Die im Mai 2018 in Kraft getretene EU-Datenschutzgrundverordnung (DSGVO), die bei Verstößen mit hohen Sanktionen droht, hat viele Wirtschaftstreibende verunsichert: Während aus Sicht der Regulatoren klar ist, dass das Recht der Kunden auf ihre Daten gestärkt werden muss, blieb für die Unternehmen oft im Dunkeln, wie die komplexen Regeln in ihrem spezifischen Bereich richtig anzuwenden sind: Falle ich in die Kategorie Verantwortlicher oder bin ich nur Auftragsverarbeiter? Und welche der möglichen Rechtsgrundlagen für die Datenverarbeitung trifft für mich zu? Die unterschiedlichen Auslegungen seien in der Praxis zum Problem geworden, berichtet Christoph Berghammer, Fachverbandsobmann der Versicherungsmakler aus dem Arbeitsalltag.

Um die Rechtssicherheit zu erhöhen, können Verbände oder Standesvertreter nach Artikel 40 DSGVO für den eigenen Bereich zugeschnittene Verhaltensregeln ausarbeiten und diese bei der Datenschutzbehörde (DSB) genehmigen lassen. Das hat nun der Fachverband der Versicherungsmakler und Berater in Versicherungsangelegenheiten gemacht. Die österreichische DSB hat ein 15-seitiges Papier genehmigt, das die Stellung der Makler im Datenverarbeitungsprozess beschreibt und Standards konkretisiert. In weiterer Folge soll es ein Siegel geben für Versicherungsmakler, die sich dem "Code of Conduct" (CoC) freiwillig unterwerfen wollen. Aber auch für jene, die nicht selbst teilnehmen, schafft der Rahmen Rechtsklarheit.

Strittige Fragen geklärt
Es handle sich um einen "Meilenstein", bei dem einige strittige Fragen beseitigt werden konnten, sagten mehrere Vertreter bei einer Präsentation am Donnerstag (2.12.). Der Code of Conduct stelle zum Beispiel klar, dass die Versicherungsmakler als Bundesgenossen ihrer Kunden eindeutig als datenschutzrechtlich Verantwortliche (nicht als Auftragsverarbeiter) gelten, erklärte Kerstin Keltner, Leiterin Recht- und Schadenservice der Koban Südvers Group, die an der Ausarbeitung beteiligt war.

Dass die DSB die Versicherungsmakler bei der Datenverarbeitung in der Rolle der Verantwortlichen sieht, sei eine wichtige Feststellung – insbesondere in der Diskussion mit den Versicherungen, die die Makler eher in der weitergebenden Position gesehen hätten. Der Versicherungskunde sei klar der Auftraggeber des Maklers und dieser ist umgekehrt dem Kunden verantwortlich für die ordnungsgemäße Verarbeitung seiner Daten. Nur in einigen Ausnahmefällen sei ein Versicherungsmakler ein Verarbeiter, etwa wenn es um eine reine Eingabe von Daten im Portal des Versicherers geht, so Keltner.

Rechtsgrundlagen
In einem weiteren Punkt bringt der Code of Conduct ebenfalls eine Klärung. Für viele Makler stellte sich die Frage, auf welcher Basis sie die Daten eigentlich verarbeiten. Schließlich verlangt die DSGVO Aufschluss über Zweck und Rechtfertigungsgrund. Hier stelle der Code of Conduct fest, dass die Basis das Gesetz sei (insbesondere § 28 Maklergesetz, MaklerG), nicht etwa eine Einverständniserklärung, erklärt Keltner. Man sei davon abgekommen, dass Einwilligungen nötig sind. Denn: Will ein Kunde einen Vertrag abschließen, ist die Datenverarbeitung Voraussetzung – somit wäre eine Zustimmung letztendlich nicht freiwillig. Einwilligungen, die von vielen Versicherungsmaklern eingeholt wurden, könnten damit in Zukunft unterbleiben.

