Datenschutz
CareMed International Insurance
Schutz der Privatsphäre und Sicherheit von personenbezogenen Daten
Der Schutz und die Sicherheit deiner persönlichen Daten ist uns sowohl ein besonderes Anliegen als auch unsere Pflicht. Als Unternehmen und Versicherungsvermittler achten wir stets auf einen sorgfältigen und dem Datenschutz konformen Umgang mit personenbezogenen Daten.
Unsere Anwendungen stehen im Einklang mit den Bestimmungen der EU Datenschutzgrundverordnung DSGVO sowie weiterer bereichsspezifischer Vorschriften des Datenschutzes im Internet.
Alle unsere Mitarbeiter sind zur Einhaltung des Bundesdatenschutzgesetzes verpflichtet.
Geltungsbereich
Diese Datenschutzerklärung klärt Nutzer über die Art, den Umfang und den Zweck der Erhebung und Verwendung personenbezogener und besonderer personenbezogener Daten durch den verantwortlichen Versicherungsvermittler CareMed GmbH, Budapester Str. 4, 53111 Bonn, im Folgenden der Anbieter, auf dieser Website auf.
Die rechtlichen Grundlagen des Datenschutzes finden sich in der Datenschutz-Grundverordnung (DSGVO) und im BDSG (neu) 2018.
Zugriffsdaten/ Server-Logfiles
Nach Einwilligung des Website-Besuchers erhebt der Anbieter Daten.
Zu den Zugriffsdaten gehören:
Name der abgerufenen Website, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL, IP-Adresse und der anfragende Provider.
Der Anbieter verwendet die Protokolldaten nur für statistische Auswertungen zum Zweck des Betriebs, der Sicherheit und der Optimierung des Angebotes. Diese Daten werden anonymisiert erfasst und sind somit nicht bestimmten Personen zuordenbar. Der Anbieter behält sich jedoch vor, die Protokolldaten nachträglich zu überprüfen, wenn aufgrund konkreter Anhaltspunkte der berechtigte Verdacht einer rechtswidrigen Nutzung besteht. Die Server-Logfiles werden nach spätestens 10 Tagen gelöscht.
Umgang mit personenbezogenen Daten
Personenbezogene Daten sind Informationen, mit deren Hilfe eine Person bestimmbar ist, also Angaben, die zurück zu einer Person verfolgt werden können. Dazu gehören Name, E-Mail-Adresse oder Telefonnummer und postalische Adresse.
Personenbezogene Daten werden von CareMed nur dann erhoben, gespeichert, genutzt und an die Versicherer, Rückversicherer, Schadenbüros und Assistance weiter gegeben, wenn dies gesetzlich erlaubt und notwendig zur Schadenbearbeitung ist oder die Nutzer in die Datenerhebung einwilligen.
Erhebung personenbezogener/besonderer personenbezogener Daten im Rahmen einer Online-Angebotsanfrage
CareMed bietet an, sich direkt über die Internetseite von CareMed über die von CareMed angebotenen Versicherungen zu erkundigen und diese kostenpflichtig abzuschließen. Bei der Online-Angebotsanfrage werden zur Vorbereitung eines passenden Angebotes personenbezogene Daten des Interessenten und gegebenenfalls der Erziehungsberechtigten benötigt und erhoben. Insbesondere werden Kontaktdaten (Name, Adresse, E-Mail-Adresse, Geburtsdatum, Heimatland, Reiseziel) erhoben. Nach Ablauf der Versicherung können die Kontaktdaten eines Kunden für E-Mailings weiterverwendet werden. Hat ein Interessent kein Interesse, weiter kontaktiert zu werden und widerruft seine Einwilligung zur Weiternutzung seiner Daten, so erfolgt auf Wunsch des Interessenten die Löschung seiner Kontaktdaten.
Des Weiteren benötigt CareMed für die Vermittlung von Versicherungen im Falle einer Anschlussversicherung oder eines Versicherungsantrags nach Ausreise aus dem Heimatland nach 31 Tagen noch besondere personenbezogene Daten im Sinne von ART 9(1) DSGVO. Insbesondere erhebt CareMed Daten zum Gesundheitszustand (Vorerkrankungen). Diese Daten sind nur zur Prüfung eines möglichen Versicherungsabschlusses gemäß den Versicherungsbedingungen notwendig. Die Erhebung dient somit auch dem Schutz des Antragstellers, um eventuell besondere Vorkehrungen im Falle einer Schadenbearbeitung durch den Versicherer zu gewährleisten.
