Datenschutzrecht

DSGVO Einwilligung – personenbezogene Daten und Maklervertrag

von Rechtsanwalt Oliver Timmermann, Kanzlei Michaelis, Hamburg

Oliver Timmermann

Oliver Timmermann

Die DSGVO ist halbverdaut und am Horizont schimmert schon die „EU-Richtlinie zur Bereitstellung digitaler Inhalte“. Doch so schnell die EU-Kommission auch voranschreitet, die wesentlichen Probleme können gar nicht von dieser allein geregelt, entschieden werden. Diese Probleme betreffen die Frage des Zusammenspiels des Datenrechts mit dem hergebrachten Privatrecht. Dieser – weitverzweigten und in den Einzelheiten noch hochumstrittenen – Frage soll vorliegend nur im Hinblick auf das Problem der Auswirkung unwirksamer DSGVO-Einwilligungen nachgegangen werden.

I. ) Trennungs- und Abtraktionsprinzip

Zunächst gilt der Trennungsgrundsatz. Die DSGVO-Einwilligung einerseits nach Art. 4, 6 und 7 DSGVO und die vertragliche Verpflichtung hierzu – deren Rechtsgrundlage noch erläutert wird – sind strikt voneinander zu trennen. Beide Vorgänge können auch zeitlich durchaus auseinanderfallen. Das Trennungsprinzip findet darüber hinaus seine Ausprägung bereits in Art. 8 Abs. 3 DSGVO, der zwischen der „Erklärung der Einwilligung“ und der „schuldvertraglichen Verpflichtung“ hierzu unterscheidet.

Die beiden Institute – dort Datenschutz, hie Privatrecht – sind aber nicht nur systematisch zu „trennen“, sondern auch in der methodischen Anwendung auseinanderzuhalten, d.h. es ist das Abstraktionsprinzip zu beachten. Nur bei Geltung des Abstraktionsprinzips können sich beide Parteien auf den Bestand des Verpflichtungsgeschäftes verlassen, auch wenn die datenschutzrechtliche Einwilligung (deren Erklärung dann das Erfüllungsgeschäft darstellt) von Anfang an unwirksam (dazu unten unter II. 2) a) oder widerrufen (dazu unten unter II. 2 b) ist.

Gerade im Falle der datenschutzrechtlichen Einwilligung, deren Wirksamkeit von so vielen Unsicherheitsfaktoren abhängt (ausreichende Informationsvermittlung, Beachtung des Koppelungsverbotes, spezifische Transparenzvorgaben etc.) ist die abstrakte Aufrechterhaltung jedenfalls des schuldrechtlichen Vertrags erforderlich.

II.) Privatrechtlicher Umgang mit der DSGVO-Einwilligung

1.) Einwilligung als „Gegenleistung“ im Maklervertrag und Rechtsnatur

Die datenschutzrechtliche Einwilligung sowie die Hingabe der Daten wird – dies ist auch im Entwurf der kommenden EU-Richtlinie der digitalen Inhalte vorgesehen – als vertragliche „Gegenleistung“ geschuldet. Die Erklärung, datenschutzrechtliche Einwilligungen stellten bloße Nebenleistungen in einem ansonsten überwiegend einseitig verpflichtenden Makler-Vertrag dar, werden der modernen wirtschaftlichen und sozialen Bedeutung der Datenerhebung und – verarbeitung nicht mehr gerecht.

Die (neue) DSGVO-Einwilligung in einen (althergebrachten) Maklervertrag zu implementieren, geschieht durch das Instrument des „Vertrags mit doppeltem Typus“.

In dem Maklervertrag existieren also zukünftig zwei Vertragsarten nebeneinander: Der Geschäftsbesorgungsvertrag für die (althergebrachte) Dienstleistung des Maklers und der Typus der der (neuen) DSGVO-Einwilligung zugrunde liegt. Die Einwilligung-Erklärung ist aufgrund ihrer Widerruflichkeit lizenzähnlich ausgestaltet. D.h. sie ist in ihren Rechtswirkungen und Fehlerfolgen daher dem miet- und pachtvertraglichen Regiment zu unterstellen. Die datenschutzrechtliche Einwilligung selbst ist dabei im Grundsatz als einseitige und jederzeit widerrufliche Erklärung ausgestaltet. Im gegenseitigen Vertrag wird sie aber zur schuldvertraglichen Gestattung.

2.) Fehlerfolgen

Für die Praxis am drängensten ist die Frage, was passiert bei fehlerhaften DSGVO-Einwilligungen oder was passiert, wenn ein Kunde/ Mandant seine Einwilligung nachträglich widerruft mit meinem Maklervertrag als solchem?

a) Anfängliche Unwirksamkeit

Ist die Einwilligung von Anfang an unwirksam, weil im Zeitpunkt der Einwilligung nicht korrekt oder nicht ausreichend informiert wurde, muss sich der oben erwähnten Trennungs- und Abstraktionsprinzipien erinnert werden.

Folgt man diesen Grundsätzen gilt die Informationspflicht zunächst lediglich für die Erklärung der Einwilligung selbst, nicht aber (auch) für die vertragliche Verpflichtung hierzu.

Denkbar ist dann aber wegen der unzureichender Informationsvermittlung im zweiten Schritt auch eine „Anfechtbarkeit des zur Einwilligung verpflichtenden Vertrages“ gem. § 123 BGB (arglistige Täuschung).

Fallen der Abschluss des schuldrechtlichen Vertrags und die Erteilung der DSGVO-Einwilligung – wie in Maklerverträgen üblich – aber auf denselben Zeitpunkt, sind zwei Fallkonstellationen denkbar:

  • Es wird zwar informiert, die Information ist aber nicht detailliert genug, es wird z.B. über die Datenweitergabe informiert, nicht aber darüber, an wen die Daten übermittelt werden sollen. Hier führt die unzureichende Information nicht zur Unwirksamkeit des Vertrags. Dieser bleibt aufgrund der Geltung des Abstraktions- und Trennungsprinzips zunächst wirksam. Die Willenserklärungen beider Parteien sind dann dahin auszulegen, dass zwar die Erklärung der datenschutzrechtlichen Einwilligung in die benannten Verarbeitungszwecke geschuldet ist, diese jedoch ohne Nachbesserung der Information stets unwirksam ist. Bessert der Verantwortliche bei der Datenverarbeitung nach, kann der Betroffene entweder auf dieser Grundlage einwilligen oder den auf die Einwilligung gerichteten Vertrag gem.§ 123 BGB anfechten.
  • Es sind bereits die Art der Datenverarbeitung oder die Verarbeitungszwecke zum Zeitpunkt des Vertragsschlusses nicht hinreichend benannt. In diesem Fall fehlt es bereits an den essentialia negotii. Der Vertrag ist unvollständig, es droht der Dissens.

b) Widerruf

Möchte man an der jederzeitigen Widerruflichkeit der Einwilligung auch im Vertragsrecht festhalten, werden im Vertrag mit doppeltem Typus im Falle des Widerrufes dessen Folgen durch das Regiment des Miet- und Pachtvertragsrechtes geregelt. Dies erklärt sich – wie oben dargelegt – aus der (privatrechtlich) lizenzvertraglichen Ähnlichkeit der Einwilligung. Der Einwilligungswiderruf ist vergleichbar mit der Situation, in der der Miet- bzw. Pachtgegenstand nicht länger zur Verfügung gestellt wird. Rechtsfolge ist, dass der Gegenseite ein außerordentliches Kündigungsrecht gem. § 543 Abs. 2 Nr. 1 BGB zusteht.

Das Vertragsverhältnis endet mit Wirkung ex-nunc (ab jetzt für die Zukunft), sofern auch die Leistung des Daten-Verarbeiters im Rahmen eines Dauerschuldverhältnisses erbracht wird.

Wurden dagegen endgültig und punktuell digitale Inhalte gegen Hingabe von Daten und Erklärung der Einwilligung überlassen (so z.B. Software), so sind die erbrachten Leistungen rückabzuwickeln. Erworbene digitale Inhalte sind von demjenigen, der seine Einwilligung widerruft, zu löschen. Alternativ ließe sich auch ein Wertersatzanspruch begründen, was freilich ein gesetzgeberisches Tätigwerden erforderte.

Für den Makler bedeutet diese Rechtsauffassung:

Dieser „lebt“ im Rahmen seines Maklervertrages (Dauerschuldverhältnis) die personenbezogenen Daten des Kunden, d.h. er benötigt diese, um seine Vermittlungs-, Betreuungsdienstleistungen etc. zu erbringen. Der Makler selbst überlässt dagegen i.d.R. seinem Mandanten im Gegenzug keine digitalen Inhalte.

Bei Widerruf der Einwilligung ist der Makler einem Mieter vergleichbar, dem der vertragsgemäße Gebrauch entzogen wird; ihm steht ein Kündigungsrecht zur Seite.

Wegen des Trennungs- und Abstraktionsprinzips bleibt aber – wird die Kündigung nicht erklärt – der Maklervertrag wirksam.

