Verarbeitungsverzeichnis (Art. 30 DS-GVO)

1. Name und Anschrift der verantwortlichen Stellen

DR-WALTER Unternehmensgruppe (kurz DR-WALTER). Zu der Unternehmensgruppe gehören DR-WALTER GmbH und DR-WALTER Versicherungsmakler GmbH.

 

DR-WALTER GmbH 

Eisenerzstraße 34 

53819 Neunkirchen-Seelscheid

Germany 

T +49 2247 9194-0

F +49 2247 9194-40 

info(at)dr-walter.com

www.dr-walter.com 

Handelsregister: Siegburg HRB 4701

USt.-Id-Nr.: DE 212252105 

 

DR-WALTER Versicherungsmakler GmbH

Eisenerzstraße 34 

53819 Neunkirchen-Seelscheid

Germany 

T +49 2247 9194-0

F +49 2247 9194-40 

info(at)dr-walter.com

www.dr-walter.com 

Handelsregister: Siegburg HRB 14554

USt.-Id-Nr.: DE 314696745

2. Geschäftsführer der Unternehmensgruppe

Dipl.-Kfm. Reinhard Bellinghausen

3. Datenschutzbeauftragte (Art. 37 DS-GVO)

Sandra Karnstedt-Panienka 

4. Zweckbestimmung und Rechtsgrundlage der Datenerhebung, -verarbeitung oder -nutzung (Art. 5 DS-GVO)

Betrieb von Versicherungsgeschäften; Vertrieb, Verkauf, Verwaltung und Abwicklung von Versicherungsverträgen im In- und Ausland und aller damit verbundenen Nebengeschäfte. Durchführung der Speicherung und Datenverarbeitung von personenbezogenen Daten für eigene Zwecke sowie im Auftrag und Namen der beteiligten Versicherungsgesellschaften.

Rechtgrundlage für die Verarbeitung personenbezogener Daten  für vertragliche und vorvertragliche Zwecke ist Art. 6 Abs. 1 Buchstabe b DS-GVO. Soweit dafür besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) erforderlich sind, holt DR-WALTER eine Einwilligung nach Art. 9 Abs. 2 Buchstabe j DS-GVO in Verbindung mit § 27 BDSG ein. Eine erteilte Einwilligung kann jederzeit gemäß Art. 21 DS-GVO widerrufen werden. 

5. Betroffene Personengruppe/n, Daten oder Datenkategorien

Es werden zu folgenden Personengruppen personenbezogene Daten erhoben, verarbeitet und genutzt:

- Interessentendaten (Produktinteresse, Adressdaten, anonymisierte IP-Adressen, geclusterte demografische und geografische Daten),

- Kundendaten (Adressdaten, anonymisierte IP-Adressen, geclusterte demografische und geografische Daten, Versicherungsvertragsdaten, Daten zu Versicherungsleistungen, Bankverbindungen, ggf. Daten von Sachverständigen, Prozess- und Beschwerdedaten),

- Daten zu Ärzten, klinischen Einrichtungen und Gesundheitsdaten,

- Mitarbeiterdaten, Bewerberdaten, (Profiling-Daten),  Vermittler-/Makler-/Agenturdaten (Personaldaten zur Personalverwaltung, -steuerung und -abrechnung),

- Daten zu Geschäftspartnern und Agenturen, Vermittlern und Maklern (Adress-, Abrechnungs- und Leistungsdaten), soweit diese zur Erfüllung der unter 4. genannten Zwecke erforderlich sind. 

6. Empfänger der Daten oder Kategorien von Empfängern (Art. 28 DS-GVO)

- Interne Stellen der DR-WALTER Unternehmensgruppe, die an der Ausführung der jeweiligen Geschäftsprozesse beteiligt sind.

- Öffentliche Stellen, die Daten aufgrund gesetzlicher Vorschriften erhalten (z. B. Sozialversicherungsträger, Finanzbehörden, Gerichte, BAFin).

- Externe Auftragnehmer (Versicherungsgesellschaften und Dienstleistungsunternehmen).

