Muss der Makler eine Auftragsdatenverarbeitung mit Maklerpools schließen?
von Sebastian Karch
„Nein, der Makler muss in der Regel keinen Vertrag über Auftragsverarbeitung mit Maklerpools schließen, jedenfalls nicht mit den allermeisten“, sagt Rechtsanwalt Stephan Michaelis (Fachanwalt für Versicherungsrecht, Handels- und Gesellschaftsrecht).
(Hamburg, den 19.06.2018) Viele Makler fragen sich daraufhin: „Wie kann das sein? Der Pool erhält doch von mir personenbezogene Daten meiner Kunden zur Verarbeitung.“
Diese einfach anmutende Fragestellung, welche derzeit in der Branche heiß diskutiert wird, weil viele Pools jetzt eine AVV anbieten, sollte man sich datenschutzrechtlich Stück für Stück nähern, um die Abgrenzung von Auftragsverarbeitung zu eigener Verantwortlichkeit des Pools nachvollziehen zu können.
Zunächst, wer ist Auftragsverarbeiter?
Ein Vertrag über Auftragsdatenverarbeitung (im Folgenden „AVV“ genannt) ist zwischen einem Verantwortlichen und einem (oder mehreren) Auftragsverarbeiter(n) gemäß Art. 28 DSGVO zu schließen. Folglich ist die entscheidende Frage, ob ein Maklerpool als Auftragsverarbeiter anzusehen ist? Denn nur dann wäre eine AVV mit dem Makler als Verantwortlichen abzuschließen.
Ob eine Auftragsverarbeitung vorliegt, ist mittels einer sachbezogenen, funktionalen Betrachtung der tatsächlichen Verhältnisse zwischen Verantwortlichem und Auftragsverarbeiter festzustellen.
Die Datenverarbeitung muss selbstverständlich im Auftrag des Verantwortlichen stattfinden. Das zentrale Element der AVV ist darüber hinaus die Weisungsgebundenheit des Auftragsverarbeiters.1
Der Verantwortliche legt allein Zwecke und Mittel der Verarbeitung fest und gibt dem Auftragsverarbeiter weisungsgebunden die von diesem vorzunehmenden Verarbeitungen vor. Davon darf nicht abgewichen werden. Fehlt es an der strengen Weisungsgebundenheit, so liegt keine Auftragsverarbeitung vor.
Typisches Beispiel für eine Auftragsverarbeitung ist die Auslagerung der Datenspeicherung bei einem Maklerverwaltungsprogramm (MVP). Typische Beispielsfälle für das Nichtvorliegen einer erforderlichen Auftragsverarbeitung sind auch die Datenübertragung an Rechtsanwälte, Steuerberater, weil hier eine gesetzliche Schweigepflicht besteht.
Wonach erfolgt also die Abgrenzung der Auftragsverarbeitung zur eigenen Verantwortlichkeit?
EXKURS: Früher wurde die weisungsgebundene Auftrags(daten)verarbeitung abgegrenzt zur sogenannten „Funktionsübertragung“. Eine Funktionsübertragung lag vor, wenn eine eigene Entscheidungsbefugnis des Dritten hinsichtlich des „Wie“ der Datenverarbeitung oblag. Dies ist nunmehr überholt, da die DSGVO dem Auftragsverarbeiter mehr Gestaltungsspielraum bei der Wahl der Mittel, also wie er den Auftrag umsetzt, lässt, ohne an seiner Rolle als Auftragsverarbeiter zu rütteln. Die DSGVO geht insoweit davon aus, dass in der heutigen Zeit die Aufgabenteilung selbstverständlich ist. Nicht jedes Unternehmen macht alles, um ihren Kunden zufriedenzustellen, sondern bedient sich dafür wiederum spezialisierter Unternehmen, dem potenziellen Auftragsverarbeiter.
Aus diesem Grund kann es sich bei der Datenverarbeitung jetzt nur noch entweder um einen Auftragsverarbeiter oder einem Verantwortlichen handeln.
