Veröffentlichungen

Wann kaufe ich Haftung und wie kann ich als Makler unangenehme Überraschungen vermeiden?

Neu: Jetzt auch Haftung für unehrlich, unredlich und unprofessionell!

von Dr. Boels/Michaelis LL.M., Kanzlei Michaelis Rechtsanwälte

 

Dr. Robert Boels

Dr. Robert Boels

Der Versicherungsmakler ist seit dem 23.02.2018 auch nach § 1a VVG verpflichtet, bei der Beratung, der Vorbereitung, dem Abschluss sowie der Verwaltung und Erfüllung von Versicherungsverträgen stets ehrlich, redlich und professionell im bestmöglichen Interesse des Versicherungsnehmers zu handeln. Den Versicherungsmakler treffen nach §§ 59 Absätze 1 und 3, 60 und 61 VVG entsprechend ausgestaltete Beratungs- und Dokumentationspflichten. Verstößt der Versicherungsmakler gegen die Beratungs- und Dokumentationspflichten, ist er seinem Kunden auch aus § 280 BGB, § 63 VVG und neuerdings nach § 1a VVG zum Ersatz eines dadurch entstandenen Schadens verpflichtet. Die endgültige Verjährung für diese Ansprüche beträgt 10 Jahre, oder 3 Jahre nach Kenntnis.

Für den Versicherungsmakler, der seinen Kundenbestand verkaufen und übertragen will, stellt sich vor diesem Hintergrund die Frage, ob und in welchem Umfang er nach der Veräußerung der Gesellschaftsanteile einschließlich des Gesamtbestandes („share deal“) oder nach der Veräußerung eines (Teil-) Bestandes („asset deal“) einer Nach-Haftung ausgesetzt ist und ob eine vielleicht sogar nicht versicherte Haftung für (Beratungs-) Fehler des Veräußerers beim Käufer entsteht?

Grundsätzlich sind Haftungsansprüche des Kunden gegen den Versicherungsmakler aus dem laufenden Betrieb durch die seit Mai 2007 vom Versicherungsmakler verpflichtend zu unterhaltenden Vermögensschadenhaftpflichtversicherung (VSH) gedeckt. Wird die VSH beendet, weil der Bestand verkauft und das Gewerbe insoweit nicht mehr ausgeübt wird, beginnt die als „Nachhaftung“ bezeichnete Nachmeldefrist. Die Nachhaftung stellt sicher, dass auch Ansprüche des Versicherungsnehmers aus Pflichtverletzungen des Versicherungsmaklers gedeckt sind, die erst nach dem Versicherungsablauf bekannt geworden sind und daraufhin geltend gemacht werden.

Je nachdem, wie der Bestand von dem verkaufenden Versicherungsmakler auf den Käufer übergehen soll, können Risiken insbesondere für den Käufer bestehen, die von der Nachhaftung eventuell nicht erfasst sind.

 

1) Share deal

Ist der Versicherungsmakler als juristische Person organisiert, können einfach die Anteile der Gesellschaft auf den Käufer übertragen werden. Mit den Anteilen gehen dann die Inhalte und Werte der Firma, also auch der Bestand auf den Käufer über. Zeitgleich übernimmt der Käufer die volle Haftung für alle Verbindlichkeiten aus der Vortätigkeit des Verkäufers. Die VSH der Gesellschaft tritt zwar nach wie vor für Pflichtverletzungen aus der Vortätigkeit ein. Allerdings richtet sich der jeweilige Versicherungsschutz nach dem Zeitpunkt der Pflichtverletzung. Daher besteht für den Käufer das Risiko, dass die Versicherungssumme zum damaligen Zeitpunkt nicht ausreichend hoch war oder die Versicherung im Fall einer wissentlichen oder vorsätzlichen Pflichtverletzung nicht eintritt. Soweit der Käufer eine neue VSH für die übernommene Gesellschaft abschließt, ist diese für Schäden aus Pflichtverletzungen vor der Übertragung der Anteile grundsätzlich nicht eintrittspflichtig. In Einzelfällen könnten VSH-Versicherer bereit sein, ihre Deckung, zumindest hinsichtlich des Risikos einer unzureichenden Versicherungssumme, bei entsprechender Erhöhung der Versicherungsprämie, zu erweitern oder eine Rückdeckung abzuschließen.

Wenn also Kunden nunmehr Schadenersatzansprüche geltend machen, weil der Vormakler nicht ehrlich, redlich oder professionell beraten hatte, so wäre ab dem 23.02.2018 dieser Schadenersatzanspruch auch noch zusätzlich vom Käufer und der VSH-Versicherung der Gesellschaft zu tragen, sodass sich das Risiko der Überschreitung der Versicherungssumme und Bewertung auch anderer Deckungslücken erhöht. Dies gilt es neuerdings bei der Vertragsgestaltung eines Unternehmenskaufs zu berücksichtigen!

 

2) Asset deal

Überträgt der Versicherungsmakler den gesamten Kunden-Bestand oder einen Teil des Bestandes durch einen asset deal, wird eine vollständige Haftungsübernahme des Käufers für Fehler des Vormaklers vermieden, da der Käufer den Vertrag mit dem Kunden lediglich fortsetzt. Für die Durchführung eines asset deals ist eine gute Vertragsdokumentation des veräußernden Versicherungsmaklers auch hinsichtlich bereits älterer Kunden-Verträge erforderlich. Denn es müssen für eine künftige Bearbeitung des Bestandes durch den Käufer die Rechte des Versicherungsmaklers aus den Verträgen, die den zu veräußernden Kunden-Bestand betreffen, einschließlich der den Kunden-Bestand selbst bildenden Einzelverträge mit den Kunden und dessen Vollmachten, nach §§ 398, 413 BGB auf den Käufer übertragen werden. Die Veräußerung des Kunden-Bestandes durch einen asset deal bedarf einer sehr engen rechtlichen Begleitung damit weder beim Kunden noch bei Dritten der Eindruck entsteht, der Kläger übernehme die gesamte Rechtsposition des Vormaklers oder erkläre  ungewollt „konkludent“ eine Haftungsübernahme für dessen Verhalten!

Darüber hinaus ist zur Einhaltung der Anforderungen der Datenschutzgrundverordnung (DSGVO) und des anzupassenden Art. 20 Absatz 2 Datenschutzkodex des Gesamtverbandes der Deutschen Versicherungswirtschaft „Code of Conduct“ seit dem 25.05.2018 erforderlich, dass der veräußernde Versicherungsmakler rechtzeitig vor der Bestandskundenübertragung eine ausdrückliche Zustimmung der betroffenen Kunden zur Datenweitergabe an den Käufer einholt. Soll ein Bestand übertragen werden, dürfte es in der Praxis für den Versicherungsmakler schwierig sein, von unzählig vielen Kunden kurzfristig einen hohen Rücklauf an Einwilligungserklärungen zu erhalten. Eine Einwilligung zur Weitergabe der Daten zum Zwecke einer möglichen Bestandsübertragung sollte daher von den Kunden schon frühzeitig, z. B. mit Vertragsschluss des Maklervertrages oder bei laufenden Verträgen mit der zu unterzeichnenden Kenntnisnahme der Datenschutzerklärung eingeholt werden!

Auch wenn die Haftung für Pflichtverletzungen des (Vor-) Versicherungsmaklers aus der Zeit vor der Übertragung des Kunden-Bestandes beim Vormakler bzw. dessen VSH verbleibt, wird in der Praxis oft irrtümlich der Käufer in Anspruch genommen. Kommt es zu einem Rechtsstreit, ist nicht ausgeschlossen, dass das Gericht gelegentlich einen Schuldbeitritt, eine Schuldübernahme oder eine Rechtscheinhaftung annimmt und dem Kunden gegen den Käufer einen Zahlungsanspruch zuspricht. Diesen Schaden kann der Käufer dann auch nicht von seiner VSH ersetzt bekommen, da diese frühere Pflichtverletzungen des (Vor-) Versicherungsmaklers nicht umfasst. Daher bleiben dem Käufer in diesen Fällen nur die Streitverkündung im Prozess sowie der anschließende Regress bei dem hoffentlich solventen (Vor-) Versicherungsmakler und bei dessen VSH.

Zur Abwendung der Folgen des vorbezeichneten Risikos einer ungerechtfertigten Inanspruchnahme könnte der Käufer mit dem Versicherungsmakler vereinbaren, dass ein Teil des Kaufpreises auf einem Treuhandkonto als Sicherheit zur Begleichung etwaiger titulierter Ansprüche der Kunden zurückgehalten wird. Alternativ könnte es für den Käufer sinnvoll sein, seinen VSH-Vertrag um eine Subsidiär-Deckung hinsichtlich des erworbenen Bestandes zu erweitern. Der Vorteil einer Versicherungslösung wären die feststehenden Kosten, die bereits bei Vertragsschluss bei der Berechnung des Kaufpreises berücksichtigt werden könnten.

 

Fazit

Ungeachtet, ob der gesamte Bestand des Versicherungsmaklers im Wege des share deals oder ein (Teil-) Bestand im Wege des asset deals auf den Käufer übertragen werden soll, stellt sich regelmäßig die Frage der Werthaltigkeit der Verträge. Meist lässt sich die Höhe der abzutretenden Courtageansprüche gegen die Versicherungen gut berechnen oder bei umfangreichen Bestandsübertragungen auch das zu erwartende Neugeschäft gut schätzen.

Problematisch gestaltet sich oft die Berechnung von Abschlägen wegen vom Käufer übernommener oder diesem aufgebürdeter bekannter oder unbekannter Haftungsrisiken. Ist der veräußernde Versicherungsmakler bzw. der veräußernde Gesellschafter nicht bereit oder in der Lage, den Käufer bezüglich einer möglichen Inanspruchnahme durch den Kunden unter dem Maklervertrag wegen in der Vergangenheit begangener nicht hinreichend versicherter Pflichtverletzungen freizuhalten oder Sicherheiten zu stellen, wird sich der Käufer das zu übernehmende Risiko durch einen Preisabschlag zur Abdeckung des maximalen Risikos, „abkaufen“ lassen. Zur Einschätzung des Risikos wird sich der Käufer regelmäßig Abschriften des aktuellen VSH-Vertrages, aller Vorverträge sowie den Versicherungsverlauf jedenfalls für die letzten 5-10 Jahre vorlegen lassen. Bei divergierenden Risikoeinschätzungen und Preisvorstellungen sollten Sie in Betracht ziehen, zur Unterstützung der Vertragsverhandlungen ein Wertgutachten anfertigen zu lassen.

Achten Sie daher auf mögliche „unsichtbare“ Haftungsrisiken, die der Verkäufer gesetzt haben könnte, deren Realisierung aber „irgendwann“ noch aussteht. Sie wollen sich doch nicht nur Haftung einkaufen?!

Maklerhaftung möglich, wenn das empfohlene wirtschaftliche Produkt nicht so gut performt!

von Rechtsanwalt Stephan Michaelis LL.M., Fachanwalt für Versicherungsrecht

 

Stephan Michaelis

Stephan Michaelis

vor Kurzem, also genau am 26.07.2018, hat der Bundesgerichtshof eine folgenreiche Entscheidung über einen Versicherungsmakler getroffen (siehe BGH Az. I ZR 274/16).

Es ist dann unsere Aufgabe, Ihnen Tipps zu geben, wie eine Haftungssituation vermieden werden kann bzw. wie nach Ansicht des Bundesgerichtshofes ihre richtige Beratung auszusehen hat.

Im konkreten Fall hat der Makler seinen Kunden zunächst allgemein darauf angesprochen, ob Interesse an einer Steueroptimierung besteht.

Der Kunde hatte zwei fondsgebundene Lebensversicherungen, für die er DM 1.000,00 (€ 511,29) bezahlte. Er veranlasste eine Reduzierung des monatlichen Beitrages auf € 90,58 und schloss bei dem Makler eine neue Rürup-Rente mit einem monatlichen Zahlbetrag von € 1.600,00 zu seiner Altersversorgung ab.

Einige Jahre später war er der Auffassung, dass die Reduzierung seiner Beiträge zur alten Lebensversicherung nicht so schlau war und dass der Abschuss der Rentenversicherung für ihn wirtschaftlich nachteilig sei.

Der VN wollte nicht nur Schadenersatz (€ 88.755,03), sondern auch die Feststellung, dass darüberhinausgehende Vermögensschäden, die noch in Zukunft eintreten können, ebenfalls vom Makler ersetzt werden müssen.

[Anm: Es handelt sich also nicht um einen ungewöhnlichen Vorgang, denn häufig wird einem Kunden empfohlen, die Altersvorsorge zu optimieren, um einen größeren wirtschaftlichen Ertrag anzustreben.]

Überlegen Sie aber gut, ob hierin nicht eine Gefahr liegen könnte und es deshalb einer sehr genauen und umfassenden Dokumentation bedarf!

Schauen wir also einmal, wie sich der Bundesgerichtshof eine richtige und umfassende Dokumentation vorstellt:

Nach dem BGH bestand der Beratungsfehler in einem Unterlassen, nämlich im Unterlassen der erforderlichen Vergleichsberechnung oder jedenfalls des erforderlichen Hinweises auf die Möglichkeit einer solchen Vergleichsberechnung. Da der Versicherungsnehmer nicht einmal pflichtgemäß auf die Möglichkeit einer Vergleichsberechnung hingewiesen worden ist, ist nach dem Grundsatz des beratungsgerechten Verhaltens zu vermuten, dass er sich im Falle des erfolgten Hinweises ohne eine solche Berechnung nicht zu einer Umschichtung in ein anderes Altersvorsorgeprodukt entschlossen hätte. Daher ist es von großer Wichtigkeit, dass der Versicherungsmakler einen Vergleich des angeratenen neuen Altersvorsorge-Modelles mit den bereits abgeschlossenen Lebensversicherungen hinsichtlich der Rentabilität oder Wirtschaftlichkeit anstellt oder zumindest seinen Kunden auf die Möglichkeit einer Vergleichsbetrachtung ausdrücklich hinweist.

