Versicherung - Unterschrift via Tablet führt in die Datenschutz-Falle

Quelle: geralt/Pixabay

1. Wie stehen Sie aus datenrechtlicher Sicht dem Abschluss eines Vertrages über eine digitale Unterschrift auf einem Unterschriftspad (inkl. Widerrufsrecht & Erklärung zum BDSG) gegenüber?

Die Wirksamkeit von Verträgen ist eine zivilrechtliche Fragestellung und deshalb unabhängig von datenschutzrechtlichen Vorgaben zu beurteilen. Sofern im Rahmen von Vertragsschlüssen aber auch die Verarbeitung personenbezogener Daten geregelt werden soll, sind die Vorgaben des Bundesdatenschutzgesetzes zu beachten.

Erklärungen, die eine Einwilligung zur Verarbeitung personenbezogener Daten beinhalten, müssen beispielsweise die Vorgaben des § 4a Abs. 1 S. 3 BDSG beachten. Diese Regelung bestimmt, dass solche Einwilligungen schriftlich erteilt werden müssen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Unter Schriftform ist insoweit das Gleiche zu verstehen wie im zivilrechtlichen Sinne. Bei Unterschriften, die mittels Touch-Eingabe auf dem Display eines Tablet- Computers gezeichnet werden, handelt es sich nicht um schriftliche Erklärungen, da es dem Display an der Fähigkeit fehlt, Schriftzeichen dauerhaft festzuhalten. Besondere Umstände, die rechtfertigen, von der Schriftform abzuweichen, liegen insbesondere nicht deshalb vor, weil die Unterschrift digital einfacher zu verwalten ist oder beide Parteien auf die zivilrechtliche Schriftform verzichten. Datenschutzrechtliche Einwilligungen können daher in der Regel nicht mittels eines Unterschriftenpads abgegeben werden.

Verstöße gegen das BDSG führen regelmäßig aber nicht zur Unwirksamkeit der Verträge, sondern haben Aufsichtsverfahren und/oder Ordnungswidrigkeitenverfahren zur Folge.

2. Erfüllt diese Form der Unterschrift die Bedingungen des Signaturgesetzes? Sind solche Unterschriften rechtlich verbindlich?

Die rechtliche Bindungswirkung der diversen Formvorgaben ist ebenfalls eine zivilrechtliche und zivilprozessuale Frage, auf die das Datenschutzrecht keine Antwort geben kann. Verträge können grundsätzlich aber durch jede eindeutige Willensäußerung geschlossen werden. Solange das Gesetz keine bestimmte Form vorschreibt (z.B. schriftlich oder notariell), genügt beispielsweise eine mündliche Äußerung. In diesen Fällen kann der Vertragsabschluss auch mittels eines Unterschriftenpads rechtsgültig geschlossen werden.

Es handelt sich bei der Unterschrift auf dem Unterschriftenpad nicht um eine qualifizierte elektronische Signatur im Sinne des Signaturgesetzes, die allein die eigenhändige Unterschrift ersetzen kann. Entgegen der Bezeichnung hat die qualifizierte elektronische Signatur nichts mit der Unterschrift des eigenen Namens zu tun, sondern es handelt sich dabei um ein algorithmisches Verfahren, bei dem ein Buchstaben- und Zahlencode mit dem zu signierenden Dokument verbunden wird.

3. Dürfen Versicherungsvermittler digitale Unterschriften als rechtsgültige Unterzeichnung von Versicherungsverträgen in einem bestimmten Bundesland anwenden?

Dazu gibt es keine landesspezifischen Regelungen, da das Vertragsrecht bundesgesetzlich im Bürgerlichen Gesetzbuch und in versicherungsvertraglichen Sondergesetzen geregelt ist.