- Weitere externe Stellen wie z. B. Kreditinstitute (Versicherungsleistungen und Einzug von Versicherungsbeiträgen), Makler und Versicherungsagenturen im Rahmen der Vermittlertätigkeit sowie zentrale Hinweisstellen der Versicherungsverbände. 

7. Technische und organisatorische Maßnahmen (Art. 32 DS-GVO)

Wir haben umfangreiche technische und organisatorische Maßnahmen getroffen, um den Schutz Ihrer personenbezogenen Daten sicherzustellen. Hier können Sie sich einen Überblick über die Schutzvorkehrungen verschaffen.

 

1. Vertraulichkeit

 

a. Zutrittskontrolle

 

Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

  • Es erfolgt eine ständige Zutrittskontrolle für die Bürogebäude durch die im Empfang sitzenden Kollegen. Für alle anderen Räumlichkeiten erfolgt eine Zutrittskontrolle durch die im Trakt sitzenden Kollegen.
  • Eine differenzierte Zutrittsregelung erlaubt Mitarbeitern nur den Zutritt zu bestimmten Unternehmensräumlichkeiten.
  • Unbefugten und insbesondere externen Personen ist der Zugang grundsätzlich verwehrt. Er kann erst nach ausdrücklicher Freigabe durch einen Mitarbeiter unter Benennung des Anlasses ermöglicht werden.
  • Es existieren sowohl Sicherheitsschlösser wie auch eine Schlüsselregelung.
  • Die Server stehen in abgeschlossenen Räumen.
  • Datensicherungen auf portablen Sicherungsmedien (z. B. CD/DVD, Bänder) sind in zutrittsgeschützten Räumen untergebracht.
  • Gebäude und Betriebsgelände sind durch Alarmanlage, Videoüberwachung, Bewegungsmelder und Beleuchtung geschützt.

 

 

b. Zugangskontrolle

 

Unbefugten ist der Zugang zu und damit die Nutzung von Datenverarbeitungssystemen zu verwehren.

  • Zur Nutzung der Systeme sind individuelle Anmeldedaten wie Benutzername und Passwort notwendig.
  • Es existiert eine Passwort-Richtlinie.
  • Nicht mehr benötigte Zugangsberechtigungen werden zeitnah entzogen.
  • Es werden Logs der Benutzeranmeldungen erstellt.
  • Die Arbeitsplatzrechner sind durch Anti-Viren-Software geschützt.
  • Das Reinigungspersonal wird sorgfältig ausgesucht und durch den Arbeitgeber auf den Datenschutz verpflichtet.

 

 

c. Zugriffskontrolle

 

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  • Es sind ausschließlich Personen, die mit der Erhebung, Nutzung und Verarbeitung der Daten im Rahmen der vereinbarten Auftragsverarbeitung betraut sind, berechtigt, die Daten zu lesen, zu kopieren, zu ändern oder zu löschen. In diesem Zusammenhang bestehen klare Regelungen zur Vergabe von Zugriffsberechtigungen, die einen differenzierten Zugriff (lesen, ändern, löschen) berücksichtigen und den Zugriff auf den verschiedenen Ebenen regeln.
  • Papierunterlagen können beim Verlassen des Arbeitsplatzes vor unbefugter Kenntnisnahme bzw. unbefugtem Zugriff durch die Möglichkeit abschließbarer Schränke bzw. Fächer geschützt werden.
  • Eine Firewall schützt Ihre Daten gegen einen Zugriff aus nicht vertrauenswürdigen Netzwerken (z. B. Internet).
  • Die technischen Sicherheitseinrichtungen werden regelmäßig auf ihre Wirksamkeit hin geprüft.
  • Papierdokumente und mobile Datenspeicher werden in abschließbaren Möbeln aufbewahrt (Clean-Desk-Prinzip).

 

d. Trennungskontrolle

 

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • Im Hinblick auf personenbezogene Daten verschiedener Auftraggeber erfolgt eine logische Trennung der Daten (Mandantenprinzip).

