Welche Pflichten haben Versicherungsvermittler im Datenschutz?

Datenschutz ist für Vermittler Chefsache

Für selbstständige Versicherungsvermittler und Versicherungsmakler ist Datenschutz kein lästiges Beiwerk, sondern ein zentrales Haftungs-, Vertriebs- und Compliance-Thema. Die Datenschutz-Grundverordnung (DSGVO) sieht bei schweren Verstößen Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes vor. Hinzu kommen Schadensersatzansprüche betroffener Personen, aufsichtsbehördliche Prüfungen und nicht zuletzt erhebliche Reputationsrisiken.

Besonders im Versicherungsvertrieb ist das Risiko hoch. Im Alltag werden nicht nur allgemeine Kundendaten verarbeitet, sondern häufig auch besonders sensible Informationen – etwa Gesundheitsdaten, Schadendaten, Vermögensverhältnisse oder familiäre Umstände. Wer diese Daten fehlerhaft verarbeitet, gefährdet nicht nur den Datenschutz, sondern auch das Vertrauen seiner Kunden.

Genau hier unterstützt Wirth Rechtsanwälte als spezialisierte Kanzlei mit Schwerpunkten unter anderem im Versicherungs-, Vertriebs- und Datenschutzrecht.  

Warum der freie Makler eigener Verantwortlicher ist

Der freie Versicherungsmakler ist datenschutzrechtlich regelmäßig nicht bloß „verlängerter Arm“ eines Versicherers. Nach § 59 Abs. 3 VVG handelt der Versicherungsmakler im Interesse seines Auftraggebers und nicht im Auftrag eines Versicherers. Gleichzeitig verpflichten §§ 60 und 61 VVG den Makler zu eigener Marktanalyse, Beratung und Dokumentation.

Bereits daraus ergibt sich typischerweise eine eigenständige Stellung. Der Makler verarbeitet personenbezogene Daten nicht nur nach Weisung eines Versicherers, sondern entscheidet selbst über Zwecke und Mittel der Verarbeitung.

Das zeigt sich im Alltag deutlich. Der Makler entscheidet unter anderem:

• welche Kundendaten erhoben werden
• welche Versicherer angefragt werden
• welche Software eingesetzt wird
• wie lange Unterlagen gespeichert werden
• wie Beratungsdokumentationen geführt werden

Damit ist der Versicherungsmakler regelmäßig selbst Verantwortlicher im Sinne der DSGVO.

Die Datenschutzkonferenz (kurz: DSK (Gremium der unabhängigen deutschen Datenschutzbehörden)) betont zusätzlich, dass weisungsgebundene Datenverarbeitung dem Verantwortlichen zugerechnet wird, während derjenige, der eigene Zwecke verfolgt, nicht mehr als bloßer Auftragsverarbeiter behandelt werden kann. Überträgt man diese Maßstäbe auf den Makleralltag, so wird klar, dass der freie Makler als eigenständig Verantwortlicher einzuordnen ist. Denn er entscheidet selbst, welche Kundendaten er erhebt, welche Versicherer er anspricht, welche Dokumentation er vorhält, welche Tools er nutzt und wie lange Unterlagen zur Beratungssicherung aufbewahrt werden. 

Das bedeutet zugleich: Datenschutzpflichten treffen den Makler nicht nur mit, sondern primär selbst.

Welche Datenschutzpflichten haben Versicherungsvermittler?

Versicherungsvermittler müssen eine Vielzahl gesetzlicher Pflichten beachten. Dazu gehören insbesondere Dokumentation, Transparenz, IT-Sicherheit und die Wahrung von Betroffenenrechten.

Verzeichnis von Verarbeitungstätigkeiten

Nahezu jedes Maklerbüro benötigt ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO.

Die häufig genannte Ausnahme für Unternehmen mit weniger als 250 Beschäftigten greift im Makleralltag oft nicht. Denn diese Ausnahme entfällt regelmäßig dann, wenn besondere Datenkategorien verarbeitet werden oder die Datenverarbeitung nicht nur gelegentlich erfolgt.

Gerade im Versicherungsvertrieb sind Kundendatenverwaltung, Bestandsbetreuung, Schadenbearbeitung und laufende Kommunikation Kerngeschäft, also dauerhafte Verarbeitungsvorgänge.

Ein fehlendes oder veraltetes Verzeichnis gehört zu den häufigsten Datenschutzmängeln kleiner und mittlerer Vermittlerbetriebe.

Einwilligungen richtig gestalten

Ein weiterer Schwerpunkt ist die wirksame Einwilligung.

Einwilligungen müssen:

• freiwillig
• eindeutig
• zweckgebunden
• widerruflich
• dokumentiert

sein.

Besonders relevant ist das bei Gesundheitsdaten, etwa in den Bereichen:

• Berufsunfähigkeitsversicherung
• Private Krankenversicherung
• Risikovoranfragen
• Leistungsfälle

Hier reicht die normale Vertragserfüllung oft nicht aus. Vielmehr ist regelmäßig eine ausdrückliche datenschutzrechtliche Einwilligung erforderlich.

Auch für Newsletter und E-Mail-Werbung gelten strenge Vorgaben. Ein sauberes Double-Opt-In-Verfahren ist in vielen Fällen dringend zu empfehlen.

Sichere IT und sichere Tools

Versicherungsvermittler müssen personenbezogene Daten technisch angemessen schützen.

