Welche Folgen hat es, wenn man solche Verträge mit dem Versicherer akzeptiert?
B2B-Newsletter > NL 8/18
Was sagen die Krankenkassen dazu?
Seit Monaten diskutiert die Branche darüber, warum manche Versicherer – und nicht die kleinsten - die selbständigen Vermittler als weisungsgebundene AUFTRAGSVERARBEITER einstufen (wie etwa eine Druckerei), obwohl sie eigentlich DatenVERANTWORTLICHE nach der DSGVO sind.
Welche Konsequenzen hat es nun, wenn Versicherungsvermittler solche Verträge akzeptieren? Um das zu klären, baten wir den auf Versicherungsrecht spezialisierten Rechtsanwalt Mag. Novotny um seine rechtliche Einschätzung. Sein Beitrag folgt unten anbei.
Dienstnehmer oder selbständig? Eine ungewollte Konsequenz - aus der Sicht obiger Versicherer - könnte sein, dass die ständig nach Beitragszahlern suchenden Gebietskrankenkassen genauer hinsehen und zur Entscheidung kommen, dass damit der entscheidende Schritt zur Dienstnehmerschaft gemacht wurde (nur mehr weisungsgebunden tätig, nur zur Verfügung gestellte Betriebsmittel verwendbar, nach Beendigung der Zusammenarbeit muss alles retourniert und gelöscht werden,...).
Ein ergänzender Nachschlage-Tipp: Praxishandbuch „Das österreichische Versicherungsvermittlerrecht“ Vor dem Sommer in 10. Auflage erschienen. Die Umsetzung der DSGVO im Finanz- und Versicherungsmarkt nimmt darin einen großen Raum ein. Details dazu finden Sie hier… Das Inhaltsverzeichnis können Sie hier herunterladen…
Hier folgt nun der Gastkommentar von Mag. Stephan Novotny:
Der selbstständige Vermittler als Verantwortlicher oder als Auftragsverarbeiter?
Unterschiede und Konsequenzen daraus!
Viele Versicherungsvermittler haben in letzter Zeit von fast allen Versicherungen, mit denen sie zusammenarbeiten, neue Agenturverträge bzw. Courtagevereinbarungen zur Unterfertigung erhalten.
Darin ist häufig – allerdings nicht bei allen Versicherungshäusern – zu lesen, dass Versicherungsvermittler fortan als Auftragsverarbeiter für Versicherungsunternehmen in Ihrer Tätigkeiten etwa als Versicherungsagenten eingestuft werden. Ohne Unterfertigung dieser neuen Vereinbarungen wird die Beendigung der Zusammenarbeit angedroht.
Die Aufnahme dieser Klauseln wird mit der DSGVO begründet. Häufig verschwimmt in den neuen Vereinbarungen scheinbar die Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter. Was ist aber nun der Unterschied und die Konsequenz daraus, in welche „Kategorie“ man eingeordnet wird?
Verantwortlichernach der DSGVO ist jeder, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Darunter fallen somit auch Versicherungsvermittler, die als selbstständige Unternehmer Daten von ihren Kunden aufnehmen. Und dann der einen oder anderen Versicherungsgesellschaft zur Weiterbearbeitung weiter leiten. Ab da sind Versicherungsvermittler und Versicherungshaus GEMEINSAM VERANTWORTLICHE nach der DSGVO.
Auftragsverarbeiter sind jene, die personenbezogene Daten im Auftrag eines Verantwortlichen und weisungsgebunden bearbeiten. Also etwa eine Druckerei.
Den Verantwortlichen treffen die bereits ausführlich dargestellten Pflichten der DSGVO bei einer Datenverarbeitung.
Als Auftragsverarbeiter ist jener einzustufen, der nicht vom eigenen Kunden die Daten erhält, sondern von einem anderen Verantwortlichen (= hier also das Versicherungsunternehmen), um diese Daten zu verarbeiten, z.B., um einen Schaden zu erledigen.
Diese Auftragsverarbeiter müssen hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen getroffen wurden, um der DSGVO zu genügen. Insoweit ist hier kein Unterschied zum Verantwortlichen gegeben. Darüber hinaus ist aber ein schriftlicher Vertrag (hier wäre es aus Sicht der Versicherungsunternehmen der Agenturvertrag, Courtagevereinbarung, etc.) abzuschließen, der den Versicherungsvermittler als Auftragsverarbeiter in Bezug auf den Verantwortlichen (das VU, Versicherungsunternehmen) bindet und der Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festlegt. Aus diesem Vertrag heraus haftet der Versicherungsvermittler dem VU.
Ist diese Auftragsverarbeiter-Tätigkeit für die normale Tätigkeit des Versicherungsvermittler vorgesehen, so verpflichtet sich der Versicherungsvermittler zu mehr, als er mE müsste:
Insbesondere darf der Versicherungsvermittler die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten (damit wäre die „normale“ Tätigkeit des Vermittlers über Gebühr eingeschränkt).
Der Vermittler müsste die Zustimmung beim VU einholen, sich Subagenten, etc. einzustellen bzw. mit solchen zusammen zu arbeiten.
Manche VU verlangen vom Vermittler, dass NUR mit der von der VU zur Verfügung gestellten Hard- und Software sowie IT gearbeitet werden darf.
Weiters verlangen manche VU in Auftragsverarbeiter-Vereinbarungen JEDERZEITIGE Kontroll- und Einsichtsrechte. Anmerkung Redaktion: Ob durch solche Verpflichtungen nicht ein entscheidender Schritt in Richtung Dienstnehmerähnlichkeit getan wird, könnte bald die ständig nach Beitragszahlern Ausschau haltenden Gebietskrankenkassen interessieren!
Der Vermittler muss das VU bei der Erfüllung der Betroffenenrechte und sonstiger Verpflichtungen nach der DSGVO unterstützen und:
Nach Abschluss der Erbringung der Verarbeitungsleistungen (=normale Tätigkeit des Vermittlers) oder Beendigung der Zusammenarbeit mit dem Versicherer alle personenbezogenen Daten entweder löschen oder zurückgeben. Damit hätte er bei eventuellen Schadenersatzprozessen oder für sonstige eigene Angelegenheiten gegenüber dem VU keinerlei Beweisunterlagen zur Verfügung, was das „Freibeweisen bei behaupteter Fehlberatung“ unmöglich machen kann.
All das würde sich der Vermittler bei richtiger Einstufung als Verantwortlicher ersparen. Ein Nachverhandeln der Verträge ist daher jedenfalls zu empfehlen.