III. Ergebnis

Die Formulierung eines Daten-Schuldrechtes steckt noch in den Kinderschuhen. Richtig ist aber auch, dass die Ökonomisierung des Grundrechtes auf informationelle Selbstbestimmung (Stichwort: geistiges Eigentum, Urheberrechte etc. und sonstige Immaterialgüter-Rechte) längst kein unbeschriebenes Blatt mehr für den Umgang im Privatrecht mehr darstellt. Die Anerkennung der DSGVO-Einwilligung als Gegenleistung im Vertrag wird durch die ausstehende EU-Richtlinie für digitale Inhalte kommen. Ob und wieweit es hier zu Brüchen mit den Regelungen der DSGVO kommt, bleibt abzuwarten. Bereits jetzt muss aber eine Antwort auf die privatrechtlichen Folgen bei Unwirksamkeit bzw. Widerruf der DSGVO-Einwilligung gefunden werden. Dies sind bei anfänglichen Informations-Mängeln das Anfechtungsrecht des Kunden bzw. der Dissens und bei einem späteren Widerruf das Kündigungsrecht des Maklers.

Sind DSGVO-Verstöße wettbewerbsrechtlich abmahnfähig?

Das LG Würzburg sagt: „Ja“! Wir sagen: „Diese Frage ist nach wie vor nicht abschließend geklärt.“  

von Rechtsanwalt Sebastian Karch (Kanzlei Michaelis)

SebastianKarch

SebastianKarch

Die Frage nach der wettbewerbsrechtlichen Abmahnfähigkeit von Verstößen gegen die EU-Datenschutzgrundverordnung (DSGVO) wird schon seit längerem heiß diskutiert. Dank ausbleibender Abmahnwelle „köchelte“ diese Streitfrage in den letzten Monaten nur noch in Fachkreisen vor sich hin, bis jetzt. Denn Ende September hat ein Gerichtsbeschluss hierzu das Feuer neu entfacht. Das Landgericht Würzburg beschließt die Untersagung des Betreibens einer Webseite, da diese nur eine unzureichende Datenschutzerklärung aufweist und dieser Umstand von einem Konkurrenten wettbewerbsrechtlich abgemahnt wurde.

Was bisher geschah …

In Sachen Abmahnwelle? Nichts! Fakt ist, dass seit Wirksamwerden der DSGVO diesen Mai keine (von einigen befürchtete) Abmahnwelle gekommen ist. Vereinzelte Abmahnungen gab es natürlich. Die Datenschutzrechtler diskutieren in Fachkreisen immer noch, ob es überhaupt möglich ist, dass ein Verstoß gegen die DSGVO nach dem nationalen Wettbewerbsrecht (UWG) von Mitbewerbern abgemahnt werden kann.

Warum das nicht gehen sollte? Kurz gesagt: Weil, ein Verstoß gegen die DSGVO auch nur nach den Regelungen der DSGVO verfolgt werden können (soll). Von einer wettbewerbsrechtlichen Abmahnung steht aber nichts in der DSGVO. In der DSGVO selbst steht „nur“ etwas zu Beschwerderechten oder Schmerzensgeldansprüchen von betroffenen Personen. (Näheres zum Art. 82 DSGVO können Sie meinem Artikel „Datenschutzverstöße, die weh tun.“ entnehmen.) Die Option der wettbewerbsrechtlichen Abmahnung ergibt sich daher „nur“ aus dem deutschen Wettbewerbsrecht. Dieses sieht in § 3a UWG aber vor, dass gegen eine „gesetzliche Vorschrift zuwidergehandelt werden muss, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln und der Verstoß dazu geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.“

Beschluss des Landgerichts Würzburg vom 13.09.2018 (Az. 11 O 1741/18 UWG)

Der Inhalt des Gerichtsbeschlusses ist schnell zusammengefasst:

Die Abgemahnte betrieb eine unverschlüsselte Webseite, nutzte ein Kontaktformular und hatte eine nur unzureichende Datenschutzerklärung, die noch dazu im Impressum „versteckt“ war.

Die Abmahnung erfolgte aufgrund angeblichen Wettbewerbsverstoßes nach § 3a UWG. Die „gesetzliche Vorschrift“, gegen die zuwidergehandelt worden sein soll, ist die DSGVO. Der DSGVO-Verstoß als solcher war schnell glaubhaft gemacht, da die Webseite eklatante Missachtungen der DSGVO aufzeigte.

Der kurze dreiseitige Beschluss des Gerichts erklärt mit einem einzigen Satz (!), dass es den DSGVO-Verstoß als abmahnfähigen Wettbewerbsverstoß ansieht. Als Begründung bezieht es sich lediglich auf alte Rechtsprechung des OLG Hamburg und des OLG Köln (letzter Rechtsstand zu diesem Thema vor Wirksamwerden der DSGVO).

Eine Auseinandersetzung mit der Kernfrage, ob fehlerhafte Datenschutzerklärungen überhaupt von Mitbewerbern abgemahnt werden können, gab es im Beschluss nicht. Es gab nicht einmal eine Darstellung der unterschiedlichen Rechtsmeinungen in der Literatur. Das Gericht hat einfach aus eigener Kompetenz heraus entschieden und sich dabei auf den letzten gültigen Stand in der Rechtsprechung bezogen. Bei all der Kritik ist aber zu betonen, dass der Beschluss lediglich im juristischen Eilverfahren ohne mündliche Verhandlung erging.

Weiterhin Unklarheit

Der Gerichtsbeschluss geht also davon aus, dass die DSGVO „Marktverhaltensregeln“ enthält, denn nur ein Verstoß gegen diese, können nach § 3a UWG abgemahnt werden.

 – Genau das ist aber die Kernfrage, die erst einmal geklärt werden muss. –

Denn – so die eine Rechtsmeinung – wie kann die DSGVO das Marktverhalten regeln, wenn deren Schutzzweck der Schutz der Persönlichkeitsrechte des Menschen ist? Die DSGVO räumt nur den betroffenen Personen Rechte gegen Datenverarbeiter ein. Sanktionieren sollen die Datenschutzaufsichtsbehörden. Die Betroffenenrechte in der DSGVO seien auch abschließend und sehen selbst keine Abmahnmöglichkeit vor. Abmahnen könnten allerhöchstens Verbraucher- und Wettbewerbsverbände, aber keine Konkurrenten.

Nun, das Marktverhalten wird durch die DSGVO dadurch geregelt, dass alle „Verantwortlichen“ die umfangreichen Informationspflichten beim Datenschutz zu beachten haben und geeignete Schutzmaßnahmen treffen müssen. Wer das nicht tut, erlangt einen Wettbewerbsvorteil, da er einiges an Zeit und Geld spart, wenn er sich nicht mit der Umsetzung der DSGVO befasst – so die Gegenmeinung. (Beide Rechtsansichten sind hier nur grob vereinfacht dargestellt).

Der Verweis auf nunmehr veraltete Rechtsprechung birgt jedenfalls nicht die Antwort auf die DSGVO-Frage in sich. Das OLG Hamburg und OLG Köln hatten seinerzeit lediglich geklärt, dass ein Verstoß gegen das Telemediengesetz (TMG) nach UWG abmahnfähig ist, also das Verhältnis zweier deutscher Gesetze zueinander geklärt. Das nationale TMG ist aber bekanntlich seit 25. Mai 2018 von der europäischen DSGVO aufgrund Anwendungsvorrangs verdrängt worden.

Kommt nun die lang befürchtete Abmahnwelle?

Das ist schwer zu sagen. Als Türöffner für „Abmahnanwälte“ dient der Beschluss des LG Würzburg jedenfalls nicht, da es sich nicht in der Tiefe mit der immer noch zu klärenden datenschutzrechtlichen Kernfrage auseinandersetzt. Andererseits bekommt mit diesem Beschluss jeder Abmahner eine Gerichtsentscheidung an die Hand, auf die er sich zu seinen Gunsten berufen kann. Die eigentliche Kernfrage wird letztlich nur abschließend vom Europäischen Gerichtshof (EuGH) geklärt werden können. Endgültige juristische Klarheit in dieser Frage wird also noch ein Weilchen auf sich warten lassen. Bis dahin wird es durchaus noch die eine oder andere Abmahnung geben.

Fazit:

Die eigentliche Kernfrage bleibt weiterhin ungeklärt. Weitere Rechtsprechung muss erst noch für Klarheit sorgen. Abmahnwilligen Wettbewerbern gibt dieser Beschluss des LG Würzburg eine Zitierquelle mit an die Hand, um ihrer Abmahnung mehr Durchschlagskraft zu verleihen.

Als Abgemahnter reagieren Sie bitte unbedingt auf derartige Abmahnungen und legen diese möglichst schnell dem Rechtsberater Ihres Vertrauens zur Prüfung vor. Gute Gegenargumente gegen derartige Abmahnungen sind rechtsdogmatisch gesehen vorhanden. Als „grundsätzlich nicht abmahnfähig“ von der Hand zu weisen, sind derartige Abmahnungen spätestens jetzt nicht mehr.

Die Entwicklung in dieser einen Detailfrage zur DSGVO-Umsetzung ist ein Paradebeispiel für die Wirren, welche die DSGVO mit sich bringt. Weitere Rechtsstreitigkeiten, welche nunmehr den Datenschutzaufsichtsbehörden und Gerichten nach und nach vorgelegt werden, müssen Stück für Stück geklärt werden. Die DSGVO-Umsetzung wird Sie als Unternehmer noch sehr lange beschäftigen.

Wie der Seemann in Hamburg sagt: „Halten Sie Ihre Kajüte sauber!“. Lassen Sie es gar nicht zu Abmahnversuchen gegen Sie kommen. Stellen Sie sicher, dass Ihre Datenschutzerklärungen auf Ihrer Webseite vollständig und richtig sind und verschlüsseln Sie Ihre Webseite, insbesondere wenn Sie Kontaktformulare nutzen! Wir unterstützen Sie dabei selbstverständlich gerne.

