Datenschutz

Informationspflichten für Vermittler

Orientierungshilfe für Vermittler zu den Infopflichten nach der DSGVO unter Berücksichtigung besonderer Verarbeitungssituationen

Vorbemerkung

Die nachstehenden Hinweise dienen als erste Orientierung für Sie. Unsere Ausführungen stehen unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses sowie weiterer Auslegungen der Datenschutzbehörden. Eine Haftung für den Inhalt, die Vollständigkeit oder auch die Wirkung der Ausführungen wird nicht übernommen.

1. Einleitung

Die Datenschutzgrundverordnung (DSGVO) sieht in den Art. 12-14 umfassende Informationspflichten der verantwortlichen Stelle (also der Geschäftsleitung) vor, wenn personenbezogene Daten beispielsweise von Kunden und Mitarbeitern verarbeitet werden. Die Bundesrepublik Deutschland hat hierzu in den §§ 32 und 33 des neu gefassten Bundesdatenschutzgesetzes (BDSG neu) die Regelungen der DSGVO modifiziert.

Die Informationspflicht ist in allen relevanten Prozessen zu beachten. Die sind insbesondere:

  • Anbahnung und Abschluss des Maklervertrages
  • Aufnahme von Versicherungsanträgen
  • Telefonischer Kundendienst
  • Abwicklung der Schaden-/Leistungsbearbeitung
  • Einschaltung von Dienstleistern
  • Anbahnung, Abschluss und Durchführung von Arbeitsverträgen

Im Folgenden werden hierzu die Rahmenbedingungen und Umsetzungsvorschläge dargestellt

2. Die Informationspflicht

  1. Unterscheidung nach Datenerhebungsablauf
    Wenn personenbezogene Daten beim Betroffenen (z.B. Ihrem Kunden) erhoben werden, sind dem Betroffenen die erforderlichen Datenschutzinformationen bereits bei Datenerhebung zu übermitteln (Art. 13 Abs. 1 DSGVO) . Dies gilt z. B. bei Abschluss eines Maklervertrages oder der Aufnahme eines Versicherungsantrages durch den Makler. Werden die Daten nicht beim Betroffenen erhoben, sondern erhält der Makler Daten eines Betroffenen mittelbar, etwa die Daten eines Geschädigten durch eine Schadenanzeige des Kunden, muss er den Geschädigten ebenso umfassend informieren (Art. 14 DSGVO). Der wesentliche Unterschied besteht darin, dass der Verantwortliche nach Art. 14 Abs. 3 DSGVO die Informationen nicht bei Erhebung, d. h. bei Erhalt der Daten erteilen muss, sondern

    • innerhalb einer angemessenen Frist nach Erhalt der Daten, spätestens nach einem Monat, oder
    • wenn die Daten zur Kommunikation mit dem Betroffenen verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an diesen, oder
    • falls die Offenlegung an einen Dritten beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

    Die letztgenannte Fallgestaltung kann z. B. in Betracht kommen, wenn der Makler die Schadenanzeige vom seinem Kunden mit den Daten des Geschädigten erhält und diese Schadenanzeige an den Versicherer weiterleitet. In diesem Fall muss er zeitgleich den Geschädigten informieren.

  2. Gegenstand der Informationspflicht

    Die Informationspflicht ist in den Art. 13 und 14 DSGVO in zwei Blöcke aufgeteilt. Der erste Block fordert folgende unabdingbare Informationen:

    • Name und Kontaktdaten des Makler (der Verantwortliche)
    • Sofern vorhanden: Kontaktdaten des betrieblichen Datenschutzbeauftragten, z. B. E-Mailadresse
    • Zwecke und Rechtsgrundlagen für die Datenverarbeitung
    • Kategorien der erhobenen Daten (gilt nur wenn Datenerhebung nicht beim Betroffenen erfolgt)
    • Angabe der berechtigten Interessen, wenn die Datenverarbeitung auf dem Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DSGVO (Datenverarbeitung im berechtigten Interesse des Verantwortlichen) beruht
    • Ggf. Empfänger oder Kategorien von Empfängern der Daten
    • Ggf. die Absicht des Verantwortlichen, die Daten in ein Drittland oder eine internationale Organisation zu übermitteln

