Datenschutzinformation
Mit diesen Hinweisen informieren wir Sie gemäß Art 13 der EU-Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung Ihrer personenbezogenen Daten im Rahmen Ihrer Vertragsbeziehung mit uns (Versicherungsvertrag) und über die Ihnen zustehenden Rechte gemäß der DSGVO.
Als Versicherungsunternehmen verarbeiten wir personenbezogene Daten unter Beachtung der DSGVO, des österreichischen Datenschutzgesetzes (DSG), der datenschutzrechtlich relevanten Bestimmungen des Versicherungsvertragsgesetzes (VersVG) sowie aller weiteren maßgeblichen Gesetze.
Wir sind im Sinne der DSGVO Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten:
Grazer Wechselseitige Versicherung AG
Herrengasse 18-20, 8010 Graz
Tel. +43 316 8037 6222, service@grawe.at
Für Fragen zur Verarbeitung Ihrer Daten kontaktieren Sie bitte unseren Datenschutzbeauftragten per Post unter der o.a. Adresse mit dem Zusatz „Datenschutzbeauftragter“ oder per E-Mail unter datenschutzbeauftragter@grawe.at.
- Welche personenbezogenen Daten verarbeiten wir?
- Zu welchem Zweck und auf welcher Rechtsgrundlage verarbeiten wir personenbezogene Daten?
- An wen übermitteln wir Daten?
- Wo werden Daten gespeichert? Werden Daten an Empfänger in Drittländern übermittelt?
- Wie lange werden Daten gespeichert?
- Welche Rechte stehen Ihnen als betroffene Person nach dem Datenschutzrecht zu?
- Automatisierte Entscheidungen im Einzelfall?
1.) Welche personenbezogenen Daten verarbeiten wir?
Wir verarbeiten die von Ihnen im Versicherungsantrag angegebenen Daten (Antragsdaten), Vertragsdaten und Angaben Dritter (z.B. von Ärzten, Sachverständigen und Versicherungsvermittlern). Darunter fallen z.B. Name, Geburtsdatum, Adresse, Polizzennummer, Daten über das versicherte Interesse (je nach Versicherungssparte Kfz, Gebäude, versicherte Person, etc.), Versicherungssumme, Vertragslaufzeit, Versicherungsprämie und Bankverbindung.
Bei Eintritt eines Schadens ermitteln und verarbeiten wir zusätzlich Ihre Angaben zum Versicherungsfall (z.B. Schadendatum, Schadensursache, Fotos) sowie die Leistungsdaten (z.B. Höhe der Versicherungsleistung, Bankverbindung). Das können – soweit erforderlich – auch Angaben von Dritten sein, die mit der Feststellung des Leistungsfalles beauftragt sind (z.B. Sachverständige), dazu Auskunft geben können (Behörden, Zeugen, etc.) oder im Zusammenhang mit der Leistungserbringung stehen (Reparaturwerkstätten, Handwerker, Ärzte, Krankenhäuser, etc.).
Wir erfassen nur die notwendigen Daten, das heißt, dass im Einzelfall auch mit weniger als den oben beschriebenen Daten das Auslangen gefunden werden kann.
Der Abschluss bzw. die Durchführung von Versicherungsverträgen ist ohne die Verarbeitung Ihrer personenbezogenen Daten nicht möglich. Sollten Sie uns diese Daten nicht oder nicht im vollständigen Umfang bereitstellen, so können wir das von Ihnen gewünschte Versicherungsverhältnis unter Umständen nicht begründen oder Ansprüche aus einem Versicherungsvertrag nicht beurteilen und erfüllen.
2.) Zu welchem Zweck und auf welcher Rechtsgrundlage verarbeiten wir personenbezogene Daten?
a) Durchführung vorvertraglicher Maßnahmen sowie Erfüllung des Versicherungsvertrages (Rechtsgrundlage: Art 6 Abs 1 lit b DSGVO)
Wenn Sie einen Antrag auf Abschluss eines Versicherungsvertrags stellen, benötigen wir Ihre Angaben am Versicherungsantrag zur Prüfung des von uns zu übernehmenden Risikos. Kommt der beantragte Versicherungsvertrag zustande, verarbeiten wir diese Daten zur Verwaltung des Vertragsverhältnisses, z.B. zur Polizzierung und Prämienvorschreibung. Bei Eintritt eines Schadens verarbeiten wir zusätzliche Angaben zum Versicherungsfall, um den Umfang und die Höhe unserer Leistungspflicht prüfen und die vertraglich geschuldete Versicherungsleistung auszahlen zu können.
