Code of Conduct

Die Öffentliche nutzt/verarbeitet Ihre personenbezogenen Daten streng nach dem Bundesdatenschutzgesetz und der Datenschutz-Grundverordnung (DSGVO) und hat sich hierzu in einem Verhaltenskodex, dem sogenannten Code of Conduct zur Einhaltung der gesetzlichen Vorschriften verpflichtet.
I. Einleitung
  • Der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) mit Sitz in Berlin ist die Dachorganisation der privaten Versicherer in Deutschland. Ihm gehören über 450 Mitgliedsunternehmen an. Diese bieten als Risikoträger Risikoschutz und Unterstützung sowohl für private Haushalte als auch für Industrie, Gewerbe und öffentliche Einrichtungen. Der Verband setzt sich für alle die Versicherungswirtschaft betreffenden Fachfragen und für ordnungspolitische Rahmenbedingungen ein, die den Versicherern die optimale Erfüllung ihrer Aufgaben ermöglichen.

    Die Versicherungswirtschaft ist von jeher darauf angewiesen, in großem Umfang personenbezogene Daten der Versicherten zu verwenden. Sie werden zur Antrags-, Vertrags- und Leistungsabwicklung erhoben, verarbeitet und genutzt, um Versicherte zu beraten und zu betreuen sowie um das zu versichernde Risiko einzuschätzen, die Leistungspflicht zu prüfen und Versicherungsmissbrauch im Interesse der Versichertengemeinschaft zu verhindern. Versicherungen können dabei heute ihre Aufgaben nur noch mit Hilfe der elektronischen Datenverarbeitung erfüllen.

    Die Wahrung der informationellen Selbstbestimmung und der Schutz der Privatsphäre sowie die Sicherheit der Datenverarbeitung sind für die Versicherungswirtschaft ein Kernanliegen, um das Vertrauen der Versicherten zu gewährleisten. Alle Regelungen zur Verarbeitung personenbezogener Daten müssen nicht nur im Einklang mit den Bestimmungen der Europäischen Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes und aller einschlägigen bereichsspezifischen Vorschriften über den Datenschutz stehen, sondern die beigetretenen Unternehmen der Versicherungswirtschaft verpflichten sich darüber hinaus, den Grundsätzen der Transparenz, der Erforderlichkeit der verarbeiteten Daten und der Datenminimierung in besonderer Weise nachzukommen.

    Hierzu hat der GDV im Einvernehmen mit seinen Mitgliedsunternehmen die folgenden Verhaltensregeln für den Umgang mit den personenbezogenen Daten der Versicherten aufgestellt. Sie schaffen für die Versicherungswirtschaft weitestgehend einheitliche Standards und fördern die Einhaltung von datenschutzrechtlichen Regelungen. Unternehmen, die die brancheninternen Verhaltensregeln anwenden, stellen damit nach Auffassung der unabhängigen Datenschutzbehörden des Bundes und der Länder damit sicher, dass die Vorgaben der Datenschutz-Grundverordnung für die Versicherungswirtschaft branchenspezifisch konkretisiert werden. Die Mitgliedsunternehmen des GDV, die diesen Verhaltensregeln gemäß Artikel 30 beigetreten sind, verpflichten sich damit zu deren Einhaltung.

    Die Verhaltensregeln sollen den Versicherten der beigetretenen Unternehmen die Gewähr bieten, dass Datenschutz- und Datensicherheitsbelange bei der Gestaltung und Bearbeitung von Produkten und Dienstleistungen berücksichtigt werden. Der GDV versichert seine Unter-stützung bei diesem Anliegen. Die beigetretenen Unternehmen weisen ihre Führungskräfte und ihre Mitarbeiterinnen und Mitarbeiter an, die Verhaltensregeln einzuhalten. Antragsteller und Versicherte werden über die Verhaltensregeln informiert.

    Darüber hinaus sollen mit den Verhaltensregeln zusätzliche Einwilligungen möglichst entbehrlich gemacht werden. Grundsätzlich sind solche nur noch für die Verarbeitung von besonders sensiblen Arten personenbezogener Daten – wie Gesundheitsdaten – sowie für die Verarbeitung personenbezogener Daten zu Zwecken der Werbung oder der Markt- und Meinungsforschung erforderlich. Für die Verarbeitung von besonders sensiblen Arten personenbezogener Daten – wie Gesundheitsdaten – hat der GDV gemeinsam mit den zuständigen Aufsichtsbehörden Mustererklärungen mit Hinweisen zu deren Verwendung erarbeitet. Die beigetretenen Unternehmen sind von den Datenschutzbehörden aufgefordert – angepasst an ihre Geschäftsabläufe – Einwilligungstexte zu verwenden, die der Musterklausel entsprechen.

    Die vorliegenden Verhaltensregeln konkretisieren und ergänzen die datenschutzrechtlichen Regelungen für die Versicherungsbranche. Als Spezialregelungen für die beigetretenen Mitgliedsunternehmen des GDV erfassen sie die wichtigsten Verarbeitungen personenbezogener Daten, welche die Unternehmen im Zusammenhang mit der Begründung, Durchführung, Beendigung oder Akquise von Versicherungsverträgen sowie zur Erfüllung gesetzlicher Verpflichtungen vornehmen.

    Da die Verhaltensregeln geeignet sein müssen, die Datenverarbeitung aller beigetretenen Unternehmen zu regeln, sind sie möglichst allgemeingültig formuliert. Deshalb kann es erforderlich sein, dass die einzelnen Unternehmen diese in unternehmensspezifischen Regelungen konkretisieren. Das mit den Verhaltensregeln erreichte Datenschutz- und Datensicherheitsniveau wird dabei nicht unterschritten. Darüber hinaus ist es den Unternehmen unbenommen, Einzelregelungen mit datenschutzrechtlichem Mehrwert, z. B. für besonders sensible Daten wie Gesundheitsdaten oder für die Verarbeitung von Daten im Internet, zu treffen. Haben die beigetretenen Unternehmen bereits solche besonders datenschutzfreundliche Regelungen getroffen oder bestehen mit den zuständigen Aufsichtsbehörden spezielle Vereinbarungen oder Absprachen zu besonders datenschutzgerechten Verfahrensweisen, behalten diese selbstverständlich auch nach dem Beitritt zu diesen Verhaltensregeln ihre Gültigkeit.

    Unbeschadet der hier getroffenen Regelungen gelten die Vorschriften der DSGVO und des Bundesdatenschutzgesetzes. Unberührt bleiben die Vorschriften zu Rechten und Pflichten von Beschäftigten der Versicherungswirtschaft.
II. Begriffsbestimmungen
  • Für die Verhaltensregeln gelten die Begriffsbestimmungen der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes.
    Darüber hinaus sind:
    Unternehmen: 
    die Mitgliedsunternehmen des GDV, soweit sie das Versicherungsgeschäft als Erstversicherer betreiben sowie mit diesem in einer Gruppe von Versicherungs- und Finanzdienstleistungsunternehmen verbundene Erstversicherungsunternehmen, einschließlich Pensionsfonds, die diesen Verhaltensregeln beigetreten sind,
     
    Versicherungsverhältnis:
    Versicherungsvertrag einschließlich der damit im Zusammenhang stehenden vorvertraglichen Maßnahmen und rechtlichen Verpflichtungen,
     
    Betroffene Personen:
    Versicherte, Antragsteller oder weitere Personen, deren personenbezogene Daten im Zusammenhang mit dem Versicherungsgeschäft verarbeitet werden,
     
    Versicherte:
    • Versicherungsnehmer und Versicherungsnehmerinnen des Unternehmens,
    • versicherte Personen einschließlich der Teilnehmer an Gruppenversicherungen,
     
    Antragsteller:
    Personen, die ein Angebot angefragt haben oder einen Antrag auf Abschluss eines Versicherungsvertrages stellen, unabhängig davon, ob der Versicherungsvertrag zustande kommt,
     
    weitere Personen:
    außerhalb des Versicherungsverhältnisses stehende betroffene Personen, wie Geschädigte, Zeugen und sonstige Personen, deren Daten das Unternehmen im Zusammenhang mit der Begründung, Durchführung oder Beendigung eines Versicherungsverhältnisses verarbeitet,
     
    Geschädigte:
    Personen, die einen Schaden erlitten haben oder erlitten haben könnten, wie z. B. Anspruchsteller in der Haftpflichtversicherung
     
    Datenverarbeitung:
    Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermitteln, Verbreiten oder Bereitstellen in einer anderen Form, Abgleichen oder Verknüpfen oder Einschränken der Verarbeitung sowie Löschen oder Vernichten personenbezogener Daten,
     
    Datenerhebung:
    das Beschaffen von Daten über die betroffenen Personen,


    Automatisierte Verarbeitung:
    Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen,
     
    Automatisierte Entscheidung:
    Eine Entscheidung gegenüber einer einzelnen Person, die auf eine ausschließlich automatisierte Verarbeitung gestützt wird, ohne dass eine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat.
     
    Stammdaten:
    die allgemeinen Daten der betroffenen Personen: Name, Adresse, Geburtsdatum, Geburtsort, Kundennummer, Beruf, Familienstand, gesetzliche Vertreter, Angaben über die Art der bestehenden Verträge (wie Vertragsstatus, Beginn- und Ablaufdaten, Versicherungsnummer(n), Zahlungsart, Rollen der betroffenen Person (z. B. Versicherungsnehmer, versicherte Person, Beitragszahler, Anspruchsteller), sowie Kontoverbindung, Telekommunikationsdaten, Authentifizierungsdaten für die elektronische oder telefonische Kommunikation, Werbesperren und andere Widersprüche, Werbeeinwilligung und Sperren für Markt- und Meinungsforschung, Vollmachten und Betreuungsregelungen, zuständige Vermittler und mit den genannten Beispielen vergleichbare Daten.
     
