Sebastian Karch

Datenschutzverstöße, die weh tun

Der Schmerzensgeldanspruch aus Art. 82 DSGVO

von Rechtsanwalt Sebastian Karch (Kanzlei Michaelis)

SebastianKarch

SebastianKarch

In aller Munde waren und sind die hohen Bußgelder, welche Art. 83 DSGVO mit sich gebracht hat und damit den bis Mai diesen Jahres wenig beachteten Datenschutz aus dem Schattendasein ins Rampenlicht gezogen hat. Was dabei aber gerne übersehen wird, ist die andere finanzielle Sanktionsnorm aus der DSGVO:

Der Schadensersatzanspruch für Jedermann. Der Art. 82 DSGVO.

Zunächst, was steht im Art. 82 DSGVO?

Art. 82 DSGVO ist eine eigenständige datenschutzrechtliche Haftungsnorm für zivilrechtlichen Schadensersatz, welche selbständig neben vertraglichen, deliktischen oder sonstigen Ansprüchen steht. Gemäß Absatz 1 der Norm „hat jede Person, die wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder Auftragsverarbeiter.“

Im Vergleich zum alten § 7 BDSG ermöglicht die DSGVO dem Betroffenen also jetzt neu auch die Geltendmachung von nicht bezifferbaren immateriellen Schäden.

Was bedeutet das konkret?

Der Anwendungsbereich der Norm ist extrem weit. Es wird lediglich die Geltendmachung eines Schadens aus einem schuldhaften datenschutzrechtlichen Pflichtenverstoß vorausgesetzt. Die allermeisten deutschen Unternehmer haben dieses Jahr früher oder später die Erkenntnis gewonnen, dass sie wohl aktuell noch nicht vollständig DSGVO-konform agieren.

Diesbezüglich wird noch einmal auf die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO und Art. 24 DSGVO) hingewiesen, wonach jeder, der über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, also Verantwortlicher ist, die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze nachweisen können muss. Die Nachweispflicht für ein datenschutzrechtlich richtiges Verhalten ist auch noch einmal explizit in Art. 82 Abs. 3 DSGVO selbst genannt.

Das Vorliegen eines Datenschutzverstoßes und das Verschulden des Verantwortlichen / Auftragsverarbeiters, ist schnell behauptet. Ob sich dann seitens des Unternehmens exkulpiert werden kann, hängt von dessen DSGVO-Konformität ab. Kann er dies nicht und weist der Betroffene, dessen Daten der Verantwortliche oder Auftragsverarbeiter nicht DSGVO-konform verarbeitet hat, nach, dass daraufhin ein konkreter bezifferbarer Schaden entstanden ist (materieller Schaden), so kann er diesen in Geld ersetzt verlangen. Soweit so klar. Aber was blüht dem Verantwortlichen / Auftragsverarbeiter, wenn der Betroffene einen immateriellen Schaden, sprich Schmerzensgeld, geltend macht?

Beispiele für „emotional distress“:

Als ein Beispiel ist die Pflicht zur Verschlüsselung auf Webseiten zu nennen. Dies hat nichts mit der Einführung der DSGVO zu tun, sondern ist schon seit Jahren Pflicht in Deutschland (§ 13 Abs. 7 TMG). Der Webseitenbetreiber muss also eine Verschlüsselung auf seiner Webseite installiert haben, insbesondere wenn er ein Kontaktformular oder Newsletter anbietet, welches vom Webseitenbesucher die elektronische Übermittlung seiner personenbezogenen Daten verlangt. Ist hier keine entsprechende Schutzmaßnahme getroffen worden, wie etwa durch die Verwendung eines anerkannten Verschlüsselungsverfahrens (SSL oder TLS), so stellt dies einen erheblichen Datenschutzverstoß dar. In solchen Fällen sollen bereits zwischen EUR 6.500,- bis 12.500,- an Schmerzensgeld verlangt worden sein. Völlig losgelöst davon wäre bei einem derart gravierenden Datenschutzverstoß auch ein Bußgeld fällig, was vermutlich noch deutlich höher ausfallen dürfte. Derartigen Abmahnungen kann man aus Unternehmersicht noch relativ entspannt gegenübertreten, da meist schon nicht sauber begründet wurde, worin denn eigentlich der Seelenschmerz liegen soll, wenn der Betroffenen selbst sehenden Auges das unverschlüsselte Kontaktformular mit seinen Daten gefüttert hat. Je mehr Abmahnungen dieser eine Betroffene daraufhin verschickt hat, desto leichter ist nachzuweisen, dass dies nur eine Masche vom Betroffenen ist, um Geld einzufordern. Erste Gerichtsentscheidungen hierzu werden Klarheit verschaffen, was dem Betroffenen an Ausgleich zusteht bei derart offensichtlichen Datenschutzverstößen.

Als weiteres Beispiel sind fehlerhafte oder nicht vorhandene Löschkonzepte und der falsche Umgang mit Löschanfragen der Betroffenen zu nennen. Hierbei gilt es gewisse Fristen zu beachten. Antwortet der Verantwortliche nicht innerhalb von längstens einem Monat, so verstößt er gegen die DSGVO.

Auch wenn den Informationsrechten (Art. 13 und 14 DSGVO) nicht nachgekommen wird, begeht der Verantwortliche / Auftragsverarbeiter schnell einen DSGVO-Verstoß. Dieser ist auch leicht nachgewiesen, wenn es dem Unternehmen nicht gelingt, zu beweisen, dass ein entsprechender Datenschutzhinweis spätestens „bei Erhebung der Daten“ zugesandt wurde. Dann kann der Betroffene geltend machen, dass er nicht darüber informiert wurde, was mit seinen Daten geschieht und damit die Herrschaft über seine Daten verloren hat.

Aus diesen wenigen Beispielen wird deutlich, weshalb die DSGVO konsequenterweise auch einen Anspruch auf Ersatz immaterieller Schäden gewährt. Der Betroffene, dessen Daten an Dritte weitergegeben worden sind, soll nicht schlechter gestellt werden, nur weil ihm durch diese Art des Datenschutzverstoßes kein bezifferbarer materieller Schaden entstanden ist. Das ist beispielsweise in den USA schon lange geltendes Recht, wo unter dem Begriff „emotional distress“ der Kontrollverlust über die eigenen Daten zum Schadensersatz berechtigt.

In welcher Höhe nun Schadensersatzansprüche aus Art. 82 DSGVO geltend gemacht werden und wann ein Kontrollverlust eingetreten sein soll und wann nicht, lässt sich nur schwer vorhersehen. Die DSGVO selbst sagt, dass sich die Höhe des Schmerzensgeldes für immaterielle Schäden an der Genugtuungs- und Abschreckungsfunktion des Schmerzensgeldes orientieren soll. Ob die deutsche Rechtsprechung auch bei diesem Schmerzensgeldanspruch eher restriktiv urteilen wird, bleibt zunächst abzuwarten.

Fazit und Handlungsempfehlungen

Art. 82 DSGVO stärkt die Rechte der Betroffenen, indem er es Ihnen ermöglicht, mit einer sehr effektiven Schadensersatznorm Ansprüche wegen angeblicher oder tatsächlicher Schadensersatzansprüche geltend zu machen. Die Verantwortlichen und Auftragsverarbeiter tragen die Beweislast dafür, dass sie die Daten des Betroffenen datenschutzrechtlich einwandfrei verarbeitet haben. Gelingt der Nachweis nicht, sieht es schlecht aus und man kann sich eigentlich nur noch um die Schadenshöhe streiten. Wenn es sich bei dem beanstandeten Datenschutzverstoß auch nicht nur um einen Einzelfall gehandelt hat, sondern um einen sogenannten Strukturverstoß, dann kann es auch schnell existenzbedrohend werden.

Es gilt daher weiterhin im Unternehmen einen DSGVO-Datenschutzstandard zu etablieren. Das ist viel Arbeit und kostet Zeit, ist aber die einzige Möglichkeit enorme wirtschaftliche Risiken, wie die hohen Bußgelder von Behördenseite oder etwaige Schadenersatzansprüche der Betroffenen, später abwehren zu können.

Der Datenschutz sollte daher nicht als einmalige Anstrengung verstanden werden, sondern als fortlaufender Prozess.

Darüber hinaus sollten Verantwortliche und Auftragsverarbeiter weiterhin daran arbeiten, dass Sie einen Überblick darüber gewinnen, welche personenbezogenen Daten einzelner Betroffener im Betrieb auf welche Weise und für welchen konkreten Zweck verarbeitet werden. Nur, wer dies organisatorisch und technisch „im Griff hat“ und dokumentiert hat, kann seiner Nachweispflicht nachkommen.

Muss der Makler eine Auftragsdatenverarbeitung mit Maklerpools schließen?

von Rechtsanwälten Sebastian Karch/ Stephan Michaelis (Kanzlei Michaelis)

Stephan Michaelis

Stephan Michaelis

„Nein, der Makler muss in der Regel keinen Vertrag über Auftragsverarbeitung mit Maklerpools schließen, jedenfalls nicht mit den allermeisten“, sagt Rechtsanwalt Stephan Michaelis (Fachanwalt für Versicherungsrecht, Handels- und Gesellschaftsrecht).

Viele Makler fragen sich daraufhin: „Wie kann das sein? Der Pool erhält doch von mir personenbezogene Daten meiner Kunden zur Verarbeitung.“

Diese einfach anmutende Fragestellung, welche derzeit in der Branche heiß diskutiert wird, weil viele Pools jetzt eine AVV anbieten, sollte man sich datenschutzrechtlich Stück für Stück nähern, um die Abgrenzung von Auftragsverarbeitung zu eigener Verantwortlichkeit des Pools nachvollziehen zu können.

Zunächst, wer ist Auftragsverarbeiter?

Ein Vertrag über Auftragsdatenverarbeitung (im Folgenden „AVV“ genannt) ist zwischen einem Verantwortlichen und einem (oder mehreren) Auftragsverarbeiter(n) gemäß Art. 28 DSGVO zu schließen. Folglich ist die entscheidende Frage, ob ein Maklerpool als Auftragsverarbeiter anzusehen ist? Denn nur dann wäre eine AVV mit dem Makler als Verantwortlichen abzuschließen.

Ob eine Auftragsverarbeitung vorliegt, ist mittels einer sachbezogenen, funktionalen Betrachtung der tatsächlichen Verhältnisse zwischen Verantwortlichem und Auftragsverarbeiter festzustellen.

SebastianKarch

SebastianKarch

Die Datenverarbeitung muss selbstverständlich im Auftrag des Verantwortlichen stattfinden. Das zentrale Element der AVV ist darüber hinaus die Weisungsgebundenheit des Auftragsverarbeiters.[1] Der Verantwortliche legt allein Zwecke und Mittel der Verarbeitung fest und gibt dem Auftragsverarbeiter weisungsgebunden die von diesem vorzunehmenden Verarbeitungen vor. Davon darf nicht abgewichen werden. Fehlt es an der strengen Weisungsgebundenheit, so liegt keine Auftragsverarbeitung vor.

Typisches Beispiel für eine Auftragsverarbeitung ist die Auslagerung der Datenspeicherung bei einem Maklerverwaltungsprogramm (MVP). Typische Beispielsfälle für das Nichtvorliegen einer erforderlichen Auftragsverarbeitung sind auch die Datenübertragung an Rechtsanwälte, Steuerberater, weil hier eine gesetzliche Schweigepflicht besteht.

 

Wonach erfolgt also die Abgrenzung der Auftragsverarbeitung zur eigenen Verantwortlichkeit?

EXKURS: Früher wurde die weisungsgebundene Auftrags(daten)verarbeitung abgegrenzt zur sogenannten „Funktionsübertragung“. Eine Funktionsübertragung lag vor, wenn eine eigene Entscheidungsbefugnis des Dritten hinsichtlich des „Wie“ der Datenverarbeitung oblag. Dies ist nunmehr überholt, da die DSGVO dem Auftragsverarbeiter mehr Gestaltungsspielraum bei     der Wahl der Mittel, also wie er den Auftrag umsetzt, lässt, ohne an seiner Rolle als Auftragsverarbeiter zu rütteln. Die DSGVO geht insoweit davon aus, dass in der heutigen Zeit die Aufgabenteilung selbstverständlich ist. Nicht jedes Unternehmen macht alles, um ihren Kunden zufriedenzustellen, sondern bedient sich dafür wiederum spezialisierter Unternehmen, dem potenziellen Auftragsverarbeiter.

Aus diesem Grund kann es sich bei der Datenverarbeitung jetzt nur noch entweder um einen Auftragsverarbeiter oder einem Verantwortlichen handeln.

