Zum Inhalt springen Zur Navigation springen
Datenschutz beim Assekuradeur und White Label Lösungen

Datenschutz beim Assekuradeur und White Label Lösungen

Artikel von Tim-Oliver Ritz·8. Januar 2026

Die Rolle des Assekuradeurs im Versicherungswesen ist komplex und vielschichtig. Besonders im Hinblick auf den Datenschutz wirft seine Tätigkeit wichtige Fragen auf. Im datenschutzrechtlichen Sinne ist der Assekuradeur ein eigenständiger Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO. Doch was bedeutet das konkret? Dieser Beitrag beleuchtet die datenschutzrechtliche Stellung des Assekuradeurs und deren praktische Konsequenzen.

Was ist ein Assekuradeur?

Ein Assekuradeur ist ein Versicherungsagent (vvgl. §71 VVG), mit umfassenden Vollmachten. Wichtig für den folgenden Artikel ist, dass er im Namen eines Versicherers handelt. Er ist befugt, Versicherungsverträge abzuschließen, zu verwalten, Schäden zu regulieren und in gewillkürter Prozessstandschaft Regressansprüche geltend zu machen. Dabei kann er nach außen wie ein eigenständiger Versicherer wirken.

Grundsätzliche Einordnung

Der Assekuradeur wird als Verantwortlicher im Sinne der DSGVO eingestuft. Das bedeutet, dass er – ebenso wie der Versicherer – eigenständig und unabhängig über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Diese Einstufung bringt umfassende Pflichten mit sich, darunter:

  • Informationspflichten: Der Assekuradeur muss betroffene Personen über die Verarbeitung ihrer Daten informieren.
  • Betroffenenrechte: Er ist verpflichtet, Rechte wie Auskunft, Berichtigung oder Löschung zu gewährleisten.
  • Technische und organisatorische Maßnahmen: Der Schutz personenbezogener Daten muss durch geeignete Maßnahmen sichergestellt werden.

Die Verantwortung des Assekuradeurs beginnt mit dem Erhalt personenbezogener Daten und endet erst, wenn diese gelöscht oder anonymisiert wurden.

Keine Auftragsverarbeitung, keine gemeinsame Verantwortung

Mit Geltung der DSGVO ist anerkannt, dass zwischen Assekuradeur und Versicherer weder eine Auftragsverarbeitung gemäß Art. 28 DSGVO noch eine gemeinsame Verantwortung nach Art. 26 DSGVO vorliegt. Die Begründung hierfür liegt in der eigenständigen Entscheidungsbefugnis des Assekuradeurs:

  • Eigenständige Entscheidungen: Der Assekuradeur entscheidet selbstständig, ob und wie er Versicherungsverträge zeichnet, zu welchen Konditionen und mit welchen Versicherern er zusammenarbeitet.
  • Alleinige Verantwortung: Sobald der Assekuradeur personenbezogene Daten erhält – sei es von Maklern, Versicherern oder direkt von Versicherungsnehmern –, ist er allein für diese Daten verantwortlich.

Die Tätigkeit des Assekuradeurs ähnelt der eines Versicherers, jedoch ohne das Risiko selbst zu tragen. Er liefert den Versicherungsgesellschaften „fertiges“ Geschäft zur Verbuchung.

Praxisbeispiel und Abgrenzung

Ein typisches Beispiel für die Tätigkeit eines Assekuradeurs ist die Vermittlung oder der Abschluss von Versicherungsverträgen für mehrere Versicherer als Mehrfachvertreter. Dabei verarbeitet er personenbezogene Daten von bspw. Versicherungsnehmern und deren Mitarbeitern, Maklern, Sachverständigen und Rechtsanwälten. Für all diese Daten ist der Assekuradeur ab dem Zeitpunkt der Übermittlung vollumfänglich verantwortlich.

Für die vorstehenden Ausführungen interessant ist das Urteil des Europäischen Gerichtshofs (EuGH) vom 29.07.2019 C-40/17, das die eigenständige Verantwortung bei der Weitergabe von Daten zwischen unabhängigen Akteuren betont. Der Vergleich zum Verhältnis zwischen einem Onlineshop-Betreiber und einem sozialen Netzwerk liegt hier Nahe: auch hier besteht keine gemeinsame Verantwortung, sondern jeweils eine eigene Verantwortlichkeit.

Bedeutung für die Praxis

Die datenschutzrechtliche Einstufung des Assekuradeurs hat weitreichende praktische Konsequenzen:

  • Eigenverantwortung: Der Assekuradeur muss eigenständig für die Einhaltung aller datenschutzrechtlichen Vorgaben sorgen.
  • Keine Auftragsverarbeitungsvereinbarung: Es ist keine Vereinbarung zur Auftragsverarbeitung mit Versicherern oder Maklern erforderlich.
  • Keine Vereinbarung zur gemeinsamen Verantwortung: Eine solche Vereinbarung ist in der Regel nicht notwendig.
  • Verantwortung für den gesamten Datenlebenszyklus: Die Verantwortung beginnt mit dem Erhalt der Daten und endet erst mit deren Löschung oder Anonymisierung.

