B2B-Projekte für Finanz- und Versicherungsbranche Mag. Günter Wagner
Counter / Zähler
Direkt zum Seiteninhalt

Hauptmenü:

René Hompasz gibt Praxistipps zu IDD und DSGVO

B2B-Newsletter > 2018 - Archiv > NL 6/18
Praxis-Kommentar Renè Hompasz
Was sollten Sie unbedingt beachten, um teure Konsequenzen zu vermeiden?
Seit einigen Tagen ist die Übergangsfrist der Datenschutzgrundverordnung (DSGVO) vorbei, d.h. ab nun können die (existenzgefährdenden) Strafen in Millionenhöhe verhängt werden.

Sie haben sicher viel in den letzten Monaten darüber gelesen, Vorlagen ausgefüllt und sich überlegt, wie Sie künftig vorgehen werden, um die bei Ihnen anfallenden personenbezogenen Daten zu schützen bzw. nur so lange zu speichern, wie dies gesetzlich gedeckt ist.

Doch welche Gefahren sieht man aus der Position des Berufshaftpflicht-Versicherers?
Wir haben daher René Hompasz gebeten, die möglichen Gefahren, die sich etwa durch IDD oder DSGVO für Sie als Berater/Vermittler bzw. Wertpapierfirmen oder Versicherer ergeben könnten, zu skizzieren, damit Sie (existenz-) bedrohliche Situationen vermeiden können.

Sie möchten diesen Beitrag als PDF - kostenlos - zugesandt erhalten?
Senden Sie ein Mail mit JA zu INFO an g.wagner@b2b-projekte.at
GF René Hompasz, Foto beigestellt
A) Datenschutzgrundverordnung (DSGVO)
 
Keine EU-Verordnung hat für die Unternehmerschaft so weitreichende Auswirkungen wie die VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES (DSGVO). Auf Wunsch von Mag. Günter Wagner, B2B-Projekte für Finanz- und Versicherungsbranche, wollen wir in diesem und einigen folgenden Newslettern versuchen, dieses Thema leicht verständlich und aus Praxissicht zu beleuchten. Es handelt sich dabei jedoch nicht um eine juristische Abhandlung, sondern vielmehr um eine durchaus kritische Auseinandersetzung mit dem Thema.
 
Wir werden neben den juristischen Details über Praxissituationen berichten, die künftig auftreten und Probleme verursachen könnten. Wir möchten dadurch praktische Tipps für Ihre tägliche Tätigkeit als Versicherungsvermittler bzw. Finanzberater geben, damit Sie, werte Leser, (existenz-)bedrohliche Situationen vermeiden können.
 
Am Ende eines jeden Newsletters möchten wir typische Praxisfälle skizzieren, die problematisch werden sowie sehr zeit- und kostenintensive Herausforderungen mit Kunden und/oder Aufsichtsbehörden nach sich ziehen könnten. Dabei werden wir auch unsere langjährige Schadenerfahrung aus dem Bereich der Berufshaftpflicht-Versicherung für beratende Berufe (wie z. B. Finanzdienstleister, Versicherungsvermittler) einfließen lassen.

Was ist Datenschutz?
In den Erwägungsgründen 1 und 2 zur DSGVO ist Folgendes zu lesen:

„(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“

„(2) Die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten gewährleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben.“
 
Zusammenfassend kann festgehalten werden, dass es beim Datenschutz anlässlich der DSGVO um den Schutz der „personenbezogenen Daten“ der „betroffenen Person“ (Artikel 4, Punkt 1 der DSGVO) geht.
Personenbezogene Daten sind in der DSGVO in Artikel 4 wie folgt erfasst:
 
„1. personenbezogene Datenalle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“
 
Nun fragt man sich wohl, warum Daten, die viele Social-Media-User sowieso freiwillig preisgeben, geschützt werden sollen? Auf Facebook und Co. finden Sie zahlreiche Informationen und Fotos, bis hin zum Geburtsdatum, die dort von den Usern anderen Usern FREIWILLIG mitgeteilt, wenn nicht sogar „aufgezwungen“ werden. Urlaube werden bekannt gegeben, das Essen gepostet und auch Kommentare zu anderen Postings „geliked“ und kommentiert.
 