    Dienstleister:
    andere Unternehmen oder Personen, die eigenverantwortlich Aufgaben für das Unternehmen wahrnehmen,
     
    Auftragsverarbeiter:
    eine natürliche oder juristische Person, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des verantwortlichen Unternehmens verarbeitet,
     
    Vermittler:
    selbstständig handelnde natürliche Personen (Handelsvertreter) und Gesellschaften, welche als Versicherungsvertreter, oder -makler im Sinne des § 59 Versicherungsvertragsgesetz (VVG) Versicherungsverträge vermitteln oder abschließen.
     
    Schutzwürdige Interessen:
    Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
III. Allgemeine Bestimmungen
  • Art. 1 Geltungsbereich

    (1) Die Verhaltensregeln gelten für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Versicherungsgeschäft durch die Unternehmen. Dazu gehört neben dem Versicherungsverhältnis insbesondere die Erfüllung gesetzlicher Ansprüche, auch wenn ein Versicherungsvertrag nicht zustande kommt, nicht oder nicht mehr besteht. Zum Versicherungsgeschäft gehören auch die Gestaltung und Kalkulation von Tarifen und Produkten.

    (2) Unbeschadet der hier getroffenen Regelungen gelten die gesetzlichen Vorschriften zum Datenschutz, insbesondere die EU-Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz.
     

    Art. 2 Zwecke der Verarbeitung

    (1) Die Verarbeitung personenbezogener Daten erfolgt für die Zwecke des Versicherungsgeschäfts grundsätzlich nur, soweit dies zur Begründung, Durchführung und Beendigung von Versicherungsverhältnissen erforderlich ist, insbesondere zur Bearbeitung eines Antrags, zur Beurteilung des zu versichernden Risikos, zur Erfüllung der Beratungspflichten nach dem Versicherungsvertragsgesetz (VVG), zur Prüfung einer Leistungspflicht und zur internen Prüfung des fristgerechten Forderungsausgleichs. Sie erfolgt auch zur Prüfung und Regulierung der Ansprüche Geschädigter in der Haftpflichtversicherung, zur Prüfung und Abwicklung von Regressforderungen, zum Abschluss und zur Durchführung von Rückversicherungsverträgen, zur Entwicklung von Tarifen, Produkten und Services, zur Erstellung von Statistiken, für versicherungsrelevante Forschungszwecke, z. B. Unfallforschung, zur Missbrauchsbekämpfung oder zur Erfüllung gesetzlicher und aufsichtsrechtlicher Verpflichtungen oder zu Zwecken der Werbung sowie der Markt- und Meinungsforschung.
     
    (2) Die personenbezogenen Daten werden grundsätzlich im Rahmen der den betroffenen Personen bekannten Zweckbestimmung verarbeitet. Eine Änderung oder Erweiterung der Zweckbestimmung erfolgt nur, wenn sie rechtlich zulässig ist und die betroffenen Personen nach Artikel 7 bzw. 8 dieser Verhaltensregeln darüber informiert wurden oder wenn die betroffenen Personen eingewilligt haben.
     

    Art. 3 Grundsätze zur Qualität der Datenverarbeitung

    (1) Die Unternehmen verpflichten sich, alle personenbezogenen Daten in rechtmäßiger und den schutzwürdigen Interessen der betroffenen Person entsprechender und nachvollziehbarer Weise zu verarbeiten.

    (2) Die Datenverarbeitung richtet sich an dem Ziel der Datenminimierung und Speicherbegrenzung aus. Personenbezogene Daten werden vorbehaltlich der Zwecke Forschung und Statistik nach Maßgabe des Art. 5 Abs. 1 lit. e) DSGVO in einer Form gespeichert, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist. Insbesondere werden die Möglichkeiten zur Anonymisierung und Pseudonymisierung genutzt, soweit dies möglich ist und der Aufwand nicht unverhältnismäßig zu dem angestrebten Schutzzweck ist. Dabei wird die Anonymisierung der Pseudonymisierung vorgezogen.

    (3) Das Unternehmen trägt dafür Sorge, dass die vorhandenen personenbezogenen Daten richtig und erforderlichenfalls auf dem aktuellen Stand gespeichert sind. Es werden alle angemessenen Maßnahmen dafür getroffen, dass nicht zutreffende oder unvollständige Daten unverzüglich berichtigt, gelöscht oder in der Verarbeitung eingeschränkt werden.

    (4) Die Maßnahmen nach den vorstehenden Absätzen werden dokumentiert. Grundsätze hierfür werden in das Datenschutzkonzept der Unternehmen aufgenommen (Art. 4 Abs. 2).
     

    Art. 4 Grundsätze der Datensicherheit

    (1) Zur Gewährleistung der Datensicherheit werden die erforderlichen technischorganisatorischen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei werden angemessene Maßnahmen getroffen, die insbesondere gewährleisten können, dass
     
    • 1. nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit). Mittel hierzu sind insbesondere Berechtigungskonzepte, Pseudonymisierung oder Verschlüsselung personenbezogener Daten.
    • 2. personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität).
    • 3. personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit, Belastbarkeit).
    • 4. jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität).
    • 5. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise eingegeben, übermittelt und verändert hat (Revisionsfähigkeit).
    • 6. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz).

    (2) Die in den Unternehmen veranlassten Maßnahmen werden in ein umfassendes, die Verantwortlichkeiten regelndes Datenschutz und -sicherheitskonzept integriert, welches unter Einbeziehung der betrieblichen Datenschutzbeauftragten erstellt wird. Es beinhaltet insbesondere Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der getroffenen Maßnahmen.
     

    Art. 5 Einwilligung

    (1) Soweit die Verarbeitung personenbezogener Daten auf eine Einwilligung sowie – soweit erforderlich – auf eine Schweigepflichtentbindungserklärung der betroffenen Personen gestützt wird, stellt das Unternehmen sicher, dass diese freiwillig, in informierter Weise und unmissverständlich bekundet wird, wirksam und nicht widerrufen ist. Soweit besondere Kategorien personenbezogener Daten – insbesondere Daten über die Gesundheit – verarbeitet werden, muss die diesbezügliche Einwilligung ausdrücklich abgegeben sein.

    (2) Soweit die Verarbeitung personenbezogener Daten von Minderjährigen auf eine Einwilligung sowie – soweit erforderlich – auf eine Schweigepflichtentbindungserklärung gestützt wird, werden diese Erklärungen von dem gesetzlichen Vertreter eingeholt. Frühestens mit Vollendung des 16. Lebensjahres werden diese Erklärungen bei entsprechender Einsichtsfähigkeit des Minderjährigen von diesem selbst eingeholt.

    (3) Das einholende Unternehmen bzw. der die Einwilligung einholende Vermittler stellt sicher und dokumentiert, dass die betroffenen Personen zuvor über die Verantwortliche(n) den Umfang, die Form und den Zweck der Datenverarbeitung sowie die Möglichkeit der Verweigerung und die Widerruflichkeit der Einwilligung und deren Folgen informiert sind. Art. 7 Abs. 3 dieser Verhaltensregeln bleibt unberührt.

    (4) Die Einwilligung und die Schweigepflichtentbindung können jederzeit mit Wirkung für die Zukunft ohne Angabe von Gründen widerrufen werden. Die betroffenen Personen werden über die Möglichkeiten und Folgen des Widerrufs einer Einwilligungserklärung informiert. Mögliche Folge eines wirksamen Widerrufs kann insbesondere sein, dass eine Leistung nicht erbracht werden kann.

    (5) Wird die Einwilligung schriftlich oder elektronisch zusammen mit anderen Erklärungen eingeholt, wird sie so hervorgehoben, dass sie ins Auge fällt.

    (6) Eine Einwilligung kann schriftlich, elektronisch oder mündlich erteilt werden. Das Unternehmen wird die Erklärung so dokumentieren, dass der Inhalt der jeweils erteilten Einwilligungserklärung nachgewiesen werden kann. Auf Verlangen wird den betroffenen Personen der Erklärungsinhalt zur Verfügung gestellt.

    (7) Wird die Einwilligung mündlich eingeholt, ist dies den betroffenen Personen unverzüglich schriftlich oder in Textform zu bestätigen.
     

    Art. 6 Besondere Kategorien personenbezogener Daten

    (1) Besondere Kategorien personenbezogener Daten im Sinne der EU-Datenschutz-Grundverordnung (insbesondere Angaben über die Gesundheit) werden auf gesetzlicher Grundlage (insbesondere Art. 6 i.V.m. Art. 9 Datenschutz-Grundverordnung) oder mit Einwilligung der betroffenen Personen nach Artikel 5 und – soweit erforderlich – aufgrund einer Schweigepflichtentbindung erhoben und verarbeitet. Eine Einwilligung muss sich ausdrücklich auf diese Daten beziehen.

    (2) Die Verarbeitung besonderer Kategorien personenbezogener Daten auf gesetzlicher Grundlage ist zulässig, insbesondere wenn es zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Das gilt beispielsweise für die Prüfung und Abwicklung der Ansprüche von Versicherten sowie von Geschädigten in der Haftpflichtversicherung.

    (3) Darüber hinaus kann die Verarbeitung von Gesundheitsdaten betroffener Personen ohne deren Einwilligung erfolgen zur Geltendmachung, Prüfung und Abwicklung von gesetzlich geregelten Regressforderungen einerseits des Unternehmens oder andererseits eines Dritten, der gegenüber den betroffenen Personen eine Leistung erbracht hat, wie beispielsweise zur Prüfung und Abwicklung der Regressforderungen eines Sozialversicherungsträgers, Arbeitgebers oder privaten Krankenversicherers.

    (4) Die Verarbeitung besonderer Kategorien personenbezogener Daten kann im Rahmen der gesetzlichen Vorgaben auch dann zulässig sein, soweit es zur Gesundheitsvorsorge bzw. -versorgung erforderlich ist.