    Die im zweiten Block genannten Informationen sind zusätzlich zu erteilen, wenn sie notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Dies bedeutet, dass für die Erteilung dieser Zusatzinformationen eine Abwägung erforderlich ist, wodurch sich ein gewisser Handlungsspielraum ergibt. Die Abwägung muss für jede Einzelne der geforderten Angaben durchgeführt werden, wobei im Zweifel von der Erforderlichkeit der Angaben ausgegangen werden sollte. Diese ggf. notwendigen Zusatzinformationen betreffen:

    • Dauer der Datenspeicherung oder – falls dies nicht möglich ist – die Kriterien hierfür
    • Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung (Sperren), Widerspruch und auf Datenübertragbarkeit
    • Recht auf Widerruf einer ggf. erteilten Einwilligung
    • Beschwerderecht bei einer Aufsichtsbehörde
    • Quellen für die Daten, ggf. mit Hinweis auf öffentliche Verfügbarkeit
    • Legitimation für die Bereitstellung der Daten durch den Kunden (z.B. gesetzliche Vorschrift, vertragliche Vereinbarung, Durchführung eines Vertrags, zusätzlich Folgen einer Nichtbereitstellung
    • Bestehen einer automatisierten Einzelfallentscheidung einschließlich Profiling, ggf. unter Angabe der involvierten Logik und Tragweite für die Betroffenen
  3. Form der Informationserteilung
    Nach Art. 12 Abs. 1 DSGVO sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln. Sie sind schriftlich oder in anderer Form, ggf. auch in Textform (elektronisch, per E-Mail) zu erteilen, auf Wunsch des Betroffenen auch mündlich.
  4. Ausnahmen nach der DSGVO
    Die Informationspflicht muss nicht fallweise wiederholt werden. Sie entfällt, soweit der Betroffene bereits informiert wurde. Erfolgt die Datenerhebung nicht beim Betroffenen selbst (z. B. weil er als Geschädigter in einer Schadenanzeige genannt wird), besteht die Informationspflicht auch dann nicht, wenn sich die Informationserteilung unmöglich oder nur mit unverhältnismäßig hohem Aufwand zu leisten wäre. In diesem Fall sind geeignete Maßnahmen zum Schutz dieser Daten zu ergreifen (Art. 14 Abs. 5 lit. b) DSGVO). Die Informationspflicht besteht zudem nicht, wenn die personenbezogenen Daten nicht beim Betroffenen erhoben wurden und ein Berufsgeheimnis besteht (Art. 14 Abs. 5 lit. d) DSGVO). Dies kann z. B. auf die Handelsvertreter (§ 92 HGB) zutreffen, soweit sie dem Berufsgeheimnis des § 203 Abs. 1 Nr. 6 StGB unterliegen.
  5. Ausnahmen nach dem BDSG – neu
    Weitere Ausnahmen von der Informationspflicht enthält § 32 BDSG-neu bei Datenerhebung beim Betroffenen und § 33 BDSG-neu, wenn die Daten nicht beim Betroffenen erhoben werden. Diese Ausnahmen gelten überwiegend für die Datenverarbeitung durch öffentliche Stellen und für die öffentliche Sicherheit. Eine für Vermittler relevante Ausnahme gilt in Zusammenhang mit der Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche.
    Die Ausnahme in § 32 Abs. 1 Nr. 1 BDSG betrifft lediglich den Fall der Weiterverarbeitung der bei dem Betroffenen erhobenen und analog gespeicherten Daten zu anderen Zwecken. Die Informationspflicht kann danach entfallen, wenn sich der Vermittler zur Weiterverarbeitung unmittelbar an den Betroffenen wendet. Diese Ausnahme dürfte für Vermittler eher nicht relevant sein.