Für die Abgrenzung ist festzustellen, wann der Verantwortliche nicht mehr (allein oder gemeinsam mit anderen Verantwortlichen) die Entscheidung über Zwecke und Mittel der Verarbeitung trifft, sondern dem (vermeintlichen) Auftragsverarbeiter so viel Entscheidungskompetenz hinsichtlich der Verarbeitung überlässt, dass dieser selbst zum Verantwortlichen wird. Mit anderen Worten, der Auftragsverarbeiter ist, im Gegensatz zum Verantwortlichen derjenige, der nicht „allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung entscheidet“.

Ausschlaggebend ist demnach, wer von beiden tatsächlich über die Zwecke und Mittel der Verarbeitung entscheidet. Bei den allermeisten Maklerpools ist diese Waagschale eindeutig zur eigenen Verantwortlichkeit des Pools „hin gekippt“, denn dieser verarbeitet in der Regel freiwillig und eigenverantwortlich die Daten aus den Versicherungsvertragsverhältnissen, ohne großartig gegenüber dem akquirierenden Makler selbst ausschließlich Weisungsgebunden zu sein.

Zur Untermauerung dessen sollen die tatsächlichen Verhältnisse im üblichen Poolgeschäft einmal näher beleuchtet werden:

 

Tatsache 1

Rechtlich gesehen zieht der Pool die Versicherungsverträge an sich. Diese „gehören“ dann also nicht mehr dem akquirierenden Makler. Am ehesten ist das am Insolvenzfall eines Pools nachvollziehbar. Dann kann der Pool dem Makler im Vorfeld noch so viele (schuldrechtliche) Versprechungen gemacht haben, um ihn an sich zu binden. Im Pool-Insolvenzfall wird der Insolvenzverwalter die Vergütungen aus den Versicherungsverträge so schnell er nur kann in die Insolvenzmasse bringen. Der Makler hat dann keine Chance mehr, an vermeintlich „seine“ Verträge heranzukommen. Das vertragliche Versprechen, dass der Makler jederzeit seine Bestände haben kann, greift nicht mehr. Der Makler müsste zu seinem Kunden gehen und sich eine neue Vollmacht holen und den Kunden erneut umdecken. Dann ist aber meist die eine Hauptfälligkeit an Courtage weg, also in der Insolvenzmasse.

Zudem ist der Maklerpool in aller Regel umsatzsteuerbefreit. Nach dem hierfür einschlägigen § 4 Nr. 11 UStG sind die Umsätze steuerbefreit, welche aus der Tätigkeit von Versicherungsvermittlern (und Bausparkassen- und Versicherungsvertreter) stammen. Das heißt, die Tätigkeiten des Maklerpools entsprechen denen eines Versicherungsvermittlers.

Somit liegt dann aber denklogisch eine Eigenverantwortlichkeit des Pools (als Vermittler) vor, da er die Verträge an sich zieht und die Rolle des Vermittlers selbst ausfüllt und selbst zumindest mit-entscheidet. Wer selbst vermittelt, entscheidet auch selbst. Auch wenn es nur um das Entscheidungsrecht geht, nicht zu vermitteln. Aber ein Pool würde mit Sicherheit nicht eine Weisung des Maklers ausführen, die zu einer späteren Haftung führen könnte. Pools folgen also nicht allen Weisungen strikt und müssen es nach den Kooperationsverträgen mit den Maklern i.d.R. auch nicht.

 

Tatsache 2

Noch einleuchtender wird die Argumentation, dass der Pool kein Auftragsverarbeiter ist, wenn man sich vor Augen führt, dass der Pool in aller Regel eigenverantwortlich entscheidet, ob der vom Makler avisierte Versicherungsvertrag am Ende tatsächlich bei dem vom Makler ausgewählten Versicherer eingereicht wird. Der Pool kann also, zumeist vertraglich vereinbart, allein darüber entscheiden, ob der Auftrag des Maklers überhaupt umgesetzt wird. Manchmal entscheidet der Pool auch, dass ganze Kundenbestände auf einen anderen Versicherer umgedeckt werden. Hat der Pool aufgrund seiner Expertise eine bessere Möglichkeit für den Kunden gesehen, so kann er auch bei einem anderen Versicherer den Vertragsabschluss zum Wohle des Kunden herbeiführen. Oder es werden die Konditionen, der Versicherungsumfang oder die Versicherbarkeit von dem Pool mit dem Versicherer verhandelt. Wenn folglich der Pool eigene Deckungskonzepte anbietet, so ist er quasi selbstProduktgeber. Diese Tatsachen machen deutlich, dass der Makler es in aller Regel nicht einmal fest in der Hand hat, ob der Pool seinen Auftrag, so wie er es angetragen hat, strikt umsetzt, sondern der Pool ist der aktive Helfer!

 

Tatsache 3

Maklerpools bieten umfangreiche Dienstleistungen an, die er dem Makler nicht auf Geheiß erbringt, sondern von sich aus anbietet. Die allermeisten Maklerpools bieten dabei nicht nur bloße Unterstützungsdienstleistungen an, wie die Stellung eines Vergleichsrechners für die Internetseite des Maklers oder ein Back-Office, sondern eine sehr lange Liste an Dienstleistungen. Dazu gehören:

Bestandsoptimierung; Neukundenakquise mit Leads; Datenoptimierung; App-Lösungen; Stellung eines Maklerverwaltungsprogramms; persönliches Back-Office; Abrechnungsmodelle; Fortbildungen für Berater; Recherchetätigkeiten; Schadenfallunterstützung etc. etc.

Dem Makler geht es natürlich zuvorderst um die Teilnahme an den Konditionen, welche dieser Pool mit diesen und jenen Versicherungsgesellschaften ausgehandelt hat, oder um überhaupt den Marktzugang zu manchen Versicherern zu bekommen. Aber er bekommt zusätzlich eben noch weit mehr Dienstleistungen, völlig ohne, dass er dahingehend eine Weisung an den Pool ausgesprochen hätte. Geschweige denn, dass er diese Prozesse irgendwie steuert.

Wenn der Pool sogar über das „Ob“ entscheiden kann, dann ist die Weisungsgebundenheit so sehr eingeschränkt, dass nach den tatsächlichen Verhältnissen nicht mehr von einer Auftragsverarbeitung gesprochen werden kann.

Im Übrigen gibt auch die Größe und damit Verhandlungsstärke das Ergebnis nicht vor. Denn es kann auch Auftragsverarbeiter sein, wer kraft seiner Größe / Verhandlungsstärke nur einen vorgegebenen, standardisierten Leistungskatalog anbietet, von dem es kein Abrücken gibt. Entscheidend ist diesbezüglich nur, dass der Verantwortliche die Wahl hat, die vom Auftragsverarbeiter angebotenen Leistungen anzunehmen und nicht zum Vertragsschluss gedrängt wird. Da es am Markt genügend Maklerpools gibt und der einzelne Makler theoretisch immer wechseln könnte, ist die Marktgröße des Pools also kein Argument dafür, dass keine AVV abzuschließen ist.

 

Wenn der Pool kein Auftragsverarbeiter ist, was ist er dann?

Die DSGVO sieht ein neues Instrument vor, die sogenannte „gemeinsame Verantwortlichkeit“ nach Art. 26 DSGVO. Läge diese vor, so müsste der Makler mit dem Pool eine „Vereinbarung“ abschließen, in der sie gemeinsam festlegen, wer von ihnen welche DSGVO-Verpflichtung erfüllt. Verlangt wird für dieses Instrument also eine gemeinsame Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Jeder der gemeinsam Verantwortlichen muss einen steuernden und kontrollierenden Einfluss auf die gemeinsamen Verarbeitungen nehmen können.

Nach den oben dargestellten tatsächlichen Verhältnissen kann davon in den allermeisten Fällen nicht gesprochen werden. Der Pool stellt dem Makler eine Plattform zur Verfügung, z.B. eine Bestandsverwaltung mit Abrechnungssystem. Das kann der Makler natürlich nutzen, aber er hat keinen steuernden Einfluss auf die Inhalte. Zudem benutzen die Maklerpools in aller Regel ihr MVP selber zu eigenen weiteren Zwecken. Ohne steuernden Einfluss, wird dem Makler nur die Entscheidung über Nutzen oder Nicht-Nutzen gewährt. Es ist kein „Miteinander“ im Sinne von Art. 26 DSGVO. Demzufolge dürfte auch Art. 26 DSGVO in den allermeisten Maklerpool-Fällen nicht einschlägig sein.

 

Der Maklerpool ist eigener Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO

Wenn alle anderen Möglichkeiten nach oben Gesagtem ausgeschlossen sind, bleibt konsequenterweise nur noch eine Möglichkeit übrig. Der Maklerpool ist als eigenständiger Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO anzusehen, mit allen damit verbundenen Pflichten.

 

Maklerpool in Einwilligungserklärung benennen

„Wichtig ist, dass der Makler in seiner Datenschutzerklärung zum Maklervertrag die Einwilligung des Kunden in die Datenweitergabe an den Maklerpool einholt. Der Pool ist dabei mit Namen zu benennen, damit der Kunde transparent darüber informiert wird, wohin seine personenbezogenen Daten im Rahmen des Maklervertrages weitergegeben werden.“ (Rechtsanwalt Stephan Michaelis).

Damit sich der Makler nicht schadensersatzpflichtig macht, sollte in jedem Fall darauf geachtet werden, dass er in seiner Datenschutzerklärung zum Maklervertrag den Maklerpool, an welchen er angebunden ist, namentlich vollständig benennt. Dies gilt selbstverständlich auch dann, wenn der Makler eine AVV mit seinem Pool geschlossen haben sollte. Denn es ist nicht das eine oder das andere zu tun. Eine AVV befreit den Makler nicht davon, dass er einen Datenschutzverstoß begeht, wenn er im Poolgeschäft keine nachweisliche Einwilligung einholt und den Kunden nicht über die Einbindung des Pool informiert.

 

Fazit

In den allermeisten Fällen muss der Makler keine AVV mit dem Maklerpool abschließen. Wenn der Makler nicht aufpasst, entstehen auch noch nachteilige vertragliche Pflichten. Nur wenn der Pool sich auf reine Back-Office-Dienstleitungen, wie etwa  nur die Zurverfügungstellung eines MVP beschränkt und rechtlich auch keine Versicherungsverträge an sich gezogen hat, ist vielleicht eine AVV zu schließen. Dann liegt die Konstellation zugrunde, dass der Pool strikt die Weisungen des Maklers umzusetzen hat. Denn aus Sicht des Pools wird dieser ansonsten immer freiwillig und eigenverantwortlich tätig, ohne entscheidend und vollständig nach den Vorgaben des Maklers weisungsgebunden zu sein.

Viel wichtiger ist es, dass der Makler seine Kunden transparent darüber informiert, dass er personenbezogenen Daten des Kunden, insbesondere die besonderen personenbezogenen Daten, an den Maklerpool weitergeben wird. Dazu hat er sich die Einwilligung des Kunden einzuholen, auch wenn eine AVV vereinbart wurde!

[1] In diesem Artikel werden die neuen Begrifflichkeiten aus der DSGVO verwendet; legaldefiniert in Art. 4 DSGVO. Zur besseren Nachvollziehbarkeit: Verantwortlicher entspricht dem „alten“ Auftraggeber und Auftragsverarbeiter dem Auftragnehmer. Die „alten“ Begrifflichkeiten werden auch noch weiterhin in vielen neuen AVV verwendet.

Datenschutz-Grundverordnung (DSGVO) – Ein Leitfaden

von Rechtsanwalt Sebastian Karch, Kanzlei Michaelis Rechtsanwälte

Jeder Unternehmer in Deutschland sollte bis zum 25. Mai 2018 das Thema Datenschutz im Griff haben. Denn an diesem Tag endet die zweijährige Übergangsfrist, die den Unternehmern in der EU gewährt wurde, um sich an die neuen Datenschutz-Standards, welche der EU-Gesetzgeber mit der DSGVO aufstellt, anzupassen.

Das neue Datenschutz-Niveau ist aus deutscher Sicht zwar gar nicht viel höher, als das bisher im deutschen Bundesdatenschutzgesetz (BDSG) und diversen weiteren Einzelgesetzen (Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) usw.) verankerte Datenschutzrecht. Aber die deutschen Datenschutzbehörden haben in der Vergangenheit nicht alles sanktioniert/sanktionieren müssen. In der Praxis muss man wohl sagen, dass die kleinen und mittleren Unternehmen (KMU) den Datenschutz im Durchschnitt nicht ernst genommen haben und auch keinen großen Druck seitens der Datenschutzbehörden erfahren haben. Aber auch KMU verarbeiten personenbezogene Daten wie beispielsweise Name, Kontaktdaten, ggf. Gesundheitsdaten. Der Begriff der Verarbeitung beinhaltet sämtliche Arbeitsschritte wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Hierbei ist natürlich der sachliche Anwendungsbereich der DSGVO gemäß Art. 2 DSGVO zu berücksichtigen, der nur Verarbeitungen erfasst, die „ganz oder teilweise automatisiert“ stattfinden. Dies bedeutet aber auch, dass manuell erhobene Daten, die einer automatisierten Verarbeitung zugeführt werden sollen, bereits unter den Schutz der DSGVO fallen.

