Datenschutzerklärung zum Vorsorgeportal der HanseMerkur Krankenversicherung AG
Stand: November 2022
1. Allgemeines
(1) Diese Datenschutzerklärung beinhaltet Informationen über die Verarbeitung Ihrer personenbezogenen Daten bei der Registrierung und Verwendung des „Vorsorgeportals“ (nachfolgend “das Portal”), das drei Portalteile beinhaltet: Unternehmens-, Beschäftigten- und Beraterportal.
(2) Personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO umfassen sämtliche Informationen, welche sich auf Ihre Person beziehen lassen, wie beispielsweise Ihr Vor- und Nachname, Ihre E-Mail-Adresse, Ihre Telefon- bzw. Mobilnummer, Ihre IP-Adresse oder sonstige Kontaktdaten.
(3) Eine Verarbeitung Ihrer personenbezogenen Daten nach Art. 4 Nr. 2 DSGVO beinhaltet jeden Vorgang im Zusammenhang mit Ihren personenbezogenen Daten, wie beispielsweise das Erheben, das Erfassen, die Speicherung, die Offenlegung, Übermittlung oder das Löschen personenbezogener Daten.
(4) Die für die Datenverarbeitung verantwortliche Stelle gemäß Art. 4 Nr. 7 DSGVO ist jede natürliche oder juristische Person oder sonstige Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
2. Hinweise zur Verantwortlichen Stelle
(1) Verantwortliche Stelle für die Verarbeitung Ihrer personenbezogenen Daten in diesem Portal gemäß Art. 4 Nr. 7 DSGVO ist die
HanseMerkur Krankenversicherung AG
Siegfried-Wedells-Platz 1
20354 Hamburg.
(2) Unseren Datenschutzbeauftragten erreichen Sie per Post unter der o.g. Adresse oder per E-Mail unter: datenschutz@hansemerkur.de.
3. Verarbeitung Ihrer Daten bei Aufruf des Portals
(1) Beim Aufruf des Portals erheben wir diejenigen personenbezogenen Daten, welche Ihr Internet-Browser an unseren Server übermittelt und welche temporär von uns in Protokolldaten (Server-Logfiles) gespeichert werden. Hierbei werden folgende Informationen durch uns erfasst:
• IP Adresse
• Datum und Uhrzeit der Anfrage (UTC Zeit)
• Zugriffspfad der abgerufenen Datei (z. B. URL)
• Verwendeter Browser inklusive Version und das von Ihnen verwendete
Betriebssystem (Browserspezifische Informationen)
• Protokoll
• HTTP Status Code(s)
(2) Eine Verarbeitung dieser Daten dient dem Zweck, Ihnen einen fehlerfreien Verbindungsaufbau dieser Website zu ermöglichen. Darüber hinaus erfolgt eine Verarbeitung Ihrer Daten zu administrativen Zwecken im Hinblick auf eine verbesserte Auswertung der Stabilität und Sicherheit unserer Systeme.
(3) Die Rechtsgrundlage für die hier genannte Datenverarbeitung ergibt sich aus Art. 6 Abs. 1 f) DSGVO. Die hier dargelegten Zwecke stellen zugleich unser berechtigtes Interesse an der Verarbeitung Ihrer Daten dar. Wir verwenden Ihre personenbezogenen Daten zu keinem Zeitpunkt zu dem Zweck, in irgendeiner Form Rückschlüsse auf Ihre Person zu ziehen.
4. Cookies
(1) Für den Zeitraum des Besuchs auf dieser Website sowie bei Verwendung unseres Internetportals werden sogenannte Cookies auf Ihrem Rechner gespeichert. Der Einsatz von Cookies erfolgt zur Authentifizierung und Autorisierung des jeweiligen Nutzers.
(2) Dabei werden in Ihrem Browser Textdateien abgelegt und in einer für uns zuordenbaren Weise gespeichert. Durch den Einsatz von Cookies wird bei Nutzung der Seite ein sogenanntes “Session Cookie” erzeugt, wodurch die Identifikationsnummer des Nutzers zum Zweck der Authentifizierung erhoben wird. Zusätzlich wird im Login- Prozess ein OAuth-Token in einem Cookie gespeichert, das die Berechtigungen im Portal enthält.
