Relyens Verpflichtungserklärung zum Schutz personenbezogener Date
Datum der letzten Aktualisierung: Oktober 2024
Präambel
Aus Gründen der besseren Lesbarkeit wird in dieser Verpflichtungserklärung das generische Maskulinum verwendet. Damit sind ausdrücklich alle Geschlechtsidentitäten gemeint.
Ziel der Verpflichtungserklärung
Als „Unternehmen mit einer Mission“ verpflichtet sich Relyens, Loyalität und Fairness in den Mittelpunkt seiner Beziehungen zu seinen Kunden, Mitarbeitenden, Partnern, Dienstleistern und Interessenten zu stellen und gleichzeitig seine Interaktionen nachhaltig zu verbessern. Die Gewährleistung des größtmöglichen Schutzes ihrer personenbezogenen Daten ist integraler Bestandteil dieses Ansatzes.
Mit der vorliegenden Verpflichtungserklärung bekräftigt Relyens seine diesbezügliche Verantwortung gegenüber allen seinen Stakeholdern. Die Gruppe verpflichtet sich, strengste Standards einzuhalten, um die Sicherheit und Vertraulichkeit der personenbezogenen Daten zu gewährleisten, die im Rahmen ihrer Geschäftstätigkeit von allen ihren Unternehmen verarbeitet werden.
Vorschriften zum Schutz personenbezogener Daten
Im Rahmen ihrer Geschäftstätigkeit verarbeiten die Unternehmen der Relyens-Gruppe personenbezogene Daten entweder als für die Verarbeitung Verantwortliche, als gemeinsam für die Verarbeitung Verantwortliche oder als Auftragsverarbeiter (im Sinne von Artikel 28 DSGVO).
Die innerhalb der Relyens-Gruppe bestellten Datenschutzbeauftragten können über die in der Rubrik „Ausübung der Rechte gegenüber Relyens“ angegebenen Kanäle kontaktiert werden.
Die Erhebung und Verarbeitung personenbezogener Daten durch die Relyens-Gruppe erfolgt unter strikter Einhaltung der gesetzlichen Bestimmungen, insbesondere der Europäischen Datenschutz-Grundverordnung Nr. 2016/679 vom 27. April 2016 („DSGVO“) und der nationalen Gesetze und Bestimmungen:
| NIEDERLASSUNGSLAND | EINSCHLÄGIGES NATIONALES GESETZ |
ZUSTÄNDIGE AUFSICHTSBEHÖRDE |
| Frankreich | Loi N°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés | Commission Nationale de l’Informatique et des Libertés (CNIL)
3, Place de Fontenoy TSA 80715 75334 Paris Cedex 07 |
| Italien | Decreto Legislativo del 30 giugno 2003, n.196 e successive modifiche ed integrazioni | Garante per la protezione dei dati personali (GPDP)
Piazza Venezia 11 00187 Roma |
| Spanien | Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales | Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6 28001-Madrid |
| Deutschland | Bundesdatenschutzgesetz vom 30. Juni 2017 (BGBl. I S. 2097) | Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4 40102 Düsseldorf |
| Belgien | Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel | Autorité de protection des données (APD)
Rue de la Presse, 35 1000 Bruxelles |
| Portugal | Lei n° 58/2019 de 08 de Agosto de 2019 (lei da proteção de dados pessoais) | Comissão Nacional de Proteção de Dados (CNPD)
Av. D. Carlos I, 134 – 1.° 1200-651 Lisboa |
Über die Relyens-Gruppe
Relyens, eine europäische Gruppe auf Gegenseitigkeit, die als Referenz für Versicherungen und Risikomanagement gilt und Akteure des Gesundheitswesens begleitet, ist wie folgt organisiert (Klicken Sie hier, um das Organigramm der Relyens-Gruppe aufzurufen):
| NIEDERLASSUNGSLAND | NAME DES UNTERNEHMENS | ART DER TÄTIGKEIT |
| Frankreich | Relyens Mutual Insurance
18 rue E. Rochet – 69372 Lyon cedex 08 |
Versicherungsgesellschaft |