Datenschutzverstöße, die weh tun

Der Schmerzensgeldanspruch aus Art. 82 DSGVO

von Rechtsanwalt Sebastian Karch (Kanzlei Michaelis)

SebastianKarch

SebastianKarch

In aller Munde waren und sind die hohen Bußgelder, welche Art. 83 DSGVO mit sich gebracht hat und damit den bis Mai diesen Jahres wenig beachteten Datenschutz aus dem Schattendasein ins Rampenlicht gezogen hat. Was dabei aber gerne übersehen wird, ist die andere finanzielle Sanktionsnorm aus der DSGVO:

Der Schadensersatzanspruch für Jedermann. Der Art. 82 DSGVO.

Zunächst, was steht im Art. 82 DSGVO?

Art. 82 DSGVO ist eine eigenständige datenschutzrechtliche Haftungsnorm für zivilrechtlichen Schadensersatz, welche selbständig neben vertraglichen, deliktischen oder sonstigen Ansprüchen steht. Gemäß Absatz 1 der Norm „hat jede Person, die wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder Auftragsverarbeiter.“

Im Vergleich zum alten § 7 BDSG ermöglicht die DSGVO dem Betroffenen also jetzt neu auch die Geltendmachung von nicht bezifferbaren immateriellen Schäden.

Was bedeutet das konkret?

Der Anwendungsbereich der Norm ist extrem weit. Es wird lediglich die Geltendmachung eines Schadens aus einem schuldhaften datenschutzrechtlichen Pflichtenverstoß vorausgesetzt. Die allermeisten deutschen Unternehmer haben dieses Jahr früher oder später die Erkenntnis gewonnen, dass sie wohl aktuell noch nicht vollständig DSGVO-konform agieren.

Diesbezüglich wird noch einmal auf die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO und Art. 24 DSGVO) hingewiesen, wonach jeder, der über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, also Verantwortlicher ist, die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze nachweisen können muss. Die Nachweispflicht für ein datenschutzrechtlich richtiges Verhalten ist auch noch einmal explizit in Art. 82 Abs. 3 DSGVO selbst genannt.

Das Vorliegen eines Datenschutzverstoßes und das Verschulden des Verantwortlichen / Auftragsverarbeiters, ist schnell behauptet. Ob sich dann seitens des Unternehmens exkulpiert werden kann, hängt von dessen DSGVO-Konformität ab. Kann er dies nicht und weist der Betroffene, dessen Daten der Verantwortliche oder Auftragsverarbeiter nicht DSGVO-konform verarbeitet hat, nach, dass daraufhin ein konkreter bezifferbarer Schaden entstanden ist (materieller Schaden), so kann er diesen in Geld ersetzt verlangen. Soweit so klar. Aber was blüht dem Verantwortlichen / Auftragsverarbeiter, wenn der Betroffene einen immateriellen Schaden, sprich Schmerzensgeld, geltend macht?

Beispiele für „emotional distress“:

Als ein Beispiel ist die Pflicht zur Verschlüsselung auf Webseiten zu nennen. Dies hat nichts mit der Einführung der DSGVO zu tun, sondern ist schon seit Jahren Pflicht in Deutschland (§ 13 Abs. 7 TMG). Der Webseitenbetreiber muss also eine Verschlüsselung auf seiner Webseite installiert haben, insbesondere wenn er ein Kontaktformular oder Newsletter anbietet, welches vom Webseitenbesucher die elektronische Übermittlung seiner personenbezogenen Daten verlangt. Ist hier keine entsprechende Schutzmaßnahme getroffen worden, wie etwa durch die Verwendung eines anerkannten Verschlüsselungsverfahrens (SSL oder TLS), so stellt dies einen erheblichen Datenschutzverstoß dar. In solchen Fällen sollen bereits zwischen EUR 6.500,- bis 12.500,- an Schmerzensgeld verlangt worden sein. Völlig losgelöst davon wäre bei einem derart gravierenden Datenschutzverstoß auch ein Bußgeld fällig, was vermutlich noch deutlich höher ausfallen dürfte. Derartigen Abmahnungen kann man aus Unternehmersicht noch relativ entspannt gegenübertreten, da meist schon nicht sauber begründet wurde, worin denn eigentlich der Seelenschmerz liegen soll, wenn der Betroffenen selbst sehenden Auges das unverschlüsselte Kontaktformular mit seinen Daten gefüttert hat. Je mehr Abmahnungen dieser eine Betroffene daraufhin verschickt hat, desto leichter ist nachzuweisen, dass dies nur eine Masche vom Betroffenen ist, um Geld einzufordern. Erste Gerichtsentscheidungen hierzu werden Klarheit verschaffen, was dem Betroffenen an Ausgleich zusteht bei derart offensichtlichen Datenschutzverstößen.

Als weiteres Beispiel sind fehlerhafte oder nicht vorhandene Löschkonzepte und der falsche Umgang mit Löschanfragen der Betroffenen zu nennen. Hierbei gilt es gewisse Fristen zu beachten. Antwortet der Verantwortliche nicht innerhalb von längstens einem Monat, so verstößt er gegen die DSGVO.

Auch wenn den Informationsrechten (Art. 13 und 14 DSGVO) nicht nachgekommen wird, begeht der Verantwortliche / Auftragsverarbeiter schnell einen DSGVO-Verstoß. Dieser ist auch leicht nachgewiesen, wenn es dem Unternehmen nicht gelingt, zu beweisen, dass ein entsprechender Datenschutzhinweis spätestens „bei Erhebung der Daten“ zugesandt wurde. Dann kann der Betroffene geltend machen, dass er nicht darüber informiert wurde, was mit seinen Daten geschieht und damit die Herrschaft über seine Daten verloren hat.

Aus diesen wenigen Beispielen wird deutlich, weshalb die DSGVO konsequenterweise auch einen Anspruch auf Ersatz immaterieller Schäden gewährt. Der Betroffene, dessen Daten an Dritte weitergegeben worden sind, soll nicht schlechter gestellt werden, nur weil ihm durch diese Art des Datenschutzverstoßes kein bezifferbarer materieller Schaden entstanden ist. Das ist beispielsweise in den USA schon lange geltendes Recht, wo unter dem Begriff „emotional distress“ der Kontrollverlust über die eigenen Daten zum Schadensersatz berechtigt.

In welcher Höhe nun Schadensersatzansprüche aus Art. 82 DSGVO geltend gemacht werden und wann ein Kontrollverlust eingetreten sein soll und wann nicht, lässt sich nur schwer vorhersehen. Die DSGVO selbst sagt, dass sich die Höhe des Schmerzensgeldes für immaterielle Schäden an der Genugtuungs- und Abschreckungsfunktion des Schmerzensgeldes orientieren soll. Ob die deutsche Rechtsprechung auch bei diesem Schmerzensgeldanspruch eher restriktiv urteilen wird, bleibt zunächst abzuwarten.

Fazit und Handlungsempfehlungen

Art. 82 DSGVO stärkt die Rechte der Betroffenen, indem er es Ihnen ermöglicht, mit einer sehr effektiven Schadensersatznorm Ansprüche wegen angeblicher oder tatsächlicher Schadensersatzansprüche geltend zu machen. Die Verantwortlichen und Auftragsverarbeiter tragen die Beweislast dafür, dass sie die Daten des Betroffenen datenschutzrechtlich einwandfrei verarbeitet haben. Gelingt der Nachweis nicht, sieht es schlecht aus und man kann sich eigentlich nur noch um die Schadenshöhe streiten. Wenn es sich bei dem beanstandeten Datenschutzverstoß auch nicht nur um einen Einzelfall gehandelt hat, sondern um einen sogenannten Strukturverstoß, dann kann es auch schnell existenzbedrohend werden.

Es gilt daher weiterhin im Unternehmen einen DSGVO-Datenschutzstandard zu etablieren. Das ist viel Arbeit und kostet Zeit, ist aber die einzige Möglichkeit enorme wirtschaftliche Risiken, wie die hohen Bußgelder von Behördenseite oder etwaige Schadenersatzansprüche der Betroffenen, später abwehren zu können.

Der Datenschutz sollte daher nicht als einmalige Anstrengung verstanden werden, sondern als fortlaufender Prozess.

Darüber hinaus sollten Verantwortliche und Auftragsverarbeiter weiterhin daran arbeiten, dass Sie einen Überblick darüber gewinnen, welche personenbezogenen Daten einzelner Betroffener im Betrieb auf welche Weise und für welchen konkreten Zweck verarbeitet werden. Nur, wer dies organisatorisch und technisch „im Griff hat“ und dokumentiert hat, kann seiner Nachweispflicht nachkommen.

Care-Paket DSGVO: Datenschutz für Versicherungsmakler

Am 25.5. läuft die letzte Frist zur Umsetzung der DSGVO in allen Gewerbebetrieben im Raum der EU ab. Versicherungsmakler sind – durch Verarbeitung besonderer personenbezogener Daten – auch in besonderem Maße aufgefordert und betroffen, die Richtlinien des Datenschutzes ernst zu nehmen. Wie im Betrieb auf einen datenschutzkonformen Ablauf hingewirkt werden kann, erklärt Datenschutzexperte Dipl.-Ing. (FH) Harald Müller-Delius, MBA, Datenschutzbeauftragter der Kanzlei Michaelis im Video

 

Datenschutz-Grundverordnung (DSGVO) – Ein Leitfaden

von Rechtsanwalt Sebastian Karch, Kanzlei Michaelis Rechtsanwälte

Jeder Unternehmer in Deutschland sollte bis zum 25. Mai 2018 das Thema Datenschutz im Griff haben. Denn an diesem Tag endet die zweijährige Übergangsfrist, die den Unternehmern in der EU gewährt wurde, um sich an die neuen Datenschutz-Standards, welche der EU-Gesetzgeber mit der DSGVO aufstellt, anzupassen.