    (5) Ebenso kann die Verarbeitung von Gesundheitsdaten ohne Einwilligung erfolgen zum Schutz lebenswichtiger Interessen der betroffenen oder anderer Personen, wenn diese aus körperlichen oder rechtlichen Gründen außerstande sind, ihre Einwilligung zu geben, insbesondere wenn für diese Personen Assistance-Leistungen (z. B. Notrufdienste, Krankentransport aus dem Ausland oder Koordination der medizinischen Behandlung) vereinbart und sie im Leistungsfall außer Stande sind, ihre Einwilligung abzugeben, z. B. weil nach einem Unfall ein Krankentransport für eine bewusstlose Person nötig ist.

    (6) Die Verarbeitung besonderer Kategorien personenbezogener Daten erfolgt auch auf gesetzlicher Grundlage zu statistischen Zwecken sowie zu Forschungszwecken nach Maßgabe von Artikel 10 dieser Verhaltensregeln.
IV. Datenerhebung
  • Art. 7 Grundsätze zur Datenerhebung und Informationen bei Datenerhebung bei der betroffenen Person
    (1) Personenbezogene Daten werden in nachvollziehbarer Weise erhoben. Bei Versicherten und Antragstellern werden die Mitwirkungspflichten nach §§ 19, 31 VVG berücksichtigt.

    (2) Personenbezogene Daten weiterer Personen im Sinne dieser Verhaltensregeln werden erhoben und verarbeitet, wenn es zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Das gilt insbesondere für die Erhebung von Daten von Zeugen oder von Geschädigten anlässlich einer Leistungsprüfung und -erbringung in der Haftpflichtversicherung und für Datenverarbeitungen zur Erfüllung von Direktansprüchen in der Kfz-Haftpflichtversicherung oder zur Erfüllung von gesetzlichen Meldepflichten. Daten nach Satz 1 können auch erhoben und verarbeitet werden, wenn dies im Zusammenhang mit der Begründung, Durchführung oder Beendigung eines Versicherungsverhältnisses erforderlich ist und die schutzwürdigen Interessen dieser Personen nicht überwiegen, beispielsweise wenn Daten eines Rechtsanwalts oder einer Reparaturwerkstatt zur Korrespondenz im Leistungsfall benötigt werden.

    (3) Die Unternehmen stellen sicher, dass die betroffenen Personen zur Gewährleistung der Transparenz und zur Wahrung ihrer Rechte über Folgendes unterrichtet werden:

    a) die Identität des Verantwortlichen (Name, Sitz, Kontaktdaten, Vertretungsberechtigte),
    b) die Kontaktdaten des Datenschutzbeauftragten,
    c) die Zwecke und Rechtsgrundlagen (ggf. einschließlich der berechtigten Interessen) der Datenverarbeitung,
    d) ggf. Empfänger oder die Kategorien von Empfängern der personenbezogenen Daten,
    e) ggf. beabsichtigte Übermittlungen der personenbezogenen Daten in ein Drittland oder an eine internationale Organisation nach Maßgabe des Art. 13 Abs. 1 lit. f) DSGVO,
    f) die Speicherdauer (oder deren Kriterien) der personenbezogenen Daten,
    g) die im Abschnitt VIII dieser Verhaltensregeln geregelten Rechte der betroffenen Personen einschließlich der Beschwerdemöglichkeiten bei einer Aufsichtsbehörde sowie über ein ggf. bestehendes Widerspruchsrecht,
    h) wenn die Verarbeitung auf einer Einwilligung beruht: über das Recht zum Widerruf der Einwilligung und dessen Folgen,
    i) eine ggf. gesetzlich oder vertraglich bestehende oder für einen Vertragsschluss erforderliche Pflicht zur Angabe der Daten und die Folgen der Nichtangabe und
    j) bei Einsatz automatisierter Entscheidungen aussagekräftige Informationen über die eingesetzte Logik, Tragweite und Auswirkungen dieser Verarbeitung.
    Die Information unterbleibt, wenn und soweit die betroffenen Personen bereits auf andere Weise Kenntnis von ihnen erlangt haben.
     
    Art. 8 Datenerhebung ohne Mitwirkung der betroffenen Personen
    (1) Daten werden ohne Mitwirkung der betroffenen Personen erhoben, wenn dies im Zu-sammenhang mit der Begründung, Durchführung oder Beendigung von Versicherungsverhältnissen und insbesondere auch zur Prüfung und Bearbeitung von Leistungsansprüchen erforderlich ist. Das gilt beispielsweise, wenn der Versicherungsnehmer bei Gruppenversicherungen zulässigerweise die Daten der versicherten Personen oder bei Lebens- und Unfallversicherungen die Daten der Bezugsberechtigten angibt oder er in der Haftpflichtversicherung Angaben über den Geschädigten oder Zeugen macht. Ohne Mitwirkung der betroffenen Person können personenbezogene Daten auch zu Zwecken nach Art. 10 Abs. 1 erhoben werden.
    (2) Die Erhebung von Gesundheitsdaten oder genetischen Daten bei Dritten erfolgt – soweit erforderlich – mit wirksamer Schweigepflichtentbindungserklärung der betroffenen Per-sonen und nach Maßgabe des § 213 VVG und § 18 GenDG, soweit diese Vorschriften anzuwenden sind. Die Erhebung von besonderen Kategorien personenbezogener Daten bei Dritten kann auch erforderlich sein in den in Artikel 6 Absatz 2 bis 5 dieser Verhaltensregeln genannten Fällen.

    (3) Das Unternehmen, das personenbezogene Daten ohne Mitwirkung der betroffenen Personen erhebt, stellt sicher, dass die betroffenen Personen innerhalb einer im Einzelfall angemessenen Frist, längstens jedoch innerhalb eines Monats, nach der ersten Erlangung der Daten informiert werden über:

    a) die Identität des Verantwortlichen (Name, Sitz, Kontaktdaten, Vertretungsberechtigte),
    b) die Kontaktdaten des Datenschutzbeauftragten,
    c) die Zwecke und Rechtsgrundlagen (ggf. einschließlich der berechtigten Interessen) der Datenverarbeitung,
    d) die Kategorien personenbezogener Daten, die verarbeitet werden,
    e) ggf. Empfänger oder die Kategorien von Empfängern der personenbezogenen Daten,
    f) ggf. beabsichtigte Übermittlungen der personenbezogenen Daten in ein Drittland oder an eine internationale Organisation nach Maßgabe des Art. 14 Abs. 1 lit. f) DSGVO,
    g) die Speicherdauer (oder deren Kriterien) der personenbezogenen Daten,
    h) die im Abschnitt VIII dieser Verhaltensregeln geregelten Rechte der betroffenen Personen einschließlich der Beschwerdemöglichkeiten bei einer Aufsichtsbehörde,
    i) wenn die Verarbeitung auf einer Einwilligung beruht: über das Recht zum Widerruf der Einwilligung und dessen Folgen,
    j) die Quelle der personenbezogenen Daten bzw. ob sie aus einer öffentlich zugänglichen Quelle stammen und
    k) bei Einsatz automatisierter Entscheidungen aussagekräftige Informationen über die eingesetzte Logik, Tragweite und Auswirkungen dieser Verarbeitung.
    Falls die Daten zur Kommunikation mit den betroffenen Personen verwendet werden sollen, erfolgt die Information spätestens mit der ersten Mitteilung an sie, zum Beispiel in Fällen der Benennung von Bezugsberechtigten in der Lebensversicherung bei Eintritt des Leistungsfalls oder in Fällen der Benennung von Berechtigten für Notfälle, wenn dieser eintritt. Falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, erfolgt die In-formation spätestens zum Zeitpunkt der ersten Offenlegung.
    (4) Die Information unterbleibt, wenn und soweit die betroffenen Personen bereits über die Informationen verfügen, sich die Erteilung der Informationen als unmöglich erweist oder die Information einen unverhältnismäßigen Aufwand erfordern würde, insbesondere wenn Daten für statistische oder wissenschaftliche Zwecke verarbeitet werden oder wenn gespeicherte Daten aus allgemein zugänglichen Quellen entnommen sind und eine Benachrichtigung wegen der Vielzahl der betroffenen Fälle unverhältnismäßig ist. Die Information unterbleibt auch, wenn die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen des überwiegenden berechtigten Interesses eines Dritten, geheim gehalten werden müssen. Dies betrifft beispielsweise Fälle in der Lebens-versicherung, in denen sich der Versicherungsnehmer wünscht, dass ein Bezugsberechtigter nicht informiert wird.
    (5) Ebenso unterbleibt die Information nach Maßgabe des § 33 Abs. 1 Nr. 2 Bundesdatenschutzgesetz in Verbindung mit Art. 23 Abs. 1 lit. j) DSGVO, wenn:
    - sie die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche beeinträchtigen würde oder die Verarbeitung von personenbezogenen Daten aus zivilrechtlichen Verträgen beinhaltet und der Verhütung von Schäden durch Straftaten dient, sofern nicht das berechtigte Interesse der betroffenen Person an der Informationserteilung überwiegt oder
    - das Bekanntwerden der Informationen die behördliche Strafverfolgung gefährden würde.
    Daher erfolgt regelmäßig keine Information über Datenerhebungen zur Aufklärung von Widersprüchlichkeiten gemäß Artikel 15 dieser Verhaltensregeln.