Warum soll nun ein Unternehmen Daten besser schützten, als der Betroffene selbst seine eigenen Daten „schützt“? Diese Diskussion würde wohl ins Nirvana führen, daher bleibt an dieser Stelle die Antwort auf diese Frage offen.

Ist Datenschutz etwas Neues?
NEIN!!! Der Datenschutz ist seit vielen Jahren in den österreichischen Gesetzen verankert wie zum Beispiel in § 38 BWG, § 11a ff VersVG, § 17 WAG usw.

Sehr viele betroffene Unternehmen fragen sich, ob die Kunden bzw. deren Daten bisher schlecht geschützt waren oder ob diese nun durch die neuen Datenschutzrichtlinien besser geschützt werden. Eine Frage, die berechtigt ist, aber wohl nicht so einfach zu beantworten ist, da es immer auf den Einzelfall ankommt.

Eine Frage an dieser Stelle:
Waren Sie während Ihrer beruflichen Tätigkeit jemals mit einem Schadenersatzanspruch wegen einer Datenschutzverletzung von Kunden konfrontiert? Oder kennen Sie jemanden der damit schon konfrontiert war?

Warum nun dieser Hype um die DSGVO?
Erinnern Sie sich noch an die „Weltuntergangsmärchen“ anlässlich des im Jahr 1999/2000 bevorstehenden Y2K-Hypes? Was war da nicht alles zu hören/lesen – die EDV stürzt ab, die Welt verfällt in Chaos und andere Schauermärchen. Was ist dann am 01.01.2000 um 0:00 Uhr passiert? Nicht mehr oder weniger als sonst auch. Die Welt existiert noch und dreht sich weiter!

… bis zum 25.05.2018 – denn da wird sich alles ändern und viel komplexer werden und, und, und …
 
Spricht man mit Unternehmern über die DSGVO, kommt schon zum Ausdruck, dass zu diesem Thema sehr viele Informationen im Umlauf sind und sich diese nicht unbedingt decken, da viele unterschiedliche Meinungen zur Rechtsauslegung der DSGVO haben.

Der nun in der Gesellschaft kursierende Hype, oder fast schon Hysterie, dürfte eine hausgemachte sein, da die DSGVO – wie von Juristen zu hören ist – ein sehr unscharfes Regularium mit vielen Öffnungsklauseln ist und dadurch sehr viel Spielraum bei der Interpretation zulässt. Hinzu kommt, dass viele Rechtsanwender (Unternehmer) mit den Vorgaben bzw. dem geschriebenen Wort der DSGVO überfordert sind. Umfasst die DSGVO immerhin 88 A4-Seiten mit 172 Erwägungsgründen (dies sind die Gründe warum die DSGVO erlassen wurde) und nochmals 99 Artikel.
 
Es liegt wohl auf der Hand, dass ein Ein-Personen-Unternehmen alleine schon wegen des Umfanges der DSGVO überfordert ist.

Zudem handelt es sich hier um eine sehr „schwammige“ Rechtsmaterie. Wie soll dies neben der täglichen Arbeit zu bewältigen sein?
 
An dieser Stelle muss man für die DSGVO eine Lanze brechen, denn auch schon vor der DSGVO gab es das Datenschutzgesetz 2000 und das Datenverarbeitungsregister. Bei letzterem mussten nach den Bestimmungen des Datenschutzgesetzes 2000 – von Ausnahmen abgesehen – Personen, Unternehmen, Vereine, Behörden usw. (Auftraggeber), die personenbezogenen Daten in einer Datenanwendung verwendeten, diese der Datenschutzbehörde mit den betroffenen Personengruppen, Datenarten und Übermittlungsempfängern zum Zweck der Registrierung im Datenverarbeitungsregister (DVR) melden und jeder Bürger hatte das Recht, in die registrierten Meldungen Einsicht zu nehmen.
 
