Versicherung - Unterschrift via Tablet führt in die Datenschutz-Falle

Quelle: geralt/Pixabay

Versicherungsverträge, die mittels Touch-Eingabe auf einem Tablet unterzeichnet wurden und in welchen auch personenbezogene Daten verarbeitet werden, sind nicht mit dem Bundesdatenschutzgesetz vereinbar. Das erklärte Dr. Malte Engeler vom Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein auf Anfrage des Versicherungsboten. Demnach handele es sich bei Unterschriften auf dem Pad oder Tablet nicht um schriftliche Erklärungen, da es dem Display an der Fähigkeit fehle, Schriftzeichen dauerhaft festzuhalten. Auch seien derartige Unterschriften keine qualifizierten elektronischen Signaturen im Sinne des Signaturgesetzes, die allein die eigenhändige Unterschrift ersetzen könne. Entsprechende Verstöße gegen das BDSG führten allerdings regelmäßig nicht zwingend zur Unwirksamkeit der Verträge, sondern hätten lediglich Aufsichtsverfahren und/oder Ordnungswidrigkeiten-Verfahren zur Folge.

Die elektronische Unterschrift ist für viele Vermittler inzwischen nicht mehr wegzudenken. Zu bequem ist die papierlose Unterschrift auch für Versicherer. So haben sich viele Unternehmen dem Digitalisierungs-Hype ergeben und sich unbewusst in die Datenschutz-Falle manövriert. Demnach habe, so Engeler, kein Unternehmen in Deutschland ein ausdrückliches Okay für das Angebot einer digitalen Unterschrift seitens einer Aufsichtsbehörde in Deutschland erhalten.

Anträge im Rahmen von Vertragsschlüssen, in denen auch die Verarbeitung personenbezogener Daten geregelt wird, müssen in jedem Fall vom Kunden in Schriftform unterzeichnet sein. So will es das Bundesdatenschutzgesetz. Dies gilt insbesondere für Anträge, die Antworten auf Gesundheitsfragen enthalten. Es besteht ein sogenanntes Schriftform-Erfordernis oder auf deutsch: Die Unterschrift auf dem Tablett erfüllt keine wirksame Einwilligung im Sinne des Bundesdatenschutzgesetzes.

Erstes Urteil aus dem Jahr 2012

Das bestätigt auch ein Urteil des OLG München (AZ 19 U 771/12). Die Richter entschieden damals, dass bei der Unterschrift auf elektronischem Schreibtablett keine Schriftform gewahrt ist, wenn diese nicht die Voraussetzungen aus § 126a BGB erfülle. Ein Verbraucher hatte einen Darlehensvertrag zur Finanzierung eines Fernsehgerätes auf einem elektronischen Tablet unterzeichnet und anschließend auf Nichtigkeit des Darlehensvertrages wegen Nichteinhaltung der Schriftform geklagt.

Das bestätigt nun auch das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein, das derzeit den Vorsitz der Arbeitsgruppe Versicherungswirtschaft führt. Versicherungsbote hatte alle Datenschutzbeauftragten der einzelnen Bundesländer angefragt und daraufhin einen abgestimmten Antwortenkatalog erhalten, der eine einheitliche Darstellungsweise widerspiegeln soll. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit war mangels Aufsichtszuständigkeit für das Versicherungswesen an der Rückmeldung jedoch nicht beteiligt.

So heißt es in der Antwort von Engeler unter anderem: "Erklärungen, die eine Einwilligung zur Verarbeitung personenbezogener Daten beinhalten, müssen beispielsweise die Vorgaben des § 4a Abs. 1 S. 3 BDSG beachten." Resultierend daraus müssen solche Einwilligungen schriftlich erteilt werden, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. "Unter Schriftform ist insoweit das Gleiche zu verstehen wie im zivilrechtlichen Sinne.", unterstreicht Engeler.

Unterschrift auf dem Unterschriften-Pad ist keine qualifizierte elektronische Signatur

Auch das Versicherungsvertragsgesetz (VVG) setze an zahlreichen Stellen schriftliche Erklärungen voraus. "Es handelt sich bei der Unterschrift auf dem Unterschriftenpad nicht um eine qualifizierte elektronische Signatur im Sinne des Signaturgesetzes, die allein die eigenhändige Unterschrift ersetzen kann. Entgegen der Bezeichnung hat die qualifizierte elektronische Signatur nichts mit der Unterschrift des eigenen Namens zu tun, sondern es handelt sich dabei um ein algorithmisches Verfahren, bei dem ein Buchstaben- und Zahlencode mit dem zu signierenden Dokument verbunden wird", sagte Engeler.