3. Umsetzungsfragen

Hinweise zu den Datenschutzinformationen und für die Umsetzung können dem Kurzpapier Nr. 10 der Datenschutzkonferenz (DSK) entnommen werden. Beim DSK handelt es sich um das Gremium, in dem sich die Datenschutzbehörden der Länder mit dem Ziel einer einheitlichen Anwendung der Datenschutzvorschriften abstimmen. Die DSK hat bisher 11 Kurzpapiere zu verschiedenen Themenbereichen der DSGVO herausgegeben. Sie sind auf den Webseiten der verschiedenen Datenschutzbehörden veröffentlicht.

Die Fülle und Detaillierung der zu erteilenden Informationen bereiten zum Teil erhebliche Umsetzungsprobleme. Das unverbindliche Muster des GDV für die bei Antragsstellung erforderlichen Datenschutzhinweise umfasst bereits 3 Seiten und ist noch durch eine Darstellung der HIS-Datenschutzinformationen und eine Dienstleisterliste zu ergänzen. Dies verdeutlicht, dass der Umfang der Informationspflichten nach der DSGVO in einem gewissen Widerspruch zu den Geboten der Transparenz und leichten Verständlichkeit steht.

Eine weitere Schwierigkeit resultiert daraus, dass die Informationen nach Art. 13 DSGVO bereits bei Datenerhebung zu erteilen sind und es nicht zulässig ist, diese ggf. nachzureichen, weil die bereits nicht rechtzeitige Informationserteilung unter den Bußgeldtatbestand des Art. 83 Abs. 5 lit. b) DSGVO fällt.

In vielen Verarbeitungssituationen ist die Informationserteilung kaum realisierbar. Dies ist z. B. im telefonischen Kundendienst anzunehmen. Wenn ein Kunde mit einem Anliegen anruft, z. B. weil er eine eVB wünscht, ist es nicht realistisch, ihm die erforderlichen (ggf. mehrseitigen) Datenschutzhinweise vorzulesen, unabhängig davon, dass die mündliche Informationserteilung nach Art. 12 Abs. 1 DSGVO nur möglich ist, wenn der Betroffene dies verlangt. Völlig absurd wäre die Informationserteilung, wenn der Betroffene dringend Hilfe benötigt, z. B. weil er mit seinem Auto liegen geblieben ist und abgeschleppt werden möchte.

Der einzige Ausweg aus diesem Dilemma ist eine Aufspaltung der Informationen, indem Rumpfinformationen bei der Datenerhebung erteilt werden und die weiteren Informationen auf der Webseite oder einem Aushang veröffentlicht sind, auf die der Betroffene im Rahmen der Rumpfinformationen verwiesen wird. Hierbei kommt es zu einem Medienbruch, der aber von den Aufsichtsbehörden grundsätzlich abgelehnt wird. In dem Kurzpapier Nr. 10 steht hierzu:

„Die leicht zugängliche Form bedeutet auch, dass die Informationen in der konkreten Situation verfügbar sein müssen. Sollen die Daten also von einer anwesenden Person erhoben werden, darf die Person in der Regel nicht auf Informationen im Internet verwiesen werden. Dies gilt gleichermaßen für eine schriftliche Korrespondenz auf dem Papierweg.“

Diese Darstellung bedarf einer kritischen Betrachtung. Zunächst ist festzustellen, dass die DSGVO an keiner Stelle verbietet, die Informationen über verschiedene Medien zu übermitteln. Nach Art. 12 Abs. 1 DSGVO ist die elektronische Übermittlung der Informationen ausdrücklich gestattet, und zwar unabhängig davon, über welches Medium die Daten erhoben werden.

Zudem ist der Erwägungsgrund 58 der DSGVO zu beachten. Hier heißt es:

Der Grundsatz der Transparenz setzt voraus, dass eine für … die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich … ist und ggf. visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Webseite, wenn sie für die Öffentlichkeit bestimmt ist.“

Erwägungsgründe sind zur Anwendung und Auslegung der DSGVO heranzuziehen. Der zitierte Erwägungsgrund verdeutlicht, dass auch eine Bereitstellung der Informationen auf einer öffentlich zugänglichen Webseite zur Informationserteilung genügen kann, so dass eine aktive Übermittlung durch den Verantwortlichen nicht zwingend ist.