| Relyens Life Insurance
18 rue E. Rochet – 69372 Lyon cedex 08 |
Versicherungsgesellschaft | |
| Relyens SPS
Route du Creton – 18110 Vasselay |
Versicherungsvermittler (Makler) | |
| Relyens Courtage
18 rue E. Rochet – 69372 Lyon cedex 08 |
Versicherungsvermittler (Makler) | |
| Relyens Proactive Solutions
18 rue E. Rochet – 69372 Lyon cedex 08 |
Dienstleistungsgesellschaft und
Versicherungsvermittler (Versicherungsbevollmächtigter) |
|
| QualNet
Route du Creton – 18110 Vasselay |
Dienstleistungsgesellschaft | |
| Italien | Relyens Mutual Insurance (Niederlassung)
Sede Seconaria: Via Carlo Imbonati, n.18 – 20159 Milano |
Versicherungsgesellschaft |
| Relyens Proactive Solutions (Niederlassung)
18 rue E. Rochet – 69372 Lyon cedex 08 |
Dienstleistungsgesellschaft | |
| Spanien | Relyens Mutual Insurance (Niederlassung)
Paseo de la Castellana 110 – 28046 Madrid |
Versicherungsgesellschaft |
| Relyens Proactive Solutions (Niederlassung)
Paseo de la Castellana 110 – 28046 Madrid |
Dienstleistungsgesellschaft | |
| Deutschland | Relyens Mutual Insurance (Niederlassung)
Erkrather Str. 228b, 40233 Düsseldorf |
Versicherungsgesellschaft |
| Relyens Proactive Solutions (Niederlassung)
Erkrather Str. 228b, 40233 Düsseldorf |
Dienstleistungsgesellschaft | |
| Belgien | Relyens Mutual Insurance (im Rahmen des freien Dienstleistungsverkehrs tätig)
18 rue E. Rochet – 69372 Lyon cedex 08 |
Versicherungsgesellschaft |
| Portugal | Relyens Mutual Insurance (im Rahmen des freien Dienstleistungsverkehrs tätig) | Versicherungsgesellschaft |
Glossar
Personenbezogene Daten:
Hierbei handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als „identifizierbare natürliche Person“ wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Sensible personenbezogene Daten:
Als besondere Kategorien personenbezogener Daten gelten solche, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person (Art. 9 DSGVO).
Als sensible Daten gelten auch Daten über strafrechtliche Verurteilungen und Straftaten (Artikel 10 DSGVO).
Verarbeitung
bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Pseudonymisierung und Anonymisierung:
Pseudonymisierung ist eine Methode, bei der personenbezogene Daten durch ein Pseudonym ersetzt werden. Beispielsweise werden in einem Datensatz der Vor- und Nachname einer Person durch eine Kennung ersetzt: Aus „Klaus Müller“ wird „Kunde2983-AN“. Um „Klaus Müller“ später wieder identifizieren zu können, wird eine Datei benötigt, die die Zuordnung zwischen seinem Vor- und Nachnamen und der zugehörigen Kennung (Pseudonym) enthält.
Ein Datensatz gilt als anonymisiert, wenn es nicht möglich ist, Personen im Nachhinein zu identifizieren, egal auf welchem Weg. Die Anonymisierung ist unwiderruflich, während die Pseudonymisierung widerruflich ist, das heißt, es besteht die Möglichkeit, Personen durch Zuordnung mittels zusätzlicher Informationen oder Dateien erneut zu identifizieren.
Mit anderen Worten: Die Anonymisierung ermöglicht ein höheres Schutzniveau als die Pseudonymisierung.
Verantwortlicher:
bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Auftragsverarbeiter:
bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Betroffene Person:
Hierbei handelt es sich um die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen (z. B. medizinische Kräfte als Kunde von Relyens, Begünstigter der Leistungen von Relyens, Vertreter des Relyens-Kunden usw.).
