News

Caught between a Rock and a Hard Place

02.09.2020

IT-Outsourcing für Versicherer: Zwischen regulatorischen Anforderungen und illegaler Arbeitnehmerüberlassung bzw. Scheinselbständigkeit

 

Einige in letzter Zeit bekannt gewordene Fälle von möglicher Scheinselbständigkeit und/oder verdeckter Arbeitnehmerüberlassung – und damit einer möglichen Strafbarkeit wegen Vorenthaltens von Sozialversicherungsbeiträgen – in der IT von Versicherungen lenken den Blick auf eine Branche, die sich gegenüber anderen Industrien ohnehin bereits einem gewissen Wettbewerbsnachteil beim Outsourcing von IT-Dienstleistungen ausgesetzt sah, nämlich Personenversicherer und Versicherungskonzerne. Denn für diese gilt ein strenger Datenschutzstandard, begründet durch den Straftatbestand des § 203 Abs. 1 Nr. 7 StGB.

Das Bedürfnis nach Einbindung von Fremdpersonal ist keine Besonderheit von Versicherern. IT-Leistungen an Externe, insbesondere an Freiberufler oder hochqualifizierte Beratungshäuser zu vergeben, verfolgt in den seltensten Fällen das Ziel, Sozialversicherungsbeträge einzusparen. Anders als einzelnen Pressemitteilungen zu entnehmen war, geht es hier nicht um großangelegten „Sozialbetrug“, sondern schlicht darum, dass es in einem eng umkämpften Arbeitsmarkt vielen Unternehmen schwer fällt, IT-Experten dauerhaft an sich binden zu können. Diese sind oft lieber freiberuflich tätig oder werden von Drittfirmen gestellt. Dem können sich auch Versicherer nicht entziehen. Sind IT-Experten dann regelmäßig für den Versicherer tätig, besteht die Gefahr, dass kraft gesetzlicher Fiktion Beschäftigungsverhältnisse mit dem Versicherungsunternehmen begründet werden, die zu steuer- und sozialversicherungsrechtlichen Abgabepflichten führen. Kommen die Versicherer diesen Abgabepflichten in Unkenntnis, dass ein Beschäftigungsverhältnis entstanden ist, nicht nach, droht eine Strafbarkeit.

So weit so gewöhnlich. Die Gefahr, in diese Strafbarkeitsfalle zu tappen, ist für Versicherer aber besonders groß, bestehen doch regulatorische, insbesondere versicherungsaufsichtsrechtliche und strafrechtliche Anforderungen, die das Entstehen solcher Arbeitsverhältnisse begünstigen.

I. Regulatorische Anforderungen

1. Versicherungsaufsichtsrecht

Versicherungsaufsichtsrechtlich wird ein Outsourcing bestimmter Unternehmensbereiche, insbesondere der IT, als Ausgliederung bezeichnet; sie ist geregelt in § 32 VAG.

Die Regelung ist streng: Um weiterhin die Geltung der versicherungsaufsichtsrechtlichen Anforderungen und den Zugriff der Aufsichtsbehörde sicherzustellen, bleibt der Versicherer auch bei einer Ausgliederung einzelner Funktionen für die Erfüllung der aufsichtsrechtlichen Vorschriften und Anforderungen verantwortlich, § 32 Abs. 1 VAG. Eine Ausgliederung darf nur so gestaltet werden, dass die ordnungsgemäße Ausführung der ausgegliederten Funktionen und Versicherungstätigkeiten die Steuerungs- und Kontrollmöglichkeiten des Vorstands sowie die Prüfungs- und Kontrollrechte der Aufsichtsbehörde nicht beeinträchtigen.

Wesentliches Mittel hierfür sollen nach § 32 Abs. 4 S. 1 VAG Auskunfts- und Weisungsrechte des Versicherers sein. Hierdurch soll gewährleistet sein, dass das ausgliedernde Versicherungsunternehmen Einfluss- und Steuerungsmöglichkeiten für den ausgelagerten Sachverhalt hat (vgl. BaFin-Merkblatt „Orientierungshilfe zur Auslagerungen an Cloud-Anbieter“, November 2018, S. 13). Die Vorschrift entspricht Art. 49 Abs. 1 der Richtlinie 2009/138/EG (Solvability II) und wird durch Art. 274 Abs. 4 lit. f) der Delegierten Verordnung (Verordnung (EU) 2015/35) ergänzt. Diese Vorschrift wiederum verlangt, dass sich das Versicherungsunternehmen im Rahmen der Ausgliederung das Recht vorbehält, über die ausgelagerten Funktionen und Tätigkeiten und deren Ausübung durch den Dienstleister unterrichtet zu werden, ebenso wie das Recht, an den Dienstleister allgemeine Leitlinien und Einzelanweisungen zu dem bei der Ausübung der ausgelagerten Funktionen und Tätigkeiten zu berücksichtigenden Aspekten zu erteilen.

