Datenschutz in Maklerbüros - Bemerken Sie Datenverlust überhaupt?

Der Wechsel aus dem Bestand eines Vermittlers zum anderen Vermittler, beispielsweise über einen Makler- oder Betreuungsauftrag ist - wenn auch kein erfreulicher- aber eben noch relativ einfach nachvollziehbarer Vorgang. Und wenn die betreffenden Versicherer mitspielen, dann ist dies nach wenigen Tagen oder Wochen erledigt.

Komplizierter wird es dann schon, wenn ein Bestand oder eine Maklerfirma verkauft wird. Im Gegensatz zu den Darstellungen eines süddeutschen Maklerpools, dass die Weitergabe von Kundendaten einfacher geworden sei, ist grundsätzlich von einer komplexen Situation resultierend aus dem Bundesdatenschutzgesetz (BDSG) auszugehen.

Kundenbeziehung ohne Maklervertrag mit Klausel zum Übertrag

Wenn zwischen Makler und Kunde ein Maklervertrag fehlt, dann fehlen auch Regelungen für die Fälle, wenn der Makler für längere Zeit wegen Krankheit ausfällt, wenn der Makler stirbt oder wenn der Bestand an einen anderen Makler übergeben werden soll.

Dementsprechend stehen beide Seiten vor dem Problem Datenschutz. Im schlimmsten Fall, bei Tod des Maklers, erlischt der bestehende Maklervertrag, also die vertragliche Beziehung zwischen Makler und Kunde. Dabei helfen dann auch die fälschlicherweise als zusätzlicher Weg dargestellten Regelung aus dem Code of Conduct nicht weiter.

Aus meist nicht nachvollziehbaren Gründen ist es bei manchem Makler auch bei größeren Firmen bei den Vorüberlegungen zur Gründung einer GmbH geblieben. Man will das später einmal machen. Es ist aber dann doch nie Zeit dafür da. Und Geld kostete es auch. Es bleibt beim Status Makler als Einzelunternehmer oder als eingetragener Kaufmann oder eingetragene Kauffrau (e.K.) - mit all seinen Problemen im Bezug auf eine Bestandsübertragung.

Datenschutz beim Verkauf einer Makler-GmbH

Die Übertragung von Maklerbeständen im Rahmen des Verkaufs einer GmbH oder ähnlichem kann wesentlich einfacher erfolgen. „Einfacher, weil mit dem Verkauf der Anteile einer Makler-GmbH der § 613a des BGB in der Auslegung auf das Arbeitsrecht zum Tragen kommt. Geht ein Betrieb oder Betriebsteil durch Rechtsgeschäft auf einen anderen Inhaber über, so tritt dieser in die Rechte und Pflichten ein“, wie Norman Wirth, Rechtsanwalt in Berlin, betont. Damit sind dann auch die Vertragsverhältnisse zwischen Makler und Versicherungsgesellschaften sowie Makler und Kunden gemeint. Datenschutzprobleme sind mit so einem Übertrag in der Regel nicht verbunden.

Es gibt im Zusammenhang mit dem Verkauf einer Makler-GmbH noch weitere Vorteile, auf die hier nur kurz eingegangen werden soll. Es können sich zum Beispiel steuerliche Vorteile beim Verkauf der Maklerfirma oder bei der Beteiligung von neuen Gesellschaftern ergeben. Dabei wird einem Nachfolger oder neu eintretenden Gesellschafter nicht die Firma als solches verkauft, sondern es werden ihm Anteile der Gesellschaft verkauft. Der damit erzielte Gewinn kann steuerlich anders behandelt werden als bei einem Verkauf.

Datenverlust aus dem Bestand durch kriminelle Aktivitäten

Die rechtswidrige „Mitnahme“ von Kundendaten wird immer mal wieder ein Thema, wenn ehemalige Eigentümer von Beständen oder sogar die Eigentümer selbst auf die Idee kommen, unter Umgehung der Regelung im Kaufvertrag oder des Wettbewerbsrechts frühere Kunden abzuwerben. Möglichkeiten zur Vermeidung von solchen Aktivitäten von „Betrügern im Anzug“ habe ich auch in der Maklerfachborschüre „Nachfolge – gewusst wie“ umfassend als Lehrbeispiel praxisnah dargelegt.