Spezielle gesetzliche Grundlagen für die Verarbeitung von Gesundheitsdaten:
In bestimmten Versicherungssparten ist die Verarbeitung von Gesundheitsdaten der versicherten Person oder des Geschädigten erforderlich (insbesondere in der Kranken-, Lebens- und Unfallversicherung sowie in der Haftpflichtversicherung bei der Abwicklung von Personenschäden). Die rechtliche Basis für diese Verarbeitung bilden §§ 11a - 11c VersVG iVm Art 9 Abs 2 lit g und h sowie Abs 4 DSGVO iVm Art 6 Abs 1 lit b DSGVO. Demnach dürfen wir Gesundheitsdaten zu folgenden Zwecken verarbeiten:
- zur Beurteilung, ob und zu welchen Bedingungen ein Versicherungsvertrag abgeschlossen oder geändert werden kann,
- zur Verwaltung bestehender Versicherungsverträge, und
- zur Beurteilung und Erfüllung von Ansprüchen aus einem Versicherungsvertrag.
Wir dürfen zu diesen Zwecken Gesundheitsdaten – auch ohne Vorliegen einer Einwilligung – an die in § 11c Abs 1 VersVG genannten Empfänger übermitteln (z.B. Gesundheitsdienstleister, Sachverständige, Sozialversicherungsträger, Mit- und Rückversicherer).
In der Krankheitskostenversicherung (§ 178b Abs 1 VersVG) dürfen wir gemäß § 11b Abs 2 VersVG für Zwecke der Direktverrechnung – auch ohne Vorliegen einer Einwilligung – Gesundheitsdaten des Betroffenen von Gesundheitsdienstleistern (z.B. Krankenhaus) einholen, sofern der Betroffene dem Gesundheitsdienstleister einen Auftrag zur Direktverrechnung erteilt hat.
Ist die Verarbeitung von Gesundheitsdaten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich (z.B. bei Leistungsfällen in der Haftpflichtversicherung), verarbeiten wir diese auf Basis von Art 9 Abs 2 lit f DSGVO.
b) Einwilligung (Rechtsgrundlage: Art 6 Abs 1 lit a bzw. Art 9 Abs 2 lit a DSGVO, § 11a VersVG)
Wir verarbeiten Gesundheitsdaten auf Basis einer Einwilligung, sofern diese Verarbeitung nicht auf Basis der oben genannten gesetzlichen Regelungen durchgeführt werden kann. Dies betrifft etwa die Einwilligung zur Ermittlung von Gesundheitsdaten bei Dritten zur Beurteilung, ob und zu welchen Bedingungen ein Versicherungsvertrag abgeschlossen oder geändert werden kann, sowie die Einwilligung zur Beurteilung und Erfüllung von Ansprüchen aus einem konkreten Versicherungsfall (§ 11a Abs 2 Z 3 und Z 4 VersVG).
