Folgende Frage erreichte den IVVA:
„Hallo liebes Redaktionsteam,
sind Ausschließlichkeitsagenten (aber auch Mehrfachagenten) angehalten, Abschlussunterlagen und Protokolle der von Ihnen vermittelten Kunden sicher aufzubewahren, um im Falle einer Haftung Beweise vorlegen zu können, insbesondere dann, wenn der Exklusiv- Versicherer behauptet, keine Unterlagen zu finden und behauptet wird, dass vermutlich keine weitergeleitet wurden? Könnt Ihr diese Frage für uns beantworten, bzw. gibt es bereits Erkenntnisse?“
Grund genug, um gemeinsam mit dem auf Versicherungs- und Datenschutzrecht spezialisierten Rechtsanwalt Mag. Stephan Novotny die unterschiedlichen Aspekte dieser Frage auszuarbeiten:
Werte Agentin, werter Agent,
Ihre Frage ist sehr allgemein formuliert und man kann darin 3 verschiedene Aspekte erkennen, die wir beantworten werden:
- zunächst deute ich die Frage so, dass Sie wissen wollen, ob man die Unterlagen aufbewahren muss/soll, es sich hier also um eine Frage nach den Pflichten aus IDD & Co handelt.
- Dann könnte man aus der Frage herauslesen, dass es um einen Datenschutz-Aspekt geht: Ob man also die Daten „sicher aufbewahren“ soll/muss.
- Darf Agent überhaupt die Unterlagen aufbewahren? Auch wenn es der Versicherer eventuell nicht will? Eventuell mit Anweisung verbietet?
Diese Deutung lese ich aus Ihrem Hinweis auf „Ausschließlichkeitsagenten“ ebenso heraus, wie aus der Notwendigkeit des „Freibeweisens“.Zur Erinnerung: Wir hatten im Vorjahr schon eine Frage, die sich auf eine Anweisung eines Versicherers bezogen hatte, keine Unterlagen zu speichern.
Zum Nachlesen hier klicken…
Beginnen wir mit Variante a):
OB man Beratungs-/Abschlussunterlagen aufbewahren soll/muss?
3 Jahre nach Inkrafttreten der IDD halte ich diese Interpretation der Frage für die unwahrscheinlichste, weil sicher alle Agenten über die Informations- und Dokumentationspflichten nach IDD, Standesregeln, etc. Bescheid wissen.
Also JA, die Agenten, egal ob Ausschließlichkeits- oder Mehrfachagenten müssen die Dokumentationspflichten erfüllen. Bekanntlich kennt die IDD nur Versicherungsvertreiber und keine Agenten (egal ob Ausschließlichkeits-, Mehrfachagenten), Makler …
Also JA, die Beratungs- und Abschlussunterlagen darf/muss der Agent aufbewahren und ich empfehle den Agenten, dies auf jeden Fall aus Eigenschutz zu tun.
Denn wie die Frage schon andeutet, was kann/soll der Agent tun, wenn der Versicherer behauptet, er hätte keine Unterlagen?
Wie kann sich der Agent dann etwa von der Behauptung einer Fehlberatung freibeweisen, wenn er keine Unterlagen mehr hat?
Variante b):
Ob man Daten „sicher aufbewahren“ soll/muss? Was sagt die DSGVO dazu?
Ja, die DSGVO schreibt ganz genau vor, was man alles tun muss, um Daten von Kunden, Partner, etc. sicher aufzubewahren. Konkret in den TOMs, den „technisch organisatorischen Maßnahmen“, die zu treffen sind, um die Datensicherheit herzustellen. Es gibt bereits mehrere Strafen über hunderttausende Euros wegen Verletzung der TOMs!
Zur Erinnerung: Bei den TOMs geht es um Zutritts-, Zugangs-, Zugriffs-, Eingabe-, Weitergabe-, Auftrags-, Verfügbarkeits- und Datentrennungskontrolle. Was man unter den Begriffen im Detail versteht und welche Maßnahmen Sie ergreifen müssen, um Datenschutz und Datensicherheit her- und sicherstellen zu können, haben wir hier zusammengefasst: https://ivva.at/dsgvo-sind-ihre-toms-noch-aktuell-nl-15-21/
Übrigens: Die Frage wie lange man die Daten gespeichert halten darf / muss, haben wir ebenfalls mehrmals beantwortet, u.a. hier: https://ivva.at/kunde-will-datenloeschung-uniqa-marketing-einwilligung-nl19-20/
Variante c) DARF man überhaupt die Unterlagen aufbewahren? Auch wenn Versicherer das nicht will? Eventuell sogar mit Anweisung verbietet?
Wir haben bereits vor etwa einem Jahr die Frage beantwortet, ob ein Versicherer Ihren Agenten verbieten darf, Unterlagen aufzubewahren. Offensichtlich wurde – zumindest in Vorarlberg – ein mail mit folgendem Inhalt versandt:
„… Evidenzhaltung in physischer Form (eigene Ablage), von personenbezogenen, sensiblen Daten durch den Vertrieb, speziell auch wenn es sich um KV-Rechnungen handelt, sind ausnahmslos verboten.