Wie viele Unternehmer haben eine solche Meldung abgegeben und eine DVR-Nummer erhalten? Wenn dies all jene, die dazu verpflichtet waren, gemacht haben, dürfte es somit aufgrund der DSGVO keine Probleme geben, denn die bisherige DVR-Meldung kann heruntergeladen und in das nun zu erstellende Datenverarbeitungsverzeichnis (Artikel 30 DSGVO) übernommen werden – wobei anzumerken ist, dass es damit nicht getan ist und noch einige andere Daten ergänzt werden müssen.

Ängste, Befürchtungen und „Nicht-Information“
Viele Unternehmen befürchten, dass – ähnlich wie bei den Massen(Anleger-)schäden – nun einer neuen Welle der Abmahnungen oder gar „Vernaderungen“ von Mitbewerbern Tür und Tor geöffnet wurde und dadurch das eigene wirtschaftliche Vorkommen behindert werden könnte.
 
Dem kann ganz einfach entgegengewirkt werden, indem die Unternehmen ihre Hausaufgaben machen und die Vorgaben der DSGVO umsetzen. Und genau hier beißt sich die „Katze in den Schwanz“!
 
Wie soll ein unklares und sehr umfassendes Gesetz von (Nicht-)Juristen umgesetzt werden, wenn nicht einmal die für die Aufsicht zuständigen Behörden, geschweige denn die gesetzgebenden Körperschaften, eine klare und verständliche Auskunft darüber geben, was gesetzeskonform ist und was nicht?

Die DSGVO wurde mit 27.04.2016 publik gemacht und trat mit 25.05.2018 in Kraft. Diese Zeit wurde von vielen nicht genutzt, um sich auf die neuen Vorgaben einzustellen. Liegt dies vielleicht daran, dass es ein österreichisches Unikum ist, sich erst dann um etwas zu kümmern, wenn „der Hut brennt“? Nein, es wird wohl vielmehr daran liegen, dass die Rechtslage mittlerweile so komplex und für viele Betroffene unübersichtlich und die tägliche Arbeit wohl wichtiger ist, als sich mit Dingen der Zukunft zu beschäftigen.

Auftragsverarbeiter oder Verantwortlicher!
Sehr unterschiedliche (Rechts-)Ansichten gibt es auch zu den Themen Auftragsverarbeiter, Verantwortlicher und den daraus „abgeleiteten“ Verpflichtungen bzw. „erforderlichen“ Auftragsverarbeiter-Vereinbarungen zwischen Produktgeber und Berater/Vermittler. In Artikel 4, Punkt 2., 7. und 8. der DSGVO ist dazu zu lesen:

„2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“

„7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;“

„8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;“
 
Im Artikel 28 der DSGVO ist in Absatz 1 Folgendes zum Auftragsverarbeiter zu lesen:

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

Unter Berücksichtigung der vorigen Bestimmungen der DSGVO ist davon auszugehen, dass jeder, der eine Gewerbeberechtigung hat und nicht AUSSCHLIESSLICH für ein anderes Unternehmen tätig ist, NICHT als Auftragsverarbeiter, sondern als Verantwortlicher anzusehen ist, da dieser (nicht im Auftrag des Produktgebers [Bank, Versicherung, Fondsgesellschaft usw.]) die personenbezogenen Daten beim/vom Kunden erfasst/erhebt und weiterverarbeitet. Anders würde es wohl sein, wenn ein Berater/Vermittler vom Produktgeber damit beauftragt wird, beim Kunden personenbezogene Daten zu erfassen/erheben – dies dürfte wohl eher die Ausnahme sein.

Hingegen dürften Gewerbetreibende wie z. B. der Ausschließlichkeitsagent einer Versicherung oder der vertraglich gebundene Vermittler im Wertpapierbereich als Auftragsverarbeiter gelten – sofern diese über KEINE weitere Gewerbeberechtigung verfügen.
 