In dem schriftlichen Versicherungsantrag holt CareMed zusätzlich eine ausdrückliche Zustimmung nach ART 9(2) a) DSGVO ein, um diese Daten weiter verarbeiten zu dürfen. Diese Zustimmungserklärung ist von dem Antragsteller und zusätzlich von den Erziehungsberechtigten zu unterschreiben. Nach Ablauf der Aufbewahrungspflicht von 10 Jahren gemäß § 257 HGB, § 147 AO und H 5.2 EStH werden die besonderen personenbezogen Daten von CareMed gelöscht.
Die im Antragsformular erhobenen Daten werden in einer internen Kundendatenbank von CareMed gespeichert. Eine Weitergabe der Daten erfolgt an die Versicherer, Rückversicherer, Schadenbüros und an die Assistance und nur soweit es dem Zweck der Vermittlung von Versicherungen dient.
Bei der Übermittlung von Daten an Dritte achtet CareMed auf eine sichere Datenübertragung.
Bei der Zusammenarbeit mit den Versicherern gilt zusätzlich Folgendes:
Um die Qualität unserer Vermittlungsarbeit sicher zu stellen, werden regelmäßig Audits intern und von den Versicherungspartnern beauftragten externen Datenschutzbeauftragten und Versicherungsfachleuten durchgeführt.
Erhebung von personenbezogenen Daten außerhalb einer Online-Anfrage
Kontaktaufnahme
Bei der Kontaktaufnahme mit dem Anbieter (zum Beispiel per Kontaktformular, E-Mail oder persönlich im Rahmen von Veranstaltungen wie Messen, Workshops und Konferenzen) werden die Angaben des Nutzers zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert. Diese werden nicht an Dritte weitergegeben.
E-Mail Versand
Die von CareMed verschickten E-Mails sind über eine TSL Verschlüsselung abgesichert. Wir weisen darauf hin, dass eine Verschlüsselung nur möglich ist, wenn beide Seiten ein Verschlüsselungsverfahren einsetzen. Nur dann ist ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte möglich.
Newsletter
Mit dem Newsletter informieren wir dich über uns und unsere Angebote. Wenn du den Newsletter empfangen möchtest, benötigen wir von dir eine valide E-Mail-Adresse sowie Informationen, die uns die Überprüfung gestatten, dass du der Inhaber der angegebenen E-Mail-Adresse bist bzw. deren Inhaber mit dem Empfang des Newsletters einverstanden ist. Weitere Daten werden nicht erhoben. Diese Daten werden nur für den Versand der Newsletter verwendet und werden nicht an Dritte weiter gegeben. Mit der Anmeldung zum Newsletter speichern wir die von dir eingetragenen Daten und das Datum der Anmeldung. Diese Speicherung dient alleine dem Nachweis im Fall, dass ein Dritter eine E-Mailadresse missbraucht und sich ohne Wissen des Berechtigten für den Newsletter-Empfang anmeldet.
Deine Einwilligung zur Speicherung der Daten, der E-Mail-Adresse sowie deren Nutzung zum Versand des Newsletters kannst du jederzeit widerrufen. Der Widerruf kann über einen Link in den Newslettern selbst, oder per Mitteilung an die unten stehende Adresse erfolgen.
Webinar / Tutorial
Wenn du an einem unserer Webinare/Tutorials teilnehmen möchtest, benötigen wir von dir deine Anrede, deinen Vor- und Nachnamen, eine valide E-Mail-Adresse, das gewünschte Programm und das geplante Zielland sowie Informationen, die uns die Überprüfung gestatten, dass du der Inhaber der angegebenen E-Mail-Adresse bist bzw. deren Inhaber mit dem Empfang der Einladung zur Registrierung und Teilnahme an dem Webinar einverstanden ist. Weitere Daten werden nicht erhoben. Diese Daten werden nur für den Versand der Einladung zum Webinar/Tutorial verwendet und nicht an Dritte weiter gegeben. Mit der Anmeldung zum Webinar speichern wir die von dir eingetragenen Daten und das Datum der Anmeldung. Diese Speicherung dient alleine dem Nachweis im Fall, dass ein Dritter eine E-Mailadresse missbraucht und sich ohne Wissen des Berechtigten für den Empfang der Einladung zum Webinar/Tutorial anmeldet.
Deine Einwilligung zur Speicherung der Daten, der E-Mail-Adresse, des Programms und des Ziellandes sowie deren Nutzung zum Versand der Einladung zum Teilnahme an dem Webinar/Tutorial kannst du jederzeit widerrufen. Der Widerruf kann über den Abmeldelink oder per Mitteilung an die unten stehende Adresse erfolgen.
