Marktplatz. Strafbare Datenschutzverletzung: Wo Versicherungsmakler täglich in die Falle tappen. Neuss, den

Transkript

1 Strafbare Datenschutzverletzung: Wo Versicherungsmakler täglich in die Falle tappen Marktplatz Neuss, den Referent: Rechtsanwalt Jürgen Evers

2 Überblick Einleitung Bedeutung und Funktion des Datenschutzes Geschützte personenbezogene Daten Erlaubte Datenverwendung Erforderlicher Inhalt einer Datenschutzklausel Datenschutzklauseln der Versicherer Inhaltskontrolle von Datenschutzklauseln Datenschutzbeauftragte Einzelfälle der Weitergabe von Kundendaten Stornogefahrmitteilung Übertragung von Kundenbeständen Übermittlung von Arbeitnehmerdaten Sanktionen bei Datenschutzverstößen Umsetzungsempfehlungen für den Maklerbetrieb

3 Einleitung

4 Einleitung Warum sollten sich Makler mit Datenschutz beschäftigen? VM verarbeiten täglich sensible Daten von Kunden Eklatante Datenschutzverletzungen (Postbank, AWD, Bankdaten von Steuersündern) alarmieren Verbraucherschutz und heizen die öffentliche Diskussion an Abtretung von Vertreterprovisionen sind wegen strafbarer Verletzung von Privatgeheimnissen unwirksam, wenn sie aus Lebens-, Kranken- oder Unfallversicherungen resultieren Anlässe genug, sich mit Datenschutzrecht auseinanderzusetzen und ggf. erforderliche Vorkehrungen zu treffen

5 Bedeutung und Funktion des Datenschutzes

6 Bedeutung und Funktion des Datenschutzes Datenschutzrecht beruht auf dem im Grundgesetz verankerten Grundrecht auf informationelle Selbstverstimmung Jeder hat das Recht, über die Preisgabe und Verwendung seiner personenbezogenen Daten selbst zu bestimmen Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, wenn - sie nach dem Gesetz erlaubt sind oder - der Betroffene eingewilligt hat

7 Geschützte personenbezogene Daten

8 Geschützte personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten natürlichen Person, d.h. Stamm- und Bewegungsdaten mit Personenbezug Personenstammdaten: z.b. Name, Anschrift, Geburtsdatum, Kontaktdaten, Beruf, Familienstand, Gesundheits-, Einkommens- und Steuerdaten Vertragsstammdaten: z.b. Versicherungsscheinnummer, Wertungssumme, Laufzeit, Beitrag, Kreditbetrag, Bankverbindung, Leistungsdaten aus auf Schaden- oder Leistungsfällen etc. Bewegungsdaten: z.b. Beitragszahlungen und deren Höhe

9 Erlaubte Datenverwendung

10 Erlaubte Datenverwendung Datenverwendung ist zur Erfüllung eigener Geschäftszwecke zulässig Erlaubt ist Datenverwendung, soweit sie zur Wahrung berechtigter Interessen des Maklers erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse des betroffenen Kunden an dem Ausschluss der Datenverwendung überwiegt Soweit der Makler die Daten benötigt, um den Maklerauftrag zu erfüllen, ist Verwendung der Kundendaten zulässig Kunde kann in der Regel nicht wissen, wie der Makler seinen Geschäftsbetrieb organisiert; er weiß nicht, an wen Makler Daten weiter gibt Makler sollte Kunden über Datenweitergabe informieren und in jedem Fall eine Einwilligungserklärung des Kunden in die Datenverarbeitung und -weitergabe einholen

11 Erforderlicher Inhalt einer Datenschutzklausel

12 Erforderlicher Inhalt einer Datenschutzklausel I Zweck der Erhebung und Speicherung Information darüber, dass Makler die Aufgaben aus dem mit dem Kunden geschlossenen Maklervertrag nur noch mit Hilfe der elektronischen Datenverarbeitung erfüllen kann Hinweis, dass erforderliche Verarbeitung der Daten auf der Grundlage des BDSG vorgenommen wird