Für die Abgrenzung ist festzustellen, wann der Verantwortliche nicht mehr (allein oder gemeinsam mit anderen Verantwortlichen) die Entscheidung über Zwecke und Mittel der Verarbeitung trifft, sondern dem (vermeintlichen) Auftragsverarbeiter so viel Entscheidungskompetenz hinsichtlich der Verarbeitung überlässt, dass dieser selbst zum Verantwortlichen wird. Mit anderen Worten, der Auftragsverarbeiter ist, im Gegensatz zum Verantwortlichen derjenige, der nicht „allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung entscheidet“.
Ausschlaggebend ist demnach, wer von beiden tatsächlich über die Zwecke und Mittel der Verarbeitung entscheidet. Bei den allermeisten Maklerpools ist diese Waagschale eindeutig zur eigenen Verantwortlichkeit des Pools „hin gekippt“, denn dieser verarbeitet in der Regel freiwillig und eigenverantwortlich die Daten aus den Versicherungsvertragsverhältnissen, ohne großartig gegenüber dem akquirierenden Makler selbst ausschließlich Weisungsgebunden zu sein.
Zur Untermauerung dessen sollen die tatsächlichen Verhältnisse im üblichen Poolgeschäft einmal näher beleuchtet werden:
Tatsache 1
Rechtlich gesehen zieht der Pool die Versicherungsverträge an sich. Diese „gehören“ dann also nicht mehr dem akquirierenden Makler. Am ehesten ist das am Insolvenzfall eines Pools nachvollziehbar. Dann kann der Pool dem Makler im Vorfeld noch so viele (schuldrechtliche) Versprechungen gemacht haben, um ihn an sich zu binden. Im Pool-Insolvenzfall wird der Insolvenzverwalter die Vergütungen aus den Versicherungsverträge so schnell er nur kann in die Insolvenzmasse bringen. Der Makler hat dann keine Chance mehr, an vermeintlich „seine“ Verträge heranzukommen. Das vertragliche Versprechen, dass der Makler jederzeit seine Bestände haben kann, greift nicht mehr. Der Makler müsste zu seinem Kunden gehen und sich eine neue Vollmacht holen und den Kunden erneut umdecken. Dann ist aber meist die eine Hauptfälligkeit an Courtage weg, also in der Insolvenzmasse.
Zudem ist der Maklerpool in aller Regel umsatzsteuerbefreit. Nach dem hierfür einschlägigen § 4 Nr. 11 UStG sind die Umsätze steuerbefreit, welche aus der Tätigkeit von Versicherungsvermittlern (und Bausparkassen- und Versicherungsvertreter) stammen. Das heißt, die Tätigkeiten des Maklerpools entsprechen denen eines Versicherungsvermittlers.
Somit liegt dann aber denklogisch eine Eigenverantwortlichkeit des Pools (als Vermittler) vor, da er die Verträge an sich zieht und die Rolle des Vermittlers selbst ausfüllt und selbst zumindest mit-entscheidet. Wer selbst vermittelt, entscheidet auch selbst. Auch wenn es nur um das Entscheidungsrecht geht, nicht zu vermitteln. Aber ein Pool würde mit Sicherheit nicht eine Weisung des Maklers ausführen, die zu einer späteren Haftung führen könnte. Pools folgen also nicht allen Weisungen strikt und müssen es nach den Kooperationsverträgen mit den Maklern i.d.R. auch nicht.