Obwohl der Versicherungsmakler zunächst in erster und zweiter Instanz gewonnen hatte, war es einhellige Auffassung aller Instanzen, dass die Unterlassung eines solchen Vergleiches und der entsprechenden Hinweise einen Beratungsfehler darstellt. Steht aber erst einmal ein Beratungsfehler fest, dann ist es nur noch die Frage, ob der Höhe nach auch ein daraus kausal entstehender Schaden bezifferbar ist oder nicht.

Im konkreten Rechtsstreit war es dem Kunden nicht gelungen, einen konkreten Schaden substantiiert darzulegen. Mit dieser Forderung konnte er also beim Bundesgerichtshof nicht durchdringen.

Darüber hinaus begehrte der Kunde aber auch die Feststellung, dass weitere mögliche Vermögensnachteile, die erst in der späteren Rentenbezugsphase festgestellt werden können, auszugleichen sind.

Diesem weitreichenden und in die Zukunft gerichteten Feststellungsbegehren schloss sich der Bundesgerichtshof an. Denn für die Zulässigkeit einer solchen Feststellungsklage (möglicher Schaden in der Zukunft) ist lediglich die Darlegung von Tatsachen vorzunehmen, aus denen sich die Wahrscheinlichkeit eines auf die Verletzungshandlung (unterlassende Rentabilitäts- und Wirtschaftlichkeitsberechnung) zurückzuführenden Schadens (wirtschaftlicher Nachteil nach der Saldo-Theorie) ergibt. Dazu muss nicht dargelegt werden, dass zu einem bestimmten Zeitpunkt eine solche Vermögensdifferenz besteht. Alleine die Behauptungen, dass die Kostenstruktur der Produkte für den Kunden nachteilig gewesen sei, wäre möglicherweise schon ausreichend gewesen. Des Weiteren behauptete der Kläger aber auch gravierende Steuernachteile. Auch diese wären entsprechend zu berücksichtigen. Sogar weitere Nachteile, wie z. B. die Personengebundenheit der neuen Vermögensanlage in Form der abgeschlossenen Rürup-Rente. Durch die Darlegung dieser Nachteile war die Wahrscheinlichkeit eines Schadens vom Kunden ausreichend dargelegt, entschied der BGH (aaO, BGH). Es sei einem Kunden nicht zuzumuten, einen Versicherungsmathematiker hinzuzuziehen, der die Wahrscheinlichkeit eines Schadens näher darlegt. Es spreche vielmehr für eine großzügige Beurteilung der Frage, ob der Geschädigte die Wahrscheinlichkeit des Vermögensschadens hinreichend dargelegt hat.

In dieser BGH-Entscheidung sehe ich eine erhebliches Potential für eine Klagewelle, die auf die Versicherungsmakler zurollen könnte. Denn die „Umschichtung“ in andere Altersvorsorgeprodukte erfolgt häufig. Weniger häufig wird ein Vergleich dieser beiden Altersvorsorgemodelle angestellt und eine konkrete Vergleichsbetrachtung vorgenommen. Vermutlich wird auch kaum der Hinweis erteilt, dass eine solche Vergleichsbetrachtung sinnvoll wäre.

Nach dieser Entscheidung kann der Versicherungsnehmer sich relativ leicht Ansprüche offen halten, ob er im Alter mit seiner Rente „glücklich“ ist. Über den Schadenersatzanspruch gegenüber dem Versicherungsmakler könnte er zu seiner ursprünglichen Altersversorgung optieren, sollte diese dann wirtschaftlich, zumindest hypothetisch, besser gelaufen sein.

Da häufig auch Verträge mit garantierter Verzinsung in fondsgebundene Anlage umgeschichtet wurden, kann man nur hoffen, dass der Fonds-Verlauf positiv ist und sich wirtschaftliche Nachteile im Vergleich für den Kunden nicht ergeben.

Sobald aber eine Wahrscheinlichkeit besteht, dass – weil eine wirtschaftliche Vergleichsbetrachtung fehlte – sein neues Produkt nicht erwartungsgemäß performt, ist der „Sündenbock“ leicht zu finden. Würden Verbraucherschutzorganisationen erst einmal dem Kunden anraten, über die allgemeine künfige Feststellung die Ansprüche zu „sichern“, dann müssen wir wohl bei den rechtschutzversicherten Kunden von einer Klagewelle ausgehen.
Die Rettung des Maklers liegt hier nicht in der Argumentation, er habe keine Pflicht verletzt. Die Rettung besteht wohl vielmehr darin, dass kein ursächlicher kausaler Schaden entstanden ist. Dies wird aber für den Makler sehr schwierig in der Argumentation!

Fazit:

Bei „Umschichtungen“ nehmen Sie einen Vergleich der Rentabilität und Wirtschaftlichkeit vor! Dies sind die Mindestanforderungen der jüngsten BGH-Entscheidungen.

„Haftungsfalle für Versicherungsmakler: Ausschlussfristen“ – Die Pflichten des Versicherungsmaklers gehen weit(er)…

BGH, Urteil vom 30.11.2017 – I ZR 143/16

1.

Lars Krohn

Lars Krohn

In konsequenter Fortschreibung der „Sachwalter-Rechtsprechung“ (vgl. BGH, NJW RR 2007, 503) hat der BGH mit der hier besprochenen Entscheidung eine weitere Konkretisierung des weiten Pflichtenkreises des Versicherungsmaklers im Hinblick auf die Hilfestellung bei der Regulierung am vorliegenden Fall der Versäumung einer Ausschlussfrist in der privaten Unfallversicherung vorgenommen:

Gegenstand des Verfahrens ist eine Klage, mittels derer eine Versicherungsnehmerin eine Versicherungsmaklerin, Beklagte zu 1., sowie die für die Maklerin als selbstständige Handelsvertreterin, Beklagte zu 2., wegen erheblicher Pflichtverletzung aus dem Maklervertrag auf Schadensersatz in Anspruch nimmt.

2.
Eine Besonderheit des Sachverhalts liegt in der Person der Klägerin, die nämlich selbst geprüfte Versicherungsfachfrau ist und von 2008 bis Ende 2010 für die beklagte Versiche-rungsvermittlerin tätig war. Innerhalb dieses Zeitraums vermittelte sich die Klägerin selbst einen Unfallversicherungsvertrag, welcher ihren nunmehrigen Ehemann als versicherte Person miteinschloss.

Nach den Angaben der Klägerin hat sie allerdings bei Beendigung ihrer Tätigkeit für die Beklagte zu 1. sämtliche in ihrem Besitz befindlichen Unterlagen über die von ihr vermittelten Versicherungsverträge der Beklagten zu 2.) zur Weiterbetreuung übergeben.

3.
Nachdem der Ehemann einen schweren Verkehrsunfall erlitten hatte, wurde das Formular für die Unfallanzeige wie auch später der Entlassungsbrief der Klinik vom Büro der Beklagten zu 2. aus an den Versicherer gefaxt.

Der Versicherer wies sodann die Klägerin schriftlich darauf hin, dass ein Anspruch auf Versicherungsleistungen nach dem geltenden Bedingungswerk nur bestehe, wenn die unfallbedingte Invalidität innerhalb von 12 Monaten nach dem Unfall eintrete und innerhalb von 18 Monaten nach dem Unfall ärztlich festgestellt werde.

4.
Über zwei Jahre später lehnte der Versicherer sodann einen Antrag der Klägerin auf eine Invaliditätsleistung mit der Begründung ab, die Invalidität sei nicht innerhalb der 18-Monats-Frist ärztlich festgestellt worden.

Für eben diese Fristversäumung macht die Klägerin die Beklagten verantwortlich, denn nach ihrer Auffassung hätten sie die Klägerin aufgrund des Maklervertrages – unabhängig von der Versicherung – auf die 18-monatige Ausschlussfrist zur ärztlichen Feststellung einer Invalidität hinweisen müssen. Überdies beruft sich die Klägerin gegenüber der Beklagten zu 2. darauf, dass mit ihr ausdrücklich vereinbart worden sei, dass sich jene um die gesamte Schadensabwicklung kümmern solle, woraus die Verpflichtung der Beklagten zu 2. erwachse, dafür Sorge zu tragen, dass die Invalidität innerhalb der bedingungsgemäßen Frist ärztlich festgestellt und dem Versicherer angezeigt worden wäre.

II.

1.
Nachdem die auf Ersatz entgangener Versicherungsleistungen und vorgerichtlicher An-waltskosten gerichtete Klage in beiden Vorinstanzen (LG Osnabrück, Urteil vom 14.12.2015 – 9 O 1585/15 und OLG Oldenburg, Urteil vom 09.06.2016 – 14 U 11/16) erfolglos geblieben war, hatte die Klägerin mit ihrer zugelassenen Revision Erfolg, die angefochtene Entscheidung wurde mit dem hier besprochenen Urteil vom BGH aufgehoben und die Sache an das Berufungsgericht zurückverwiesen, da sie noch nicht zur Endentscheidung reif war.

2.
Eingangs seiner Entscheidung hat der Bundesgerichtshof im Hinblick auf die geltend ge-machten Pflichtverletzungen und die sich daraus ergebenden Ansprüche eine Abgrenzung der Anspruchsgrundlagen vorgenommen; da keine Pflichtverletzung der Beklagten bei einer Vertragsanbahnung, sondern eine Pflichtverletzung bei der Abwicklung eines Versicherungsfalls in Rede stehe, kämen als Anspruchsgrundlage nicht die § 60ff., 63 VVG, sondern die allgemeine Vorschrift des § 280 Abs. 1 BGB in Betracht. Danach könne, wenn der Versicherungsmakler eine nicht in den § 60, 61 VVG geregelte Pflicht aus dem Maklervertrag mit einem Versicherungsnehmer verletze, jener Ersatz des ihm hierdurch entstanden Schadens verlangen (§ 280 Abs. 1 BGB), wenn der Makler die Pflichtverletzung zu vertreten habe (§ 280 Abs. 1 Satz 2 BGB).

Deutlich häufiger sind die Fälle des Vorwurfes zeitlicher, sachlicher oder wertmäßiger De-ckungslücken des Versicherungsschutzes gegenüber Versicherungsmaklern wegen Fehlern bei Abschluss eines Versicherungsvertrags mit der Folge vertraglicher und sich nach den §§ 63 Satz 1, 60, 61 Abs. 1 VVG richtender Haftung im Rahmen der sog. „Quasideckung“, so Rixecker NJW 2018, 1160 (1162). Seltener sind Entscheidungen zur Haftung des Versicherungsmaklers bei Abwicklung eines Versicherungsfalls, die sich nach § 280 BGB richtet, Rixecker a.a.O.

Das Oberlandesgericht Oldenburg habe als Berufungsgericht unterstellt, so der BGH, dass sich die als selbstständige Handelsvertreterin für die Versicherungsmaklerin tätige Beklagte zu 2. gegenüber der Klägerin vertraglich verpflichtet hatte, die gesamte Abwicklung des Schadensfalls zu übernehmen. Dem klägerischen Vorbringen habe sich die Beklagte zu 2. insoweit verpflichtet, die Klägerin hinsichtlich sämtlicher mit der Schadensabwicklung in Zusammenhang stehender Fragen umfassend zu beraten und dafür zu sorgen, dass innerhalb der 18-Monats-Frist die ärztliche Invaliditätsfeststellung erfolgen und der Versicherung angezeigt werden würde. Da dies nicht geschehen sei, wäre die Klage nach Auffassung des BGH jedenfalls dem Grunde nach ohne weiteres gegen beide Beklagte begründet, weil nach entsprechender Behauptung der Klägerin ein Maklervertrag mit der Beklagten zu 1. bestand, in den die Beklagte zu 2. „eingeschaltet war.“

3.
Auf diese von dem Berufungsgericht unterstellte vertragliche Vereinbarung mit der Beklagten zu 2. komme es allerdings nach Auffassung des Bundesgerichtshofs nicht an, denn der weite Pflichtenkreis des Versicherungsmaklers (vgl. NJW 2014, 1655; BGH, NJW 2014, 2038; BGH, NJW 2016, 3366 jeweils m.w.N.) umfasse ohnehin grundsätzlich auch die Hilfestellung bei der Regulierung eines Versicherungsschadens (vgl. BGH, NJW RR 2009, 1688). Der BGH macht an dieser Stelle zutreffend deutlich, dass bereits nach seiner bisherigen Rechtsprechung, unabhängig von einer vereinbarten Wahrnehmung der Schadensabwicklung, zu dem weiten Pflichtenkreis des Versicherungsmaklers als „treuhänderischer Sachwalter“ des Versicherungsnehmers gilt (BGH, NJW – RR 2007, 503; zu den Pflichten vgl. Langheid/Rixecker, VVG, 5. Auflage § 61 Rn. 7 ff.), dass hierzu auch die Hilfestellung bei der Regulierung, der Wahrung von Fristen oder Obliegenheiten, gehört, Rixecker a.a.O.

Hieran ändere sich nach dem BGH auch entgegen der Auffassung des Berufungsgerichts nichts dadurch, dass die Klägerin vom Versicherer genau den Hinweis erhalten habe, den die Beklagten ebenfalls geschuldet hätten, wodurch nach Ansicht des Berufungsgerichts die zugunsten der Klägerin streitende Vermutung, dass sie sich auf einen Hinweis der Beklagten zur rechtzeitigen ärztlichen Feststellung der unfallbedingten Invalidität und Anzeige gegenüber dem Versicherer beratungsgerecht Verhalten hätte, entkräftet sei.

