Darf sich der Makler mit den Zugangsdaten des Kunden im Versicherer-Kundenportal anmelden?

Es gibt kein Gesetz, das einem verbietet, eigene Zugangsdaten zu einem Kundenportal einer weiteren Person/einem Dritten zu geben. Letztlich obliegt es der Entscheidung des Kunden als Account-Inhaber, ob er einem Dritten das Zugriffsrecht auf sein Online-Konto gestattet, um dort Einsicht zu nehmen oder für ihn sogar bestimmte Tätigkeiten auszuführen. Bei Letzterem muss sich der Account-Inhaber allerdings im Außenverhältnis zu seinem Vertragspartner das Handeln des Dritten zurechnen lassen (Stellvertretung – §§ 164 f. BGB bzw. Bevollmächtigung – §§ 167 f. BGB). Er hat allenfalls im Innenverhältnis zum Dritten Schadenersatz- bzw. Regressansprüche, sollte sich dieser nicht an die getroffenen Absprachen halten.

Regelungen des Kundenportal-Betreibers wie etwa „Sie sind verpflichtet, uns unverzüglich zu informieren, sobald Sie davon Kenntnis erlangen, dass unbefugten Dritten das Passwort bekannt ist“, sind auf die Fälle beschränkt, in denen ein Dritter die Zugangsdaten des Account-Inhabers ohne dessen Einwilligung erlangt hat. Gibt der Account-Inhaber sein Passwort aber bewusst an einen Dritten weiter, ist dieser datenschutzrechtlich kein „Unbefugter“. Er ist vielmehr ausdrücklich dazu befugt, die Zugangsdaten absprachegemäß zu verwenden. Der Betreiber des Portals muss in dem Fall also nicht informiert werden.

Die Weitergabe eigener Zugangsdaten an Dritte kann vertraglich ausdrücklich untersagt sein. Eine diesbezügliche Vereinbarung zwischen dem Betreiber des Kundenportals und dem Account-Inhaber ist zulässig. In diesem Fall ist die Weitergabe eigener Zugangsdaten an eine weitere Person/einen Dritten vertragswidrig. Welche rechtlichen Konsequenzen die vertragswidrige Weitergabe der Zugangsdaten haben kann, sofern dies überhaupt vom Portal-Betreiber nachgewiesen werden kann, wäre im Einzelfall zu prüfen.

Aber auch die z. B. bedingungsgemäße Legitimation der Weitergabe von Zugangsdaten kann ausdrücklich vereinbart werden. So ist etwa folgende Regelung denkbar: „Nutzer des Kundenportals ist der Kunde selbst oder ein Dritter, welchen der Kunde bevollmächtigt und durch die Weitergabe der notwendigen Daten autorisiert.“

Die vorstehenden Grundsätze gelten entsprechend für das Versicherungsverhältnis zwischen Versicherer und VN sowie für das Maklervertragsverhältnis zwischen Makler und seinen Kunden. Ist die Weitergabe der Zugangsdaten des VN vonseiten des Versicherers vertraglich bzw. bedingungsgemäß nicht untersagt, kann der VN den von ihm beauftragten Makler erlauben, sich mit seinen Zugangsdaten in das Kundenportal des Versicherers einzuloggen, um sich einen Überblick über die Versicherungsverträge zu verschaffen. Als Sachwalter des Kunden muss sich der Makler an die Vorgaben des Kunden halten. Er darf von sich aus keine weiteren Aktivitäten über das Kundenportal entfalten, es sei denn, der Kunde hat ihn dazu bevollmächtigt.

Der Versicherungsmakler kann mithin als Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO angesehen werden. Denn auf Basis eines Kundenauftrags bzw. einer Bevollmächtigung entscheidet er selbst, zu welchem Zweck (z. B. Beratung, Risikoprüfung, Vergleich, Vermittlung) und mit welchen Mitteln (Software, Kommunikation, Analyse) er die Kundendaten eigenverantwortlich verarbeitet. Mit der Befugnis, auf das Kundenportal zuzugreifen, ist der Makler folglich kein Dritter im Sinne der DSGVO. Entsprechendes gilt, wenn der Makler nach Art. 4 Nr. 8 DSGVO für seinen Kunden als Auftragsverarbeiter tätig wird.