Feedbackfunktion
Wenn du auf der CareMed Website ein Feedback erstellst, benötigen wir von dir eine valide E-Mail-Adresse, Namen sowie Informationen, die uns die Überprüfung gestatten, dass du der Inhaber der angegebenen E-Mail-Adresse bist und die Abgabe des Feedbacks bestätigst.
Dein Feedback wird anonymisiert anhand von Initialen und Heimatland und ausschließlich nach Zustimmung deinerseits online veröffentlicht.
Cookies
Cookies sind kleine Dateien, die es ermöglichen, auf dem Zugriffsgerät der Nutzer (PC, Smartphone o.ä.) spezifische, auf das Gerät bezogene Informationen zu speichern. Sie dienen zum einen der Benutzerfreundlichkeit von Websites und damit den Nutzern (z.B. Speicherung von Logindaten). Zum anderen dienen sie der Erfassung statistischer Daten der Websitenutzung und Analyse zwecks Verbesserung des Angebotes. Die Nutzer können auf den Einsatz der Cookies Einfluss nehmen. Die meisten Browser verfügen über eine Option mit der das Speichern von Cookies eingeschränkt oder komplett verhindert wird. Allerdings wird darauf hingewiesen, dass die Nutzung und insbesondere der Nutzungskomfort ohne Cookies eingeschränkt werden. Du kannst viele Online-Anzeigen-Cookies von Unternehmen über die US-amerikanische Seite http://www.aboutads.info/choices/ oder die EU-Seite http://www.youronlinechoices.com/uk/your-ad-choices/ verwalten.
Datenschutzerklärung für die Nutzung von Social Media
Unsere Website verwendet Social Plugins von Facebook, wie den Like-Button oder die Like-Box. Bei Aufruf einer Seite von CareMed baut dein Browser eine direkte Verbindung mit den Servern von Facebook auf. Der Inhalt des Plugins wird von Facebook direkt an deinen Browser übermittelt und von diesem in die Website eingebunden. Durch die Einbindung der Plugins erhält Facebook die Information, dass du die entsprechende Seite unseres Internetauftritts aufgerufen hast. Wenn du bei Facebook eingeloggt bist, kann Facebook den Besuch deinem Facebook-Konto zuordnen. Wenn du mit den Plugins interagierst, z. B. den Like-Button betätigst, wird die entsprechende Information von deinem Browser direkt an Facebook übermittelt und dort gespeichert. Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Facebook sowie deine diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz deiner Privatsphäre kannst du den Datenschutzhinweisen von Facebook entnehmen: https://www.facebook.com/policy.php. Wenn du nicht möchtest, dass Facebook über unseren Internetauftritt Daten über dich sammelt, musst du dich vor deinem Besuch unseres Internetauftritts bei Facebook ausloggen.
Auf unserer Website sind Plugins des sozialen Netzwerks Instagram eingefügt. Das Instagram-Plugin ist an dem »Instagram-Button« auf unserer Homepage zu erkennen. Wenn du den Instagram-Button betätigst während du in deinem Instagram-Account eingeloggt bist, können Inhalte unserer Page auf deinem Instagram-Profil verlinkt werden. Hierdurch kann Instagram den Besuch unserer Seiten deinem Benutzerkonto zuordnen. Wenn du nicht möchtest, dass Instagram über unseren Internetauftritt Daten über dich sammelt, musst du dich vor deinem Besuch unseres Internetauftritts bei diesem Netzwerk ausloggen. Wir weisen ausdrücklich darauf hin, dass wir als Betreiber dieser Seite keine Kenntnis vom Inhalt der übermittelten Daten, sowie deren Nutzung durch Instagram erhalten. Weitere Informationen zur Datenschutzerklärung von Instagram sind hier zu lesen: http://instagram.com/about/legal/privacy/.
YouTube
Auf dieser Website werden Plugins von Youtube.de/Youtube.com verwendet, das - vertreten durch Google Inc. - durch Youtube, LLC, Cherry Ave., USA - betrieben wird. Wenn du mit einen solchen Plugin versehene Internetseiten unserer Internetpräsenz aufrufst, wird eine Verbindung zu den Youtube-Servern hergestellt und dabei das Plugin durch Mitteilung an deinen Browser auf der Internetseite dargestellt. Hierdurch wird an den Youtube-Server übermittelt, welche unserer Internetseiten du besucht hast. Bist du dabei als Mitglied bei Youtube eingeloggt, ordnet YouTube diese Information deinen jeweils persönlichen Benutzerkonten dieser Plattformen zu. Bei Nutzung von diesen Plugins wie z.B. Anklicken/Start-Buttons eines Videos oder Senden eines Kommentars, werden diese Informationen deinem z.B. YouTube-Benutzerkonto zugeordnet, was du nur durch Ausloggen vor Nutzung des Plugins verhindern kannst. Informationen zur Erhebung und Nutzung der Daten durch die Plattform bzw. Plugins findest du in den Datenschutzhinweisen: www.youtube.com, Datenschutzhinweis für YouTube, ein Google-Unternehmen, über das Menü auf der linken Seite.