Das neue Datenschutz-Niveau ist aus deutscher Sicht zwar gar nicht viel höher, als das bisher im deutschen Bundesdatenschutzgesetz (BDSG) und diversen weiteren Einzelgesetzen (Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) usw.) verankerte Datenschutzrecht. Aber die deutschen Datenschutzbehörden haben in der Vergangenheit nicht alles sanktioniert/sanktionieren müssen. In der Praxis muss man wohl sagen, dass die kleinen und mittleren Unternehmen (KMU) den Datenschutz im Durchschnitt nicht ernst genommen haben und auch keinen großen Druck seitens der Datenschutzbehörden erfahren haben. Aber auch KMU verarbeiten personenbezogene Daten wie beispielsweise Name, Kontaktdaten, ggf. Gesundheitsdaten. Der Begriff der Verarbeitung beinhaltet sämtliche Arbeitsschritte wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Hierbei ist natürlich der sachliche Anwendungsbereich der DSGVO gemäß Art. 2 DSGVO zu berücksichtigen, der nur Verarbeitungen erfasst, die „ganz oder teilweise automatisiert“ stattfinden. Dies bedeutet aber auch, dass manuell erhobene Daten, die einer automatisierten Verarbeitung zugeführt werden sollen, bereits unter den Schutz der DSGVO fallen.

Ab 25. Mai 2018 werden die Behörden den KMU mehr Aufmerksamkeit widmen, da sie dann verpflichtet sind zu sanktionieren. Die Frage ist dann nur noch, in welcher Höhe der einzelne Verstoß geahndet wird.

Es bedarf daher einer guten Compliance-Strategie, um das neue Datenschutz-Niveau erfolgreich im Unternehmen zu integrieren. Dabei darf dies nicht als einmalige Anstrengung verstanden werden, sondern sollte als fortlaufende, jeden Unternehmensprozess durchziehende Anforderung verstanden werden.

Dringende Empfehlung! – bis 25. Mai 2018 wenigstens Kernthemen angehen

Das neue Datenschutz-Niveau bis zum Stichtag zu erreichen, wird vielen Unternehmern nicht gelingen. Umso wichtiger ist es, bis dahin unbedingt die Kernthemen angegangen zu haben. Denn das schlimmste was dem Unternehmer passieren kann, ist, wenn er am 25. Mai 2018 gar nichts vorweisen kann und damit nachweislich den Datenschutz nicht ernst nimmt. Die folgenden Punkte stellen die wichtigsten Kernthemen dar, mit denen sich bis dahin und natürlich darüber hinaus unbedingt beschäftigt werden sollte. Denn der Datenschutz ist keine einmalige Anstrengung, sondern ein Prozess!

I. 15 Punkte für eine gute Compliance-Strategie

Damit es nicht zum Bußgeld kommt, und jeder Unternehmer zum 25. Mai 2018 die Basics im Unternehmen etabliert hat, hier nun eine „Checkliste“, die dem Leser als Unterstützung bei dieser Aufgabe dienen soll.

1. Datenschutzbeauftragter (Art. 37 DSGVO)

Eine der ersten Fragen, die Sie sich als Versicherungsmakler stellen sollten, ist die, ob Sie einen Datenschutzbeauftragten (DSB) bestellen müssen bzw. freiwillig bestellen wollen.

a) Mitarbeiterzahl (Art. 37 Abs. 4 DSGVO i.V.m. § 38 Abs. 1 BDSG-neu)

Die Bestellpflicht wird zum einen ausgelöst, wenn im Unternehmen mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Welche Personen dies sind, ist irrelevant. Es zählt jeder Kopf, also auch jeder Praktikant und jede Teilzeitkraft, Azubi, Aushilfe, Schwangerschaftsvertretung etc.

b) „Kerntätigkeit“

Unabhängig von der Mitarbeiterzahl ist für den Versicherungsmakler aber die Bestellpflicht nach Art. 37 Abs. 1 Buchstabe c) DSGVO. Diese wird nämlich (unabhängig von der Mitarbeiterzahl!) ausgelöst, wenn die „Kerntätigkeit“ in der umfangreichen Verarbeitung besonderer Kategorien von Daten (u.a. Gesundheitsdaten und biometrische Daten, vgl. Begriffe in Art. 4 DSGVO) besteht.

Das bedeutet, dass es nicht auf die Mitarbeiterzahl ankommt, wenn z.B. Gesundheitsdaten „umfangreich“ in der „Kerntätigkeit“ verarbeitet werden!
Die Begriffe „Kerntätigkeit“ und „umfangreich“ sind sehr weit gefasst und lösen somit Unklarheiten aus. Aus dem Erwägungsgrund 97 zur DSGVO ergibt sich die Hilfestellung, dass sich die „Kerntätigkeit eines Verantwortlichen“ auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht. Eine klare Abgrenzung, wann die Bestellpflicht noch nicht ausgelöst wird, ist derzeit allerdings nicht möglich.

Zur Klärung der Frage, ob eine umfangreiche Verarbeitungstätigkeit vorliegt, ist am Ende jeder Einzelfall für sich zu betrachten. Entscheidungserhebliche Parameter, wie etwa die Kundenzahl sowie Art und Umfang der Verarbeitung von besonderen personenbezogenen Daten, dürfte von Versicherungsmakler zu Versicherungsmakler unterschiedlich ausfallen. Je kleiner das Unternehmen, umso mehr Argumente sollten für den Versicherungsmakler sprechen, dass keine Bestellpflicht ausgelöst wird. Je umfangreicher die Verarbeitung von „sensiblen“ Daten der Versicherungsnehmer, umso mehr Argumente sprechen für eine „umfangreiche“ Verarbeitung besonderer personenbezogener Daten.

In der derzeitigen Umbruchphase scheint es bezüglich der konkreten Fragstellung, ob der Versicherungsmakler unter die Bestellpflicht fällt oder nicht, überdies noch regionale Unterschiede je nach zuständige datenschutzrechtlichen Aufsichtsbehörden zu geben. Deshalb ist unbedingt darauf zu achten, was von der für Sie zuständigen Landesdatenschutzbehörde zu diesem Thema veröffentlicht wird.

Für einzelne Makler mag es hier daher einen gewissen Argumentationsspielraum geben, wenn kein DSB genommen wird. Diese Entscheidung, keinen DSB zu bestellen, sollte aber in jedem Fall mit Argumenten dokumentiert werden. Das unternehmerische Risiko besteht darin, dass die Datenschutzbehörde im Nachhinein zu dem Ergebnis kommen könnte, dass die Bestellpflicht gegeben ist. Entsprechend könnte dann die Nichtbestellung von der Behörde mit einem empfindlichen Bußgeld sanktioniert werden.

Bei Zweifeln über die Bestellpflicht, ist der sicherste Weg also die Bestellung eines Datenschutzbeauftragten. Wenn Sie sich zur Bestellung eines DSB entscheiden, so muss dieser bis zum Ablauf des Stichtags, den 25.05.2018, dem für Sie zuständigen Landesamt für Datenschutzaufsicht gemeldet werden.

c) Interner oder externer Datenschutzbeauftragter

Die Folgefrage ist, ob man einen internen Mitarbeiter zum Datenschutzbeauftragten ernennen soll oder sich lieber einen externen Datenschutzbeauftragten nimmt.
Ein interner Datenschutzbeauftragter wird im Rahmen seines Anstellungsverhältnisses für das Unternehmen tätig, ein externer Datenschutzbeauftragter aufgrund eines Dienstleistungsvertrages. Der externe Datenschutzbeauftragte ist also einfach auszutauschen, der interne Datenschutzbeauftragte nicht. Für die Qualifikation eines externen Datenschutzbeauftragten muss auch der Geschäftsführer nicht sorgen. Ein interner Datenschutzbeauftragter muss regelmäßig zu Fortbildungsmaßnahmen geschickt und somit von der Arbeit freigestellt werden. Der externe Datenschutzbeauftragte kostet das, was Sie mit ihm vereinbaren.

d) Verantwortlicher bleibt der Unternehmer

Nur um es einmal klar gesagt zu haben. Die Datenschutzpflichten des Unternehmers können nicht auf einen Datenschutzbeauftragten abgewälzt werden. Der Verantwortliche bleibt der Unternehmer. Der Datenschutzbeauftragte muss ihn „lediglich“ darauf hinweisen, was im Unternehmen in Sachen Datenschutz gemacht werden sollte. Die Umsetzung verbleibt Sache des Unternehmers.

2. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Das Verarbeitungsverzeichnis ist der Dreh- und Angelpunkt der Datenschutz-Compliance und es ist Pflicht ein solches anzulegen und vorzuhalten! Mit dem Verzeichnis ist nachzuweisen, wie in Ihrem Unternehmen der Datenschutz beachtet wird. Es dient als Nachweis einer DSGVO-konformen Datenverarbeitung und der Vermeidung von Haftungsfällen. Die Pflicht zum Vorhalten eines Verarbeitungsverzeichnisses resultiert aus dem Grundsatz der Rechenschaftspflicht (Art. 5 DSGVO).