Ab 25. Mai 2018 werden die Behörden den KMU mehr Aufmerksamkeit widmen, da sie dann verpflichtet sind zu sanktionieren. Die Frage ist dann nur noch, in welcher Höhe der einzelne Verstoß geahndet wird.

Es bedarf daher einer guten Compliance-Strategie, um das neue Datenschutz-Niveau erfolgreich im Unternehmen zu integrieren. Dabei darf dies nicht als einmalige Anstrengung verstanden werden, sondern sollte als fortlaufende, jeden Unternehmensprozess durchziehende Anforderung verstanden werden.

Dringende Empfehlung! – bis 25. Mai 2018 wenigstens Kernthemen angehen

Das neue Datenschutz-Niveau bis zum Stichtag zu erreichen, wird vielen Unternehmern nicht gelingen. Umso wichtiger ist es, bis dahin unbedingt die Kernthemen angegangen zu haben. Denn das schlimmste was dem Unternehmer passieren kann, ist, wenn er am 25. Mai 2018 gar nichts vorweisen kann und damit nachweislich den Datenschutz nicht ernst nimmt. Die folgenden Punkte stellen die wichtigsten Kernthemen dar, mit denen sich bis dahin und natürlich darüber hinaus unbedingt beschäftigt werden sollte. Denn der Datenschutz ist keine einmalige Anstrengung, sondern ein Prozess!

I. 15 Punkte für eine gute Compliance-Strategie

Damit es nicht zum Bußgeld kommt, und jeder Unternehmer zum 25. Mai 2018 die Basics im Unternehmen etabliert hat, hier nun eine „Checkliste“, die dem Leser als Unterstützung bei dieser Aufgabe dienen soll.

1. Datenschutzbeauftragter (Art. 37 DSGVO)

Eine der ersten Fragen, die Sie sich als Versicherungsmakler stellen sollten, ist die, ob Sie einen Datenschutzbeauftragten (DSB) bestellen müssen bzw. freiwillig bestellen wollen.

a) Mitarbeiterzahl (Art. 37 Abs. 4 DSGVO i.V.m. § 38 Abs. 1 BDSG-neu)

Die Bestellpflicht wird zum einen ausgelöst, wenn im Unternehmen mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Welche Personen dies sind, ist irrelevant. Es zählt jeder Kopf, also auch jeder Praktikant und jede Teilzeitkraft, Azubi, Aushilfe, Schwangerschaftsvertretung etc.

b) „Kerntätigkeit“

Unabhängig von der Mitarbeiterzahl ist für den Versicherungsmakler aber die Bestellpflicht nach Art. 37 Abs. 1 Buchstabe c) DSGVO. Diese wird nämlich (unabhängig von der Mitarbeiterzahl!) ausgelöst, wenn die „Kerntätigkeit“ in der umfangreichen Verarbeitung besonderer Kategorien von Daten (u.a. Gesundheitsdaten und biometrische Daten, vgl. Begriffe in Art. 4 DSGVO) besteht.

Das bedeutet, dass es nicht auf die Mitarbeiterzahl ankommt, wenn z.B. Gesundheitsdaten „umfangreich“ in der „Kerntätigkeit“ verarbeitet werden!
Die Begriffe „Kerntätigkeit“ und „umfangreich“ sind sehr weit gefasst und lösen somit Unklarheiten aus. Aus dem Erwägungsgrund 97 zur DSGVO ergibt sich die Hilfestellung, dass sich die „Kerntätigkeit eines Verantwortlichen“ auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht. Eine klare Abgrenzung, wann die Bestellpflicht noch nicht ausgelöst wird, ist derzeit allerdings nicht möglich.

Zur Klärung der Frage, ob eine umfangreiche Verarbeitungstätigkeit vorliegt, ist am Ende jeder Einzelfall für sich zu betrachten. Entscheidungserhebliche Parameter, wie etwa die Kundenzahl sowie Art und Umfang der Verarbeitung von besonderen personenbezogenen Daten, dürfte von Versicherungsmakler zu Versicherungsmakler unterschiedlich ausfallen. Je kleiner das Unternehmen, umso mehr Argumente sollten für den Versicherungsmakler sprechen, dass keine Bestellpflicht ausgelöst wird. Je umfangreicher die Verarbeitung von „sensiblen“ Daten der Versicherungsnehmer, umso mehr Argumente sprechen für eine „umfangreiche“ Verarbeitung besonderer personenbezogener Daten.

In der derzeitigen Umbruchphase scheint es bezüglich der konkreten Fragstellung, ob der Versicherungsmakler unter die Bestellpflicht fällt oder nicht, überdies noch regionale Unterschiede je nach zuständige datenschutzrechtlichen Aufsichtsbehörden zu geben. Deshalb ist unbedingt darauf zu achten, was von der für Sie zuständigen Landesdatenschutzbehörde zu diesem Thema veröffentlicht wird.

Für einzelne Makler mag es hier daher einen gewissen Argumentationsspielraum geben, wenn kein DSB genommen wird. Diese Entscheidung, keinen DSB zu bestellen, sollte aber in jedem Fall mit Argumenten dokumentiert werden. Das unternehmerische Risiko besteht darin, dass die Datenschutzbehörde im Nachhinein zu dem Ergebnis kommen könnte, dass die Bestellpflicht gegeben ist. Entsprechend könnte dann die Nichtbestellung von der Behörde mit einem empfindlichen Bußgeld sanktioniert werden.

Bei Zweifeln über die Bestellpflicht, ist der sicherste Weg also die Bestellung eines Datenschutzbeauftragten. Wenn Sie sich zur Bestellung eines DSB entscheiden, so muss dieser bis zum Ablauf des Stichtags, den 25.05.2018, dem für Sie zuständigen Landesamt für Datenschutzaufsicht gemeldet werden.

c) Interner oder externer Datenschutzbeauftragter

Die Folgefrage ist, ob man einen internen Mitarbeiter zum Datenschutzbeauftragten ernennen soll oder sich lieber einen externen Datenschutzbeauftragten nimmt.
Ein interner Datenschutzbeauftragter wird im Rahmen seines Anstellungsverhältnisses für das Unternehmen tätig, ein externer Datenschutzbeauftragter aufgrund eines Dienstleistungsvertrages. Der externe Datenschutzbeauftragte ist also einfach auszutauschen, der interne Datenschutzbeauftragte nicht. Für die Qualifikation eines externen Datenschutzbeauftragten muss auch der Geschäftsführer nicht sorgen. Ein interner Datenschutzbeauftragter muss regelmäßig zu Fortbildungsmaßnahmen geschickt und somit von der Arbeit freigestellt werden. Der externe Datenschutzbeauftragte kostet das, was Sie mit ihm vereinbaren.

d) Verantwortlicher bleibt der Unternehmer

Nur um es einmal klar gesagt zu haben. Die Datenschutzpflichten des Unternehmers können nicht auf einen Datenschutzbeauftragten abgewälzt werden. Der Verantwortliche bleibt der Unternehmer. Der Datenschutzbeauftragte muss ihn „lediglich“ darauf hinweisen, was im Unternehmen in Sachen Datenschutz gemacht werden sollte. Die Umsetzung verbleibt Sache des Unternehmers.

2. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Das Verarbeitungsverzeichnis ist der Dreh- und Angelpunkt der Datenschutz-Compliance und es ist Pflicht ein solches anzulegen und vorzuhalten! Mit dem Verzeichnis ist nachzuweisen, wie in Ihrem Unternehmen der Datenschutz beachtet wird. Es dient als Nachweis einer DSGVO-konformen Datenverarbeitung und der Vermeidung von Haftungsfällen. Die Pflicht zum Vorhalten eines Verarbeitungsverzeichnisses resultiert aus dem Grundsatz der Rechenschaftspflicht (Art. 5 DSGVO).

Einzelheiten

Das Verarbeitungsverzeichnis kann in schriftlicher oder elektronischer Form angelegt werden und muss folgende Pflichtangaben enthalten:

Name und Kontaktdaten des Verantwortlichen und ggfs. dem Datenschutzbeauftragten, Zwecke der Verarbeitung, Beschreibung der Kategorien betroffener und personenbezogener Daten, Auskunft, ob die Daten in ein Drittland übermittelt werden, Löschfristen sowie eine Beschreibung der getroffenen TOMs.

Vorlagen für Verarbeitungsverzeichnisse gibt es dieser Tage viele, da es keine formelle Vorgabe gibt. Zu empfehlen sind z.B. die vom BDVM (Bundesverband Deutscher Versicherungsmakler e.V.). Auf einem Vorblatt sind folgende Pflichtangaben auszufüllen:

– Angabe zum Verantwortlichen bzw. Auftragsverarbeiter;
– Angaben zu ggf. einem weiteren gemeinsamen Verantwortlichen bzw. Auftragsverarbeiter;
– Angaben zum Vertreter des Verantwortlichen bzw. des Auftragsverarbeiter
– Angaben zur Person des Datenschutzbeauftragten
und auf dem Hauptblatt, was am einfachsten per Excel-Tabelle erstellt wird, werden zu jedem einzelnen Verarbeitungsvorgang die Pflichtangaben des Art. 30 DSGVO abgearbeitet:

– Benennung des Verarbeitungsvorgangs;
– Datum der Einführung und Datum der letzten Änderung;
– Benennung der verantwortlichen Fachabteilung im Unternehmen;
– Angabe des Zwecks der Verarbeitung, z.B. Terminabsprache, Beratungsgespräch;
– Rechtsgrundlage: regelmäßig der Maklervertrag: Art. 6 Abs. 1 Buchst. b) DSGVO oder eine Einwilligungserklärung des betroffenen: Art. 6 Abs. 1 Buchst. a) DSGVO;
– Beschreibung der Kategorien betroffener Personen: z.B. Interessenten, Kunden;
– Beschreibung der Kategorien von personenbezogenen Daten
– Beschreibung der Kategorien von Empfängern, ggü. denen die personenbezogenen Daten offen gelegt werden: intern und extern
– Mitteilung, ob personenbezogene Daten in ein Drittland oder an eine internationale Organisation weitergegeben werden: Wenn ja, dann konkrete Benennung
– Fristen für die Löschung der Daten benennen
– Benennung der technisch- organisatorischen Schutzmaßnahmen (TOMs), die jeweils getroffen werden

Wenn im Unternehmen bereits ein Verfahrensverzeichnis nach BDSG existiert, so kann dies wunderbar als Vorlage genommen werden und ist lediglich um die o.g. neuen Anforderungen zu ergänzen.

3. Datenschutz-Folgenabschätzung (DSFA), Art. 35 DSGVO

Die Datenschutz-Folgenabschätzung steigert das Niveau noch einmal. Dies entspricht der alten „Vorab-Analyse“. Es gilt also bei neuen automatisierten Prozessen vorab zu prüfen, ob der eigene Umgang mit den Daten des Betroffenen voraussichtlich ein hohes Risiko für dessen persönliche Rechte und Freiheiten darstellt. Als Konsequenz der Feststellung eines hohen Risikos ist dieses vor der Datenverarbeitung durch Maßnahmen zu minimieren oder die zuständige Aufsichtsbehörde zu konsultieren und mit dieser abzustimmen, wie Sie sich zu verhalten haben.

Als Anhaltspunkte, wann Sie von einer Pflicht zur DSFA ausgehen sollen, hat die „Artikel 29-Datenschutzgruppe“ (Gremium auf EU-Ebene) u.a. folgende Fälle benannt:

– Verarbeitung sensibler Daten (z.B. Gesundheitsdaten)
– umfangreiche Verarbeitungsvorgänge
– Verwendung neuer Technologien
– zusammengeführte oder kombinierte Datensätze
– Datentransfers außerhalb der Europäischen Union

Für gleichgelagerte Fälle reicht es aus, wenn nur einmal eine DSFA getroffen wird.
Als weitere Hilfestellung sollte eigentlich eine sogenannten „Black-List“ von Behördenseite zur Verfügung gestellt und in dieser die Prozesse bewertet werden, bei welchen eine Datenschutzfolgeabschätzung durchgeführt werden muss. Diese liegt aktuell jedoch noch nicht vor, sodass noch unklar ist, wann die Pflicht definitiv greift.

