In seinem YouTube-Videobeitrag vom 22.10.2018, greift der Geschäftsführer des Maklerpools blau direkt, Herr Pradetto, den Beitrag der Kanzlei Michaelis vom 19.06.2018 zur Fragestellung, ob Makler eine Vereinbarung zur Auftragsverarbeitung („AVV“) mit Maklerpools abschließen müssen, an. Er verteidigt darin im Wesentlichen seine Rechtsansicht, dass Makler (zumindest mit seinem Pool) eine AVV nach Art. 28 DSGVO abschließen müssen, weshalb er auch vermehrt im blau direkt Blog zur Unterzeichnung der von blau direkt vorgelegten AVV eindringlich aufruft, zuletzt mit Blogeintrag vom 08.10.2018. Die Beiträge können Sie unter folgenden Links abrufen:
https://blog.blaudirekt.de/2018/10/schickt-uns-eure-auftragsverarbeitungsvertraege-avv/
Diese Darstellungen der momentan umstrittenen Frage nach der Notwendigkeit des Abschlusses einer AVV zwischen Makler und Maklerpool durch Herrn Pradetto, nehmen wir hiermit zum Anlass, um noch einmal die Thematik aus rechtlicher Sicht zu beleuchten und zu hinterfragen. Dabei sei eingangs klargestellt, dass auch dieser Beitrag sich nicht mit der konkreten Situation bei blau direkt auseinandersetzt und nicht als Empfehlung für die Nichtunterzeichnung der AVV von blau direkt verstanden werden will.
Wir wollen mit unseren Beiträgen zu dieser Rechtsfrage die Maklerschaft über die Rechtslage objektiv aufklären und ein Bewusstsein dafür schaffen, nicht unkritisch von Maklerpools vorgelegte Auftragsverarbeitungsverträge zu unterzeichnen. Wie bei so vielen Datenschutzthemen, haben wir festgestellt, dass die allermeisten Makler sich nicht ausreichend auf das Wirksamwerden der DSGVO im Mai 2018 vorbereitet hatten und zur Mitte des Jahres mit der auf sie einbrechenden Flut an datenschutzrechtlichen Fragestellungen schlichtweg überfordert waren. Diese Feststellung gilt im Übrigen nicht allein für die Versicherungsmakler, sondern trifft auf deutsche Unternehmer aller Branchen zu, einschließlich der Rechtsanwaltskollegen.
Herr Pradetto selbst sieht blau direkt als umfangreichen Dienstleister für Makler an. Es werden neben datenverarbeitenden Vorgängen, wie etwa zur Verfügung gestellte Vergleichsrechner oder dem Verwaltungssystem, umfassende „Pooldienstleistungen“ angeboten. Den Hauptgrund für sein Argument, dass Makler mit blau direkt eine AVV abschließen müssen, sieht er darin, dass blau direkt nach Unterzeichnung des Kooperationsvertrages in jedem Fall personenbezogene Daten der Maklerkunden erhält.
Darauf allein kommt es allerdings nicht an! Nicht jeder Dritte, an den der Makler personenbezogene Daten seiner Kunden weiterleitet, muss mit dem Makler eine AVV abschließen. Nur, wenn ein Fall einer Auftragsverarbeitung im Sinne des Art. 28 DSGVO vorliegt, dann wäre auch ein Auftragsverarbeitungsvertrag abzuschließen. Die Abgrenzung, wann eine Auftragsverarbeitung tatsächlich vorliegt, ist im Einzelfall aber schwierig.
I. Blau direkt drängt zum Abschluss einer AVV
In seinen YouTube-Beiträgen drängt Herr Pradetto zum Abschluss seiner AVV. Dabei droht er mit der Sperrung des Courtage-Kontos und wenn man dann immer noch nicht unterschrieben hat, dann – so sein Wortlaut: „Dann wird es richtig eklig“. Denn wenn dann die Makler immer noch nicht unterzeichnet hätten, würde er sich zu einer Selbstanzeige bei der zuständigen Datenschutzaufsichtsbehörde gezwungen fühlen, in der er dann allen voran die Namen derjenigen Makler aufführt, welche die AVV von blau direkt bis dato nicht unterzeichnet haben. Diejenigen Makler sollten sich dann innerlich schon einmal auf einen Bußgeldbescheid von mindestens EUR 6.000,- einstellen.
