Eingangsschild am Europäischen Gerichtshof: Die Luxemburger Richter urteilten jetzt, dass Daten weiterhin auf Basis sogenannter Standardvertragsklauseln wie dem auch EU-US-Datenschutzschild genannten „EU-US Privacy Shield“ in andere Staaten transferiert werden dürfen. Doch in den USA sei kein gleichwertiges Niveau an Datenschutz gegeben. | © imago images / Patrick Scheiber Foto: imago images / Patrick Scheiber

EuGH-Urteil zu „Privacy Shield‎“

Was Vermittler beim Datenschutz beachten müssen

Ein neues Gerichtsurteil des Europäischen Gerichtshofs (EuGH) hat auch Folgen für Versicherungsmakler und -vermittler, erklärt der Hamburger Vermittleranwalt Stephan Michaelis in seinem aktuellen Newsletter. Hintergrund ist demnach eine bisher geltende Selbstverpflichtung US-amerikanischer Unternehmen, sich an europäische Datenschutzstandards zu halten. Doch die zugrunde liegende Vereinbarung haben die Luxemburger Richter in der vorigen Woche für ungültig erklärt.

Für deutsche Versicherungsmakler und -vermittler bedeutet das aktuell eine unklare Rechtslage, erklärt der Datenschutzexperte Harald Müller-Delius: „In vielen Makler- und Vermittlerbetrieben sind weder Verständnis, Zeit noch Know-How vorhanden, um die neue rechtliche Grundlage der Verarbeitung an Hand von Standard-Vertragsklauseln zu prüfen oder Alternativen einzusetzen, wie die Stützung der Verarbeitung auf freiwillige Einverständniserklärung aller betroffenen Kunden.“

Viele Details sind noch unklar

Hier bleibe deshalb nun eine rechtliche Lücke offen. Theoretisch drohten vielen Betreibern von Internetseiten seit der Urteilsverkündung Bußgelder. Denn: „Vielen Unternehmen ist teilweise gar nicht bewusst, dass sie Datenübertragung an US-Unternehmen durchführen. Gerne werden Online-Portale, Software-Produkte oder Plug-Ins auf der eigenen Homepage eingesetzt, die personenbezogene Daten auf Servern von US-Unternehmen verarbeiten“, erklärt Experte Müller-Delius.

Stephan Michaelis, Kanzlei Michaelis

„Viele Maklerbetriebe wollen den Datenschutz bestmöglich umsetzen. Doch wenn Dinge, die vorher problemlos funktioniert haben, nicht mehr verwendet werden dürfen oder mit schlechteren Alternativen umgesetzt werden müssen, bleibt das Verständnis auf der Strecke.“ Zwar betone der EuGH, dass „… durch die Aufhebung kein Rechtsvakuum entstehe, da unbedingt notwendige Datenübermittlungen weiterhin stattfinden können“, allerdings sei das laut Müller-Delius noch vielfach klärungsbedürftig.

„Für die Betroffenen muss geklärt sein, wie sie sich nun zu verhalten haben und darf nicht zu Unsicherheit oder unnötigen bürokratischen oder betriebswirtschaftlichen Aufwänden führen“, fordert Rechtsanwalt Michaelis. Bis zur Klärung der praktischen Anwendung und Empfehlungen durch die zuständigen Landesdatenschutzbehörden gibt er Vermittlern folgende Tipps:

  • Erstellen einer Übersicht aller eingesetzten Dienste und Produkte von US-Unternehmen, an die personenbezogene Daten übermittelt werden. Hier hilft ggf. auch ein Blick auf https://www.privacyshield.gov/list
  • Prüfen, ob die rechtliche Grundlage der Verarbeitung auf der „Privacy-Shield“-Vereinbarung beruht.
  • Prüfen einer alternativen Rechtsgrundlage wie bspw. individuelle Datenschutzvereinbarungen, erweitern der Datenschutzvereinbarung mit dem Kunden, genehmigte Standard-Vertragsklauseln.
  • Prüfen auf Notwendigkeit des eingesetzten Produktes bzw. Dienstleistung oder Suchen nach adäquatem Ersatz.
  • Verfolgen von Nachrichten und Meldungen zum Thema

Mehr zum Thema
VersicherungsvertriebOnline-Kunden fühlten sich oft schlecht beratenExpertin von RobecoCorona-Krise stellt Menschenrechte auf den PrüfstandESG-Analyse und Big Data„Corona-Krise ist Feuerprobe für Nachhaltigkeit von Unternehmen“