4. Technisch-organisatorische Maßnahmen (TOM)

Die Technisch-Organisatorischen Maßnahmen beschreiben, wie in Ihrem Unternehmen die Sicherheit Ihrer Daten gewährleistet ist. Sie sind Grundlage für das Sicherheitsniveau beim Beschreiben Ihrer Verarbeitungstätigkeiten.
Denn der Unternehmer hat Schutzmaßnahmen zu treffen, damit die personenbezogenen Daten seines Kunden nicht verloren gehen oder unbefugten Dritten in die Hände fallen. Dafür ist es ausreichend, dass ein „angemessenes“ Schutzniveau eingerichtet wird, welches an den Risiken im Falle des Datenschutzverstoßes festzumachen ist. Damit wird dem DSGVO-Grundsatz der „Integrität und Vertraulichkeit“ (vgl. Art. 5 Abs. 1 Buchst. f DSGVO) entsprochen.

Mit „angemessenes Schutzniveau“ hat man es allerdings wieder mit einem sogenannten unbestimmten Rechtsbegriff zu tun, der interpretationsfähig ist. Auch an dieser Stelle wird aber an den gesunden Menschenverstand appelliert. Wer beispielsweise sensible Kundendaten über WhatsApp versendet, hat offensichtlich keine Schutzmaßnahme getroffen. Stellen Sie sich also immer die Frage, ob Sie die Integrität, Vertraulichkeit, Verfügbarkeit und Belastbarkeit der Datenverarbeitung beim einzelnen Verarbeitungsvorgang durch entsprechende Schutzmaßnahmen beachten. Es gilt für jeden einzelnen Verarbeitungsvorgang zu prüfen, ob dazu eine „angemessene“ TOM getroffen wurde.
Die Verschlüsselung ist neben der Pseudonymisierung, die für Versicherungsmakler eher keine Option ist, eine gute Schutzmaßnahme. Dem Kunden sollte immer die Wahl gelassen werden, ob er die verschlüsselte Kommunikation wünscht oder in die unverschlüsselte Kommunikation einwilligt.

Überdies soll gewährleistet werden, dass die Daten auch nach eventuellen Zwischenfällen wieder rasch verfügbar sind. Dies Alles soll stets auf dem aktuellen Stand der Technik erfolgen. Was unter „Stand der Technik“ genau zu verstehen sein soll, ist zwar nicht klar definiert, aber so zu verstehen, dass keine stark veraltete Software oder Software mit bekannten Sicherheitslücken verwendet werden soll. Tagesaktuelle Software hingegen muss nicht vorgehalten werden. Es gilt auch hier das sogenannte „Augenmaßprinzip“ von Behördenseite einzuhalten.

Behalten Sie diese Begrifflichkeit bitte im Blick, um eventuelle Verschärfungen bei der Auslegung zeitnah mitzubekommen. Informieren können Sie sich z.B. beim Bundesministerium des Inneren (BSI), welches zu den Mindeststandards für den Einsatz von Verschlüsselungsprotokollen regelmäßig Veröffentlichungen publiziert.

5. Einwilligungserklärungen überprüfen und ggfs. neu einholen

Neben dem Versicherungsmaklervertrag als solchem empfiehlt sich immer auch die Einholung von Einwilligungen der Kunden in die Datenverarbeitungsvorgänge. Die Einwilligung stellt dann eine eigene Rechtsgrundlage dar. Beispielsweise sollte für die Zusendung von Werbung immer eine separate Einwilligung eingeholt werden, um nicht Gefahr zu laufen unter das „Kopplungsverbot“ zu fallen. Das heißt es sollen keine Sachen miteinander gekoppelt werden, die miteinander nichts zu tun haben. Ihr Kunde muss also die Möglichkeit eingeräumt bekommen, den Versicherungsmaklervertrag mit Ihnen zu schließen, ohne dass er in die Zusendung von Werbung einwilligen muss.

Alt-Einwilligungen sind nicht per se veraltet. Sie sind auch über den 25. Mai hinaus noch wirksam. Allerdings nur, wenn Sie den DSGVO-Standard erfüllen. Dies erfüllen sie regelmäßig nicht, wenn z.B. kein Hinweis auf das Widerrufsrecht enthalten ist. Im Einzelfall empfiehlt sich also immer die diesbezügliche juristische Prüfung von Alt-Einwilligungen.

6. Auftragsdatenverarbeitungsvereinbarungen abschließen, Art. 28 DSGVO

Sie können und sollten als Verantwortlicher mit Ihren diversen Dienstleistern (Auftragsverarbeiter) sogenannte Auftragsdatenverarbeitungsvereinbarungen/-verträge (abgekürzt „AVV“ oder „ADV“) abschließen bzw. bereits bestehende Verhältnisse überprüfen (lassen).
Ob eine Auftragsdatenverarbeitung vorliegt oder nur eine Funktionsübertragung (Verarbeitung der Daten als eigene verantwortliche Stelle), die keine ADV rechtfertigt, muss für jeden Einzelfall geprüft werden. Als Faustregel sollte hierzu überlegt werden, ob Ihr Unternehmen personenbezogene Daten an einen Dienstleister weisungsgebunden weitergibt, damit dieser eine bestimmte Aufgabe für Sie erfüllt. Wenn der Dienstleister hingegen auch ein Eigeninteresse an der Datenverarbeitung hat und auch eigenverantwortlich agiert, wie bspw. oftmals ein Maklerpool, so spricht dies gegen eine Auftragsdatenverarbeitung. Natürlich ist hier die Prüfung des Einzelfalles notwendig, da es auch Maklerpools gibt, die als Auftragsdatenverarbeiter tätig werden und selbst mit eigenen IT-Töchtern im Auftragsdatenverhältnis zusammenarbeiten. Im Zweifel müssen Sie den Maklerpool konsultieren.

Der Klassiker einer Funktionsübertragung liegt in der Beauftragung von Rechtsanwälten oder Steuerberatern. Hier kann ebenfalls keine Auftragsdatenverarbeitung vorliegen.
Klassische Anwendungsfälle für eine ADV sind somit Verträge mit IT-Servicefirmen.

7. Rechte der Betroffenen (Kapitel 3 DSGVO)

Sämtliche Betroffenenrechte müssen vollumfänglich beachtet werden. Nicht, oder verspätet zu reagieren, kann zu ernsthaften Konsequenzen führen.

a) Informationsrecht

Die betroffenen Personen müssen vom Unternehmer über deren Rechte transparent informiert werden. Die Informationsrechte sind umfangreicher als früher, weshalb gerade Datenschutzbestimmungen auf Webseiten überarbeitet werden sollten. Zu informieren ist u.a. über:

– Name/Kontaktdaten des Verantwortlichen
– Name/ Kontaktdaten des Datenschutzbeauftragten
– Art der verarbeiteten Daten
– Zweck der Datenverarbeitung
– Art der Personen, deren Daten verarbeitet werden
– Information darüber, ob Daten an Dritte weitergegeben werden
– Information darüber, ob Daten in ein Drittland übermittelt werden
– Angabe von Löschfristen
– Informationen über die Rechte des Betroffenen in leicht verständlicher Form
– Aufklärung über das Recht auf Widerruf der Einwilligung
– Aufklärung des Betroffenen, dass er sich bei Datenschutzbehörde beschweren kann

b) Auskunftsrecht (Art. 15 DSGVO)

Etwaigen Auskunftsansprüchen ist „unverzüglich“ nachzukommen. Die Daten müssen also so im Unternehmen vorgehalten werden, dass sie sofort dem einzelnen Betroffenen zuordenbar sind.

c) Berichtigungsrecht (Art. 16 DSGVO)

Sollte nach Auskunftserteilung der Betroffene Sie darauf hinweisen, dass Fehler in seinen personenbezogenen Daten sind, müssen diese berichtigt werden.

d) Recht auf Löschung (Art. 17 DSGVO)

Sollte der Betroffene die Löschung seiner personenbezogenen Daten verlangen, empfiehlt es sich immer zwei Dinge zu prüfen.
Ist derjenige, der den Löschungsanspruch stellt auch wirklich die betroffene Person. Wenn nicht, würden Sie gerade durch die Löschung einen Datenschutzverstoß begehen.
Weiterhin ist zu prüfen, ob die Daten, statt zu löschen, gesperrt werden können. Denn nur dann können Sie sich später noch gegen etwaige Ansprüche, z.B. wegen Falschberatung, effektiv wehren. Die ehemalige „Sperrung“ heißt jetzt übrigens „Recht auf Einschränkung der Datenverarbeitung“ und ist in Art. 18 DSGVO geregelt.

e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Gänzlich neu ist, dass der Unternehmer die personenbezogenen Daten derart vorhalten muss, dass sie in einem gängigen Datenformat (z.B. pdf, Excel, csv-Datei) übertragen werden können. Hintergrund dieser Regelung ist der, dass der Betroffene die Kontrolle über seine Daten behalten soll. Wenn er beispielsweise von einem Sozialen Netzwerk oder Cloud-Anbieter zu einem anderen wechseln will, so soll er seine Daten schnell und unkompliziert beim ersten Anbieter abziehen und dem neuen zur Verfügung stellen können.

f) Widerspruchsrecht (Art. 21 DSGVO)

Für Direktwerbung besitzt der Betroffene ebenfalls ein eigenes Widerspruchsrecht. Macht er davon Gebrauch, sollte er tunlichst auch keine Werbung mehr erhalten.

8. Internes Datenschutzkonzept erstellen

Dies ist eigentlich ein Selbstläufer. Wenn man sich als Unternehmer die Mühe macht, sich intensiv mit dem Datenschutzrecht zu befassen, müssen natürlich zwangsläufig dabei Entscheidungen getroffen werden, bspw. Welche Daten erhebe ich bei der Neu-Kundenakquise, um nicht zu viele Daten zu erheben („Datenminimierungsgrundsatz“) oder wann werden welche Daten gelöscht/gesperrt oder welche Mitarbeiter haben auf welche Daten wann Zugriff (TOMs) usw. Diese ganzen Entscheidungen zu durchdenken und zu dokumentieren kann dann „Datenschutzkonzept“ betitelt werden. Wichtig ist eigentlich nur, dass es auch gemacht wird.

Dazu gehört auch, dass „Privacy-by-Design“ und „Privacy-by-Default“ im Unternehmen etabliert werden. Das bedeutet nichts anderes als „Datenschutz durch Technikgestaltung“ bzw. „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Die technischen Voreinstellungen sollen also immer zu Gunsten des Kunden, d.h. zum Schutz seiner Daten, eingestellt sein.

9. Rechenschaftspflicht nachkommen

Nicht nur gegenüber den betroffenen Personen hat der Unternehmer Rechenschaft über die Datenverarbeitung abzugeben. Vor allem die Rechenschaftspflicht gegenüber den zuständigen Behörden ist nachzukommen, um Bußgelder zu vermeiden.

An dieser Stelle seien noch einmal die Maximalstrafen genannt. Wo vorher Bußgelder in Höhe von „nur“ bis zu EUR 300.000,- verhängt werden durften, dürfen Behörden nun theoretisch bis zu 20 Mio. Euro bzw. 4% des Jahresumsatzes bei „schweren“ Verstößen und bis zu 10 Mio. Euro bzw. bis zu 2% des Jahresumsatzes bei „leichten“ Verstößen verhängen.

Als leichter Verstoß gilt z.B. die Nichtbestellung eines Datenschutzbeauftragten, obwohl eine Pflicht zur Bestellung besteht. Als schwerer Verstoß kann eigentlich jede Verletzung der Grundsätze der DSGVO gewertet werden, also z.B. wenn der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nicht nachgekommen wird oder eine Datenverarbeitung ohne Rechtsgrundlage stattfindet. In Art. 5 DSGVO sind übrigens alle Grundsätze abschließend aufgezählt, die ausnahmslos und jederzeit zu beachten sind.
Bei der Verhängung von Bußgeldern, haben die Behörden natürlich weiterhin mit Augenmaß zu agieren. Werden Geldbußen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so sollte die Aufsichtsbehörde bei der Erwägung des angemessenen Betrags für die Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedsstaat und der wirtschaftlichen Lage der Person Rechnung tragen (Erwägungsgrund 150 zur EU DSGVO). Dem Willen des EU-Gesetzgebers folgend, sind sie aber dazu angehalten abschreckend und empfindlich zu ahnden.

10. Cyber-Risk-Versicherung abschließen?

Man kann sich zwar nicht generell dagegen versichern lassen, dass eigene Datenschutzverstöße von einer Versicherung getragen werden. Aber immerhin gibt es Cyber-Risk-Versicherungen, um sich gegen Datenschutzverstöße aufgrund von Cyberattacken auf das eigene Unternehmen, versichern zu lassen. In der Regel ist der jährliche Versicherungsbeitrag ein verhältnismäßig kleiner Aufwand, um sich gegen ein großes Risiko im Unternehmen zu versichern.