Tatsache 2
Noch einleuchtender wird die Argumentation, dass der Pool kein Auftragsverarbeiter ist, wenn man sich vor Augen führt, dass der Pool in aller Regel eigenverantwortlich entscheidet, ob der vom Makler avisierte Versicherungsvertrag am Ende tatsächlich bei dem vom Makler ausgewählten Versicherer eingereicht wird. Der Pool kann also, zumeist vertraglich vereinbart, allein darüber entscheiden, ob der Auftrag des Maklers überhaupt umgesetzt wird. Manchmal entscheidet der Pool auch, dass ganze Kundenbestände auf einen anderen Versicherer umgedeckt werden. Hat der Pool aufgrund seiner Expertise eine bessere Möglichkeit für den Kunden gesehen, so kann er auch bei einem anderen Versicherer den Vertragsabschluss zum Wohle des Kunden herbeiführen. Oder es werden die Konditionen, der Versicherungsumfang oder die Versicherbarkeit von dem Pool mit dem Versicherer verhandelt. Wenn folglich der Pool eigene Deckungskonzepte anbietet, so ist er quasi selbstProduktgeber. Diese Tatsachen machen deutlich, dass der Makler es in aller Regel nicht einmal fest in der Hand hat, ob der Pool seinen Auftrag, so wie er es angetragen hat, strikt umsetzt, sondern der Pool ist der aktive Helfer!
Tatsache 3
Maklerpools bieten umfangreiche Dienstleistungen an, die er dem Makler nicht auf Geheiß erbringt, sondern von sich aus anbietet. Die allermeisten Maklerpools bieten dabei nicht nur bloße Unterstützungsdienstleistungen an, wie die Stellung eines Vergleichsrechners für die Internetseite des Maklers oder ein Back-Office, sondern eine sehr lange Liste an Dienstleistungen. Dazu gehören:
Bestandsoptimierung; Neukundenakquise mit Leads; Datenoptimierung; App-Lösungen; Stellung eines Maklerverwaltungsprogramms; persönliches Back-Office; Abrechnungsmodelle; Fortbildungen für Berater; Recherchetätigkeiten; Schadenfallunterstützung etc. etc.
Dem Makler geht es natürlich zuvorderst um die Teilnahme an den Konditionen, welche dieser Pool mit diesen und jenen Versicherungsgesellschaften ausgehandelt hat, oder um überhaupt den Marktzugang zu manchen Versicherern zu bekommen. Aber er bekommt zusätzlich eben noch weit mehr Dienstleistungen, völlig ohne, dass er dahingehend eine Weisung an den Pool ausgesprochen hätte. Geschweige denn, dass er diese Prozesse irgendwie steuert.
Wenn der Pool sogar über das „Ob“ entscheiden kann, dann ist die Weisungsgebundenheit so sehr eingeschränkt, dass nach den tatsächlichen Verhältnissen nicht mehr von einer Auftragsverarbeitung gesprochen werden kann.
Im Übrigen gibt auch die Größe und damit Verhandlungsstärke das Ergebnis nicht vor. Denn es kann auch Auftragsverarbeiter sein, wer kraft seiner Größe / Verhandlungsstärke nur einen vorgegebenen, standardisierten Leistungskatalog anbietet, von dem es kein Abrücken gibt. Entscheidend ist diesbezüglich nur, dass der Verantwortliche die Wahl hat, die vom Auftragsverarbeiter angebotenen Leistungen anzunehmen und nicht zum Vertragsschluss gedrängt wird. Da es am Markt genügend Maklerpools gibt und der einzelne Makler theoretisch immer wechseln könnte, ist die Marktgröße des Pools also kein Argument dafür, dass keine AVV abzuschließen ist.
Wenn der Pool kein Auftragsverarbeiter ist, was ist er dann?
Die DSGVO sieht ein neues Instrument vor, die sogenannte „gemeinsame Verantwortlichkeit“ nach Art. 26 DSGVO. Läge diese vor, so müsste der Makler mit dem Pool eine „Vereinbarung“ abschließen, in der sie gemeinsam festlegen, wer von ihnen welche DSGVO-Verpflichtung erfüllt. Verlangt wird für dieses Instrument also eine gemeinsame Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Jeder der gemeinsam Verantwortlichen muss einen steuernden und kontrollierenden Einfluss auf die gemeinsamen Verarbeitungen nehmen können.
