FAQ zum Code of Conduct für Versicherungsmakler und Berater in Versicherungsangelegenheiten

Verhaltensregeln sind Interpretationshilfen einer Branche für die Auslegung der EU-Datenschutz-Grundverordnung (DSGVO). Fragen, die in der Praxis Probleme bereitet haben, können so geregelt werden. Der große Vorteil von CoC liegt in der Genehmigung durch die Datenschutzbehörde (DSB), d.h. die Codes of Conduct (CoC) sind auch durch die offizielle Behörde abgesegnet worden.

Die Inhalte der Verhaltensregeln können bereits jetzt angewandt werden, weil die inhaltliche Argumentation durch die Datenschutzbehörde (DSB) für zulässig erachtet wurde (z.B. Versicherungsmakler als eigenständiger Verantwortlicher).

Sollte es zu einem Verfahren bei der DSB kommen, ist es wichtig, darauf Bezug zu nehmen, d.h. der Makler muss dieses explizit vorbringen (z.B. "Ich habe keine Datenschutzbeauftragen bestellt, da ich ein Ein-Mann-Betrieb bin und nicht umfangreich Gesundheitsdaten verarbeite. Ich beziehe mich in meiner Argumentation auf § 12 der Verhaltensregeln für Versicherungsmakler und Berater in Versicherungsangelegenheiten.").

Um sich aber im Sinne einer erleichterten Nachweispflicht auf die Codes of Conduct (CoC) stützen zu können, müssen diese auch offiziell anwendbar sein, d.h. die aufschiebende Bedingung muss eingetreten sein (= die Überwachungsstelle muss offiziell akkreditiert sein).

Die Inhalte geben Standards für die gesamte Branche vor, d.h. das Rollenbild oder die Rechtmäßigkeit der Verarbeitung ist für die gesamte Branche geregelt und brachte Rechtsicherheit für die gesamte Branche.

Makler sind nicht verpflichtet, eine Verpflichtungserklärung gegenüber der Überwachungsstelle abzugeben. Das ist völlig freiwillig und unterliegt der Einschätzung des jeweiligen Unternehmens.

Nein. Aber wenn man die erweiterten Vorteile (siehe unten) aus den Codes of Conduct (CoC) genießen möchte, muss man sich auch dem Überwachungsverfahren unterwerfen (= eine Verpflichtungserklärung abgeben).

Nein. Nur, wenn man sich dem Überwachungsverfahren durch die Überwachungsstelle unterwirft und das Siegel haben möchte, ist der Gebührensatz der Überwachungsstelle zu zahlen.

1. Es erfolgt ein Erst-Audit durch ExpertInnen der Überwachungsstelle, d.h. Unterlagen wie das Verarbeitungsverzeichnis, die Datenschutzerklärung oder tlw auch Vertragsinhalte werden auf ihre Datenschutzkonformität geprüft. Hier erlangt man noch ein Plus an Rechtsicherheit und Sicherheit im Geschäftsverkehr.
2. Die Unterwerfung unter die Codes of Conduct (CoC) bringt laut DSGVO Erleichterungen im Rahmen der Nachweispflicht mit sich, bspw. kann das als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. Auch bei der Bemessung einer allfällige Verwaltungsstrafe ist als zu berücksichtigen, ob genehmigte CoC eingehalten wurden.
3. Zudem wird ein Wettbewerbsvorteile durch die Abschluss des Auditverfahrens und Erklärung der Teilnahme an den CoC bestehen, das das Unternehmen wie eine Art Gütesiegel auch nach außen zur Schau stellen kann (iSv "ich bin DSGVO konform").
   

Die Rechtsicherheit besteht bereits für alle, d.h. gegenüber Versicherungsunternehmen oder gegenüber meinen Kunden kann sich der Makler bereits darauf beziehen und hat so auch sehr gute Argumente auf seiner Seite.

Die DSGVO legt allerdings fest, dass Erleichterungen in der Nachweispflicht der Konformität und die Berücksichtigung bei der Verhängung der Geldstrafen durch die Datenschutzbehörde (DSB) dann eintritt, wenn das Unternehmen sich verpflichtet hat. Aus dieser Verpflichtung heraus weiß die DSB, dass das Unternehmen bereits durch die Überwachungsstelle kontrolliert wurde und auch regelmäßig kontrolliert wird.

Die DSB weiß, dass die Überwachungsstelle die Aufgaben sorgfältig durchführt, da diese Stelle ebenso haftbar ist. Die DSB kann sich daher bis zu einem gewissen Grad auf die DSGVO-Konformität, die durch das Siegel bestätigt wird, verlassen. Damit wird ein allfälliges Verfahren vor der DSB naturgemäß enorm erleichtert.

Vergleichbar ist das Prozedere mit Zertifizierungsprozessen, ein Beispiel: ein Clouddienste mit Datenschutz-Zertifizierung oder -Siegel erfüllt gewisse Voraussetzungen und hat daher bereits einen Anschein der Konformität.

Eine Verpflichtungserklärung ist an den Fachverband Versicherungsmakler per E-Mail an die Adresse ihrversicherungsmakler@wko.at mit der Benennung der Überwachungsstelle zu übermitteln. Alternativ kann die Verpflichtungserklärung auch direkt gegenüber der gewählten Überwachungsstelle abgegeben werden.