Eine erteilte Einwilligung können Sie jederzeit widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
c) Verarbeitungen aufgrund rechtlicher Verpflichtungen (Rechtsgrundlage: Art 6 Abs 1 lit c DSGVO)
Wir verarbeiten Ihre personenbezogenen Daten zur Erfüllung gesetzlicher Verpflichtungen. Dazu zählen insbesondere:
- aufsichtsrechtliche Vorgaben gemäß dem Versicherungsaufsichtsgesetz 2016 (VAG 2016) und den diesbezüglichen Anforderungen der Finanzmarktaufsichtsbehörde (z.B. Erhebung von Wünschen und Bedürfnissen der Kunden im Rahmen der Beratungspflichten gemäß § 131 VAG 2016, Erfüllung von Informationspflichten gemäß §§ 135c – 135e VAG 2016, Erfüllung von Meldepflichten)
- versicherungsvertragsrechtliche Bestimmungen des VersVG (z.B. Verpflichtung zur Ausstellung einer Versicherungspolizze gemäß § 3 Abs 1 VersVG),
- unternehmens- und steuerrechtliche Vorgaben (z.B. Erfüllung von Aufbewahrungspflichten gemäß § 212 UGB und § 132 BAO),
- sanktionsrechtliche Verpflichtungen (z.B. Abgleich von Kundendaten mit offiziellen Sanktionslisten der EU)
- gesetzliche Vorgaben für die Administration des Kfz-Zulassungsgeschäfts als behördlich beliehener Versicherer (§§ 40a und 40b KFG 1967, Zulassungsstellenverordnung)
Im Lebensversicherungsbereich verarbeiten wir zudem Daten über Ihre steuerliche Ansässigkeit zur Erfüllung unserer Meldepflichten an Finanzbehörden aufgrund des Gemeinsamer Meldestandard Gesetzes (GMSG) und aufgrund des Staatsvertrags mit den USA über den Foreign Account Tax Compliance Act (FATCA). Darüber hinaus sind wir nach dem Finanzmarkt-Geldwäschegesetz (FM-GwG) verpflichtet, Sorgfaltspflichten zur Verhinderung von Geldwäscherei und Terrorismusfinanzierung zu erfüllen. Auch dazu verarbeiten wir Ihre personenbezogenen Daten (z.B. Identitätsdaten, Daten über berufliche Tätigkeit und Herkunft der Vermögenswerte).
Wir verarbeiten darüber hinaus die zur Erledigung und Dokumentation von Betroffenenrechten (Art 12 - 23 DSGVO) notwendigen personenbezogenen Daten.
d) Marketingaktivitäten (Rechtsgrundlage: Art 6 Abs 1 lit a und f DSGVO)
Wir verarbeiten Ihre Daten auch zur Bewerbung unserer eigenen Produkte und Produkte unserer Kooperationspartner. Für eine auf Ihre Kundenbedürfnisse besser abgestimmte Werbung oder Angebotslegung verknüpfen und analysieren wir die für unsere Marketingzwecke relevanten Daten und senden Ihnen z.B. per Post Zusatzangebote zu bestehenden Versicherungsverträgen und allgemeine Informationen über unser Produktangebot. Unser berechtigtes Interesse besteht darin, unseren Kunden auf deren Kundenbedürfnisse abgestimmte Versicherungsprodukte anzubieten. Sie haben das Recht, einer Verarbeitung Ihrer personenbezogenen Daten zu Zwecken der Direktwerbung zu widersprechen.
Sofern Sie uns dazu eine entsprechende Einwilligung erteilt haben, können wir Ihnen auch per E-Mail Werbung z.B. in Form von Newslettern und Informationen über unsere Versicherungsprodukte übermitteln.
e) Wahrung berechtigter Interessen (Rechtsgrundlage: Art 6 Abs 1 lit f DSGVO)
Ihre Daten verarbeiten wir auch, um berechtigte Interessen von uns oder Dritten zu wahren. Dies kann insbesondere erforderlich sein für
- die Geltendmachung oder Abwehr von Rechtsansprüchen;
- die Gewährleistung der IT-Sicherheit und des IT-Betriebs einschließlich Tests (sofern nicht bereits für die Vertragsdurchführung erforderlich);
- die Erstellung versicherungsspezifischer Statistiken, z.B. zur Entwicklung neuer Tarife im Rahmen des Produktentwicklungsprozesses;
- die Verhinderung und Aufklärung von Straftaten, insbesondere zur Erkennung von Hinweisen, die auf Versicherungsmissbrauch oder -betrug hindeuten können.