Datenschutzbeauftragter:
bezeichnet die Person bei Relyens, die dafür verantwortlich ist, dass die Vorschriften zum Schutz personenbezogener Daten eingehalten werden (unter anderem auch als „DPO“ oder „Data Protection Officer“ bezeichnet). Das ist die Person, die bei Fragen zur Verarbeitung personenbezogener Daten durch die Relyens-Gruppe und zur Ausübung der gesetzlich vorgesehenen Rechte kontaktiert werden kann (weitere Informationen finden Sie in der entsprechenden Rubrik dieser Verpflichtungserklärung).
Erhebung und Verarbeitung personenbezogener Daten bei Relyens
Zwecke und Rechtsgrundlagen der Datenverarbeitung durch die Unternehmen der Relyens-Gruppe als Verantwortliche
Die von den Unternehmen der Relyens-Gruppe erhobenen personenbezogenen Daten dienen bestimmten Zwecken, die den betroffenen Personen systematisch zur Kenntnis gebracht werden.
Darüber hinaus muss jede durchgeführte Verarbeitung personenbezogener Daten auf einer Rechtsgrundlage beruhen, um rechtmäßig zu sein.
Für die Unternehmen der Relyens-Gruppe beruht diese Rechtmäßigkeit auf einer der folgenden vier Rechtsgrundlagen:
- Durchführung vorvertraglicher oder vertraglicher Maßnahmen: Art. 6.1.b DSGVO
- Einwilligung der betroffenen Person: Art. 6.1.a DSGVO
- Wahrung des berechtigten Interesses eines Unternehmens der Relyens-Gruppe: Art. 6.1.f DSGVO
– Erfüllung einer rechtlichen Verpflichtung: Art. 6.1.c DSGVO
Die personenbezogenen Daten werden von den Unternehmen der Relyens-Gruppe hauptsächlich zu folgenden Zwecken erhoben:
| Zweck der Verarbeitung | Rechtsgrundlage | Beispiel(e) |
| Abschluss, Verwaltung und Erfüllung von Versicherungsverträgen (einschließlich Durchführung vorvertraglicher Maßnahmen) | Durchführung vorvertraglicher oder vertraglicher Maßnahmen
(Art. 6.1.b DSGVO) |
Erstellung eines Kostenvoranschlags oder eines Versicherungsvertrags (Einzel- oder Kollektivvertrag), Entschädigung bei einem Behandlungsfehler |
| Erbringen von Dienstleistungen im Risk Management | Durchführung vorvertraglicher oder vertraglicher Maßnahmen
(Art. 6.1.b DSGVO) |
Durchführung eines Audits in einer Notaufnahme |
| Einhaltung der geltenden Rechts- und Verwaltungsvorschriften | Erfüllung einer rechtlichen Verpflichtung
(Art. 6.1.c DSGVO) |
Überprüfung der Identität einer Person im Rahmen der Bekämpfung von Geldwäsche und Terrorismusfinanzierung |
| Erstellung von Finanz- und Geschäftsstatistiken | Von den Unternehmen der Relyens-Gruppe verfolgte berechtigte Interessen
(Art. 6.1.f DSGVO) |
Erstellung einer Schadensbilanz für die letzten drei Jahre |
| Bearbeitung von Beschwerde | Durchführung vorvertraglicher oder vertraglicher Maßnahmen
(Art. 6.1.b DSGVO) |
Versand einer Eingangsbestätigung an einen Begünstigten, der eine Beschwerde zu seinem bearbeiteten Schaden eingereicht hat |
| Betrugsprävention | Von den Unternehmen der Relyens-Gruppe verfolgte berechtigte Interessen
(Art. 6.1.f DSGVO) |
Informationsaustausch über betrügerische Schadenmeldungen mit den zuständigen Behörden |
| Veröffentlichung von institutionellen Inhalten, Durchführung von elektronischen Akquise- und Marketingmaßnahmen | Von den Unternehmen der Relyens-Gruppe verfolgte berechtigte Interessen
(Art. 6.1.f DSGVO) |
Versand von B2B-Mailings, um Gesundheitseinrichtungen über einen neu eingeführten Risk Management Service bei Relyens zu informieren |
| Allgemeine Rechnungslegung und damit verbundene Nebenbuchhaltung | Erfüllung einer rechtlichen Verpflichtung
(Art. 6.1.c DSGVO) |
Bearbeitung von Kostenerstattungsanträgen, Ausstellung einer Rechnung |
| Versand von Newslettern, Teilnahme an virtuellen Veranstaltungen von Relyens | Einwilligung der betroffenen Person
(Art. 6.1.a DSGVO) |
Teilnahme an einem Webinar über chirurgische Eingriffe, die mithilfe eines Roboters durchgeführt werden |
| Durchführung von Zufriedenheits- und anderen Umfragen | Von den Unternehmen der Relyens-Gruppe verfolgte berechtigte Interessen
(Art. 6.1.f DSGVO) |
Versand eines Fragebogens zur Zufriedenheit nach einer Fachschulung zum Thema Verwaltung von Patientenakten |
In bestimmten Fällen können Unternehmen der Relyens-Gruppe als Auftragsverarbeiter ihrer Kunden auftreten: Dies ist insbesondere bei den Relyens Proactive Solutions Unternehmen der Fall.