    (6) In den Fällen des Absatzes 5 ergreift das Unternehmen geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Personen (z. B. Prüfung und gegebenenfalls Veranlassung weiterer Zugriffsbeschränkungen). Sofern das Unternehmen von einer Information absieht, dokumentiert es die Gründe dafür.
V. Verarbeitung personenbezogener Daten
  • Art. 9 Verarbeitung von Stammdaten in der Unternehmensgruppe
    (1) Wenn das Unternehmen einer Gruppe von Versicherungs- und Finanzdienstleistungsunternehmen angehört, können die Stammdaten von Antragstellern, Versicherten und weiteren Personen sowie Angaben über den Zusammenhang mit bestehenden Verträgen zur zentralisierten Bearbeitung von bestimmten Verfahrensabschnitten im Geschäftsablauf (z. B. Telefonate, Post, Inkasso) in einem von Mitgliedern der Gruppe gemeinsam nutzbaren Datenverarbeitungsverfahren verarbeitet werden, wenn sichergestellt ist, dass die technischen und organisatorischen Maßnahmen nach Maßgabe des Art. dieser Verhaltensregeln (z. B. Berechtigungskonzepte) den datenschutzrechtlichen Anforderungen entsprechen und die Einhaltung dieser Verhaltensregeln durch den oder die für das Verfahren Verantwortlichen gewährleistet ist.
    (2) Stammdaten werden aus gemeinsam nutzbaren Datenverarbeitungsverfahren nur weiterverarbeitet, soweit dies für den jeweiligen Zweck erforderlich ist. Dies ist technisch und organisatorisch zu gewährleisten.
    (3) Erfolgt eine gemeinsame Verarbeitung von Daten gemäß Absatz 1, werden die Versicherten darüber bei Vertragsabschluss oder bei Neueinrichtung eines solchen Verfahrens in Textform informiert. Dazu hält das Unternehmen eine aktuelle Liste aller Unternehmen der Gruppe bereit, die an einer zentralisierten Bearbeitung teilnehmen und macht diese in geeigneter Form bekannt.
    (4) Nimmt ein Unternehmen für ein anderes Mitglied der Gruppe weitere Datenverarbeitungen vor oder finden gemeinsame Verarbeitungen mehrerer Mitglieder der Gruppe statt, richtet sich dies nach Artikel 21 bis 22a dieser Verhaltensregeln.
     
    Art. 10 Statistik, Tarifkalkulation und Prämienberechnung
    (1) Die Versicherungswirtschaft errechnet auf der Basis von Statistiken und Erfahrungswerten mit Hilfe versicherungsmathematischer Methoden die Wahrscheinlichkeit des Eintritts von Versicherungsfällen sowie deren Schadenhöhe und entwickelt auf dieser Grundlage Tarife. Dazu werten Unternehmen neben Daten aus Versicherungsverhältnissen, Leistungs- und Schadenfällen auch andere Daten von Dritten (z. B. des Kraftfahrtbundesamtes) aus.
    (2) Die Unternehmen stellen durch geeignete technische und organisatorische Maßnahmen sicher, dass die Rechte und Freiheiten der betroffenen Personen gemäß der Datenschutz-Grundverordnung gewahrt werden, insbesondere dass die Verarbeitung personenbezogener Daten auf das für die jeweilige Statistik notwendige Maß beschränkt wird. Zu diesen Maßnahmen gehört die frühzeitige Anonymisierung oder Pseudonymisierung der Daten, sofern es möglich ist, den Statistikzweck auf diese Weise zu erfüllen.
    (3) Eine Übermittlung von Daten an den Gesamtverband der Deutschen Versicherungswirtschaft e. V., den Verband der Privaten Krankenversicherung e. V. oder andere Stellen zur Errechnung unternehmensübergreifender Statistiken oder Risikoklassifizierungen erfolgt grundsätzlich nur in anonymisierter oder – soweit für den Statistikzweck erforderlich – pseudonymisierter Form. Ein Rückschluss auf die betroffenen Personen durch diese Verbände erfolgt nicht. Absatz 2 gilt entsprechend. Für Kraftfahrt- und Sachversicherungsstatistiken können auch Datensätze mit personenbeziehbaren Sachangaben wie z. B. Kfz-Kennzeichen, Fahrzeugidentifikationsnummern oder Standortdaten von Risikoobjekten wie beispielsweise Gebäuden übermittelt werden.
    (4) Für Datenverarbeitungen zu statistischen Zwecken können Unternehmen auch besondere Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten, verarbeiten, wenn dies für den jeweiligen Statistikzweck erforderlich ist und die Interessen des Unternehmens an der Verarbeitung die Interessen der betroffenen Personen an einem Ausschluss von der Verarbeitung erheblich überwiegen. Das gilt z. B. für Statistiken zur Entwicklung und Überprüfung von Tarifen oder zum gesetzlich vorgeschriebenen Risikomanagement. Die Unternehmen treffen in diesen Fällen angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen und insbesondere der in Artikel 3 und 4 geregelten Grundsätze. Zu den spezifischen Maßnahmen gehören wegen der besonderen Schutzbedürftigkeit der Daten beispielsweise:
    • die Sensibilisierung der an den Verarbeitungen beteiligten Mitarbeiter und Dienstleister,
    • die Pseudonymisierung personenbezogener Daten nach Absatz 2 Satz 2,
    • die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der Unternehmen oder beim Dienstleister und
    • Verschlüsselung
    beim Transport personenbezogener Daten.
    Alle personenbezogenen Daten werden anonymisiert, sobald dies nach dem Statistikzweck möglich ist, es sei denn, der Anonymisierung stehen berechtigte Interessen der betroffenen Personen entgegen. Bis dahin werden die Identifikationsmerkmale, mit denen Einzelangaben einer betroffenen Person zugeordnet werden könnten, gesondert gespeichert. Diese Identifikationsmerkmale dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Statistikzweck dies erfordert.
    (5) Die betroffenen Personen können der Verarbeitung ihrer personenbezogenen Daten für eine Statistik widersprechen, wenn aufgrund ihrer persönlichen Situation Gründe vorliegen, die der Verarbeitung ihrer Daten zu diesem Zweck entgegenstehen. Das Widerspruchsrecht besteht nicht, wenn die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe (z. B. der Beantwortung von Anfragen der Bundesanstalt für Finanzdienstleistungsaufsicht) erforderlich ist.
    (6) Zur Ermittlung der risikogerechten Prämie werden Tarife nach Absatz 1 auf die individuelle Situation des Antragstellers angewandt. Darüber hinaus kann eine Bewertung des individuellen Risikos des Antragstellers durch spezialisierte Risikoprüfer, z. B. Ärzte, in die Prämienermittlung einfließen. Hierzu werden auch personenbezogene Daten einschließlich ggf. besonderer Kategorien personenbezogener Daten, wie Gesundheitsdaten, verwendet, die nach Maßgabe dieser Verhaltensregeln verarbeitet worden sind.
    (7) Die Versicherungswirtschaft verarbeitet personenbezogene Daten entsprechend den vorstehenden Absätzen auch für Zwecke der wissenschaftlichen Forschung, zum Beispiel zur Unfallforschung.
     
    Art. 11 Scoring
    Für das Scoring gelten die gesetzlichen Regelungen.
     
    Art. 12 Bonitätsdaten
    Für die Erhebung, Verarbeitung und Nutzung von Bonitätsdaten gelten die gesetzlichen Regelungen.

    Art. 13 Automatisierte Einzelentscheidungen

    (1) Automatisierte Entscheidungen, die für die betroffenen Personen eine rechtliche Wirkung nach sich ziehen oder sie in ähnlicher Weise erheblich beeinträchtigen, werden nur unter den in Absatz 2, 3 und 4 genannten Voraussetzungen getroffen.
    (2) Eine Entscheidung, die für den Abschluss oder die Erfüllung eines Versicherungsvertrags mit der betroffenen Person oder im Rahmen der Leistungserbringung erforderlich ist, kann automatisiert erfolgen. Eine Erforderlichkeit ist insbesondere in folgenden Fällen gegeben:
    1. Entscheidungen gegenüber Antragstellern über den Abschluss und die Konditionen eines Versicherungsvertrages,
    2. Entscheidungen gegenüber Versicherungsnehmern über Leistungsfälle im Rahmen eines Versicherungsverhältnisses,
    3. Entscheidungen über die Erfüllung von Merkmalen bei verhaltensbezogenen Tarifen, z. B. das Fahrverhalten honorierende Rabatte in der Kfz-Versicherung.
    (3) Automatisierte Entscheidungen über Leistungsansprüche nach einem Versicherungsvertrag, z. B. Entscheidungen gegenüber mitversicherten Personen oder Geschädigten in der Haftpflichtversicherung, sind auch dann zulässig, wenn dem Begehren der betroffenen Person stattgegeben wird. Die Entscheidung kann im Rahmen der Leistungserbringung nach einem Versicherungsvertrag auch automatisiert ergehen, wenn die Entscheidung auf der Anwendung verbindlicher Entgeltregelungen für Heilbehandlungen beruht und das Unternehmen für den Fall, dass dem Antrag nicht vollumfänglich stattgegeben wird, angemessene Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Person trifft, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Unternehmens, auf Darlegung des eigenen Standpunktes und auf Anfechtung der Entscheidung zählt.

    (4) Darüber hinaus kann eine automatisierte Entscheidung mit ausdrücklicher Einwilligung der betroffenen Person erfolgen.
    (5) Besondere Kategorien personenbezogener Daten werden im Rahmen einer automatisierten Entscheidungsfindung verarbeitet, wenn die betroffenen Personen ihre Einwilligung erteilt haben. Automatisierte Entscheidungen mit besonderen Kategorien personenbezogener Daten sind auch ohne Einwilligung in den Fällen des Absatzes 3 möglich.
    (6) Sofern automatisierte Entscheidungen zu Lasten der betroffenen Personen getroffen werden, wird mindestens das Folgende veranlasst: Das Unternehmen teilt den betroffenen Personen mit, dass eine automatisierte Entscheidung getroffen wurde. Dabei werden ihnen, sofern sie nicht bereits informiert wurden, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der automatisierten Entscheidungsfindung mitgeteilt. Auf Verlangen werden den betroffenen Personen auch die wesentlichen Gründe der Entscheidungsfindung mitgeteilt und erläutert, um ihnen die Darlegung ihres Standpunktes, das Eingreifen einer Person seitens des Unternehmens und die Anfechtung der Entscheidung zu ermöglichen. Dies umfasst auch die verwendeten Datenarten sowie ihre Bedeutung für die automatisierte Entscheidung. Die betroffenen Personen haben das Recht, die Entscheidung anzufechten. Dann wird die Entscheidung auf dieser Grundlage in einem nicht ausschließlich automatisierten Verfahren erneut geprüft. Artikel 28 Absatz 1 dieser Verhaltensregeln gilt entsprechend.
    (7) Der Einsatz automatisierter Entscheidungsverfahren wird dokumentiert.
    (8) Die Unternehmen stellen sicher, dass technische und organisatorische Maßnahmen getroffen werden, damit Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden können und das Risiko von Fehlern minimiert wird. In Hinblick auf Gesundheitsdaten werden auch die gesetzlichen Vorgaben der §§ 37 Abs. 2, 22 Abs. 2 BDSG beachtet.
     