f) Fahrzeugdatenbank in der Kfz-Versicherung (Rechtsgrundlage: Art 6 Abs 1 lit b und f DSGVO)
Österreichische Kfz-Versicherer betreiben als gemeinsam Verantwortliche eine vom Auftragsverarbeiter Audatex Österreich GmbH geführte Fahrzeugdatenbank („GDH-Datenbank“). Die teilnehmenden Versicherer haben eine entsprechende Vereinbarung nach Art 26 DSGVO abgeschlossen. Zweck der Datenverarbeitung ist die Kfz-bezogene Dokumentation von Unfallschäden zur Gutachtenserstellung im Versicherungsfall. Die Datenbank ermöglicht die Abfrage von Informationen über etwaige Vorschäden eines Fahrzeugs, damit diese bei der Erstellung eines Kfz-Schadengutachtens korrekt berücksichtigt werden können. Die Informationen über Fahrzeugschäden sind anhand der "Vehicle Identification Number" (VIN) dem jeweiligen Kfz zugeordnet. Sonstige personenbezogene Daten des Fahrzeughalters werden nicht gespeichert.
Jeder gemeinsam Verantwortliche kommt den Pflichten, die sich aus der DSGVO ergeben, nach. Betroffenenrechte können gegenüber allen teilnehmenden Versicherern geltend gemacht werden. Die Erledigung dieser Begehren obliegt grundsätzlich jedem gemeinsam Verantwortlichen in jenem Ausmaß und hinsichtlich jener Daten, die er in die Datenbank eingepflegt oder abgerufen hat. Die gemeinsam Verantwortlichen wirken bei der Erledigung dieser Begehren im erforderlichen Ausmaß zusammen.
g) Einrichtungen der Versicherungswirtschaft beim VVO
Die österreichische Versicherungswirtschaft zieht den Verband der Versicherungsunternehmen Österreichs (VVO), Schwarzenbergplatz 7, 1030 Wien, als datenschutzrechtlichen Auftragsverarbeiter für den Betrieb mehrerer zentraler technischer und organisatorischer Services heran.
i. Kfz-Zulassungsevidenz (Rechtsgrundlage: Art 6 Abs 1 lit c DSGVO, §§ 40a, 40b, 61 KFG 1967)
Im Rahmen des Betriebs der Kfz-Haftpflichtversicherung sind wir als mit der Zulassung beliehenes Unternehmen zur Teilnahme an der Kfz-Zulassungsevidenz verpflichtet. Im Zusammenhang mit der Bekanntgabe über das Bestehen oder Nichtbestehen des Kfz-Haftpflicht-Versicherungsschutzes werden Daten von Zulassungsbesitzern (z.B. Name, Geburtsdatum, Daten zur Kfz-Haftpflichtversicherung, Fahrzeugdaten) in der zentralen Zulassungsevidenz der Gemeinschaftseinrichtung der zum Betrieb der Kraftfahrzeug-Haftpflichtversicherung berechtigten Versicherer verarbeitet.
ii. Mitversicherungsverrechnung (Rechtsgrundlage: Art 6 Abs 1 lit b DSGVO)
Die teilnehmenden Versicherungsunternehmen tauschen auf bilateralem Weg im Rahmen eines standardisierten Datentransfers die zur Abrechnung einer bestehenden Mitversicherung notwendigen Prämien- und Schadeninformationen aus.
iii. Bonus-Malus-System (Rechtsgrundlage: Art 6 Abs 1 lit f DSGVO)
Sofern Ihr Kfz-Haftpflicht-Vertrag dem Bonus-Malus-System unterliegt, werden Daten zu Ihrer eventuell bestehenden Bonus-Malus-Stufe beim Vorversicherer eingeholt. Damit wird eine korrekte Einstufung im Bonus-Malus-System entsprechend dem bisherigen Schadenverlauf sichergestellt. Bei Beendigung Ihres Vertrages wird Ihre zuletzt gültige Bonus-Malus-Stufe an das Bonus-Malus-Auskunftssystem übermittelt und dort gespeichert.