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Die Unternehmen der Relyens-Gruppe integrieren den Schutz der Privatsphäre bereits in der Konzeptionsphase ihrer Produkte und Dienstleistungen und während ihres gesamten Lebenszyklus, von der Erhebung personenbezogener Daten bis zu ihrer Löschung oder Anonymisierung.
Die Relyens-Gruppe ist bestrebt, für personenbezogene Daten standardmäßig ein Schutzniveau zu gewährleisten, das den Anforderungen der einschlägigen Vorschriften entspricht.
Die Relyens-Gruppe wendet bei jeder Verarbeitung den Grundsatz der Datenminimierung an, der konkret wie folgt umgesetzt wird:
- Es werden nur die personenbezogenen Daten erhoben und verarbeitet, die für die Zwecke der jeweiligen Verarbeitung unbedingt erforderlich sind.
- Personenbezogene Daten werden nicht länger aufbewahrt als für die genannten Zwecke erforderlich (Löschung oder Anonymisierung, falls nötig).
- Personenbezogene Daten sind nur Relyens-Mitarbeitern und befugten Empfängern zugänglich.
– Personenbezogene Daten werden nach Möglichkeit pseudonymisiert oder sogar anonymisiert.
Außerdem wird im Vorfeld jedes neuen Projekts, bei dem personenbezogene Daten verarbeitet werden, der DPO des betreffenden Relyens-Unternehmens konsultiert, damit er Empfehlungen zur Gewährleistung der Sicherheit und Vertraulichkeit der Daten aussprechen kann.
Transparenz und Information über die Verarbeitungen
Es werden keine personenbezogenen Daten von den Unternehmen der Relyens-Gruppe erhoben, ohne dass die betroffenen Personen davon in Kenntnis gesetzt werden.
In Angeboten, Verträgen, Kontaktformularen im Internet o.ä. informieren wir stets über (Aufzählung nicht erschöpfend):
- Identität des Verantwortlichen
- Zwecke der Verarbeitung personenbezogener Daten
- Rechtsgrundlage für die Verarbeitung
- (Kategorien von) Datenempfänger(n)
- Maximale Dauer der Datenspeicherung
- Rechte der betroffenen Person
- Kontaktdaten des DPO
Kategorien von personenbezogenen Daten, die erhoben werden
Die Kategorien personenbezogener Daten, die von den Unternehmen der Relyens-Gruppe erhoben werden, können je nach Zweck der Verarbeitung, Art der betroffenen Personen und des betreffenden Produkts oder der betreffenden Dienstleistung variieren.