    Art. 14 Hinweis- und Informationssystem (HIS)
    (1) Die Unternehmen der deutschen Versicherungswirtschaft – mit Ausnahme der privaten Krankenversicherer – nutzen ein Hinweis- und Informationssystem (HIS) zur Unterstützung der Risikobeurteilung im Antragsfall, zur Sachverhaltsaufklärung bei der Leistungsprüfung sowie bei der Bekämpfung der missbräuchlichen Erlangung von Versicherungsleistungen. Der Betrieb und die Nutzung des HIS erfolgen auf Basis von Interessenabwägungen und festgelegten Einmeldekriterien.
    (2) Das HIS wird getrennt nach Versicherungssparten betrieben. In allen Sparten wird der Datenbestand in jeweils zwei Datenpools getrennt verarbeitet: in einem Datenpool für die Abfrage zur Risikoprüfung im Antragsfall (A-Pool) und in einem Pool für die Abfrage zur Leistungsprüfung (L-Pool). Die Unternehmen richten die Zugriffsberechtigungen für ihre Mitarbeiter entsprechend nach Sparten und Aufgaben getrennt ein.
    (3) Die Unternehmen melden Daten zu Fahrzeugen, Immobilien oder Personen an den Betreiber des HIS, wenn ein erhöhtes Risiko vorliegt oder wenn eine Auffälligkeit festgestellt wurde, soweit dies zur gegenwärtigen oder künftigen Aufdeckung oder zur Verhinderung der missbräuchlichen Erlangung von Versicherungsleistungen erforderlich ist und nicht überwiegende schutzwürdige Rechte und Freiheiten der betroffenen Personen dagegen sprechen. Eine Einwilligung der betroffenen Personen ist nicht erforderlich. Vor einer Einmeldung von Daten zu Personen erfolgt eine Abwägung der Interessen der Unternehmen und des Betroffenen. Bei Vorliegen der festgelegten Meldekriterien ist regelmäßig von einem überwiegenden berechtigten Interesse des Unternehmens an der Einmeldung auszugehen. Die Abwägung ist hinreichend aussagekräftig zu dokumentieren. Besondere Kategorien personenbezogener Daten, wie z. B. Gesundheitsdaten, werden nicht an das HIS gemeldet. Wenn erhöhte Risiken in der Personenversicherung als „Erschwernis“ gemeldet werden, geschieht dies ohne die Angabe, ob sie auf Gesundheitsdaten oder einem anderen Grund, z. B. einem gefährlichen Beruf oder Hobby, beruhen. Personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten werden ebenfalls nicht an das HIS gemeldet, es sei denn, die Verarbeitung wird unter behördlicher Aufsicht vorgenommen oder dies ist nach dem Unionsrecht oder dem nationalen Recht, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig.
    (4) Die Unternehmen informieren die Versicherungsnehmer bereits bei Vertragsabschluss in allgemeiner Form über das HIS unter Angabe des Verantwortlichen mit dessen Kontaktdaten. Sie benachrichtigen spätestens anlässlich der Einmeldung die betroffenen Personen mit den nach Art. 8 Absatz 3 relevanten Informationen. Eine Benachrichtigung kann in den Fällen des Art. 8 Abs. 5 dieser Verhaltensregelungen unterbleiben.
    (5) Ein Abruf von Daten aus dem HIS kann bei Antragstellung und im Leistungsfall erfolgen, nicht jedoch bei Auszahlung einer Kapitallebensversicherung im Erlebensfall. Der Datenabruf ist nicht die alleinige Grundlage für eine Entscheidung im Einzelfall. Die Informationen werden lediglich als Hinweis dafür gewertet, dass der Sachverhalt einer näheren Prüfung bedarf. Alle Datenabrufe erfolgen im automatisierten Abrufverfahren und werden protokolliert für Revisionszwecke und den Zweck, stichprobenartig deren Berechtigung prüfen zu können.
    (6) Soweit zur weiteren Sachverhaltsaufklärung erforderlich, können im Leistungsfall auch Daten zwischen dem einmeldenden und dem abrufenden Unternehmen ausgetauscht werden, wenn kein Grund zu der Annahme besteht, dass die betroffene Person ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat. So werden beispielsweise Daten und Gutachten über Kfz- oder Gebäude-Schäden bei dem Unternehmen angefordert, welches einen Schaden in das HIS eingemeldet hatte. Der Datenaustausch wird dokumentiert. Soweit der Datenaustausch nicht gemäß Artikel 15 dieser Verhaltensregeln erfolgt, werden die betroffenen Personen über den Datenaustausch informiert. 5Eine Information ist nicht erforderlich, solange die Aufklärung des Sachverhalts dadurch gefährdet würde oder wenn die betroffenen Personen auf andere Weise Kenntnis vom Datenaustausch erlangt haben.
    (7) Die im HIS gespeicherten Daten werden spätestens am Ende des 4. Jahres nach dem Vorliegen der Voraussetzung für die Einmeldung gelöscht. Zu einer Verlängerung der Speicherdauer auf maximal 10 Jahre kommt es in der Lebensversicherung im Leistungsbereich oder bei erneuter Einmeldung innerhalb der regulären Speicherzeit gemäß Satz 1. Daten zu Anträgen, bei denen kein Vertrag zustande gekommen ist, werden im HIS spätestens am Ende des 3. Jahres nach dem Jahr der Antragstellung gelöscht.
    (8) Der Gesamtverband der Deutschen Versicherungswirtschaft gibt unter Beachtung datenschutzrechtlicher Vorgaben einen detaillierten Leitfaden zur Nutzung des HIS an die Unternehmen heraus.
     
    Art. 15 Aufklärung von Widersprüchlichkeiten
    (1) Die Unternehmen können jederzeit bei entsprechenden Anhaltspunkten prüfen, ob bei der Antragstellung oder bei Aktualisierungen von Antragsdaten während des Versicherungsverhältnisses unrichtige oder unvollständige Angaben gemacht wurden und damit die Risikobeurteilung beeinflusst wurde oder ob falsche oder unvollständige Sachverhaltsangaben bei der Feststellung eines entstandenen Schadens gemacht wurden. Zu diesem Zweck nehmen die Unternehmen Datenerhebungen und -verarbeitungen vor, soweit dies zur Aufklärung der Widersprüchlichkeiten erforderlich ist. Bei der Entscheidung, welche Daten die Unternehmen benötigen, um ihre Entscheidung auf ausreichender Tatsachenbasis zu treffen, kommt ihnen ein Beurteilungsspielraum zu.
    (2) Im Leistungsfall kann auch ohne Vorliegen von Anhaltspunkten die Prüfung nach Abs. 1 erfolgen. Dies umfasst die Einholung von Vorinformationen (z. B. Zeiträume, in denen Behandlungen oder Untersuchungen stattfanden), die es dem Unternehmen ermöglichen einzuschätzen, ob und welche Informationen im Weiteren tatsächlich für die Prüfung relevant sind.
    (3) Datenverarbeitungen zur Überprüfung der Angaben zur Risikobeurteilung bei Antragstellung erfolgen nur innerhalb von fünf Jahren, bei Krankenversicherungen innerhalb von drei Jahren nach Vertragsschluss. Die Angaben können auch nach Ablauf dieser Zeit noch überprüft werden, wenn der Versicherungsfall vor Ablauf der Frist eingetreten ist. Für die Prüfung, ob der Versicherungsnehmer bei der Antragstellung vorsätzlich oder arglistig unrichtige oder unvollständige Angaben gemacht hat, verlängert sich dieser Zeitraum auf 10 Jahre.
    (4) Ist die Erhebung und Verarbeitung von besonderen Kategorien personenbezogener Daten, insbesondere von Daten über die Gesundheit, nach Absatz 1 erforderlich, werden die betroffenen Personen entsprechend ihrer Erklärung im Versicherungsantrag vor einer Datenerhebung bei Dritten nach § 213 Abs. 2 VVG unterrichtet und auf ihr Widerspruchsrecht hingewiesen oder von den betroffenen Personen wird zuvor eine eigenständige Einwilligungs- und Schweigepflichtentbindungserklärung eingeholt.
    (5) Die Möglichkeit, die Abgabe der Einwilligungs- und Schweigepflichtentbindungserklärung zu verweigern, bleibt unbenommen und das Unternehmen informiert die betroffene Person diesbezüglich. Verweigert die betroffene Person die Abgabe der Einwilligungs- und Schweigepflichtentbindungserklärung, obliegt es der betroffenen Person als Voraussetzung für die Schadenregulierung alle erforderlichen Informationen zu beschaffen und dem Unternehmen zur Verfügung zu stellen. Das Unternehmen hat in diesem Fall darzulegen, welche Informationen es bei Verweigerung der Einwilligungs- und Schweigepflichtentbindungserklärung für erforderlich hält.
     
