensersatzanspruch weder entstanden noch liegt Kenntnis oder grob fahrlässige Unkenntnis vor, dann verjährt er innerhalb von 30 Jahren ab Begehung der Handlung, der Pflichtwidrigkeit oder dem sonstigen, den Schaden auslösenden Ereignis an (§ 199 Abs. 3 Nr. 2 BGB).

Da die mögliche Haftungszeit die in § 147 AO vorgegebenen Fristen deutlich übersteigen kann, kann insofern nur davon abgeraten werden, vor dem Ablauf von 30 Jahren sämtliche Beweise einer Beratungsdokumentation zu vernichten oder auf Wunsch des Kunden zu löschen. Das Gesetz verlangt es nicht zwingend!

Sind schriftliche Datenschutzerklärungen für Makler erforderlich oder nicht?

von Rechtsanwälten Conradt / Michaelis, Kanzlei Michaelis Rechtsanwälte

Das Bundesdatenschutzgesetz, welches den einzelnen Kunden vor Missbrauch seiner personenbezogenen Daten schützen soll, stellt seit jeher in der Umsetzung des Versicherungsvertriebes eine lästige Herausforderung für den Versicherungsvermittler dar.

Insbesondere auch bei der Etablierung eines rechtlich einwandfreien Onlinevertriebs stellt sich häufig für die Versicherungsmakler die Frage, auf welche formelle Weise der Kunde seine Einwilligung in die Erhebung, Verarbeitung und Nutzung personenbezogener Daten erteilen muss? § 4a des Bundesdatenschutzgesetzes sieht dabei zunächst die Schriftform vor, wenn nicht aufgrund besonderer Umstände davon abgewichen werden darf. Dies bedeutet, dass der Makler ein Original der Einwilligungserklärung benötigt – ein Fax, Scan oder eine Datei per Mail würde nicht ausreichen! Die Erklärung wäre schon formal unwirksam.

 Schriftformerfordernis auch im Onlinevertrieb?

Praxisnah stellt sich natürlich die Frage, ob nicht z.B. speziell der Onlinevertrieb einen solchen „besonderen Umstand“ darstellt. In ursprünglicher Form der Regelung war diese gesetzliche Regelung (§ 4a BDSG) noch nicht auf die neuen Herausforderungen des wachsenden E-Commerces eingestellt, sodass in den ursprünglichen Kommentierungen zum Gesetz unter die besonderen Umstände zunächst nur besondere Eilbedürftigkeit, langfristige Geschäftsbeziehungen und das eigene Interesse des Betroffenen als Ausnahme gefasst worden sind.

Jedoch ist insbesondere im Onlinevertrieb zu bedenken, dass gerade in den jüngeren Kommentierungen zum Datenschutzgesetz auch die Nutzung einer Einwilligungserklärung im E-Commerce unter die „besonderen Umstände“ gefasst worden ist, sofern nicht bereits die Vorschriften zur elektronischen Einwilligung bei Telemedien in § 13 Abs. 2 TMG die Anwendung findet. Diese Vorschrift kann als Vergleichsmaßstab herangezogen werden, was den Onlinevertrieb angeht. Dabei ist zu beachten, dass in diesem Fall bereits eine elektronische Einwilligung in die Datenverarbeitung möglich sein soll, wenn die Einwilligung durch eine“ eindeutige und bewusste Handlung des Nutzers“ erfolgt. Dies setzt aufgrund der Eigenart des Onlinevertriebs schon keine Schriftform (dies würde immer eine eigenhändige Unterschrift voraussetzen) voraus, sondern kann auch durch andere Wege gewährleistet werden: so kann die Einwilligung zum Beispiel per E-Mail an den Nutzer gesendet werden – mit der Aufforderung, diese durch Klicken eines „Links“ zu bestätigen.

Alternativ kann dem Nutzer die Einwilligungserklärung in einem gesonderten Bildschirmfenster zwingend angezeigt werden – und eine weitere Aktion vom Anklicken eines darauf gerichteten Auswahlfeldes abhängig machen.

Grundsätzlich handelt es sich bei diesen Möglichkeiten um die Umsetzung der EU-Datenschutz-Grundverordnung, nach der regelmäßig eine aktive Handlung des Nutzers durch Opt-In (z.B. Setzen eines Häkchens) ausreichen soll (Erwägungsgrund 25 zur Datenschutz-Grundverordnung). Von einem grundsätzlichen Schriftformerfordernis, wie es noch das „alte“ BDSG vorgesehen hat, kann insofern im Onlinevertrieb Abstand genommen werden können.

Einwilligung in Datenverarbeitung vom Gewerbekunden erforderlich?

Ein weiteres klassisches Problem für den Makler ist jedoch nicht nur die Umsetzbarkeit der Einwilligung eines Verbraucherkunden, sondern auch das grundsätzliche Einwilligungsbedürfnis bei einem Gewerbekunden – dies gilt nicht nur für den Onlinevertrieb, sondern auch für das alltägliche Geschäft.

Aus dem Gesetz ergibt sich aus § 3 BDSG (den Begriffsbestimmungen), dass personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) sind. Da insbesondere die Einwilligung aus § 4a sich nur auf den Umgang mit diesen personenbezogenen Daten (und besondere Arten personenbezogener Daten) bezieht, fallen nicht-natürliche Personen aus dem Anwendungsbereich „eigentlich“ raus.

Aber: der im Gesetz verankerte Grundsatz, dass nur die Daten natürlicher Personen betroffen sind, wird insbesondere durch die Rechtsprechung der Verwaltungsgerichte nicht nur aufgeweicht, sondern zunehmend ausgehebelt. Das BDSG soll insbesondere dann für Unternehmen Anwendung finden, wenn diese in den Schutzbereich des verfassungsrechtlich gewährleisteten „Recht auf informationelle Selbstbestimmung“ nach Art. 14 Grundgesetz fallen (VG Wiesbaden vom 18. Januar 2008, Az 6 E 1559/06, Oberverwaltungsgericht Niedersachsen in der Entscheidung zum Az. 10 ME 385/08, VG Wiesbaden, Entscheidung vom 27. Februar 2009, Az. 6 K 1045/08.WI).

Die diesbezüglich wesentlichen finanziellen und personalen Verbindungen treten häufig bei der so genannten „Ein-Mann-GmbH“ oder Einzelfirmen in Form von Einzelkaufleuten auf. Bei diesen sollte davon ausgegangen werden, dass zwischen der eigentlich handelnden juristischen Person und der dahinterstehenden natürlichen Personen ein besonders enger Zusammenhang besteht – und diese folglich in den Schutzbereich des BDSG fallen. Eine Einwilligung ist in diesem Falle zwingend einzuholen.

Unser Fazit:

Im Online-Versicherungsvertrieb dürften Sie die datenschutzrechtliche Einwilligungserklärung relativ einfach mit einem ausdrücklichen „Einwilligungsfeld“ durch aktives Anklicken des Kunden rechtssicher gewährleisten können und benötigen nicht die „eigentliche“ schriftliche Einwilligung des Kunden.

Diese technische Lösung sollte der Versicherungsmakler immer gleichermaßen für alle seine Kunden im Online-Vertrieb anbieten – egal, ob Verbraucher oder Unternehmer.