Nach Prüfung durch die Überwachungsstelle wird dem Versicherungsmakler bei Vorliegen der Voraussetzungen eine Bestätigung über die Anwendbarkeit der Verhaltensregeln per E-Mail an die bekanntgegebenen Kontaktdaten übermittelt.

Ab Zugang dieser Bestätigung sind die Verhaltensregeln für den Versicherungsmakler verpflichtend.

Das legt die Überwachungsstelle fest. Im Falle des Austrian Standards wird das genaue Prozedere und die Kosten auf der Website veröffentlicht. Es können sich allerdings auch andere Überwachungsstelle als solche bei der Datenschutzbehörde (DSB) für diese Codes of Conduct (CoC) akkreditieren lassen. Diese werden dann auf der Website der DSB ebenfalls bei den dazugehörigen Verhaltensregeln veröffentlicht. Die Kosten des Überwachungsverfahrens werden mit jenen von Zertifizierungsverfahren vergleichbar sein.

Nach den rechtlichen Vorgaben muss die Überwachungsstelle rechtlich, wirtschaftlich und insb. finanziell von den Erstellern der Codes of Conduct (CoC) unabhängig sein und nach außen hin haften können. Daher kann nur eine externe Stelle diese Unabhängigkeit gewährleisten. Ähnlich eines Zertifizierungsverfahrens kostet auch das Überwachungsverfahren etwas, da ExpertInnen bei der Überwachungsstelle einige Prüfstunden für die Audits aufwenden.

Grundsätzlich ist bei der Verarbeitung schlicht personenbezogener Daten von der Vertragserfüllung oder Erfüllung vorvertraglicher Pflichten auszugehen. Auch können überwiegende Interessen des Versicherungsmaklers argumentiert werden.

Hier kann sich der Makler als gewillkürter Vertreter des Kunden auf die gesetzliche Ermächtigung (§ 28 MaklerG und § 11c Ziff. 5 VersVG) stützen. Auf dieser Basis können sensible Daten auch mit dem Versicherer ausgetauscht werden. Die Voraussetzung ist die Gültigkeit einer zivilrechtlichen Vollmacht.

Datenschutzrechtlich stützt sich die Verarbeitung sensibler Daten, wie Gesundheitsdaten, nicht auf eine Einwilligung des Kunden, sondern auf eine gesetzliche Ermächtigung. Die Musterdokumente und Checklisten des Fachverbandes werden dementsprechend adaptiert.

Weiterhin Einwilligungserklärungen werden aber z.B. für die Anmeldung zu einem Newsletter benötigt.

Sollte der Schwerpunkt der Tätigkeit des Versicherungsmaklers in den Bereichen der Kranken- Unfall-, Ärztehaftpflicht oder Lebensversicherung liegen und gibt es mindestens 20 Vollzeit-Mitarbeitern, welche überwiegend sensible Daten verarbeiten, ist ein Datenschutzbeauftragten zu benennen.

Grundsätzlich sollte sich der Käufer aus Transparenzgründen darum kümmern, vorsorglich eine erneuerte Vollmacht für die Verarbeitung der Daten einzuholen und die Kunden über den Unternehmensübergang zu informieren. So gehen im Zuge der Unternehmensübertragung die Grundlagen für die Verarbeitung der Daten auf den neuen Makler über.

Empfohlene Maßnahmen:

• Information und Schulung allf Mitarbeiter
  
• Aufgabenverteilung zwischen allf Mitarbeitern,
  
• Zutrittsberechtigungen (Betrieb, Büro, Aktenschrank, Serverraum),
  
• Zugriffsberechtigungen (Firewall, Virenschutz, Passwörter, Fernzugrifftools),
  
• Protokollierung der Datenverwendung/ Zugriffe,
  
• Verschlüsselung / Pseudonymisierung soweit möglich,
  
• regelmäßig erfolgte Datensicherungen,
  
• regelmäßig erfolgte Überprüfungen der Datensicherungen.
  

Der Fachverband wird ein öffentliches Verzeichnis der Versicherungsmakler, die sich den Verhaltensregeln durch Verpflichtungserklärung unterworfen haben, einführen.

Die Codes of Conduct (CoC) sind mit Bescheid der Datenschutzbehörde (DSB) genehmigt worden. Wichtig ist, dass Makler bei allfälligen Verfahren vor der DSB diese auch regelmäßig zitieren, sodass klar ist, dass hier bereits einmal eine Entscheidung der DSB getroffen wurde und sich das Unternehmen daran gehalten hat.

Eine Änderung der CoC iSv Änderungen in der Rechtsprechung sind allerdings prinzipiell möglich. Sollte das passieren, wird der Fachverband aber eine rasche Adaptierung der CoC vornehmen und die Information dazu bereit stellen

Die Codes of Conduct (CoC) sind von Branchenvertretern für die Branche formuliert worden. Es ist das Beste herausgeholt worden, das datenschutzrechtlich vertretbar war. Es wurden Probleme aus der Praxis gelöst und explizit nichts in die CoC geschrieben, was für die Branche nachteilig ist.