11. Mitarbeiterschulungen

Es besteht die Pflicht zur Mitarbeiterschulung. Einmal im Jahr ist ausreichend. Es empfiehlt sich aber solche Schulungen regelmäßig durch qualifizierte Referenten durchführen zu lassen. Denn letztlich sind es die Mitarbeiter, die die häufigsten Datenschutzverstöße verursachen, nicht unbedingt die Cyber-Angriffe von außen. Der Klassiker ist hierbei das Versenden einer E-Mail mit personenbezogenen Daten Ihres Kunden an einen falschen Empfänger. Schon ist ein Datenschutzverstoß begangen. Da hilft auch kein Standard-Disclaimer unter der E-Mail-Signatur. Umso wichtiger ist es, dass für solch einen vorhersehbaren Datenschutzverstoß den Mitarbeitern Regelungen an die Hand gegeben werden, wie sie sich in diesem Fall zu verhalten haben. Wer muss intern darüber informiert werden? Wer ist dessen Vertretung? Wer informiert den betroffenen Kunden? Wer entscheidet, ob der Vorfall so schwer wiegt, dass die Datenschutzbehörde informiert werden muss?; Stichwort: 72 Stunden Meldepflicht!

Natürlich empfehlen sich auch externe Schulungen von Dienstleistern zu diesem Thema. Am Ende muss im Unternehmen das Datenschutzniveau auf DSGVO-Standard gebracht werden. Dies ist keine einmalige Anstrengung, sondern ein dauerhafter Prozess.

12. IT / EDV auf „aktuellen Stand der Technik“ bringen

Art. 25 DSGVO schreibt es ausdrücklich vor. Der Datenschutz ist durch Technikgestaltung und datenschutzfreundliche Voreinstellungen auf dem Stand der Technik zu gewährleisten. Einzig eine Definition, was denn der Gesetzgeber mit „Stand der Technik“ genau meint, fehlt leider.

Versetzen Sie sich auch hier in die Lage eines Prüfers bei der Behörde, der Ihr Unternehmen als Fall auf seinen Tisch bekommt und sich die Frage stellen muss, ob Ihr Unternehmen auf dem Stand der Technik Datenverarbeitung durchführt. So können Sie selbstkritisch selbst einschätzen, ob Sie an dieser Stelle DSGVO-konform sind oder nicht.

13. Fortentwicklung des Datenschutzrechts / Meldungen der Aufsichtsbehörden verfolgen

Es sollte gerade in den ersten Monaten nach Wirksamwerden der DSGVO in Deutschland verfolgt werden, wie sich zu einzelnen Fragen seitens der Behörden geäußert wird. Das neue Gesetz muss sich erst „einschleifen“ und konkrete Einzelfragen werden naturgemäß erst im Laufe der Zeit geklärt werden.
Nicht zu vergessen ist in diesem Zusammenhang, dass der EU-Gesetzgeber in der DSGVO für alle EU-Mitgliedstaaten bewusst Öffnungsklauseln im Gesetzeswerk gelassen hat, welche durch die nationalen Gesetzgeber eigenständig im Detail zu regeln sind. In Deutschland hat sich der Gesetzgeber diese Chance nicht nehmen lassen und ein neues Bundesdatenschutzgesetz erarbeitet, dass ebenfalls am 25.05.2018 in Kraft treten wird. Interessanterweise ist dieses neue BDSG, welches nur Lücken der DSGVO schließen sollte, umfangreicher geworden, als das alte BDSG, welches bis dahin das datenschutzrechtliche Grundwerk in Deutschland gewesen ist.

14. Meldefrist

Bereits unter Punkt 11 erwähnt, aber aufgrund der Wichtigkeit auch noch einmal gesondert aufgeführt, ist die Pflicht gemäß Art. 33 DSGVO, einen Datenschutzverstoß gegenüber der gemäß Art. 55 DSGVO zuständigen Datenschutzbehörde innerhalb von 72 Stunden ab Kenntniserlangung zu melden. Die Meldepflicht gilt allerdings nicht, wenn Sie nach Prüfung des Vorfalls zu dem Schluss kommen, dass die Verletzung beim Betroffenen voraussichtlich nicht zu einem Risiko für dessen Rechte und Freiheiten führt. Jeder einzelne Verstoß ist also dahingehend zu prüfen, ob dieser zu melden ist. In jedem Fall ist er zu dokumentieren zusammen mit den ergriffenen Maßnahmen, um zukünftige Verstöße dieser Art zu unterbinden.
Bei Datenschutzverstößen laufen sehr kurze Meldefristen. Deshalb ist unbedingt zu empfehlen, den Ablauf im Unternehmen vorher zu durchdenken. Es ist festzulegen, welche Abläufe wann in Gang gesetzt werden sollen. Vor allem den Verantwortlichen im Unternehmen zu benennen, dem der einzelne Vorfall zur Prüfung vorzulegen ist. Schon allein die nicht rechtzeitige Meldung des Verstoßes kann ein Bußgeld nach sich ziehen.
Beim Vorliegen eines Datenschutzverstoßes trifft Sie daneben unter Umständen auch die Pflicht zur Information des Betroffenen, dessen Rechte ja verletzt wurden.
Es empfiehlt sich die Verwendung eines Mustervordrucks „Meldung Datenpanne“, der bereits vorgehalten werden sollte und dann nur noch abgearbeitet werden muss. In dem Meldeformular müssen die in Art. 33 Abs. 3 DSGVO genannten Informationen enthalten sein.

15. Dokumentation

Die Rechenschaftspflicht ist ein Grundsatz der DSGVO, dem unbedingt Folge zu leisten ist. Daher ist es in keinem Fall schädlich Datenverarbeitungsprozesse, wie auch immer, im Unternehmen zu dokumentieren. Gerne kann dann im Verarbeitungsverzeichnis auf diese Dokumentation, wie auch immer sie aussehen mag, verwiesen werden. Somit kommen Sie der Verpflichtung nach, die Maßnahmen der Datensicherheit im Verarbeitungsverzeichnis zu beschreiben.

Fazit

Auch der Versicherungsmakler, wie alle Unternehmer in Deutschland, steht in der Pflicht zur Einhaltung des Datenschutzes. Dabei stellt der Versicherungsmaklervertrag stets die Rechtsgrundlage für die Verarbeitung dar (Art. 6 Abs. 1 Buchst. b) DSGVO). Zudem sollten Einwilligungen in die Verarbeitung der Daten von den Kunden eingeholt werden und geprüft werden, ob mit Dienstleistern ein Auftragsdatenverarbeitungsvertrag (ADV/AVV) abzuschließen ist. Die Dokumentation aller datenschutzrechtlichen Anstrengungen ist zu empfehlen. Ein Verarbeitungsverzeichnis muss unbedingt erstellt werden!

Um den Nachweispflichten nachzukommen müssen also diverse Dokumente erstellt werden. Wir empfehlen Ihnen dazu die Nutzung des von uns vertriebenen „Care-Pakets“ von „HMDATA“. Dieses ist für einen geringen Endpreis über folgenden Online-Shop direkt zu erwerben und enthält neben Erläuterungen vor allem Muster für alle relevanten Standard-Datenschutzprozesse.

https://hmdata.shop.epages.de/p/care-paket-dsgvo-fuer-mandanten-der-kanzlei-michaelis-download

DSGVO – Das müssen Versicherungmakler wissen

von Rechtsanwalt Sebastian Karch, Kanzlei Michaelis

SebastianKarch

SebastianKarch

Auf die Versicherungsmakler kommt 2018 einiges an neuen Gesetzesregelungen zu. Auch das Thema Datenschutz muss angepackt werden. Eine große Tageszeitung titelte gar sinngemäß: „größter Umbruch im Datenschutzrecht aller Zeiten“. Soweit würde der Verfasser zwar nicht gehen, aber unstreitig gibt es für deutsche Unternehmer erhöhten Handlungsbedarf. Es bedarf einer guten Compliance-Strategie, um das neue Datenschutzniveau zu erreichen.

Den 25. Mai 2018 im Kalender rot anstreichen

Am 25. Mai 2018 läuft die zweijährige Umsetzungsfrist ab, die der EU-Gesetzgeber allen Unternehmern gewährt, um sich auf den neuen Datenschutz-Standard in der EU einzustellen. Mit Ablauf dieser Umsetzungsfrist gibt es keine Ausreden mehr für diejenigen Unternehmer, die sich bis dahin noch nicht mit der EU-Datenschutz-Grundverordnung (DSGVO) beschäftigt haben. Gleichzeitig mit Ablauf dieser Frist tritt ebenfalls ein neues Bundesdatenschutzgesetz (BDSG) in Deutschland in Kraft.

Ziel (Art. 1 DSGVO) und Grundsätze (Art. 5 DSGVO) der DSGVO

Datenschutz ist Grundrechtsschutz! Das Ziel der DSGVO ist der Schutz der „personenbezogenen Daten“ aller EU-Bürger. Der EU- Gesetzgeber will ein einheitliches Datenschutzniveau in den Mitgliedstaaten etablieren. Skandale, wie die Datensammelwut sozialer Netzwerke und die Speicherung von Fluggastdaten, waren Auslöser der Datenschutzreform. Dabei haben deutsche Unternehmer einen klaren Standortvorteil, da der Datenschutz nach aktuellem BDSG (zumindest theoretisch) schon sehr hoch ist und von der DSGVO im Vergleich zu anderen Mitgliedstaaten nur wenig angehoben wird. Datenschutzverstöße sollen auch großen Unternehmen richtig weh tun. Daher sind Bußgelder von bis zu € 20 Mio. möglich.

Zur Erreichung des Ziels muss jeder Unternehmer folgende DSGVO-Grundsätze leben: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht. Dabei gilt natürlich weiterhin der Gesetzesvorbehalt, d.h. es ist alles verboten, was nicht ausdrücklich durch Gesetz oder Einwilligung des Betroffenen erlaubt ist.

Das Problem bei der Umsetzung der DSGVO ist, dass sie keinen Maßnahmenkatalog enthält, den der Unternehmer einfach abarbeiten kann. Vielmehr ist jeder Unternehmer angehalten die Datenschutzgrundsätze eigenverantwortlich in seinem Unternehmen zu implementieren. Es ist also keine einmalige Anstrengung des Unternehmers gefordert, sondern die Etablierung einer konkreten Compliance-Strategie.

4 Punkte für eine gute Compliance-Strategie

  1. Datenschutzbeauftragter (Art. 37 DSGVO)

Es gilt eine Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) im Unternehmen, wenn die „Kerntätigkeit“ in der umfangreichen Verarbeitung besonderer Kategorien von Daten (u.a. Gesundheitsdaten und biometrische Daten) besteht.

Die gute Nachricht für Versicherungsmakler ist, dass nur durch die Ausübung des Berufs an sich keine Bestellpflicht ausgelöst wird. Die weniger gute Nachricht ist, dass die „Kerntätigkeit“ im o.g. Sinne durch die Erfüllung der Pflichten aus dem  Versicherungsmaklervertrag recht schnell betroffen sein dürfte. Für einzelne Makler mag es hier einen gewissen Argumentationsspielraum geben, aber jedem muss klar sein, dass die Entscheidung keinen DSB zu bestellen, teuer werden kann. Denn, sollte die Datenschutzbehörde im Nachhinein zu dem Ergebnis kommen, dass die Bestellpflicht gegeben ist, kann die Nichtbestellung von der Behörde mit bis zu € 10 Mio. sanktioniert werden. Bei Zweifeln über die Bestellpflicht, ist der sicherste Weg also die freiwillige Bestellung eines DSB.

  1. Technisch-organisatorische Maßnahmen (TOMs), Art. 32 DSGVO

Der Unternehmer hat Schutzmaßnahmen zu treffen, damit die personenbezogene Daten seines Kunden nicht verloren gehen oder unbefugten Dritten in die Hände fallen. Dafür ist es ausreichend, dass ein „angemessenes“ Schutzniveau eingerichtet wird, welches an den Risiken im Falle des Datenschutzverstoßes festzumachen ist. Die Verschlüsselung ist hierbei ein vorzugswürdiges Mittel. Eine Pflicht zur Verschlüsselung gibt es indes nicht. Wird sich gegen die Verschlüsselung entschieden, sollte dies unbedingt mit guten Argumenten dokumentiert werden. Weiterhin sollen die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sichergestellt werden. Überdies soll gewährleistet werden, dass die Daten auch nach eventuellen Zwischenfällen wieder rasch verfügbar sind. Dies Alles soll stets auf dem aktuellen Stand der Technik erfolgen. Was unter „Stand der Technik“ genau zu verstehen sein soll, ist allerdings unklar.