(3) Die Verarbeitung dieser Daten erfolgt im Rahmen unseres berechtigten Interesses gemäß Art. 6 Abs. 1 f) DSGVO, da die hier genannte Verarbeitung für die individuelle Erkennung und Zuordnung des Nutzers bzw. im Hinblick auf die Funktion des Registrierungsprozesses technisch erforderlich ist.
5. Verarbeitung der personenbezogenen Daten des Mitarbeiters
(1) Unternehmen, die eine betriebliche Pflegezusatzversicherung oder Krebs-Scan als betriebliche Krankenversicherung bei der HanseMerkur abgeschlossen haben, erhalten in diesem Portal die Möglichkeit, personenbezogene Daten ihrer Mitarbeiter in das Portal einzupflegen. Die Erhebung bzw. Verarbeitung dieser personenbezogenen Daten erfolgt zur Meldung der Mitarbeiter als versicherte Personen des Gruppenversicherungsvertrages. Zum Abschluss einer individuellen privaten Pflegezusatzversicherung zur Aufstockung, ist die Einwilligung der betreffenden versicherten Person notwendig. Die Mitarbeiter haben die Möglichkeit, diese Daten im Portal zu ändern.
(2) Dabei können die nachfolgenden personenbezogenen Daten der Mitarbeiter durch uns erfasst und verarbeitet werden:
• Vor- und Nachname
• (ggf. Titel)
• Geburtsdatum
• Anrede
• Privatanschrift
• Status der Beschäftigung (Tarif-Mitarbeiter/Außertarifliche Mitarbeiter/Leitende/Angestellte/Auszubildender)
• Beginn der Beschäftigung
• Personalnummer
• Angaben zur Größe und Gewicht
• Telefonnummer
• E-Mail-Adresse
• Vertragsstatus (ggf. Datum der Angebotserstellung, Datum des Vertragsabschlusses, ggf. Datum der Stornierung)
• Bankverbindung (Kontoinhaber, IBAN, BIC) (für die Aufstockung)
(3) Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 b) DSGVO.
(4) Sofern wir im Rahmen der Leistungsregulierung Gesundheitsdaten verarbeiten, benötigen wir hierfür Ihre explizierte Einwilligung, gemäß Artikel 9 Abs. 2a DSGVO. Diese Einwilligung holen wir von Ihnen zu gegebener Zeit ein. Ohne diese Einwilligung ist eine Leistungsregulierung grundsätzlich nicht möglich. Hiervon ausgenommen ist der jährliche Vorsorgetest bei Krebs-Scan, da hier keine konkreten Gesundheitsdaten übermittelt werden und die Abrechnung direkt zwischen der HanseMerkur Krankenversicherung und der Zyagnum AG erfolgt.
6. Verarbeitung der personenbezogenen Daten des Angehörigen
(1) Auch versicherungsfähige Angehörige, der unter Punkt V. aufgeführten Mitarbeiter können im Rahmen des Gruppenversicherungsvertrages zur betrieblichen Pflegezusatzversicherung versichert werden. Die Erhebung bzw. Verarbeitung der personenbezogenen Daten der Angehörigen erfolgt zum Abschluss einer individuellen privaten Pflegezusatzversicherung.
(2) Dabei können folgende personenbezogene Daten der Angehörigen von uns erfasst und verarbeitet werden:
• Vor- und Nachname
• Geburtsdatum
• Anrede
• Privatanschrift
• Telefonnummer/Mobilnummer
• E-Mail-Adresse
• Vertragsstatus (Datum der Angebotserstellung, Datum des Vertragsabschlusses, ggf. Datum der Stornierung)
• Verwandtschaftsverhältnis zum Mitarbeiter
• Angaben zur Größe und Gewicht
• Bankverbindung (Kontoinhaber, IBAN, BIC) (für das Zusatzmodul Familie)
(3) Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 b) DSGVO.
7. Verarbeitung der personenbezogenen Daten der Versicherungsvermittler
(1) Um die Beratung der Mitarbeiter und ihrer Angehörigen zur Pflegezusatzversicherung zu gewährleisten, können auch Versicherungsvermittler auf das Portal zugreifen, wenn die betreffende versicherte Person ausdrücklich zugestimmt hat. Die personenbezogenen Daten dieser Versicherungsvermittler werden von der HanseMerkur oder von einem eingeschalteten Vermittlers, einem Dienstleister oder einem Untervermittler in das Portal eingepflegt und können von den Versicherungsvermittlern bearbeitet werden.