Danach erscheint eine Informationserteilung über verschieden Medien durchaus vertretbar. Letztlich dient es auch der Transparenz, wenn die betroffene Person nicht mit einer Unmenge von Informationen erschlagen, sondern zunächst mit „Rumpfinformationen“ versorgt wird und weitergehende Informationen jederzeit bereitstehen.

Die einschlägige Kommentierung ist verhalten, tendiert aber ebenfalls zu dieser Ansicht, vgl. Bäcker in Kühling/Buchner, Rdnr. 16 zu Art. 12 und Rdnr. 59 zu Art. 13 DSGVO, Kamlah in Plath, BDSG/DSGO Kommentar, 2. Auflage, Rdnr. 5 zu Art. 13 DSGVO und Gola Rdnr. 34 zu Art 13 DSGVO.

4. Handlungsoptionen

  1. Veröffentlichung der Datenschutzhinweise
    Die Datenschutzhinweise sollten auf der Webseite des Vermittlers und auch durch Aushang in seinem Kundencenter veröffentlicht werden.
  2. Bestandsinformation
    Eine Bestandinformation ist nicht vorgeschrieben, ist aber hilfreich, weil dann einheitliche Prozesse für Bestands- und Neukunden praktiziert werden können. Die Bestandkunden können mit einem Mailing informiert werden, ggf. mit dem Hinweis, dass weitere detaillierte und fortlaufend aktualisierte Datenschutzinformationen auf der Webseite des Vermittlers bereitstehen.
  3. Neukunden
    Neukunden müssen mit dem Maklerauftrag die Datenschutzhinweise erhalten.
  4. Telefonischer Kundendienst
    Im telefonischen Kundendienst (Inbound) sollte die verantwortliche Stelle genannt werden und auf die Datenverarbeitung sowie die Verfügbarkeit der Datenschutzinformationen auf der Webseite des Vermittlers hingewiesen werden. Ggf. kann angeboten werden, die Hinweise oder einen Link auf diese Hinweise per E-Mail zuzusenden. Dazu sollte den im telefonischen Kundendienst tätigen Mitarbeitern ein entsprechender Telefonleitfaden vorgegeben werden.In der Outbound-Telefonie ist zu unterscheiden, ob Kunden oder andere Personen angerufen werden. Bestandskunden sind idealerweise bereits über die Datenschutzinformationen informiert (siehe oben 4 b)). Vor einem (unverlangten) Anruf bei einem Nichtkunden muss der Verantwortliche zunächst seine Informationspflicht über den Erhalt der Daten des Betroffenen, den er anrufen möchte, klären. Wenn der Betroffene zuvor nicht informiert wurde, muss diese Information spätestens im Zuge des Telefonats erfolgen (siehe oben 2. a)). Dies erscheint kaum realisierbar, weil die Informationen mündlich nur auf Wunsch des Betroffenen erteilt werden können (Art. 12 Abs. 1 DSGVO) und der (erstmalige) Verweis auf die Datenschutzinformationen auf der Webseite des Verantwortlichen den Betroffenen nicht dazu führt, dass ihm die Informationen zum Zeitpunkt des Telefonats tatsächlich zur Verfügung stehen.

    Da die Outbound-Telefonie im Verhältnis zu Nichtkunden zu Werbezwecken nach § 7 UWG ohnehin in der Regel eine ausdrückliche Einwilligung des Betroffenen erfordert, liegt es nahe, die Datenschutzinformationen – wenn möglich – bereits bei Einholung der Einwilligung zu erteilen.

    Im Übrigen ist zu beachten, dass im telefonischen Kundendienst Gespräche aufgezeichnet werden können. Teilweise bestehen entsprechende Aufzeichnungspflichten, über die der Kunde zu Beginn des Telefonats aufzuklären ist. Wenn die Aufzeichnung erfolgt, ohne dass dazu eine Verpflichtung besteht, muss der Kunde zuvor auf die beabsichtigte Aufzeichnung und deren Zwecke sowie die Möglichkeit des Widerspruchs hingewiesen werden. Im Falle des Widerspruchs hat die Aufzeichnung zu unterbleiben.