Datenschutzrechtliche Einwilligungen sind auch im B2B-Bereich notwendig

von Rechtsanwalt Sebastian Karch (Kanzlei Michaelis)

SebastianKarch

SebastianKarch

Im Laufe der letzten Monate nach Wirksamwerden der EU-Datenschutzgrundverordnung (DSGVO) wurden Versicherungsmakler vielfach mit der Situation konfrontiert, dass Gewerbekunden die datenschutzrechtlichen Einwilligungserklärungen zum Maklervertrag nicht unterzeichnen wollten. Als Grund für die Weigerung wurde stets angegeben, dass der Maklervertrag zwischen zwei Unternehmen geschlossen wird (B2B) und datenschutzrechtliche Einwilligungen nur von natürlichen Personen abgegeben werden können (B2C).

Diese pauschale Behauptung ist falsch.

Denn das Datenschutzrecht unterscheidet nicht zwischen den Bereichen B2C und B2B. Datenschutzrechtliche Anforderungen sind zu beachten, sobald „personenbezogene Daten“ verarbeitet werden. Die Definition von „personenbezogenen Daten“ in Art. 4 Abs. 1 DSGVO ist sehr weit. Im Grunde fallen alle Informationen darunter, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das bedeutet, dass das Datenschutzrecht in dem Moment greift, wenn Daten einer natürlichen Person verarbeitet werden. Ob diese natürliche Person nun in Gestalt eines Unternehmers, gewerblich oder aber als Verbraucher daherkommt, ist für datenschutzrechtliche Regelungen irrelevant.

Für Gewerbekunden von Versicherungsmaklern gilt diese Erkenntnis uneingeschränkt. Schon im Maklervertrag selbst tauchen die ersten personenbezogenen Daten auf, nämlich die Namen der vertretungsberechtigten natürlichen Personen und mindestens eine Unterschrift unter dem Vertrag. Auch in jeder E-Mail des Gewerbekunden stehen spätestens in der Signatur personenbezogene Daten (Namen der Geschäftsführer / Vorstände).

Ebenfalls wird es im weiteren Verlauf der Zusammenarbeit auch noch zur Verarbeitung personenbezogener Daten von Mitarbeitern des Gewerbekunden kommen, etwa durch Speicherung von Kontaktdaten oder dem Führen von Newsletterlisten. Diese natürlichen Personen hinter dem Unternehmen werden vom Datenschutzrecht geschützt.

Auch im B2B-Bereich müssen Versicherungsmakler daher darauf achten, dass für eine Verarbeitung personenbezogener Daten, etwa die Verwaltung der Namen und E-Mail-Adressen von Geschäftsführern und Mitarbeitern der Gewerbekunden oder Speicherung der Kontaktdaten von Ansprechpartnern bei Geschäftskunden, die Einwilligung der betroffenen Person oder ein anderer Erlaubnistatbestand vorliegt. Denn im Datenschutzrecht gilt das sogenannte Verbot mit Erlaubnisvorbehalt, d.h. personenbezogene Daten dürfen nur verarbeitet werden, wenn eine Einwilligung des Betroffenen vorliegt oder aber eine gesetzliche Vorschrift den Umgang mit den Daten gestattet.

Um festzustellen, ob die Weigerungshaltung des B2B-Kunden berechtigt ist, müsste also geprüft werden, ob eine Einwilligungserklärung tatsächlich entbehrlich ist. Dies wäre nur dann der Fall, wenn die konkreten Datenverarbeitungsvorgänge des Maklers im konkreten Vertragsverhältnis allein auf andere Erlaubnistatbestände gestützt werden kann.

Erlaubnistatbestand „Maklervertrag“

In Betracht kommt dafür allen voran der geschlossene Maklervertrag. Dieser ist die Rechtsgrundlage für die Datenverarbeitung personenbezogener Daten des Kunden im Rahmen des Maklervertrags und vorvertraglicher Tätigkeiten. In dem Moment, in dem aber besondere Kategorien von Daten verarbeitet werden, braucht der Makler wiederum zusätzlich zum Maklervertrag eine Einwilligung. In Art. 9 Abs. 1 DSGVO sind alle besonderen Datenkategorien (Gesundheitsdaten, biometrische Daten, Religionszugehörigkeit usw.) abschließend aufgezählt. Denn der Gesetzgeber verbietet grundsätzlich die Verarbeitung dieser besonders sensiblen Daten und erlaubt dies nur für wenige Ausnahmefälle, z.B. der aktiven und freiwilligen Einwilligung durch die betroffene Person (Art. 9 Abs. 2 lit. a) DSGVO).

Wenn also mit Sicherheit feststeht, dass im Rahmen des Maklerauftrags keine besonderen Kategorien von Daten verarbeitet werden, dann wäre die Einwilligung tatsächlich entbehrlich. In der Regel werden aber vom Makler sensible Daten i.S.v. Art. 9 Abs. 1 DSGVO verarbeitet, auch wenn es bei Sachversicherungen nicht immer auf den ersten Blick klar sein mag. Da aber schon bei simplen Kfz-Verträgen nicht ausgeschlossen werden kann, dass Gesundheitsdaten verarbeitet werden (Unfall mit Personenschaden), darf auf die Einwilligung nicht leichtfertig verzichtet werden, schon gar nicht, wenn der Gewerbekunde o.g. falsche Argumentation verwendet.