iv. Zentrales Informationssystem in der Lebensversicherung (Rechtsgrundlage: Art. 6 Abs 1 lit f DSGVO)
Zur Verhinderung, dass Versicherungswerber zu Bedingungen versichert werden und Versicherungsnehmer Leistungen zu Bedingungen erhalten, die nicht im Einklang mit dem Risikoausgleich der Versichertengemeinschaft stehen, kann im Falle einer dauerhaften oder vorübergehenden Ablehnung eines Versicherungsantrags, einer potentiellen Annahme des Antrags unter erschwerten Bedingungen, eines Abschlusses einer Berufsunfähigkeitsversicherung mit mehr als EUR 9.000 versicherter Jahresrente oder einer vorzeitigen Vertragsbeendigung aufgrund einer Verletzung der Anzeigepflicht des Versicherungsnehmers bzw. Antragstellers eine Einmeldung in das System (registriertes Informationsverbundsystem gemäß § 50 DSG 2000 iVm § 69 Abs 9 DSG 2018) erfolgen.
v. „LET-Tilgungsträgerdatenbank“ (Rechtsgrundlage: Art 6 Abs 1 lit f DSGVO)
Die „LET-Tilgungsträgerdatenbank“ dient dem automatisieren Datenaustausch zwischen Versicherungsunternehmen und Kreditinstituten über Lebensversicherungen, die zur Kreditbesicherung verwendet werden. Die Vertragsdaten dieser Lebensversicherungen werden zur Sicherstellung der Werthaltigkeit und ihrer ordnungsgemäßen Bedienung (gemäß § 39 BWG) vom Kreditinstitut abgefragt.
vi. Schlichtungsstelle Krankenversicherung (Rechtsgrundlage: Art 6 Abs 1 lit b iVm Art 9 Abs 2 lit f DSGVO, §§ 11b und 11c VersVG)
Zwischen den österreichischen Krankenversicherern und Krankenanstaltenträgern bzw. Ärztekammern bestehen Vereinbarungen über die Einrichtung einer Schlichtungsstelle. Diese ist gemäß der Schlichtungsordnung zur Verhandlung und Entscheidung von Meinungsverschiedenheiten über Direktverrechnungsansprüche aus der Krankheitskostenversicherung (§ 11b VersVG) zuständig. Grundlage hierfür sind Direktverrechnungsverträge zwischen den Krankenversicherern und deren Vertragspartnern (Krankenanstaltenträgern bzw. Ärztekammern) sowie das vom Gesetzgeber anerkannte Konzept der Schlichtung (§ 11c Abs 1 Z 6 VersVG). Die Übermittlung von Unterlagen zu Leistungsfällen an die Schlichtungsstelle dient der Verteidigung von Rechtsansprüchen im Rahmen der Leistungsabwicklung. Der VVO koordiniert auf Grundlage und in Anwendung der Schlichtungsordnungen die Verhandlungen. In diesem Zusammenhang erhält der VVO als Auftragsverarbeiter Unterlagen, welche personenbezogene Daten (inkl. Gesundheitsdaten) enthalten.
Die Krankenversicherer legen dabei einander weder personenbezogene Daten offen, noch tauschen sie diese untereinander aus oder verarbeiten sie gemeinsam. Jedoch stellen sie in Schlichtungsverfahren dem Entscheidungsgremium der Schlichtungsstelle bedarfsbezogen ihre Mitarbeiter als unabhängige Fachexperten zur Verfügung. Zur Sicherstellung, dass damit keine Verarbeitung von personenbezogenen Daten des Schlichtungsfalls durch jenen Krankenversicherer bewirkt wird, welcher die Mitarbeiter zur Verfügung stellt, haben die Krankenversicherer eine Vereinbarung über eine gemeinsame Verantwortlichkeit nach Art 26 DSGVO abgeschlossen. Jeder gemeinsam Verantwortliche kommt dabei den Pflichten, die sich aus der DSGVO ergeben, nach. Als Anlaufstelle für Anfragen von Personen, die Informationen über die Verarbeitung ihrer Daten in der Schlichtungsstelle durch entsandte Mitarbeiter erhalten möchten, fungiert jener Krankenversicherer, der den anfragegegenständlichen Mitarbeiter entsandt hat.
Sollten wir Ihre personenbezogenen Daten für einen oben nicht genannten Zweck verarbeiten wollen, werden wir Sie im Rahmen der gesetzlichen Bestimmungen darüber informieren.