13 Erforderlicher Inhalt einer Datenschutzklausel II Art der Daten - Personenstammdaten: Name, Anschrift, Geburtsdatum, Telefonnummer, Familienstand, Beruf, Gesundheits-, Einkommens- und steuerliche Daten - Vertragsstammdaten: Versicherungsscheinnummer, Versicherungssumme, Laufzeit, Beitrag, Kreditsummen, Bankverbindung, - Bewegungsdaten: Daten über vom Kunden erbrachte Beiträge und von Versicherern erbrachte Leistungen

14 Erforderlicher Inhalt einer Datenschutzklausel III Benennung von Empfängern, an die die Daten weitergegeben werden - Mitarbeiter des Geschäftsbetriebs des Maklers - Untervermittler - Kollegenunternehmen bei arbeitsteiliger Mandatsabwicklung - Versicherer - Verbund- oder Kooperationspartner als externe Dienstleister, z.b. Maklerverbund, Back-Office-Dienstleister, Pool etc. - im Rahmen gesetzlicher Pflichten oder behördlicher Auflagen auch sonstige Stellen wie Aufsichts-, Finanz- und Justizbehörden, Wirtschaftsprüfer u.a

15 Erforderlicher Inhalt einer Datenschutzklausel IV Information über das Auskunftsrecht des Kunden Kunde kann jederzeit Auskunft verlangen über die zu seiner Person gespeicherten Daten, den Zweck der Speicherung und Personen bzw. Institutionen, an die seine Daten weitergegeben werden

16 Erforderlicher Inhalt einer Datenschutzklausel V Widerrufsrecht des Kunden und Folgen eines Widerrufs Kunde kann Einwilligungserklärung jederzeit widerrufen Abhängig vom Umfang kann Widerruf dazu führen, dass die Leistungen, die Makler für den Kunden erbringt, eingeschränkt werden; Beispielsweise kann Widerruf dazu führen, dass Angebote für weitere Leistungen nur mit Verzögerung realisiert werden können Unter Umständen kann der Widerruf sogar dazu führen, dass dem Makler eine weitere Tätigkeit für den Kunden nicht möglich ist Widerruft der Versicherungsnehmer beispielsweise die Einwilligung gegenüber dem Versicherer, den Makler über fehlgeschlagene Beitragseinzüge zu informieren, kann Makler der Pflicht zur vertragsbegleitenden Beratung nicht mehr erfüllen 16

17 Erforderlicher Inhalt einer Datenschutzklausel VI Dauer der Speicherung Hinweis, ob wie lange erhobene und gespeicherte Daten nach einer Beendigung des Maklervertrages noch gespeichert werden Hinweis, dass Übermittlung von Daten an Dritte nicht mehr erfolgt und das Recht des Kunden auf Auskunft, Berichtigung, Löschung und Sperrung der Daten unberührt bleibt

18 Erforderlicher Inhalt einer Datenschutzklausel VII Erfordernis einer gesonderten Erklärung Datenschutzklausel und Einwilligungserklärung sollten nicht Bestandteil des Maklervertrages sein Einwilligung kann nichtig sein, wenn sie im Text nicht besonders hervorgehoben ist Verbindung führt dazu, dass bei Vorlage der Einwilligungserklärung an Versicherer der gesamte Inhalt des Maklervertrages vorgelegt werden muss Auch Verbindung mit Vollmacht eingeschränkt empfehlenswert Empfehlung: Einwilligungserklärung auf (ggf. auf die Rückseite) eines Merkblatts zur Datenverwendung setzen, damit Kunde später nicht behaupten kann, er habe das Merkblatt nicht erhalten 18

19 Datenschutzklausel der Versicherer

20 Datenschutzklausel der Versicherer Die Datenschutzklausel der Versicherer ist auf Belange der Risikoträger zugeschnitten Es werden keine Personen konkret benannt, an die Makler Kundendaten weitergibt, z.b. Mitarbeiter, externe Dienstleister, Pools etc. Die Ausrichtung der Tätigkeit des Maklers ist anders als die des Versicherers Makler sollte daher eine eigene auf seine Tätigkeit zugeschnittene Klausel verwenden

