Anfänglich war die Aufregung in Bezug auf die Datenschutzgrundverordnung (DSGVO) sehr groß und viele Ängste wurden geschürt. Man kann auch durchaus von „Panik“ in der Vermittlerbranche sprechen. Einen diesbezüglichen Erfahrungsbericht in Bezug auf die bisherige Umsetzung der DSGVO in digitalen Vermittler-Unternehmen schildert Rechtsanwalt Björn Thorben M. Jöhnke aus der Vermittler-Kanzlei Jöhnke & Reichow Rechtsanwälte.
Die DSGVO trat bereits am 24. Mai 2016 in Kraft. Seit dem 25. Mai 2018 ist nun auch die Übergangsfrist abgelaufen. Doch sind nun alle digitalen Unternehmen – also auch Vermittler–Unternehmen – auch „DSGVO-konform“? Die Antwort kann vorweggenommen werden: Nein.
Anfang des letzten Jahres wurden viele Angstszenarien geschürt, wie zum Beispiel: „Die Abmahnwelle kommt!“, „Verhängung hoher Bußgelder von bis 20 Millionen Euro“, „Behörden werden Unternehmen überprüfen“. Seit bald fast einem Jahr hat die DSGVO ihre praktische Geltung. Doch dem Grunde nach ist es still in Bezug auf die vorgenannten Szenarien geblieben.
Die gefürchteten Massenabmahnungen sind bis heute ausgeblieben, wofür mehrere Gründe einschlägig sein könnten:
Zum einen galten Datenschutzvorschriften nach der bisherigen Rechtslage als sogenannte Marktverhaltensregeln und konnten mittels wettbewerbsrechtlicher Abmahnungen verfolgt werden. Markverhaltensregeln haben eine auf die Lauterkeit des Wettbewerbs bezogene Schutzfunktion und sichern die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen.
Doch aktuell gibt es diesbezüglich einen juristischer Streit, der von vielen Gerichten unterschiedlich beurteilt wird. Dabei geht es um die Frage, ob denn nun die neuen DSGVO-Verschriften überhaupt Marktverhaltensregeln darstellen können. Würde man dieses verneinen, hätte dieses zu Folge, dass man aufgrund der DGSVO unter Konkurrenten keine Abmahnungen mehr aussprechen könnte. Dieses wäre für Unternehmer vorteilhaft, da sie sich in Sicherheit wägen könnten. Ob das rechtlich vorteilhaft wäre, ist an dieser Stelle eine völlig andere Diskussion.
Die Landgerichte Würzburg, Frankfurt und Hamburg sowie das OLG Hamburg vertreten aktuell die Ansicht, dass die DSGVO drittschützend sei und deswegen Abmahnungen darauf gestützt werden könnten. Das LG Bochum und das LG Wiesbaden vertreten aktuell die Ansicht, die DSGVO sei gerade nicht drittschützend. Im Ergebnis ist bisher festzuhalten, dass absolute Rechtsunsicherheit besteht. Hierzu werden in den künftigen Jahren weitere Urteile folgen und man wird schauen müssen, wie sich dieser Streit letzten Endes entscheiden wird.
Auch gibt es diesbezüglich aktuell eine Empfehlung an den Bundesrat aus dem Ausschuss für innere Angelegenheiten und dem Wirtschaftsausschuss, dass wettbewerbsrechtliche Abmahnungen wegen Verstößen gegen Datenschutzvorschriften nicht mehr möglich sein sollen. Diese politische Diskussion wird man auch weiter zu verfolgen haben.
Auf der anderen Seite könnte das Ausbleiben von Massenabmahnungen damit begründet werden, dass abmahnende Unternehmer als Wettbewerber selbst „DSGVO-konform“ sein müssten um sicher sein zu können, nicht eine Gegenabmahnung zu erhalten. Dieses Risiko ist aktuell viel zu groß, denn mangels genauer Auslegungsmöglichkeiten der DSGVO kann aktuell auch keine absolute Rechtssicherheit vorherrschen.