Nach den oben dargestellten tatsächlichen Verhältnissen kann davon in den allermeisten Fällen nicht gesprochen werden. Der Pool stellt dem Makler eine Plattform zur Verfügung, z.B. eine Bestandsverwaltung mit Abrechnungssystem. Das kann der Makler natürlich nutzen, aber er hat keinen steuernden Einfluss auf die Inhalte. Zudem benutzen die Maklerpools in aller Regel ihr MVP selber zu eigenen weiteren Zwecken. Ohne steuernden Einfluss, wird dem Makler nur die Entscheidung über Nutzen oder Nicht-Nutzen gewährt. Es ist kein „Miteinander“ im Sinne von Art. 26 DSGVO. Demzufolge dürfte auch Art. 26 DSGVO in den allermeisten Maklerpool-Fällen nicht einschlägig sein.
Der Maklerpool ist eigener Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO
Wenn alle anderen Möglichkeiten nach oben Gesagtem ausgeschlossen sind, bleibt konsequenterweise nur noch eine Möglichkeit übrig. Der Maklerpool ist als eigenständiger Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO anzusehen, mit allen damit verbundenen Pflichten.
Maklerpool in Einwilligungserklärung benennen
„Wichtig ist, dass der Makler in seiner Datenschutzerklärung zum Maklervertrag die Einwilligung des Kunden in die Datenweitergabe an den Maklerpool einholt. Der Pool ist dabei mit Namen zu benennen, damit der Kunde transparent darüber informiert wird, wohin seine personenbezogenen Daten im Rahmen des Maklervertrages weitergegeben werden.“ (Rechtsanwalt Stephan Michaelis).
Damit sich der Makler nicht schadensersatzpflichtig macht, sollte in jedem Fall darauf geachtet werden, dass er in seiner Datenschutzerklärung zum Maklervertrag den Maklerpool, an welchen er angebunden ist, namentlich vollständig benennt. Dies gilt selbstverständlich auch dann, wenn der Makler eine AVV mit seinem Pool geschlossen haben sollte. Denn es ist nicht das eine oder das andere zu tun. Eine AVV befreit den Makler nicht davon, dass er einen Datenschutzverstoß begeht, wenn er im Poolgeschäft keine nachweisliche Einwilligung einholt und den Kunden nicht über die Einbindung des Pool informiert.
Fazit
In den allermeisten Fällen muss der Makler keine AVV mit dem Maklerpool abschließen. Wenn der Makler nicht aufpasst, entstehen auch noch nachteilige vertragliche Pflichten. Nur wenn der Pool sich auf reine Back-Office-Dienstleitungen, wie etwa nur die Zurverfügungstellung eines MVP beschränkt und rechtlich auch keine Versicherungsverträge an sich gezogen hat, ist vielleicht eine AVV zu schließen. Dann liegt die Konstellation zugrunde, dass der Pool strikt die Weisungen des Maklers umzusetzen hat. Denn aus Sicht des Pools wird dieser ansonsten immer freiwillig und eigenverantwortlich tätig, ohne entscheidend und vollständig nach den Vorgaben des Maklers weisungsgebunden zu sein.
Viel wichtiger ist es, dass der Makler seine Kunden transparent darüber informiert, dass er personenbezogenen Daten des Kunden, insbesondere die besonderen personenbezogenen Daten, an den Maklerpool weitergeben wird. Dazu hat er sich die Einwilligung des Kunden einzuholen, auch wenn eine AVV vereinbart wurde!
1. In diesem Artikel werden die neuen Begrifflichkeiten aus der DSGVO verwendet; legaldefiniert in Art. 4 DSGVO. Zur besseren Nachvollziehbarkeit: Verantwortlicher entspricht dem „alten“ Auftraggeber und Auftragsverarbeiter dem Auftragnehmer. Die „alten“ Begrifflichkeiten werden auch noch weiterhin in vielen neuen AVV verwendet.