Einzelheiten

Das Verarbeitungsverzeichnis kann in schriftlicher oder elektronischer Form angelegt werden und muss folgende Pflichtangaben enthalten:

Name und Kontaktdaten des Verantwortlichen und ggfs. dem Datenschutzbeauftragten, Zwecke der Verarbeitung, Beschreibung der Kategorien betroffener und personenbezogener Daten, Auskunft, ob die Daten in ein Drittland übermittelt werden, Löschfristen sowie eine Beschreibung der getroffenen TOMs.

Vorlagen für Verarbeitungsverzeichnisse gibt es dieser Tage viele, da es keine formelle Vorgabe gibt. Zu empfehlen sind z.B. die vom BDVM (Bundesverband Deutscher Versicherungsmakler e.V.). Auf einem Vorblatt sind folgende Pflichtangaben auszufüllen:

– Angabe zum Verantwortlichen bzw. Auftragsverarbeiter;
– Angaben zu ggf. einem weiteren gemeinsamen Verantwortlichen bzw. Auftragsverarbeiter;
– Angaben zum Vertreter des Verantwortlichen bzw. des Auftragsverarbeiter
– Angaben zur Person des Datenschutzbeauftragten
und auf dem Hauptblatt, was am einfachsten per Excel-Tabelle erstellt wird, werden zu jedem einzelnen Verarbeitungsvorgang die Pflichtangaben des Art. 30 DSGVO abgearbeitet:

– Benennung des Verarbeitungsvorgangs;
– Datum der Einführung und Datum der letzten Änderung;
– Benennung der verantwortlichen Fachabteilung im Unternehmen;
– Angabe des Zwecks der Verarbeitung, z.B. Terminabsprache, Beratungsgespräch;
– Rechtsgrundlage: regelmäßig der Maklervertrag: Art. 6 Abs. 1 Buchst. b) DSGVO oder eine Einwilligungserklärung des betroffenen: Art. 6 Abs. 1 Buchst. a) DSGVO;
– Beschreibung der Kategorien betroffener Personen: z.B. Interessenten, Kunden;
– Beschreibung der Kategorien von personenbezogenen Daten
– Beschreibung der Kategorien von Empfängern, ggü. denen die personenbezogenen Daten offen gelegt werden: intern und extern
– Mitteilung, ob personenbezogene Daten in ein Drittland oder an eine internationale Organisation weitergegeben werden: Wenn ja, dann konkrete Benennung
– Fristen für die Löschung der Daten benennen
– Benennung der technisch- organisatorischen Schutzmaßnahmen (TOMs), die jeweils getroffen werden

Wenn im Unternehmen bereits ein Verfahrensverzeichnis nach BDSG existiert, so kann dies wunderbar als Vorlage genommen werden und ist lediglich um die o.g. neuen Anforderungen zu ergänzen.

3. Datenschutz-Folgenabschätzung (DSFA), Art. 35 DSGVO

Die Datenschutz-Folgenabschätzung steigert das Niveau noch einmal. Dies entspricht der alten „Vorab-Analyse“. Es gilt also bei neuen automatisierten Prozessen vorab zu prüfen, ob der eigene Umgang mit den Daten des Betroffenen voraussichtlich ein hohes Risiko für dessen persönliche Rechte und Freiheiten darstellt. Als Konsequenz der Feststellung eines hohen Risikos ist dieses vor der Datenverarbeitung durch Maßnahmen zu minimieren oder die zuständige Aufsichtsbehörde zu konsultieren und mit dieser abzustimmen, wie Sie sich zu verhalten haben.

Als Anhaltspunkte, wann Sie von einer Pflicht zur DSFA ausgehen sollen, hat die „Artikel 29-Datenschutzgruppe“ (Gremium auf EU-Ebene) u.a. folgende Fälle benannt:

– Verarbeitung sensibler Daten (z.B. Gesundheitsdaten)
– umfangreiche Verarbeitungsvorgänge
– Verwendung neuer Technologien
– zusammengeführte oder kombinierte Datensätze
– Datentransfers außerhalb der Europäischen Union

Für gleichgelagerte Fälle reicht es aus, wenn nur einmal eine DSFA getroffen wird.
Als weitere Hilfestellung sollte eigentlich eine sogenannten „Black-List“ von Behördenseite zur Verfügung gestellt und in dieser die Prozesse bewertet werden, bei welchen eine Datenschutzfolgeabschätzung durchgeführt werden muss. Diese liegt aktuell jedoch noch nicht vor, sodass noch unklar ist, wann die Pflicht definitiv greift.

4. Technisch-organisatorische Maßnahmen (TOM)

Die Technisch-Organisatorischen Maßnahmen beschreiben, wie in Ihrem Unternehmen die Sicherheit Ihrer Daten gewährleistet ist. Sie sind Grundlage für das Sicherheitsniveau beim Beschreiben Ihrer Verarbeitungstätigkeiten.
Denn der Unternehmer hat Schutzmaßnahmen zu treffen, damit die personenbezogenen Daten seines Kunden nicht verloren gehen oder unbefugten Dritten in die Hände fallen. Dafür ist es ausreichend, dass ein „angemessenes“ Schutzniveau eingerichtet wird, welches an den Risiken im Falle des Datenschutzverstoßes festzumachen ist. Damit wird dem DSGVO-Grundsatz der „Integrität und Vertraulichkeit“ (vgl. Art. 5 Abs. 1 Buchst. f DSGVO) entsprochen.

Mit „angemessenes Schutzniveau“ hat man es allerdings wieder mit einem sogenannten unbestimmten Rechtsbegriff zu tun, der interpretationsfähig ist. Auch an dieser Stelle wird aber an den gesunden Menschenverstand appelliert. Wer beispielsweise sensible Kundendaten über WhatsApp versendet, hat offensichtlich keine Schutzmaßnahme getroffen. Stellen Sie sich also immer die Frage, ob Sie die Integrität, Vertraulichkeit, Verfügbarkeit und Belastbarkeit der Datenverarbeitung beim einzelnen Verarbeitungsvorgang durch entsprechende Schutzmaßnahmen beachten. Es gilt für jeden einzelnen Verarbeitungsvorgang zu prüfen, ob dazu eine „angemessene“ TOM getroffen wurde.
Die Verschlüsselung ist neben der Pseudonymisierung, die für Versicherungsmakler eher keine Option ist, eine gute Schutzmaßnahme. Dem Kunden sollte immer die Wahl gelassen werden, ob er die verschlüsselte Kommunikation wünscht oder in die unverschlüsselte Kommunikation einwilligt.

Überdies soll gewährleistet werden, dass die Daten auch nach eventuellen Zwischenfällen wieder rasch verfügbar sind. Dies Alles soll stets auf dem aktuellen Stand der Technik erfolgen. Was unter „Stand der Technik“ genau zu verstehen sein soll, ist zwar nicht klar definiert, aber so zu verstehen, dass keine stark veraltete Software oder Software mit bekannten Sicherheitslücken verwendet werden soll. Tagesaktuelle Software hingegen muss nicht vorgehalten werden. Es gilt auch hier das sogenannte „Augenmaßprinzip“ von Behördenseite einzuhalten.

Behalten Sie diese Begrifflichkeit bitte im Blick, um eventuelle Verschärfungen bei der Auslegung zeitnah mitzubekommen. Informieren können Sie sich z.B. beim Bundesministerium des Inneren (BSI), welches zu den Mindeststandards für den Einsatz von Verschlüsselungsprotokollen regelmäßig Veröffentlichungen publiziert.

5. Einwilligungserklärungen überprüfen und ggfs. neu einholen

Neben dem Versicherungsmaklervertrag als solchem empfiehlt sich immer auch die Einholung von Einwilligungen der Kunden in die Datenverarbeitungsvorgänge. Die Einwilligung stellt dann eine eigene Rechtsgrundlage dar. Beispielsweise sollte für die Zusendung von Werbung immer eine separate Einwilligung eingeholt werden, um nicht Gefahr zu laufen unter das „Kopplungsverbot“ zu fallen. Das heißt es sollen keine Sachen miteinander gekoppelt werden, die miteinander nichts zu tun haben. Ihr Kunde muss also die Möglichkeit eingeräumt bekommen, den Versicherungsmaklervertrag mit Ihnen zu schließen, ohne dass er in die Zusendung von Werbung einwilligen muss.

Alt-Einwilligungen sind nicht per se veraltet. Sie sind auch über den 25. Mai hinaus noch wirksam. Allerdings nur, wenn Sie den DSGVO-Standard erfüllen. Dies erfüllen sie regelmäßig nicht, wenn z.B. kein Hinweis auf das Widerrufsrecht enthalten ist. Im Einzelfall empfiehlt sich also immer die diesbezügliche juristische Prüfung von Alt-Einwilligungen.

6. Auftragsdatenverarbeitungsvereinbarungen abschließen, Art. 28 DSGVO

Sie können und sollten als Verantwortlicher mit Ihren diversen Dienstleistern (Auftragsverarbeiter) sogenannte Auftragsdatenverarbeitungsvereinbarungen/-verträge (abgekürzt „AVV“ oder „ADV“) abschließen bzw. bereits bestehende Verhältnisse überprüfen (lassen).
Ob eine Auftragsdatenverarbeitung vorliegt oder nur eine Funktionsübertragung (Verarbeitung der Daten als eigene verantwortliche Stelle), die keine ADV rechtfertigt, muss für jeden Einzelfall geprüft werden. Als Faustregel sollte hierzu überlegt werden, ob Ihr Unternehmen personenbezogene Daten an einen Dienstleister weisungsgebunden weitergibt, damit dieser eine bestimmte Aufgabe für Sie erfüllt. Wenn der Dienstleister hingegen auch ein Eigeninteresse an der Datenverarbeitung hat und auch eigenverantwortlich agiert, wie bspw. oftmals ein Maklerpool, so spricht dies gegen eine Auftragsdatenverarbeitung. Natürlich ist hier die Prüfung des Einzelfalles notwendig, da es auch Maklerpools gibt, die als Auftragsdatenverarbeiter tätig werden und selbst mit eigenen IT-Töchtern im Auftragsdatenverhältnis zusammenarbeiten. Im Zweifel müssen Sie den Maklerpool konsultieren.

