Datenschutz und Geldwäscheprävention: 5 Aspekte, die Makler jetzt umsetzen sollten
Mit der Versicherungssteuer-Durchführungsverordnung (VersStDV) kommen neue ab 2022 neue regulatorische Vorschriften auf Versicherungsvermittler zu. Die betreffen vor allem Datenschutz und die Geldwäscheprävention im Vermittlerunternehmen. Doch in diesen Bereichen besteht schon jetzt Handlungsbedarf, erklärt Andreas Sutter (disphere) im Gastbeitrag für Versicherungsbote.
Die Einhaltung der regulatorischen Anforderungen im Versicherungsvermittlerbetrieb ist kein Zustand, sondern ein Prozess. Dieser ist einem ständigen Wandel unterzogen. Änderungen in den gesetzlichen Rahmenbedingungen empfehlen sich als Auslöser, die eigenen Maßnahmen zu prüfen. Das zeigt sich am Beispiel der Versicherungssteuerreform.
Anzeige
Wie schon in unserem vergangenen Beitrag zur beschlossenen Versicherungssteuerreform gezeigt, rückt das Bezugsrecht und andere Arten der Beteiligung von Lebens- oder Krankenversicherungsverträgen zukünftig neu in den Fokus. Nach §4 der ab 2022 geänderten Versicherungssteuer-Durchführungsverordnung (VersStDV) kann der Versicherer alle Informationen von den Beteiligten verlangen, die sich auf die mögliche Steuerpflicht der Verträge, sprich auf die Person und die familiären Beziehung der Bezugsberechtigten oder anderer am Vertrag Beteiligten beziehen. Hier wird der Vermittler wohl oder übel in viele Prozesse einbezogen werden müssen. Das hat Auswirkungen für den Datenschutz und die Geldwäscheprävention im Vermittlerunternehmen. In der Praxis zeigt sich, dass das Themenfeld der Vertragsbeteiligten aber auch bereits jetzt oftmals nicht oder nicht optimal gelöst ist. Hier gibt es also konkreten Handlungsbedarf.
Datenschutz
Zunächst ist festzuhalten, dass im Vermittlerbetrieb nicht nur die Daten des Versicherungsnehmers verarbeitet werden. Weitere betroffene Personen, sofern sie vom Versicherungsnehmer abweichen, sind zum Beispiel:
- ein weiterer oder zukünftiger Versicherungsnehmer
- die versicherte Person
- die Bezugsberechtigten im Todes oder Erlebensfall
- Beitragszahler
- oder ein sonstiger Begünstigter oder Abtretungsgläubiger
Auch für diese Personen sind die formellen und materiellen Aspekte der DSGVO zu beachten. Das gilt in einem besonderen Maß, wenn Kinder von der Verarbeitung betroffen sind, oder wenn Gesundheitsdaten dieser Beteiligten verarbeitet werden. An dieser Stelle dazu ein paar Beispiele von Themen, die bereits jetzt umgesetzt werden sollten.
Erlaubnis zur Verarbeitung
Im ersten Schritt muss geprüft werden, auf welcher rechtlichen Basis die Daten dieser Beteiligten verarbeitet werden dürfen. Dies auf die Vertragserfüllung zu stützen (Art. 6 Abs. 1 lit. b DSGVO) wird in den meisten Fällen nicht möglich sein, da die oben genannten beteiligten Personen eben nicht selbst Vertragspartner sind. Das ergibt sich aus dem eindeutigen Wortlaut des Gesetzes. Es verbleibt als Rechtsgrundlage häufig nur die Einwilligung, ganz besonders dann, wenn Gesundheitsdaten verarbeitet werden. Wichtig ist, dass die Einwilligungserklärung auf dem Versicherungsantrag in der Regel nicht ausreicht. Der Vermittler benötigt hier eine eigene Einwilligungserklärung.
Andreas Sutter
Andreas Sutter
...ist als Director protect bei disphere interactive Datenschutzbeauftragter für Mittelständler, Finanzdienstleister und Versicherer. disphere interactive GmbH ist ein Team von interdisziplinären Experten, Beratern und Entwicklern, das Sie umfassend bei der digitalen Transformation des Vertriebs unterstützt.