(2) Es können die nachfolgenden personenbezogenen Daten der Versicherungsvermittler erhoben und verarbeitet werden:
• Vor- und Nachname
• Anschrift
• Telefonnummer
• E-Mail-Adresse
• Bankverbindungsdaten (Kontoinhaber, IBAN, BIC)
• zugehöriges Unternehmen
• Geburtsdatum
• Vermittlernummer
• individueller Zertifizierungsstatus
(3) Die hier genannten personenbezogenen Daten werden erhoben und verarbeitet, um den Versicherungsvermittlern die Beratung und Vermittlung der Versicherungsprodukte zur Aufstockung und / oder Familienabsicherung zu ermöglichen. Die rechtliche Grundlage für die Datenverarbeitung sind gemäß Art. 6 Abs. 1 b) DSGVO die Vertriebsvereinbarung sowie der mit dem einzelnen Versicherungsvermittler bestehende Vermittlervertrag.
8. Besondere Kategorien personenbezogener Daten
(1) Im Portal verarbeiten wir auch sensible Daten der Mitarbeiter der Unternehmen und ihrer Angehörigen (Gesundheitsdaten), die gemäß Art. 9 DSGVO einem besonderen Schutz unterliegen.
(2) Die Verarbeitung dieser Daten erfolgt ausschließlich zum Abschluss einer individuellen privaten Pflegeversicherung (Aufstockung und / oder Familie). Soweit eine Verarbeitung dieser besonders schützenswerten Daten erforderlich ist, erfolgt sie nur mit Einwilligung der Betroffenen nach Art. 9 Abs. 2 a) i. V. m. Art. 7 DSGVO.
9. Video- und Audiokonferenz und individuelle Nachrichten
(1) Die Beratung kann auch im Rahmen einer Video- und/oder Audiokonferenz (Remote-Beratung) stattfinden, bei der Bild- bzw. Audiodaten verarbeitet werden. Diese Datenverarbeitung wird zum Vertragsabschluss und zur Beratung gemäß Art. 6 Abs. 1 b) DSGVO durchgeführt.
(2) Außerdem besteht die Möglichkeit der Kommunikation zwischen dem Mitarbeiter eines Unternehmens und seinem Versicherungsvermittler über die Nachrichtenfunktion. Die in den dabei ausgetauschten Nachrichten enthaltenen personenbezogenen Daten werden ebenfalls im Portal verarbeitet. Rechtsgrundlage dafür ist Art. 6 Abs. 1 b) DSGVO.
10. Datensicherheit
(1) Wir verarbeiten personenbezogenen Daten nur, soweit dies im Einklang mit datenschutzrechtlichen Bestimmungen möglich ist. Dazu haben wir umfangreiche technische und organisatorische Schutzvorkehrungen getroffen, um Ihre Daten vor zufälligen oder vorsätzlichen Manipulationen, Verlust, Zerstörung oder dem Zugriff unberechtigter Personen zu schützen.
(2) Unsere Sicherheitsverfahren werden regelmäßig überprüft und dem technologischen Fortschritt angepasst. Unsere Mitarbeiter sind selbstverständlich verpflichtet, beim Umgang mit Daten die gesetzlichen Regelungen zum Datenschutz zu beachten.
11. Weitere Empfänger der personenbezogenen Daten
(1) Ihre personenbezogenen Daten werden auch an Stellen außerhalb der verantwortlichen Stellen übermittelt, wenn gesetzliche Bestimmungen dies vorsehen, Sie in die Übermittlung der Daten eingewilligt haben oder wir zur Weitergabe im Rahmen einer Auftragsverarbeitung befugt sind. Die Übermittlung Ihrer Daten an diese Stellen erfolgt ausschließlich im zur Erfüllung unserer Verpflichtungen erforderlichen Rahmen und unter Beachtung der datenschutzrechtlichen Vorgaben.
(2) Setzen wir Dienstleister zur Erfüllung unserer vertraglichen oder gesetzlichen Pflichten ein, so erhalten diese Dienstleister von uns nur die Daten, die sie zur Erfüllung ihrer jeweiligen Leistungen benötigen. Sämtliche Dienstleister sind vertraglich oder gesetzlich zur Einhaltung der datenschutzrechtlichen Vorgaben verpflichtet.