Folglich ist eine Unterschrift nur dann zulässig, wenn sie per Hand auf dem zugrunde liegenden Antrag getätigt wird oder dem Signaturgesetz entspricht. Letzteres ist erfüllt, wenn der Kunde über eine eigene elektronische Signatur verfügt, wie es auf einem e-Personalausweis der Fall sein kann. Dies nutzen aber bisher nur wenige Verbraucher. Unterschriften-Pads wollen das rechtliche Problem damit umgehen, dass lediglich eine elektronische Signatur des Vermittlers hinterlegt wird. Viele Versicherungsgesellschaften verwalten die Signaturen im eigenen Haus. Damit ist die Unabhängigkeit der verwaltenden Instanz, die der Gesetzgeber vorschreibt, nicht gegeben. Hinzu kommt, dass die Signatur des Vermittlers die Kundenunterschrift nicht ersetzt. Die biometrischen Daten werden zwar per Pad erfasst, aber schließlich mit der Unterschrift des Vermittlers und nicht mit der des Kunden versehen.

Dem pflichtet auch Martin Stolpe, Fachanwalt für Versicherungsrecht in Leipzig, bei: "Die fundierten Ausführungen von Herrn Dr. Engeler bestätigen die unsererseits bereits seit mehreren Jahren vertretene Auffassung, dass es nach dem derzeitigen Stand der Gesetzgebung nicht möglich ist, personenbezogene Daten von Versicherungsnehmern unter Berücksichtigung der Anforderungen an das BDSG weiterzugeben, wenn lediglich eine „Unterschrift“ auf einem elektronischen Pad erfolgt ist. Unserer Auffassung nach wird hier die Möglichkeit einer Strafbarkeit gem. § 203 Abs. 1 Ziffer 6 StGB unweigerlich zu prüfen sein."

Fragen & Antworten zur elektronischen Unterschrift

1. Wie stehen Sie aus datenrechtlicher Sicht dem Abschluss eines Vertrages über eine digitale Unterschrift auf einem Unterschriftspad (inkl. Widerrufsrecht & Erklärung zum BDSG) gegenüber?

Die Wirksamkeit von Verträgen ist eine zivilrechtliche Fragestellung und deshalb unabhängig von datenschutzrechtlichen Vorgaben zu beurteilen. Sofern im Rahmen von Vertragsschlüssen aber auch die Verarbeitung personenbezogener Daten geregelt werden soll, sind die Vorgaben des Bundesdatenschutzgesetzes zu beachten.

Erklärungen, die eine Einwilligung zur Verarbeitung personenbezogener Daten beinhalten, müssen beispielsweise die Vorgaben des § 4a Abs. 1 S. 3 BDSG beachten. Diese Regelung bestimmt, dass solche Einwilligungen schriftlich erteilt werden müssen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Unter Schriftform ist insoweit das Gleiche zu verstehen wie im zivilrechtlichen Sinne. Bei Unterschriften, die mittels Touch-Eingabe auf dem Display eines Tablet- Computers gezeichnet werden, handelt es sich nicht um schriftliche Erklärungen, da es dem Display an der Fähigkeit fehlt, Schriftzeichen dauerhaft festzuhalten. Besondere Umstände, die rechtfertigen, von der Schriftform abzuweichen, liegen insbesondere nicht deshalb vor, weil die Unterschrift digital einfacher zu verwalten ist oder beide Parteien auf die zivilrechtliche Schriftform verzichten. Datenschutzrechtliche Einwilligungen können daher in der Regel nicht mittels eines Unterschriftenpads abgegeben werden.

Verstöße gegen das BDSG führen regelmäßig aber nicht zur Unwirksamkeit der Verträge, sondern haben Aufsichtsverfahren und/oder Ordnungswidrigkeitenverfahren zur Folge.

2. Erfüllt diese Form der Unterschrift die Bedingungen des Signaturgesetzes? Sind solche Unterschriften rechtlich verbindlich?

Die rechtliche Bindungswirkung der diversen Formvorgaben ist ebenfalls eine zivilrechtliche und zivilprozessuale Frage, auf die das Datenschutzrecht keine Antwort geben kann. Verträge können grundsätzlich aber durch jede eindeutige Willensäußerung geschlossen werden. Solange das Gesetz keine bestimmte Form vorschreibt (z.B. schriftlich oder notariell), genügt beispielsweise eine mündliche Äußerung. In diesen Fällen kann der Vertragsabschluss auch mittels eines Unterschriftenpads rechtsgültig geschlossen werden.

Es handelt sich bei der Unterschrift auf dem Unterschriftenpad nicht um eine qualifizierte elektronische Signatur im Sinne des Signaturgesetzes, die allein die eigenhändige Unterschrift ersetzen kann. Entgegen der Bezeichnung hat die qualifizierte elektronische Signatur nichts mit der Unterschrift des eigenen Namens zu tun, sondern es handelt sich dabei um ein algorithmisches Verfahren, bei dem ein Buchstaben- und Zahlencode mit dem zu signierenden Dokument verbunden wird.