2. Strafrecht

Private Kranken-, Unfall- oder Lebensversicherer unterliegen denselben – strengen – Verschwiegenheitsanforderungen wie Ärzte, Apotheker, Rechtsanwälte, Wirtschaftsprüfer oder Notare. Diese Regelung ist sinnvoll, kommen doch diese Personenversicherer regelmäßig mit ähnlich sensiblen Daten in Berührung, wie dies auch bei den anderen sog. Berufsgeheimnisträgern der Fall ist: Die ärztliche Verschwiegenheit nützt wenig, wenn sie nicht auch für den Krankenversicherer gilt.

Die Verletzung der Verschwiegenheitspflicht ist nach § 203 Abs. 1 Nr. 7 StGB strafbewehrt. Erfasst sind sämtliche „Geheimnisse“ der versicherten Person; dazu zählen sämtliche Versichertendaten einschließlich der Tatsache, dass überhaupt nur ein Versicherungsverhältnis besteht. Sämtlicher Zugriff Dritter auf Versichertendaten kann als unbefugtes „Offenbaren“ strafbar sein.

Seit einer Gesetzesreform im Jahr 2017 ist es Berufsgeheimnisträgern aber straflos möglich, neben „berufsmäßig tätigen Gehilfen“ Geheimnisse auch „sonstigen Personen [zu offenbaren], die an der beruflichen oder dienstlichen Tätigkeit des Berufsgeheimnisträgers mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist“.

Das Merkmal der Erforderlichkeit ist nicht als generelle Zulässigkeitsschranke für die Beauftragung des Dienstleisters zu verstehen („Ob“), sondern nur als Beschränkung des Umfangs der betroffenen Daten („Wie“): Das Geheimnis kann also soweit offenbart werden, wie dies für die konkret beauftragte Tätigkeit unabdingbar ist. Aus dem so begrenzten Merkmal der Erforderlichkeit folgt aber, die Kenntnis des Geheimnisses, auf die Mitarbeiter zu beschränken, für deren Aufgabe die Kenntnis der Versichertendaten erforderlich ist oder jedenfalls nicht sinnvoll ausgeschlossen werden kann.

Die Strafbarkeit des Versicherers wurde mit der Zulassung der Geheimnisweitergabe an IT-Dienstleister aber nicht nur eingeschränkt, sondern gleichzeitig auf die Fälle erweitert, in denen der von ihm beauftragte Dienstleister das Geheimnis unbefugt weitergibt, ohne dass der Versicherer das seinerseits Erforderliche getan hat, um diese Weitergabe zu verhindern.

Zusammengefasst kann sich ein Versicherer – bzw. dessen verantwortlich handelndes Organ –unter folgenden Voraussetzungen strafbar machen:

  • Er gibt Versichertendaten an Dienstleister weiter, deren Tätigkeit auch bei weiter Auslegung nicht mehr als Mitwirkung an der Tätigkeit des Versicherers verstanden werden kann.
  • Er räumt Dienstleistern ein Mehr an Zugang zu den Versichertendaten ein, als das für deren Dienstleistung erforderlich wäre,
  • Er zieht einen Dienstleister hinzu, die bei der ordnungsgemäßen Ausübung ihrer Tätigkeit von geschützten Geheimnissen Kenntnis erlangt, unterlässt es aber, dafür zu sorgen, dass diese Person zur Verschwiegenheit verpflichtet ist und die mitwirkende Person offenbart ihrerseits vorsätzlich ein geschütztes Geheimnis an Dritte.

Wegen dieser Risiken ist es daher notwendig, einen externen Dienstleister oder einzelne freiberuflich tätige Mitarbeiter eng zur Geheimhaltung zu verpflichten und gleichzeitig sicherzustellen, dass diese sich nur in dem Umfang Kenntnis von den Versichertendaten verschaffen, in dem dies zur Erfüllung der Tätigkeit notwendig ist. In der vertraglichen Ausgestaltung solcher Dienstverträge werden deshalb regelmäßig enge einzelfallbezogene Weisungsrechte des Versicherers vorgesehen, um diesen Anforderungen gerecht zu werden.