Zu beachten ist etwa, dass das Versicherungsvertragsgesetz (VVG) an zahlreichen Stellen schriftliche Erklärungen voraussetzt (vgl. Antwort zu Frage 1). Dazu zählen beispielsweise die schriftliche Erklärung des Versicherungsnehmers, auf Beratungs- und Informationsleistungen des Versicherungsvermittlers zu verzichten (§§ 6 Abs. 3, Abs. 4 S. 2, 7 Abs. 1 S. 3, 60 Abs. 3, 61 Abs. 2 VVG). Ein anderes Beispiel für Erklärungen, die der Versicherungsnehmer nicht wirksam auf dem Unterschriftenpad abgeben kann, ist die Bevollmächtigung des Vermittlers nach § 64 VVG, Leistungen von der Versicherung zu erhalten.

Die im Versicherungsvertragsgesetz verlangte Schriftform kann - wie jede Schriftform - zivilrechtlich aber stets durch eine qualifizierte elektronische Signatur im Sinne des Signaturgesetz ersetzt werden. Dass die "digitale Unterschrift" auf einem Tablet-Display keine qualifizierte elektronische Signatur im Sinne des Signaturgesetzes ist, wurde in der Antwort zu Frage 2 dargestellt.

4. Welche fachlichen und technischen Qualifikationen muss eine Software haben, damit eine digitale Unterschrift rechtsgültig ist?

Die zivilrechtliche Gültigkeit eines Vertragsschlusses hängt nicht von datenschutzrechtlichen und datenschutztechnischen Vorgaben ab. Zu der Frage ob und wann eine "digitale Unterschrift" auf einem Tablet-Display zivilrechtliche Wirkung entfaltet, vergleichen Sie die Ausführungen zu Frage 1.

Soll die digitale Abbildung einer Unterschrift aber gespeichert werden, stellt dies die Verarbeitung eines personenbezogenen Datums dar, so dass in technischer Hinsicht die Vorgaben des § 9 BDSG samt Anlage zu berücksichtigen sind und in rechtlicher Hinsicht eine Rechtsgrundlage für die Speicherung oder eine Einwilligung des Betroffenen vorliegen muss.

5. Gibt es Unternehmen, die von einer Behörde ein ausdrückliches Okay für das Angebot einer digitalen Unterschrift haben?

Das ist, soweit ersichtlich, bei keiner Aufsichtsbehörde in Deutschland der Fall.

6. Wie kann der Verbraucher vor unsittlichen Handlungen im Netz geschützt werden?

Die Frage ist in dieser Allgemeinheit nur schwer konkret zu beantworten, da der digitale Verbraucherschutz eine große Bandbreite an Fragen aufwirft.

7. Welche Mechanismen muss ein Versicherer dringend beachten, welche Vorkehrungsmaßnahmen muss er treffen, um einen Datenmissbrauch zu verhindern?

In rechtlicher Hinsicht ist jede Datenverarbeitung darauf hin zu prüfen, ob ein legitimer Zweck verfolgt wird und für diesen Zweck eine Rechtsgrundlage oder die Einwilligung des Betroffenen vorliegen. In technischer Hinicht sind die personenbezogenen Daten der Versicherten sowohl technisch als auch organisatorisch gegen Unbefugte zu sichern. Dazu gehören Dritte genauso wie unbefugte Sachbearbeiter innerhalb der Organisation des Versicherers.

Keinesfalls darf die elektronische Unterschrift des Versicherungsnehmers, die biometrische Merkmale enthält, in falsche Hände geraten. Ansonsten wäre es Kriminellen möglich, Verträge in fremdem Namen zu schließen. Unabhängig davon, dass die "digitale Unterschrift" nicht die Schriftform erfüllt, kann die digitale Abbildung der Unterschrift eines Menschens im Rechtsverkehr missbraucht werden. Zum Schutz dieses personenbezogenen Datums ist technisch sicherzustellen, dass die Unterschrift untrennbar in das Vertragsdokument integriert wird und nicht extrahiert werden kann. Zum anderen ist der verwendete Tabletcomputer zwischen dem Aufschreiben der Unterschrift und dem Integrieren in das Vertragsdokument in besonderem Maße gegen Angriffe zu schützen. Nachdem die Unterschrift in den Vertrag integriert ist, muss sichergestellt sein, dass sie nicht mehr als separate Datei weiter existiert, um unbefugten Weitergebrauch zu verhindern.