Das ist ein enormer Druck der da von Seiten eines Pools auf die Einzelmakler ausgeübt wird. Dargestellt wird dieses Geschäftsgebaren mal wieder so, als wäre allein die DSGVO Schuld. Das ist aber mitnichten der Fall. Wir empfehlen daher dringend die detaillierte Auseinandersetzung mit diesem Thema und der zu Grunde liegenden datenschutzrechtlichen Streitfrage, die wir in diesem Beitrag als Ergänzung zu unseren Beitrag vom 19.06.2018 „Muss der Makler eine Auftragsdatenverarbeitung mit Maklerpools schließen?“ noch einmal näher beleuchten.
II. Darstellung unterschiedliche Rechtsmeinungen
Derzeit werden zu dieser konkreten Fragestellung von Maklerpools alle möglichen Rechtsmeinungen vertreten. Diese sind:
- Auftragsverarbeitung: Abschluss einer AVV nach Art. 28 DSGVO nötig
- Gemeinsame Verantwortlichkeit: Abschluss eines Joint-Controllership-Agreements nach Art. 26 DSGVO nötig
- Getrennte Verantwortlichkeit: Makler ist Verantwortlicher und Maklerpool ist daneben auch eigenständig Verantwortlicher
- Der Maklerpool „Jung, DMS & Cie“ zum Beispiel, setzt auf die Rechtsgrundlage der Einwilligung. Dafür stellen Sie den Maklern eine Einwilligungserklärung zur Verfügung, die sie dann von ihren Kunden unterzeichnen lassen müssen. So wird datenschutzrechtlich abgesichert, dass dieser Pool mit Zustimmung der Betroffenen selbst deren personenbezogene Daten verarbeiten darf. Zusätzlich wird eine AVV mit den Maklern abgeschlossen, aber nur für die vom Pool erbrachten IT-Dienstleistungen und die Datenverwaltung, also allein der Tätigkeiten, die als Schwerpunkt die Datenverarbeitung haben.
- Der Maklerpool „Apella“ setzt ausschließlich auf die Einwilligung. Apella ist der Auffassung, dass der Abschluss einer AVV im Zweifel für den Einzelmakler nachteilig ist. Als Glied in der Vermittlerkette sieht sich dieser Pool in der gemeinsamen Verantwortlichkeit mit dem Makler, die Daten der Kunden zu schützen und will sich nicht nur als „kleinen Dienstleister“ darstellen. Als Rechtsgrundlage für die Datenverarbeitung der Kundendaten beim Pool lassen sie sich Einwilligungserklärungen der Kunden vom angebundenen Makler vorlegen. Eine Aufspaltung ihrer Dienstleistungen in „IT-Dienstleistungen“, über die eine AVV abzuschließen wäre und „Nicht-IT-Dienstleistungen“ halten sie für falsch. Denn nur, weil man Softwaredienstleistungen anbietet, muss man diese nicht separieren und nur dafür eine AVV abschließen.
- „Fondsnet“ vertritt die Ansicht, dass sie mit dem einzelnen Makler eine sogenannte Joint-Controllership-Vereinbarung abschließen müssen, um die gemeinsame Verantwortlichkeit (Art. 26 DSGVO) datenschutzrechtlich abzusichern. Sie wollen ebenfalls nicht, dass der Makler als alleiniger Verantwortlicher für die Datenverarbeitungsprozesse dasteht.
- „Blau direkt“ sieht, wie im Blau direkt Blog detailliert dargestellt, einen Auftragsverarbeitungsvertrag als alleinige Rechtsgrundlage an.
Eine ganz gewagte vierte These unsererseits, die bisher von den Rechtsabteilungen der Maklerpools anscheinend noch nicht gesehen wurde, wäre es noch, die Datenweitergabe an den Pool auf Art. 6 Abs. 1 Satz 1 lit. b) DSGVO, also „die Verarbeitung zur Erfüllung eines (Makler-) Vertrags“ zu stützen. Das würde bedeuten, dass der Makler und der Pool getrennte und damit eigenständige Verantwortliche sind und sich der Pool für die Legitimation seiner Datenverarbeitungen auf den Vertrag des Kunden mit dem Makler stützen könnte, theoretisch. Dann wäre nicht einmal eine Einwilligung erforderlich. Dies ist aber bitte nur als rechtsdogmatische Ergänzung zur hier diskutierten Streitfrage zu verstehen.
