Relyens Verpflichtungserklärung zum Schutz personenbezogener Daten

Datum der letzten Aktualisierung: Oktober 2024

Präambel

Aus Gründen der besseren Lesbarkeit wird in dieser Verpflichtungserklärung das generische Maskulinum verwendet. Damit sind ausdrücklich alle Geschlechtsidentitäten gemeint.

Ziel der Verpflichtungserklärung

Als „Unternehmen mit einer Mission“ verpflichtet sich Relyens, Loyalität und Fairness in den Mittelpunkt seiner Beziehungen zu seinen Kunden, Mitarbeitenden, Partnern, Dienstleistern und Interessenten zu stellen und gleichzeitig seine Interaktionen nachhaltig zu verbessern. Die Gewährleistung des größtmöglichen Schutzes ihrer personenbezogenen Daten ist integraler Bestandteil dieses Ansatzes.

Mit der vorliegenden Verpflichtungserklärung bekräftigt Relyens seine diesbezügliche Verantwortung gegenüber allen seinen Stakeholdern. Die Gruppe verpflichtet sich, strengste Standards einzuhalten, um die Sicherheit und Vertraulichkeit der personenbezogenen Daten zu gewährleisten, die im Rahmen ihrer Geschäftstätigkeit von allen ihren Unternehmen verarbeitet werden.

Vorschriften zum Schutz personenbezogener Daten

Im Rahmen ihrer Geschäftstätigkeit verarbeiten die Unternehmen der Relyens-Gruppe personenbezogene Daten entweder als für die Verarbeitung Verantwortliche, als gemeinsam für die Verarbeitung Verantwortliche oder als Auftragsverarbeiter (im Sinne von Artikel 28 DSGVO).

Die innerhalb der Relyens-Gruppe bestellten Datenschutzbeauftragten können über die in der Rubrik „Ausübung der Rechte gegenüber Relyens“ angegebenen Kanäle kontaktiert werden.

Die Erhebung und Verarbeitung personenbezogener Daten durch die Relyens-Gruppe erfolgt unter strikter Einhaltung der gesetzlichen Bestimmungen, insbesondere der Europäischen Datenschutz-Grundverordnung Nr. 2016/679 vom 27. April 2016 („DSGVO“) und der nationalen Gesetze und Bestimmungen:

NIEDERLASSUNGSLAND EINSCHLÄGIGES NATIONALES
GESETZ
ZUSTÄNDIGE
AUFSICHTSBEHÖRDE
Frankreich Loi N°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés Commission Nationale de l’Informatique et des Libertés (CNIL)

3, Place de Fontenoy

TSA 80715

75334 Paris Cedex 07

Italien Decreto Legislativo del 30 giugno 2003, n.196 e successive modifiche ed integrazioni Garante per la protezione dei dati personali (GPDP)

Piazza Venezia 11

00187 Roma

Spanien Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Agencia Española de Protección de Datos (AEPD)

C/ Jorge Juan, 6

28001-Madrid

Deutschland Bundesdatenschutzgesetz vom 30. Juni 2017 (BGBl. I S. 2097) Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Kavalleriestraße 2-4

40102 Düsseldorf

Belgien Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel Autorité de protection des données (APD)

Rue de la Presse, 35

1000 Bruxelles

Portugal Lei n° 58/2019 de 08 de Agosto de 2019 (lei da proteção de dados pessoais) Comissão Nacional de Proteção de Dados (CNPD)

Av. D. Carlos I, 134 – 1.°

1200-651 Lisboa

Über die Relyens-Gruppe

Relyens, eine europäische Gruppe auf Gegenseitigkeit, die als Referenz für Versicherungen und Risikomanagement gilt und Akteure des Gesundheitswesens begleitet, ist wie folgt organisiert (Klicken Sie hier, um das Organigramm der Relyens-Gruppe aufzurufen):

