Datenschutz im Versicherungswesen (3)

Mit dem Ablauf der Umsetzungsfrist für die Datenschutz-Grundverordnung (DSGVO) Ende Mai 2018 wurden zahlreiche Rechtsverhältnisse als Auftragsdatenverarbeitung nach Art. 28 DSGVO eingeordnet. Nachfolgend wollen wir anhand von Beispielen aus dem Versicherungswesen einen Überblick über die Auftragsdatenverarbeitung geben und insbesondere aufzeigen, wann _keine_ Auftragsdatenverarbeitung vorliegt.

Was ist eine Auftragsverarbeitung?

Bei einer Auftragsverarbeitung verarbeitet ein Dienstleister (Auftragsverarbeiter bzw. Auftragnehmer) personenbezogene Daten für ein Unternehmen (Verantwortlicher bzw. Auftraggeber). Der Dienstleiser ist weisungsabhängig – er muss also die Anweisungen des Auftraggebers in Bezug auf die Daten befolgend und darf die Daten, die er zur Verfügung gestellt bekommen hat, nicht für eigene Zwecke verwenden. In der Regel ist die Möglichkeit des Auftragnehmers, auf die personenbezogenen Daten des Auftraggebers zuzugreifen, auch nur eine „Nebenfolge“ der eigentlichen Dienstleistung. Die eigentliche Dienstleistung wäre auch ohne Zugriff auf die personenbezogenen Daten möglich.

Praxisbeispiel Auftragsdatenverarbeitung

Beispiel: ein IT-Dienstleister wird mit der Wartung eines Servers beauftragt und dem Einspielen von Updates. Die Dienstleistung „warten Sie unseren Server und spielen Sie alle nötigen Updates rechtzeitig auf“ wäre theoretisch auf ohne Zugriff auf die Personendaten auf dem Server zu erledigen. Da die Trennung aber technisch unmöglich (oder äußerst aufwändig) wäre, geht man hier von einer Auftragsdatenverarbeitung aus.

Die Entscheidung über den Zweck der Datenverarbeitung trifft allein das auftraggebende Unternehmen. Die Entscheidung über die technisch-organisatorischen Fragen der Verarbeitung wird (und darf) jedoch auf den Auftragsverarbeiter delegiert.

Typische Fälle einer Auftragsverarbeitung sind externe Lohn- oder Gehaltsabrechnung oder die Nutzung von Cloud-Diensten.

Wann liegt keine Auftragsverarbeitung vor?

Alle eigenständig handelnden Berufsgruppen wie z.B. Steuerberater, Wirtschaftsprüfer und Rechtsanwälte, Bankinstitute für Überweisungen oder die Post für ihre Dienstleistungen sind keine Auftragsverarbeiter / Auftragnehmer. Sie sind eigenständig Verantwortliche. Um die Ergebnisse von weiter unten vorweg zu nehmen: zu den eigenständig handelnden Berufsgruppen zählen auch die Versicherungen und Versicherungsmakler.

Vertrag über Auftragsverarbeitung (Art. 28 DSGVO)

Eine Auftragsverarbeitung nach Art. 28 DSGVO braucht einen eigenen Vertrag, in dem die Pflichten des Dienstleisters in Bezug auf den Umgang mit den ihm überlassenen Daten geregelt sind. In der Praxis wird so ein Vertrag oftmals als lästiges bürokratisches Beiwerk betrachtet – das ist er aber nicht. Er ist die Grundlage für die Aufteilung der Verantwortlichkeit bei Verstößen gegen Datenschutzvorschriften und entsprechend auch für die Verteilung der Haftung.

Praxisbeispiel 1

Eine Wohnungseigentümergemeinschaft (WEG) wird von einer Verwaltungs-GmbH vertreten. Der entsprechende Vertrag berechtigt die Verwaltungs-GmbH u.a. zur „Betreuung der abgeschlossenen Versicherungsverträge, Kündigung bestehender Verträge“. Ein Versicherungsmakler ist Vertragspartner der Verwalter-GmbH (in Bezug auf Versicherungsverträge). Ist die versicherungsrechtliche Betreuung der Verträge durch die Verwalter-GmbH eine AVV nach Art. 28 Abs. 3 DSGVO, mit der WEG, vertreten durch die Verwalter-GmbH als Auftraggeber, und dem Versicherungsmakler als Auftragnehmer?

Gegenstand des Vertrags zwischen Verwaltungs-GmbH und Versicherungsmakler sind die „Betreuung der abgeschlossenen Versicherungsverträge, Kündigung bestehender Verträge“ und noch weitere Aktivitäten, die aber alle als Teil der Ausführung des Maklermandats anzusehen sind. Der Versicherungsmakler ist gegenüber der WEG nicht weisungsgebunden. Er entscheidet bei der Durchführung aller für die Vertragsdurchführung erforderlichen Aktivitäten eigenständig über die Art und Weise der Durchführung.

Dies schließt die Annahme eines Verhältnisses von Auftragsdatenverarbeitung mit dem Makler und der WEG / dem Verwalter als Auftraggeber aus.

Praxisbeispiel 2

Dieselbe Einschätzung – keine Auftragsdatenverarbeitung – gilt für einen (Landes-) Verband der Immobilienverwalter, der eine Mitgliederliste mit Namen und Kontaktdaten seiner Mitglieder, die im Maklervertrag eingeschlossenen sind, an den Versicherungsmakler übermittelt. Die Übermittlung geschieht einmal jährlich zum Abgleich von Veränderungen und anlassbezogen im Schadenfall. Die Übermittlung der Mitgliederliste begründet noch keine Auftragsdatenverarbeitung, sondern ist als Teil der Vertragserfüllung des Maklervertrages erforderlich. Der Makler entscheidet unabhängig von Vorgaben des Verbandes, wann er die Liste mit welchen Inhalten übermittelt.

Weitere Praxisbeispiele

Auch in den nachfolgenden Fällen liegt keine Auftragsdatenverarbeitung (ADV) vor:

  • Sachverständige, die von einer Versicherung zur Klärung von Sachverhalten im Zusammenhang mit Schadenfällen beauftragt werden;
  • Versicherungsmakler, die von einer Versicherung Kundendaten zum Zweck der Angebotserstellung erhalten;
  • Versicherer, die vom Versicherungsmakler zu versicherungsspezifischen Zwecken Kundendaten erhalten, z.B. im Zusammenhang mit der Übernahme einer Schadensregulierung;
  • Versicherungsmakler oder sonstige (externe) Beteiligte, die für eine Versicherung als „Tippgeber“ Daten von potentiellen Kunden an die Versicherung weitergeben zwecks Erstellung eines Angebots.

 

Zur Frage der Eigenschaft der Versicherungsmakler als Auftragsverarbeiter nach Art. 28 DSGVO siehe auch: Dr. Volkan Güngör „Sind Versicherungsmakler Auftragsverarbeiter nach Art. 28 DSGVO?“ in: Zeitschrift für Versicherungswesen 03/2019, der die hier dargelegte Interpretation stützt.