4.
Insoweit stehe die Rechtsprechung des BGH entgegen. Danach könne nämlich von einem Versicherungsmakler ein Hinweis auf den drohenden Verlust des Versicherungsanspruchs wegen Nichteinhaltung der Frist zur ärztlichen Feststellung und Geltendmachung einer eingetretenen Invalidität erwartet werden und ist eine Belehrungsbedürftigkeit des Versicherungsnehmers regelmäßig anzunehmen, wenn für den Versicherungsmakler erkennbar ist, dass Ansprüche wegen Invalidität gegen die Unfallversicherung ernsthaft in Betracht kommen. Den Einwand, dass es doch ohnehin zur eigenen Verantwortung des Versicherungsnehmers gehöre, sich über Ausschlussfristen nach den Versicherungsbedingungen zu informieren, will der BGH in diesem Zusammenhang nicht gelten lassen, weil es dem Versicherungsmakler zu seiner Verteidigung verwehrt sei, sich auf diese Obliegenheit des Versicherungsnehmers zu berufen, da sie lediglich das Verhältnis des Versicherungsnehmers zum Versicherer betreffe. Der Versicherungsnehmer bediene sich aber gerade des Versicherungsmakler als sachkundigen Fachmanns, um seine Ansprüche zu wahren und durchzusetzen, so der BGH unter Verweis auf seine Entscheidung NJW-RR 2009, 1688.

Schließlich könne vorliegend die Vermutung beratungsgerechten Verhaltens der Klägerin für den Fall eines ordnungsgemäßen Hinweises der Beklagten bereits deshalb nicht entkräftet werden, weil nach pflichtgemäßer Beratung für die Klägerin im Hinblick auf den drohenden Rechtsverlust, der bei Versäumung der Frist von 18 Monaten für die Geltendmachung der unfallbedingten Invalidität unter Vorlage einer entsprechenden ärztlichen Feststellung eintreten würde, keine sachgerechte Handlungsalternative zur fristgerechten Geltendmachung bestünde. Steht dem Versicherungsnehmer nur ein vernünftiger Weg – wie hier – zur Verfügung einen Anspruchsverlust zu vermeiden, greift die Vermutung aufklärungsrichtigen Verhalten, Rixecker a.a.O.

5.
Nicht im Zusammenhang mit der Frage nach dem grundsätzlichen Bestehen einer Bera-tungspflicht, sondern erst im Zusammenhang mit der Diskussion über ein etwaiges Mitverschulden der Versicherungsnehmerin kommt der BGH auf den Umstand zu sprechen, dass die Klägerin selbst als ausgebildete Versicherungskauffrau sachkundig ist. Hieraus lässt sich ersehen, dass der BGH eine Beratungspflicht unabhängig von der eigenen Sachkunde des Versicherungsnehmers sieht.

Soweit der BGH also die grundsätzliche Beratungspflicht durch die eigene Sachkunde des Versicherungsnehmers oder dessen Möglichkeit sich sachkundig zu machen nicht zu dessen Nachteil beeinflusst sieht, weist er jedoch darauf hin, dass sich das Berufungsgericht im Rahmen der Zurückverweisung der Frage einer Anspruchsminderung gem. § 254 BGB wegen Mitverschuldens widmen muss. In diesem Zusammenhang könne der zu beratenden Person allerdings bei Vorliegen eines Beratungsvertrages regelmäßig nicht als mitwirkendes Verschuldens vorgehalten werden, sie hätte das, worüber sie ihr Berater hätte aufklären oder unterrichten sollen, bei entsprechenden Bemühungen ohne fremde Hilfe selbst erkennen können, was auch für rechtlich und wirtschaftlich erfahrene Personen gelte (BGH, WM 2010, 993; WM 2011, 1529; BGH NJW 2012, 3165; BGH NJW 2012, 3165).

Der Bundesgerichtshof formuliert weiterhin den von ihm ausgebildeten Grundsatz, dass der Berater, der seine Vertragspflicht zur sachgerechten Beratung verletzt habe, gegenüber dem Schadensersatzanspruchs des geschädigten Mandanten nach Treu und Glauben regelmäßig nicht geltend machen könne, diesen treffe ein Mitverschulden, weil er sich auf die Beratung verlassen und dadurch einen Mangel an Sorgfalt gezeigt habe (BGH WM 2010, 993; WM 2011, 1529); denn selbst eine sach- und fachkundige Person müsse darauf vertrauen können, dass der von ihr beauftragte Berater, die anstehenden Fragen fehlerfrei bearbeitete, ohne dass eine Kontrolle notwendig sei (BGH WM 2010, 993; BGH WM 2011, 1529; BGH NJW 2012, 3165).

Eine den Mandanten treffende Pflicht zur Schadensabwehr komme allerdings dann in Betracht, wenn er sichere Kenntnis von der Gefährdung seiner eigenen Interessen hat (BGH NJW 2011, 2138). Auch könne sich der Mandant auf den vorstehenden Grundsatz nicht berufen, wenn er Warnungen oder ohne weiteres erkennbare Umstände, die gegen die Richtigkeit des vom Berater eingenommen Standpunkts sprechen, nicht genügend beachtet oder den Berater nicht über eine fundierte Auskunft unterrichtet, die er selbst von einer sachkundigen Person erhalten hat (BGH WM 2011, 1529).

6.
Klarstellend hat der BGH darauf hingewiesen, dass diese Grundsätze regelmäßig entspre-chend für die Frage eines anspruchsmindernden Mitverschuldens des Versicherungsneh-mers bei Beratungspflichtverletzung des Versicherungsmaklers gelten und die Annahme eines hälftigen Mitverschuldens bei vom Versicherungsnehmer verspäteter Mitteilung der mangelnden Regulierung und eines Schreibens der Versicherung hinsichtlich der Ergänzung der Unfallschaden-Anzeige als nicht rechtsfehlerhaft angesehen wurde (vgl. BGH NJW RR 2009, 1688). Ein Mitverschulden des Versicherungsnehmers könne aber zu verneinen sein, wenn der Versicherungsmakler im Rahmen der ihm obliegenden Aufgabe den Versicherungsbedarf beim Versicherungsnehmer nicht nachgefragt hat, welche konkreten Tätigkeiten dieser im Rahmen seinem Betriebs tatsächlich ausübte (vgl. BGH NJW 2014,2038).

Allerdings ist einschränkend anzumerken, dass die Annahme eines Mitverschuldens im vorliegenden Fall lediglich dann in Betracht kommen kann, wenn die Beklagten ihre ohnehin nach dem weiten Pflichtenkreis des Versicherungsmaklers grundsätzlich bestehende Pflicht zur Hilfestellung bei der Regulierung eines Versicherungsschadens verletzt haben sollten – läge eine nach dem Eintritt des Versicherungsfalls vertraglich übernommene Pflicht zu dessen Abwicklung vor und sei diese durch die Beklagten verletzt worden, bliebe für ein Mitverschulden der Klägerin kein Raum.

III.

1.
Zusammenfassend ist auszuführen, dass § 280 Abs. 1 BGB die einschlägige Norm für einen Schadensersatzanspruch des Versicherungsnehmers gegen den Versicherungsvermittler wegen Pflichtverletzung bei der Abwicklung eines Versicherungsfalles darstellt, wohingegen die § 60 ff., 63 VVG den Schadensersatzanspruch des Versicherungsnehmers gegen den Versicherungsvermittler wegen einer Pflichtverletzung bei einer Vertragsanbahnung bzw. beim Vertragsschluss regeln.

2.
Festzuhalten gilt es ferner: ohne dass es hierzu einer besonderen Regelung oder Absprache neben dem allgemeinen Maklervertrag bedarf, umfasst der Pflichtenkreis des Versiche-rungsmaklers grundsätzlich auch die Hilfestellung bei der Regulierung eines Versicherungsschadens.

Weil sich der Versicherungsnehmer gerade des Versicherungsmaklers als sachkundigen Fachmanns bedient, um seine versicherungsvertraglichen Ansprüche zu wahren und durchzusetzen, kann sich der Versicherungsmakler nicht darauf berufen, dass es zur eigenen Verantwortung des Versicherungsnehmers gehört, sich nach einem Versicherungsfall über Ausschlussfristen nach den Versicherungsbedingungen zu informieren.

3.
Die Vermutung beratungsgerechten Verhaltens gilt grundsätzlich ohne Einschränkungen und zunächst unwiderleglich, wenn für die zu beratende Person bei ordnungsgemäßer Beratung nur eine einzige verständige Entschlussmöglichkeit bestanden hätte.

4.
Eigene Sachkunde des Versicherungsnehmers oder die Fähigkeit und/oder Gelegenheit sich sachkundig zu machen, ändert nichts an der grundsätzlichen Beratungspflicht auf Grundlage des Maklervertrags. Allenfalls ein Mitverschulden der zu beratenden Person kommt in Betracht.

5.
Mit der vorstehend behandelten Entscheidung hat der BGH den weiten Pflichtenkreis des Versicherungsmaklers als „treuhänderischer Sachwalter“ des Versicherungsnehmers sogar im Hinblick auf eine fachkundige Versicherungsnehmerin, eine ausgebildete Versicherungsfachfrau abermals und ausdrücklich bestätigt, obgleich sie sich den in Rede stehenden Versicherungsvertrag seinerzeit sogar selbst vermittelt hatte.

Insoweit ist im Rahmen der Hilfestellung bei der Regulierung eines hier gegenständlichen privaten Unfallversicherungsvertrages besondere Sorgfalt des Maklers hinsichtlich der Einhaltung der Fristen zur Feststellung und Geltendmachung einer Invalidität geboten. Unabhängig von der den Versicherer treffenden Hinweispflicht muss der Makler seinen Kunden ausdrücklich beraten, auf die Fristen und die Gefahr eines Anspruchsverlusts sowie die Geltendmachung – also auf alle Anspruchsvoraussetzungen – hinweisen und auf deren Einhaltung achten.

Honorareinnahmen vom Kunden? Geht das?

von RA Stephan Michaelis LL.M., Fachanwalt für Versicherungsrecht und Handels- und Gesellschaftsrecht


Darf ein Versicherungsmakler überhaupt ein Honorar von seinem Kunden nehmen? Und wenn ja, wofür darf er ein solches Honrar nehmen?

Um sich der Thematik „Honorarvergütungen“ ein wenig anzunähern, sollten wir zunächst zwei rechtliche Bereiche unterscheiden.

Den ganzen Artikel lesen

Datenschutzverstöße, die weh tun

Der Schmerzensgeldanspruch aus Art. 82 DSGVO

von Rechtsanwalt Sebastian Karch (Kanzlei Michaelis)

SebastianKarch

SebastianKarch

In aller Munde waren und sind die hohen Bußgelder, welche Art. 83 DSGVO mit sich gebracht hat und damit den bis Mai diesen Jahres wenig beachteten Datenschutz aus dem Schattendasein ins Rampenlicht gezogen hat. Was dabei aber gerne übersehen wird, ist die andere finanzielle Sanktionsnorm aus der DSGVO:

Der Schadensersatzanspruch für Jedermann. Der Art. 82 DSGVO.

Zunächst, was steht im Art. 82 DSGVO?

Art. 82 DSGVO ist eine eigenständige datenschutzrechtliche Haftungsnorm für zivilrechtlichen Schadensersatz, welche selbständig neben vertraglichen, deliktischen oder sonstigen Ansprüchen steht. Gemäß Absatz 1 der Norm „hat jede Person, die wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder Auftragsverarbeiter.“

Im Vergleich zum alten § 7 BDSG ermöglicht die DSGVO dem Betroffenen also jetzt neu auch die Geltendmachung von nicht bezifferbaren immateriellen Schäden.

Was bedeutet das konkret?

Der Anwendungsbereich der Norm ist extrem weit. Es wird lediglich die Geltendmachung eines Schadens aus einem schuldhaften datenschutzrechtlichen Pflichtenverstoß vorausgesetzt. Die allermeisten deutschen Unternehmer haben dieses Jahr früher oder später die Erkenntnis gewonnen, dass sie wohl aktuell noch nicht vollständig DSGVO-konform agieren.

Diesbezüglich wird noch einmal auf die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO und Art. 24 DSGVO) hingewiesen, wonach jeder, der über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, also Verantwortlicher ist, die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze nachweisen können muss. Die Nachweispflicht für ein datenschutzrechtlich richtiges Verhalten ist auch noch einmal explizit in Art. 82 Abs. 3 DSGVO selbst genannt.

Das Vorliegen eines Datenschutzverstoßes und das Verschulden des Verantwortlichen / Auftragsverarbeiters, ist schnell behauptet. Ob sich dann seitens des Unternehmens exkulpiert werden kann, hängt von dessen DSGVO-Konformität ab. Kann er dies nicht und weist der Betroffene, dessen Daten der Verantwortliche oder Auftragsverarbeiter nicht DSGVO-konform verarbeitet hat, nach, dass daraufhin ein konkreter bezifferbarer Schaden entstanden ist (materieller Schaden), so kann er diesen in Geld ersetzt verlangen. Soweit so klar. Aber was blüht dem Verantwortlichen / Auftragsverarbeiter, wenn der Betroffene einen immateriellen Schaden, sprich Schmerzensgeld, geltend macht?

Beispiele für „emotional distress“:

Als ein Beispiel ist die Pflicht zur Verschlüsselung auf Webseiten zu nennen. Dies hat nichts mit der Einführung der DSGVO zu tun, sondern ist schon seit Jahren Pflicht in Deutschland (§ 13 Abs. 7 TMG). Der Webseitenbetreiber muss also eine Verschlüsselung auf seiner Webseite installiert haben, insbesondere wenn er ein Kontaktformular oder Newsletter anbietet, welches vom Webseitenbesucher die elektronische Übermittlung seiner personenbezogenen Daten verlangt. Ist hier keine entsprechende Schutzmaßnahme getroffen worden, wie etwa durch die Verwendung eines anerkannten Verschlüsselungsverfahrens (SSL oder TLS), so stellt dies einen erheblichen Datenschutzverstoß dar. In solchen Fällen sollen bereits zwischen EUR 6.500,- bis 12.500,- an Schmerzensgeld verlangt worden sein. Völlig losgelöst davon wäre bei einem derart gravierenden Datenschutzverstoß auch ein Bußgeld fällig, was vermutlich noch deutlich höher ausfallen dürfte. Derartigen Abmahnungen kann man aus Unternehmersicht noch relativ entspannt gegenübertreten, da meist schon nicht sauber begründet wurde, worin denn eigentlich der Seelenschmerz liegen soll, wenn der Betroffenen selbst sehenden Auges das unverschlüsselte Kontaktformular mit seinen Daten gefüttert hat. Je mehr Abmahnungen dieser eine Betroffene daraufhin verschickt hat, desto leichter ist nachzuweisen, dass dies nur eine Masche vom Betroffenen ist, um Geld einzufordern. Erste Gerichtsentscheidungen hierzu werden Klarheit verschaffen, was dem Betroffenen an Ausgleich zusteht bei derart offensichtlichen Datenschutzverstößen.