Die Kanzlei Michaelis setzt im Ergebnis auf die Rechtsgrundlage der Einwilligung des Kunden für die Datenweitergabe an Kooperationspartner, wie etwa Maklerpools. Der große Nachteil von Einwilligungen ist nur, dass diese jederzeit vom Betroffenen (Kunden) widerrufen werden können. Da die Datenweitergabe an Maklerpools essentiell wichtig ist, sind Widerrufe aber unwahrscheinlich, wenn der Makler seine Kunden transparent über die Datenweitergabe als Notwendigkeit zur Vertragsvermittlung und – betreuung informiert.
Eine Aufspaltung der erbrachten Tätigkeiten halten wir für zu gekünstelt. Unseres Erachtens ist entscheidend, dass der Makler den Pool (in den meisten Fällen) nicht im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt, sondern die Erbringung fachlicher Dienstleistungen anderer Art im Vordergrund der Beauftragung stehen. Im Einzelfall kann man also nur dann von einer Auftragsverarbeitung ausgehen, wenn der Schwerpunkt der Beauftragung tatsächlich in der Datenverarbeitung liegt, also den Kernbestandteil der erbrachten Dienstleistungen ausmacht.
III. Rechte und Pflichten aus AVV beachten
In jedem Fall sollten Sie als Makler Ihre Rechte und Pflichten aus den abgeschlossenen AVV (i.d.R. ca. 17 Seiten lang mit 2 Anlagen) kennen und auch leben. Wenn Sie also zu dem Schluss kommen, dass der Abschluss eines Auftragsverarbeitungsvertrages für Sie sinnvoll ist bzw. Sie einfach nur keinen Streit mit Ihrem Maklerpool suchen, dann seien sich bitte unbedingt Ihrer daraus resultierenden Rechte und Pflichten bewusst. Ein „weiter so“, wie es nach dem alten BDSG üblich war, ist nicht ratsam. Diese Verträge müssen auch gelebt werden, um sich vor Bußgeldern und Schadensersatzklagen schützen zu können. Wir sagen schon jetzt voraus, dass es hinsichtlich der zu Hauf viel zu sorglos abgeschlossenen AVV dieses Jahr spätestens im kommenden Jahr noch ein böses Erwachen geben wird.
IV. Fazit:
Die Einschaltung anderer Parteien, also der Weitergabe von Kundendaten an Dritte, muss nicht immer ein Fall der Auftragsverarbeitung sein, auch wenn der Maklerpool der Dritte ist. Unserer Rechtsauffassung nach liegen hinsichtlich der meisten Maklerpools getrennte Verantwortlichkeiten vor, was logischerweise die Konsequenz hat, dass kein Auftragsverarbeitungsverhältnis zum Pool besteht. Der Maklerpool ist aufgrund seiner umfangreichen Tätigkeiten genauso eigenständig Verantwortlicher, wie der Makler selbst. Der reine Verweis auf das Vorliegen eines Auftragsverarbeitungsverhältnisses, nur, weil Kundendaten vom Pool verarbeitet werden, reicht hingegen unseres Erachtens aber nicht aus.
Unser Rat an die Makler ist daher: Holen Sie sich unbedingt Einwilligungen Ihrer Kunden in die Datenweitergabe an Maklerpools ein.
Für alle Kunden von „blau direkt“ stellt sich rein praktisch gesehen eigentlich nur die Frage, ob Sie noch weiterhin Kunden dieses Maklerpools bleiben wollen oder nicht. Der Nichtabschluss der AVV von blau direkt hätte die von Herrn Pradetto angedrohten ernsthaften Konsequenzen. Das gilt es zu vermeiden. Etwas Verbindliches, dass die Rechtsposition von blau direkt als 100% unrichtig darstellen würde, gibt es bislang nicht. Wie aufgezeigt, ist der datenschutzrechtliche Blumenstrauß an Argumenten breit gefächert.
Diese Fragestellung kann im Übrigen von jedem Makler der für ihn zuständigen Datenschutzaufsichtsbehörde vorgelegt werden. Die Behörden sind schließlich in erster Linie zur Unterstützung der Unternehmer da und nicht zur Angstmache.
In diesem Zusammenhang vielleicht noch die Information, dass es seit Einführung der DSGVO unseres Wissens nach in Deutschland noch kein einziges Bußgeld gegeben hat, auch wenn die Datenschutzaufsichtsbehörden mit Datenschutzverstößen geradezu überschüttet worden sind.