  1. Verarbeitungsverzeichnis (Art. 30 DSGVO) und Folgenabschätzung (Art. 35 DSGVO)

Das Verarbeitungsverzeichnis ist der Dreh- und Angelpunkt der Datenschutz-Compliance. Der Verfasser empfiehlt dringend bis zum 25. Mai ein Verarbeitungsverzeichnis anzulegen. Dies ist Pflicht! Das Verfahrensverzeichnis kann in schriftlicher oder elektronischer Form angelegt werden und muss folgende Pflichtangaben enthalten: Name und Kontaktdaten des Verantwortlichen und ggfs. dem Datenschutzbeauftragten, Zwecke der Verarbeitung, Beschreibung der Kategorien betroffener und personenbezogener Daten, Auskunft, ob die Daten in ein Drittland übermittelt werden, Löschfristen sowie eine Beschreibung der getroffenen TOMs.

Die Datenschutz-Folgenabschätzung steigert das Niveau noch einmal. Hier trifft den Unternehmer die Pflicht zur Vorab-Analyse, wenn die Datenverarbeitung ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen darstellt. Wann dies in der Praxis der Fall sein soll, sollte eigentlich mittels einer sogenannten „Black-List“ von Behördenseite zur Verfügung gestellt werden. Diese liegt aktuell jedoch noch nicht vor, sodass noch unklar ist, wann die Pflicht definitiv greift.

  1. Rechte der Betroffenen

Gegenüber ihren Kunden müssen Versicherungsmakler diese über deren Rechte transparent informieren, etwaigen Auskunftsansprüchen „unverzüglich“ nachkommen, ggfs. die Daten berichtigen und Löschungsansprüchen nachgekommen werden. Der Löschungsanspruch sollte allerdings stets in eine „Sperrung“ der Daten abgewandelt werden, um sich später noch gegen etwaige Ansprüche wegen Falschberatung währen zu können.

Fazit:

Auch der Versicherungsmakler, wie alle Unternehmer in Deutschland, steht in der Pflicht zur Einhaltung des Datenschutzes. Dabei stellt der Versicherungsmaklervertrag stets die Rechtsgrundlage für die Verarbeitung dar (Art. 6 Abs. 1 Buchst. b) DSGVO). Zudem sollten Einwilligungen in die Verarbeitung der Daten von den Kunden eingeholt werden und geprüft werden, ob mit Dienstleistern ein Auftragsdatenverarbeitungsvertrag (ADV) abzuschließen ist. Die Dokumentation aller datenschutzrechtlichen Anstrengungen ist zu empfehlen. Ein Verfahrensverzeichnis muss unbedingt erstellt werden.

 

Unter folgendem Link finden Sie eine hilfreiche Checkliste zur Umsetzung:

 

https://kanzlei-michaelis.de/15-punkte-checkliste-wegen-der-eu-dsgvo/

 

 

Die Vor- und Nachteile der GmbH-Gründung für Versicherungsmakler

Sorgen Sie für den Erbfall vor

von RAe Stephan Michaelis LL.M. / Sebastian Karch,  Kanzlei Michaelis

SebastianKarch

SebastianKarch

Stephan Michaelis

Stephan Michaelis

Gründungsaufwand, höhere Steuerbelastung, Rechtsanwalts- und Notarkosten – das sind im Wesentlichen die Gründe, weshalb Versicherungsmakler sich vor der Gründung einer GmbH oder der GmbH & Co. KG meist scheuen.

Was ist aber mit dem Haftungsrisiko bei Versicherungsmaklern? Die Haftung des Versicherungsmaklers geht bekanntlich weit. Üblich ist es, das eigene Maklerunternehmen erst einmal als Einzelkaufmann (e.K.)[1] zu gründen, was eine persönliche und unbeschränkte Haftung mit dem Privatvermögen mit sich bringt. Vermögensschadenhaftpflicht-versicherungen können dabei nur teilweise Sicherheit bieten, da sie mit maximalen Deckungssummen arbeiten und die Haftungsklauseln wegen der zwingenden Vorschrift des § 67 VVG vielleicht nicht alle Bereiche der Maklertätigkeit erfassen können. Die Rechtsform GmbH bietet die Möglichkeit der Haftungsbeschränkung auf das Gesellschaftsvermögen. Welche Vorteile bringt die GmbH-Gründung darüber hinaus noch mit sich? Gerade diejenigen, die planen, ihr Lebenswerk an die nächste Generation zu übergeben oder zu verkaufen oder als weitere Geldanlage im Ruhestand einzusetzen, bekommen im folgenden Beitrag die Vorteile der GmbH detailliert dargestellt. Und was passiert bei einem überraschenden Todesfall des Einzelmaklers?

1.) Das Haftungsrisiko trägt die GmbH

Auf die Frage, inwiefern die GmbH das Haftungsrisiko des Versicherungsmaklers einschränkt, gibt es eine klare Antwort. Die GmbH als juristische Person verfügt über eine eigene Rechtspersönlichkeit. Sie ist als Trägerin von Rechten und Pflichten direkter Vertragspartner des Kunden und  sie haftet daher für etwaige Beratungspflichtverletzungen. Gegenüber den Gläubigern haftet die GmbH grundsätzlich nur mit ihrem Gesellschaftsvermögen, nicht aber mit dem Vermögen ihres Geschäftsführers oder ihrer Gesellschafter, vgl. § 13 Abs. 2 GmbHG. Das Privatvermögen (z.B. Eigenheim, Altersvorsorge) ist daher in Haftungsfällen wesentlich besser geschützt.

2.) Seltene Ausnahmefälle

Zugegebenermaßen gibt es auch von diesem Grundsatz wiederum Ausnahmen. Eine Ausnahme vom Haftungsgrundsatz bildet die nicht gesetzlich geregelte sogenannte „Durchgriffshaftung“. In diesem Ausnahmefall greift die Haftung auf die natürliche(n) Person(en) hinter der GmbH durch, also auf den oder die Gesellschafter. Dies betrifft Fälle in denen der Versicherungsmakler nicht zwischen seinem privaten Vermögen und dem Vermögen der GmbH trennt, bei einem Fremdgeschäftsführer als Gesellschafter aktiv die Geschäfte der GmbH betreibt oder der GmbH dessen Vermögen entzieht, sodass die GmbH nicht mehr überlebensfähig ist (Bestandsvernichtender Eingriff). Auch soll dadurch vermieden werden, dass der Geschäftsführer eine zweite GmbH gründet, nur um damit das Wettbewerbsverbot zur ersten GmbH zu umgehen.

Eine weitere Ausnahme vom Haftungsgrundsatz ist der im Gesetz verankerte Regressanspruch, den die GmbH selbst hat. Nach § 43 Abs.2 GmbHG besteht dieser aber nur gegenüber dem Geschäftsführer, welcher seine Obliegenheiten gegenüber der Gesellschaft verletzt hat, und nicht gegenüber den Gesellschaftern, die das Vermögen an der GmbH halten. Der Haftungsmaßstab ist dabei der eines „ordentlichen Geschäftsmannes“, der gerade bei Geschäftsführern von kleineren Makler-Unternehmen regelmäßig angewendet wird, da hinter dem Makler-Unternehmen zumeist ihre höchsteigenen Vermögensinteressen stehen.

Die GmbH kann nach einer berechtigten Inanspruchnahme des Kunden also den entstandenen Schaden vom Geschäftsführer zurückverlangen, wenn der Anspruch des Kunden auf einer Pflichtverletzung des Geschäftsführers beruhte, zum Beispiel durch Falschberatung oder durch das Versäumnis, sich rechtzeitigt Rechtsrat einzuholen. Dies gilt übrigens auch für die Einmann-GmbH. Solange der Makler aber Geschäftsführer und Alleingesellschafter ist, dürfte er nicht bestrebt sein diese Ansprüche gegen sich persönlich geltend zu machen, auch wenn es theoretisch ginge.

Hinsichtlich der Haftungsfrage ist festzuhalten, dass ein Versicherungsmakler-Unternehmen in Form der GmbH grundsätzlich nur mit dem eigenen Gesellschaftsvermögen haftet. Von diesem Grundsatz gibt es nur wenige Ausnahmen, die theoretisch einen Durchgriff auf das Privatvermögen eröffnen können. Auch bei größeren Schadensfällen bleibt das Privatvermögen der Gesellschafter bei rechtsfehlerhaftem aber ansonsten rechtstreuem Verhalten außer Gefahr. Nur, wenn die Leistung der Vermögensschadenhaftpflicht-versicherung und das Vermögen der GmbH nicht ausreichen sollten, um den Schaden des Kunden zu ersetzen, wären die Ausnahmen eventuell von praktischer Relevanz.

3.) Fortbestand des Unternehmens – auch nach dem eigenen Tod

Für viele ältere Versicherungsmakler stellt sich darüber hinaus früher oder später die Frage der Fortführung des eigenen Unternehmens, entweder durch seine Nachkommen oder durch einen möglichst gewinnbringenden Verkauf.

In der Regel wird solch ein Makler im Laufe der Zeit umfangreiche Beziehungen sowohl zu seinen Kunden als auch zu den Versicherern aufgebaut haben. Wenn diesen nun plötzlich oder auch absehbar der bisherige Makler als Bezugsperson wegfallen sollte, so kann für die Nachfolger nur gehofft werden, dass er vorher die rechtlichen Beziehungen in nachvollziehbarerweise strukturiert hat.

Doch dies ist in der Versicherungsmaklerbranche leichter gesagt als getan. Nicht selten sind die rechtlichen Beziehungen zu den einzelnen Kunden sehr unterschiedlich. Gegenüber vielen, gerade älteren Kunden, besteht nicht einmal ein schriftlicher Maklervertrag oder er ist nur sehr oberflächlich gefasst. Jedenfalls enthalten eine Vielzahl von Verträgen keine Bestimmungen zu einer etwaigen Rechtsnachfolge des Maklers oder diese Bestimmungen sind nicht wirksam.

Die Folgen können dann so schwerwiegend sein, dass das Maklerunternehmen in ernsthafte wirtschaftliche Bedrängnis gerät und damit an finanziellen Wert für die Hinterbliebenen des Maklers verliert.

Am Beispiel des (plötzlichen) Maklertodes wird dies besonders deutlich. Gegenüber vielen Kunden kommen beim Tod des Maklers die gesetzlichen Bestimmungen über die Geschäftsbesorgung[2] zur Anwendung. Egal, ob schriftlich oder mündlich gefasst, durch den Tod des Maklers erlischt seine Vollmacht des Kunden. Dann haben die Hinterbliebenen rechtlich keine oder nur noch eine eingeschränkte handhabe, um für den Kunden aktiv werden zu können. Das wissen auch viele Versicherer und übernehmen die Bestände des Maklers auf kurz oder lang in die „Direktbetreuung“. Eine Auszahlung von „echten“ Betreuungscourtagen an die Hinterbliebenen erfolgt nicht, was in diesem Fall sogar rechtlich nicht zu beanstanden ist, wenn keine Betreuung mehr geleistet werden darf, wegen des Wegfalles der Berufszulassung nach § 34 d GewO. Lediglich die  „echten“ Abschlussfolgecourtagen, z.B. Dynamikcourtagen müssen noch zur Auszahlung gebracht werden, da der Vermittlungserfolg vom Makler noch zu seinen Lebzeiten erbracht worden ist, was aber auch die meisten nicht wissen.

Leider dürften die meisten Hinterbliebenen des Maklers in der Regel über keine Gewerbeerlaubnis nach § 34d GewO verfügen, sodass eine Zusammenarbeit zwischen Versicherer und Hinterbliebenen also Erben allein deshalb ausscheidet.

De fakto können die Hinterbliebenen dann das Unternehmen des verstorbenen Maklers nicht mehr weiterführen. Auch erhalten sie anders als die Hinterbliebenen des Handelsvertreters nach § 89b HGB keine Ausgleichszahlungen vom Versicherer.

Und selbst wenn die Hinterbliebenen über eine Gewerbeerlaubnis nach § 34d GewO verfügen sollten und der Versicherer auch gewillt wäre mit diesen zusammenzuarbeiten, so ist es noch ein weiter Weg bis das Maklerunternehmen in der Form wie vorher weiterbetrieben werden kann. Beispielsweise wäre aus datenschutzrechtlichen Gründen bereits die Kontaktaufnahme der Hinterbliebenen mit den Kunden problematisch, da deren damalige Einwilligung nach dem Bundesdatenschutzgesetz (BDSG) ebenfalls mit dem Maklervertrag erloschen sein dürfte. Auch diese Hürden könnten natürlich gemeistert werden. Aber wie lange würde dies alles dauern und wieviele Verträge würden dabei verloren gehen, nur weil der Makler nicht vorgesorgt hat?