Als weiteres Beispiel sind fehlerhafte oder nicht vorhandene Löschkonzepte und der falsche Umgang mit Löschanfragen der Betroffenen zu nennen. Hierbei gilt es gewisse Fristen zu beachten. Antwortet der Verantwortliche nicht innerhalb von längstens einem Monat, so verstößt er gegen die DSGVO.

Auch wenn den Informationsrechten (Art. 13 und 14 DSGVO) nicht nachgekommen wird, begeht der Verantwortliche / Auftragsverarbeiter schnell einen DSGVO-Verstoß. Dieser ist auch leicht nachgewiesen, wenn es dem Unternehmen nicht gelingt, zu beweisen, dass ein entsprechender Datenschutzhinweis spätestens „bei Erhebung der Daten“ zugesandt wurde. Dann kann der Betroffene geltend machen, dass er nicht darüber informiert wurde, was mit seinen Daten geschieht und damit die Herrschaft über seine Daten verloren hat.

Aus diesen wenigen Beispielen wird deutlich, weshalb die DSGVO konsequenterweise auch einen Anspruch auf Ersatz immaterieller Schäden gewährt. Der Betroffene, dessen Daten an Dritte weitergegeben worden sind, soll nicht schlechter gestellt werden, nur weil ihm durch diese Art des Datenschutzverstoßes kein bezifferbarer materieller Schaden entstanden ist. Das ist beispielsweise in den USA schon lange geltendes Recht, wo unter dem Begriff „emotional distress“ der Kontrollverlust über die eigenen Daten zum Schadensersatz berechtigt.

In welcher Höhe nun Schadensersatzansprüche aus Art. 82 DSGVO geltend gemacht werden und wann ein Kontrollverlust eingetreten sein soll und wann nicht, lässt sich nur schwer vorhersehen. Die DSGVO selbst sagt, dass sich die Höhe des Schmerzensgeldes für immaterielle Schäden an der Genugtuungs- und Abschreckungsfunktion des Schmerzensgeldes orientieren soll. Ob die deutsche Rechtsprechung auch bei diesem Schmerzensgeldanspruch eher restriktiv urteilen wird, bleibt zunächst abzuwarten.

Fazit und Handlungsempfehlungen

Art. 82 DSGVO stärkt die Rechte der Betroffenen, indem er es Ihnen ermöglicht, mit einer sehr effektiven Schadensersatznorm Ansprüche wegen angeblicher oder tatsächlicher Schadensersatzansprüche geltend zu machen. Die Verantwortlichen und Auftragsverarbeiter tragen die Beweislast dafür, dass sie die Daten des Betroffenen datenschutzrechtlich einwandfrei verarbeitet haben. Gelingt der Nachweis nicht, sieht es schlecht aus und man kann sich eigentlich nur noch um die Schadenshöhe streiten. Wenn es sich bei dem beanstandeten Datenschutzverstoß auch nicht nur um einen Einzelfall gehandelt hat, sondern um einen sogenannten Strukturverstoß, dann kann es auch schnell existenzbedrohend werden.

Es gilt daher weiterhin im Unternehmen einen DSGVO-Datenschutzstandard zu etablieren. Das ist viel Arbeit und kostet Zeit, ist aber die einzige Möglichkeit enorme wirtschaftliche Risiken, wie die hohen Bußgelder von Behördenseite oder etwaige Schadenersatzansprüche der Betroffenen, später abwehren zu können.

Der Datenschutz sollte daher nicht als einmalige Anstrengung verstanden werden, sondern als fortlaufender Prozess.

Darüber hinaus sollten Verantwortliche und Auftragsverarbeiter weiterhin daran arbeiten, dass Sie einen Überblick darüber gewinnen, welche personenbezogenen Daten einzelner Betroffener im Betrieb auf welche Weise und für welchen konkreten Zweck verarbeitet werden. Nur, wer dies organisatorisch und technisch „im Griff hat“ und dokumentiert hat, kann seiner Nachweispflicht nachkommen.

Muss der Makler eine Auftragsdatenverarbeitung mit Maklerpools schließen?

von Rechtsanwälten Sebastian Karch/ Stephan Michaelis (Kanzlei Michaelis)

Stephan Michaelis

Stephan Michaelis

„Nein, der Makler muss in der Regel keinen Vertrag über Auftragsverarbeitung mit Maklerpools schließen, jedenfalls nicht mit den allermeisten“, sagt Rechtsanwalt Stephan Michaelis (Fachanwalt für Versicherungsrecht, Handels- und Gesellschaftsrecht).

Viele Makler fragen sich daraufhin: „Wie kann das sein? Der Pool erhält doch von mir personenbezogene Daten meiner Kunden zur Verarbeitung.“

Diese einfach anmutende Fragestellung, welche derzeit in der Branche heiß diskutiert wird, weil viele Pools jetzt eine AVV anbieten, sollte man sich datenschutzrechtlich Stück für Stück nähern, um die Abgrenzung von Auftragsverarbeitung zu eigener Verantwortlichkeit des Pools nachvollziehen zu können.

Zunächst, wer ist Auftragsverarbeiter?

Ein Vertrag über Auftragsdatenverarbeitung (im Folgenden „AVV“ genannt) ist zwischen einem Verantwortlichen und einem (oder mehreren) Auftragsverarbeiter(n) gemäß Art. 28 DSGVO zu schließen. Folglich ist die entscheidende Frage, ob ein Maklerpool als Auftragsverarbeiter anzusehen ist? Denn nur dann wäre eine AVV mit dem Makler als Verantwortlichen abzuschließen.

Ob eine Auftragsverarbeitung vorliegt, ist mittels einer sachbezogenen, funktionalen Betrachtung der tatsächlichen Verhältnisse zwischen Verantwortlichem und Auftragsverarbeiter festzustellen.

SebastianKarch

SebastianKarch

Die Datenverarbeitung muss selbstverständlich im Auftrag des Verantwortlichen stattfinden. Das zentrale Element der AVV ist darüber hinaus die Weisungsgebundenheit des Auftragsverarbeiters.[1] Der Verantwortliche legt allein Zwecke und Mittel der Verarbeitung fest und gibt dem Auftragsverarbeiter weisungsgebunden die von diesem vorzunehmenden Verarbeitungen vor. Davon darf nicht abgewichen werden. Fehlt es an der strengen Weisungsgebundenheit, so liegt keine Auftragsverarbeitung vor.

Typisches Beispiel für eine Auftragsverarbeitung ist die Auslagerung der Datenspeicherung bei einem Maklerverwaltungsprogramm (MVP). Typische Beispielsfälle für das Nichtvorliegen einer erforderlichen Auftragsverarbeitung sind auch die Datenübertragung an Rechtsanwälte, Steuerberater, weil hier eine gesetzliche Schweigepflicht besteht.

 

Wonach erfolgt also die Abgrenzung der Auftragsverarbeitung zur eigenen Verantwortlichkeit?

EXKURS: Früher wurde die weisungsgebundene Auftrags(daten)verarbeitung abgegrenzt zur sogenannten „Funktionsübertragung“. Eine Funktionsübertragung lag vor, wenn eine eigene Entscheidungsbefugnis des Dritten hinsichtlich des „Wie“ der Datenverarbeitung oblag. Dies ist nunmehr überholt, da die DSGVO dem Auftragsverarbeiter mehr Gestaltungsspielraum bei     der Wahl der Mittel, also wie er den Auftrag umsetzt, lässt, ohne an seiner Rolle als Auftragsverarbeiter zu rütteln. Die DSGVO geht insoweit davon aus, dass in der heutigen Zeit die Aufgabenteilung selbstverständlich ist. Nicht jedes Unternehmen macht alles, um ihren Kunden zufriedenzustellen, sondern bedient sich dafür wiederum spezialisierter Unternehmen, dem potenziellen Auftragsverarbeiter.

Aus diesem Grund kann es sich bei der Datenverarbeitung jetzt nur noch entweder um einen Auftragsverarbeiter oder einem Verantwortlichen handeln.

Für die Abgrenzung ist festzustellen, wann der Verantwortliche nicht mehr (allein oder gemeinsam mit anderen Verantwortlichen) die Entscheidung über Zwecke und Mittel der Verarbeitung trifft, sondern dem (vermeintlichen) Auftragsverarbeiter so viel Entscheidungskompetenz hinsichtlich der Verarbeitung überlässt, dass dieser selbst zum Verantwortlichen wird. Mit anderen Worten, der Auftragsverarbeiter ist, im Gegensatz zum Verantwortlichen derjenige, der nicht „allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung entscheidet“.

Ausschlaggebend ist demnach, wer von beiden tatsächlich über die Zwecke und Mittel der Verarbeitung entscheidet. Bei den allermeisten Maklerpools ist diese Waagschale eindeutig zur eigenen Verantwortlichkeit des Pools „hin gekippt“, denn dieser verarbeitet in der Regel freiwillig und eigenverantwortlich die Daten aus den Versicherungsvertragsverhältnissen, ohne großartig gegenüber dem akquirierenden Makler selbst ausschließlich Weisungsgebunden zu sein.

Zur Untermauerung dessen sollen die tatsächlichen Verhältnisse im üblichen Poolgeschäft einmal näher beleuchtet werden:

 

Tatsache 1

Rechtlich gesehen zieht der Pool die Versicherungsverträge an sich. Diese „gehören“ dann also nicht mehr dem akquirierenden Makler. Am ehesten ist das am Insolvenzfall eines Pools nachvollziehbar. Dann kann der Pool dem Makler im Vorfeld noch so viele (schuldrechtliche) Versprechungen gemacht haben, um ihn an sich zu binden. Im Pool-Insolvenzfall wird der Insolvenzverwalter die Vergütungen aus den Versicherungsverträge so schnell er nur kann in die Insolvenzmasse bringen. Der Makler hat dann keine Chance mehr, an vermeintlich „seine“ Verträge heranzukommen. Das vertragliche Versprechen, dass der Makler jederzeit seine Bestände haben kann, greift nicht mehr. Der Makler müsste zu seinem Kunden gehen und sich eine neue Vollmacht holen und den Kunden erneut umdecken. Dann ist aber meist die eine Hauptfälligkeit an Courtage weg, also in der Insolvenzmasse.

Zudem ist der Maklerpool in aller Regel umsatzsteuerbefreit. Nach dem hierfür einschlägigen § 4 Nr. 11 UStG sind die Umsätze steuerbefreit, welche aus der Tätigkeit von Versicherungsvermittlern (und Bausparkassen- und Versicherungsvertreter) stammen. Das heißt, die Tätigkeiten des Maklerpools entsprechen denen eines Versicherungsvermittlers.

Somit liegt dann aber denklogisch eine Eigenverantwortlichkeit des Pools (als Vermittler) vor, da er die Verträge an sich zieht und die Rolle des Vermittlers selbst ausfüllt und selbst zumindest mit-entscheidet. Wer selbst vermittelt, entscheidet auch selbst. Auch wenn es nur um das Entscheidungsrecht geht, nicht zu vermitteln. Aber ein Pool würde mit Sicherheit nicht eine Weisung des Maklers ausführen, die zu einer späteren Haftung führen könnte. Pools folgen also nicht allen Weisungen strikt und müssen es nach den Kooperationsverträgen mit den Maklern i.d.R. auch nicht.

 

Tatsache 2

Noch einleuchtender wird die Argumentation, dass der Pool kein Auftragsverarbeiter ist, wenn man sich vor Augen führt, dass der Pool in aller Regel eigenverantwortlich entscheidet, ob der vom Makler avisierte Versicherungsvertrag am Ende tatsächlich bei dem vom Makler ausgewählten Versicherer eingereicht wird. Der Pool kann also, zumeist vertraglich vereinbart, allein darüber entscheiden, ob der Auftrag des Maklers überhaupt umgesetzt wird. Manchmal entscheidet der Pool auch, dass ganze Kundenbestände auf einen anderen Versicherer umgedeckt werden. Hat der Pool aufgrund seiner Expertise eine bessere Möglichkeit für den Kunden gesehen, so kann er auch bei einem anderen Versicherer den Vertragsabschluss zum Wohle des Kunden herbeiführen. Oder es werden die Konditionen, der Versicherungsumfang oder die Versicherbarkeit von dem Pool mit dem Versicherer verhandelt. Wenn folglich der Pool eigene Deckungskonzepte anbietet, so ist er quasi selbstProduktgeber. Diese Tatsachen machen deutlich, dass der Makler es in aller Regel nicht einmal fest in der Hand hat, ob der Pool seinen Auftrag, so wie er es angetragen hat, strikt umsetzt, sondern der Pool ist der aktive Helfer!

 

Tatsache 3

Maklerpools bieten umfangreiche Dienstleistungen an, die er dem Makler nicht auf Geheiß erbringt, sondern von sich aus anbietet. Die allermeisten Maklerpools bieten dabei nicht nur bloße Unterstützungsdienstleistungen an, wie die Stellung eines Vergleichsrechners für die Internetseite des Maklers oder ein Back-Office, sondern eine sehr lange Liste an Dienstleistungen. Dazu gehören:

Bestandsoptimierung; Neukundenakquise mit Leads; Datenoptimierung; App-Lösungen; Stellung eines Maklerverwaltungsprogramms; persönliches Back-Office; Abrechnungsmodelle; Fortbildungen für Berater; Recherchetätigkeiten; Schadenfallunterstützung etc. etc.