Der Klassiker einer Funktionsübertragung liegt in der Beauftragung von Rechtsanwälten oder Steuerberatern. Hier kann ebenfalls keine Auftragsdatenverarbeitung vorliegen.
Klassische Anwendungsfälle für eine ADV sind somit Verträge mit IT-Servicefirmen.

7. Rechte der Betroffenen (Kapitel 3 DSGVO)

Sämtliche Betroffenenrechte müssen vollumfänglich beachtet werden. Nicht, oder verspätet zu reagieren, kann zu ernsthaften Konsequenzen führen.

a) Informationsrecht

Die betroffenen Personen müssen vom Unternehmer über deren Rechte transparent informiert werden. Die Informationsrechte sind umfangreicher als früher, weshalb gerade Datenschutzbestimmungen auf Webseiten überarbeitet werden sollten. Zu informieren ist u.a. über:

– Name/Kontaktdaten des Verantwortlichen
– Name/ Kontaktdaten des Datenschutzbeauftragten
– Art der verarbeiteten Daten
– Zweck der Datenverarbeitung
– Art der Personen, deren Daten verarbeitet werden
– Information darüber, ob Daten an Dritte weitergegeben werden
– Information darüber, ob Daten in ein Drittland übermittelt werden
– Angabe von Löschfristen
– Informationen über die Rechte des Betroffenen in leicht verständlicher Form
– Aufklärung über das Recht auf Widerruf der Einwilligung
– Aufklärung des Betroffenen, dass er sich bei Datenschutzbehörde beschweren kann

b) Auskunftsrecht (Art. 15 DSGVO)

Etwaigen Auskunftsansprüchen ist „unverzüglich“ nachzukommen. Die Daten müssen also so im Unternehmen vorgehalten werden, dass sie sofort dem einzelnen Betroffenen zuordenbar sind.

c) Berichtigungsrecht (Art. 16 DSGVO)

Sollte nach Auskunftserteilung der Betroffene Sie darauf hinweisen, dass Fehler in seinen personenbezogenen Daten sind, müssen diese berichtigt werden.

d) Recht auf Löschung (Art. 17 DSGVO)

Sollte der Betroffene die Löschung seiner personenbezogenen Daten verlangen, empfiehlt es sich immer zwei Dinge zu prüfen.
Ist derjenige, der den Löschungsanspruch stellt auch wirklich die betroffene Person. Wenn nicht, würden Sie gerade durch die Löschung einen Datenschutzverstoß begehen.
Weiterhin ist zu prüfen, ob die Daten, statt zu löschen, gesperrt werden können. Denn nur dann können Sie sich später noch gegen etwaige Ansprüche, z.B. wegen Falschberatung, effektiv wehren. Die ehemalige „Sperrung“ heißt jetzt übrigens „Recht auf Einschränkung der Datenverarbeitung“ und ist in Art. 18 DSGVO geregelt.

e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Gänzlich neu ist, dass der Unternehmer die personenbezogenen Daten derart vorhalten muss, dass sie in einem gängigen Datenformat (z.B. pdf, Excel, csv-Datei) übertragen werden können. Hintergrund dieser Regelung ist der, dass der Betroffene die Kontrolle über seine Daten behalten soll. Wenn er beispielsweise von einem Sozialen Netzwerk oder Cloud-Anbieter zu einem anderen wechseln will, so soll er seine Daten schnell und unkompliziert beim ersten Anbieter abziehen und dem neuen zur Verfügung stellen können.

f) Widerspruchsrecht (Art. 21 DSGVO)

Für Direktwerbung besitzt der Betroffene ebenfalls ein eigenes Widerspruchsrecht. Macht er davon Gebrauch, sollte er tunlichst auch keine Werbung mehr erhalten.

8. Internes Datenschutzkonzept erstellen

Dies ist eigentlich ein Selbstläufer. Wenn man sich als Unternehmer die Mühe macht, sich intensiv mit dem Datenschutzrecht zu befassen, müssen natürlich zwangsläufig dabei Entscheidungen getroffen werden, bspw. Welche Daten erhebe ich bei der Neu-Kundenakquise, um nicht zu viele Daten zu erheben („Datenminimierungsgrundsatz“) oder wann werden welche Daten gelöscht/gesperrt oder welche Mitarbeiter haben auf welche Daten wann Zugriff (TOMs) usw. Diese ganzen Entscheidungen zu durchdenken und zu dokumentieren kann dann „Datenschutzkonzept“ betitelt werden. Wichtig ist eigentlich nur, dass es auch gemacht wird.

Dazu gehört auch, dass „Privacy-by-Design“ und „Privacy-by-Default“ im Unternehmen etabliert werden. Das bedeutet nichts anderes als „Datenschutz durch Technikgestaltung“ bzw. „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Die technischen Voreinstellungen sollen also immer zu Gunsten des Kunden, d.h. zum Schutz seiner Daten, eingestellt sein.

9. Rechenschaftspflicht nachkommen

Nicht nur gegenüber den betroffenen Personen hat der Unternehmer Rechenschaft über die Datenverarbeitung abzugeben. Vor allem die Rechenschaftspflicht gegenüber den zuständigen Behörden ist nachzukommen, um Bußgelder zu vermeiden.

An dieser Stelle seien noch einmal die Maximalstrafen genannt. Wo vorher Bußgelder in Höhe von „nur“ bis zu EUR 300.000,- verhängt werden durften, dürfen Behörden nun theoretisch bis zu 20 Mio. Euro bzw. 4% des Jahresumsatzes bei „schweren“ Verstößen und bis zu 10 Mio. Euro bzw. bis zu 2% des Jahresumsatzes bei „leichten“ Verstößen verhängen.

Als leichter Verstoß gilt z.B. die Nichtbestellung eines Datenschutzbeauftragten, obwohl eine Pflicht zur Bestellung besteht. Als schwerer Verstoß kann eigentlich jede Verletzung der Grundsätze der DSGVO gewertet werden, also z.B. wenn der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nicht nachgekommen wird oder eine Datenverarbeitung ohne Rechtsgrundlage stattfindet. In Art. 5 DSGVO sind übrigens alle Grundsätze abschließend aufgezählt, die ausnahmslos und jederzeit zu beachten sind.
Bei der Verhängung von Bußgeldern, haben die Behörden natürlich weiterhin mit Augenmaß zu agieren. Werden Geldbußen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so sollte die Aufsichtsbehörde bei der Erwägung des angemessenen Betrags für die Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedsstaat und der wirtschaftlichen Lage der Person Rechnung tragen (Erwägungsgrund 150 zur EU DSGVO). Dem Willen des EU-Gesetzgebers folgend, sind sie aber dazu angehalten abschreckend und empfindlich zu ahnden.

10. Cyber-Risk-Versicherung abschließen?

Man kann sich zwar nicht generell dagegen versichern lassen, dass eigene Datenschutzverstöße von einer Versicherung getragen werden. Aber immerhin gibt es Cyber-Risk-Versicherungen, um sich gegen Datenschutzverstöße aufgrund von Cyberattacken auf das eigene Unternehmen, versichern zu lassen. In der Regel ist der jährliche Versicherungsbeitrag ein verhältnismäßig kleiner Aufwand, um sich gegen ein großes Risiko im Unternehmen zu versichern.

11. Mitarbeiterschulungen

Es besteht die Pflicht zur Mitarbeiterschulung. Einmal im Jahr ist ausreichend. Es empfiehlt sich aber solche Schulungen regelmäßig durch qualifizierte Referenten durchführen zu lassen. Denn letztlich sind es die Mitarbeiter, die die häufigsten Datenschutzverstöße verursachen, nicht unbedingt die Cyber-Angriffe von außen. Der Klassiker ist hierbei das Versenden einer E-Mail mit personenbezogenen Daten Ihres Kunden an einen falschen Empfänger. Schon ist ein Datenschutzverstoß begangen. Da hilft auch kein Standard-Disclaimer unter der E-Mail-Signatur. Umso wichtiger ist es, dass für solch einen vorhersehbaren Datenschutzverstoß den Mitarbeitern Regelungen an die Hand gegeben werden, wie sie sich in diesem Fall zu verhalten haben. Wer muss intern darüber informiert werden? Wer ist dessen Vertretung? Wer informiert den betroffenen Kunden? Wer entscheidet, ob der Vorfall so schwer wiegt, dass die Datenschutzbehörde informiert werden muss?; Stichwort: 72 Stunden Meldepflicht!

Natürlich empfehlen sich auch externe Schulungen von Dienstleistern zu diesem Thema. Am Ende muss im Unternehmen das Datenschutzniveau auf DSGVO-Standard gebracht werden. Dies ist keine einmalige Anstrengung, sondern ein dauerhafter Prozess.

12. IT / EDV auf „aktuellen Stand der Technik“ bringen

Art. 25 DSGVO schreibt es ausdrücklich vor. Der Datenschutz ist durch Technikgestaltung und datenschutzfreundliche Voreinstellungen auf dem Stand der Technik zu gewährleisten. Einzig eine Definition, was denn der Gesetzgeber mit „Stand der Technik“ genau meint, fehlt leider.

