DSGVO versus Maklerpflichten: Wie groß ist das Konfliktpotenzial?

Maklerpflichten
Maklerpflichten

DSGVO, Datenschutzrichtlinie, Datenschutzgrundverordnung, Datenschutz, Datenschutzgesetz

In zwei Tagen ist Stichtag. Die zweijährige Übergangsfrist zur Umsetzung der EU-Datenschutzgrundverordnung endet am 25. Mai – und noch immer kämpfen Betriebe mit ihrer Umsetzung. Aus einer Studie des Digitalverbands Bitkom geht hervor, dass nur etwa ein Viertel aller Unternehmen eine fristgerechte Implementation der DSGVO im eigenen Haus erwarten. 33 Prozent der Unternehmen gehen davon aus, dass sie die neue Verordnung „größtenteils“ umgesetzt haben werden. Ein weiteres Drittel prognostiziert eine „teilweise“ Umsetzung.

Bitkom Umfrage zur DSGVO Mai 2018
Bitkom Umfrage zur DSGVO Mai 2018

Dass Unternehmen sich mit der Umsetzung schwer tun, liegt nicht zuletzt daran, dass die DSGVO keine Liste an Maßnahmen bietet, die ein Betrieb abarbeiten könnte. Bitkom-Präsident Achim Berg kritisiert deshalb den Mangel an „praktischen Hilfestellungen“ von „offizieller Seite.“ Verständlich also, dass Makler sich ebenfalls mit der Umsetzung der neuen Datenschutzrichtlinien schwer tun. Und sich unsicher sind. Das zeigt stellvertretend der untenstehende Facebook Kommentar, der uns vor einigen Wochen erreichte.

Facebook Kommentar eines aufgebrachten Maklers
Facebook Kommentar eines aufgebrachten Maklers

Aber ist es wirklich so, wie der aufgebrachte Herr hier beschreibt? Oder liegt eigentlich ein Missverständnis vor? Wir haben mit Rechtsanwalt Björn Thorben M. Jöhnke gesprochen, um der Sache auf den Grund zu gehen.

Redaktion: Herr Jöhnke, was antworten Sie dem Makler aus dem Beispiel oben? Ist es wirklich so, wie er befürchtet und er muss sich entweder für die Maklerpflichten oder den Datenschutz entscheiden?

Björn Thorben M. Jöhnke: Nach Artikel 17 DSGVO hat die betroffene Person das Recht, von dem Versicherungsmakler zu verlangen, dass die personenbezogene Daten unverzüglich gelöscht werden. Denn der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern seine Gründe zutreffend sind. Gründe können etwa der Zweckfortfall für die Erhebung der Daten, Widerruf der Einwilligung für die Nutzung der personenbezogenen Daten oder gar eine unrechtmäßige Verarbeitung sein.

Redaktion: Also muss er die Maklerpflichten vernachlässigen und die Daten löschen?

Björn Thorben M. Jöhnke: Nein, ich kann Sie beruhigen. Denn der Artikel 17 DSGVO sieht in Absatz 3 gewisse Ausnahmen vor. Gemäß Absatz 3 lit. e finden die Absätze 1 und 2 keine Anwendung, soweit die Verarbeitung zur Geltendmachung und Ausübung von Rechtsansprüchen sowie zur Verteidigung von – sowie gegen – Rechtsansprüchen erforderlich ist. Vor diesem Hintergrund kann der Versicherungsmakler grundsätzlich die Daten gar nicht löschen, da er sich möglicherweise Rechtsansprüchen durch den Betroffenen ausgesetzt sieht.

Redaktion: Was kann der Vermittler also tun?

Björn Thorben M. Jöhnke: Er hat folglich nur die Möglichkeit, über die entsprechenden Daten – wie zum Beispiel die Beratungsdokumentation sowie den E-Mail-Verkehr die Vermittlung betreffend – seine rechtskonforme Beratung zu belegen und sich im Zweifel zu enthaften. Vor diesem Hintergrund ist dem Vermittler anzuraten, die Daten zunächst nicht zu löschen, auch wenn der Kunde dieses wünscht.

Redaktion: Und wie sieht es mit den schwindelerregend hohen Bußgeldern aus? Erwarten Vermittler im Zweifel wirklich Strafen von bis zu 20 Millionen Euro?

Björn Thorben M. Jöhnke: Richtig ist, dass die DSGVO nun strenge Bußgelder bei Verstößen gegen die Verordnung vorsieht. Eine Haftung per se auf 20 Millionen Euro ist jedoch falsch. Die DSGVO sieht vor, dass eine Haftung BIS zu 20 Millionen oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorausgegangenen Geschäftsjahres möglich ist. Je nachdem, welcher der Beträge höher ist. Dieses stellt folglich lediglich den grundsätzlichen Rahmen für die Behörden vor, nach welchem die Aufsichtsbehörde ein Ermessen bekommt.

Art. 83 Abs. 2 DSGVO sieht allerdings vor, dass Geldbußen je nach den Umständen des Einzelfalls verhängt werden können. Jeder Einzelfall muss jedoch auf die Art, Schwere und Dauer des Verstoßes geprüft werden. Ebenfalls fließen die Art, der Umfang oder der Zweck der betreffenden Verarbeitung in die Bewertung mit ein. Zusätzlich wird die Zahl der von der Verarbeitung betroffenen Personen und das Ausmaß des von ihnen erlittenen Schadens berücksichtigt. Von daher ist nicht davon auszugehen, dass vorgenannte Summenhöhen direkt gegen einen Vermittler verhängt werden. Es stellt lediglich einen möglichen Rahmen für die Aufsichtsbehörden dar. Der Fokus dürfte hier deutlich auf die weltweiten Konzerne – wie zum Beispiel Facebook – gerichtet sein.

Redaktion: Vielen Dank für die fachliche Einschätzung!

Titelbild: ©Karl Heinz Schmidt; Beitragsbild: ©Bitkom, ©Björn Thorben M. Jöhnke

3 Kommentare

Kommentieren Sie den Artikel

Bitte geben Sie hier Ihre Nachricht ein!
Bitte geben Sie hier Ihren Namen ein