Dem Makler geht es natürlich zuvorderst um die Teilnahme an den Konditionen, welche dieser Pool mit diesen und jenen Versicherungsgesellschaften ausgehandelt hat, oder um überhaupt den Marktzugang zu manchen Versicherern zu bekommen. Aber er bekommt zusätzlich eben noch weit mehr Dienstleistungen, völlig ohne, dass er dahingehend eine Weisung an den Pool ausgesprochen hätte. Geschweige denn, dass er diese Prozesse irgendwie steuert.

Wenn der Pool sogar über das „Ob“ entscheiden kann, dann ist die Weisungsgebundenheit so sehr eingeschränkt, dass nach den tatsächlichen Verhältnissen nicht mehr von einer Auftragsverarbeitung gesprochen werden kann.

Im Übrigen gibt auch die Größe und damit Verhandlungsstärke das Ergebnis nicht vor. Denn es kann auch Auftragsverarbeiter sein, wer kraft seiner Größe / Verhandlungsstärke nur einen vorgegebenen, standardisierten Leistungskatalog anbietet, von dem es kein Abrücken gibt. Entscheidend ist diesbezüglich nur, dass der Verantwortliche die Wahl hat, die vom Auftragsverarbeiter angebotenen Leistungen anzunehmen und nicht zum Vertragsschluss gedrängt wird. Da es am Markt genügend Maklerpools gibt und der einzelne Makler theoretisch immer wechseln könnte, ist die Marktgröße des Pools also kein Argument dafür, dass keine AVV abzuschließen ist.

 

Wenn der Pool kein Auftragsverarbeiter ist, was ist er dann?

Die DSGVO sieht ein neues Instrument vor, die sogenannte „gemeinsame Verantwortlichkeit“ nach Art. 26 DSGVO. Läge diese vor, so müsste der Makler mit dem Pool eine „Vereinbarung“ abschließen, in der sie gemeinsam festlegen, wer von ihnen welche DSGVO-Verpflichtung erfüllt. Verlangt wird für dieses Instrument also eine gemeinsame Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Jeder der gemeinsam Verantwortlichen muss einen steuernden und kontrollierenden Einfluss auf die gemeinsamen Verarbeitungen nehmen können.

Nach den oben dargestellten tatsächlichen Verhältnissen kann davon in den allermeisten Fällen nicht gesprochen werden. Der Pool stellt dem Makler eine Plattform zur Verfügung, z.B. eine Bestandsverwaltung mit Abrechnungssystem. Das kann der Makler natürlich nutzen, aber er hat keinen steuernden Einfluss auf die Inhalte. Zudem benutzen die Maklerpools in aller Regel ihr MVP selber zu eigenen weiteren Zwecken. Ohne steuernden Einfluss, wird dem Makler nur die Entscheidung über Nutzen oder Nicht-Nutzen gewährt. Es ist kein „Miteinander“ im Sinne von Art. 26 DSGVO. Demzufolge dürfte auch Art. 26 DSGVO in den allermeisten Maklerpool-Fällen nicht einschlägig sein.

 

Der Maklerpool ist eigener Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO

Wenn alle anderen Möglichkeiten nach oben Gesagtem ausgeschlossen sind, bleibt konsequenterweise nur noch eine Möglichkeit übrig. Der Maklerpool ist als eigenständiger Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO anzusehen, mit allen damit verbundenen Pflichten.

 

Maklerpool in Einwilligungserklärung benennen

„Wichtig ist, dass der Makler in seiner Datenschutzerklärung zum Maklervertrag die Einwilligung des Kunden in die Datenweitergabe an den Maklerpool einholt. Der Pool ist dabei mit Namen zu benennen, damit der Kunde transparent darüber informiert wird, wohin seine personenbezogenen Daten im Rahmen des Maklervertrages weitergegeben werden.“ (Rechtsanwalt Stephan Michaelis).

Damit sich der Makler nicht schadensersatzpflichtig macht, sollte in jedem Fall darauf geachtet werden, dass er in seiner Datenschutzerklärung zum Maklervertrag den Maklerpool, an welchen er angebunden ist, namentlich vollständig benennt. Dies gilt selbstverständlich auch dann, wenn der Makler eine AVV mit seinem Pool geschlossen haben sollte. Denn es ist nicht das eine oder das andere zu tun. Eine AVV befreit den Makler nicht davon, dass er einen Datenschutzverstoß begeht, wenn er im Poolgeschäft keine nachweisliche Einwilligung einholt und den Kunden nicht über die Einbindung des Pool informiert.

 

Fazit

In den allermeisten Fällen muss der Makler keine AVV mit dem Maklerpool abschließen. Wenn der Makler nicht aufpasst, entstehen auch noch nachteilige vertragliche Pflichten. Nur wenn der Pool sich auf reine Back-Office-Dienstleitungen, wie etwa  nur die Zurverfügungstellung eines MVP beschränkt und rechtlich auch keine Versicherungsverträge an sich gezogen hat, ist vielleicht eine AVV zu schließen. Dann liegt die Konstellation zugrunde, dass der Pool strikt die Weisungen des Maklers umzusetzen hat. Denn aus Sicht des Pools wird dieser ansonsten immer freiwillig und eigenverantwortlich tätig, ohne entscheidend und vollständig nach den Vorgaben des Maklers weisungsgebunden zu sein.

Viel wichtiger ist es, dass der Makler seine Kunden transparent darüber informiert, dass er personenbezogenen Daten des Kunden, insbesondere die besonderen personenbezogenen Daten, an den Maklerpool weitergeben wird. Dazu hat er sich die Einwilligung des Kunden einzuholen, auch wenn eine AVV vereinbart wurde!

[1] In diesem Artikel werden die neuen Begrifflichkeiten aus der DSGVO verwendet; legaldefiniert in Art. 4 DSGVO. Zur besseren Nachvollziehbarkeit: Verantwortlicher entspricht dem „alten“ Auftraggeber und Auftragsverarbeiter dem Auftragnehmer. Die „alten“ Begrifflichkeiten werden auch noch weiterhin in vielen neuen AVV verwendet.

„Zeitbombe“ in Arbeitsverträgen mit Arbeitnehmern mit Provisionsvergütung?

Hohe legale Gehaltserhöhung für Arbeitsnehmer im Versicherungsbereich, die (mit Stornoreservekonten abgesicherte) Provisionen vom Arbeitgeber erhalten, durch das Urteil des Bundesarbeitsgerichtes in  BAG 10 AZR 84/14 ?

Dr. Jan Freitag

Dr. Jan Freitag

Das Bundesarbeitsgericht hat nach der Revision des Unterzeichners am 21.01.2015 unter dem Aktenzeichen BAG 10 AZR 84/14 insoweit ein Stück deutsche Rechtsgeschichte geschrieben, als dass sich die in der Überschrift gestellte Frage stellt.

Sie stellt sich jetzt, Anfang des Jahres 2017, noch vehementer, weil es, nach der Zurückverweisung vom Bundesarbeitsgericht und nach dem zwischenzeitlichen Abschluss des Verfahrens nach Zurückverweisung durch das BAG zum vorinstanzlichen Landesarbeitsgericht und vieler Parallelverfahren auf Ebene der Landesarbeitsgerichtsbarkeit, zwar im Ergebnis, nicht aber in der Interpretation des BAG-Urteiles Rechtsklarheit gibt:

In manchen Arbeitsvertragskonstellationen könnte die Konsequenz aus dem genannten Urteil des Bundesarbeitsgerichtes sein, dass es für alle Arbeitnehmer, die solche laufenden Arbeitsverträge haben, um eine saftige Gehaltserhöhung geht.

Aus Arbeitgebersicht gilt es daher, gründlich zu prüfen, ob man nach dem Urteil des Bundesarbeitsgerichtes solche „Zeitbomben“ in den eigenen Arbeitsverträgen hat. Hierauf sollte dringend im Sinne der Personalkosten geachtet und ggf. gegengesteuert werden.

Aus Arbeitsnehmersicht stellt sich die Frage, ob man legal das Urteil des Bundesarbeitsgerichtes nutzt und um eine entsprechende Gehaltserhöhung kämpft.

Arbeitsrechtlich geht es um folgendes:

Das Bundesarbeitsgericht hat, neben einer deutlichen Erhöhung der Bearbeitungs- und Dokumentationslast für Arbeitgeber bei Stornierungen für von Arbeitnehmer vermittelten Versicherungen, zwei bisher nicht unübliche Klauseln in Arbeitsverträgen für unwirksam erklärt.

  1. Provisions- und Provisionsrückzahlungsklausel, BAG 10 AZR 84/14, RN 43-48

 Dem Bundesarbeitsgericht ging es um folgende, gleichlautende oder ähnliche Klauseln:

Voraussetzung für die (vorschüssige) Zahlung von Superprovision und Provision für Eigengeschäft ist, dass der Mitarbeiter die Provisionsbedingungen, insbesondere die Stornohaftungsbedingungen der einzelnen Gesellschaften anerkennt und als vertragsgemäß akzeptiert. Gleiches gilt für die Allgemeinen Provisionsbestimmungen der Gesellschaft. Die Gesellschaft wird das Prozedere hierzu noch festlegen und dem Mitarbeiter mitteilen.

Dem Bundesarbeitsgericht ging es ersichtlich um Transparenz von Arbeitsverträgen. Die Entscheidung, dass solche Klauseln unwirksam sind, ist eindeutig. Über die rechtliche Konsequenz wird jedoch noch gestritten:

Die Konsequenz aus dem Wortlaut der Entscheidung des Bundesarbeitsgerichtes muss nach einer Ansicht sein, dass die Rückforderungsklauseln in Arbeitsverträgen dann, wenn sie unwirksam sind und der Arbeitgeber eben die Provisions- und Stornohaftungsbedingungen dem Arbeitnehmer nicht vorgelegt hat, keine Rechtsgrundlage für die Rückforderung von Arbeitsvergütung im Falle einer Stornierung bieten.

 In der Konsequenz hätte der Arbeitnehmer also einen Provisionsanspruch, aber er wäre (wegen der unwirksamen Rückforderungsklausel und weil der Arbeitgeber keine Provisions- und Stornohaftungsbedingungen vorgelegt hat) nicht gefährdet, nach Stornierungen  Provisionen zurückzahlen zu müssen.

Die andere Auffassung vertritt die Ansicht, dass für den Arbeitgeber andere gesetzliche Rechtsgrundlagen zur Rückforderung der Provisionen bestünden, z.B. aus dem HGB (§ 87 Absatz 3 i.V.m. § 92 Absatz 2 und 3 HGB, § 87a Absatz 3 und § 92 Absatz 4 HGB seien zu beachten bzw. Grundlage) oder aus dem BGB (§ 812 BGB). Diese bestünden, als klare gesetzliche Regelungen, unabhängig von der Vorlage und Kenntnisnahme der Provisions- und Stornohaftungsbedingungen auf Arbeitnehmerseite.

Der Verfasser dieses Artikels vertritt die Auffassung, dass das zitierte Urteil des Bundesarbeitsgerichtes nur dann vollständig Sinn ergibt, wenn man der ersten Auffassung folgt. Sonst hätte das Urteil keine rechtliche Konsequenz. Zwar sind gesetzliche Rückforderungsansprüche, z.B. über das Bereicherungsrecht, nicht ausgeschlossen. Hier wird es aber nur um Ausnahmefälle, wie Missbrauch des Arbeitnehmers in der Vermittlung, gehen.

So führte auch das Bundesarbeitsgericht nach einer Frage des Unterzeichners in der mündlichen Verhandlung am 21.01.2015  aus, dass es davon ausginge, dass der Arbeitgeber bei einer Rückforderung von Vergütung vom Arbeitnehmer auch darlegen und beweisen müsse, wie er konkret die Provisions- und Stornohaftungsbedingungen dem Arbeitnehmer näher gebracht habe. Die Vorlage und Kenntnisnahme (inklusive Einverständnis) der Provisions- und Stornohaftungsbedingungen sind also offensichtlich für das Bundesarbeitsgericht Teil der geforderten Transparenz, wenn der Arbeitgeber Provisionsvergütung vom Arbeitnehmer zurückerlangen möchte.

Die Landesarbeitsgerichte (das Bundesarbeitsgericht hatte nach seinem zitierten Urteil zurückverwiesen bzw. war naturgemäß Grundlage für Entscheidungen von Landesarbeitsgerichten in Parallelverfahren) haben jedoch die Unbegründetheit der Rückforderung von Provisionen durch den Arbeitgeber nicht so begründet, wie der Verfasser es erwartet hatte. U.E. wäre naheliegend gewesen, die Klagen des Arbeitgebers nach dem BAG-Urteil abzuweisen, weil der Arbeitgeber die Provisions- und Stornohaftungsbedingungen dem Arbeitnehmer nicht vorgelegt hat. Die Landesarbeitsgerichte, die nach dem hier besprochenen Urteil des BAG entschieden haben, haben aber die Rückforderungsklagen des Arbeitgebers an den hohen Schlüssigkeitsforderungen, die das Bundesarbeitsgericht in seinem Urteil aufgestellt hat, scheitern lassen („deutlichen Erhöhung der Bearbeitungs- und Dokumentationslast für Arbeitgeber bei Stornierungen für von Arbeitnehmer vermittelten Versicherungen“).

  1. Stornoreservekonten in Arbeitsverträgen, BAG 10 AZR 84/14, RN 58, 60

Das Bundesarbeitsgericht hat außerdem folgende Klausel bezüglich Stornoreservekonten für unwirksam erklärt, die ebenfalls in der Praxis nicht unüblich sein dürften:

„Es werden 10 % der vom Mitarbeiter erwirtschafteten Provisionen – gleich welcher Art – einem unverzinslichen Sicherheitskonto gutgeschrieben, welches von der Gesellschaft verwaltet wird. Über diese Ansprüche kann der Mitarbeiter erst verfügen, wenn sich kein Vertrag mehr in der Stornohaftungszeit befindet und auch sonst keine Rückforderungsansprüche der Gesellschaft bestehen oder entstehen können.“

In diesem Punkt waren sich alle Prozessbeteiligten einig, dass die Konsequenz aus dem Urteil des Bundesarbeitsgerichtes bei solchen Klauseln sein dürfte, dass der Arbeitsnehmer, jedenfalls nach seiner letzten Abrechnung des Stornoreservekontos, das dort ausgewiesene bestehende Guthaben ausgezahlt bekommen muss.