Versetzen Sie sich auch hier in die Lage eines Prüfers bei der Behörde, der Ihr Unternehmen als Fall auf seinen Tisch bekommt und sich die Frage stellen muss, ob Ihr Unternehmen auf dem Stand der Technik Datenverarbeitung durchführt. So können Sie selbstkritisch selbst einschätzen, ob Sie an dieser Stelle DSGVO-konform sind oder nicht.

13. Fortentwicklung des Datenschutzrechts / Meldungen der Aufsichtsbehörden verfolgen

Es sollte gerade in den ersten Monaten nach Wirksamwerden der DSGVO in Deutschland verfolgt werden, wie sich zu einzelnen Fragen seitens der Behörden geäußert wird. Das neue Gesetz muss sich erst „einschleifen“ und konkrete Einzelfragen werden naturgemäß erst im Laufe der Zeit geklärt werden.
Nicht zu vergessen ist in diesem Zusammenhang, dass der EU-Gesetzgeber in der DSGVO für alle EU-Mitgliedstaaten bewusst Öffnungsklauseln im Gesetzeswerk gelassen hat, welche durch die nationalen Gesetzgeber eigenständig im Detail zu regeln sind. In Deutschland hat sich der Gesetzgeber diese Chance nicht nehmen lassen und ein neues Bundesdatenschutzgesetz erarbeitet, dass ebenfalls am 25.05.2018 in Kraft treten wird. Interessanterweise ist dieses neue BDSG, welches nur Lücken der DSGVO schließen sollte, umfangreicher geworden, als das alte BDSG, welches bis dahin das datenschutzrechtliche Grundwerk in Deutschland gewesen ist.

14. Meldefrist

Bereits unter Punkt 11 erwähnt, aber aufgrund der Wichtigkeit auch noch einmal gesondert aufgeführt, ist die Pflicht gemäß Art. 33 DSGVO, einen Datenschutzverstoß gegenüber der gemäß Art. 55 DSGVO zuständigen Datenschutzbehörde innerhalb von 72 Stunden ab Kenntniserlangung zu melden. Die Meldepflicht gilt allerdings nicht, wenn Sie nach Prüfung des Vorfalls zu dem Schluss kommen, dass die Verletzung beim Betroffenen voraussichtlich nicht zu einem Risiko für dessen Rechte und Freiheiten führt. Jeder einzelne Verstoß ist also dahingehend zu prüfen, ob dieser zu melden ist. In jedem Fall ist er zu dokumentieren zusammen mit den ergriffenen Maßnahmen, um zukünftige Verstöße dieser Art zu unterbinden.
Bei Datenschutzverstößen laufen sehr kurze Meldefristen. Deshalb ist unbedingt zu empfehlen, den Ablauf im Unternehmen vorher zu durchdenken. Es ist festzulegen, welche Abläufe wann in Gang gesetzt werden sollen. Vor allem den Verantwortlichen im Unternehmen zu benennen, dem der einzelne Vorfall zur Prüfung vorzulegen ist. Schon allein die nicht rechtzeitige Meldung des Verstoßes kann ein Bußgeld nach sich ziehen.
Beim Vorliegen eines Datenschutzverstoßes trifft Sie daneben unter Umständen auch die Pflicht zur Information des Betroffenen, dessen Rechte ja verletzt wurden.
Es empfiehlt sich die Verwendung eines Mustervordrucks „Meldung Datenpanne“, der bereits vorgehalten werden sollte und dann nur noch abgearbeitet werden muss. In dem Meldeformular müssen die in Art. 33 Abs. 3 DSGVO genannten Informationen enthalten sein.

15. Dokumentation

Die Rechenschaftspflicht ist ein Grundsatz der DSGVO, dem unbedingt Folge zu leisten ist. Daher ist es in keinem Fall schädlich Datenverarbeitungsprozesse, wie auch immer, im Unternehmen zu dokumentieren. Gerne kann dann im Verarbeitungsverzeichnis auf diese Dokumentation, wie auch immer sie aussehen mag, verwiesen werden. Somit kommen Sie der Verpflichtung nach, die Maßnahmen der Datensicherheit im Verarbeitungsverzeichnis zu beschreiben.

Fazit

Auch der Versicherungsmakler, wie alle Unternehmer in Deutschland, steht in der Pflicht zur Einhaltung des Datenschutzes. Dabei stellt der Versicherungsmaklervertrag stets die Rechtsgrundlage für die Verarbeitung dar (Art. 6 Abs. 1 Buchst. b) DSGVO). Zudem sollten Einwilligungen in die Verarbeitung der Daten von den Kunden eingeholt werden und geprüft werden, ob mit Dienstleistern ein Auftragsdatenverarbeitungsvertrag (ADV/AVV) abzuschließen ist. Die Dokumentation aller datenschutzrechtlichen Anstrengungen ist zu empfehlen. Ein Verarbeitungsverzeichnis muss unbedingt erstellt werden!

Um den Nachweispflichten nachzukommen müssen also diverse Dokumente erstellt werden. Wir empfehlen Ihnen dazu die Nutzung des von uns vertriebenen „Care-Pakets“ von „HMDATA“. Dieses ist für einen geringen Endpreis über folgenden Online-Shop direkt zu erwerben und enthält neben Erläuterungen vor allem Muster für alle relevanten Standard-Datenschutzprozesse.

https://hmdata.shop.epages.de/p/care-paket-dsgvo-fuer-mandanten-der-kanzlei-michaelis-download

Der Anspruch des Kunden auf Datenlöschung

von RAe Michaelis / Conradt, Kanzlei Michaelis Rechtsanwälte, August 2017

Stephan Michaelis

Stephan Michaelis

Die gestiegenen Anforderungen bei der Umsetzung des bundes- und EU-rechtlichen Datenschutzes stellen Versicherungsmakler regelmäßig vor Probleme, wenn Kunden nach Beendigung der Geschäftsbeziehung mit dem Wunsch an sie herantreten, bitte alle vorhandenen personenbezogenen Daten zu löschen. Dieser Anspruch ist sowohl im Bundesdatenschutzgesetz (BDSG) als auch in der EU-Datenschutzgrundverordnung (EU-DSGV) verbrieft. Zu Recht stellt sich dann die Frage, wie sich Makler ohne entsprechende Unterlagen überhaupt gegen einen späteren, möglichen Schadensersatzanspruch zur Wehr setzen können?

Problematik der Beweislastumkehr

Um diese Problematik zu erörtern, muss etwas weiter ausgeholt werden. Zwar ist die Dokumentation einer Beratung im Zuge der Versicherungsvermittlung gesetzlich vorgeschrieben, jedoch muss stets mit der Besonderheit der Beweislastumkehr im § 63 VVG umgegangen werden. Diese besagt im Groben, dass im Fall der Maklerhaftung nicht der Anspruchsteller (der Versicherungsnehmer) die Pflichtverletzung beweisen muss und der Anspruch überhaupt begründet ist, sondern zunächst allein die plausible Behauptung dessen ausreichen kann. Kann der Versicherungsmakler nicht durch Vorlage einer Beratungsdokumentation diese Behauptung entkräften, bleibt er seiner sekundären Beweislast schuldig und der Versicherungsnehmer hat gute Chancen, Schadensersatz zugesprochen zu bekommen.

Demzufolge ist es überaus wichtig, dass der Versicherungsmakler stets über Beweise für den Inhalt, den Zeitpunkt und gegebenenfalls für die Richtigkeit seiner Beratung verfügt. Denn sobald er ein Schriftstück als „Urkunde“ im zivilprozessualen Sinne vorlegt, gilt wiederum zunächst dessen Richtigkeit als vermutet, wenn der Versicherungsnehmer nicht das Gegenteil beweisen kann. Was ist nun aber, wenn der Versicherungsmakler dem Wunsch des Kunden nach Datenlöschung konsequent entsprochen hat und nun über keinerlei weitere Dokumentation seiner Beratung verfügt?

Geltendmachung von Schadensersatzansprüchen auch Jahre später denkbar

Denkbar ist z. B. der folgende Fall: Ein Kunde mit Vorerkrankungen wünscht die Beratung und gegebenenfalls die Vermittlung einer Berufsunfähigkeitsversicherung und der Versicherungsmakler findet keinen entsprechenden Versicherungsschutz, den der Kunde sich leisten will. 18 Jahre nach der Beratung und eventuell auch nach Beendigung des Maklermandates wird der Kunde berufsunfähig und findet heraus, dass entgegen der Aussage seines Versicherungsmaklers die Möglichkeit bestanden hätte, sich preisgünstig gegen Berufsunfähigkeit zu versichern. Den Anspruch auf Zahlung der Berufsunfähigkeitsrenten macht er nun im Wege des Schadensersatzes gegenüber dem Versicherungsmakler geltend. Dieser ist dann in der unangenehmen Situation, über keinerlei Beweismittel zur Entkräftung des Vortrages des ehemaligen Kunden zu verfügen. Die Wahrscheinlichkeit einer Verurteilung zur Zahlung eines entsprechenden Schadensersatzes ist nun wesentlich höher, als wenn der Makler durch Vorlage der entsprechenden Dokumentation beweisen könnte, dass damals tatsächlich kein gewünschter Versicherungsschutz am Markt verfügbar gewesen ist.