Dabei kann es sich je nach Fall handeln um:
| Art der Daten | Datenkategorien | Beispiele für Daten, die verarbeitet werden können |
| Nicht sensible Daten | Identifikationsdaten | Name, Anschrift, Foto … |
| Daten zum Privatleben | Ausgeübte Freizeitbeschäftigungen, Lebensgewohnheiten … | |
| Daten zur beruflichen Situation | Lebenslauf, Berufsausbildung, ausgeübte Funktionen … | |
| Wirtschaftliche, finanzielle, vermögensrechtliche oder steuerliche Informationen, Zahlungsdaten | Gehaltsabrechnungen, Einkommensteuerbescheid, Bankkartennummer … | |
| Standortdaten | Aufstellung der Fahrten zur Berechnung des Kilometergeldes … | |
| Verbindungsdaten | IP-Adresse, Datum und Uhrzeit der Anmeldung im Kundenbereich … | |
| Daten, die für die Risikobewertung, den Abschluss und die Verwaltung von Verträgen, die Regulierung von Schadensfällen und die Erbringung von Dienstleistungen erforderlich sind | Medizinische Fachrichtung, Gebäudefläche, Polizeiberichte … | |
| Sensible Daten (1) | Gesundheitsbezogene Daten | Patientenakte, ärztliches Attest über Arbeitsunfähigkeit … |
| Andere sensible Daten (religiöse oder philosophische Überzeugungen, sexuelle Orientierung und Sexualleben, Gewerkschaftszugehörigkeit …) (2) | Bewertung des sexuellen Schadens im Zusammenhang mit einem Behandlungsfehler |
(1) Siehe Definition im Glossar
Sensible Daten sind besondere personenbezogene Daten, die besonders geschützt werden müssen und deren Verarbeitung durch die Vorschriften streng geregelt ist.
Die Rechtmäßigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten, insbesondere von Gesundheitsdaten, beruht auf einer der Bedingungen in Art. 9.2 DSGVO.
Für die Relyens-Gruppe können sich folgende Fälle ergeben:
– a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden.
– b) Die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
– f) Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich.
– h) Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich.
(2) Sensible Daten, die nicht die Gesundheit und strafrechtliche Verurteilungen/Straftaten betreffen, werden von der Relyens-Gruppe nur in Ausnahmefällen und nur dann erhoben und verarbeitet, wenn die Situation dies rechtfertigt.
Bei der direkten Erhebung personenbezogener Daten durch die Unternehmen der Relyens-Gruppe wird mitgeteilt, ob die anzugebenden Informationen verpflichtend (in der Regel durch ein Sternchen gekennzeichnet) oder optional sind.
Werden bestimmte Pflichtangaben nicht gemacht, kann es sein, dass die Unternehmen der Relyens-Gruppe keine Anfragen beantworten, keine Angebote erstellen, keine Versicherungsverträge erstellen/verwalten und keine Leistungen erbringen können.
Kategorien von Empfängern, denen die Daten mitgeteilt werden
Im Hinblick auf und in Abhängigkeit von den verfolgten Verarbeitungszwecken können personenbezogene Daten innerhalb der Unternehmen der Relyens-Gruppe ausgetauscht werden, damit diese ihre Aufgaben erfüllen können, wobei der Grundsatz der Datenminimierung beachtet wird (geringstmögliche Menge an Daten, geringstmögliche Anzahl von Empfängern usw.).
Daten können auch an andere Beteiligte weitergegeben werden, die an der genannten Verarbeitung personenbezogener Daten beteiligt sind.