3. Datenschutzrecht

Die strafrechtlichen Geheimnisschutzvorschriften verdrängen nicht das gleichzeitig anwendbare Datenschutzrecht. Werden Dritte zur Verarbeitung eingebunden, so muss sich deren Einbindung an den Regeln der Auftragsverarbeitung nach Art. 28 DS-GVO messen lassen.

Die Verarbeitung durch einen Auftragsverarbeiter muss dabei nach Art. 28 Abs. 3 DS-GVO auf Grundlage eines Vertrags mit dem Verantwortlichen erfolgen, der insbesondere vorsehen muss, dass personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden dürfen, Art. 28, Abs. 3. S. 2 lit. a) DS-GVO. Auftragsverarbeitungsverträge sehen deshalb regelmäßig die Befugnis vor, Einzelweisungen in Textform und in dringenden Fällen auch mündlich zu erteilen. Hierfür werden regelmäßig einzelne Personen beim Verantwortlichen autorisiert, Weisungen an den Auftragnehmer zu erteilen. Solche Weisungen werden regelmäßig in Textform erteilt oder bei mündlichen Weisungen in Textform bestätigt.

II. Verdeckte Arbeitnehmerüberlassung und Scheinselbständigkeit

Gemeinsam ist den dargestellten regulatorischen Anforderungen, dass der Versicherer IT-Dienstleister, seien es Freiberufler oder Mitarbeiter eines Outsourcing-Dienstleisters, eng an sich binden und über Einzelweisungen kontrollieren muss.

Genau das sind aber die Kriterien, anhand derer arbeitnehmerüberlassungsrechtlich das Entstehen eines Arbeitsverhältnisses und sozialversicherungsrechtlich das Entstehen eines Beschäftigungsverhältnisses gemessen wird; und das jeweils unabhängig davon, ob die Parteien eigentlich von einem Dienstleistungsverhältnis ausgehen.

1. Entstehen eines Arbeits- bzw. Beschäftigungsverhältnisses

Die Begriffe des arbeitsrechtlichen Arbeits- und des sozialversicherungsrechtlichen Beschäftigungsverhältnisses sind nicht deckungsgleich. § 7 Abs. 1 SGB IV definiert als Beschäftigung eine nichtselbständige Arbeit, insbesondere ein Arbeitsverhältnis. Anhaltspunkte seien eine „Tätigkeit nach Weisungen und eine Eingliederung in die Arbeitsorganisation des Weisungsgebers“. Da Beschäftigung nur insbesondere ein Arbeitsverhältnis sein kann, hierauf aber nicht beschränkt ist, hilft die vergleichsweise neue Legaldefinition des Arbeitsverhältnisses in § 611a BGB nur eingeschränkt weiter. Weitgehend identisch ist freilich die arbeitnehmerüberlassungsrechtliche Definition in § 1 Abs. 1 S. 2 AÜG, die darauf abstellt, dass der Leiharbeitnehmer in die Arbeitsorganisation des Entleihers eingegliedert sind und dessen Weisungen unterliegen.

Kriterien zur Abgrenzung der abhängigen Beschäftigung von der selbständigen Tätigkeit sind dabei persönliche Abhängigkeit ohne unternehmerisches Risiko, Eingliederung bei Abstimmung mit festangestellten Arbeitnehmern und Überlassung von Arbeitsmitteln sowie Weisungen hinsichtlich Ort, Zeit und Inhalt der Arbeitsleistung. Weisungen in diesem Sinne sind nur tätigkeitsbezogene Weisungen. Neben der Einbindung in den Betrieb des Versicherers kommt damit dem Weisungsrecht des Versicherers entscheidende Bedeutung zur Begründung eines Beschäftigungs- oder Arbeitsverhältnisses zu, also genau dem Umstand, den die regulatorischen Anforderungen ausdrücklich vorsehen.

2. Rechtsfolgen

Entsteht auf diese Weise ein Beschäftigungsverhältnis oder wandelt sich der Outsourcingvertrag zu einer (dann illegalen) Arbeitnehmerüberlassung, sind die damit entstehenden Rechtsfolgen bedeutsam.

Handelt es sich um Scheinselbständige, so muss nach § 24 SGB IV der Versicherer Sozialversicherungsbeiträge nachzahlen; zudem besteht bei bedingtem Vorsatz eine Strafbarkeit nach § 266a Abs. 1, Abs. 2 StGB. Der Versicherer haftet nach § 42d EStG für nicht abgeführte Lohnsteuer und begeht – insbesondere bei unterlassener Korrektur – möglicherweise eine Steuerhinterziehung nach § 370 Abs. 1 AO.