NIEDERLASSUNGSLAND NAME DES UNTERNEHMENS ART DER TÄTIGKEIT
Frankreich Relyens Mutual Insurance

18 rue E. Rochet – 69372 Lyon cedex 08

Versicherungsgesellschaft
Relyens Life Insurance

18 rue E. Rochet – 69372 Lyon cedex 08

Versicherungsgesellschaft
Relyens SPS

Route du Creton – 18110 Vasselay

Versicherungsvermittler (Makler)
Relyens Courtage

18 rue E. Rochet – 69372 Lyon cedex 08

Versicherungsvermittler (Makler)
Relyens Proactive Solutions

18 rue E. Rochet – 69372 Lyon cedex 08

Dienstleistungsgesellschaft und

Versicherungsvermittler

(Versicherungsbevollmächtigter)

QualNet

Route du Creton – 18110 Vasselay

Dienstleistungsgesellschaft
Italien Relyens Mutual Insurance (Niederlassung)

Sede Seconaria: Via Carlo Imbonati, n.18 – 20159 Milano

Versicherungsgesellschaft
Relyens Proactive Solutions (Niederlassung)

18 rue E. Rochet – 69372 Lyon cedex 08

Dienstleistungsgesellschaft
Spanien Relyens Mutual Insurance (Niederlassung)

Paseo de la Castellana 110 – 28046 Madrid

Versicherungsgesellschaft
Relyens Proactive Solutions (Niederlassung)

Paseo de la Castellana 110 – 28046 Madrid

Dienstleistungsgesellschaft
Deutschland Relyens Mutual Insurance (Niederlassung)

Erkrather Str. 228b, 40233 Düsseldorf

Versicherungsgesellschaft
Relyens Proactive Solutions (Niederlassung)

Erkrather Str. 228b, 40233 Düsseldorf

Dienstleistungsgesellschaft
Belgien Relyens Mutual Insurance (im Rahmen des freien Dienstleistungsverkehrs tätig)

18 rue E. Rochet – 69372 Lyon cedex 08

Versicherungsgesellschaft
Portugal Relyens Mutual Insurance (im Rahmen des freien Dienstleistungsverkehrs tätig) Versicherungsgesellschaft

Glossar

Personenbezogene Daten:

Hierbei handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als „identifizierbare natürliche Person“ wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Sensible personenbezogene Daten:

Als besondere Kategorien personenbezogener Daten gelten solche, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person (Art. 9 DSGVO).
Als sensible Daten gelten auch Daten über strafrechtliche Verurteilungen und Straftaten (Artikel 10 DSGVO).

Verarbeitung

bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Pseudonymisierung und Anonymisierung:

Pseudonymisierung ist eine Methode, bei der personenbezogene Daten durch ein Pseudonym ersetzt werden. Beispielsweise werden in einem Datensatz der Vor- und Nachname einer Person durch eine Kennung ersetzt: Aus „Klaus Müller“ wird „Kunde2983-AN“. Um „Klaus Müller“ später wieder identifizieren zu können, wird eine Datei benötigt, die die Zuordnung zwischen seinem Vor- und Nachnamen und der zugehörigen Kennung (Pseudonym) enthält.
Ein Datensatz gilt als anonymisiert, wenn es nicht möglich ist, Personen im Nachhinein zu identifizieren, egal auf welchem Weg. Die Anonymisierung ist unwiderruflich, während die Pseudonymisierung widerruflich ist, das heißt, es besteht die Möglichkeit, Personen durch Zuordnung mittels zusätzlicher Informationen oder Dateien erneut zu identifizieren.
Mit anderen Worten: Die Anonymisierung ermöglicht ein höheres Schutzniveau als die Pseudonymisierung.

Verantwortlicher:

bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Auftragsverarbeiter:

bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Betroffene Person:

Hierbei handelt es sich um die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen (z. B. medizinische Kräfte als Kunde von Relyens, Begünstigter der Leistungen von Relyens, Vertreter des Relyens-Kunden usw.).