3. Dürfen Versicherungsvermittler digitale Unterschriften als rechtsgültige Unterzeichnung von Versicherungsverträgen in einem bestimmten Bundesland anwenden?

Dazu gibt es keine landesspezifischen Regelungen, da das Vertragsrecht bundesgesetzlich im Bürgerlichen Gesetzbuch und in versicherungsvertraglichen Sondergesetzen geregelt ist.

Zu beachten ist etwa, dass das Versicherungsvertragsgesetz (VVG) an zahlreichen Stellen schriftliche Erklärungen voraussetzt (vgl. Antwort zu Frage 1). Dazu zählen beispielsweise die schriftliche Erklärung des Versicherungsnehmers, auf Beratungs- und Informationsleistungen des Versicherungsvermittlers zu verzichten (§§ 6 Abs. 3, Abs. 4 S. 2, 7 Abs. 1 S. 3, 60 Abs. 3, 61 Abs. 2 VVG). Ein anderes Beispiel für Erklärungen, die der Versicherungsnehmer nicht wirksam auf dem Unterschriftenpad abgeben kann, ist die Bevollmächtigung des Vermittlers nach § 64 VVG, Leistungen von der Versicherung zu erhalten.

Die im Versicherungsvertragsgesetz verlangte Schriftform kann - wie jede Schriftform - zivilrechtlich aber stets durch eine qualifizierte elektronische Signatur im Sinne des Signaturgesetz ersetzt werden. Dass die "digitale Unterschrift" auf einem Tablet-Display keine qualifizierte elektronische Signatur im Sinne des Signaturgesetzes ist, wurde in der Antwort zu Frage 2 dargestellt.

4. Welche fachlichen und technischen Qualifikationen muss eine Software haben, damit eine digitale Unterschrift rechtsgültig ist?

Die zivilrechtliche Gültigkeit eines Vertragsschlusses hängt nicht von datenschutzrechtlichen und datenschutztechnischen Vorgaben ab. Zu der Frage ob und wann eine "digitale Unterschrift" auf einem Tablet-Display zivilrechtliche Wirkung entfaltet, vergleichen Sie die Ausführungen zu Frage 1.

Soll die digitale Abbildung einer Unterschrift aber gespeichert werden, stellt dies die Verarbeitung eines personenbezogenen Datums dar, so dass in technischer Hinsicht die Vorgaben des § 9 BDSG samt Anlage zu berücksichtigen sind und in rechtlicher Hinsicht eine Rechtsgrundlage für die Speicherung oder eine Einwilligung des Betroffenen vorliegen muss.

5. Gibt es Unternehmen, die von einer Behörde ein ausdrückliches Okay für das Angebot einer digitalen Unterschrift haben?

Das ist, soweit ersichtlich, bei keiner Aufsichtsbehörde in Deutschland der Fall.

6. Wie kann der Verbraucher vor unsittlichen Handlungen im Netz geschützt werden?

Die Frage ist in dieser Allgemeinheit nur schwer konkret zu beantworten, da der digitale Verbraucherschutz eine große Bandbreite an Fragen aufwirft.

7. Welche Mechanismen muss ein Versicherer dringend beachten, welche Vorkehrungsmaßnahmen muss er treffen, um einen Datenmissbrauch zu verhindern?

In rechtlicher Hinsicht ist jede Datenverarbeitung darauf hin zu prüfen, ob ein legitimer Zweck verfolgt wird und für diesen Zweck eine Rechtsgrundlage oder die Einwilligung des Betroffenen vorliegen. In technischer Hinicht sind die personenbezogenen Daten der Versicherten sowohl technisch als auch organisatorisch gegen Unbefugte zu sichern. Dazu gehören Dritte genauso wie unbefugte Sachbearbeiter innerhalb der Organisation des Versicherers.

Keinesfalls darf die elektronische Unterschrift des Versicherungsnehmers, die biometrische Merkmale enthält, in falsche Hände geraten. Ansonsten wäre es Kriminellen möglich, Verträge in fremdem Namen zu schließen. Unabhängig davon, dass die "digitale Unterschrift" nicht die Schriftform erfüllt, kann die digitale Abbildung der Unterschrift eines Menschens im Rechtsverkehr missbraucht werden. Zum Schutz dieses personenbezogenen Datums ist technisch sicherzustellen, dass die Unterschrift untrennbar in das Vertragsdokument integriert wird und nicht extrahiert werden kann. Zum anderen ist der verwendete Tabletcomputer zwischen dem Aufschreiben der Unterschrift und dem Integrieren in das Vertragsdokument in besonderem Maße gegen Angriffe zu schützen. Nachdem die Unterschrift in den Vertrag integriert ist, muss sichergestellt sein, dass sie nicht mehr als separate Datei weiter existiert, um unbefugten Weitergebrauch zu verhindern.