Seit dem 25.05.2018 wurden einige – vermeintlich bestehende -Auskunftsansprüche von – vermeintlichen – Betroffenen an Unternehmen versendet. Auch diese Verfahren verliefen relativ harmlos, denn häufig wurden keine Daten über die betroffenen Personen überhaupt gespeichert, denn der Anfragende war nicht mal Kunde des Unternehmens. Diese Anfragen konnte man so dann mit dem Hinweis, der Anfragende möchte seine Identität nachweisen, damit nicht personenbezogene Daten in unzulässiger Weise an Dritte herausgeben werden, im Keim ersticken. Handelte es sich dabei jedoch um einen Kunden des Unternehmens, so musste lediglich und ausschließlich eine Auskunft über die gespeicherten Daten geben werden. Dieser Anspruch bestand auch schon vor Inkrafttreten der DSGVO.
Natürlich ließen „schwarze Schafe“ nicht lange auf sich warten und es wurden Schreiben von vermeintlichen „DATENSCHUTZ-ZENTRALEN“ versendet, dieses per Telefax im „Kleide“ einer – vermeintlichen – Datenschutz-Auskunft-Zentrale. Mittels dieser Schreiben wurden Unternehmen aufgefordert ein diesem Schreiben beigefügtes Formular zu unterschreiben, um „der gesetzlichen Pflicht zur Umsetzung der DSGVO“ nachzukommen.
Diese Schreiben beinhalteten jedoch ein Abonnement in Höhe von 498 Euro pro Jahr, mit der man ein Leistungspaket „Basisdatenschutz“ erhalten würde. Hierbei handelte es sich lediglich im den Versuch Unternehmen in „Abo-Fallen“ zu drücken. Derartige Schreiben konnte also unproblematisch „entsorgt“ werden.
Ebenfalls wurden Anfang des Jahres mit den hohen Bußgeldern der DGSVO „Angst und Panikmache“ betrieben, welche in Art. 83 Abs. 4 und Abs. 5 DSGVO „von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes“ bzw. „von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes“ normiert wurden. An dieser Stelle darf darauf hingewiesen werden, dass der Gesetzgeber von der „bis zu“ – Möglichkeit Gebrauch gemacht hat. Er hat sich also dagegen entschieden, dass ein Bußgeld zwingend zu verhängen „ist“.
Der Gesetzgeber wollte damit bewirken, dass Bußgelder stets im Einzelfall von der zuständigen Behörde zu prüfen sind. Die Verhängung von Geldbußen müssen nämlich verhältnismäßig, den Umständen des Einzelfalls entsprechend unter anderem nach Art, Schwere und Dauer des Verstoßes erfolgen, vgl. Art. 83 Abs. 1 und Abs. 2 DSGVO.
Damit sollte klar sein, dass nicht der normale und durchschnittliche Unternehmer im Fokus der Datenschützer steht, sondern vielmehr die großen digitalen Unternehmen wie Facebook, Amazon, Google.de, etc.;
Auch mit der DSGVO bleibt die grundsätzliche Pflicht zur Einholung einer Einwilligung im Rahmen des Versandes von Newslettern bestehen. Aus diesem Grunde sollten Vermittler diesbezüglich stets eine wirksame Einwilligung vom Kunden einholen, sofern eine Kommunikation mit dem Kunden mittels Email stattfinden soll.
Darüber hinaus bestehen weitere Pflichten in Bezug auf die Einwilligung des Kunden, denn der Makler hat, wenn er besondere Kategorien von personenbezogenen Kundendaten verarbeitet (z.B. Gesundheitsdaten im Sinne des Art. 9 DSGVO), eine entsprechende Einwilligung von seinem Kunden einzuholen. Im Datenschutzrecht gilt der Grundsatz des Erlaubnisvorbehalts. Das bedeutet, dass die Verarbeitung personenbezogener Daten stets verboten ist, es sei denn, es liegt ein Erlaubnistatbestand vor. Ein solcher Erlaubnistatbestand liegt in der Einwilligung (vgl. Art. 6 Abs.1 a) DSGVO) selbst.