Datenschutzbeauftragter:

bezeichnet die Person bei Relyens, die dafür verantwortlich ist, dass die Vorschriften zum Schutz personenbezogener Daten eingehalten werden (unter anderem auch als „DPO“ oder „Data Protection Officer“ bezeichnet). Das ist die Person, die bei Fragen zur Verarbeitung personenbezogener Daten durch die Relyens-Gruppe und zur Ausübung der gesetzlich vorgesehenen Rechte kontaktiert werden kann (weitere Informationen finden Sie in der entsprechenden Rubrik dieser Verpflichtungserklärung).

Erhebung und Verarbeitung personenbezogener Daten bei Relyens

Zwecke und Rechtsgrundlagen der Datenverarbeitung durch die Unternehmen der Gruppe Relyens als Verantwortliche

Die von den Unternehmen der Gruppe Relyens erhobenen personenbezogenen Daten dienen bestimmten Zwecken, die den betroffenen Personen systematisch zur Kenntnis gebracht werden.

Darüber hinaus muss jede durchgeführte Verarbeitung personenbezogener Daten auf einer Rechtsgrundlage beruhen, um rechtmäßig zu sein.

Für die Unternehmen der Gruppe Relyens beruht diese Rechtmäßigkeit auf einer der folgenden vier Rechtsgrundlagen:

  • Durchführung vorvertraglicher oder vertraglicher Maßnahmen: Art. 6.1.b DSGVO
  • Einwilligung der betroffenen Person: Art. 6.1.a DSGVO
  • Wahrung des berechtigten Interesses eines Unternehmens der Relyens-Gruppe: Art. 6.1.f DSGVO
    – Erfüllung einer rechtlichen Verpflichtung: Art. 6.1.c DSGVO

Die personenbezogenen Daten werden von den Unternehmen der Gruppe Relyens hauptsächlich zu folgenden Zwecken erhoben:

Zweck der Verarbeitung Rechtsgrundlage Beispiel(e)
Abschluss, Verwaltung und Erfüllung von Versicherungsverträgen (einschließlich Durchführung vorvertraglicher Maßnahmen) Durchführung vorvertraglicher oder vertraglicher Maßnahmen

(Art. 6.1.b DSGVO)

Erstellung eines Kostenvoranschlags oder eines Versicherungsvertrags (Einzel- oder Kollektivvertrag), Entschädigung bei einem Behandlungsfehler
Erbringen von Dienstleistungen im Risk Management Durchführung vorvertraglicher oder vertraglicher Maßnahmen

(Art. 6.1.b DSGVO)

Durchführung eines Audits in einer Notaufnahme
Einhaltung der geltenden Rechts- und Verwaltungsvorschriften Erfüllung einer rechtlichen Verpflichtung

(Art. 6.1.c DSGVO)

Überprüfung der Identität einer Person im Rahmen der Bekämpfung von Geldwäsche und Terrorismusfinanzierung
Erstellung von Finanz- und Geschäftsstatistiken Von den Unternehmen der Relyens-Gruppe verfolgte berechtigte Interessen

(Art. 6.1.f DSGVO)

Erstellung einer Schadensbilanz für die letzten drei Jahre
Bearbeitung von Beschwerde Durchführung vorvertraglicher oder vertraglicher Maßnahmen

(Art. 6.1.b DSGVO)

Versand einer Eingangsbestätigung an einen Begünstigten, der eine Beschwerde zu seinem bearbeiteten Schaden eingereicht hat
Betrugsprävention Von den Unternehmen der Relyens-Gruppe verfolgte berechtigte Interessen

(Art. 6.1.f DSGVO)

Informationsaustausch über betrügerische Schadenmeldungen mit den zuständigen Behörden
Veröffentlichung von institutionellen Inhalten, Durchführung von elektronischen Akquise- und Marketingmaßnahmen Von den Unternehmen der Relyens-Gruppe verfolgte berechtigte Interessen