(3) Folgende Empfänger gibt es:
• IG BCE Bonusassekuranz GmbH, Fischerstraße 5, 30167 Hannover (Versicherungsvermittler für die Zusatzmodule zur Pflegezusatzversicherung)
• Bonusassekuranz GmbH, Reeperbahn 1, Tanzende Türme – 18. OG, 20359 Hamburg (Versicherungsvermittler für die Zusatzmodule zur Pflegezusatzversicherung)
• NVS Netfonds Versicherungsservice AG, Heidenkampsweg 73, 20097Hamburg (Abrechnungsdienstleister für die Zusatzmodule zur Pflegezusatzversicherung)
• x-ion GmbH, Marschnerstraße 52, 22081 Hamburg (Technischer Portaldienstleister)
12. Übermittlung Ihrer Daten in ein Drittland
(1) Es erfolgt keine Übermittlung Ihrer personenbezogenen Daten in ein Drittland außerhalb der EU und des Europäischen Wirtschaftsraumes
(2) Personenbezogene Daten, die bei Besuch unserer Website erhoben werden (Punkt III), speichern wir in Form von Logdateien für eine Dauer von 14 Tagen. Diese werden anschließend durch ein automatisiertes Löschverfahren entfernt. Die durch Cookies erzeugten Daten (Punkt IV) sind für einen Zeitraum von maximal 12 Stunden valide.
(3) Die übrigen aufgeführten personenbezogenen Daten werden von uns verarbeitet, solange Sie dieses Portal nutzen. Endet die Nutzung des Portals, werden Ihre Daten gelöscht, sofern unsererseits keine Aufbewahrungspflichten entgegenstehen.
13. Angaben zur Speicherdauer
(1) Die von Ihnen erhobenen personenbezogenen Daten unterliegen unterschiedlichen Speicherfristen, die unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen bestimmt werden.
(2) Personenbezogene Daten, die bei Besuch unserer Website erhoben werden (Punkt III), speichern wir in Form von Logdateien für eine Dauer von 14 Tagen. Diese werden anschließend durch ein automatisiertes Löschverfahren entfernt. Die durch Cookies erzeugten Daten (Punkt IV) sind für einen Zeitraum von maximal 12 Stunden valide.
(3) Die übrigen aufgeführten personenbezogenen Daten werden von uns verarbeitet, solange Sie dieses Portal nutzen. Endet die Nutzung des Portals, werden Ihre Daten gelöscht, sofern unsererseits keine Aufbewahrungspflichten entgegenstehen.
14. Ihre Rechte nach der Datenschutz-Grundverordnung
(1) Bezüglich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen nach den Regelungen der DSGVO die nachfolgenden Rechte zu:
• Recht auf Auskunft, Art. 15 DSGVO
• Recht auf Berichtigung, Art. 16 DSGVO
• Recht auf Löschung, Art. 17 DSGVO
• Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO
• Recht auf Datenübertragbarkeit, Art. 20 DSGVO
(2) Ihr Widerrufsrecht: Sie haben das Recht, eine einmal erteilte Einwilligung in die Erhebung und Verarbeitung Ihrer personenbezogenen Daten und Gesundheitsdaten jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO). Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt; als Folge kann ggf. ein Leistungsfall nicht bearbeitet werden.
(3) Ihr Widerspruchsrecht: Bestimmte Daten verarbeiten wir im Rahmen einer Interessensabwägung nach Art. 6 Abs. 1f) DSGVO. Dieser Verarbeitung können Sie jederzeit aus Gründen widersprechen, die sich aus Ihrer persönlichen Situation ergeben (Art. 21 DSGVO). Legen Sie Widerspruch ein und ist dieser begründet, werden wir Ihre Daten nicht mehr zu den genannten Zwecken verarbeiten. Ausnahmsweise werden wir die Verarbeitung Ihrer Daten fortsetzen, wenn wir zwingende schutzwürdige Gründe vorbringen können, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
(4) Sie haben die Möglichkeit, sich mit einer Beschwerde an unseren Datenschutzbeauftragten (Kontakt siehe oben) oder an eine Datenschutzaufsichtsbehörde zu wenden.