3.) An wen übermitteln wir Daten?
Im Versicherungsbetrieb ist es notwendig, dass wir personenbezogene Daten an verschiedene externe Empfänger übermitteln. Die externen Empfänger sind entweder eigenständig Verantwortliche oder Auftragsverarbeiter iSd DSGVO. Eigenständig Verantwortliche sind für die Einhaltung der Verpflichtungen der DSGVO selbst verantwortlich. Auftragsverarbeiter verarbeiten Daten auf Basis einer mit uns abgeschlossenen Auftragsverarbeitervereinbarung iSd Art 28 DSGVO. Bei der untenstehenden Kategorisierung handelt es sich um eine typisierende Betrachtung; abhängig von den tatsächlichen Verhältnissen und den vertraglichen Grundlagen können die genannten Empfänger in Einzelfällen auch in einer anderen datenschutzrechtlichen Rolle tätig sein.
Je nach Anlassfall kann eine Übermittlung an die nachstehenden Empfängerkategorien insbesondere zu den jeweils angeführten Zwecken erforderlich sein:
a) Empfänger als eigenständig Verantwortliche
Empfängerkategorie | Übermittlungszweck |
Rückversicherer | Rückversicherung der von uns übernommenen Risiken (Risikobeurteilung und Prüfung von rückversicherten Schadenfällen durch den Rückversicherer) |
Mitversicherer | Risikoteilung durch teilweise Übernahme von großen Risiken durch mehrere (Mit-)Versicherer (Risikobeurteilung und Abwicklung von Schadenfällen, an denen der Mitversicherer beteiligt ist), Mitversicherungsverrechnung |
(Andere) Versicherer | Einstufung im Bonus-Malus-System (Kfz-Versicherung), Regulierung von Ansprüchen im Falle einer Doppelversicherung (§ 59 VersVG), Geltendmachung von Regress- und Ausgleichsansprüchen (z.B. gegenüber einem Haftpflichtversicherer nach gesetzlichem Forderungsübergang gemäß § 67 VersVG) |
Selbstständige Versicherungsvermittler | Betreuung und Beratung in Versicherungsangelegenheiten (auf Basis einer entsprechenden Vollmacht) |
Abtretungs-, Pfand- und Vinkulargläubiger | Sicherstellung von Rechten an Versicherungsverträgen auf Basis vertraglicher Vereinbarungen zwischen Gläubiger (z.B. Leasinggeber, Kreditgeber, Hypothekargläubiger) und Versicherungsnehmer |
Sachverständige, Gutachter | Erstellung von Sachverständigengutachten (v.a. in Schadenfällen) |
Professionisten, Werkstätten | Durchführung von Schadenbehebungen (z.B. Reparatur von Gebäude- und Kfz-Schäden) |
Rechtsanwälte | Geltendmachung oder Abwehr von Rechtsansprüchen, Erfüllung des Versicherungsvertrags (Rechtsschutzversicherung) |
Banken, Kreditinstitute | Abwicklung des Zahlungsverkehrs (z.B. Einzug von Versicherungsprämien) |
Notare, Gerichtskommissäre | Durchführung von Verlassenschaftsverfahren |
Insolvenzverwalter | Durchführung von Insolvenzverfahren |
Gerichte, Staatsanwaltschaft, Finanzbehörden, Aufsichtsbehörden | Erfüllung von gesetzlichen Verpflichtungen (z.B. Auskunfts- und Meldepflichten) |
Schadenregulierungsbeauftragte | Regulierung von Kfz-Haftpflichtschäden gemäß § 100 VAG 2016 |
Gesundheitsdienstleister Sozialversicherungsträger | Risikoprüfung sowie Erfüllung des Versicherungsvertrages Risikoprüfung bzw. Prüfung von Leistungsansprüchen, Geltendmachung von Regressforderungen |
Schlichtungsstellen | außergerichtliche Regulierung von strittigen Ansprüchen (z.B. Schlichtungsstelle in der Krankenversicherung) |
b) Empfänger als Auftragsverarbeiter
Empfängerkategorie | Übermittlungszweck |
Druckdienstleister | Druck und Kuvertierung von Poststücken |
IT-Dienstleister | Unterstützung bei Betrieb und Wartung unseres Rechenzentrums sowie unserer IT-Systeme, Entwicklung und Betreuung von Software |
Aktenvernichter | Fachgerechte Entsorgung von Papierakten und Datenträgern |
Assistance-Dienstleister | Organisation vertraglich vereinbarter Notfall-, Hilfe-, Problemlösungs- und Serviceleistungen (z.B. in der Reise- und Auslandskrankenversicherung sowie bei Assistance.Produkten wie GRAWE-mobil, GRAWE-help und GRAWE-Unfall-SOS) |
Serviceunternehmen zur Betreuung von Kooperationspartnern | Organisation und Abwicklung von Buchungen vertraglich vereinbarter Fitness- und Vorsorgeleistungen bei Kooperationspartnern in der Krankenversicherung (z.B. Hotels, Fitnesscenter, Mentaltrainer) |
4.) Wo werden Daten gespeichert? Werden Daten an Empfänger in Drittländern übermittelt?