Einsatz von Matomo
Auf dieser Website werden unter Einsatz der Webanalysedienst-Software Matomo (www.matomo.org), einem Dienst des Anbieters InnoCraft Ltd., 150 Willis St, 6011 Wellington, Neuseeland, („Matomo“) auf Basis unseres berechtigten Interesses an der statistischen Analyse des Nutzerverhaltens zu Optimierungs- und Marketingzwecken gemäß Art. 6 Abs. 1 lit. f DSGVO Daten gesammelt und gespeichert. Aus diesen Daten können zum selben Zweck pseudonymisierte Nutzungsprofile erstellt und ausgewertet werden. Hierzu können Cookies eingesetzt werden.
Die durch das Cookie erzeugten Informationen im pseudonymen Nutzerprofil werden nicht dazu benutzt, den Besucher dieser Website persönlich zu identifizieren und nicht mit personenbezogenen Daten über den Träger des Pseudonyms zusammengeführt.
Wenn du mit der Speicherung und Auswertung dieser Daten aus deinem Besuch nicht einverstanden bist, dann kannst du der Speicherung und Nutzung per Mausklick jederzeit widersprechen. In diesem Fall wird in deinem Browser ein sog. Opt-Out-Cookie abgelegt, was zur Folge hat, dass Matomo keinerlei Sitzungsdaten erhebt. Bitte beachte, dass die vollständige Löschung deiner Cookies zur Folge hat, dass auch das Opt-Out-Cookie gelöscht wird und ggf. von dir erneut aktiviert werden muss.
Matomo: https://matomo.org/privacy-policy/
Zahlungsmethoden bei Online-Zahlung
CareMed ist PCI DSS compliant und zertifiziert, die PCI-Konformität wird regelmäßig geprüft.
Zahlungen über PayPal:
https://www.paypal.com/de/webapps/mpp/ua/privacy-full?locale.x=de_DE
Alle weiteren Zahlungen erfolgen über PayOne. Bitte lies hierzu auch den Datenschutz von PayOne sowie der von CareMed akzeptierten Kreditkartenanbieter:
PayOne:
https://www.payone.com/datenschutz/
American Express:
https://www.americanexpress.com/de/content/privacy-policy.html?inav=de_legalfooter_dataprivacy
Mastercard:
www.mastercard.de/de-de/datenschutz.html
Visa:
https://www.visa.de/nutzungsbedingungen/visa-privacy-center.html
SSL-Verschlüsselung
Diese Seite nutzt aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel die Daten der Anfragen, die du an uns als Seitenbetreiber sendest, eine SSL-Verschlüsselung. Eine verschlüsselte Verbindung erkennst du daran, dass die Adresszeile des Browsers von "http://" auf "https://" wechselt und an dem Schloss-Symbol in der Browserzeile.
Wenn die SSL Verschlüsselung aktiviert ist, können die Daten, die du an uns übermittelst, nicht von Dritten mitgelesen werden.
Widerruf und Löschung
Der Nutzer hat das Recht, eine erteilte Einwilligung mit Wirkung für die Zukunft jederzeit zu widerrufen.
Die Löschung der gespeicherten personenbezogenen Daten erfolgt, wenn der Nutzer die Einwilligung zur Speicherung widerruft, wenn ihre Kenntnis zur Erfüllung des mit der Speicherung verfolgten Zwecks nicht mehr erforderlich ist, das Vertragsverhältnis beendet ist oder wenn ihre Speicherung aus sonstigen gesetzlichen Gründen unzulässig ist. Daten für Abrechnungszwecke und buchhalterische Zwecke werden von einem Löschungsverlangen nicht berührt.
Recht auf Auskunft
Du hast jederzeit das Recht auf unentgeltliche Auskunft über deine gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten kannst du dich jederzeit unter der unten angegebenen Adresse an uns wenden. Aus Sicherheitsgründen ist der Antrag schriftlich einzureichen.