Nach Auswertung einer Befragung schätzt fast jeder zweite Firmeninhaber selbst ein, dass ehemalige Mitarbeiter noch Zugriff auf Kundendaten haben. Datendownloads können besonders bei kleineren und mittleren Firmen selten nachgewiesen werden und Zugänge zu Datenbanken werden zu spät oder gar nicht gelöscht.

Nach Meinung der Hamburger Rechtsanwälte Björn Jöhnke und Jens Reichow wird das Thema Datenschutzschutz im Rahmen des Wettbewerbsrechts juristisch aus mehrfacher Hinsicht immer brisanter. „Gerade in der Branche der Finanzanlagen- und Versicherungsvermittler mehren sich die Abmahnungen, die der auf Wettbewerbsrecht spezialisierten Kanzlei aus Hamburg vorgelegt werden.“ Neben den Fragen der Datensicherheit sind auch der Bestandsverkauf und die Webseite des Maklers im Blick zu behalten.

Zahlreiche Studien der jüngeren Vergangenheit machen auf ein bisher weniger im Fokus stehendes Risiko aufmerksam: Der kriminelle technische Datenabzug via Internet. Eine Studie von Veritas Technologies sollte die Alarmglocken jedes Unternehmers zum Läuten bringen. Fast die Hälfte (48 Prozent) der Befragten schätzt ein, dass man keine Einsicht in sämtliche Vorfälle habe, bei denen personenbezogene Daten verloren gehen. Selbst rund drei Tage nach Datenabzug sehe man sich nicht in der Lage, das Datenleck zu identifizieren.

Mehr als jeder zehnte Unternehmer muss für seine Firma kritisch feststellen, dass man nicht in der Lage sei, personenbezogene Daten effektiv zu suchen oder zu analysieren. Ebenso sei man nicht in der Lage, Referenzen zu bestimmten Personen aufzuspüren. Ähnlich verhält es sich nach der Studie bei einer akkuraten Übersicht zu den Speicherorten für Daten. Ich schätze, dass das entsprechende Bild bei Maklern und kleineren Maklerunternehmen noch viel gravierender ausfallen würde. Nicht vorhandene moderne Maklerverwaltungsprogramme, mangelhafte externe Datensicherung und ein fehlender Datenschutz sind in der Vermittlerbranche keine Seltenheit.

Mehr Investitionsdruck durch die neue Datenschutz-Grundverordnung (DSGVO)

Im Mai kommenden Jahres wird mit der DSGVO eine weitgehende Vereinheitlichung des europäischen Datenschutzrechtes in Kraft treten. Nationale Richtlinien werden durch eine harmonisierte Grundverordnung abgelöst. Geringe Unterschiede sind nur durch die schon gewohnten nationalen Öffnungsklauseln zu erwarten.

Die Grundsätze der Verordnung bei der Be- und Verarbeitung personenbezogener Daten sollen Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit und Rechenschaftspflicht sein. Dementsprechend wird dann auch das deutsche Bundesdatenschutzgesetz (BDSG) anzupassen sein. Die unabhängigen Datenschutzbehörden des Bundes und der Länder bereiten sich auf die neuen Regelungen vor und haben erst vor wenigen Tagen dazu getagt.

Freie Vermittler ohne Anbindung an die professionelle Datenverarbeitung, Datenspeicherung und -sicherung beispielsweise über einen Maklerpool müssen sich in den nächsten Wochen einen Überblick dazu verschaffen, wie die Situation im eigenen Unternehmen ist, welche Maßnahmen einzuleiten sind und welche Investitionen zu tätigen sind. Dabei geht es nicht nur um Kunden- und Vertragsdaten. Auch die Daten der Mitarbeiter (!) sind unter neuen Maßstäben zu sichern (Beschäftigtendatenschutz). Nicht zu vergessen das Thema eines eigenen (externen) Datenschutzbeauftragten.