Handelt es sich um eine illegale Arbeitnehmerüberlassung, so drohen nach § 16 AÜG hohe Bußgelder, eine künftige Versagung der Arbeitnehmerüberlassungserlaubnis, die Fiktion eines neuen Arbeitsverhältnisses mit dem Entleiher und – wenn Fremdbeschäftigte schlechter entlohnt werden als interne IT-Experten – ebenfalls eine Haftung wegen Vorenthaltens von Sozialversicherungsbeiträgen nach § 266a StGB.

III. Lösungsmöglichkeiten

Wie können Versicherer diesem Strafbarkeitsrisiko entgehen, wenn sie nicht auf Fremdbeschäftigte, Ausgliederung einzelner IT-Dienstleistungen oder vollständiges IT-Outsourcing verzichten wollen oder aufgrund wirtschaftlicher Gegebenheiten nicht können? Auf ein Weisungsrecht kann nicht verzichtet werden, es ist regulatorisch determiniert.

Eine Stellschraube kann  das Eingliederungskriterium sein. So ist darauf zu achten, jede Art von Eingliederung auf ein unverzichtbares Minimum zu reduzieren. Der weitgehende Verzicht auf eine Eingliederung bringt aber keine völlige Sicherheit, implizieren doch – zumindest nach Auffassung einiger Autoren – Weisungen auch eine Eingliederung; beide Aspekte einer abhängigen Beschäftigung sind in der Praxis auch kaum voneinander zu trennen.

Entscheidende Bedeutung kommt damit der Art der Weisungen zu. Abzugrenzen sind tätigkeitsbezogene Weisungen nämlich von projektbezogenen werkvertraglichen Weisungen. Letztere sind ergebnisorientiert auf die zu erbringende Werkleistung begrenzt. Das tätigkeitsbezogene Weisungsrecht ist dagegen personenbezogen, ablauf- und verfahrensorientiert. Regulatorisch erforderlich sind vor allem ergebnisorientierte Weisungen; vertraglich müssen die Weisungsrechte hierauf beschränkt werden; Weisungen zu Ablauf und Ausgestaltung der Tätigkeit haben zu unterbleiben. Sämtliche Weisungen müssen dokumentiert werden, um gegenüber ermittelnden Behörden den Nachweis erbringen zu können, welche Art von Weisungen betroffen sind.

Nicht zuletzt empfiehlt sich, bestehende Fremdbeschäftigungsverhältnisse auf diese Kriterien zu überprüfen, zugrundeliegende Verträge zu überprüfen und betroffene Mitarbeiter zu schulen.

Kontakt

Daniel Happ
Daniel Happ+49 69 971477331

Arbeitsrecht
Finanzdienstleistungsaufsicht
Compliance & Interne Untersuchungen

Share

Alle anzeigen

Insights

zwei Geschäftsleute spazieren
Podcast

Noerr_podcast: Update zur Recht­sprechung im Arbeits­recht – der etwas andere Jahres­rückblick

19.04.2024
blurred motion on railway
News

Neu seit 15.03.2024: Streit­verkündungen in DIS-Schiedsverfahren – ­Die Ergänzenden Regeln für Streitverkündungen (DIS-ERS)

18.04.2024
LED Lichter Fensterfassade Cyber Risks
News

Masterplan Geothermie NRW vorgestellt – Vergabe- und subventions­rechtliche Rahmen­bedingungen der klima­neutralen Wärme­versorgung der Zukunft

18.04.2024
people shopping sun with pulse
News

Regulatory & Governmental Affairs – Europanews 2024

18.04.2024
mother board details with pulse
Briefing

KI und M&A: Chancen nutzen – Risiken managen

16.04.2024
balloon sky
News

EGMR entscheidet über drei „Klimaklagen“ – wegweisender Erfolg für zukünftige Klimaschutzklagen?

16.04.2024
car trails lights
News

Ein neuer verbindlicher Rechts­rahmen für die Lade­infrastruktur in Europa – EU-weites Inkrafttreten der AFIR und Veröffentlichung der Q&A durch die EU-Kommission

16.04.2024
binoculars sun with pulse
News

Russland-Sanktionen:­ Reporting­pflichten für EU-Banken konkretisiert

16.04.2024
Hand berührt LED-Wandbildschirm
News

Data Compliance Governance

16.04.2024