So lauteten auch die dem BAG-Urteil folgenden Landesarbeitsgerichtsentscheidungen, die der Unterzeichner widerklagend erwirkt hat.

  1. Rechtliche Konsequenzen ?

Der „erste Zünder der Bombe“ wäre, sich auszumalen, dass der Arbeitnehmer Provisionsvergütung unabhängig von späteren Stornierungen immer voll behalten darf, weil (siehe Ziffer 1) wegen Unwirksamkeit der arbeitsvertraglichen Klausel der Arbeitgeber die Provision nicht mehr zurückfordern darf, sogar wenn er nachweisen könnte, dass es zu korrekten Stornierungen gekommen sei. Denn er hat wegen Nichtvorlage der Provisions- und Stornohaftungsbedingungen keine Rechtsgrundlage mehr (siehe oben).

Im Grunde wären Rückforderung von Provisionsvergütung von Arbeitnehmern ohne Vorlage und Einverständnis von Provisions- und Stornohaftungsbedingungen in der Sphäre des Arbeitnehmers immer unwirksam.

Im laufenden Arbeitsverhältnis würde dies für die Zukunft gelten und im Rahmen der Verjährungs- oder arbeitsvertraglichen Verfallfristen auch für bestimmte Zeiten in der Vergangenheit.

Dies wäre schon eine ordentliche Gehaltserhöhung, und zwar in der Höhe der Storno-Quote der vom Arbeitnehmer für den Arbeitgeber vermittelten Versicherungen.

Der „zweite Zünder der Bombe“ geht jedoch noch weiter:

Stornoreservekonten werden in der Praxis in laufenden Arbeitsverhältnissen im Kontokorrent geführt. Ein bestimmter Anteil des Gehaltes des Arbeitsnehmers (im BAG-Fall 10 %) wird in das Stornoreservekonto gebucht, davon werden laufend Stornierungen abgezogen, so dass sich ein Saldo zu Gunsten oder zu Lasten des Arbeitnehmers ergibt.

Wenn aber nun auch das Stornoreservekonto nach dem Bundesarbeitsgericht unwirksam ist (und wie im hier besprochenen BAG-Fall beide Klauseln vorhanden und unwirksam sind), hat der Arbeitnehmer denklogisch nicht nur Anspruch darauf, ein ggf. vorhandenes Guthaben sofort ausgezahlt zu bekommen und zukünftig weder Stornoreserve noch tatsächliche Stornierungen abgezogen zu bekommen, sondern der Arbeitgeber wäre auch bezüglich des in der Vergangenheit einbehaltenen Gehaltes im Stornoreservekonto ungerechtfertigt bereichert.

Im besprochenen BAG-Fall ginge es also um 10 % Gehaltserhöhung für die Zukunft und um eine sehr hohe Einmalzahlung (10 Prozent des Gehaltes seit Beginn des Arbeitsvertrages !), wenn die Storno-Quote höher wäre, sogar um noch mehr.

Denn die rechtliche Konsequenz wäre zusätzlich, dass der Arbeitnehmer für Jahre (denn durch das Kontokorrent dürfte auch die Verjährung oder ein arbeitsvertraglicher Verfall keine Rolle spielen) das einbehaltene Gehalt voll zurückbekommt, unabhängig von der Berechtigung jeder Stornierung.

Praktische Konsequenz wäre die vielleicht ein wenig provokativ bzw. martialisch klingende Überschrift und Zwischenüberschrift zu diesem Artikel.

Fazit:

Jedenfalls das Risiko der rechtlichen Konsequenz einer sehr hohen Gehaltserhöhung für alle Vertriebsangestellten im Versicherungsbereich, die arbeitsvertraglich in der vom Bundesarbeitsgericht kritisierten, in der Praxis aber nicht unüblichen Weise Vermittlungsprovisionen zugesichert bekommen haben, liegt auf der Hand.

Das Bundesarbeitsgericht hat die Klauseln für unwirksam erklärt. Der Eindruck des Verfassers ist, dass dem Bundesarbeitsgericht die rechtliche Konsequenz nicht vollständig bewusst war, was er auch aus den Erörterungen in der mündlichen Verhandlung vor dem Bundearbeitsgericht in Erfurt schließt.

Hintergrund war ersichtlich, dass es in dem vorliegenden Fall nicht darauf ankam, da es um ein lange (jenseits der Verjährungsfristen) beendetes Arbeitsverhältnis ging. Die rechtlichen Überlegungen des Bundesarbeitsgerichtes insgesamt (Unwirksamkeit derartiger Klauseln und „hohe Hürden“ für die Rückforderung von Provisionsvergütung) sind nach Überzeugung des Verfassers dieses Artikels in jedem Fall arbeitsrechtlich überzeugend. Von uns wurde in der Revisionsbegründung in eine ähnliche Richtung argumentiert.

Ob dieses Urteil des Bundesarbeitsgerichtes eine Dimension erhält, wie z.B. die Unwirksamkeit von Widerrufsklauseln in Darlehensverträgen, ist sicher noch nicht abzusehen. Jedoch ist jedem Arbeitnehmer und jedem Arbeitgeber dringend anzuraten, die eigenen Arbeitsverträge auf diesen Aspekt hin zu prüfen und Rechtsklarheit zu schaffen.

Dr. Jan Freitag, Fachanwalt für Arbeitsrecht, Kanzlei Michaelis Rechtsanwälte, Glockengießerwall 2, 20095 Hamburg, 040 88888 777, www.Kanzlei-Michaelis.de

Unsere Kanzlei, die ihren Mandanten-Schwerpunkt im Versicherungsbereich hat, bietet über ihre Rechtsanwälte anwaltliche Beratung in unterschiedlicher juristischen Disziplinen. Denn es gibt bei den Firmen-Mandanten nicht nur rechtlichen Fragestellungen zur eigenen Versicherungsvermittlung. Jede Firma kann rechtliche Probleme, z.B. mit ihren Arbeitnehmern oder im Wettbewerb, jede Firma kann z.B. arbeitsrechtliche oder gesellschaftsrechtliche Gestaltungswünsche haben.

Viele dieser Firmen nutzen die Kanzlei Michaelis Rechtsanwälte über eine monatliche Beratungspauschale als „externe Rechtsabteilung“.

Datenschutz-Grundverordnung (DSGVO) – Ein Leitfaden

von Rechtsanwalt Sebastian Karch, Kanzlei Michaelis Rechtsanwälte

Jeder Unternehmer in Deutschland sollte bis zum 25. Mai 2018 das Thema Datenschutz im Griff haben. Denn an diesem Tag endet die zweijährige Übergangsfrist, die den Unternehmern in der EU gewährt wurde, um sich an die neuen Datenschutz-Standards, welche der EU-Gesetzgeber mit der DSGVO aufstellt, anzupassen.

Das neue Datenschutz-Niveau ist aus deutscher Sicht zwar gar nicht viel höher, als das bisher im deutschen Bundesdatenschutzgesetz (BDSG) und diversen weiteren Einzelgesetzen (Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) usw.) verankerte Datenschutzrecht. Aber die deutschen Datenschutzbehörden haben in der Vergangenheit nicht alles sanktioniert/sanktionieren müssen. In der Praxis muss man wohl sagen, dass die kleinen und mittleren Unternehmen (KMU) den Datenschutz im Durchschnitt nicht ernst genommen haben und auch keinen großen Druck seitens der Datenschutzbehörden erfahren haben. Aber auch KMU verarbeiten personenbezogene Daten wie beispielsweise Name, Kontaktdaten, ggf. Gesundheitsdaten. Der Begriff der Verarbeitung beinhaltet sämtliche Arbeitsschritte wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Hierbei ist natürlich der sachliche Anwendungsbereich der DSGVO gemäß Art. 2 DSGVO zu berücksichtigen, der nur Verarbeitungen erfasst, die „ganz oder teilweise automatisiert“ stattfinden. Dies bedeutet aber auch, dass manuell erhobene Daten, die einer automatisierten Verarbeitung zugeführt werden sollen, bereits unter den Schutz der DSGVO fallen.

Ab 25. Mai 2018 werden die Behörden den KMU mehr Aufmerksamkeit widmen, da sie dann verpflichtet sind zu sanktionieren. Die Frage ist dann nur noch, in welcher Höhe der einzelne Verstoß geahndet wird.

Es bedarf daher einer guten Compliance-Strategie, um das neue Datenschutz-Niveau erfolgreich im Unternehmen zu integrieren. Dabei darf dies nicht als einmalige Anstrengung verstanden werden, sondern sollte als fortlaufende, jeden Unternehmensprozess durchziehende Anforderung verstanden werden.

Dringende Empfehlung! – bis 25. Mai 2018 wenigstens Kernthemen angehen

Das neue Datenschutz-Niveau bis zum Stichtag zu erreichen, wird vielen Unternehmern nicht gelingen. Umso wichtiger ist es, bis dahin unbedingt die Kernthemen angegangen zu haben. Denn das schlimmste was dem Unternehmer passieren kann, ist, wenn er am 25. Mai 2018 gar nichts vorweisen kann und damit nachweislich den Datenschutz nicht ernst nimmt. Die folgenden Punkte stellen die wichtigsten Kernthemen dar, mit denen sich bis dahin und natürlich darüber hinaus unbedingt beschäftigt werden sollte. Denn der Datenschutz ist keine einmalige Anstrengung, sondern ein Prozess!

I. 15 Punkte für eine gute Compliance-Strategie

Damit es nicht zum Bußgeld kommt, und jeder Unternehmer zum 25. Mai 2018 die Basics im Unternehmen etabliert hat, hier nun eine „Checkliste“, die dem Leser als Unterstützung bei dieser Aufgabe dienen soll.

1. Datenschutzbeauftragter (Art. 37 DSGVO)

Eine der ersten Fragen, die Sie sich als Versicherungsmakler stellen sollten, ist die, ob Sie einen Datenschutzbeauftragten (DSB) bestellen müssen bzw. freiwillig bestellen wollen.

a) Mitarbeiterzahl (Art. 37 Abs. 4 DSGVO i.V.m. § 38 Abs. 1 BDSG-neu)

Die Bestellpflicht wird zum einen ausgelöst, wenn im Unternehmen mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Welche Personen dies sind, ist irrelevant. Es zählt jeder Kopf, also auch jeder Praktikant und jede Teilzeitkraft, Azubi, Aushilfe, Schwangerschaftsvertretung etc.

b) „Kerntätigkeit“

Unabhängig von der Mitarbeiterzahl ist für den Versicherungsmakler aber die Bestellpflicht nach Art. 37 Abs. 1 Buchstabe c) DSGVO. Diese wird nämlich (unabhängig von der Mitarbeiterzahl!) ausgelöst, wenn die „Kerntätigkeit“ in der umfangreichen Verarbeitung besonderer Kategorien von Daten (u.a. Gesundheitsdaten und biometrische Daten, vgl. Begriffe in Art. 4 DSGVO) besteht.

Das bedeutet, dass es nicht auf die Mitarbeiterzahl ankommt, wenn z.B. Gesundheitsdaten „umfangreich“ in der „Kerntätigkeit“ verarbeitet werden!
Die Begriffe „Kerntätigkeit“ und „umfangreich“ sind sehr weit gefasst und lösen somit Unklarheiten aus. Aus dem Erwägungsgrund 97 zur DSGVO ergibt sich die Hilfestellung, dass sich die „Kerntätigkeit eines Verantwortlichen“ auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht. Eine klare Abgrenzung, wann die Bestellpflicht noch nicht ausgelöst wird, ist derzeit allerdings nicht möglich.

Zur Klärung der Frage, ob eine umfangreiche Verarbeitungstätigkeit vorliegt, ist am Ende jeder Einzelfall für sich zu betrachten. Entscheidungserhebliche Parameter, wie etwa die Kundenzahl sowie Art und Umfang der Verarbeitung von besonderen personenbezogenen Daten, dürfte von Versicherungsmakler zu Versicherungsmakler unterschiedlich ausfallen. Je kleiner das Unternehmen, umso mehr Argumente sollten für den Versicherungsmakler sprechen, dass keine Bestellpflicht ausgelöst wird. Je umfangreicher die Verarbeitung von „sensiblen“ Daten der Versicherungsnehmer, umso mehr Argumente sprechen für eine „umfangreiche“ Verarbeitung besonderer personenbezogener Daten.

In der derzeitigen Umbruchphase scheint es bezüglich der konkreten Fragstellung, ob der Versicherungsmakler unter die Bestellpflicht fällt oder nicht, überdies noch regionale Unterschiede je nach zuständige datenschutzrechtlichen Aufsichtsbehörden zu geben. Deshalb ist unbedingt darauf zu achten, was von der für Sie zuständigen Landesdatenschutzbehörde zu diesem Thema veröffentlicht wird.

Für einzelne Makler mag es hier daher einen gewissen Argumentationsspielraum geben, wenn kein DSB genommen wird. Diese Entscheidung, keinen DSB zu bestellen, sollte aber in jedem Fall mit Argumenten dokumentiert werden. Das unternehmerische Risiko besteht darin, dass die Datenschutzbehörde im Nachhinein zu dem Ergebnis kommen könnte, dass die Bestellpflicht gegeben ist. Entsprechend könnte dann die Nichtbestellung von der Behörde mit einem empfindlichen Bußgeld sanktioniert werden.