In der folgenden Tabelle sind die potenziellen Empfänger personenbezogener Daten der Unternehmen der Relyens-Gruppe nach Hauptkategorien aufgeführt (Liste ist nicht erschöpfend):
| Kategorien von Empfängern (variiert je nach Datenverarbeitung) | Beispiel für Tätigkeitsbereich | Beispiel(e) |
| Mitarbeitende der Unternehmen der Relyens-Gruppe (konzerninterner Datenaustausch) | Versicherungen, Risk Management, Dienstleistungen | Weitergabe von Kontaktdaten zwischen Relyens Mutual Insurance und Relyens Proactive Solutions zur Beantwortung von Angebotsanfragen |
| Subunternehmer von Relyens | Übertragung von Verwaltungsaufgaben | Manager für Cybervorfälle und -schäden |
| Dienstleister von Relyens | Beratung | Rechtsanwälte, ärztliche Gutachter |
| Informatik | Entwickler, Softwarehersteller, auf Cybersicherheit spezialisierte Unternehmen, Datenhoster | |
| Weiterbildung | Weiterbildung im Bereich Risikomanagement | |
| Audit | Experte für Kontrolle des medizinischen Dienstes, Auditor für medizinische Risiken | |
| Archivverwaltung | Aufbewahrung von Verträgen und Schadensmeldungen in Papierform in eigenem Archiv | |
| Partner von Relyens | Versicherung | Mitversicherer, Rückversicherer, Versicherungsmakler |
| Assistance | Unternehmen, das die Rückholung von Sachen und Personen übernimmt | |
| Andere | Partnerschaften mit wissenschaftlichen Gesellschaften, Geschäftspartnern | |
| Berufsorganisationen | Versicherung | Organismen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung |
| Soziale Einrichtungen | Soziale Absicherung | Soziale Einrichtungen, Krankenzusatzversicherungen |
| Dritte, die ein Recht auf Benachrichtigung haben | Alle Bereiche | Polizeibehörden, Gerichte, Versicherungsaufsicht (BaFin), Datenschutzbehörden (z. B. LDI NRW), professionelle Mediatoren |
| Am Vertrag beteiligte – oder interessierte – Personen (keine Dienstleister) | Alle Bereiche | Beamte, Vormund, Insolvenzverwalter, Begünstigte im Rahmen eines Relyens-Vertrags, Anspruchsberechtigte |
Ort der Datenverarbeitung
Die Unternehmen der Relyens-Gruppe bevorzugen die Verarbeitung und Speicherung personenbezogener Daten in der Europäischen Union.
Ist jedoch eine Übermittlung personenbezogener Daten außerhalb der Europäischen Union notwendig, um bestimmte spezifische Verarbeitungen durchzuführen, erfolgt diese Übermittlung nur in Länder mit einem angemessenen Schutzniveau. Andernfalls erfolgt die Übermittlung personenbezogener Daten innerhalb eines geeigneten technischen und rechtlichen Rahmens und nach vorheriger Konsultation des DPO der Relyens-Gruppe.
In jedem Fall erfolgt eine solche Übermittlung in Übereinstimmung mit den Bestimmungen von Kapitel V der DSGVO: „Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen“.
Je nach ihrer Rolle im Rahmen der Verarbeitung werden diese externen Empfänger die Daten entweder als eigenständige Verantwortliche für die Verarbeitung oder als von den Unternehmen der Relyens-Gruppe ordnungsgemäß bestellte Auftragsverarbeiter gemäß den Datenschutzgesetzen verarbeiten.
Dauer der Speicherung von Daten
Die Unternehmen der Relyens-Gruppe bemühen sich, die Aufbewahrungsfristen für personenbezogene Daten so festzulegen, dass sie dem Zweck der jeweiligen Verarbeitung angemessen sind, unter Berücksichtigung der geltenden gesetzlichen Fristen und der nationalen Besonderheiten der Länder, in denen die Relyens-Gruppe ansässig ist.
Wenn die Daten ihre Aufbewahrungsfrist gemäß dem von der Relyens-Gruppe definierten Referenzsystem erreicht haben, löschen oder anonymisieren die Unternehmen der Relyens-Gruppe die Daten (ein Verfahren, das jede Möglichkeit der erneuten Identifizierung der betroffenen Person ausschließt).