CareMed GmbH
International Insurance for Educational Travel
Budapester Str.4
53111 Bonn
DataProtection@caremed-travel.com
CareMed ist als Versicherungsvermittler mit einer Erlaubnis nach § 34d Abs. 1 der Gewerbeordnung bei der Industrie- und Handelskammer Bonn/Rhein-Sieg gemeldet und nach § 34d Abs. 7 Gewerbeordnung mit der Registernummer D-EW68-5PU30-88 bei der Registerbehörde in das Versicherungsvermittlerregister eingetragen.
Die Registerbehörde bedient sich bei der Führung des Registers gemäß § 11a Abs. 1 GewO der gemeinsamen Stelle Deutscher Industrie- und Handelskammertag (DIHK) e.V., Breite Straße 29, 10178 Berlin, Telefonnummer: +49 (0) 30 2 03 08 0, Faxnummer: +49 (0) 30 2 03 08-10 00, Internetadresse: http://www.dihk.de.
Über die Eintragung von CareMed im Versicherungsvermittlerregister erteilen die vorgenannten Stellen Auskunft. Im Internet kann die Registrierung von CareMed unter der Internetadresse http://www.vermittlerregister.info überprüft werden.
Schlichtungsstelle
Als Schlichtungsstelle sind die „Versicherungsombudsmann e.V.“ und der Ombudsmann „Private Kranken- und Pflegeversicherung“ eingesetzt.
Die Ombudsleute sind hinsichtlich ihrer Antworten und Entscheidungen unabhängig und keinen Weisungen unterworfen.
Zur Erfüllung ihrer Aufgaben als Streitschlichtungs- und Schlichtungsstelle geben sich die Ombudsleute eine Verfahrens- und Gebührenordnung. Sie sind berechtigt, auf Grundlage der Gebührenordnung eine dem Aufwand angemessene Gebühr von dem Versicherungsvermittler oder dem Versicherungsunternehmen zu verlangen. Bei offensichtlich missbräuchlichen Beschwerden kann auch von dem Beschwerdeführer eine Gebühr verlangt werden.
Die Ombudsleute sind verpflichtet, jede Beschwerde über einen Versicherungsvermittler zu beantworten.
Derzeit bekannte Schlichtungsstellen sind
für die Private Versicherungen außer private Krankenversicherungen, Kreditversicherungen, Rückversicherungen:
Versicherungsombudsmann e.V., Postfach 080 632, 10006 Berlin
für die Private Krankenversicherungen:
Ombudsmann Private Kranken- und Pflegeversicherung, Kronenstraße 13, 10117 Berlin
Stand: 09.05.2018
Ref. FORUM VERLAG HERKERT GMBH, 2017
Stand 23.04.2018
Anonymisierte Daten
Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann (Erwägungsgrund 26 der DSGVO).
Aufbewahrungsfristen
Aufbewahrungsfristen ergeben sich v. a. aus dem Handelsgesetzbuch (HGB). Geschäftsunterlagen und Handels- und Geschäftsbriefe sowie Unterlagen, die für die Besteuerung wichtig sind, haben Aufbewahrungsfristen von sechs bzw. zehn Jahren. Dazu gehören auch als Dateien gespeicherte Dokumente und E-Mails.
Auftragsverarbeitung
Von Auftragsverarbeitung spricht man, wenn sich der Verantwortliche einer Stelle bedient, die für diesen im Auftrag personenbezogene Daten verarbeitet. Das Nähere regelt Art. 28DSGVO.
Auskunftsrecht des Betroffenen
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein umfassendes Recht auf Auskunft über diese personenbezogenen Daten, insbes. über sämtliche ihr zustehenden Betroffenenrechte, Zwecke der Verarbeitung,
Automatisierte Verarbeitung
Eine automatisierte Verarbeitung liegt immer dann vor, wenn personenbezogene Daten unter Einsatz von DV-Anlagen erhoben, verarbeitet oder genutzt werden. Sie unterfällt dem Begriff der Verarbeitung.
Betroffenenrechte
Den betroffenen Personen stehen sog. Betroffenenrechte nach den Art. 2 ff. DSGVO und §§ 32 ff. BDSG (2018) zu (Information, Auskunft, Berichtigung, Einschränkung, Löschung, Widerspruch, Datenübertragbarkeit). Die Betroffenenrechte sind von essenzieller Bedeutung. Jedes Unternehmen sollte verbindliche interne Prozesse definiert haben, wie mit diesen Rechten ordnungsgemäß umgegangen werden muss.
Betroffener
Der Betroffene ist eine natürliche Person, deren personenbezogene Daten durch die verantwortliche Stelle verarbeitet werden.