Die im Rahmen des Versicherungsbetriebs verarbeiteten Daten werden in unserem unternehmenseigenen Rechenzentrum in Graz gespeichert. Das Rechenzentrum entspricht den Standards der Norm ISO 27.001 und ist gemäß dem TÜV Trusted-Data-Center Standard der TÜV AUSTRIA GmbH zertifiziert.
Sollten wir personenbezogene Daten an Empfänger außerhalb des Europäischen Wirtschaftsraumes (EWR) übermitteln, erfolgt die Übermittlung grundsätzlich nur, soweit dem Drittland durch die EU-Kommission ein angemessenes Datenschutzniveau bestätigt wurde oder andere angemessene Datenschutzgarantien (z.B. verbindliche unternehmensinterne Datenschutzvorschriften oder EU-Standardvertragsklauseln) vorhanden sind. Im Einzelfall können wir Daten an Empfänger in Drittländern gemäß Art 49 Abs 1 DSGVO auch zum Zwecke der Erfüllung des jeweiligen Versicherungsvertrages (lit b und c) – insbesondere im Zusammenhang mit der Abwicklung von Leistungsfällen in Drittländern – oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (lit e) übermitteln.
5.) Wie lange werden Daten gespeichert?
Wir bewahren personenbezogene Daten unter Berücksichtigung der rechtlichen Rahmenbedingungen (insbesondere DSGVO, VersVG und VAG 2016) solange auf, wie dies zur Erreichung der nachstehenden Zwecke erforderlich ist.
a) Aufbewahrung vorvertraglicher Daten
Wir verarbeiten – bereits vor Abschluss eines Versicherungsvertrags – im Antragsprozess Daten aus Versicherungsanträgen sowie aus weiteren damit zusammenhängenden Dokumenten (z.B. Beratungsprotokolle), um beurteilen zu können, ob und zu welchen Bedingungen ein Versicherungsvertrag geschlossen werden kann. Sofern kein Versicherungsvertrag zustande kommt, bewahren wir diese Dokumente aus dem Antragsprozess samt den darin enthaltenen Daten inklusive gesundheitsbezogener Angaben 3 Jahre auf. Diese Aufbewahrung dient zum einen dem Nachweis der Erfüllung der aufsichtsrechtlichen Informations- und Beratungspflichten (§§ 130 bis 133 sowie §§ 135a bis 135c VAG 2016). Zum anderen können Kunden innerhalb der gesetzlichen Verjährungsfristen (3 Jahre gemäß § 1489 ABGB) Schadenersatzansprüche geltend machen, auch wenn in der Folge kein Versicherungsvertrag zustande gekommen ist (z.B. allfällige Ansprüche aus Beratungshaftung), sodass wir diese Dokumente auch zwecks Erfüllung bzw. Abwehr von Rechtsansprüchen aufbewahren.