(Art. 6.1.f DSGVO)

Versand von B2B-Mailings, um Gesundheitseinrichtungen über einen neu eingeführten Risk Management Service bei Relyens zu informieren
Allgemeine Rechnungslegung und damit verbundene Nebenbuchhaltung Erfüllung einer rechtlichen Verpflichtung

(Art. 6.1.c DSGVO)

Bearbeitung von Kostenerstattungsanträgen, Ausstellung einer Rechnung
Versand von Newslettern, Teilnahme an virtuellen Veranstaltungen von Relyens Einwilligung der betroffenen Person

(Art. 6.1.a DSGVO)

Teilnahme an einem Webinar über chirurgische Eingriffe, die mithilfe eines Roboters durchgeführt werden
Durchführung von Zufriedenheits- und anderen Umfragen Von den Unternehmen der Relyens-Gruppe verfolgte berechtigte Interessen

(Art. 6.1.f DSGVO)

Versand eines Fragebogens zur Zufriedenheit nach einer Fachschulung zum Thema Verwaltung von Patientenakten

In bestimmten Fällen können Unternehmen der Gruppe Relyens als Auftragsverarbeiter ihrer Kunden auftreten: Dies ist insbesondere bei den Relyens Proactive Solutions Unternehmen der Fall.

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Die Unternehmen der Gruppe Relyens integrieren den Schutz der Privatsphäre bereits in der Konzeptionsphase ihrer Produkte und Dienstleistungen und während ihres gesamten Lebenszyklus, von der Erhebung personenbezogener Daten bis zu ihrer Löschung oder Anonymisierung.

Die Gruppe Relyens ist bestrebt, für personenbezogene Daten standardmäßig ein Schutzniveau zu gewährleisten, das den Anforderungen der einschlägigen Vorschriften entspricht.

Die Gruppe Relyens wendet bei jeder Verarbeitung den Grundsatz der Datenminimierung an, der konkret wie folgt umgesetzt wird:

  • Es werden nur die personenbezogenen Daten erhoben und verarbeitet, die für die Zwecke der jeweiligen Verarbeitung unbedingt erforderlich sind.
  • Personenbezogene Daten werden nicht länger aufbewahrt als für die genannten Zwecke erforderlich (Löschung oder Anonymisierung, falls nötig).
  • Personenbezogene Daten sind nur Relyens-Mitarbeitern und befugten Empfängern zugänglich.
    – Personenbezogene Daten werden nach Möglichkeit pseudonymisiert oder sogar anonymisiert.

Außerdem wird im Vorfeld jedes neuen Projekts, bei dem personenbezogene Daten verarbeitet werden, der DPO des betreffenden Relyens-Unternehmens konsultiert, damit er Empfehlungen zur Gewährleistung der Sicherheit und Vertraulichkeit der Daten aussprechen kann.

Transparenz und Information über die Verarbeitungen

Es werden keine personenbezogenen Daten von den Unternehmen der Gruppe Relyens erhoben, ohne dass die betroffenen Personen davon in Kenntnis gesetzt werden.

In Angeboten, Verträgen, Kontaktformularen im Internet o.ä. informieren wir stets über (Aufzählung nicht erschöpfend):

  • Identität des Verantwortlichen
  • Zwecke der Verarbeitung personenbezogener Daten
  • Rechtsgrundlage für die Verarbeitung
  • (Kategorien von) Datenempfänger(n)
  • Maximale Dauer der Datenspeicherung
  • Rechte der betroffenen Person
  • Kontaktdaten des DPO

Kategorien von personenbezogenen Daten, die erhoben werden

Die Kategorien personenbezogener Daten, die von den Unternehmen der Gruppe Relyens erhoben werden, können je nach Zweck der Verarbeitung, Art der betroffenen Personen und des betreffenden Produkts oder der betreffenden Dienstleistung variieren.