Cookies
Cookies sind Informationen, die von einem entsprechend programmierten Web-Server beim Besuch in eine (von der Browser-Software definierte) Datei auf die Festplatte des Besuchers geschrieben und auch wieder ausgelesen werden können. So erhält der Web-Server Informationen über das Navigationsverhalten und damit Informationen über die Interessen des Internetnutzers.
Datenerhebung
Datenerhebung ist das Beschaffen von Daten über den Betroffenen bei ihm selbst, bei Dritten oder aus sonstigen Quellen.
Sie ist ein Unterfall der Verarbeitung.
Datengeheimnis
Alle mit der Datenverarbeitung beschäftigten Personen sind auf das Datengeheimnis gemäß in § 53 BDSG (2018) verpflichtet.
Datenübermittlung
Die Bekanntgabe personenbezogener Daten durch die verantwortliche Stelle an einen Dritten wird als Datenübermittlung bezeichnet. Sie ist ein Unterfall der Verarbeitung.
Datenübermittlung ins Ausland
Für die Übermittlung von personenbezogenen Daten an Stellen in anderen Mitgliedstaaten der EU und in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gelten die allgemeinen Regelungen der Datenübermittlung. Bei der Datenübermittlung in ein Drittland (außerhalb von EU/EWR), in diesem Fall USA zur Deckungsprüfung und Abwicklung der Schadenfälle, ist es gewährleistet, dass die allgemeinen Anforderungen der DSGVO an die Verarbeitung eingehalten werden gemäß Art. 45 – 49 DSGVO.
Datenvermeidung und Datensparsamkeit
Für das Betreiben von DV-Systemen gilt, dass nur so viele personenbezogene Daten wie unbedingt nötig verarbeitet werden. Soweit möglich, ist von Anonymisierung oder Pseudonymisierung Gebrauch zu machen. Verarbeitungsvorgänge werden technisch so ausgestaltet, dass so wenige Daten wie möglich in die Erfassung gelangen.
Double-Opt-in
Siehe unter „Opt-in“.
Dritter
Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle, nicht jedoch der Betroffene oder die Stelle, die Daten im Auftrag verwendet.
Einwilligung des Betroffenen
Die Einwilligung ist eine der wichtigsten Erlaubnismöglichkeiten für Verarbeitungstätigkeiten, insbes. für die sog. Besonderen Kategorien personenbezogener Daten. Sie ist in Art. 4 Nr. 11 DSGVO legal definiert und an keine Form mehr gebunden (anders als noch nach dem BDSG-alt).
Im Geschäftsverkehr ist die E-Mail mit der normalen Briefpost vergleichbar. Sie gilt als zugegangen, wenn sie den Account des Empfängers erreicht und mit der Kenntnisnahme nach den gewöhnlichen Umständen gerechnet werden kann, also während der üblichen Geschäfts- bzw. Bürozeiten.
Empfänger
Empfänger ist jede Person oder Stelle, die personenbezogene Daten erhält (auch Organisationseinheiten innerhalb der verantwortlichen Stelle).
Grundsätze der Verarbeitung
Die Grundsätze der Verarbeitung sind in Art. 5 DSGVO geregelt und stellen die zentralen Zulässigkeitsvoraussetzungen einer Datenverarbeitung dar. Die Verarbeitung muss folgenden Grundsätzen genügen: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz,
Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit (vgl. auch „Rechtmäßigkeit der Verarbeitung“) gemäß den Grundsätzen nach Art. 5 Abs. 2 DSGVO nachweisen können.
Löschung vorhandener personenbezogener Daten
Unter Löschung personenbezogener Daten versteht man deren unwiederbringliche Vernichtung. Personenbezogene Daten sind unverzüglich zu löschen beim Wegfall des Grundes ihrer Erhebung,
Newsletter
Der Versand von Newslettern per E-Mail ist, auch wenn diese Werbung beinhalten, zulässig, soweit der Empfänger dem zuvor zugestimmt hat. Die Anfrage, ob zukünftig Newsletter übersandt werden dürfen, stellt jedoch eine unzulässige E-Mail-Werbung dar.
Opt-in
Der Empfänger muss dem Erhalt von Mailings grundsätzlich zustimmen. Eine passive Zustimmung (Opt-out), also der Verzicht auf einen Widerspruch, reicht nicht mehr aus. Beim Double-Opt-in wird beim Akquirieren der Adresse ausdrücklich die Zusendung weiterer Info-Mails angeboten und um die Zustimmung (den Klick) des Angesprochenen gebeten (bisher Verfahren wie beim „normalen“ Opt-in). Dann aber wird der „Abonnent“ per E-Mail noch einmal ausdrücklich befragt, ob er den Bezug künftiger Mails bzw. Newsletter auch wirklich wünscht.