White Label Lösungen

White-Label-Versicherungen stellen aus Datenschutzsicht besondere Anforderungen, weil Außenauftritt, Produktverantwortung und tatsächliche Risikoträgerschaft auseinanderfallen. Nach den Hinweisen der BaFin müssen Verbraucherinnen und Verbraucher klar erkennen können, dass sie ein White-Label-Produkt abschließen und welcher Versicherer im Hintergrund das Risiko trägt. Diese aufsichtsrechtliche Transparenzpflicht wirkt unmittelbar in den Datenschutz hinein: nach der DSGVO ist entscheidend, wer über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. In White-Label-Modellen sind regelmäßig mehrere Akteure beteiligt – etwa der Versicherer als Risikoträger, ein Assekuradeur mit weitgehenden Zeichnungs- und Verwaltungsbefugnissen sowie ein White-Label-Anbieter, der das Produkt unter eigener Marke vertreibt. In der Praxis bedeutet dies häufig, dass keine klassische Auftragsverarbeitung vorliegt, sondern eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO. Diese erfordert eine transparente und verbindliche Regelung darüber, wer welche datenschutzrechtlichen Pflichten übernimmt, insbesondere bei Informationspflichten, der Bearbeitung von Betroffenenrechten und dem Umgang mit Datenschutzverletzungen. Die BaFin weist zudem ausdrücklich auf erhöhte Risiken beim Datenaustausch über Plattformen, Apps und Schnittstellen hin, was eine klare Zweckbindung, Datensparsamkeit sowie angemessene technische und organisatorische Maßnahmen notwendig macht. Datenschutzhinweise müssen den White-Label-Charakter widerspiegeln, alle beteiligten Unternehmen benennen und für Betroffene verständlich erklären, wie und warum ihre Daten zwischen den Parteien ausgetauscht werden. Besondere Bedeutung kommt auch Ausnahmesituationen wie Portfoliotransfers oder der Insolvenz eines Versicherers zu, da hier Datenübertragungen rechtssicher gestaltet und Betroffene rechtzeitig informiert werden müssen. Insgesamt zeigt sich: White-Label-Versicherungen sind kein Sonderfall „am Rand“, sondern verlangen eine besonders sorgfältige datenschutzrechtliche Gestaltung, bei der Transparenz, realistische Rollenverteilung und vertragliche Klarheit zentrale Erfolgsfaktoren sind.

Assekuradeure sind eigenständig Verantwortliche (DSGVO)

Die datenschutzrechtliche Stellung des Assekuradeurs ist klar definiert: Er ist eigenständiger Verantwortlicher im Sinne der DSGVO. Die Zusammenarbeit mit Versicherern oder Maklern begründet weder eine Auftragsverarbeitung noch eine gemeinsame Verantwortung. Diese Einschätzung wird sowohl von den datenschutzrechtlichen Aufsichtsbehörden als auch von der aktuellen Rechtsprechung und Kommentarliteratur gestützt.

Für Assekuradeure bedeutet dies, dass sie ihre datenschutzrechtlichen Pflichten ernst nehmen und entsprechende Maßnahmen ergreifen müssen, um den Schutz personenbezogener Daten zu gewährleisten.

Eine Betrachtung des Einzelfalls bleiben dabei White Label Lösungen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Ein sehr interessanter Beitrag! Allerdings wäre eine Begründung für die Einordnung des Assekuradeurs als eigenverantwortlicher Stelle schön, da dies z.B. Beyer/Wiedefeld, in: Langheid/Wandt, Münchener Kommentar zum VVG, 3. Auflage 2024 anders sehen und ihn in weiten Teilen als Auftragsverarbeiter des Risikoträgers, also des VU im Hintergrund, einordnen. Die hier vertretene Sicht ist also eine mögliche, sollte aber auch als eine von mehreren Positionen erkennbar gemacht werden.

  • „Assekuradeure sind eigenständig Verantwortliche“ „Diese Einschätzung wird sowohl von den datenschutzrechtlichen Aufsichtsbehörden als auch von der aktuellen Rechtsprechung und Kommentarliteratur gestützt.“
    Diese Einschätzung kann ich nicht bestätigen, auch nicht die allgemein benannten Quellen hierzu. Über eine genau Benennung (Quellenangabe) zum Thema Assekuradeur würde ich mich freuen.
    Es spricht eher viel für eine Auftragsverarbeitung oder zumindest gemeinsame Verantwortung als für eine eigenständige Verantwortung. Der Assekuradeur darf nur im Rahmen der vertraglichen Vereinbarungen mit dem Versicherer für diesen tätig werden. Ohne einen entsprechenden Vertrag hat der Assekuradeur keine rechtliche Grundlage Daten für eine Versicherung zu erheben. Dies im Gegensatz zu einem Makler. Der Assekuradeur wird dementsprechend auch vom Versicherer zwingend umfassend kontrolliert, ob er die vertraglichen Vereinbarungen eingehalten hat, da der Versicherer verantwortlich ist. So auch im datenschutzrechtlichem Rahmen der im Auftrag für ihn erhobenen Daten. Sowohl Abschluss eines Versicherungsvertrages als auch die vollständige Durchführung wie z.B. Inkasso und Schadenregulierung. Dies erfolgt alles nur im Auftrag eines Versicherers. Weitere, genauere Ausführungen hierzu im MüKo VVG Band 3, 3. Auflage, Kap. 31 Rd. 141, 142 Beyer/Wiedefeld.
    Spezielle Rechtsprechung, Kommentarliteratur usw. die hier im Artikel als Grundalge für die Ausführungen zur eigenen Verantwortung eines Assekuradeurs angeführt wird, ist mir unbekannt. Anderslautende jedoch wie zuvor im MüKo.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.