Ich bitte euch, dieser Anweisung unbedingt und ausnahmslos Folge zu leisten.“
Wir haben alle möglichen Details und Auswirkungen dieser geschilderten Situation in diesem Beitrag beantwortet und zwar hier…
Kurz zusammengefasst: Es geht hier um die klassische Frage, ist der Agent ein weisungsgebundener AuftragsVERARBEITER der Versicherung oder eigenverantwortlicher DatenVERANTWORTLICHER?
Wir weisen bereits seit Anbeginn der Gültigkeit der DSGVO darauf hin, dass das nicht nur eine semantische Unterscheidung ist, sondern eine ganz relevante Frage ist, weil die Folgen gravierend sein können.
Ganz klar ist im Mailtext oben von einer Anweisung die Rede, womit sich die Frage stellt, ob der Versicherer den selbstständigen Agenten eine Anweisung geben darf. Und ob im Speziellen der Versicherer einem selbstständigen Unternehmer verbieten darf, personenbezogene Kundendaten in physischer Form zu speichern.
Nach meiner Ansicht, Ansicht des IVVA und vieler anderer Versicherer ist der Agent KEIN weisungsgebundener AuftragsVERARBEITER.
Sondern der Agent ist im Zuge seiner Tätigkeit eigenverantwortlicher DatenVERANTWORTLICHER. Er berät den Kunden, vermittelt eine Versicherung und übergibt – egal ob auf Papierform oder durch Online-Eingabe – diese Daten an den Versicherer. Und ab diesem Moment werden Versicherer und Agent GEMEINSAME DatenVERANTWORTLICHE.
Wie im zitierten Beitrag beschrieben, konnten und können wir leider nicht erkennen, wie der betreffende Versicherer zu der Ansicht kommt, dass der Agent keine personenbezogenen Daten in physischer Form speichern dürfe.
Da unserer Ansicht nach der Agent kein weisungsgebundener AuftragsVERARBEITER ist, kann der Versicherer dem Agenten keine Anweisung wie oben erteilen. Denn der Agent ist keine Druckerei, der sie genau vorgeben, welcher Text, welches Briefpapier, welches Adress-Material in welcher Form auszudrucken, zu kuvertieren und abzusenden ist und wie lange diese Unterlagen in der Druckerei gespeichert werden dürfen oder ob diese sofort wieder zu löschen sind.
Nochmals: Der Agent ist kein – wie die Druckerei im obigen Beispiel – weisungsgebundener Auftragsverarbeiter.
Als Versicherer könnte man mit dem Agenten „argumentieren“ WIE LANGE man bestimmte Daten speichern dürfe (da gibt es noch einige Unklarheiten und wenige Urteile).
Auch könnte man argumentieren OB man bestimmte (Zusatz-)Daten wirklich speichern dürfe. Denn es gilt laut DSGVO das Datenminimierungsprinzip, d.h. Sie dürfen Daten nur so lange speichern, als dies nötig ist und nur dann speichern, wenn Sie diese Daten wirklich brauchen, um Ihre Tätigkeit erfüllen zu können.
Sie werden also alle personenbezogenen Daten des Kunden benötigen, um einen Versicherungsvertrag ausfüllen zu können. Auch die Adresse ist natürlich nötig. Detto Geburtsdatum, usw. Jedoch dürfen Sie beispielsweise nicht den Namen und die Adresse der Nachbarn speichern, weil sie deren Daten nicht für das Beantragung einer Versicherung Ihres Kunden benötigen.
Keinesfalls gibt die DSGVO ein derart umfangreiches Speicherverbot „nicht her“. Denn: Da die Agenten Datenverantwortliche sind, dürfen sie unserer Ansicht nach sehr wohl kundenbezogene Daten speichern. Und es ist völlig egal, ob Sie die Daten in Aktenform, bei sich am PC oder wo und wie auch immer bei sich speichern. Entscheidend ist nur, dass niemand Unbefugter zugreifen kann. Klar ist auch, dass Sie auf sensible Daten und darunter fallen etwa Gesundheitsdaten, besonders gut aufpassen müssen.
Besonders problematisch würde das oben geforderte allgemeine Speicherverbot z.B. dann sein, wenn es sich um physische Anträge, Beratungsprotokolle, etc. handelt. Auch die würden unter das oben formulierte Verbot fallen.
Denn der Agent ist in solch einem Fall sogar verpflichtet, diese aufzubewahren oder zumindest eingescannt (in eigener elektronischer Ablage) zu speichern, weil er sich absichern muss.
Keinesfalls zu empfehlen ist, diese Dokumente einzuscannen und dann nur auf den Versicherungs-Server hochzuladen und keinen Zugriff mehr darauf zu haben. Denn immerhin ist der Agent Datenverantwortlicher und nicht Auftragsverarbeiter der Versicherung. Und hätte dann in Streitfällen womöglich keinen Zugriff mehr auf den Versicherungs-Server und damit auf die Kundendaten.
Beste Grüße vom IVVA Team und Mag. Stephan Novotny
Für weitere Rückfragen steht Mag. Novotny IVVA Mitgliedern gerne zum IVVA-Sonderpreis zur Verfügung:
RA Mag. Stephan Novotny
1010 Wien, Landesgerichtsstraße 16/12 (neu)