Eine Form der Vorsorge bzw. der geordneten Übergabe an die nächste Generation bietet die GmbH. Als juristische Person kann sie nicht wie eine natürliche Person sterben. Der Tod des Geschäftsführers oder des einzelnen Gesellschafters hat keine unmittelbare Auswirkungen auf den Fortbestand der GmbH. Bei Tod des Geschäftsführers können die Gesellschafter einen neuen Geschäftsführer bestellen, welcher die Geschäfte der GmbH fortführt. Bei Tod eines Gesellschafters rücken dessen Erben in die Gesellschafterstellung[3] nach, ohne das sie hierfür eine eigene Gewerbeerlaubnis nach § 34d GewO benötigen würden. Inhaber der Gewerbeerlaubnis wäre stets die GmbH. Diese Gewerbeerlaubnis würde fortbestehen, genauso wie die Maklerverträge zu den Kunden oder die Courtageanbindungen zu den einzelnen Versicherern. Insbesondere würde der Versicherer danach auch weiterhin zur Courtagezahlung verpflichtet sein! Die GmbH hilft also den wirtschaftlichen Wert des Maklerunternehmens auch über den Tod des Maklers hinaus zu bewahren.

4.) Geordnete Nachfolge

Es muss jedoch nicht gleich der Tod sein, welcher den Makler zwingt seine berufliche Tätigkeit zu beenden. Auch die geregelte Übergabe an die nächste Generation oder der geplante lukrative Unternehmensverkauf will gut geordnet ablaufen.

– Die nächste Generation

Bei der Übergabe des Unternehmens an die nächste Generation, welche nicht selten aus der eigenen Familie kommt, ist eine langsame Einarbeitung in das Unternehmen von Vorteil. Auch hierfür eignet sich die GmbH in besonderem Maße. Der nächsten Generation können anteilig Gesellschaftsanteile übertragen werden und es können auch Steuervorteile gesichert werden. Auch können Gesellschaftsanteile an mehrere Personen vergeben werden, wenngleich nur eine Person den Makler als Geschäftsführer „beerben“ soll.

Der Makler will oftmals auch im Ruhestand noch von dem wirtschaftlichen Erfolg seines Unternehmens profitieren. Dasselbe gilt für etwaige Erben, ohne das sie selbst aktiv das Maklerunternehmen lenken wollen. Hier bietet die GmbH die Möglichkeit einen Geschäftsführer einzusetzen und sich selbst auf die Gesellschafterstellung zurückzuziehen. Dadurch würde den Gesellschaftern weiterhin der wirtschaftliche Erfolg des Unternehmens zugutekommen.

– Verkauf des Unternehmens

Auch bei einem Verkauf der Bestände oder des gesamten Maklerunternehmens an einen Dritten wirkt sich die Stellung des Maklers zwischen Kunden und Versicherer problematisch aus. Der Erwerber muss sowohl die Rechtsbeziehung des Maklers zum Kunden als auch die Rechtsbeziehung des Maklers zum Versicherer gänzlich übernehmen. Rechtlich erfolgt dies durch Abtretung nach § 398 BGB und Schuldübernahme nach § 415 BGB. Die Schuldübernahme ist dabei nur nach Zustimmung des Vertragspartners, also des einzelnen Kunden und des einzelnen Versicherers, möglich. Gerade die Zustimmung jedes einzelnen Kunden ist sehr schwierig und nur mit großem Zeit- und Arbeitsaufwand möglich. Schriftliche Maklerverträge bieten hier im Rahmen des § 309 Nr. 10 BGB Gestaltungsspielraum. Wo solche jedoch nicht bestehen oder aber eine entsprechende Regelung nicht mit in den Maklervertrag aufgenommen wurde, besteht auch unter datenschutzrechtlichen Gründen die Pflicht jeden Kunden gesondert zu kontaktieren und dessen ausdrückliche Zustimmung einzuholen. Eine stillschweigende Zustimmung des Kunden reicht nicht aus.[4]

Genauso soll der Erwerber die Stornohaftung für die vom Versicherer gezahlten Courtagevorschüsse übernehmen, den Bestand weiterhin betreuen und die Courtage zukünftig erhalten, d.h. er soll das Courtagekonto und das Stornoreservekonto übernehmen. Auch hier ist eine Zustimmung des Versicherers erforderlich. Der Erwerber läuft dabei Gefahr, dass der Versicherer die Zustimmung nur erklärt, wenn der Erwerber die neuen Courtagebestimmungen akzeptiert. Der Erwerber muss also auch hier wirtschaftliche oder auch rechtliche  Nachteile befürchten. Daneben sind Versicherer meist nur bereit eine Bestandsbetreuungscourtage an den Erwerber zu zahlen, wenn dieser nachweisen kann, dass er auch tatsächlich vom Kunden mit der Betreuung beauftragt worden ist, er mithin eine auf sich lautende Maklervollmacht vorlegt.

Die GmbH bietet den Vorteil, dass lediglich die GmbH-Gesellschaftsanteile an den Erwerber übertragen werden müssen. Eine Zustimmung des Versicherers oder des einzelnen Kunden ist hierzu nicht erforderlich. Für die Kunden und den Versicherer ändert sich nichts. Für sie bleibt die GmbH als Vertragspartner erhalten. Dadurch kann die Veräußerung des Maklerunternehmens auch kurzfristig erfolgen. Durch den ersparten Arbeitsaufwands und der Zeitersparnis ist die Übernahme des Unternehmens für den Erwerber lukrativer und der Makler wird grundsätzlich einen höheren Preis erzielen können, als denjenigen den er erzielt hätte, wenn er sein Unternehmen als Einzelkaufmann veräußert hätte. Insofern hat der Erwerber den Vorteil in aller Ruhe das erworbene Maklerunternehmen mit seinem eigenen Unternehmen verschmelzen zu können.

5.) Unternehmergesellschaft – echte Alternative?

Neben der GmbH kommt für viele Makler ebenso eine Umfirmierung zur Unternehmergesellschaft (haftungsbeschränkt), auch UG (haftungsbeschränkt)[5] genannt, in Betracht, die mit ihrem (theoretischen) Mindeststammkapital von nur EUR 1,- pro Gesellschafter als Pendant zur englischen Limited seit 2008 in Deutschland gegründet werden kann. Die Vor- und Nachteile der UG im Vergleich zur GmbH liegen auf der Hand.[6] Solange das Mindeststammkapital von EUR 25.000,- nicht einbezahlt ist, gilt die UG im Geschäftsverkehr nach außen allgemeinhin als (noch) nicht verlässlicher Geschäftspartner. Dennoch gelten für die UG im Wesentlichen die gleichen Vorteile, wie für die GmbH. Auch hier ist die persönliche Haftung der Gesellschafter grundsätzlich gemäß § 13 Abs. 2 GmbHG ausgeschlossen.

Beim Aufbau eines eigenen Maklerunternehmens mit anfänglich geringem Kapitaleinsatz bringt also auch die UG die gewohnten Vorteile einer GmbH gegenüber Personengesellschaften mit sich. Es muss also nicht der übliche Weg gegangen werden, zuerst ein Einzelunternehmen zu gründen, das dann später in eine GmbH umzuwandeln wäre. Die UG wandelt sich gemäß § 5a Abs. 5 GmbHG in eine GmbH um, sobald die Stammeinlage von EUR 25.000,- eingezahlt worden ist, ohne dass es eines komplizierten Umwandlungsprozesses bedarf.

Hinsichtlich der Haftung ist bei der UG aber zu beachten, dass diese wegen der Unterkapitalisierung bei der UG viel schneller auf die Personen hinter der UG durchgreifen kann. Deshalb ist auch bei der UG hinsichtlich der Höhe des einzubringenden Stammkapitals zu raten, dass damit die Bedürfnisse der Gesellschaft einigermaßen abgesichert sind, um eine gravierende Unterkapitalisierung von vornherein zu vermeiden.

6.) Fazit:

Die Vorteile der GmbH für Versicherungsmaklerunternehmen überwiegen die Nachteile bei weitem. Aber im Einzelfall kommen auch andere juristische Personen in Betracht, wie die UG bei Neugründungen. Wer aber aufgrund betriebswirtschaftlichen Wachstums umfirmieren will, sollte sich insbesondere die Haftungsvorteile einer GmbH gegenüber den Personengesellschaften OHG und KG genauer anschauen, wobei auch die GmbH & Co. KG eine sehr gute Alternative bietet. Gerade auch mit Blick auf die nächste Generation, die im Regelfall der persönlichen Haftung wesentlich kritischer gegenübersteht als der oder die Unternehmensgründer(in). Denn der Makler will doch nicht nur seine persönliche Haftung den Erben hinterlassen!

Die Kanzlei Michaelis berät Sie gerne bei der Klärung der Frage, ob die GmbH-Gründung in Ihrem Fall sinnvoll ist. Sollten Sie sich bereits für die GmbH-Gründung entschieden haben, unterstützen unsere Spezialisten aus dem Bereich Gesellschaftsrecht und Maklerrecht gerne bei der Überführung Ihres Unternehmens in die Rechtsform der GmbH und berät zu den möglichen Alternativen.

[1] Korrekterweise steht e.K. für eingetragene(r) Kaufmann(-frau).

[2] §§ 675, 673 BGB

[3] § 1922 BGB

[4] Eine entgegenstehende Auffassung aus dem sog. Code of Conduct (Verhaltenskodex) für Versicherungsvermittler ist eher abzulehnen.

[5] Gemäß § 5a Abs. 1 GmbHG ist der Hinweis auf die Haftungsbeschränkung im Namen zu tragen (Warnfunktion). Aus Vereinfachungsgründen im Folgenden aber „UG“ genannt.

[6] Die Besonderheiten der UG sind in § 5a GmbH geregelt.

Das gesetzliche Provisionsabgabeverbot: Was ist aus Sicht des Versicherungsmaklers noch erlaubt?

Das Provisionsabgabeverbot – Was sieht der Gesetzesentwurf der Bundesregierung vor?

von den Rechtsanwälten Sebastian Karch und Stephan Michaelis LL.M., Kanzlei Michaelis Rechtsanwälte

SebastianKarch

SebastianKarch

Stephan Michaelis

Stephan Michaelis

Das Provisionsabgabeverbot wird vielleicht dieses Jahr noch im deutschen Gesetz verankert.[1] § 48b Versicherungsaufsichtsgesetz-Entwurf (VAG-E) sieht die Verhinderung der Weitergabe eines Teils der vom Versicherungsunternehmen für die erfolgreiche Vermittlung erhaltenen Provision vom Vermittler zum Versicherungsnehmer vor. Von diesem Grundsatz soll es zwei Ausnahmen geben. Die gesetzliche Umgehung des Verbots wäre dann zum einen möglich, wenn die Sondervergütung nur geringwertig, d.h. unter EUR 15,- je Vertrag und Jahr bliebe (Bagatellgrenze) und zum anderen fände das Verbot keine Anwendung, soweit die Zahlung an den Kunden „zur dauerhaften Leistungserhöhung oder Prämienreduzierung des vermittelten Vertrages verwendet wird“.

Ohne das Provisionsabgabeverbot könnten Versicherungsvermittler sich durch Weitergabe der Provision an den Kunden einen Wettbewerbsvorteil gegenüber anderen Versicherungsvermittlern verschaffen, was den Wettbewerb zwischen den Versicherungsvermittlern antreiben würde. Von den daraus resultierenden Preissenkungen würde, wie in anderen Branchen auch, letztlich vor allem der Versicherungsnehmer profitieren.

Würde das Provisionsabgabeverbot hingegen fest im deutschen Gesetz verankert, so könnten die Versicherungen dem Versicherungsmakler vorschreiben, was seine Vermittlungsleistung gegenüber dem Kunden Wert ist.

Historienüberblick

Das Provisionsabgabeverbot müsste aus europäischer Sicht nicht in das deutsche Gesetz aufgenommen werden. Die Verpflichtung gilt nur für die Umsetzung der sog. IDD-Richtlinie bis zum 23.02.2018. Die EU-Richtlinie selbst kennt das Provisionsabgabeverbot aber gar nicht; es ist eine rein deutsche Erfindung aus längst vergangenen Zeiten.

Das Verbot der Zahlung von Sondervergütungen stammt ursprünglich vom BaFin-Vorgänger, dem Reichsaufsichtsamt für Privatversicherung aus der Weimarer Zeit und ist in Anordnungen niedergeschrieben, die wiederum über die entsprechende Verordnungsermächtigung im aktuellen VAG als Rechtsverordnungen fortgelten.[2] Damals gingen Versicherungsvermittler noch von Haustür zu Haustür und kassierten die Versicherungsprämie ein.

Die ursprüngliche Regelung sollte also verhindern, dass die Vermittler bei dieser Gelegenheit einen Teil ihrer Provision an ihre Kunden auskehren, worin die Gefahr eines ruinösen Wettbewerbs gesehen wurde.