Aus der folgenden Tabelle geht die maximale Aufbewahrungsdauer für personenbezogene Daten hervor, die von den Unternehmen der Relyens-Gruppe als Verantwortliche festgelegt wurde (Liste ist nicht erschöpfend):
| Zweck der Verarbeitung | Dauer der Speicherung von Daten |
| Kundenwerbung | Kundenwerbung: 3 Jahre ab dem letzten Kontakt mit dem Interessenten |
| Vorvertragliche Maßnahmen | Kostenvoranschlag (oder Angebot), der/das nicht weiterverfolgt oder abgelehnt wurde: 5 Jahre ab dem Datum des Kostenvoranschlags/Angebots |
| Abschluss und Verwaltung von Versicherungsverträgen | Gesamte Vertragsdauer, einschließlich einer etwaigen Nachhaftungsfrist, zuzüglich der gesetzlich vorgeschriebenen Fristen, d. h. 11 Jahre bei Schadenfreiheit (*) |
| Bearbeitung von Schadensfällen | Bis zur Abwicklung des Schadensfalls, zuzüglich der gesetzlich vorgeschriebenen Fristen, d. h. 30 Jahre bei Personenschäden und 10 Jahre bei Sachschäden (*) |
| Betrugsbekämpfung | Im Betrugsfall werden die Daten maximal fünf Jahre nach Klärung des Falls aufbewahrt. |
| Kontrollen im Bereich Geldwäsche/Terrorismusfinanzierung | 5 Jahre ab Durchführung der Kontrolle |
(*) Aus praktischen Gründen und aufgrund der Vielzahl der Produkte und Dienstleistungen, die in der Vergangenheit von den Unternehmen der Relyens-Gruppe vertrieben wurden, ist es im Rahmen dieser Verpflichtungserklärung nicht möglich, die verschiedenen anwendbaren Aufbewahrungsfristen erschöpfend anzugeben. Diese variieren insbesondere je nach Versicherungsprodukt, Versicherungsumfang und Schadenseintritt oder -freiheit im Rahmen des Vertrags.
Um die für eine bestimmte Datenverarbeitung geltende Aufbewahrungsfrist zu erfahren, wenden Sie sich bitte an den DPO des betreffenden Relyens-Unternehmens
Datensicherheit bei Relyens
Das Informationssystem (IS) von Relyens ist das Herzstück seines Instrumentariums für die Erbringung von Leistungen für seine Kunden. Dieses Informationssystem ist so aufgebaut, dass es eine effiziente und hochwertige Leistungserbringung gewährleistet.
Relyens verfügt über ein Team von über 100 IS-Experten, die dieses Informationssystem tagtäglich verwalten und ständig weiterentwickeln.
Das Informationssystem ist auf einer robusten und sicheren technischen Infrastruktur aufgebaut, wobei moderne und innovative Technologien zum Einsatz kommen. Die Hardware in dieser Infrastruktur wird ständig erneuert.
Die gesamte Infrastruktur wird in zwei gekreuzten Rechenzentren an zwei geografisch auseinanderliegenden Standorten gehostet. Auf dieser redundanten Infrastruktur aufbauend wird der Business Continuity Plan entwickelt und jährlich getestet, um die Kontinuität der Leistungen im Katastrophenfall oder bei einem Cyberangriff zu gewährleisten.
Sowohl die Geschäftsanwendungen für die Verwaltung als auch die Kundenbereiche werden intern entwickelt und gewartet und stützen sich auf gängige und marktführende Technologien.
Durch die Dematerialisierung aller eingehenden Briefe kann Relyens leistungsfähige Verwaltungsprozesse aufbauen.
Die Sicherheit beim Zugriff auf Informationen basiert auf einer bewährten und anerkannten Lösung für die Authentifizierung und Zugriffskontrolle sowie auf der Rückverfolgbarkeit der durchgeführten Aktionen.
Der Verantwortliche für die Sicherheit des IS betreut das Managementsystem für Informationssicherheit (ISMS), das bei Relyens eingerichtet wurde. Dieses ISMS basiert auf Sicherheitsrichtlinien, die die Organisation und die zugrunde liegenden Sicherheitsgrundsätze beschreibt. Durch interne oder externe Audits wird eine ständige Kontrolle gewährleistet, was eine regelmäßige Anpassung der Sicherheitsmaßnahmen ermöglicht.
Die Entwicklung zielt auf eine kontinuierliche Verbesserung des ISMS und eine Anpassung der Maßnahmen an die Entwicklung der IS-Risiken ab.
Ein Prozess zur Zertifizierung des ISMS nach ISO 27001 ist im Gange.
Ein ausführlicheres Dokument über die von der Gruppe ergriffenen Schutzmaßnahmen steht Kunden und Interessenten auf Anfrage zur Verfügung.