Dazu zählen insbesondere:

• Zugriffsschutz
• Passwortrichtlinien
• Datensicherungen
• Verschlüsselung
• Geräte- und Rechteverwaltung

E-Mail-Kommunikation wird im Makleralltag oft unterschätzt. Werden sensible Kundendaten unverschlüsselt versendet, kann dies beträchtliche Risiken begründen.

Ebenso relevant ist die Auswahl externer Dienstleister, etwa für:

• Maklerverwaltungsprogramme
• Cloud-Speicher
• CRM-Systeme
• Vergleichssoftware
• Newsletter-Tools

Wenn Anbieter personenbezogene Daten im Auftrag verarbeiten, ist regelmäßig ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich.

Auskunftsersuchen innerhalb eines Monats beantworten

Kunden haben nach Art. 15 DSGVO ein Recht auf Auskunft.

Das bedeutet: Sie können wissen wollen,

• welche Daten gespeichert sind
• zu welchen Zwecken diese verarbeitet werden
• an wen Daten übermittelt wurden
• wie lange Daten gespeichert werden

Maklerbüros müssen auf solche Anfragen grundsätzlich innerhalb eines Monats reagieren.

Kleinere Vermittlerbetriebe unterschätzen dieses Risiko oftmals. Anfragen bleiben im Tagesgeschäft liegen, landen im Spam-Ordner oder werden nicht vollständig beantwortet.

Das kann vermeidbare Rechtsfolgen auslösen.

Die 20-Personen-Falle beim Datenschutzbeauftragten

Viele Vermittler glauben, ein Datenschutzbeauftragter sei erst bei größeren Unternehmen erforderlich.

Tatsächlich sieht § 38 BDSG eine Benennungspflicht in der Regel bereits ab 20 Personen vor, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind.

Wichtig: Es zählen nicht nur Vollzeitkräfte. Auch berücksichtigt werden können:

• Teilzeitkräfte
• Minijobber
• Auszubildende
• freie Mitarbeitende
• Handelsvertreter mit regelmäßiger Datenverarbeitung

Zudem kann auch unterhalb dieser Schwelle eine Pflicht bestehen, etwa bei besonders risikobehafteten Verarbeitungen.

Wer stark im BU-, PKV-, Unfall- oder Leistungsbereich tätig ist, sollte diese Frage sorgfältig prüfen lassen.

Für viele Betriebe kann die Bestellung eines externen Datenschutzbeauftragten wirtschaftlich und organisatorisch sinnvoll sein. Die VerDat24 GmbH unterstützt Unternehmen hierbei als externer Datenschutzpartner – mehr Informationen finden Sie auf der Webseite.

Typische Datenschutzfehler bei Versicherungsvermittlern

In der Praxis treten bestimmte Fehler besonders häufig auf.

Unverschlüsselte Kommunikation

Gesundheitsdaten, Vertragsunterlagen oder Ausweiskopien werden häufig ungesichert per E-Mail versendet.

Fehlende AV-Verträge

Cloud-Dienste, Newsletter-Systeme oder Softwareanbieter werden genutzt, ohne dass ein Vertrag zur Auftragsverarbeitung abgeschlossen wurde.

Veraltete Datenschutzhinweise

Viele Makler verwenden veraltete Datenschutzerklärungen oder Muster ohne Bezug zum eigenen Betrieb.

Keine Löschkonzepte

Daten werden dauerhaft gespeichert, obwohl Aufbewahrungsfristen abgelaufen sind.

Fehlende Prozesse für Betroffenenrechte

Auskunfts- oder Löschungsanfragen werden nicht rechtzeitig bearbeitet.

Datenschutz ist Wettbewerbsvorteil für Makler

Datenschutzpflichten für Versicherungsvermittler sind kein bloßer Formalismus. Wer sauber dokumentiert, Gesundheitsdaten besonders schützt, sichere Tools einsetzt und Betroffenenrechte professionell bearbeitet, reduziert nicht nur Haftungs- und Bußgeldrisiken.

Er stärkt zugleich das Vertrauen seiner Kunden und genau dieses Vertrauen ist im Maklergeschäft ein echter Wettbewerbsvorteil.

Wer sein Maklerbüro rechtssicher aufstellen möchte, sollte Datenschutz nicht erst angehen, wenn eine Beschwerde oder Behördenanfrage vorliegt.

Sinnvoll ist ein frühzeitiger Datenschutz-Check:

• Welche Daten werden verarbeitet?
• Wo fehlen Einwilligungen?
• Welche Tools benötigen AV-Verträge?
• Wo bestehen Sicherheitslücken?
• Welche Prozesse fehlen?

Wirth Rechtsanwälte unterstützen Versicherungsvermittler und Maklerbüros bei der rechtssicheren Organisation ihrer Datenschutzprozesse.

Häufige Fragen zum Datenschutz für Versicherungsvermittler

Darf ich Kundendaten per E-Mail versenden?

Ja, aber nicht unüberlegt. Bei sensiblen Daten sind erhöhte Sicherheitsmaßnahmen erforderlich. Je nach Risiko kann Verschlüsselung notwendig sein.

Brauche ich mit weniger als 20 Mitarbeitenden einen Datenschutzbeauftragten?

Nicht automatisch. Eine Pflicht kann aber auch darunter bestehen, etwa bei risikoreichen Verarbeitungen oder besonderen Datenkategorien.

Brauche ich für Gesundheitsdaten immer eine Einwilligung?

Nicht in jedem Einzelfall, aber häufig ist sie der praktikabelste und rechtssicherste Weg.

Ist der Versicherer für meinen Datenschutz verantwortlich?

Regelmäßig nein. Der freie Makler ist typischerweise selbst Verantwortlicher.