Dabei kann es sich je nach Fall handeln um:

Art der Daten Datenkategorien Beispiele für Daten, die verarbeitet werden können
Nicht sensible Daten Identifikationsdaten Name, Anschrift, Foto …
Daten zum Privatleben Ausgeübte Freizeitbeschäftigungen, Lebensgewohnheiten …
Daten zur beruflichen Situation Lebenslauf, Berufsausbildung, ausgeübte Funktionen …
Wirtschaftliche, finanzielle, vermögensrechtliche oder steuerliche Informationen, Zahlungsdaten Gehaltsabrechnungen, Einkommensteuerbescheid, Bankkartennummer …
Standortdaten Aufstellung der Fahrten zur Berechnung des Kilometergeldes …
Verbindungsdaten IP-Adresse, Datum und Uhrzeit der Anmeldung im Kundenbereich …
Daten, die für die Risikobewertung, den Abschluss und die Verwaltung von Verträgen, die Regulierung von Schadensfällen und die Erbringung von Dienstleistungen erforderlich sind Medizinische Fachrichtung, Gebäudefläche, Polizeiberichte …
Sensible Daten (1) Gesundheitsbezogene Daten Patientenakte, ärztliches Attest über Arbeitsunfähigkeit …
Andere sensible Daten (religiöse oder philosophische Überzeugungen, sexuelle Orientierung und Sexualleben, Gewerkschaftszugehörigkeit …) (2) Bewertung des sexuellen Schadens im Zusammenhang mit einem Behandlungsfehler

(1) Siehe Definition im Glossar
Sensible Daten sind besondere personenbezogene Daten, die besonders geschützt werden müssen und deren Verarbeitung durch die Vorschriften streng geregelt ist.
Die Rechtmäßigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten, insbesondere von Gesundheitsdaten, beruht auf einer der Bedingungen in Art. 9.2 DSGVO.
Für die Gruppe Relyens können sich folgende Fälle ergeben:
– a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden.
– b) Die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
– f) Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich.
– h) Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich.

(2) Sensible Daten, die nicht die Gesundheit und strafrechtliche Verurteilungen/Straftaten betreffen, werden von der Relyens-Gruppe nur in Ausnahmefällen und nur dann erhoben und verarbeitet, wenn die Situation dies rechtfertigt.

Bei der direkten Erhebung personenbezogener Daten durch die Unternehmen der Gruppe Relyens wird mitgeteilt, ob die anzugebenden Informationen verpflichtend (in der Regel durch ein Sternchen gekennzeichnet) oder optional sind.

Werden bestimmte Pflichtangaben nicht gemacht, kann es sein, dass die Unternehmen der Gruppe Relyens keine Anfragen beantworten, keine Angebote erstellen, keine Versicherungsverträge erstellen/verwalten und keine Leistungen erbringen können.

Kategorien von Empfängern, denen die Daten mitgeteilt werden

 

Im Hinblick auf und in Abhängigkeit von den verfolgten Verarbeitungszwecken können personenbezogene Daten innerhalb der Unternehmen der Relyens-Gruppe ausgetauscht werden, damit diese ihre Aufgaben erfüllen können, wobei der Grundsatz der Datenminimierung beachtet wird (geringstmögliche Menge an Daten, geringstmögliche Anzahl von Empfängern usw.).

Daten können auch an andere Beteiligte weitergegeben werden, die an der genannten Verarbeitung personenbezogener Daten beteiligt sind.