21 Inhaltskontrolle von Datenschutzklauseln

22 Inhaltskontrolle von Datenschutzklauseln Datenschutzklauseln sind für Vielzahl von Anwendungsfällen konzipiert Klauseln unterliegen als Allgemeine Geschäftsbedingungen einer richterlichen Inhaltskontrolle Für die Auslegung vom Allgemeinen Geschäftsbedingungen gilt der Grundsatz der kundenfeindlichsten Auslegung Das Gericht prüft, ob eine Lesart der Klausel Kunden unangemessen benachteiligt (= Abweichung von zwingenden Vorschriften oder Unvereinbarkeit mit wesentlichen Grundgedanken einer gesetzlichen Regelung) Benachteiligt Einwilligungserklärung unangemessen, ist sie unwirksam

23 Datenschutzbeauftragter

24 Datenschutzbeauftragter I Maklerunternehmen muss einen Datenschutzbeauftragten bestellen, wenn mindestens 10 Personen mit der automatisierten Datenverarbeitung beschäftigt sind Als automatisiert gilt Datenverarbeitung, wenn hierzu Datenverarbeitungsgeräte, z.b. PCs verwendet werden

25 Datenschutzbeauftragter II Aufgaben des Datenschutzbeauftragten: Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme Unterbreitung von Änderungsvorschlägen Schulung der Mitarbeiter in datenschutzrechtlichen Fragestellungen Datenschutzbeauftragter = Ansprechpartner in allen Fragen des Datenschutzes Datenschutzbeauftragter muss daher in seinem Gebiet weisungsfrei sein

26 Datenschutzbeauftragter III Als Datenschutzbeauftragter darf nur bestellt werden, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt Zertifizierungen als Fachkraft für Datenschutz und Datenschutzbeauftragter bieten IHK, DEKRA, TÜV u.a. Datenschutzbeauftragter genießt Kündigungsschutz (gilt nur, soweit Datenschutzbeauftragter nicht freiwillig bestellt wird) Der Datenschutzbeauftragte darf wegen Erfüllung seiner Aufgaben nicht benachteiligt werden Die Kündigung des Arbeitsverhältnisses mit Datenschutzbeauftragten ist unzulässig, sofern nicht ein Recht zur Kündigung aus wichtigem Grund vorliegt Kündigungsschutz und Benachteiligungsverbot gelten auch 1 Jahr nach Bestellung fort 26

27 Datenschutzbeauftragter IV Maklerbetrieb kann auch externen Datenschutzbeauftragten bestellen Kosten für externen Dienstleister ab ca. 300,-- p.m. Leistungen: Ersteinschätzung zumeist auf Basis einer Befragung des Maklers Erstellung eines Verfahrensverzeichnisses: welche Daten verarbeitet Makler, was macht er mit den Daten

28 Datenschutzbeauftragter V IT-Sicherheit: Passwortschutz; Bildschirmschoner nach Verlassen des Arbeitsplatzes; verschließbare Räume; Internetseite Sicherheits- und Schwachstellenanalyse: was passiert, wenn Dritte unbefugt Zugriff auf das Kundenverwaltungsprogramm haben? Wie geht man damit um, dass Kunden die Löschung der Daten verlangen (Sperrung der Daten und Löschung nach den gesetzlichen Bestimmungen) Datensicherung und Sicherung der Programme für die gesicherten Datenformate Sicherung des Systems gegen Mitnahme von Daten durch Untervermittler; externe Speicherung von Ereignisprotokolldateien (Log Files)

29 Einzelfälle der Weitergabe von Kundendaten

30 Stornogefahrmitteilung Makler kann Courtage von einem Abschlussvermittler im Stornofall nur zurückfordern, wenn er diesem entweder Gelegenheit gegeben hat, den Storno abzuwenden oder wenn er selbst geeignete Maßnahmen zur Stornoabwehr ergriffen hat Übermittlung der personenbezogenen Daten zum Zweck der Stornogefahrmitteilung dient der Durchführung des Geschäfts und ist daher auch ohne Einwilligung zulässig Zur Überlassung von Stornogefahrmitteilung besteht nach der Rechtsprechung weder Obliegenheit noch Vertragspflicht und zwar weder für noch in Diensten des Maklers stehende Abschlussvermittler noch für ausgeschiedene Abschlussvermittler Obwohl Makler Wahlrecht hat, dient Stornogefahrmitteilung Durchführung des Vertrages mit dem Kunden; Übermittlung zulässig