 

 

2. Integrität

 

a. Weitergabekontrolle

 

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

  • Die Verwendung von externen Datenträgern (USB-Stick, externe Festplatte, CDs, DVDs) außerhalb der geschützten Unternehmensumgebung ist verboten.
  • Die datenschutzgerechte Datenvernichtung ist gewährleistet. Bei Papierdokumenten erfolgt sie durch einen Papierreißwolf gemäß dem vorgeschriebenen Schutzniveau. Bei Datenträgern (z. B. defekte Festplatte) erfolgt sie physikalisch.

 

 

b. Eingabekontrolle

 

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  • Um zu gewähren, dass im Nachhinein geprüft werden kann, ob, von wem und wann personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind, erfolgt eine entsprechende Protokollierung.
  • Administrationstätigkeiten werden ebenfalls protokolliert.
  • Schreibschutz verhindert Überschreiben von Daten.

 

 

3. Verfügbarkeit und Belastbarkeit

 

a. Verfügbarkeitskontrolle

 

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

  • Sofern vertraglich vereinbart sind die Daten gegen zufällige Zerstörung oder Verlust geschützt.
  • Es gibt ein Backup- und Recoverykonzept.
  • Die Backups werden regelmäßig daraufhin getestet, ob ein reibungsloses Zurücksichern möglich ist.
  • Es finden regelmäßig Übungen statt, in denen Notfallsituationen (z. B. durch Feuer) simuliert werden und die Wiederherstellung der Daten geübt wird.

 

 

b. Unverzügliche Wiederherstellbarkeit

 

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei einem physischen oder technischen Zwischenfall unverzüglich wiederhergestellt werden können.

  • Es existiert ein Konzept für die Wiederherstellung des Geschäftsbetriebs nach einem Notfall.

 

 

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

 

a. Datenschutz-Management

 

  • Es ist ein Datenschutz- und Sicherheitskonzept vorhanden, das regelmäßig überprüft wird.
  • Das Datenschutz- und Sicherheitskonzept wird an sich ändernde Bedingungen angepasst.

 

 

b. Auftragskontrolle

 

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

  • Aus der Leistungsbeschreibung, die als Grundlage der Auftragsverarbeitung zwischen Auftragnehmer und Auftraggeber vereinbart wurde, gehen Art, Umfang und Zweck der Datenverarbeitung klar hervor.
  • Die mit der Umsetzung der Auftragsverarbeitung befassten Mitarbeiter sind über den Leistungsumfang informiert.
  • Für die vereinbarte Auftragsverarbeitung werden ggf. Cloud-Lösungen eingesetzt. Die genutzten Rechenzentren befinden sich in der EU. Die Cloud-Datenkommunikation ist verschlüsselt.
  • Der Auftragnehmer hat einen Datenschutzbeauftragten bestellt.

8. Regelfristen für die Löschung der Daten (Art. 17 DS-GVO)

Der Gesetzgeber hat vielfältige Aufbewahrungspflichten und -fristen erlassen. Nach Ablauf dieser Fristen werden die entsprechenden Daten routinemäßig gelöscht, wenn sie nicht mehr zur Vertragserfüllung erforderlich sind. Sofern Daten hiervon nicht berührt sind, werden sie gelöscht, wenn die unter 4. genannten Zwecke wegfallen.

9. Geplante Datenübermittlung an Drittstaaten

Eine Übermittlung an Drittstaaten wird durchgeführt (Google Analytics, s. https://www.google.de/policies/privacy/).

 

Wenn Sie noch Fragen zum Verarbeitungsverzeichnis haben, wenden Sie sich bitte unmittelbar an unsere Datenschutzbeauftragte.

Sandra Karnstedt-Panienka

DR-WALTER Versicherungsmakler

Eisenerzstr. 34

53819 Neunkirchen-Seelscheid

Germany

T +49 2247 9194-755  

F +49 2247 9194-40 

E-Mail: karnstedt-panienka(at)dr-walter.com

Die Experten in Sachen Reise- und Krankenversicherung für Ausländer