16.7.2018 – Seit Ende Mai ist die Übergangsfrist der Datenschutz-Grundverordnung abgelaufen. Erste Vermittler werden bereits wegen behaupteter Verstöße in Anspruch genommen. Über Fälle aus seiner Praxis berichtet Rechtsanwalt Norman Wirth im Interview. Außerdem erläutert er, warum die Kommunikation über Whatsapp problematisch ist und gibt Handlungsempfehlungen.

VersicherungsJournal: Herr Wirth, als Rechtsanwalt beraten Sie Versicherungsvermittler auch in Sachen Datenschutz. Wie haben Sie den Monat seit Ende der Übergangsfrist der DSGVO am 25. Mai erlebt?

Norman Wirth (Bild: AfW, Christoph Rieken)

Norman Wirth: Das Thema Datenschutz gehört zu einem festen Aspekt unserer Beratungsleistung für die Branche, nicht erst seit die DSGVO umzusetzen ist. Tatsächlich hat der Hype zu diesem Thema, den wir die letzten Wochen vor Inkrafttreten der DSGVO erlebt haben, weiter angehalten. Die Meldungen über potentiell hohe Bußgelder und Abmahnwellen haben für eine erhebliche Sensibilisierung am Markt gesorgt.

VersicherungsJournal: In der Öffentlichkeit war der Datenschutz Ende Mai enorm präsent. Nun hört man fast nichts mehr dazu. Täuscht diese Ruhe?

Wirth: Ja, das täuscht definitiv. Denn die vorab so omnipräsenten Anforderungen sind weiterhin gegeben und die möglichen Bedrohungen sind immer noch vorhanden. Wer die Anforderungen noch nicht umgesetzt hat, läuft weiterhin Gefahr mit Bußgeldern, wettbewerbsrechtlichen Abmahnung oder sogar Schadensersatz-Ansprüchen von – angeblich – betroffenen Personen konfrontiert zu werden.

VersicherungsJournal: Wie hoch schätzen Sie den Anteil der unabhängigen Vermittler, die alle wesentlichen Anforderungen des neuen Gesetzes bereits umgesetzt haben?

Wirth: Das ist sehr schwer zu sagen. Ich befürchte, dass es vielleicht erst 50 Prozent sind. Wenn es hoch kommt. Das dürfte aber branchenübergreifend so sein.

Das Kernthema […] ist, die Vertraulichkeit der Daten zu gewährleisten.

VersicherungsJournal: Wo sehen Sie die größten Hindernisse, die gesetzlichen Vorgaben zu erfüllen?

Wirth: Das Kernthema für die Branche ist, die Vertraulichkeit der Daten zu gewährleisten, also die Verschlüsselung der Daten im eigenen Betrieb aber auch bei der Kommunikation. Ferner ist das erforderliche Verzeichnis der sogenannten Verarbeitungs-Tätigkeiten ein erheblicher administrativer – wenn auch lösbarer – Aufwand.

Von einer Kommunikation über Whatsapp ist abzuraten.

VersicherungsJournal: Welche bisherigen Praktiken im Vertrieb sind jetzt nicht mehr zulässig?

Wirth: Da gibt einige. Nur ein Beispiel: Von einer Kommunikation über Whatsapp ist abzuraten. Die Landes-Datenschutzbeauftragten haben sich insofern einhellig geäußert. Eine DSGVO-konforme Nutzung von Whatsapp scheint derzeit nicht praktikabel, da von jedem Kontakt im Telefon eine datenschutzrechtliche Einwilligungserklärung erforderlich ist, dass die Kontaktdaten an Whatsapp – in die USA – übermittelt werden dürfen. Also nicht nur von dem, der mit mir per Whatsapp kommuniziert, sondern von allen eingetragenen Kontakten.

VersicherungsJournal: Hat sich diesbezüglich dieser Praktiken nach Ihrer Beobachtung schon die nötige Zurückhaltung durchgesetzt?

Wirth: Nein.

Die vorrangigste Gefahr besteht wohl in einer wettbewerbsrechtlichen Abmahnung.

VersicherungsJournal: Mit welchen Sanktionen müssen Vermittler bei Verstößen gegen Vorgaben der DSGVO rechnen?

Wirth: Die vorrangigste Gefahr besteht wohl in einer wettbewerbsrechtlichen Abmahnung, zum Beispiel wegen fehlender oder fehlerhafter Datenschutzhinweise auf der eigenen Webseite. Hierzu gab es bereits seit dem 25. Mai 2018 erste Abmahnungen, die inzwischen auch die Branche getroffen haben.

Weiterhin steht natürlich die Gefahr von Bußgeldern der Aufsichtsbehörden im Raum. Auch wenn immer wieder zu lesen ist, dass die Behörden personell unterbesetzt sind und anlasslose Kontrollen (noch) nicht möglich sind, besteht weiterhin die Gefahr, dass jemand der Behörde einen entsprechenden Hinweis gibt.

Außerdem steht jeder betroffenen Person bei einer datenschutzwidrigen Verarbeitung ein Schadensersatzanspruch zu. Aktuell ist es tatsächlich so, dass diese Ansprüche gegenüber Unternehmen auch aus der Branche geltend gemacht werden.

Mehrere Vermittler wurden zur Zahlung von Schadensersatz aufgefordert.

VersicherungsJournal: Sind Ihnen solche Fälle schon bekannt geworden?

Wirth: Mit Blick auf die Abmahnungen gingen wie erwähnt bereits am 25. Mai erste Meldungen durch die Medien.

Zum Thema Schadensersatz liegen uns in der Tat bereits mehrere unmittelbare Mandate vor, bei der Vermittler zur Zahlung von Schadensersatz aufgefordert werden. Hintergrund ist jeweils eine vermeintlich fehlende SSL-Verschlüsselung beim Kontaktformular auf der Webseite.

Der Anspruch wird insbesondere in der Höhe, vorliegend regelmäßig 3.500,00 Euro, mit „personell distress“, also einer „persönlichen Notlage, beziehungsweise Leid“ begründet. Ob diese Argumentation für die möglicherweise datenschutzrechtlich fehlerhaft Übermittlung von personenbezogenen Daten greift, dürfte fraglich sein. Die Gerichte sind am Zug.

VersicherungsJournal: Kunden haben neuerdings einen Rechtsanspruch auf Auskünfte über die gespeicherten Daten. In welchem Umfang machen Verbraucher nach Ihrer Erfahrung davon Gebrauch?

Wirth: Hier liegen uns bisher keine Erfahrungswerte vor.

VersicherungsJournal: Wie richten sich Vermittler am besten auf solche Auskunftsersuchen ein?

Wirth: Im Idealfall haben die Vermittler ein Datenschutzkonzept, in dem genau solche Prozesse – nämlich die Beantwortung von Auskunftsersuchen – vordefiniert sind, sodass der Vermittler nur noch auf ein bereits vorhandenes Antwortformular zugreifen muss.

Ferner sind natürlich die Kundendaten so zu speichern, dass diese jederzeit einem Kunden – in Kopie – zur Verfügung gestellt werden können. Auch die Aushändigung des Datensatzes ist Bestandteil des Auskunftsanspruches.

Nichts tun ist keine Option!

VersicherungsJournal: Was raten Sie Finanzdienstleistern, die noch nicht alle gesetzlichen Anforderungen erfüllen?

Wirth: Mit Blick auf die möglichen Konsequenzen (Bußgeld, Abmahnung und Schadensersatz) sollte die Umsetzung der DSGVO dringend und umgehend angegangen werden. Nichts tun ist keine Option!