Bei Zweifeln über die Bestellpflicht, ist der sicherste Weg also die Bestellung eines Datenschutzbeauftragten. Wenn Sie sich zur Bestellung eines DSB entscheiden, so muss dieser bis zum Ablauf des Stichtags, den 25.05.2018, dem für Sie zuständigen Landesamt für Datenschutzaufsicht gemeldet werden.

c) Interner oder externer Datenschutzbeauftragter

Die Folgefrage ist, ob man einen internen Mitarbeiter zum Datenschutzbeauftragten ernennen soll oder sich lieber einen externen Datenschutzbeauftragten nimmt.
Ein interner Datenschutzbeauftragter wird im Rahmen seines Anstellungsverhältnisses für das Unternehmen tätig, ein externer Datenschutzbeauftragter aufgrund eines Dienstleistungsvertrages. Der externe Datenschutzbeauftragte ist also einfach auszutauschen, der interne Datenschutzbeauftragte nicht. Für die Qualifikation eines externen Datenschutzbeauftragten muss auch der Geschäftsführer nicht sorgen. Ein interner Datenschutzbeauftragter muss regelmäßig zu Fortbildungsmaßnahmen geschickt und somit von der Arbeit freigestellt werden. Der externe Datenschutzbeauftragte kostet das, was Sie mit ihm vereinbaren.

d) Verantwortlicher bleibt der Unternehmer

Nur um es einmal klar gesagt zu haben. Die Datenschutzpflichten des Unternehmers können nicht auf einen Datenschutzbeauftragten abgewälzt werden. Der Verantwortliche bleibt der Unternehmer. Der Datenschutzbeauftragte muss ihn „lediglich“ darauf hinweisen, was im Unternehmen in Sachen Datenschutz gemacht werden sollte. Die Umsetzung verbleibt Sache des Unternehmers.

2. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Das Verarbeitungsverzeichnis ist der Dreh- und Angelpunkt der Datenschutz-Compliance und es ist Pflicht ein solches anzulegen und vorzuhalten! Mit dem Verzeichnis ist nachzuweisen, wie in Ihrem Unternehmen der Datenschutz beachtet wird. Es dient als Nachweis einer DSGVO-konformen Datenverarbeitung und der Vermeidung von Haftungsfällen. Die Pflicht zum Vorhalten eines Verarbeitungsverzeichnisses resultiert aus dem Grundsatz der Rechenschaftspflicht (Art. 5 DSGVO).

Einzelheiten

Das Verarbeitungsverzeichnis kann in schriftlicher oder elektronischer Form angelegt werden und muss folgende Pflichtangaben enthalten:

Name und Kontaktdaten des Verantwortlichen und ggfs. dem Datenschutzbeauftragten, Zwecke der Verarbeitung, Beschreibung der Kategorien betroffener und personenbezogener Daten, Auskunft, ob die Daten in ein Drittland übermittelt werden, Löschfristen sowie eine Beschreibung der getroffenen TOMs.

Vorlagen für Verarbeitungsverzeichnisse gibt es dieser Tage viele, da es keine formelle Vorgabe gibt. Zu empfehlen sind z.B. die vom BDVM (Bundesverband Deutscher Versicherungsmakler e.V.). Auf einem Vorblatt sind folgende Pflichtangaben auszufüllen:

– Angabe zum Verantwortlichen bzw. Auftragsverarbeiter;
– Angaben zu ggf. einem weiteren gemeinsamen Verantwortlichen bzw. Auftragsverarbeiter;
– Angaben zum Vertreter des Verantwortlichen bzw. des Auftragsverarbeiter
– Angaben zur Person des Datenschutzbeauftragten
und auf dem Hauptblatt, was am einfachsten per Excel-Tabelle erstellt wird, werden zu jedem einzelnen Verarbeitungsvorgang die Pflichtangaben des Art. 30 DSGVO abgearbeitet:

– Benennung des Verarbeitungsvorgangs;
– Datum der Einführung und Datum der letzten Änderung;
– Benennung der verantwortlichen Fachabteilung im Unternehmen;
– Angabe des Zwecks der Verarbeitung, z.B. Terminabsprache, Beratungsgespräch;
– Rechtsgrundlage: regelmäßig der Maklervertrag: Art. 6 Abs. 1 Buchst. b) DSGVO oder eine Einwilligungserklärung des betroffenen: Art. 6 Abs. 1 Buchst. a) DSGVO;
– Beschreibung der Kategorien betroffener Personen: z.B. Interessenten, Kunden;
– Beschreibung der Kategorien von personenbezogenen Daten
– Beschreibung der Kategorien von Empfängern, ggü. denen die personenbezogenen Daten offen gelegt werden: intern und extern
– Mitteilung, ob personenbezogene Daten in ein Drittland oder an eine internationale Organisation weitergegeben werden: Wenn ja, dann konkrete Benennung
– Fristen für die Löschung der Daten benennen
– Benennung der technisch- organisatorischen Schutzmaßnahmen (TOMs), die jeweils getroffen werden

Wenn im Unternehmen bereits ein Verfahrensverzeichnis nach BDSG existiert, so kann dies wunderbar als Vorlage genommen werden und ist lediglich um die o.g. neuen Anforderungen zu ergänzen.

3. Datenschutz-Folgenabschätzung (DSFA), Art. 35 DSGVO

Die Datenschutz-Folgenabschätzung steigert das Niveau noch einmal. Dies entspricht der alten „Vorab-Analyse“. Es gilt also bei neuen automatisierten Prozessen vorab zu prüfen, ob der eigene Umgang mit den Daten des Betroffenen voraussichtlich ein hohes Risiko für dessen persönliche Rechte und Freiheiten darstellt. Als Konsequenz der Feststellung eines hohen Risikos ist dieses vor der Datenverarbeitung durch Maßnahmen zu minimieren oder die zuständige Aufsichtsbehörde zu konsultieren und mit dieser abzustimmen, wie Sie sich zu verhalten haben.

Als Anhaltspunkte, wann Sie von einer Pflicht zur DSFA ausgehen sollen, hat die „Artikel 29-Datenschutzgruppe“ (Gremium auf EU-Ebene) u.a. folgende Fälle benannt:

– Verarbeitung sensibler Daten (z.B. Gesundheitsdaten)
– umfangreiche Verarbeitungsvorgänge
– Verwendung neuer Technologien
– zusammengeführte oder kombinierte Datensätze
– Datentransfers außerhalb der Europäischen Union

Für gleichgelagerte Fälle reicht es aus, wenn nur einmal eine DSFA getroffen wird.
Als weitere Hilfestellung sollte eigentlich eine sogenannten „Black-List“ von Behördenseite zur Verfügung gestellt und in dieser die Prozesse bewertet werden, bei welchen eine Datenschutzfolgeabschätzung durchgeführt werden muss. Diese liegt aktuell jedoch noch nicht vor, sodass noch unklar ist, wann die Pflicht definitiv greift.

4. Technisch-organisatorische Maßnahmen (TOM)

Die Technisch-Organisatorischen Maßnahmen beschreiben, wie in Ihrem Unternehmen die Sicherheit Ihrer Daten gewährleistet ist. Sie sind Grundlage für das Sicherheitsniveau beim Beschreiben Ihrer Verarbeitungstätigkeiten.
Denn der Unternehmer hat Schutzmaßnahmen zu treffen, damit die personenbezogenen Daten seines Kunden nicht verloren gehen oder unbefugten Dritten in die Hände fallen. Dafür ist es ausreichend, dass ein „angemessenes“ Schutzniveau eingerichtet wird, welches an den Risiken im Falle des Datenschutzverstoßes festzumachen ist. Damit wird dem DSGVO-Grundsatz der „Integrität und Vertraulichkeit“ (vgl. Art. 5 Abs. 1 Buchst. f DSGVO) entsprochen.

Mit „angemessenes Schutzniveau“ hat man es allerdings wieder mit einem sogenannten unbestimmten Rechtsbegriff zu tun, der interpretationsfähig ist. Auch an dieser Stelle wird aber an den gesunden Menschenverstand appelliert. Wer beispielsweise sensible Kundendaten über WhatsApp versendet, hat offensichtlich keine Schutzmaßnahme getroffen. Stellen Sie sich also immer die Frage, ob Sie die Integrität, Vertraulichkeit, Verfügbarkeit und Belastbarkeit der Datenverarbeitung beim einzelnen Verarbeitungsvorgang durch entsprechende Schutzmaßnahmen beachten. Es gilt für jeden einzelnen Verarbeitungsvorgang zu prüfen, ob dazu eine „angemessene“ TOM getroffen wurde.
Die Verschlüsselung ist neben der Pseudonymisierung, die für Versicherungsmakler eher keine Option ist, eine gute Schutzmaßnahme. Dem Kunden sollte immer die Wahl gelassen werden, ob er die verschlüsselte Kommunikation wünscht oder in die unverschlüsselte Kommunikation einwilligt.

Überdies soll gewährleistet werden, dass die Daten auch nach eventuellen Zwischenfällen wieder rasch verfügbar sind. Dies Alles soll stets auf dem aktuellen Stand der Technik erfolgen. Was unter „Stand der Technik“ genau zu verstehen sein soll, ist zwar nicht klar definiert, aber so zu verstehen, dass keine stark veraltete Software oder Software mit bekannten Sicherheitslücken verwendet werden soll. Tagesaktuelle Software hingegen muss nicht vorgehalten werden. Es gilt auch hier das sogenannte „Augenmaßprinzip“ von Behördenseite einzuhalten.

Behalten Sie diese Begrifflichkeit bitte im Blick, um eventuelle Verschärfungen bei der Auslegung zeitnah mitzubekommen. Informieren können Sie sich z.B. beim Bundesministerium des Inneren (BSI), welches zu den Mindeststandards für den Einsatz von Verschlüsselungsprotokollen regelmäßig Veröffentlichungen publiziert.

5. Einwilligungserklärungen überprüfen und ggfs. neu einholen

Neben dem Versicherungsmaklervertrag als solchem empfiehlt sich immer auch die Einholung von Einwilligungen der Kunden in die Datenverarbeitungsvorgänge. Die Einwilligung stellt dann eine eigene Rechtsgrundlage dar. Beispielsweise sollte für die Zusendung von Werbung immer eine separate Einwilligung eingeholt werden, um nicht Gefahr zu laufen unter das „Kopplungsverbot“ zu fallen. Das heißt es sollen keine Sachen miteinander gekoppelt werden, die miteinander nichts zu tun haben. Ihr Kunde muss also die Möglichkeit eingeräumt bekommen, den Versicherungsmaklervertrag mit Ihnen zu schließen, ohne dass er in die Zusendung von Werbung einwilligen muss.

Alt-Einwilligungen sind nicht per se veraltet. Sie sind auch über den 25. Mai hinaus noch wirksam. Allerdings nur, wenn Sie den DSGVO-Standard erfüllen. Dies erfüllen sie regelmäßig nicht, wenn z.B. kein Hinweis auf das Widerrufsrecht enthalten ist. Im Einzelfall empfiehlt sich also immer die diesbezügliche juristische Prüfung von Alt-Einwilligungen.

6. Auftragsdatenverarbeitungsvereinbarungen abschließen, Art. 28 DSGVO

Sie können und sollten als Verantwortlicher mit Ihren diversen Dienstleistern (Auftragsverarbeiter) sogenannte Auftragsdatenverarbeitungsvereinbarungen/-verträge (abgekürzt „AVV“ oder „ADV“) abschließen bzw. bereits bestehende Verhältnisse überprüfen (lassen).
Ob eine Auftragsdatenverarbeitung vorliegt oder nur eine Funktionsübertragung (Verarbeitung der Daten als eigene verantwortliche Stelle), die keine ADV rechtfertigt, muss für jeden Einzelfall geprüft werden. Als Faustregel sollte hierzu überlegt werden, ob Ihr Unternehmen personenbezogene Daten an einen Dienstleister weisungsgebunden weitergibt, damit dieser eine bestimmte Aufgabe für Sie erfüllt. Wenn der Dienstleister hingegen auch ein Eigeninteresse an der Datenverarbeitung hat und auch eigenverantwortlich agiert, wie bspw. oftmals ein Maklerpool, so spricht dies gegen eine Auftragsdatenverarbeitung. Natürlich ist hier die Prüfung des Einzelfalles notwendig, da es auch Maklerpools gibt, die als Auftragsdatenverarbeiter tätig werden und selbst mit eigenen IT-Töchtern im Auftragsdatenverhältnis zusammenarbeiten. Im Zweifel müssen Sie den Maklerpool konsultieren.

Der Klassiker einer Funktionsübertragung liegt in der Beauftragung von Rechtsanwälten oder Steuerberatern. Hier kann ebenfalls keine Auftragsdatenverarbeitung vorliegen.
Klassische Anwendungsfälle für eine ADV sind somit Verträge mit IT-Servicefirmen.