Auch kommt es in der Praxis häufig dazu, das der Gewerbekunde vom Makler erwartet, „private Angelegenheiten“ auch mal eben mitzuversichern. Spätestens dann wäre eine Einwilligung in die Verarbeitung besonderer personenbezogener Daten nötig.

Berechtigte Interessen des Maklers

Ein weiterer wichtiger Erlaubnistatbestand sind die „berechtigten Interessen“ des Unternehmers (Maklers) nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Hierauf kann bei Bestehen einer Kundenbeziehung vor allem das Direktmarketing oder die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe für interne Verwaltungszwecke gestützt werden (Erwägungsgründe 47, 48). Auf Webseiten wird der Webseitenbesucher in den Datenschutzerklärungen auch darüber informiert, dass beim Aufruf der Webseite automatisiert Informationen vom System des aufrufendenden Rechners (Endgerät des Nutzers) aufgrund Art. 6 Abs. 1 S. 1 lit. f) DSGVO verarbeitet werden. Für diese Datenverarbeitungen bedarf es dann also keiner gesonderten Einwilligung des Kunden oder Webseitenbesuchers.

Diese Datenverarbeitungsvorgänge haben nichts mit der Erfüllung des Maklervertrags selbst zu tun und bedürfen daher einer eigenen Rechtsgrundlage. Der jederzeit widerrufbaren Einwilligung, ist der Erlaubnistatbestand der berechtigten Interessen aus Unternehmersicht vorzugswürdig.

Dringend zu beachten ist aber, dass jede Datenverarbeitung, die aufgrund berechtigter Interessen des Maklers erfolgt, zuvor einer „besonders sorgfältigen“ Interessenabwägung unterzogen werden muss. Unternehmerinteressen sind also nicht leichtfertig über die Grundrechte und Grundfreiheiten der betroffenen Person zu stellen. Der Datenverarbeiter muss sich schließlich immer rechtfertigen können, warum er diese und jene Datenverarbeitung auf diesen und nicht jenen Erlaubnistatbestand gestützt hat. Eine Dokumentation der vorher vorgenommenen Interessenabwägung ist daher dringend zu empfehlen. Überfrachten Sie den Erlaubnistatbestand „berechtigte Interessen“ also nicht, sondern sehen ihn eher als Auffangtatbestand an. Das ist aber bitte nicht so zu verstehen, dass ganz am Ende, wenn sonst kein Erlaubnistatbestand greift, die berechtigten Interessen die erfolgte Datenverarbeitung schon retten werden.

Faustformel:

Als Faustformel zu den „berechtigten Interessen“ gilt Folgendes: Wenn die betroffene Person zum Zeitpunkt der Datenerhebung und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird, dann kann diese Datenverarbeitung auf die berechtigten Interessen als Erlaubnistatbestand gestützt werden, vgl. Erwägungsgrund 47. Ist hingegen eher davon auszugehen, dass die betroffene Person von der konkreten Datenverarbeitung überrascht wäre, spricht das stark dafür, dass die Rechtsgrundlage „berechtigte Interessen“ nicht taugt.

Umso wichtiger ist es, dass wenn Datenverarbeitungen auf die berechtigten Interessen gestützt werden, die betroffenen Personen auch transparent in den Datenschutzhinweisen darüber informiert werden. So dürfte die konkrete Datenverarbeitung dann auch nicht mehr überraschend sein.

Fazit:

Auch Gewerbekunden schicken dem Versicherungsmakler im Rahmen des geschlossenen Maklervertrages personenbezogene Daten, die der Makler dann verarbeiten und zum Teil an Dritte weiterleiten muss. Damit der Versicherungsmakler diese personenbezogenen Daten verarbeiten und an Dritte (Versicherer, Maklerpools und sonstige Kooperationspartner) weitergeben darf, bedarf es der Einwilligung des Gewerbekunden in die Datenverarbeitung und Datenweitergabe dieser personenbezogenen Daten. Von Gewerbekunden sollte aus diesem Grund daher auch die Einwilligung in die Datenverarbeitung und Datenweitergabe von personenbezogenen Daten eingeholt werden.

Werden personenbezogene Daten ohne entsprechenden Erlaubnistatbestand verarbeitet, hat die zuständige Datenschutzaufsichtsbehörde die Befugnis, ein Bußgeld von bis zu 20 Mio. Euro oder von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs zu verhängen. Auch im Bereich der Bußgelder unterscheidet die DSGVO nicht zwischen den Bereichen B2C und B2B.

Entsprechende Musterunterlagen von uns erhalten Sie entweder im „Care-Paket“, das Sie über die Startseite unserer Kanzlei-Webseite unter „Care-Paket DSGVO für Mandanten der Kanzlei Michaelis“ für nur EUR 49,- zum Download erwerben können (nach Weiterleitung auf den Webshop von HMData) oder als AppRiori-Nutzer gratis.