b) Aufbewahrung während aufrechter Vertragsbeziehung
Versicherungsverträge haben in der Regel eine Laufzeit von zumindest 10 Jahren. Das bedeutet, dass für einen längeren Zeitraum Leistungen und Gegenleistungen erbracht werden. Während der Dauer eines Versicherungsvertrags verarbeiten wir Daten zur Vertragserfüllung und bewahren diese bis zum Ende der Vertragsbeziehung auf. Dabei handelt es sich etwa um Daten zur kalkulierten Prämienhöhe, zum versicherten Risiko, zum Deckungsumfang sowie zur Schaden- und Leistungsabwicklung (Leistungshistorie). Diese benötigen wir etwa für die Entscheidung über vertragliche Anpassungen (z.B. Änderung des versicherten Risikos oder des Deckungsumfangs) und über die Fortsetzung von Versicherungsverträgen.
c) Aufbewahrung nach Vertragsende
Wir bewahren Daten aus Versicherungsverträgen auch über deren Ende hinaus auf. Diese Aufbewahrung dient der Erfüllung gesetzlicher Aufbewahrungspflichten (z.B. 7 Jahre gemäß § 212 UGB oder § 132 BAO). Darüber hinaus speichern wir die Daten aus dem Versicherungsverhältnis, solange die Geltendmachung von Rechtsansprüchen aus dem Versicherungsverhältnis möglich ist, zum Zweck der Erfüllung bzw. Abwehr von Rechtansprüchen. In Anwendung der absoluten Verjährungsfrist des Versicherungsvertragsgesetzes (§ 12 VersVG) bewahren wir die Daten grundsätzlich 10 Jahre nach Vertragsende auf. In bestimmten Konstellationen (z. B. in der Haftpflichtversicherung, der Rechtsschutzversicherung und bei bereicherungsrechtlichen Ansprüchen) können Ansprüche gegen uns nach oberstgerichtlicher Rechtsprechung oder bei vertraglich vereinbarter zeitlich unbegrenzter Nachhaftung bzw. Nachdeckung bis zu 30 Jahre nach Vertragsende oder noch länger geltend gemacht werden. In diesen Fällen müssen wir die Daten aus dem zugrundeliegenden Versicherungsvertrag daher mindestens 30 Jahre aufbewahren, um Unterlagen zur Erfüllung bzw. Abwehr von Rechtansprüchen vorlegen zu können.
Unabhängig von den oben genannten Fristen ist die Löschung von Daten in bestimmten Fällen vorläufig ausgesetzt, z.B. wenn diese in gerichtlichen, außergerichtlichen oder verwaltungsbehördlichen Verfahren relevant sind. Dabei richtet sich die konkrete Speicherdauer nach dem jeweiligen Einzelfall.
6.) Welche Rechte stehen Ihnen als betroffene Person nach dem Datenschutzrecht zu?
Sie haben als betroffene Person nach Art 15 - 22 DSGVO folgende Rechte gegenüber dem Verantwortlichen in Bezug auf die zu Ihrer Person gespeicherten Daten:
- Recht auf Auskunft
- Recht auf Berichtigung unrichtiger oder unvollständiger Daten
- Recht auf Löschung unrechtmäßig verarbeiteter Daten
- Recht auf Einschränkung der Verarbeitung
- Widerspruchsrecht gegen die Verarbeitung (nur bei berechtigtem Interesse)
- Recht auf Datenübertragbarkeit der bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format
Wenn die Verarbeitung auf einer Einwilligung beruht, haben Sie als betroffene Person das Recht, die Einwilligung jederzeit zu widerrufen. Dies hat zur Folge, dass wir Ihre Daten – sofern nicht ein anderer Grund für eine rechtmäßige Verarbeitung vorliegt – nicht weiter verarbeiten dürfen. Ein solcher Widerruf berührt die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht.
Die betroffenen Personen müssen sich identifizieren und zur Identifikation beitragen, damit sichergestellt ist, dass die Antwort auch tatsächlich an die betroffene Person adressiert wird.
Sie haben ein Beschwerderecht bei der österreichischen Datenschutzbehörde als Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt.
7.) Automatisierte Entscheidungen im Einzelfall?
Im Rahmen der oben beschriebenen Datenverarbeitungen werden keine ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidungen (Art 22 DSGVO) getroffen.
Stand April 2024