31 Übertragung von Kundenbeständen Bestandsübertragung ist von Zweckbestimmung des Maklervertrages nicht gedeckt Klauseln in Maklervertrag, nach denen Kunde von vornherein in eine mögliche Bestandsübertragung einwilligt, sind unwirksam Bestandsübertragung bedarf Makler wirksamer Einwilligung des Kunden Bei Übertragung des Gesamtbestands ist Einholung der Einwilligungen sehr aufwändig, so dass Bestandsübertragung in Form eines Asset Deals faktisch unmöglich

32 Übertragung von Kundenbeständen II Weitergabe von Kundendaten ohne Einwilligungserklärung? Risiko der Strafbarkeit wegen Verletzung von Privatgeheimnissen nach 203 Abs. 1 Nr. 6 StGB, soweit Bestandsdaten von Lebens-, Krankenoder Unfallversicherungen betroffen sind! Angehörige eines VU i.s.d. 203 Abs. 1 Nr. 6 StGB = jede Person, die aufgrund ihrer Funktion mit Geheimnissen des VN in Berührung kommen kann 203 Abs. 1 Nr. 6 StGB bezieht alle Mitarbeiter eines Versicherers in den Kreis der Geheimnisträger ein, die mit der Anbahnung, Abwicklung oder Verwaltung solcher Versicherungsverträge befasst sind Bisher ist nicht entschieden, ob auch der Makler ein Angehöriger des Versicherers ist 32

33 Übertragung von Kundenbeständen III Für Erstreckung spricht der mit dem Gesetz angestrebte umfassende Schutz der VN einer privaten Unfall-, Kranken- oder Lebensversicherung Herausnahme von Maklern würde zu einer mit Schutzzweck des 203 Abs. 1 Nr. 6 StGB unvereinbaren Schutzlücke für VN führen Makler steht im Doppelrechtsverhältnis zum Versicherer und könnte daher insbesondere in Fällen, in denen Versicherer Leistungen auslagert (Inkasso; Schadens- und Leistungsfallabwicklung) die Annahme rechtfertigen, der Makler sei Angehöriger des Versicherers

34 Übertragung von Kundenbeständen IV Lösungsmöglichkeiten: Share Deal Maklereinzelfirma wird in eine GmbH umgewandelt Geschäftsanteile werden an den Bestandserwerber veräußert Alternativ: Verschmelzung beider Rechtsträger Bei der Umwandlung bleibt der Rechtsträger, mit dem die Maklerverträge bestehen, identisch, neue Einwilligungserklärung des Kunden ist nicht erforderlich Übernahme eines Betriebs birgt allerdings Haftungsrisiken

35 Übertragung von Kundenbeständen V 2. Nutzung von Untervollmachten 3. Bestandserwerbender wird vom bestandsführenden Makler unterbevollmächtigt und erfüllt den mit bestandsführenden Makler bestehenden Vertrag, bis ein neuer Vertrag mit dem Kunden geschlossen worden ist Zwischen übernehmenden und übertragenden Makler wird eine Prozessvereinbarung geschlossen; sie regelt Schritten zur Überführung der einzelnen Maklermandate

36 Übermittlung von Arbeitnehmerdaten Im bav-geschäft müssen Arbeitnehmerdaten an den Makler übermittelt werden Vielfach geschieht dies in Form von unverschlüsselten Dateien Aufwand einer Verschlüsselung kann vermieden werden, indem Daten der Personenbezug genommen wird Dies kann geschehen, indem die Namen und Kontaktdaten der Mitarbeiter von der übrigen Datei getrennt werden, so dass mehrere Dateien entstehen oder indem Mitarbeiter nicht namentlich, sondern nur mit Mitarbeiternummer gelistet werden