7. Rechte der Betroffenen (Kapitel 3 DSGVO)

Sämtliche Betroffenenrechte müssen vollumfänglich beachtet werden. Nicht, oder verspätet zu reagieren, kann zu ernsthaften Konsequenzen führen.

a) Informationsrecht

Die betroffenen Personen müssen vom Unternehmer über deren Rechte transparent informiert werden. Die Informationsrechte sind umfangreicher als früher, weshalb gerade Datenschutzbestimmungen auf Webseiten überarbeitet werden sollten. Zu informieren ist u.a. über:

– Name/Kontaktdaten des Verantwortlichen
– Name/ Kontaktdaten des Datenschutzbeauftragten
– Art der verarbeiteten Daten
– Zweck der Datenverarbeitung
– Art der Personen, deren Daten verarbeitet werden
– Information darüber, ob Daten an Dritte weitergegeben werden
– Information darüber, ob Daten in ein Drittland übermittelt werden
– Angabe von Löschfristen
– Informationen über die Rechte des Betroffenen in leicht verständlicher Form
– Aufklärung über das Recht auf Widerruf der Einwilligung
– Aufklärung des Betroffenen, dass er sich bei Datenschutzbehörde beschweren kann

b) Auskunftsrecht (Art. 15 DSGVO)

Etwaigen Auskunftsansprüchen ist „unverzüglich“ nachzukommen. Die Daten müssen also so im Unternehmen vorgehalten werden, dass sie sofort dem einzelnen Betroffenen zuordenbar sind.

c) Berichtigungsrecht (Art. 16 DSGVO)

Sollte nach Auskunftserteilung der Betroffene Sie darauf hinweisen, dass Fehler in seinen personenbezogenen Daten sind, müssen diese berichtigt werden.

d) Recht auf Löschung (Art. 17 DSGVO)

Sollte der Betroffene die Löschung seiner personenbezogenen Daten verlangen, empfiehlt es sich immer zwei Dinge zu prüfen.
Ist derjenige, der den Löschungsanspruch stellt auch wirklich die betroffene Person. Wenn nicht, würden Sie gerade durch die Löschung einen Datenschutzverstoß begehen.
Weiterhin ist zu prüfen, ob die Daten, statt zu löschen, gesperrt werden können. Denn nur dann können Sie sich später noch gegen etwaige Ansprüche, z.B. wegen Falschberatung, effektiv wehren. Die ehemalige „Sperrung“ heißt jetzt übrigens „Recht auf Einschränkung der Datenverarbeitung“ und ist in Art. 18 DSGVO geregelt.

e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Gänzlich neu ist, dass der Unternehmer die personenbezogenen Daten derart vorhalten muss, dass sie in einem gängigen Datenformat (z.B. pdf, Excel, csv-Datei) übertragen werden können. Hintergrund dieser Regelung ist der, dass der Betroffene die Kontrolle über seine Daten behalten soll. Wenn er beispielsweise von einem Sozialen Netzwerk oder Cloud-Anbieter zu einem anderen wechseln will, so soll er seine Daten schnell und unkompliziert beim ersten Anbieter abziehen und dem neuen zur Verfügung stellen können.

f) Widerspruchsrecht (Art. 21 DSGVO)

Für Direktwerbung besitzt der Betroffene ebenfalls ein eigenes Widerspruchsrecht. Macht er davon Gebrauch, sollte er tunlichst auch keine Werbung mehr erhalten.

8. Internes Datenschutzkonzept erstellen

Dies ist eigentlich ein Selbstläufer. Wenn man sich als Unternehmer die Mühe macht, sich intensiv mit dem Datenschutzrecht zu befassen, müssen natürlich zwangsläufig dabei Entscheidungen getroffen werden, bspw. Welche Daten erhebe ich bei der Neu-Kundenakquise, um nicht zu viele Daten zu erheben („Datenminimierungsgrundsatz“) oder wann werden welche Daten gelöscht/gesperrt oder welche Mitarbeiter haben auf welche Daten wann Zugriff (TOMs) usw. Diese ganzen Entscheidungen zu durchdenken und zu dokumentieren kann dann „Datenschutzkonzept“ betitelt werden. Wichtig ist eigentlich nur, dass es auch gemacht wird.

Dazu gehört auch, dass „Privacy-by-Design“ und „Privacy-by-Default“ im Unternehmen etabliert werden. Das bedeutet nichts anderes als „Datenschutz durch Technikgestaltung“ bzw. „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Die technischen Voreinstellungen sollen also immer zu Gunsten des Kunden, d.h. zum Schutz seiner Daten, eingestellt sein.

9. Rechenschaftspflicht nachkommen

Nicht nur gegenüber den betroffenen Personen hat der Unternehmer Rechenschaft über die Datenverarbeitung abzugeben. Vor allem die Rechenschaftspflicht gegenüber den zuständigen Behörden ist nachzukommen, um Bußgelder zu vermeiden.

An dieser Stelle seien noch einmal die Maximalstrafen genannt. Wo vorher Bußgelder in Höhe von „nur“ bis zu EUR 300.000,- verhängt werden durften, dürfen Behörden nun theoretisch bis zu 20 Mio. Euro bzw. 4% des Jahresumsatzes bei „schweren“ Verstößen und bis zu 10 Mio. Euro bzw. bis zu 2% des Jahresumsatzes bei „leichten“ Verstößen verhängen.

Als leichter Verstoß gilt z.B. die Nichtbestellung eines Datenschutzbeauftragten, obwohl eine Pflicht zur Bestellung besteht. Als schwerer Verstoß kann eigentlich jede Verletzung der Grundsätze der DSGVO gewertet werden, also z.B. wenn der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nicht nachgekommen wird oder eine Datenverarbeitung ohne Rechtsgrundlage stattfindet. In Art. 5 DSGVO sind übrigens alle Grundsätze abschließend aufgezählt, die ausnahmslos und jederzeit zu beachten sind.
Bei der Verhängung von Bußgeldern, haben die Behörden natürlich weiterhin mit Augenmaß zu agieren. Werden Geldbußen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so sollte die Aufsichtsbehörde bei der Erwägung des angemessenen Betrags für die Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedsstaat und der wirtschaftlichen Lage der Person Rechnung tragen (Erwägungsgrund 150 zur EU DSGVO). Dem Willen des EU-Gesetzgebers folgend, sind sie aber dazu angehalten abschreckend und empfindlich zu ahnden.

10. Cyber-Risk-Versicherung abschließen?

Man kann sich zwar nicht generell dagegen versichern lassen, dass eigene Datenschutzverstöße von einer Versicherung getragen werden. Aber immerhin gibt es Cyber-Risk-Versicherungen, um sich gegen Datenschutzverstöße aufgrund von Cyberattacken auf das eigene Unternehmen, versichern zu lassen. In der Regel ist der jährliche Versicherungsbeitrag ein verhältnismäßig kleiner Aufwand, um sich gegen ein großes Risiko im Unternehmen zu versichern.

11. Mitarbeiterschulungen

Es besteht die Pflicht zur Mitarbeiterschulung. Einmal im Jahr ist ausreichend. Es empfiehlt sich aber solche Schulungen regelmäßig durch qualifizierte Referenten durchführen zu lassen. Denn letztlich sind es die Mitarbeiter, die die häufigsten Datenschutzverstöße verursachen, nicht unbedingt die Cyber-Angriffe von außen. Der Klassiker ist hierbei das Versenden einer E-Mail mit personenbezogenen Daten Ihres Kunden an einen falschen Empfänger. Schon ist ein Datenschutzverstoß begangen. Da hilft auch kein Standard-Disclaimer unter der E-Mail-Signatur. Umso wichtiger ist es, dass für solch einen vorhersehbaren Datenschutzverstoß den Mitarbeitern Regelungen an die Hand gegeben werden, wie sie sich in diesem Fall zu verhalten haben. Wer muss intern darüber informiert werden? Wer ist dessen Vertretung? Wer informiert den betroffenen Kunden? Wer entscheidet, ob der Vorfall so schwer wiegt, dass die Datenschutzbehörde informiert werden muss?; Stichwort: 72 Stunden Meldepflicht!

Natürlich empfehlen sich auch externe Schulungen von Dienstleistern zu diesem Thema. Am Ende muss im Unternehmen das Datenschutzniveau auf DSGVO-Standard gebracht werden. Dies ist keine einmalige Anstrengung, sondern ein dauerhafter Prozess.

12. IT / EDV auf „aktuellen Stand der Technik“ bringen

Art. 25 DSGVO schreibt es ausdrücklich vor. Der Datenschutz ist durch Technikgestaltung und datenschutzfreundliche Voreinstellungen auf dem Stand der Technik zu gewährleisten. Einzig eine Definition, was denn der Gesetzgeber mit „Stand der Technik“ genau meint, fehlt leider.

Versetzen Sie sich auch hier in die Lage eines Prüfers bei der Behörde, der Ihr Unternehmen als Fall auf seinen Tisch bekommt und sich die Frage stellen muss, ob Ihr Unternehmen auf dem Stand der Technik Datenverarbeitung durchführt. So können Sie selbstkritisch selbst einschätzen, ob Sie an dieser Stelle DSGVO-konform sind oder nicht.

13. Fortentwicklung des Datenschutzrechts / Meldungen der Aufsichtsbehörden verfolgen

Es sollte gerade in den ersten Monaten nach Wirksamwerden der DSGVO in Deutschland verfolgt werden, wie sich zu einzelnen Fragen seitens der Behörden geäußert wird. Das neue Gesetz muss sich erst „einschleifen“ und konkrete Einzelfragen werden naturgemäß erst im Laufe der Zeit geklärt werden.
Nicht zu vergessen ist in diesem Zusammenhang, dass der EU-Gesetzgeber in der DSGVO für alle EU-Mitgliedstaaten bewusst Öffnungsklauseln im Gesetzeswerk gelassen hat, welche durch die nationalen Gesetzgeber eigenständig im Detail zu regeln sind. In Deutschland hat sich der Gesetzgeber diese Chance nicht nehmen lassen und ein neues Bundesdatenschutzgesetz erarbeitet, dass ebenfalls am 25.05.2018 in Kraft treten wird. Interessanterweise ist dieses neue BDSG, welches nur Lücken der DSGVO schließen sollte, umfangreicher geworden, als das alte BDSG, welches bis dahin das datenschutzrechtliche Grundwerk in Deutschland gewesen ist.

14. Meldefrist

Bereits unter Punkt 11 erwähnt, aber aufgrund der Wichtigkeit auch noch einmal gesondert aufgeführt, ist die Pflicht gemäß Art. 33 DSGVO, einen Datenschutzverstoß gegenüber der gemäß Art. 55 DSGVO zuständigen Datenschutzbehörde innerhalb von 72 Stunden ab Kenntniserlangung zu melden. Die Meldepflicht gilt allerdings nicht, wenn Sie nach Prüfung des Vorfalls zu dem Schluss kommen, dass die Verletzung beim Betroffenen voraussichtlich nicht zu einem Risiko für dessen Rechte und Freiheiten führt. Jeder einzelne Verstoß ist also dahingehend zu prüfen, ob dieser zu melden ist. In jedem Fall ist er zu dokumentieren zusammen mit den ergriffenen Maßnahmen, um zukünftige Verstöße dieser Art zu unterbinden.
Bei Datenschutzverstößen laufen sehr kurze Meldefristen. Deshalb ist unbedingt zu empfehlen, den Ablauf im Unternehmen vorher zu durchdenken. Es ist festzulegen, welche Abläufe wann in Gang gesetzt werden sollen. Vor allem den Verantwortlichen im Unternehmen zu benennen, dem der einzelne Vorfall zur Prüfung vorzulegen ist. Schon allein die nicht rechtzeitige Meldung des Verstoßes kann ein Bußgeld nach sich ziehen.
Beim Vorliegen eines Datenschutzverstoßes trifft Sie daneben unter Umständen auch die Pflicht zur Information des Betroffenen, dessen Rechte ja verletzt wurden.
Es empfiehlt sich die Verwendung eines Mustervordrucks „Meldung Datenpanne“, der bereits vorgehalten werden sollte und dann nur noch abgearbeitet werden muss. In dem Meldeformular müssen die in Art. 33 Abs. 3 DSGVO genannten Informationen enthalten sein.

15. Dokumentation

Die Rechenschaftspflicht ist ein Grundsatz der DSGVO, dem unbedingt Folge zu leisten ist. Daher ist es in keinem Fall schädlich Datenverarbeitungsprozesse, wie auch immer, im Unternehmen zu dokumentieren. Gerne kann dann im Verarbeitungsverzeichnis auf diese Dokumentation, wie auch immer sie aussehen mag, verwiesen werden. Somit kommen Sie der Verpflichtung nach, die Maßnahmen der Datensicherheit im Verarbeitungsverzeichnis zu beschreiben.

Fazit

Auch der Versicherungsmakler, wie alle Unternehmer in Deutschland, steht in der Pflicht zur Einhaltung des Datenschutzes. Dabei stellt der Versicherungsmaklervertrag stets die Rechtsgrundlage für die Verarbeitung dar (Art. 6 Abs. 1 Buchst. b) DSGVO). Zudem sollten Einwilligungen in die Verarbeitung der Daten von den Kunden eingeholt werden und geprüft werden, ob mit Dienstleistern ein Auftragsdatenverarbeitungsvertrag (ADV/AVV) abzuschließen ist. Die Dokumentation aller datenschutzrechtlichen Anstrengungen ist zu empfehlen. Ein Verarbeitungsverzeichnis muss unbedingt erstellt werden!

Um den Nachweispflichten nachzukommen müssen also diverse Dokumente erstellt werden. Wir empfehlen Ihnen dazu die Nutzung des von uns vertriebenen „Care-Pakets“ von „HMDATA“. Dieses ist für einen geringen Endpreis über folgenden Online-Shop direkt zu erwerben und enthält neben Erläuterungen vor allem Muster für alle relevanten Standard-Datenschutzprozesse.

https://hmdata.shop.epages.de/p/care-paket-dsgvo-fuer-mandanten-der-kanzlei-michaelis-download

Courtageplus: Wie Servicegebühren zum Rettungsanker werden

Quelle: Artikel veröffentlicht am 20.04.2018 auf http://www.procontra-online.de von Stefan Terliesner

Beim Thema Servicegebühren fehlt den meisten Vermittlern noch der Mut. Dabei räumt der Gesetzgeber genügend Freiheiten ein, das schwindende Courtageniveau zu kompensieren. Experten sehen hier hohes Potenzial.

Für einen Juristen sind die an Makler gerichteten Worte eindeutig: „Lassen Sie sich mehr Services vergüten. Seien Sie frei in der Gestaltung, wann Sie wofür Geld beim Kunden nehmen. Sie dürfen Dienstleistungen an Verbraucher verkaufen, wenn jene nichts mit der Vermittlung zu tun haben. Für die Vermittlung bekommen Sie Courtage. Für den Service können Sie eine Gebühr verlangen. Nach oben gibt es kaum Deckelungen, es sei denn, Ihre Forderung ist Wucher.“

Den ganzen Artikel weiterlesen:

Teil 1
Teil 2

Unter http://www.app-riori.de/ werden Servicevereinbarungen als Muster angeboten