Würde nun zum Beispiel ein Produktgeber dessen Vermittler, die nicht Ausschließlichkeitsagent oder vertraglich gebundene Vermittler sind, als Auftragsverarbeiter sehen, würde dies dazu führen, dass diese als Erfüllungsgehilfen gem. § 1313a ABGB zu betrachten wären und somit der Verantwortliche (Produktgeber) durchaus auch für ein etwaiges Fehlverhalten seiner Erfüllungsgehilfen einzustehen hätte – fraglich ist an dieser Stelle, ob dies dann auch für etwaige Fehlberatungen gilt!
 
Ein Regress des Produktgebers dürfte fraglich sein, denn hier könnte sich (auch) der selbständige Berater/Vermittler auf das Haftungsprivileg des Dienstnehmerhaftpflichtgesetzes (DHG) berufen, da er aufgrund der Auftragsverarbeiter-Vereinbarung mit dem Verantwortlichen „exklusiv“ als dessen (ausschließlicher) Erfüllungsgehilfe „tätig wurde“.
 
Betreffend Vorgaben zur DSGVO gilt es die aktuellen Entwicklungen (Judikatur, Schadenfälle usw.) abzuwarten, um hier in der Zukunft eine klarere Sicht auf diverse Rechtsfragen zu bekommen. Es sei denn, dass es in (naher) Zukunft von den Aufsichtsbehörden zu klaren und verständlichen Vorgaben bzw. Auslegungen der Rechtslage kommt, was im Sinne der Betroffenen (Schutz der persönlichen Daten) und der Unternehmen (Datenschutz) wünschenswert wäre.

Welche Auswirkungen hat die DSGVO auf die tägliche Arbeit?
Hierzu gibt es sehr viele Herausforderung, angefangen bei der Kommunikation per E-Mail, Fax, WhatsApp aber auch zwischen den Produktgebern und den Vermittlern sowie unter den einzelnen Marktteilnehmern.
 
Eine in der bisherigen Diskussion vernachlässigte Regelung ist Artikel 20 DSGVO, in dem in Absatz 1 das Recht auf Datenübertragbarkeit wie folgt geregelt ist:
 
„Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, …“

Die Frage, die sich im Zusammenhang mit der Datenübertragbarkeit stellt, ist, wie dies zu passieren hat, denn in Erwägungsgrund 68 DSGVO ist zu lesen:
 
„Um im Fall der Verarbeitung personenbezogener Daten mit automatischen Mitteln eine bessere Kontrolle über die eigenen Daten zu haben, sollte die betroffene Person außerdem berechtigt sein, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten und sie einem anderen Verantwortlichen zu übermitteln.
 
Fragen über Fragen – lesen Sie in den folgenden Newslettern, was es angesichts der DSGVO für Finanzdienstleister und Versicherungsvermittler zu beachten gilt und wie etwaige Probleme durch eine vorausschauende Herangehensweise vermieden werden können.
 
Mit freundlichen Grüßen

René Hompasz

Höher Insurance Services GmbH
 


Zum Autor:
René Hompasz ist Geschäftsführender Gesellschafter der Höher Insurance Services GmbH (diese ist seit mehr als 20 Jahren im Bereich der Vermögensschaden-Haftpflichtversicherung tätig), ist seit 1994 in der Finanz- und Versicherungsbranche, hat den Lehrberuf Versicherungskaufmann erfolgreich abgeschlossen, war im Back Office einer österreichischen Versicherungsgesellschaft tätig, wechselte nach einigen Jahren in den Vertrieb und begann im Anschluss daran seine selbständige Tätigkeit als Versicherungsmakler, wobei das Dienstleistungsangebot sukzessive um die Gewerbliche Vermögensberatung, die Wertpapierberatung als Wertpapierdienstleistungsunternehmen sowie die Unternehmensberatung erweitert wurde. Zudem ist er allgemein beeideter und gerichtlich zertifizierter Sachverständiger für das Versicherungswesen.
Zurück zum Seiteninhalt | Zurück zum Hauptmenü