    Art. 16 Datenaustausch mit anderen Versicherern
    (1) Ein Datenaustausch zwischen einem Vorversicherer und seinem nachfolgenden Versicherer wird zur Erhebung tarifrelevanter oder leistungsrelevanter Angaben unter Beachtung des Artikels 8 Abs. 1 vorgenommen. Dies ist insbesondere der Fall, wenn die Angaben erforderlich sind:
    1. bei der Risikoeinschätzung zur Überprüfung von Schadenfreiheitsrabatten, insbesondere der Schadensfreiheitsklassen in der Kfz-Haftpflichtversicherung und Vollkaskoversicherung,
    2. zur Übertragung von Ansprüchen auf Altersvorsorge bei Anbieter- oder Arbeitgeberwechsel,
    3. zur Übertragung von Altersrückstellungen in der Krankenversicherung auf den neuen Versicherer,
    4. zur Ergänzung oder Verifizierung der Angaben der Antragsteller oder Versicherten.
    In den Fällen der Nummern 1 und 4 ist der Datenaustausch zum Zweck der Risikoprüfung nur zulässig, wenn die betroffenen Personen bei Datenerhebung im Antrag über den möglichen Datenaustausch und dessen Zweck und Gegenstand informiert werden. Nach einem Datenaustausch zum Zweck der Leistungsprüfung werden die betroffenen Personen vom Daten erhebenden Unternehmen über einen erfolgten Datenaustausch im gleichen Umfang informiert. Artikel 15 dieser Verhaltensregeln bleibt unberührt.
    (2) Ein Datenaustausch mit anderen Versicherern außerhalb der für das Hinweis- und Informationssystem der Versicherungswirtschaft (HIS) getroffenen Regelungen erfolgt darüber hinaus, soweit dies zur Antrags- und Leistungsprüfung und -erbringung, einschließlich der Regulierung von Schäden bei gemeinsamer, mehrfacher oder kombinierter Absicherung von Risiken, des gesetzlichen Übergangs einer Forderung gegen eine andere Person oder zur Regulierung von Schäden zwischen mehreren Versicherern über bestehende Teilungs- und Regressverzichtsabkommen erforderlich ist und kein Grund zu der Annahme besteht, dass ein überwiegendes schutzwürdiges Interesse der betroffenen Person dem entgegensteht.
    (3) Der Datenaustausch wird dokumentiert.
    (4) Kfz-Versicherer nutzen die bei der GDV Dienstleistungs-GmbH geführte Schadenklassendatei als Gemeinschaftseinrichtung zur Verhinderung von Versicherungsmissbrauch. Einmeldungen erfolgen, um eine korrekte Einstufung im Schadenfreiheitsrabatt-System zu ermöglichen. Das ist der Fall, wenn ein Kfz-Haftpflichtversicherungsvertrag gekündigt wird, diese Vorversicherung bei Vertragsschluss nicht angegeben wird und die unbelastete Neueinstufung in die Schadenfreiheitsklassen tarifsystemwidrig wäre. Der Kfz-Versicherer übermittelt dazu den Namen und die Anschrift des Versicherungsnehmers, die Versicherungsscheinnummer, das amtliche Kennzeichen des bisher versicherten Fahrzeugs, das Datum der Beendigung des Versicherungsvertrags mit Schadenfreiheitsklasse sowie die Anzahl der noch nicht berücksichtigten Schäden im Meldejahr. Die Daten werden nur im Antragsfall abgefragt, wenn ein Versicherungsnehmer keine Übernahme eines Schadenfreiheitsrabatts aus dem Vorvertrag beantragt. Die Kfz-Versicherer informieren die Versicherungsnehmer bei Vertragsabschluss in den Versicherungsinformationen über die Schadenklassendatei und die Kontaktdaten der Gemeinschaftseinrichtung. Werden bei Beendigung des Versicherungsvertrages Daten eingemeldet, benachrichtigen die Kfz-Versicherer die Versicherungsnehmer über die Art der gemeldeten Daten, den Zweck der Meldung, den Datenempfänger (Name und Sitz der Gemeinschaftseinrichtung) und den möglichen Abruf der Daten. Datenabrufe aus der Schadenklassendatei erfolgen in einem automatisierten Verfahren. 9Sie werden für Revisionszwecke und stichprobenartige Berechtigungsprüfungen protokolliert. Die in der Schadenklassendatei gespeicherten Daten werden spätestens am Ende des 3. Jahres nach dem Vorliegen der Voraussetzungen für die Einmeldung gelöscht.
     

    Art. 17 Datenübermittlung an Rückversicherer
    (1) Um jederzeit zur Erfüllung ihrer Verpflichtungen aus den Versicherungsverhältnissen in der Lage zu sein, geben Unternehmen einen Teil ihrer Risiken aus den Versicherungsverträgen an Rückversicherer weiter. Zum weiteren Risikoausgleich bedienen sich in einigen Fällen diese Rückversicherer ihrerseits weiterer Rückversicherer. Zur ordnungsgemäßen Begründung, Durchführung oder Beendigung des Rückversicherungsvertrages werden in anonymisierter oder – soweit dies für die vorgenannten Zwecke nicht ausreichend ist – pseudonymisierter Form Daten aus dem Versicherungsantrag oder –verhältnis, insbesondere Versicherungsnummer, Beitrag, Art und Höhe des Versicherungsschutzes und des Risikos sowie etwaige Risikozuschläge weitergegeben.
    (2) Personenbezogene Daten erhalten die Rückversicherer nur, soweit dies 
    a) für den Abschluss oder die Erfüllung des Versicherungsvertrages erforderlich ist oder
    b) zur Sicherstellung der Erfüllbarkeit der Verpflichtungen des Unternehmens aus den Versicherungsverhältnissen erfolgt und kein Grund zu der Annahme besteht, dass ein überwiegendes schutzwürdiges Interesse der betroffenen Person dem Unternehmensinteresse entgegensteht.
     
    Dies kann der Fall sein, wenn im Rahmen des konkreten Rückversicherungsverhältnisses die Übermittlung personenbezogener Daten an Rückversicherer aus folgenden Gründen erfolgt:
    a) Die Rückversicherer führen z. B. bei hohen Vertragssummen oder bei einem schwer einzustufenden Risiko im Einzelfall die Risikoprüfung und die Leistungsprüfung durch.
    b) Die Rückversicherer unterstützen die Unternehmen bei der Risiko- und Schadenbeurteilung sowie bei der Bewertung von Verfahrensabläufen.
    c) Die Rückversicherer erhalten zur Bestimmung des Umfangs der Rückversicherungsverträge einschließlich der Prüfung, ob und in welcher Höhe sie an ein und demselben Risiko beteiligt sind (Kumulkontrolle) sowie zu Abrechnungszwecken Listen über den Bestand der unter die Rückversicherung fallenden Verträge.
    d) Die Risiko- und Leistungsprüfung durch den Erstversicherer wird von den Rückversicherern stichprobenartig oder in Einzelfällen kontrolliert zur Prüfung ihrer Leistungspflicht gegenüber dem Erstversicherer.
    (3) Die Unternehmen vereinbaren mit den Rückversicherern, dass personenbezogene Daten von diesen nur zu den in Absatz 2 genannten Zwecken sowie mit diesen kompatiblen Zwecken (z. B. Statistiken und wissenschaftliche Forschung) verwendet werden. Außerdem vereinbaren sie, ob der Rückversicherer eine gesetzlich erforderliche Information an die betroffene Person selbst vornimmt oder ob das Unternehmen die Information des Rückversicherers an die betroffene Person weiterleitet. Im Fall der Weiterleitung vereinbaren sie auch, wie die Information erfolgt. Soweit die Unternehmen einer Verschwiegenheitspflicht gemäß § 203 StGB unterliegen, verpflichten sie die Rückversicherer hinsichtlich der Daten, die sie nach Absatz 2 erhalten, Verschwiegenheit zu wahren und weitere Rückversicherer sowie Stellen, die für sie tätig sind, zur Verschwiegenheit zu verpflichten.
    (4) Besondere Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten, erhalten die Rückversicherer nur, wenn die Voraussetzungen des Artikels 6 dieser Verhaltensregeln erfüllt sind.
VI. Verarbeitung personenbezogener Daten für Vertriebszwecke ...
  • Art. 18 Verwendung von Daten für Zwecke der Werbung
    (1) Personenbezogene Daten werden für Zwecke der Werbung nur auf der Grundlage von Artikel 6 Abs. 1 lit. a) oder f) Datenschutz-Grundverordnung und unter Beachtung von § 7 UWG verarbeitet.
    (2) Betroffene Personen können der Verwendung ihrer personenbezogenen Daten zu Zwecken der Direktwerbung widersprechen. Die personenbezogenen Daten werden dann nicht mehr für diese Zwecke verarbeitet. Das Unternehmen trifft zur Umsetzung geeignete technische und organisatorische Maßnahmen.
     
