Ein Artikel von Christian Guse, Inhaber der Anwaltskanzlei Guse
Der Datenfluss in der betrieblichen Versorgung ist komplex und betrifft mehrere Player wie Arbeitgeber, Arbeitnehmer, Makler, Angebots- und Verwaltungsplattformen sowie Maklerpools etc. Dabei geht es um unterschiedliche Daten wie die Daten des Unternehmens, Adressen, Telefonnummern, personenbezogene Daten wie Geschlecht, Name, Geburtstag und eventuell sogar besonders sensible, gesundheitsbezogene Daten.
Nicht selten erleben Maklerinnen und Makler im Beratungsfeld „betriebliche Altersvorsorge“ (bAV), dass am Ende eines guten Beratungsgesprächs noch die Frage gestellt wird: „Was ist eigentlich mit dem Datenschutz?“ Kann man das nicht beantworten, führt es zur Abschlussverzögerung oder wird sogar zum Blocker. Wer aber seinen Kunden auf die Frage nach Datenschutz verständlich und transparent antworten kann, schafft großes Vertrauen, denn er zeigt, dass er die diffusen Ängste des Kunden bei diesem Thema ernst nimmt.
Datenschutz-Grundverordnung oder Datenschutzgesetz – was gilt eigentlich?
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die am 25.05.2018 in Kraft getreten ist. Sie gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. In Deutschland wird die DSGVO durch das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze ergänzt. Dabei gilt: Grundsätzlich ist jede Datenerhebung, Speicherung und Verarbeitung verboten, sofern sie nicht durch einen gesetzlichen Erlaubnistatbestand gerechtfertigt werden kann.
Verantwortlichkeiten im Datenschutz
Doch inwiefern müssen sich Maklerinnen und Makler überhaupt Gedanken machen oder ist der produktgebende Versicherer für den Datenschutz verantwortlich? Das Datenschutzrecht sagt, dass der oder die Verantwortliche die Einhaltung der Datenschutzvorschriften beachten muss. Aber wer ist verantwortlich? Hier hilft ein Blick in das Gesetz weiter. „Verantwortlicher“ ist demnach unter anderem jede natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). Den Verantwortlichen zeichnet aus, dass er ein eigenes Interesse an der Datenerhebung, Verarbeitung und Speicherung hat. Für Makler oder Maklerinnen ist dieses Interesse offensichtlich, denn der Umgang mit den zur Verfügung gestellten Daten ermöglicht es überhaupt erst, den bestehenden Maklervertrag und damit den entgeltlichen Beratungs- und Vermittlungserfolg zu gewährleisten. Es ist daher für Makler nicht möglich, sich darauf zu berufen, dass sich Arbeitgeber, Versicherer und gegebenenfalls auch eine bAV-Plattform um den Datenschutz kümmern würden.
Was verlangt der Datenschutz von den Verantwortlichen?
1. Wichtig und immer erforderlich: Information an die Betroffenen
Art. 13 und Art. 14 DSGVO legen fest, dass der Verantwortliche die betroffenen Personen (Arbeitgeber und Arbeitnehmer) darüber informiert, welche Arten von Daten erhoben werden und an wen diese Daten weitergegeben werden (also z. B. Versicherer, bAV-Angebots- und Verwaltungsplattformen etc.). Makler und Maklerinnen sollten zu diesem Zweck ein Informationspapier analog oder digital für ihre Gespräche mit Arbeitnehmern und Arbeitgebern bereithalten.
2. Umgang mit Daten muss gerechtfertigt sein
Die Rechtfertigungsgründe ergeben sich aus dem Gesetz. Bei der Abgabe z. B. eines Direktversicherungsangebotes kommen regelmäßig zwei Rechtfertigungsgründe in Betracht:
- Rechtfertigungsgrund eins – Einwilligung der betroffenen Personen: Die Einwilligung der betroffenen Personen nach Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO, § 26 Abs. 2 BDSG) ist die sicherste Form der Rechtfertigung zur Erhebung, Speicherung und Verarbeitung. In der betrieblichen Versorgung muss sie vom Arbeitgeber und auch von der versicherten Person abgegeben werden.
- Rechtfertigungsgrund zwei – Datenverarbeitung zum Zweck der Vertragserfüllung: Die Verarbeitung von Daten ist nach Art. 6 Abs. 1 Satz 1 Buchst. b DSGVO auch dann erforderlich, wenn der Vertrag ohne Verarbeitung der Daten in dem geltend gemachten Umfang nicht erfüllt werden könnte (siehe Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 6 Rn. 14). Dieser Rechtfertigungsgrund macht weniger Arbeit, da er keine ausdrückliche Einwilligung erfordert. Die Möglichkeit betrifft aber immer nur die Vertragspartner. Makler und Maklerin haben einen Maklervertrag mit dem Arbeitgeber. Wenn Sie dessen Daten erheben und verarbeiten, kann sich also eine Rechtfertigung dafür aus dem Maklervertrag ergeben. Unsicherer ist dies schon bei den Daten der versicherten Personen, denn zu ihnen hat der Makler oder die Maklerin kein Vertragsverhältnis – obwohl er diese berät.
3. Weitergabe der Daten an Dritte
- Die Weitergabe an Versicherungen: Makler oder Maklerin gibt die von ihm/ihr „eingesammelten“ Daten weiter an Versicherungen und/oder Maklerplattformen. Wie oben schon dargestellt, muss auch diese Weitergabe gerechtfertigt sein. Aus datenschutzrechtlicher Sicht ist auch hier die Zustimmung der sicherste Weg.
- Die Weitergabe an eine bAV-Plattform: Der Makler, der an eine bAV-Plattform und/oder an einen Maklerpool angeschlossen ist, gibt die Daten an die Plattform weiter und beauftragt sie, die Daten in unterschiedlicher Form weiter zu verarbeiten. Das Datenschutzrecht spricht in diesem Zusammenhang von einer sogenannten Auftragsverarbeitung. Der Auftragsverarbeiter handelt im Auftrag und auf Weisung des verantwortlichen Maklers und ist verpflichtet, die datenschutzrechtlichen Vorgaben der DSGVO einzuhalten. Makler und Maklerinnen müssen nachweisen können, dass der von ihnen gewählte Auftragsverarbeiter diese Anforderungen erfüllt. Für die Auftragsverarbeitung gibt es Verträge, um diese rechtssicher zu gestalten.
Schlussfolgerungen für die bAV-Beratungspraxis
Die DSGVO stellt hohe Anforderungen an das Erheben, die Verarbeitung und das Speichern personenbezogener Daten. Makler und Maklerinnen sollten daher
- die betroffenen Personen vorab mit einem Informationsblatt analog oder digital darüber informieren, welche Daten erhoben werden, zu welchem Zweck die Daten erhoben werden und wer sie erhält,
- sich die Datenerhebung und Weitergabe im Rahmen des Maklervertrags vom Arbeitgeber und gegenüber den Arbeitnehmern und Arbeitnehmerinnen genehmigen lassen und
- mit den bAV-Plattformen oder Maklerpools Verträge zur Auftragsverarbeitung schließen, um dadurch für eine rechtssichere Datenweitergabe zu sorgen.
Diesen Beitrag lesen Sie auch in AssCompact 03/2024 und in unserem ePaper.
Bild: © vegefox.com – stock.adobe.com
- Anmelden, um Kommentare verfassen zu können