Personenbezogene Daten (pb-Daten)
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbes. mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Stand-ortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Rechtmäßigkeit der Verarbeitung
Die Verarbeitung personenbezogener Daten wird nach Art. 6 DSGVO grundsätzlich nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt:
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personen-bezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
- Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
- Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
- Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
- Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
- Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbes. dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Sicherheit der Verarbeitung
Die DSGVO enthält mit Art. 32 nur eine einzige Norm zur Datensicherheit, die recht abstrakt die Anforderungen regelt. Folgende Maßnahmen werden getroffen:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung.
- Verwehrung des Zugangs für Unbefugte zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird (Zugangskontrolle)
- Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle)
- Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle)
- Verhinderung der Nutzung automatisierter Verarbeitungssysteme mithilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle)
- Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle)
- Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mithilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle)
- Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle)
- Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle)
- Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit)
- Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit)
- Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität)
- Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)
- Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)
- Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit)
Sperrdatei
Hat ein Betroffener Widerspruch gegen die Nutzung seiner persönlichen Daten zum Zwecke der Werbung eingelegt, muss sichergestellt werden, dass dieser Widerspruch auch bei späteren Werbeaktionen Beachtung findet. Hierzu ist es erforderlich,diesen Adressaten in eine Sperrdatei aufzunehmen.
Stapelverarbeitung von Daten
Unter der Stapelverarbeitung ist der Abruf oder die Übermittlung eines Gesamtbestands an Daten zu verstehen. Die Stapelverarbeitung ist ein Unterfall der Verarbeitung.
Übermittlung von Daten
Eine Übermittlung von Daten erfolgt dann, wenn die verarbeitende Stelle personenbezogene Daten durch Weitergabe, Einsichtnahme oder Abruf Dritten zukommen lässt.
Veränderung von Daten
Verändern ist das inhaltliche Umgestalten personenbezogener Daten und ein Unterfall der Verarbeitung.
Verarbeitung von Daten
Der Begriff der „Verarbeitung“ bündelt die unterschiedlichen Verarbeitungstätigkeiten. Gemäß Art. 3 Nr. 2 DSGVO ist Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung,
Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Verzeichnis von Verarbeitungstätigkeiten
Das Verzeichnis enthält u. a. folgende Angaben:
- Name und Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
- Zwecke der Verarbeitung
- Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
- ggf. Informationen zur Übermittlungen von personenbezogenen Daten an ein Drittland
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gem. den Anforderungen an die Sicherheit der Verarbeitung
Widerspruchsrecht
Personenbezogene Daten dürfen nicht verwendet werden, wenn der Betroffene widerspricht und sein Interesse höher zu bewerten ist als das der verantwortlichen Stelle (sofern keine Verpflichtung durch eine Rechtsvorschrift besteht). Der Betroffene hat ein zusätzliches Widerspruchsrecht bei Nutzung seiner Daten für Zwecke der Werbung, Markt- oder Meinungsforschung.
Zweckbestimmung
Personenbezogene Daten dürfen grundsätzlich nur im Rahmen ihres vorab bestimmten Zwecks verarbeitet werden. Über den Zweck muss der Betroffene informiert werden. Eine nur vage Definition der Zweckbestimmung genügt nicht. Sie muss so deutlich wie möglich formuliert werden. Eine vom ursprünglichen Zweck abweichende Bearbeitung oder Nutzung personenbezogener Daten ist ohne die erneute Einwilligung des Betroffenen grundsätzlich nicht zulässig.