Sehr oft haben Vermittler jedoch keine Einwilligung für Direktwerbung von dem Kunden eingeholt. Demnach ist fraglich, ob Direktwerbung ohne das Vorliegen einer konkreten Einwilligung verboten ist. Die DSGVO bietet jedoch noch weitere Erlaubnistatbestände, zum Beispiel über Interessensabwägungen, mit welchen der Versender im Vorwege eine Abwägung zu treffen hat, nämlich danach wessen Interesse höher zu gewichten ist: Interesse des Versenders am Vermitteln von werblichen Informationen, oder das Interesse des Kunden am Nichterhalt von Werbung durch den Versender, vgl. Art. 6 Abs.1 f): sog. „berechtigte Interessen“.
Man könnte dabei wie folgt argumentieren: Derjenige, der personenbezogene Daten verarbeiten möchte, hat ein berechtigtes Interesse, das höher einzustufen ist als das des Betroffenen, seine Daten zu schützen, wenn es um Bestandskunden des jeweiligen Vermittlers geht. Ein solches Interesse kann auch wirtschaftlicher Natur sein. So können zum Beispiel Onlinemarketingmaßnahmen zulässig sein, wenn der Schutz der Privatsphäre der Nutzer nicht höher wiegt. Diese Abwägung hat der Vermittler für sich selbst zu machen, zu argumentieren und zu vertreten.
Die DSGVO eröffnet dabei in dem Erwägungsgrund 47 folgendes: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Dieses ist ein klarer Verweis auf § 7 Abs. 3 UWG, welcher wiederum gewisse Voraussetzungen hat:
Liegen diese Voraussetzungen kumulativ vor, so dürfte Direktwerbung des Vermittlers zulässig sein. Damit könnte im Ergebnis also die E-Mail-Werbung an Bestandskunden zu rechtfertigen sein. Zwingend dabei zu beachten jedoch, dass die betroffenen Personen ausdrücklich auch auf ihr Widerspruchsrecht hingewiesen werden müssen, vgl. Art. 21 DSGVO.
Von diesen Fällen der Direktwerbung sind jedoch die klaren Fälle der „Kaltakquise“ (vgl. § 7 Abs. 2 Ziff. 3 UWG) abzugrenzen. Diese sind selbst nach dem UWG unzulässig, nach der DSGVO sowieso. Auch in Fällen, in denen Bestandskunden zu neuen, vom Vertragsgegenstand abweichenden Produkten angeschrieben oder Neukunden angesprochen werden sollen, bedarf es einer ausdrücklichen Einwilligung des Kunden.
Die Antwort ist ja: Briefwerbung bleibt nach wie vor ohne Einwilligung nach der DSGVO erlaubt. Werbebriefe können also unter Nutzung bereits vorhandener Adressdaten auch weiterhin ohne Einwilligung verschickt werden, denn der Versender der Werbung kann sich hierbei auf sein berechtigtes Interesse an persönlicher Direktwerbung stützen (s.o.), vgl. Art. 6 Abs.1 f) DSGVO. Widerspricht der Empfänger jedoch dem Erhalt von Werbebriefen, so müssen die Werbebriefe unverzüglich abgestellt werden.
Von der vorgenannten Briefwerbung unter Nutzung von Kundendaten ist jedoch die „Briefkastenwerbung“ zu unterscheiden. Bei dieser Werbeform werden willkürlich in einem bestimmten Einzugsgebiet jedem Anwohner Werbepost in den Briefkasten gelegt. Die Werbung wird dabei also nicht an einzelne, selektierte Adressen zugestellt. Die Briefkastenwerbung ist jedoch dann unzulässig, wenn der Empfänger etwa mittels Aufkleber „Keine Werbung und kostenlose Zeitschriften“ auf seinem Briefkasten dem Erhalt solcher Wurfsendungen im Vorwege widersprochen hat.