Um rechtssicher jegliche Beratungsdokumentation vernichten oder herausgeben zu können, bedürfte es schon einer gesetzlichen Regelung, nach wie vielen Jahren die Beweislastumkehr des § 63 S. 2 VVG erlischt. Eine solche gibt es nicht, allerdings haben die Gesetzgeber der entsprechenden datenschutzrechtlichen Vorschriften von BDSG und EU-DSGV an diese Problematik gedacht.

Datenschutzrechtliche Lösung

Gemäß § 35 BDSG müssen solche personenbezogenen Daten nicht vollständig herausgegeben oder gelöscht, sondern nur „gesperrt“ werden, wenn einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen (§ 35 Abs. 3 Nr. 1 BDSG) oder dies zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle liegenden Gründen unerlässlich ist (§ 35 Abs. 8 BDSG). Auch das in Art. 17 der EU-DSGV festgeschriebene „Recht auf Vergessenwerden“, dass insbesondere die Löschung aller personenbezogenen Daten durch ehemalige Auftragnehmer umfasst, ist insoweit beschränkt. Dies gilt nur dann, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen nicht doch erforderlich ist (Art. 17 Abs. 3b) und e) EU-DSGV).

Denn nicht nur die Inanspruchnahme durch ehemalige Kunden ist denkbar, sondern auch die öffentlich-rechtlichen Auskunftsinteressen durch behördliche Maßnahmen (Finanzamt, Zoll, Staatsanwaltschaft, BaFin etc.) müssen berücksichtigt werden. Gerade hinsichtlich der finanzbehördlichen Interessen können ja ohnehin die in der Abgabenordnung vorgegebenen Fristen zu beachten sein. Gemäß § 147 AO sind Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz (sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen), Buchungsbelege und „Unterlagen nach Artikel 15 Absatz 1 und Artikel 163 des Zollkodex der Union“ zehn Jahre, übrige Unterlagen sechs Jahre aufzubewahren.

Was ist mit der Verjährung und wann können Unterlagen vernichtet werden?

Hinsichtlich des exemplarisch geschilderten Falls muss man stets bedenken, dass eine gesetzliche Verjährungsfrist von drei Jahren darüber hinaus erst dann zu laufen beginnt, wenn der Anspruchsteller Kenntnis aller Anspruch begründenden Tatsachen hat. Solange dieser insofern gar nichts von einem möglichen Schadensanspruch weiß bzw. von einem Beratungsfehler noch überhaupt keine Kenntnis hat, kann sich der Versicherungsmakler auch nicht seiner sicher sein. Ist ein möglicher Schadensersatzanspruch weder entstanden noch liegt Kenntnis oder grob fahrlässige Unkenntnis vor, dann verjährt er innerhalb von 30 Jahren ab Begehung der Handlung, der Pflichtwidrigkeit oder dem sonstigen, den Schaden auslösenden Ereignis an (§ 199 Abs. 3 Nr. 2 BGB).

Da die mögliche Haftungszeit die in § 147 AO vorgegebenen Fristen deutlich übersteigen kann, kann insofern nur davon abgeraten werden, vor dem Ablauf von 30 Jahren sämtliche Beweise einer Beratungsdokumentation zu vernichten oder auf Wunsch des Kunden zu löschen. Das Gesetz verlangt es nicht zwingend!

Sind schriftliche Datenschutzerklärungen für Makler erforderlich oder nicht?

von Rechtsanwälten Conradt / Michaelis, Kanzlei Michaelis Rechtsanwälte

Das Bundesdatenschutzgesetz, welches den einzelnen Kunden vor Missbrauch seiner personenbezogenen Daten schützen soll, stellt seit jeher in der Umsetzung des Versicherungsvertriebes eine lästige Herausforderung für den Versicherungsvermittler dar.

Insbesondere auch bei der Etablierung eines rechtlich einwandfreien Onlinevertriebs stellt sich häufig für die Versicherungsmakler die Frage, auf welche formelle Weise der Kunde seine Einwilligung in die Erhebung, Verarbeitung und Nutzung personenbezogener Daten erteilen muss? § 4a des Bundesdatenschutzgesetzes sieht dabei zunächst die Schriftform vor, wenn nicht aufgrund besonderer Umstände davon abgewichen werden darf. Dies bedeutet, dass der Makler ein Original der Einwilligungserklärung benötigt – ein Fax, Scan oder eine Datei per Mail würde nicht ausreichen! Die Erklärung wäre schon formal unwirksam.

 Schriftformerfordernis auch im Onlinevertrieb?

Praxisnah stellt sich natürlich die Frage, ob nicht z.B. speziell der Onlinevertrieb einen solchen „besonderen Umstand“ darstellt. In ursprünglicher Form der Regelung war diese gesetzliche Regelung (§ 4a BDSG) noch nicht auf die neuen Herausforderungen des wachsenden E-Commerces eingestellt, sodass in den ursprünglichen Kommentierungen zum Gesetz unter die besonderen Umstände zunächst nur besondere Eilbedürftigkeit, langfristige Geschäftsbeziehungen und das eigene Interesse des Betroffenen als Ausnahme gefasst worden sind.

Jedoch ist insbesondere im Onlinevertrieb zu bedenken, dass gerade in den jüngeren Kommentierungen zum Datenschutzgesetz auch die Nutzung einer Einwilligungserklärung im E-Commerce unter die „besonderen Umstände“ gefasst worden ist, sofern nicht bereits die Vorschriften zur elektronischen Einwilligung bei Telemedien in § 13 Abs. 2 TMG die Anwendung findet. Diese Vorschrift kann als Vergleichsmaßstab herangezogen werden, was den Onlinevertrieb angeht. Dabei ist zu beachten, dass in diesem Fall bereits eine elektronische Einwilligung in die Datenverarbeitung möglich sein soll, wenn die Einwilligung durch eine“ eindeutige und bewusste Handlung des Nutzers“ erfolgt. Dies setzt aufgrund der Eigenart des Onlinevertriebs schon keine Schriftform (dies würde immer eine eigenhändige Unterschrift voraussetzen) voraus, sondern kann auch durch andere Wege gewährleistet werden: so kann die Einwilligung zum Beispiel per E-Mail an den Nutzer gesendet werden – mit der Aufforderung, diese durch Klicken eines „Links“ zu bestätigen.

Alternativ kann dem Nutzer die Einwilligungserklärung in einem gesonderten Bildschirmfenster zwingend angezeigt werden – und eine weitere Aktion vom Anklicken eines darauf gerichteten Auswahlfeldes abhängig machen.

Grundsätzlich handelt es sich bei diesen Möglichkeiten um die Umsetzung der EU-Datenschutz-Grundverordnung, nach der regelmäßig eine aktive Handlung des Nutzers durch Opt-In (z.B. Setzen eines Häkchens) ausreichen soll (Erwägungsgrund 25 zur Datenschutz-Grundverordnung). Von einem grundsätzlichen Schriftformerfordernis, wie es noch das „alte“ BDSG vorgesehen hat, kann insofern im Onlinevertrieb Abstand genommen werden können.

Einwilligung in Datenverarbeitung vom Gewerbekunden erforderlich?

Ein weiteres klassisches Problem für den Makler ist jedoch nicht nur die Umsetzbarkeit der Einwilligung eines Verbraucherkunden, sondern auch das grundsätzliche Einwilligungsbedürfnis bei einem Gewerbekunden – dies gilt nicht nur für den Onlinevertrieb, sondern auch für das alltägliche Geschäft.

Aus dem Gesetz ergibt sich aus § 3 BDSG (den Begriffsbestimmungen), dass personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) sind. Da insbesondere die Einwilligung aus § 4a sich nur auf den Umgang mit diesen personenbezogenen Daten (und besondere Arten personenbezogener Daten) bezieht, fallen nicht-natürliche Personen aus dem Anwendungsbereich „eigentlich“ raus.

Aber: der im Gesetz verankerte Grundsatz, dass nur die Daten natürlicher Personen betroffen sind, wird insbesondere durch die Rechtsprechung der Verwaltungsgerichte nicht nur aufgeweicht, sondern zunehmend ausgehebelt. Das BDSG soll insbesondere dann für Unternehmen Anwendung finden, wenn diese in den Schutzbereich des verfassungsrechtlich gewährleisteten „Recht auf informationelle Selbstbestimmung“ nach Art. 14 Grundgesetz fallen (VG Wiesbaden vom 18. Januar 2008, Az 6 E 1559/06, Oberverwaltungsgericht Niedersachsen in der Entscheidung zum Az. 10 ME 385/08, VG Wiesbaden, Entscheidung vom 27. Februar 2009, Az. 6 K 1045/08.WI).

Die diesbezüglich wesentlichen finanziellen und personalen Verbindungen treten häufig bei der so genannten „Ein-Mann-GmbH“ oder Einzelfirmen in Form von Einzelkaufleuten auf. Bei diesen sollte davon ausgegangen werden, dass zwischen der eigentlich handelnden juristischen Person und der dahinterstehenden natürlichen Personen ein besonders enger Zusammenhang besteht – und diese folglich in den Schutzbereich des BDSG fallen. Eine Einwilligung ist in diesem Falle zwingend einzuholen.

Unser Fazit:

Im Online-Versicherungsvertrieb dürften Sie die datenschutzrechtliche Einwilligungserklärung relativ einfach mit einem ausdrücklichen „Einwilligungsfeld“ durch aktives Anklicken des Kunden rechtssicher gewährleisten können und benötigen nicht die „eigentliche“ schriftliche Einwilligung des Kunden.

Diese technische Lösung sollte der Versicherungsmakler immer gleichermaßen für alle seine Kunden im Online-Vertrieb anbieten – egal, ob Verbraucher oder Unternehmer.