Verarbeitungsverzeichnis für die automatisierte Verarbeitung personenbezogener Daten gem. Art. 30 DSGVO | ||
---|---|---|
I Angaben zur verantwortlichen Stelle (Art. 30 Abs. 1 a) DSGVO) |
||
1 Für die Datenerhebung, -nutzung oder -verarbeitung verantwortliche Stelle | ||
Name oder Firma, Bezeichnung | CareMed GmbH | |
Bereich | Vermittlung von Versicherungen für Austauschprogramm-Teilnehmer | |
Straße | Budapester Str.4 | |
PLZ, Ort | 53111 Bonn | |
Telefon | +49 (0)228 55 54 900 | |
Telefax | +49 (0)228 55 54 975 | |
E-Mail-Adresse | info@caremed-travel.com | |
2 Verantwortlicher Mitarbeiter | ||
Leitung der verantwortlichen Stelle, Vertreter | Thomas Kiechle | |
3 Kontaktdaten zum Datenschutzbeauftragten |
||
Firma | CareMed GmbH | |
Datenschutzbeauftragter | ||
Adresse | Budapester Str. 4 | |
53111 Bonn | ||
Deutschland | ||
Telefon | 00 49(0)228 55 54 90-0 | |
Telefax | 00 49 (0)228 55 54 90-75 | |
E-Mail-Adresse | DataProtection@caremed-travel.com | |
II Angaben zu dem Verfahren gem. Art. 30 Abs. 1 b)–f) DSGVO |
||
1 Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung | ||
Die Zweckbestimmung der Datenerhebung, -verarbeitung, Speicherung oder –nutzung dienen zur Durchführung von Versicherungsvermittlung, zur Administration und zur Abwicklung von Schadenfällen im Ausland im Zusammenhang mit den verkauften Reiseversicherungen insbesondere im Bereich Educational Travel, bzw. Austauschprogramme. | ||
2 Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten / Datenkategorien | ||
Personengruppe | Daten / Datenkategorie | |
Interessenten, Kunden | Name, Adresse, E-Mail-Adresse, Geburtsdatum, Heimatland, Reiseziel, abgeschlossener Versicherungsschutz | |
Geschäftspartner | Firmenname, postalische Adresse, E-Mail-Adresse, Telefonnummer, Vorname, Nachname, Position, Bereich | |
3 Empfänger oder Kategorien von Empfängern, denen Daten mitgeteilt werden können | ||
Versicherer, Schadenabwickler | ||
4 Regelfristen für die Löschung von Daten | ||
Bei Kunden: Gesetzlich festgelegte 10 Jahre Aufbewahrungsfrist | ||
Bei Interessenten: 1-30 Werktage nach Prüfung des berechtigten schriftlichen Antrags seitens des Interessenten. | ||
5 Geplante Datenübermittlung in Drittstaaten oder an eine internationale Organisation | ||
Geplant: | x ja | nein |
Wenn ja: Das vom Versicherer beautragte Schadenbüro in den USA | ||
Zweck | Daten/Datenkategorie | Länder / Länderkategorie / internationale Organisation |
Deckungsprüfung und Schadenbearbeitung | A, B | USA |
Angaben zu den dokumentierten Garantien nach § 49 Abs. 1 DSGVO: | ||
Die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich, | ||
III Angaben nach Art. 30 Abs. 1 g) DSGVO |
||
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit in der Verarbeitung nach Art. 32 Abs. 1 DSGVO | ||
Die Prozesse und deren Einhaltung werden sowohl gemäß den fachtechischen Vorgaben als auch den Datenschutzgeboten bei CareMed und bei den Dienstleistern der CareMed GmbH geprüft und anhand von Checklisten Dokumentiert. Zugangskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übertragungskontrolle, Eingabekontrolle, Transportkontrolle, Wiederherstellbarkeit. Zuverlässigkeit, Datenintegrität, Auftragskontrolle, Verfügbarkeitskontrolle und Trennbarkeit zählen zu den Hauptsicherheitsmaßnahmen. | ||
Datum | Unterschrift | |
Datenschutzbeauftragte/-r | 26.04.18 | Dr. Wilma Heim |
Dienstleister und Partner der CareMed GmbH:
Chubb Group
CISI
Empaction
HanseMerkur
LogMeIn
Syniq
Du hast jederzeit das Recht auf unentgeltliche Auskunft über deine gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten kannst du dich jederzeit unter der unten angegebenen Adresse an uns wenden. Aus Sicherheitsgründen ist der Antrag schriftlich einzureichen.
CareMed GmbH
International Insurance for Educational Travel
Budapester Str. 4
53111 Bonn
CareMed ist als Versicherungsvermittler mit einer Erlaubnis nach § 34d Abs. 1 der Gewerbeordnung bei der Industrie- und Handelskammer Bonn/Rhein-Sieg gemeldet und nach § 34d Abs. 7 Gewerbeordnung mit der Registernummer D-EW68-5PU30-88 bei der Registerbehörde in das Versicherungsvermittlerregister eingetragen.
Die Registerbehörde bedient sich bei der Führung des Registers gemäß § 11a Abs. 1 GewO der gemeinsamen Stelle Deutscher Industrie- und Handelskammertag (DIHK) e.V., Breite Straße 29, 10178 Berlin, Telefonnummer: +49 (0) 30 2 03 08 0, Faxnummer: +49 (0) 30 2 03 08-10 00, Internetadresse: http://www.dihk.de.
Über die Eintragung von CareMed im Versicherungsvermittlerregister erteilen die vorgenannten Stellen Auskunft. Im Internet kann die Registrierung von CareMed unter der Internetadresse http://www.vermittlerregister.info überprüft werden.