Konkret lautet die Vorgabe: Bei der Verarbeitung von schlicht personenbezogenen Daten gelten die zwei Rechtfertigungsgründe: Vertragserfüllung und überwiegendes Interesse des Versicherungsmaklers. Bei sensiblen personenbezogenen Daten, etwa solchen, die die Gesundheit oder strafrechtliche Details betreffen, sei die Basis in der gesetzlichen Ermächtigung nach Paragraf 28 MaklerG und Paragraf 11c, Ziffer 5 Versicherungsvertragsgesetz (VersVG) zu finden, so Keltner. Gleichzeitig sei für die Verarbeitung der Daten eine ordnungsgemäße Vollmacht nötig, also ein zivilrechtliches "OK" des Kunden, dass der Makler in seinem Namen nach außen hin tätig wird – im Unterschied zu einer etwaigen DSGVO-Einwilligung nach innen hin.

Externe Überwachungsstelle fehlt noch
Der Code of Conduct als solcher sei von der DSB genehmigt worden, sagte Ursula Illibauer von der Bundessparte Information und Consulting der WKÖ, zu der die Makler gehören. Damit die Verhaltensregeln tatsächlich in Geltung treten können, müsse jedoch noch eine unabhängige externe Überwachungsstelle etabliert werden, die regelmäßige Audits durchführt und überprüft, ob sich die selbstverpflichtenden Makler auch tatsächlich an die Regeln halten. Diese externe Stelle müsse noch separat durch Bescheid von der DSB genehmigt werden.

Zum Start sei der Anbieter Austrian Standards an Bord. Es könnten sich aber weitere Prüfstellen akkreditieren lassen. Die am Code of Condut beteiligten Makler könnten sich dann aussuchen, welcher Anbieter sie überwacht. Dies sei auch in anderen Wirtschaftssparten üblich. Die Überwachungsstelle prüft nicht nur Unterlagen und schaut, ob der Makler datenschutzkonform arbeitet. Sie nimmt auch Beschwerden von Kunden entgegen, kann abmahnen und in weiterer Folge Mitglieder vom Code of Conduct ausschließen. Außerdem habe die Überwachungsstelle eine Berichtspflicht gegenüber der DSB, so Illibauer.

Kosten mit anderen Zertifizierungsprozessen vergleichbar
Wie viel ein Makler für die Teilnahme zahlen muss, steht noch nicht fest. Die Kosten gibt jedenfalls die jeweilige externe Prüfstelle vor. Der finanzielle Aufwand könnte vergleichbar mit anderen Zertifizierungsprozessen sein, wo man etwa mit rund 1.000 Euro pro Jahr aklkulieren muss, hieß es bei der Präsentation. Mit der Genehmigung von Austrian Standards durch die DSB sei zeitnah zu rechnen, sagte Illibauer.

Mitglieder der freiwilligen Selbstverpflichtung dürften sich nach Einschätzung von Illibauer im Fall von Datenschutz-bezogenen Rechtsstreitigkeiten hohe Aufwände ersparen. Man könne dann ins Feld führen, dass das ordnungsgemäße Arbeiten nach DSB-Standards im Rahmen der Überwachung regelmäßig bestätigt wird. Selbst wenn man nicht als Beitragszahler mitmacht, bietet der Code of Conduct Rechtssicherheit, sofern man sich daran hält und dies bei einem eventuellen Verfahren nachweisen kann. "Ich kann dann in einem Verfahren vor der DSB sagen, hier gibt es einen Bescheid der DSB, an den ich mich gehalten habe", so Illibauer.

Position der Versicherungsmakler ganz klar gestärkt
Klaus Koban, Leiter des Fachverbands-Arbeitskreises Recht, zeigte sich erfreut darüber, dass mit dem Code of Conduct sowohl für künftige Siegelträger als auch für Nichtmitglieder Klarheit geschaffen wurde. "Es ist ein Meilenstein in der Rechtstellung des Versicherungsmaklers im Umgang mit den Daten", sagte Koban bei der Präsentation. "Wegen unseres Doppelverhältnisses ist die Klarstellung im Zusammenhang mit der Datenhoheit wesentlich. Wir sind die Bundesgenossen des Kunden und eigenverantwortlich bei der Datenverarbeitung. Damit ist ein Schlussstrich unter die Diskussion gezogen", so Koban. Dass die DSB die Versicherungsmakler in der Rolle der Verantwortlichen sieht, habe "unsere Position ganz klar gestärkt". (eml)