Dass die Provisionsabgabe eine Form der Sondervergütung darstellt, wird bis zum 1. Juli 2017 in § 1 Abs. 2 VersSoVerV[3] ausdrücklich geregelt gewesen sein. Am 1. Juli 2017 wird diese Verordnung zusammen mit den Bekanntmachungen des Reichsaufsichtamtes allerdings aufgehoben.[4] Der jahrelange Streit um die Legitimität des Provisionsabgabeverbots hätte damit zu Ende gehen können.

Der letzte Stand in dem Streit um die Anwendbarkeit des Provisionsabgabeverbots ging bis dato, zumindest aus Sicht der Rechtsprechung, eindeutig zu Ungunsten der Befürworter des Provisionsabgabeverbots aus. Zivilrechtlich hat der BGH Vereinbarungen zwischen dem Vermittler und dem Versicherungsnehmer über die Weitergabe der Provision trotz Verstoßes gegen die versicherungsrechtliche Verbotsnorm für wirksam erklärt, da es kein gesetzliches Verbot im Sinne des § 134 BGB darstelle.[5] Auch das OLG Köln hat in seiner jüngsten Entscheidung in wettbewerbsfördernder Weise das Provisionsabgabeverbot für unwirksam erklärt.[6]

Ob der deutsche Gesetzgeber den Streit anfeuern wird, indem er das Provisionsabgabeverbot, wie im Gesetzesentwurf geplant, in die Novellierung des VAG aufnehmen wird oder sich doch ganz davon verabschiedet, wird sich aller Voraussicht nach noch dieses Jahr, vor dem Ablauf der aktuellen Legislaturperiode, endgültig entscheiden.

Wettbewerbsrechtliche Beschränkungen durch das Provisionsabgabeverbot

Beim Provisionsabgabeverbot handelt es sich sowohl um eine vertikale als auch eine horizontale Wettbewerbsbeschränkung.

Eine vertikale Wettbewerbsbeschränkung liegt immer dann vor, wenn der Inhalt der Vereinbarung darin besteht, dass eine vorgelagerte Wirtschaftsstufe Vorgaben hinsichtlich der Preisgestaltung macht. Durch das Provisionsabgabeverbot werden Vermittler in der Preisgestaltung ihrer Vermittlungsleistung gestört. Damit trifft es vor allem die Versicherungsmakler, die aufgrund ihres eigenen Haftungsrisikos gegenüber dem Versicherungsunternehmen unabhängig sind.

Zum anderen liegt auch eine horizontale Wettbewerbsbeschränkung vor, da der Versicherungsmakler die Versicherungsvertreter durch die Wettbewerbsbeschränkung nicht unterbieten kann. Der Preis für die Vermittlungsleistung bleibt dadurch unabhängig vom Vermittler gleich.

Die deutsche Rechtsprechung hat ausgeurteilt, dass das Provisionsabgabeverbot, so wie es bisher bestand, rechtswidrig ist. Zuletzt hat das OLG Köln in dem Provisionsabgabeverbot eine Beschränkung des freien Wettbewerbs[7] gesehen und fasste das Provisionsabgabeverbot mit seiner wettbewerbsbeschränkenden Wirkung als „Absicherung der finanziellen Interessen der bereits am Markt befindlichen Versicherungsvermittler“ treffend zusammen.

Die (vorerst) rechtssichere einfachgesetzliche Verankerung des Provisionsabgabeverbots im VAG wäre daher als neue Wettbewerbsbeschränkung auf den Vermittlungsmärkten zu qualifizieren.

Rechtssicherheit – Was darf der Versicherungsmakler seinen Kunden noch anbieten?

Sollte der Gesetzesentwurf in seiner jetzigen Form so ins Gesetz kommen, stellt sich aus Versicherungsmaklersicht die große Frage, was er seinen Kunden noch anbieten darf, um sich einen legalen Wettbewerbsvorteil gegenüber seinen Konkurrenten zu erwirtschaften.

Darf der Versicherungsmakler beispielsweise seine eigene Versicherungsprämie reduzieren, die ihm vom Versicherer zusteht, um dem Kunden ein attraktiveres Angebot machen zu können? Oder, sind von dem Verbot auch die weiteren Betreuungsprovisionen, die dem Vermittler erst weit nach Vertragsabschluss im Folgejahr zustehen, umfasst? Oder sind nur die einmaligen, also ersten Vermittlungs-Abschlussprovisionen erfasst? Und wie ist das Zusammenspiel mit dem gesetzlich bereits verankerten Anspruch auf Zahlung von Aufwendungsersatz, den der Versicherungsmakler für seine Kunden übernommen hat?

Der Wortlaut des Gesetzesentwurfs sieht vor, dass Sondervergütungen jede unmittelbare und mittelbare Zuwendung, insbesondere vollständige oder teilweise Provisionsabgaben, Rabattierungen auf Waren oder Dienstleistungen und sonstige Sach- oder Dienstleistungen, die nicht die Versicherungsleistung betreffen, sind.

Durch diese sehr weitgehende Definition des Begriffes Sondervergütungen ohne praxistaugliche Präzisierung, muss man die oben aufgeworfenen Fragen derzeit aus Sicherheitsgründen mit Nein beantworten. Die Kollision der Praxis mit dem weit gefassten Provisionsabgabeverbot ist damit vorprogrammiert und erst die Rechtsprechung wird, wie zuvor bezüglich des Provisionsabgabeverbots aus den Verordnungen, nach und nach Rechtssicherheit schaffen können.

Als Praxisexperten vermuten wir aber, dass sich die Gerichte zunächst nicht mit derartigen Einzelfragen zu plagen haben werden, sondern sich Kläger finden werden, die den Gerichten als erstes Grundsatzfragen zum neuen Provisionsabgabeverbot vorlegen werden, nämlich ob das Provisionsabgabeverbot in der neuen Form a) verfassungsgemäß und b) EU-rechtskonform ist, was unserer Meinung nach durchaus schon jetzt bezweifelt werden darf.

Zur ersten Ausnahmeregelung – Die Bagatellgrenze von EUR 15,-

Das Verbot zur Zahlung von Sondervergütungen findet im Gesetz selbst zwei (kleine) Ausnahmen. Zum einen soll oben Gesagtes nicht gelten, wenn die Geringfügigkeitsgrenze von EUR 15,- nicht überschritten wird.

Nach den vom Verband Deutscher Versicherungsmakler e.V. aufgestellten Verhaltensregeln für den Wettbewerb von Maklern untereinander, sind Zuwendungen oder Geschenke, unabhängig von ihrem Wert, an andere Personen aber sowieso nicht erlaubt, wenn damit geschäftliche Entscheidungen in unlauterer Weise herbeigeführt werden sollen.[8] Insoweit rennt die Regelung an sich bei den Versicherungsmaklern offene Türen ein.

Die Freigabe für Sondervergütung bis zu EUR 15,- wirft u.a. auch die Frage auf, ob damit auch Werbegeschenke an die Kundschaft im Allgemeinen erfasst sein sollen. Dass mit dieser Gesetzesregelung der Versicherungsvermittler generell in seiner Werbung eingeschränkt werden soll, kann nicht die gewünschte Intention des Gesetzgebers gewesen sein. Solange die ausgehändigten Werbeartikel, welche mehr als EUR 15,- kosten, nur zu Werbezwecken und gerade nicht zum Abschluss eines konkreten Vertragsabschlusses ausgehändigt werden, so kann dies nicht vom Provisionsabgabeverbot umfasst sein. In diesem Kontext muss die Entscheidung, ob eine Sondervergütung im Sinne der Norm vorliegt oder nicht, danach bemessen werden, welcher konkreten Leistung des Vermittlers welche (gewünschte) Gegenleistung des Kunden gegenübersteht.

 

Zur zweiten Ausnahmeregelung – Sondervergütung dient der dauerhaften Leistungserhöhung oder Prämienreduzierung

Zum anderen ist ausgenommen, wer die an den Kunden gezahlte Sondervergütung zur dauerhaften Leistungserhöhung oder Prämienreduzierung verwendet. Laut Gesetzesentwurf seien in diesem Fall „Fehlanreize für Verbraucher“ nicht zu befürchten.[9] Ab wann „dauerhaft“ erreicht wäre, überlässt der Entwurf dabei aber ebenfalls der zukünftigen Rechtsprechung.

Ob bereits das Vorhalten eines Agenturnetzes eine Qualitätserhöhung in diesem Sinne darstellen soll und demnach Versicherungsunternehmen über ihre Ausschließlichkeitsorganisationen regelmäßig vom Provisionsabgabeverbot befreit sein sollen, ist ebenfalls noch unklar, aber nach dem jetzigen Wortlaut durchaus möglich.[10]

Laut Gesetzesentwurf ist diese Ausnahme nur eingefügt worden, um die Grundlage für die darauffolgende Regelung des Durchleitungsgebots in § 48c VAG-E zu legen. Dadurch wird die Intention des Gesetzgebers deutlich, nämlich der Ausschluss von gleichen Wettbewerbsbedingungen für alle Vertriebswege. Dies bemängelt auch die DIHK. Denn gerade im Hinblick auf das Urteil des OLG Köln führt die fehlende Klarstellung im Entwurf darüber, welche Sondervergütungen im Einzelnen gemeint sind, zur Rechtsunsicherheit.[11]

 Fazit

Der Gesetzgeber hat die Rechtsunsicherheit quasi mit in das Gesetz zum Provisionsabgabeverbot geschrieben. Gerade für den Versicherungsmakler sind die wettbewerbsrechtlichen Beschränkungen, welche der neue § 48b VAG-E aufstellt, nur schwer zu verstehen. Durch die (aus EU-Sicht unnötige) Aufnahme in das Gesetz wird der langwierige deutsche Rechtsstreit um das Provisionsabgabeverbot nicht beendet – was alternativ auch hätte geschehen können –, sondern lediglich ein juristischer Neustart dieser Streitigkeiten erreicht.

Die beiden gesetzlichen Ausnahmeregelungen, die im Gesetzesentwurf vorgeschlagen werden, dienen ausschließlich der Ermöglichung einer einfachen Umgehung des Provisionsabgabeverbotes durch Versicherungsgesellschaften, da sie auf den Ausschließlichkeitsvertrieb zugeschnitten sind. Dies wird sogar von denjenigen bemängelt, die sich für die gesetzliche Verankerung des Provisionsabgabeverbots in das Gesetz ausgesprochen haben.[12] Für Versicherungsmakler indes wird es schwer werden, sich diese Ausnahmen zu Nutze zu machen, wenn das Provisionsabgabeverbot in dieser Form in das VAG aufgenommen wird.

Fußnoten:

[1] Mehr zum Gesetzgebungsverfahren der deutschen Umsetzung der Versicherungsvertriebsrichtlinie (IDD) können Sie hier lesen: http://kanzlei-michaelis.de/wp-content/uploads/2017/03/Empfehlungen-der-Sachverst%C3%A4ndigenaussch%C3%BCsse-des-Bundesrates_1.pdf.

[2] Bekanntmachung des Reichsaufsichtsamts für Privatversicherung vom 8.3.1934 betreffend Lebensversicherung (vgl. Nr. 58 des Deutschen Reichsanzeigers und Preußischen Staatsanzeigers vom 9.3.1934); Bekanntmachung des Reichsaufsichtsamts für Privatversicherung vom 5.6.1934 betreffend Krankenversicherung (vgl. Nr. 129 des Deutschen Reichsanzeigers und Preußischen Staatsanzeigers vom 6.6.1934); Verordnung des Bundesamtes für Versicherungen über das Verbot von Sondervergütungen; § 298 Abs. 4 VAG.

[3] Verordnung über das Verbot von Sondervergütungen und Begünstigungsverträgen in der Schadenversicherung.

[4] Vgl. Artikel 5 Verordnung zur Aufhebung von Verordnungen nach dem Versicherungsaufsichtsgesetz.

[5] BGH, Urteil vom 17.06.2004, VersR 2004, 1029.

[6] OLG Köln, Urteil vom 11.11.2016 – 6 U 176/15, VersR 2017, 227 ff.

[7] So auch bereits VG Frankfurt a.M., Urt. v. 24.10.2011, 9 K 105/11.F (VersR 2017, 227 mit Anm. Schwintowski in VuR 2012, 240).

[8] VDVM – Code of Conduct Wettbewerbsregeln.

[9] Deutscher Bundestag – 18. Wahlperiode; Drucksache 18/11627 (Stand: 22.03.2017).

[10] Vgl. Diskussion über Privilegierung der Sparkassen-Filialnetze bei Umsetzung der Finanzmarktrichtlinie MiFID II in dt. Recht.

[11] DIHK Stellungnahme vom 12.12.2016 zum Gesetzesentwurf: https://www.dihk.de/themenfelder/recht-steuern/rechtspolitik/nationale-stellungnahmen

[12] z.B. Bundesverband Deutscher Versicherungskaufleute e.V. (BVK) in seiner Stellungnahme zum Referentenentwurf vom 12.12.2016.