37 Sanktionen bei Datenschutzverstößen

38 Sanktionen bei Datenschutzverstößen Verstöße gegen die Bestellung eines Datenschutzbeauftragten können mit Geldbuße bis zu ,-- Euro geahndet werden unbefugte Erhebung und Verarbeitung personenbezogener Daten, die nicht allgemein zugänglich sind, kann mit Geldbuße bis zu ,-- Euro geahndet werden Verletzung von Privatgeheimnissen aus Personenversicherungen (Unfall-, Kranken- oder Lebensversicherungen) kann nach 203 Abs. 1 Nr. 6 StGB mit Freiheitsstrafe von bis zu einem Jahr oder mit Geldstrafe geahndet werden Wiederholte Verstöße können dazu führen, dass die Aufsichtsbehörde den Makler als unzuverlässig einordnet und die Erlaubnis zur Ausübung des Versicherungsvermittlergewerbes entzieht

39 Umsetzungsempfehlungen für den Maklerbetrieb

40 Eigene Kundeninformation Makler sollte mit dem Thema Datenschutz offensiv umgehen und Kunden zeigen, dass er den Schutz von dessen personenbezogenen Daten Ernst nimmt Datenschutz sollte nicht nur in einem Merkblatt für Kunden erläutert, sondern auch in der Imagebroschüre oder auf der Homerpage des Maklers thematisiert werden

41 Organisation des Betriebes Eine wirksame und auf die Belange des einzelnen konkreten Maklerbetriebes zugeschnittene Einwilligungserklärung zum Datenschutz sollte eingesetzt werden, und zwar als Anhang zum Maklervertrag Der Makler sollte seine gesamte Betriebsorganisation mit allen Prozessen und Abläufen im Hinblick auf die Belange des Datenschutzes prüfen Mitarbeiter des Maklerbetriebes sollten für datenschutzrechtliche Belange sensibilisiert werden

42 Bestellung eines Datenschutzbeauftragten Unabhängig davon, ob der Betrieb des Maklers dieses erfordert, empfiehlt sich Bestellung eines (externen) Datenschutzbeauftragten Datenschutzbeauftragter kann insbesondere im Spannungsfall Hinweise für das Verfahren geben Professionelle Datenschutzbeauftragte verfügen über Kontakte zu den Landesdatenschutzbehörden; sie können im Konfliktfall eine Lösung des Vorgangs erreichen, bevor eine Akte angelegt wird Auf den Einsatz eines Datenschutzbeauftragten kann zu Werbezwecken hingewiesen werden

43 Aktualisierung der Datenschutzerklärung Auch Bestandskunden sollten neu konzipierte Datenschutzerklärung unterzeichnen, zur Begründung bietet sich die Gesetzesnovelle zum Datenschutz und wachsende Anzahl von Missbrauchsfällen an Kunden kann zudem erläutert werden, dass neu aufgenommene Kooperationen mit Verbünden, Dienstleistern oder Pools dem Interesse des Kunden dienen, ein möglichst breites Angebot zu erschließen und die Bearbeitungsprozesse schlank zu halten Kunden wird so vermittelt, dass Makler seine Daten verantwortungsbewusst und ausschließlich in dem Interesse verarbeitet, um den Maklerauftrag nach bestem Wissen und Gewissen zu erfüllen Datenschutz ist Chance, die Wahrnehmung der Kundenbelange in den Vordergrund zu stellen Hoher Schutzstandard hebt Maklerbetrieb aus der Masse heraus

44 Fragen?

45 Namenspartner: Vertriebsrecht: Dr. Gernot Blanke, Dr. Klaus Meier, Jürgen Evers Jürgen Evers, Reinhold Friele, Thiemo Heinrich, Sarah Lemke, Britta Oberst, Aline Reus, Dr. Friedemann Utz, Sascha Stallbaum, Lars Wagenknecht Adresse: Kurfürstenallee Bremen Telefon: 0421 / Telefax: 0421 / info@bme-law.de Internet: finden sie u.