Datenschutzinformation
Die erforderliche Information nach dem Transparenzprinzip muss sich daher auch an die beteiligten Personen richten. Da die Daten meistens nicht direkt bei den Betroffenen erhoben werden, sondern beim Vertragspartner (vom den Daten der versicherten Person in der Lebensversicherung mal abgesehen - §150 VVG), ist hier eine Information nach Art. 14 DSGVO und nicht nach Art. 13 DSGVO erforderlich. Diese umfasst zusätzlich eine Information über die Art der verarbeiteten Daten. Bei einem abweichenden Beitragszahler wären es Name und Zahlungsverkehrsdaten, beim Bezugsberechtigten Name, Geburtsdatum und nun neu das verwandtschaftliche Verhältnis zum Versicherungsnehmer. Wer nun die aktuellen Datenschutzinformationen oder -erklärungen in der Vermittlerlandschaft betrachtet, stellt fest, dass oftmals ein großes Manko besteht.
Löschkonzept und das Gebot der Intervenierbarkeit
Nicht nur für die Daten des Versicherungsnehmers gilt, dass diese nur verarbeitet werden dürfen, solange eine Rechtsgrundlage besteht. Wenn diese entfällt müssen Daten systematisch gelöscht werden. Das Problem in der Praxis stellt sich allerdings schnell dann ein, wenn die Daten der Beteiligten in der Kundenverwaltung gar nicht oder nur unzureichend erfasst sind, und sich die Daten auf Antragskopien und Formularen tief im Archiv vergraben wiederfinden. Das macht natürlich auch die Wahrung der übrigen Rechte der Betroffenen nahezu unmöglich, wie zum Beispiel die Erfüllung der Auskunftsanfragen nach Art. 15 DSGVO. Die Behörden gehen in ihren Vorgaben nach dem Standard-Datenschutzmodell zurecht davon aus, dass der Verantwortliche die Daten so speichern und verarbeiten muss, dass er die Betroffenenrechte jederzeit berücksichtigen kann (Intervenierbarkeit). Hier besteht in den meisten Vermittlerbetrieben (und bei den meisten Kundenverwaltungsprogrammen) noch jede Menge Nachholbedarf.
Geldwäscheprävention
Ähnlich verhält es sich auch mit den Vorgaben der Geldwäscheprävention. Durch Änderungen von Bezugsrechten, Bankverbindungen und/oder Abtretungen finden die meisten Geldwäschevorgänge im Lebensversicherungsbereich statt. Waren die Vermittler über durch den Versicherungsnehmer vorgenommenen Änderungen meistens nur selten informiert, wird sich das mit der oben genannten Änderung der VersStDV vermutlich deutlich ändern. Was ist also zu unternehmen, was sollte bereits jetzt beachtet werden?
Sorgfaltspflichten und Identifikation
In sehr vielen Fällen wird es sich bei den oben genannten sonstigen Beteiligten um wirtschaftlich Berechtigte (§3 GwG) handeln, da sie Begünstigte (z.B. versicherte Person, Bezugsberechtigte) sind, oder deutliche Kontrolle über den Vertrag ausüben (z.B. Beitragszahler). Als Faustformel kann man annehmen: Wenn nicht ganz sicher ist, ob eine beteiligte Person ein wirtschaftlich Berechtigter ist, dann ist sie das. Der wirtschaftlich Berechtigte muss nicht nur identifiziert werden, es ist auch zu prüfen, ob vielleicht verstärkte Sorgfaltspflichten anzuwenden sind (§15 GwG). Das dürfte bei Verträgen mit mehreren Beteiligten oftmals notwendig sein.
Risikomanagement
Die aus diesem Bereich entstehenden Risiken hinsichtlich Geldwäsche und Terrorismusfinanzierung müssen erfasst, und die getroffenen Maßnahmen dokumentiert werden. Das geschieht in der sog. Risikoanalyse (§5 GwG), ehemals „Gefährdungsanalyse“. Ein Dokument, das in vielen Vermittlerbetrieben trotz der bestehenden Pflicht weder vorhanden ist noch regelmäßig gepflegt wird. Das ist in Anbetracht kommender Änderungen im Strafrecht und des hohen politischen Fokus zum Thema Geldwäsche ein unkalkulierbares Risiko.
Anzeige
Fazit:
Wer die regulatorischen Anforderungen ernst nimmt, ist gezwungen, sich regelmäßig auf der Augenhöhe mit sich ständig ändernden Rahmenbedingungen zu befinden. Das kostet wertvolle Zeit und Vertriebskapazität. Alternativ lässt sich dies nach dem guten alten Grundsatz von Make-or-Buy auch auslagern. Eine externe, professionelle Beratung spart meist Geld und wertvolle Ressourcen, sie hilft auch dabei, entspannter mit den vielen kleinen und großen Veränderungen umgehen zu können.
Anzeige