Eingangs hatte ich die teilweise im Markt vertretene Auffassung der Verharmlosung des Datenschutzes kritisiert. Deshalb will ich hier gerne darauf verweisen, dass Artikel 4 der DSGVO klarstellt, dass die Basis jeglicher Datenspeicherung und – Weitergabe nur auf Grundlage einer unmissverständlich abgegebenen Einwilligung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung möglich und wirksam ist. Der für die Nutzung und Verarbeitung Verantwortliche muss nachweisen können, dass der oder die betreffenden Kunden ihre Einwilligung zu der Verarbeitung ihrer personenbezogenen Daten erteilt haben.

Was sollten freie Vermittler jetzt tun?

Es steht für alle Teilnehmer im Vermittlermarkt die Anforderungen der EU- DSGVO im Raum. Und das betrifft alle Vermittlerebenen, egal ob freier Vermittler, Maklerpool, Genossenschaft oder Dienstleister. Selbst Anbieter von Kundenverwaltungsprogrammen, die schon die nationalen Richtlinienen des BDSG erfüllen, müssen ihre Maßnahmen und Prozesse anpassen. Deshalb empfehle ich besonders den Servicedienstleistern, ihre Kunden unter den freien Vermittler über die notwendigen Anpassungen zu informieren.

Die freien Vermittler selbst sollten den Workflow mit Kunden- und Mitarbeiterdaten entsprechend der Anforderungen der DSGVO prüfen (lassen) und mit den Servicedienstleistern für Marktvergleiche, Angebotserstellung, IT-Wartung, Rechnungserstellung oder Gehaltsservices in Kontakt treten. Alle Verträge und Dienstleistungen sind zu überprüfen und anzupassen. Denken Sie dabei auch an Ihre Verträge und Vollmachten für und mit den Kunden, die nicht selten schon jetzt den modernen Ansprüchen und Mindestanforderungen des BDSG nicht genügen.

Danach ist es notwendig, die interne Datenschutzdokumentation zu überarbeiten bzw. überhaupt erst eine zu erstellen. Dabei geht es darum die Datenverarbeitung und -speicherung im Maklerunternehmen transparent zu definieren und zu regeln. Dazu gehört auch, wer was macht. Wenn es beispielsweise darum geht, dass ein Kunde am Telefon eine bestimmte Vertragsauskunft haben möchte, dann muss klar sein, wer und unter welchen Vorgaben und Pflichten (inklusive Dokumentation) dies erledigen wird.

Noch ein Hinweis gegen die Verharmlosung des Themas Datenschutz: Mit der neuen EU-DSGVO wird auch der Bußgeldrahmen deutlich ausgeweitet. Der Bußgeldrahmen soll sich zwischen 4 Prozent des Jahresumsatzes bis hin zu 20 Millionen Euro bewegen.

Fazit: Ja, die EU-DSGVO wird alle Vermittler vor neue Anforderungen, Maßnahmen und Investitionen stellen. Über diesen Mehraufwand kann man sich ärgern. Aber – jeder Kunde, jeder Versicherungsnehmer und letztendlich jeder Vermittler selbst will seine höchstpersönlichen Daten geschützt wissen. Deshalb sind Ziel und Inhalte der EU-DSGVO gut.

Treffen Sie gemeinsam mit Ihren Dienstleistern die erforderlichen Maßnahmen zur Datensicherung und zur Rechenschaft im Umgang mit Daten, wenn der Kunde oder Mitarbeiter dies anfordert. Die einzuleitenden Maßnahmen sind nicht nur technischer Art. Sie müssen auch eine Überprüfung des Workflows im Unternehmen selbst sowie zwischen Ihnen und Ihren Dienstleistern vornehmen. Für Sie als Unternehmer ist da auch ein bedeutsames Stück Haftungsschutz immanent, denn Sie müssen für fehlerhafte Verarbeitung von Daten haften und müssen im Fall der Fälle belegen, dass Sie Vorkehrungen für einen sachgemäßen Umgang mit Daten getroffen haben.

Ich wünsche Ihnen einen guten Wechsel ins neue Jahr, in das Jahr IDD- und DSGVO-Jahr 2018 – Ihr AssekuranzDoc.