Die Versicherungsvermittler geraten bei der Umsetzung der Datenschutzgrundverordnung DSGVO innerhalb der Finanzdienstleister offenbar als erste ins Visier der Behörden: Wie der Interessensverband der Versicherungsagenten (IVVA) berichtet, haben die Finanzdienstleister der Wirtschaftskammer Oberösterreich ihre Mitglieder darüber informiert, dass die Datenschutzbehörde mit Vorort-Kontrollen begonnen hat und sich dabei hauptsächlich für den Bereich Versicherungsvermittlung interessieren würde. Das sei insofern "sehr logisch, als es sich bei uns um eine Branche handelt, wo sehr viele personenbezogenen und auch zahlreiche sensible Daten anfallen (Gesundheit, etc.)", heißt es beim IVVA. Allerdings sollen die Vorgänge nun näher unter die Lupe genommen werden.

Der Verband sammelt gerade Informationen zu den Prüfungen und bittet Betroffene, den Ablauf der Kontrollen zu schildern. Die gesammelten Eindrücke sollen aufgearbeitet und den anderen Branchenmitgliedern zur Verfügung gestellt werden, damit diese sich besser vorbereiten können, wie aus einer Aussendung hervorgeht.

Vorsicht vor falschen Einstufungen
Ungelöst ist laut IVVA darüber hinaus weiter die Problematik von Agenturverträgen, in denen manche Versicherer selbständige Vermittler als weisungsgebundene Auftragsverarbeiter einstufen, obwohl diese eigentlich Datenverantwortliche nach der DSGVO seien. Viele Agenten hätten in letzter Zeit neue Agenturverträge oder Courtagevereinbarungen mit solchen Einstufungen erhalten; bei Nichtunterzeichnung würden manche Versicherer mit einem Ende der Zusammenarbeit drohen, schildert der auf Versicherungsrecht spezialisierte Rechtsanwalt Stephan Novotny in einem IVVA-Bericht. Solche Verträge könnten aber die Agenten in grobe Probleme bringen, warnt er.

Ein Agent ist ein Verantwortlicher nach der DSGVO wenn er als selbstständiger Unternehmer Daten von Kunden aufnimmt, kann aber auch Auftragsverarbeiter sein, etwa, wenn ein Schaden im Auftrag der Versicherung bearbeitet wird. Dafür ist ein schriftlicher Vertrag nötig aus welchem der Versicherungsagent dem Unternehmen haftet, warnt Novotny: Ist dies bereits für die "normale Tätigkeit" des Versicherungsagenten vorgesehen, so verpflichte sich der Versicherungsagent zu mehr, als er müsste.

Problematische Klauseln – bis hin zur fehlenden Beweisen
Der Agent dürfte dann nämlich personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten: damit wäre die "normale" Tätigkeit des Agenten "über Gebühr eingeschränkt", so der Anwalt. Der Agent müsste auch die Zustimmung einholen, sich Subagenten einzustellen oder mit solchen zusammen zu arbeiten.

Manche Versicherungsunternehmen verlangen außerdem, dass nur mit einer zur Verfügung gestellten Hard- und Software sowie IT gearbeitet werden darf. Der Versicherungsagent müsste das Unternehmen bei der Erfüllung der Betroffenenrechte und sonstiger Verpflichtungen nach der DSGVO unterstützen.

Eine Unterschrift kann aber auch drastische rechtliche Folgen haben: Nach Abschluss der Verarbeitungsleistungen (also der normalen Tätigkeit des Agenten) oder Beendigung der Zusammenarbeit mit dem Versicherer müsste der Agent alle personenbezogenen Daten entweder löschen oder zurückgeben. "Damit hätte er bei eventuellen Schadenersatzprozessen oder für sonstige eigene Angelegenheiten gegenüber dem VU keinerlei Beweisunterlagen zur Verfügung, was das 'Freibeweisen bei behaupteter Fehlberatung' unmöglich machen kann", warnt Novotny. Eine richtige Einstufung würde diese Probleme ersparen. Novotny empfiehlt, Verträge jedenfalls nachzuverhandeln.

"Dienstnehmerähnlichkeit"
Ein weiterer fragwürdiger Punkt ist, dass manche Unternehmen in den Auftragsverarbeiter-Vereinbarungen jederzeitige Kontroll- und Einsichtsrechte verlangen. Die IVVA merkt hier an, dass solche Verpflichtungen in Richtung Dienstnehmerähnlichkeit gehen und schlussendlich "die ständig nach Beitragszahlern Ausschau haltenden Gebietskrankenkassen interessieren" könnte. (eml)