27.02.17 - Ich gehe! Aber die Daten von den Versicherten nehme ich noch mit...

Ist die Mitnahme von personenbezogenen Daten Datenklau?

(TD) Versicherungsmakler wechseln häufig die Versicherungen, die sie vertreten oder arbeiten für verschiedene Versicherungs­büros. Dabei kommen sie mit einer großen Anzahl von Kunden­daten in Berührung. Bei einem Arbeitgeberwechsel kann es daher für den Makler sehr lukrativ sein,

die Kundendaten der vorherigen Versicherung oder des ehemaligen Versicherungs­büros einfach „mitzunehmen“. So hat man als Versicherungs­makler direkt viele Kunden, die man mit neuer Werbung ansprechen kann und muss nicht erst umständlich eine Neukunden-Akquise betreiben. Rechtlich einwandfrei?

Diebstahl von Kundendaten oder alles rechtens?

Folgender Fall wurde in  Thüringen bekannt: Nach einer fristlosen Kündigung nahm ein Versicherungs­vertreter die Kunden­daten seines alten Versicherungs­büros einfach mit, sowohl in digitaler als auch in aus­gedruckter Form, darunter auch Kunden- sowie Vertrags­daten des alten Vertrags­partners. Das Versicherungs­büro, das ihn entlassen hatte, erstattete Anzeige beim Thüringer Landes­beauftragten für den Daten­schutz und die Informations­freiheit. Die Ermittlungen zeigten, dass der Versicherungs­makler die Kunden­daten gezielt genutzt hatte, um Werbung seiner neuen Vertrags­partner zu verschicken.

Mitnahme von Kundendaten nur mit Rechtsgrundlage

Die Mitnahme von Kunden­daten ist nach dem Bundesdatenschutz­gesetz eine Daten­erhebung und – verarbeitung (§ 3 und § 4 BDSG). Rechtlich ist das nur zulässig, wenn das Bundes­datenschutz­gesetz oder ein anderes Gesetz dies ausdrücklich erlaubt oder anordnet oder aber, wenn die Betroffenen eingewilligt haben.

Da es keine gesetzliche Regelung in diesem Fall gibt, die eine Mitnahme der Kunden­daten erlaubt oder anordnet, musste geprüft werden, ob die Kunden der Mitnahme zugestimmt hatten. Tatsächlich legte der Makler, nachdem er vom Thüringer Landes­beauftragten für den Daten­schutz dazu aufgefordert wurde, eine Makler­vereinbarung und eine Liste der Kunden vor, die eine solche Vereinbarung unterschrieben hatten. Damit hatten sie ausdrücklich zugestimmt, dass sie weiterhin von diesem Versicherungs­makler betreut werden wollten. Aktuell befindet sich dieser Fall weiterhin in der Prüfung – wir halten Sie an dieser Stelle über das Ergebnis auf dem Laufenden.

Vorsorglicher Strafantrag durch den Landesdatenschutzbeauftragten

Der Thüringer Landes­beauftragte für den Datenschutz hat unabhängig davon einen Strafantrag gestellt und die Staatsanwaltschaft über diesen Fall informiert.

Denn: Unter Umständen hat sich der Versicherungsmakler einer Ordnungswidrigkeit gemäß § 43 BDSG schuldig gemacht. Diese ist strafbar, wenn besondere Merkmale nach § 44 BDSG erfüllt sind:

  • Es liegt eine Bereicherungs- oder Schädigungs­absicht vor oder
  • es wurde gegen Entgelt gehandelt.

Dann steht eine Freiheitsstrafe bis zu zwei Jahren im Raum oder eine Geldstrafe. Zur Verfolgung einer solchen Tat ist jedoch, wie im oben beschriebenen Fall, ein Strafantrag vom Betroffenen selbst oder dem Beauftragten für den Datenschutz notwendig.

Fazit

Die Aufsichtsbehörde ist die Anlaufstelle für datenschutz­relevante Fragestellungen oder Beschwerden, auch von betroffenen Unternehmen. Kundendaten müssen geschützt werden, auch gegen Beschäftigte, die sich selbst bereichern wollen. Leider muss der Unternehmen sich Gedanken machen, wir er sich gegen kriminelle Mitarbeiter schützt, denn notfalls werden alle Kundendaten aus den E-Mails kopiert oder abgeschrieben. Die Sicherheit kann jedoch mit ein paar einfachen Maßnahmen erhöht werden, wie z.B. 

  • Vor der fristlosen Kündigung ist dafür zu sorgen, dass alle Unterlagen dem Arbeitgeber vorliegen und danach das Haus nicht mehr verlassen können.
  • Sämtliche Zugriffsrechte und IT-Systeme sind zeitnah zu sperren, damit auch eine ungewollte "Datenmitnahme" nicht stattfinden kann.
  • Prüfen Sie bitte Ihre Verträge, ob sie Klauseln enthalten, die Ihnen als Unternehmen die Geschäftsgrundlage – also die Beziehung zu Ihren Kunden – entziehen können. Gegen eine Einwilligung, dass ein ehemaliger Mitarbeiter unabhängig davon, zu welchem Unternehmen er gehört, eine erneute Kontaktaufnahme und ggf. einer Abwerbung ermöglicht, ist aus eigenem Interesse zu unterbinden.
  • IT-Systeme sollten so geschützt werden, dass ein Export aller Kundendaten nicht einfach erfolgen kann, sondern z.B. nur im 4-Augenprinzip. Sprechen Sie mit Ihrem Software-Anbieter, ob dies möglich ist bzw. in der nächsten Version realisiert werden kann.

Sie möchten Ihre Kundendaten schützen oder haben Fragen zur einwandfreien Weitergabe dieser sensiblen Daten?

Sprechen Sie uns an. Wir beraten Sie gern, praxisnah und effizient.Kontaktieren Sie uns jetzt direkt.

Zurück

Suche