In der folgenden Tabelle sind die potenziellen Empfänger personenbezogener Daten der Unternehmen der Relyens-Gruppe nach Hauptkategorien aufgeführt (Liste ist nicht erschöpfend):

Kategorien von Empfängern (variiert je nach Datenverarbeitung) Beispiel für Tätigkeitsbereich Beispiel(e)
Mitarbeitende der Unternehmen der Gruppe Relyens (konzerninterner Datenaustausch) Versicherungen, Risk Management, Dienstleistungen Weitergabe von Kontaktdaten zwischen Relyens Mutual Insurance und Relyens Proactive Solutions zur Beantwortung von Angebotsanfragen
Subunternehmer von Relyens Übertragung von Verwaltungsaufgaben Manager für Cybervorfälle und -schäden
Dienstleister von Relyens Beratung Rechtsanwälte, ärztliche Gutachter
Informatik Entwickler, Softwarehersteller, auf Cybersicherheit spezialisierte Unternehmen, Datenhoster
Weiterbildung Weiterbildung im Bereich Risikomanagement
Audit Experte für Kontrolle des medizinischen Dienstes, Auditor für medizinische Risiken
Archivverwaltung Aufbewahrung von Verträgen und Schadensmeldungen in Papierform in eigenem Archiv
Partner von Relyens Versicherung Mitversicherer, Rückversicherer, Versicherungsmakler
Assistance Unternehmen, das die Rückholung von Sachen und Personen übernimmt
Andere Partnerschaften mit wissenschaftlichen Gesellschaften, Geschäftspartnern
Berufsorganisationen Versicherung Organismen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung
Soziale Einrichtungen Soziale Absicherung Soziale Einrichtungen, Krankenzusatzversicherungen
Dritte, die ein Recht auf Benachrichtigung haben Alle Bereiche Polizeibehörden, Gerichte, Versicherungsaufsicht (BaFin), Datenschutzbehörden (z. B. LDI NRW), professionelle Mediatoren
Am Vertrag beteiligte – oder interessierte – Personen (keine Dienstleister) Alle Bereiche Beamte, Vormund, Insolvenzverwalter, Begünstigte im Rahmen eines Relyens-Vertrags, Anspruchsberechtigte

Ort der Datenverarbeitung

Die Unternehmen der Gruppe Relyens bevorzugen die Verarbeitung und Speicherung personenbezogener Daten in der Europäischen Union.

Ist jedoch eine Übermittlung personenbezogener Daten außerhalb der Europäischen Union notwendig, um bestimmte spezifische Verarbeitungen durchzuführen, erfolgt diese Übermittlung nur in Länder mit einem angemessenen Schutzniveau. Andernfalls erfolgt die Übermittlung personenbezogener Daten innerhalb eines geeigneten technischen und rechtlichen Rahmens und nach vorheriger Konsultation des DPO der Relyens-Gruppe.

In jedem Fall erfolgt eine solche Übermittlung in Übereinstimmung mit den Bestimmungen von Kapitel V der DSGVO: „Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen“.

Je nach ihrer Rolle im Rahmen der Verarbeitung werden diese externen Empfänger die Daten entweder als eigenständige Verantwortliche für die Verarbeitung oder als von den Unternehmen der Gruppe Relyens ordnungsgemäß bestellte Auftragsverarbeiter gemäß den Datenschutzgesetzen verarbeiten.

Dauer der Speicherung von Daten

Die Unternehmen der Gruppe Relyens bemühen sich, die Aufbewahrungsfristen für personenbezogene Daten so festzulegen, dass sie dem Zweck der jeweiligen Verarbeitung angemessen sind, unter Berücksichtigung der geltenden gesetzlichen Fristen und der nationalen Besonderheiten der Länder, in denen die Relyens-Gruppe ansässig ist.

Wenn die Daten ihre Aufbewahrungsfrist gemäß dem von der Gruppe Relyens definierten Referenzsystem erreicht haben, löschen oder anonymisieren die Unternehmen der Relyens-Gruppe die Daten (ein Verfahren, das jede Möglichkeit der erneuten Identifizierung der betroffenen Person ausschließt).