    Art. 19 Marktumfragen
    (1) Die Unternehmen führen Markt- und Meinungsumfragen unter besonderer Berücksichtigung der schutzwürdigen Interessen der betroffenen Personen durch.
    (2) Soweit die Unternehmen andere Stellen mit Markt- und Meinungsumfragen beauftragen, ist diese Stelle unter Nachweis der Einhaltung der Datenschutzstandards auszuwählen. Vor der Datenweitergabe sind die Einzelheiten des Vorhabens vertraglich nach den Vorgaben der Artikel 21, 22 oder 22a dieser Verhaltensregeln zu regeln. Dabei ist insbesondere festzulegen:

    a) dass die übermittelten und zusätzlich erhobenen Daten frühestmöglich pseudonymisiert und sobald nach dem Zweck der Umfrage möglich anonymisiert werden,
    b) dass die Auswertung der Daten sowie die Übermittlung der Ergebnisse der Markt- und Meinungsumfragen an die Unternehmen in möglichst anonymisierter oder in pseudonymisierter Form, wenn dies für die Zwecke erforderlich ist (z. B. Folgebefragungen), erfolgen.
    (3) Soweit die Unternehmen selbst personenbezogene Daten zum Zweck der Durchführung von Markt- und Meinungsumfragen verarbeiten oder nutzen, werden die Daten frühestmöglich pseudonymisiert und sobald nach dem Zweck der Umfrage möglich anonymisiert. Die Ergebnisse werden ausschließlich in möglichst anonymisierter oder in pseudonymisierter Form, wenn dies für die Zwecke erforderlich ist (z. B. Folgebefragungen), gespeichert oder genutzt.
    (4) Soweit im Rahmen der Markt- und Meinungsumfragen geschäftliche Handlungen vorgenommen werden, die als Werbung zu werten sind, beispielsweise wenn bei der Datenerhebung auch absatzfördernde Äußerungen erfolgen, richtet sich die Verarbeitung personenbezogener Daten dafür nach den in Artikel 18 dieser Verhaltensregeln getroffenen Regelungen.
     
    Art. 20 Datenübermittlung an selbstständige Vermittler
    (1) Eine Übermittlung personenbezogener Daten erfolgt an den betreuenden Vermittler nur, soweit es zur bedarfsgerechten Vorbereitung oder Bearbeitung eines konkreten Antrags bzw. Vertrags oder zur ordnungsgemäßen Durchführung der Versicherungsangelegenheiten der betroffenen Personen erforderlich ist. Die Vermittler werden auf ihre besonde-ren Verschwiegenheitspflichten hingewiesen.
    (2) 1Vor der erstmaligen Übermittlung personenbezogener Daten an einen Versicherungsvertreter oder im Falle eines Wechsels vom betreuenden Versicherungsvertreter auf einen anderen Versicherungsvertreter informiert das Unternehmen die Versicherten oder Antragsteller vorbehaltlich der Regelung des Absatz 3 möglichst frühzeitig, mindestens aber zwei Wochen vor der Übermittlung ihrer personenbezogenen Daten über den bevorstehenden Datentransfer, die Identität (Name, Sitz) des neuen Versicherungsvertreters und ihr Widerspruchsrecht. Die Benachrichtigung erfolgt nicht, wenn der Wechsel von der betroffenen Person selbst gewünscht ist. Eine Information durch den bisherigen Versicherungsvertreter steht einer Information durch das Unternehmen gleich. Im Falle eines Widerspruchs findet die Datenübermittlung grundsätzlich nicht statt. In diesem Fall wird die Betreuung durch einen anderen Versicherungsvertreter oder das Unternehmen selbst angeboten.
    (3) Eine Ausnahme von Absatz 2 besteht, wenn die ordnungsgemäße Betreuung der Versi-cherten im Einzelfall oder wegen des unerwarteten Wegfalls der Betreuung der Bestand der Vertragsverhältnisse gefährdet ist.
    (4) Personenbezogene Daten von Versicherten oder Antragstellern dürfen an einen Versicherungsmakler oder eine Dienstleistungsgesellschaft von Versicherungsmaklern übermittelt werden, wenn die Versicherten oder Antragsteller dem Makler dafür eine Maklervollmacht oder eine vergleichbare Bevollmächtigung erteilt haben, die die Datenübermittlung abdeckt. Für den Fall des Wechsels des Maklers gilt zudem Absatz 2 entsprechend.
    (5) Eine Übermittlung von Gesundheitsdaten durch das Unternehmen an den betreuenden Vermittler erfolgt grundsätzlich nicht, es sei denn, es liegt eine Einwilligung der betroffenen Personen vor. 2Gesetzliche Übermittlungsbefugnisse bleiben hiervon unberührt.
VII. Datenverarbeitung im Auftrag und Funktionsübertragung
  • Art. 21 Pflichten bei der Verarbeitung im Auftrag
    (1) Sofern ein Unternehmen personenbezogene Daten gemäß Artikel 28 Datenschutz-Grundverordnung im Auftrag verarbeiten lässt (z. B. elektronische Datenverarbeitung, Scannen und Zuordnung von Eingangspost, Adressverwaltung, Antrags- und Vertragsbearbeitung, Schaden- und Leistungsbearbeitung, Sicherstellung der korrekten Verbuchung von Zahlungseingängen, Zahlungsausgang, Entsorgung von Dokumenten), wird der Auftragnehmer mindestens gemäß Art. 28 Abs. Datenschutz-Grundverordnung verpflichtet. Es wird nur ein solcher Auftragnehmer ausgewählt, der hinreichende Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchführt werden, dass die Verarbeitung im Einklang mit der Datenschutz-Grundverordnung erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet. Das Unternehmen verlangt alle erforderlichen Informationen zum Nachweis und zur Überprüfung der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen, zum Beispiel durch geeignete Zertifikate. Die Ergebnisse werden dokumentiert.

    (2) Jede Datenverarbeitung beim Auftragsverarbeiter erfolgt nur für die Zwecke und im Rahmen der dokumentierten Weisungen des Unternehmens. Vertragsklauseln sollen den Beauftragten für den Datenschutz vorgelegt werden, die bei Bedarf beratend mitwirken.
    (3) Das Unternehmen hält eine aktuelle Liste der Auftragnehmer bereit. Ist die automatisierte Verarbeitung personenbezogener Daten nicht Hauptgegenstand des Auftrags oder werden viele verschiedene Auftragnehmer (z. B. Dienstleister zur Aktenvernichtung an verschiedenen Unternehmensstandorten oder regionale Werkstätten) mit gleichartigen Aufgaben betraut, können die Auftragsverarbeiter – unbeschadet interner Dokumentationspflichten – in Kategorien zusammengefasst werden unter Bezeichnung ihrer Aufgabe. Dies gilt auch für Auftragnehmer, die nur gelegentlich tätig werden. Die Liste wird in geeigneter Form bekannt gegeben. Werden personenbezogene Daten bei den betroffenen Personen erhoben, sind sie grundsätzlich bei Erhebung über die Liste zu unterrichten.
    (4) Ein Vertrag oder ein anderes Rechtsinstrument im Sinne von Art. 28 Abs. 3 und 4 Datenschutz-Grundverordnung zur Verarbeitung im Auftrag ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
     
    Art. 22 Datenverarbeitung durch Dienstleister ohne Auftragsverarbeitung
    (1) Ohne Vereinbarung einer Auftragsverarbeitung können personenbezogene Daten an Dienstleister zur eigenverantwortlichen Aufgabenerfüllung übermittelt und von diesen verarbeitet werden, soweit dies für die Zweckbestimmung des Versicherungsverhältnisses mit den Betroffenen erforderlich ist. Das ist insbesondere möglich, wenn Sachverständige mit der Begutachtung eines Versicherungsfalls beauftragt sind oder wenn Dienstleister zur Ausführung der vertraglich vereinbarten Versicherungsleistungen, die eine Sachleistung beinhalten, eingeschaltet werden, z. B. Krankentransportdienstleister, Haushaltshilfen, Schlüsseldienste und ähnliche Dienstleister.
    (2) Die Übermittlung von personenbezogenen Daten an Dienstleister und deren Verarbeitung zur eigenverantwortlichen Erfüllung von Datenverarbeitungs- oder sonstigen Aufga-ben kann auch dann erfolgen, wenn dies zur Wahrung der berechtigten Interessen des Unternehmens erforderlich ist und die schutzwürdigen Interessen der betroffenen Personen nicht überwiegen. Das kann zum Beispiel der Fall sein, wenn Dienstleister Aufgaben übernehmen, die der Geschäftsabwicklung des Unternehmens dienen, wie beispielsweise die Risikoprüfung, Schaden- und Leistungsbearbeitung und Inkasso, sofern dies keine Auftragsverarbeitung ist und die Voraussetzungen der Absätze 4 bis 8 erfüllt sind.
    (3) Die Übermittlung von personenbezogenen Daten an Dienstleister nach Absatz 2 unterbleibt, soweit die betroffene Person aus Gründen, die sich aus ihrer besonderen persönlichen Situation ergeben, dieser widerspricht und eine Prüfung ergibt, dass seitens des übermittelnden Unternehmens keine zwingenden schutzwürdigen Gründe für die Verarbeitung beim Dienstleister vorliegen, die die Interessen der betroffenen Person überwiegen. Die Übermittlung an den Dienstleister erfolgt trotz des Widerspruchs auch dann, wenn sie der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient. Die betroffenen Personen werden in geeigneter Weise auf ihre Widerspruchsmöglichkeit hingewiesen.
    (4) Das Unternehmen schließt mit den Dienstleistern, die nach Absatz 2 tätig werden, eine vertragliche Vereinbarung, die mindestens folgende Punkte enthalten muss:
    • Eindeutige Beschreibung der Aufgaben des Dienstleisters;
    • Sicherstellung, dass die übermittelten Daten nur im Rahmen der vereinbarten Zweckbestimmung verarbeitet oder genutzt werden;
    • Gewährleistung eines Datenschutz- und Datensicherheitsstandards, der diesen Verhaltensregeln entspricht;
    • Verpflichtung des Dienstleisters, dem Unternehmen alle Auskünfte zu erteilen, die zur Erfüllung einer beim Unternehmen verbleibenden Auskunftspflicht erforderlich sind oder der betroffenen Person direkt Auskunft zu erteilen.
    (5) Diese Aufgabenauslagerungen nach Absatz 2 werden dokumentiert.
    (6) Unternehmen und Dienstleister vereinbaren in den Fällen des Absatzes 2 zusätzlich, dass betroffene Personen, welche durch die Übermittlung ihrer Daten an den Dienstleister oder die Verarbeitung ihrer Daten durch diesen einen Schaden erlitten haben, berechtigt sind, von beiden Parteien Schadenersatz zu verlangen. Vorrangig tritt gegenüber den betroffenen Personen das Unternehmen für den Ersatz des Schadens ein. 3Die Parteien vereinbaren, dass sie gesamtschuldnerisch haften und sie nur von der Haftung befreit werden können, wenn sie nachweisen, dass keine von ihnen für den erlittenen Schaden verantwortlich ist.
    (7) Das Unternehmen hält eine aktuelle Liste der Dienstleister nach Absatz 2 bereit, an die Aufgaben im Wesentlichen übertragen werden. Ist die automatisierte Verarbeitung personenbezogener Daten nicht Hauptgegenstand des Vertrages, können die Dienstleister in Kategorien zusammengefasst werden unter Bezeichnung ihrer Aufgabe. Dies gilt auch für Stellen, die nur einmalig tätig werden. Die Liste wird in geeigneter Form bekannt gegeben. Werden personenbezogene Daten bei den Betroffenen erhoben, sind sie grundsätzlich bei Erhebung über die Liste zu unterrichten.
    (8) Das Unternehmen stellt sicher, dass die Rechte der betroffenen Personen gemäß Artikel 23 bis 24c durch die Einschaltung des Dienstleisters nach Absatz 2 nicht geschmälert werden.
    (9) Übermittlungen von personenbezogenen Daten an Rechtsanwälte, Steuerberater und Wirtschaftsprüfer im Rahmen von deren Aufgabenerfüllungen bleiben von den zuvor genannten Regelungen unberührt.
    (10) Besondere Arten personenbezogener Daten dürfen in diesem Rahmen nur verarbeitet werden, wenn die betroffenen Personen eingewilligt haben oder eine gesetzliche Grundlage vorliegt. Soweit die Unternehmen einer Verschwiegenheitspflicht gemäß § 203 StGB unterliegen, verpflichten sie die Dienstleister hinsichtlich der Daten, die sie nach den Absätzen 1 und 2 erhalten, Verschwiegenheit zu wahren und weitere Dienstleister sowie Stellen, die für sie tätig sind, zur Verschwiegenheit zu verpflichten.
     
