Ende 2021 hat die österreichische Datenschutzbehörde (DSB) einen vom Fachverband der Versicherungsmakler erarbeiteten Regelkatalog zum Umgang mit Kundendaten (Code of Conduct, CoC) genehmigt, dem sich Maklerbetriebe freiwillig unterwerfen können. Ein halbes Jahr später stehen nun die unabhängigen Überwachungsstellen fest, bei denen Makler ein entsprechendes Gütesiegel erwerben können.

Die DSB habe mit Bescheid vom 10. Juni die beiden Anbieter Austrian Standards plus GmbH und IDR Datenschutz Compliance e.G. als Überwachungsstellen des Code of Conduct für Versicherungsmakler akkreditiert. Das teilt der Maklerfachverband in einer Aussendung mit.

Prüfverfahren, Gütesiegel und Zertifikat
Für ein Überwachungsverfahren können sich ab sofort österreichische Gewerbeinhaber (nach § 94 Z 76 GewO als Versicherungsmakler und Berater in Versicherungsangelegenheiten) anmelden, heißt es. Auf diesem Weg können Maklerunternehmen ein offiziell anerkanntes Zertifikat und ein Gütesiegel durch eine der beiden unabhängigen Prüfinstanzen erwerben. Siegel und Zertifikat bescheinigen laut den Angaben die ordnungsgemäße Einhaltung des Code of Conduct, insbesondere den DSGVO-konformen Umgang mit Adressen und personenbezogenen Daten. Bei der DSGVO handelt es sich um die im Mai 2018 in Kraft getretene EU-Datenschutzgrundverordnung; bei Regelverletzung drohen hohe Strafen. 

Freilich ist die Einhaltung der Datenschutzregeln ohnehin Pflicht und müsste auch ohne Siegel vorausgesetzt werden. Der Zweck des Siegels liegt zum einen in einer positiven Außendarstellung und zum anderen in einer Art Schutzschirm für die Makler, sollte es zu Beschwerden kommen. Da die beiden Zertifizierungsstellen die Einhaltung der Regeln überprüfen, gebe es eine Rechtssicherheit. Die Prüfung sei ein Nachweis für die Erfüllung der Pflichten als Verantwortlicher im Sinne der DSGVO und könne von der Datenschutzbehörde "strafmildernd bei etwaigen allfälligen Verwaltungsstrafen angesehen werden", so Peter Jonas, der für die Zertifizierungen zuständige Bereichsleiter bei Austrian Standards.

Berichtspflicht gegenüber DSB
Wie es bei der Vorstellung des CoC im vergangenen Dezember hieß, sind die Überwachungsstellen nicht nur für die Prüfung von Unterlagen zuständig. Die Organisationen nehmen auch Beschwerden von Kunden entgegen und können abmahnen oder Mitglieder vom Code of Conduct ausschließen. Außerdem haben die Überwachungsstellen eine Berichtspflicht gegenüber der DSB.

Aus Sicht der Versicherungsmakler war der Code of Conduct nicht zuletzt deshalb relevant, weil er klarstellt, dass die Versicherungsmakler als datenschutzrechtlich Verantwortliche (und nicht nur als reine Auftragsverarbeiter) für die Kundendaten gelten. Es handelte sich dabei um einen Streitpunkt mit den Versicherungen, die die Makler in der Position der Verarbeiter sahen. (eml)