Bereits nach dem „alten“ Datenschutzrecht gab es strenge Herausforderungen an einen rechtlich „sauberen“ Newsletterversand: z.B. mittels Double-Opt-In-Verfahren (DOI), mit welchem die Einwilligung für den Newsletter-Versand protokolliert wurde. Dieses geschieht regelmäßig in zwei Schritten: 1.) Abspeicherung der Eintragung des Nutzers zum Newsletter und der verwendeten Mailadresse sowie 2.) Abspeicherung des Anklickens des Bestätigungslinks in der Verifizierungsmail mit Zeitstempel und IP-Adresse des verwendeten Endgeräts. Diese gespeicherten Informationen werden sodann für die registrierte Mailadresse zusammengeführt, so dass damit hinreichend protokolliert ist, dass der tatsächliche Inhaber des Mailaccounts, für den die Anmeldung erfolgt ist, die Anmeldung höchstpersönlich vollzogen, also seine Einwilligung in den Erhalt von Werbemails selbst erteilt hat.
Über das DOI – Verfahren wirksam eingeholte Einwilligungen haben auch weiterhin Geltung. Die erneute Einwilligung ist somit grundsätzlich nicht erforderlich, denn die grundsätzlichen Anforderungen an die Wirksamkeit einer rechtsgültigen Einwilligung wurden durch die DSGVO nicht verändert, lässt den man den minderjährigen Schutz außer Betracht.
Bestehen jedoch Zweifel an dem Vorliegen einer wirksamen Einwilligung im „Kunden-Datenbestand“ des Vermittlers, so sollte für Werbemaßnahmen regelmäßig eine rechtswirksame Einwilligung eingeholt und für Bedarfszwecke archiviert / protokolliert werden.
Auch wenn möglicherweise eher die großen Unternehmen zur „Raison“, bzw. „zur Kasse gebeten“ werden sollen, so bedeutet dieses nicht, dass Vermittler die DSGVO und die damit verbundenen Pflichten ignorieren sollte. Zwar ist es nach Ablauf der Umsetzungsfrist etwas ruhiger um die DSGVO geworden. Dennoch gibt es grundlegende „Hausaufgaben“, die der Vermittler als Unternehmer erledigt haben sollte, um sich nicht angreifbar zu machen. Hierzu zählt natürlich das entsprechende Datenschutzkonzept des Vermittlers. Dieses sieht bei kleinen Vermittlern entsprechend kleiner aus, bei großen Vermittler entsprechend größer.
Ein allgemeines Datenschutzkonzept fängt bei einem schlüssigen Verarbeitungsverzeichnis über digitale Verarbeitungsvorgänge an, welches grundlegend einmal erstellt und so dann stetig um neue digitale Verarbeitungsvorgänge ergänzt werden sollte. Hinzu kommen die Dokumente des Vermittlers (Maklervertrag, Honorarvertrag, Einwilligungen etc.), die einmal überarbeitet, bzw. angepasst werden sollten.
Dabei sollte nicht vergessen werden, dass auch die eigene Webseite ebenfalls überarbeitet werden sollte, hierbei insbesondere die Datenschutzerklärung, Online-Rechner und Kontaktformulare. Entsprechend sollte auch ein Notfall-Plan für Datenschutzverstöße (vgl. Beschwerdemanagement) entwickelt werden, damit auch Mitarbeiter sofort wissen, was zu tun ist. Auch alle Mitarbeiter sollten nunmehr wissen, was in Bezug auf Daten gerade unterlassen werden sollte. Folglich hat firmenintern eine Datenschutzsensibilisierung stattzufinden sowie auch entsprechende Datenschutzschulungen. Der Vermittler kennt ähnliche Maßnahmen bereits aus der Umsetzung der IDD / VersVermV.