Aus der folgenden Tabelle geht die maximale Aufbewahrungsdauer für personenbezogene Daten hervor, die von den Unternehmen der Gruppe Relyens als Verantwortliche festgelegt wurde (Liste ist nicht erschöpfend):

Zweck der Verarbeitung Dauer der Speicherung von Daten
Kundenwerbung Kundenwerbung: 3 Jahre ab dem letzten Kontakt mit dem Interessenten
Vorvertragliche Maßnahmen Kostenvoranschlag (oder Angebot), der/das nicht weiterverfolgt oder abgelehnt wurde: 5 Jahre ab dem Datum des Kostenvoranschlags/Angebots
Abschluss und Verwaltung von Versicherungsverträgen Gesamte Vertragsdauer, einschließlich einer etwaigen Nachhaftungsfrist, zuzüglich der gesetzlich vorgeschriebenen Fristen, d. h. 11 Jahre bei Schadenfreiheit (*)
Bearbeitung von Schadensfällen Bis zur Abwicklung des Schadensfalls, zuzüglich der gesetzlich vorgeschriebenen Fristen, d. h. 30 Jahre bei Personenschäden und 10 Jahre bei Sachschäden (*)
Betrugsbekämpfung Im Betrugsfall werden die Daten maximal fünf Jahre nach Klärung des Falls aufbewahrt.
Kontrollen im Bereich Geldwäsche/Terrorismusfinanzierung 5 Jahre ab Durchführung der Kontrolle

(*) Aus praktischen Gründen und aufgrund der Vielzahl der Produkte und Dienstleistungen, die in der Vergangenheit von den Unternehmen der Grupe Relyens vertrieben wurden, ist es im Rahmen dieser Verpflichtungserklärung nicht möglich, die verschiedenen anwendbaren Aufbewahrungsfristen erschöpfend anzugeben. Diese variieren insbesondere je nach Versicherungsprodukt, Versicherungsumfang und Schadenseintritt oder -freiheit im Rahmen des Vertrags.
Um die für eine bestimmte Datenverarbeitung geltende Aufbewahrungsfrist zu erfahren, wenden Sie sich bitte an den DPO des betreffenden Relyens-Unternehmens

Datensicherheit bei Relyens

Das Informationssystem (IS) von Relyens ist das Herzstück seines Instrumentariums für die Erbringung von Leistungen für seine Kunden. Dieses Informationssystem ist so aufgebaut, dass es eine effiziente und hochwertige Leistungserbringung gewährleistet.
Relyens verfügt über ein Team von über 100 IS-Experten, die dieses Informationssystem tagtäglich verwalten und ständig weiterentwickeln.

Das Informationssystem ist auf einer robusten und sicheren technischen Infrastruktur aufgebaut, wobei moderne und innovative Technologien zum Einsatz kommen. Die Hardware in dieser Infrastruktur wird ständig erneuert.

Die gesamte Infrastruktur wird in zwei gekreuzten Rechenzentren an zwei geografisch auseinanderliegenden Standorten gehostet. Auf dieser redundanten Infrastruktur aufbauend wird der Business Continuity Plan entwickelt und jährlich getestet, um die Kontinuität der Leistungen im Katastrophenfall oder bei einem Cyberangriff zu gewährleisten.

Sowohl die Geschäftsanwendungen für die Verwaltung als auch die Kundenbereiche werden intern entwickelt und gewartet und stützen sich auf gängige und marktführende Technologien.

Durch die Dematerialisierung aller eingehenden Briefe kann Relyens leistungsfähige Verwaltungsprozesse aufbauen.

Die Sicherheit beim Zugriff auf Informationen basiert auf einer bewährten und anerkannten Lösung für die Authentifizierung und Zugriffskontrolle sowie auf der Rückverfolgbarkeit der durchgeführten Aktionen.