Ausübung von Betroffenenrechten gegenüber Relyens
Gesetzlich vorgeschriebene Rechte
Gemäß der geltenden Gesetzgebung haben betroffene Personen die folgenden Rechte in Bezug auf ihre personenbezogenen Daten:
| ZIEL DES RECHTS | |
| Auskunftsrecht | Recht auf Auskunft über personenbezogene Daten und auf Erhalt einer Kopie |
| Recht auf Berichtigung | Recht, die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten zu verlangen |
| Recht auf Löschung | Recht zu verlangen, dass personenbezogene Daten gelöscht werden, soweit gesetzlich zulässig |
| Recht auf Einschränkung der Verarbeitung | Recht, die Einschränkung der Verarbeitung personenbezogener Daten zu verlangen |
| Widerspruchsrecht | Recht, aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, jederzeit gegen die Verarbeitung personenbezogener Daten Widerspruch einzulegen.
Dieses Recht ermöglicht es auch, jederzeit Widerspruch gegen die Verarbeitung personenbezogener Daten für Direktwerbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. |
| Recht auf Datenübertragbarkeit | Recht, die bereitgestellten personenbezogenen Daten in bestimmten Fällen zu erhalten, oder das Recht zu erwirken, dass die personenbezogenen Daten direkt einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. |
| Widerruf der Einwilligung | Recht, die Einwilligung jederzeit zu widerrufen (bei einer Verarbeitung personenbezogener Daten, die auf der Einwilligung der betroffenen Person beruht).
Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. |
Ausübung der Rechte gegenüber Relyens
Personen, die eines der oben aufgeführten Rechte ausüben möchten, können sich an den Datenschutzbeauftragten (DPO) von Relyens wenden:
| Relyens-Unternehmen | Anschrift des DPO | E-Mail-Adresse des DPO (*) |
| Relyens Mutual Insurance (Niederlassung Deutschland) | Erkrather Str. 228b, 40233 Düsseldorf | privacy.de |
| RPS (Niederlassung Deutschland) | Erkrather Str. 228b, 40233 Düsseldorf | privacy.rps |
(*) Hängen Sie @relyens.eu an die in diesem Abschnitt angegebene Adresse an, um die E-Mail-Adresse des DPO zu vervollständigen (Anti-Spam-Maßnahme)
| WICHTIG: Diese E-Mail-Adressen sind ausschließlich für Anfragen bestimmt, die sich auf die Verarbeitung personenbezogener Daten durch die Unternehmen der Relyens-Gruppe beziehen. Bitte verwenden Sie sie nicht für einen anderen Zweck (z. B. um die Leistungsabteilung zu kontaktieren, uns Ihren Lebenslauf zu senden o.ä.), da die Anfrage dann nicht bearbeitet wird. |
Falls nötig, kann der Datenschutzbeauftragte (DPO) die betroffene Person, die ihre Rechte ausübt, auffordern, einen Nachweis ihrer Identität (z. B. Personalausweis) einzureichen.
Wenn die betroffene Person mit der Antwort der Relyens-Gruppe nicht zufrieden ist, kann sie sich an die zuständige Aufsichtsbehörde wenden (Kontaktdaten siehe Abschnitt „Vorschriften zum Schutz personenbezogener Date“ in der Präambel dieser Verpflichtungserklärung).
- Zusätzliche Informationen zur Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung der Internetseite http://www.relyens.eu/de/ entnehmen Sie bitte den weiteren Datenschutzinformationen, die unter anderem die Handhabung zur Cookie-Nutzung enthalten.
- Zusätzliche Informationen zur Verarbeitung Ihrer personenbezogenen Daten im Rahmen der Geschäftsbeziehungen mit Relyens Mutual Insurance entnehmen Sie bitte den weiteren Datenschutzhinweisen.
- Zusätzliche Informationen zur Verarbeitung Ihrer personenbezogenen Daten im Rahmen der Geschäftsbeziehungen mit Relyens Proactive Solutions (RPS) entnehmen Sie bitte den weiteren Datenschutzhinweisen.