Diese kurze Einschätzung und Aufzählung ist natürlich nicht abschließend zu verstehen und ersetzt eine individuelle datenschutzrechtliche Beratung nicht. Weitere Hilfsstellungen für Vermittler können hier eingesehen und genutzt werden. Auch sollte der Vermittler sich an seinen Landesdatenschutzbeauftragten wenden und um verbindliche Einschätzung dahingehend bitten, ob denn überhaupt ein Datenschutzbeauftragter nach Art. 37 DSGVO, § 38 BDSG zu bestellen ist. Hierzu kann gern ein entsprechender Musterbrief genutzt werden. Die Antwort darauf sollte der Vermittler sich gut archivieren, falls die Datenschutzbehörde das „Datenschutz-Konzept“ einmal überprüfen sollte.
Auch können Vermittler gern die DSGVO – Checkliste nutzen, um nochmal zu prüfen, ob noch weitere Maßnahmen zu treffen sind. Auch sollte die Entwicklung und gesetzliche Umsetzung der ePrivacy-Verordnung im Auge behalten werden, welche eventuell in 2019, möglicherweise auch in 2020 in Kraft treten wird. In wie weit der Vermittler von dieser Verordnung betroffen sein wird, kann hier nachgelesen werden.
Zwar sind noch keine gravierenden Datenschutz – Fälle aus der Branche bekannt. Dennoch sollte man die neuen Pflichten im Rahmen der Umsetzung der DSGVO beachten und entsprechend handeln. Gerade auch vor dem Hintergrund, dass bekanntermaßen die Landesdatenschutzbehörden auch Personal „aufgestockt“ haben um den Aufsichts- und Kontrollpflichten nachkommen zu können. So ist mit Sicherheit zu erwarten, dass die Behörden Auskünfte von Unternehmen dazu einholen werden, wie intern der Datenschutz – also das „Datenschutzkonzept“ – geregelt ist. Auch wird damit zu rechnen sein, dass durchaus Bußgeldbescheide erlassen werden, sollten gravierende Verstöße festgestellt werden. Aber Genaueres wird die Zeit mit sich bringen, so dass Vermittler gut beraten sind ihre „Hausaufgaben“ entsprechend zeitnah umzusetzen, sollte dieses abschließend noch nicht geschehen sein.
Die Kanzlei wird u. a. zu dem Bereich „Datenschutz“ auf dem Vermittler-Kongress am 21.02.2019 in Hamburg referieren, zu welchem alle Vermittler der Versicherungs- und Finanzdienstleistungsbranche eingeladen sind. Die Veranstaltung ist kostenfrei. Informationen zur Agenda finden Sie unter www.vermittler-kongress.de.
Weitere Informationen zum Thema Datenschutz & DSGVO finden Sie auch in unserem „News“ Bereich.
Rechtsanwalt Björn Thorben M. Jöhnke ist Partner der Kanzlei Jöhnke & Reichow Rechtsanwälte und seit 2017 Fachanwalt für Versicherungsrecht. Während seiner Anwaltstätigkeit hat er bereits eine Vielzahl von gerichtlichen Verfahren im Versicherungsrecht geführt und erfolgreich für die Rechte von Versicherungsnehmern gestritten.
Mit unserer Kompetenz streiten wir ehrgeizig für Ihr Ziel, nämlich Ihre Interessen durchzusetzen! Wir freuen uns, dass unsere Mandanten-/-innen unser Engagement schätzen und positiv bewerten.
Verpassen Sie auch zukünftig keinen Beitrag unserer Kanzlei. Über unseren 2mal monatlich erscheinenden Newsletter erhalten Sie stets die aktuellen Beiträge unserer Kanzlei zu den Themen Versicherungsrecht, Bank- und Kapitalmarktrecht, Vertriebsrecht, Handelsvertreterrecht und Wettbewerbsrecht. Wir freuen uns auf Ihre Anmeldung.