Der Verantwortliche für die Sicherheit des IS betreut das Managementsystem für Informationssicherheit (ISMS), das bei Relyens eingerichtet wurde. Dieses ISMS basiert auf Sicherheitsrichtlinien, die die Organisation und die zugrunde liegenden Sicherheitsgrundsätze beschreibt. Durch interne oder externe Audits wird eine ständige Kontrolle gewährleistet, was eine regelmäßige Anpassung der Sicherheitsmaßnahmen ermöglicht.
Die Entwicklung zielt auf eine kontinuierliche Verbesserung des ISMS und eine Anpassung der Maßnahmen an die Entwicklung der IS-Risiken ab.
Ein Prozess zur Zertifizierung des ISMS nach ISO 27001 ist im Gange.

Ein ausführlicheres Dokument über die von der Gruppe ergriffenen Schutzmaßnahmen steht Kunden und Interessenten auf Anfrage zur Verfügung.

Ausübung von Betroffenenrechten gegenüber Relyens

Gesetzlich vorgeschriebene Rechte

Gemäß der geltenden Gesetzgebung haben betroffene Personen die folgenden Rechte in Bezug auf ihre personenbezogenen Daten:

ZIEL DES RECHTS
Auskunftsrecht Recht auf Auskunft über personenbezogene Daten und auf Erhalt einer Kopie
Recht auf Berichtigung Recht, die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten zu verlangen
Recht auf Löschung Recht zu verlangen, dass personenbezogene Daten gelöscht werden, soweit gesetzlich zulässig
Recht auf Einschränkung der Verarbeitung Recht, die Einschränkung der Verarbeitung personenbezogener Daten zu verlangen
Widerspruchsrecht Recht, aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, jederzeit gegen die Verarbeitung personenbezogener Daten Widerspruch einzulegen.

Dieses Recht ermöglicht es auch, jederzeit Widerspruch gegen die Verarbeitung personenbezogener Daten für Direktwerbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Recht auf Datenübertragbarkeit Recht, die bereitgestellten personenbezogenen Daten in bestimmten Fällen zu erhalten, oder das Recht zu erwirken, dass die personenbezogenen Daten direkt einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
Widerruf der Einwilligung Recht, die Einwilligung jederzeit zu widerrufen (bei einer Verarbeitung personenbezogener Daten, die auf der Einwilligung der betroffenen Person beruht).

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Ausübung der Rechte gegenüber Relyens

Personen, die eines der oben aufgeführten Rechte ausüben möchten, können sich an den Datenschutzbeauftragten (DPO) von Relyens wenden:

Relyens-Unternehmen Anschrift des DPO E-Mail-Adresse des DPO (*)
Relyens Mutual Insurance (Niederlassung Deutschland) Erkrather Str. 228b, 40233 Düsseldorf privacy.de
RPS (Niederlassung Deutschland) Erkrather Str. 228b, 40233 Düsseldorf privacy.rps

(*) Hängen Sie @relyens.eu an die in diesem Abschnitt angegebene Adresse an, um die E-Mail-Adresse des DPO zu vervollständigen (Anti-Spam-Maßnahme)

WICHTIG: Diese E-Mail-Adressen sind ausschließlich für Anfragen bestimmt, die sich auf die Verarbeitung personenbezogener Daten durch die Unternehmen der Relyens-Gruppe beziehen.
Bitte verwenden Sie sie nicht für einen anderen Zweck (z. B. um die Leistungsabteilung zu kontaktieren, uns Ihren Lebenslauf zu senden o.ä.), da die Anfrage dann nicht bearbeitet wird.

Falls nötig, kann der Datenschutzbeauftragte (DPO) die betroffene Person, die ihre Rechte ausübt, auffordern, einen Nachweis ihrer Identität (z. B. Personalausweis) einzureichen.

Wenn die betroffene Person mit der Antwort der Gruppe Relyens nicht zufrieden ist, kann sie sich an die zuständige Aufsichtsbehörde wenden (Kontaktdaten siehe Abschnitt „Vorschriften zum Schutz personenbezogener Date“ in der Präambel dieser Verpflichtungserklärung).