    Art. 22a Gemeinsam verantwortliche Stellen
    (1) Eine Gruppe von Versicherungs- und Finanzdienstleistungsunternehmen kann für gemeinsame Geschäftszwecke gemeinsame Datenverarbeitungsverfahren nach Maßgabe des Art. 26 Datenschutz-Grundverordnung einrichten.
    (2) Die Unternehmen legen bei gemeinsamen Datenverarbeitungsverfahren mit zwei oder mehr Verantwortlichen in einer vertraglichen Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß der Datenschutz-Grundverordnung erfüllt, insbesondere welche Stelle welche Funktionen zur Erfüllung der Rechte der betroffenen Personen übernimmt. Geregelt werden auch die Verantwortlichkeiten für die Information der betroffenen Personen.
    (3) Das Unternehmen hält eine aktuelle Liste der Zwecke der gemeinsamen Datenverarbeitungsverfahren mit den jeweils verantwortlichen Unternehmen bereit und gibt sie den betroffenen Personen in geeigneter Form bekannt.
    (4) Betroffene Personen können ihre datenschutzrechtlich begründeten Rechte gegenüber jedem einzelnen Verantwortlichen geltend machen.
VIII. Rechte der Betroffenen
  • Art. 23 Auskunftsanspruch
    (1) Betroffene Personen haben das Recht zu erfahren, ob sie betreffende personenbezogene Daten verarbeitet werden und sie können Auskunft über die beim Unternehmen über sie gespeicherten Daten verlangen.
    (2) Verarbeitet ein Unternehmen eine große Menge von Informationen über die betroffene Person oder wird ein Auskunftsersuchen im Hinblick auf die zu beauskunftenden personenbezogenen Daten unspezifisch gestellt, erteilt das Unternehmen zunächst Auskunft über die zur betroffenen Person gespeicherten Stammdaten sowie zusammenfassende Informationen über die Verarbeitung und bittet die betroffene Person zu präzisieren, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Verlangen bezieht.
    (3) Der betroffenen Person wird entsprechend ihrer Anfrage Auskunft erteilt. Die Auskunft wird so erteilt, dass sich die betroffene Person über Art und Umfang der Verarbeitung bewusst werden und ihre Rechtmäßigkeit überprüfen kann. Es wird sichergestellt, dass die betroffene Person alle gesetzlich vorgesehenen Informationen erhält. Im Falle einer (geplanten) Weitergabe wird der betroffenen Person auch über die Empfänger oder die Kategorien von Empfängern, an die ihre Daten weitergegeben werden (sollen), Auskunft erteilt.
    (4) Es wird sichergestellt, dass nur die berechtigte Person die Auskunft erhält. Daher wird die Auskunft, auch wenn ein Bevollmächtigter sie verlangt, der betroffenen Person oder ihrem gesetzlichen Vertreter erteilt.

    (5) Eine Auskunft erfolgt schriftlich oder in anderer Form, insbesondere auch elektronisch, beispielsweise in einem Kundenportal. Im Falle einer elektronischen Antragstellung werden die Informationen in einem gängigen elektronischen Format zur Verfügung gestellt. Dies erfolgt nicht, wenn etwas anderes gewünscht ist oder die Authentizität des Empfängers oder die sichere Übermittlung nicht gewährleistet werden kann. Sie kann auf Verlangen der betroffenen Personen auch mündlich erfolgen, aber nur sofern die Identität der betroffenen Personen nachgewiesen wurde.
    (6) Durch die Auskunft dürfen nicht die Rechte und Freiheiten weiterer Personen beeinträchtigt werden. Geschäftsgeheimnisse des Unternehmens können berücksichtigt werden.
    (7) Eine Auskunft kann unterbleiben, wenn die Daten nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen des überwiegenden berechtigten Interesses eines Dritten geheim gehalten werden müssen oder wenn das Bekanntwerden der Information die Strafverfolgung gefährden würde. Eine Auskunft unterbleibt ferner über Daten, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder die ausschließlich Zwecken der Datensicherung oder Datenschutzkontrolle dienen, wenn die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausge-schlossen ist. Ein Beispiel sind wegen Aufbewahrungspflichten in der Verarbeitung ein-geschränkte Daten und zugriffsgeschützte Sicherungskopien (Backups).
    (8) 1In Fällen des Absatzes 7 werden die Gründe der Auskunftsverweigerung dokumentiert. Die Ablehnung der Auskunftserteilung wird gegenüber der betroffenen Person begründet. Die Begründung erfolgt nicht, soweit durch die Mitteilung der tatsächlichen oder rechtlichen Gründe für die Auskunftsverweigerung der damit verfolgte Zweck gefährdet würde, insbesondere wenn die Mitteilung der Gründe die überwiegenden berechtigten Interessen Dritter oder die Strafverfolgung beeinträchtigen würde.
    (9) Im Falle einer Rückversicherung (Artikel 17), Datenverarbeitung durch Dienstleister ohne Auftragsverarbeitung (Artikel 22) oder einer Verarbeitung durch gemeinsam Verantwortliche (Artikel 22a) nimmt das Unternehmen die Auskunftsverlangen entgegen und erteilt auch alle Auskünfte, zu denen der Rückversicherer, Dienstleister oder alle Verantwortlichen verpflichtet sind oder es stellt die Auskunftserteilung durch diese sicher.
     
    Art. 23a Recht auf Datenübertragbarkeit
    (1) Die betroffene Person bekommt vom Unternehmen die von ihr bereitgestellten perso-nenbezogenen Daten übertragen, wenn deren Verarbeitung auf ihrer Einwilligung oder auf einem Vertrag mit ihr beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
    (2) Das Recht umfasst die Daten, die die betroffene Person gegenüber dem Unternehmen angegeben oder bereitgestellt hat. Das sind insbesondere die Daten, die von der betroffenen Person in Anträgen angegeben wurden, wie Name, Adresse und die zum zu versichernden Risiko erfragten Angaben sowie alle weiteren im Laufe des Versicherungsverhältnisses gemachten personenbezogenen Angaben, zum Beispiel bei Schadenmeldungen bereitgestellte Daten.
    (3) Die betroffene Person erhält die Daten in einem strukturierten, gängigen und maschinenlesbaren Format.
    (4) Die betroffenen Personen können auch verlangen, dass die personenbezogenen Daten vom Unternehmen direkt an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und die Anforderungen an die Sicherheit der Übermittlung erfüllt werden können.
    (5) Die Daten werden nicht direkt einem anderen Verantwortlichen zur Verfügung gestellt, wenn die Rechte und Freiheiten anderer Personen beeinträchtigt würden.
     
    Art. 24 Anspruch auf Berichtigung
    Erweisen sich die gespeicherten personenbezogenen Daten als unrichtig oder unvollständig, werden diese berichtigt.
     
    Art. 24a Anspruch auf Einschränkung der Verarbeitung
    (1) Das Unternehmen schränkt auf Verlangen der betroffenen Personen die Verarbeitung von deren Daten ein:
    a. solange die Richtigkeit bestrittener Daten überprüft wird,
    b. wenn die Verarbeitung unrechtmäßig ist und die betroffenen Personen die weitere Speicherung der Daten verlangen,
    c. wenn das Unternehmen die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffenen Personen sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder
    d. wenn die betroffenen Personen der Verarbeitung widersprochen haben, solange nicht feststeht, ob die berechtigten Gründe des Unternehmens gegenüber denen der betroffenen Personen überwiegen.
    (2) Machen die betroffenen Personen ihr Recht auf Einschränkung der Verarbeitung geltend, werden die Daten währenddessen nur noch verarbeitet:
    a. mit Einwilligung der betroffenen Personen,
    b. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen,
    c. zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder
    d. aus Gründen eines wichtigen öffentlichen Interesses der Europäischen Union oder eines ihrer Mitgliedstaaten.
     
    (3) Betroffene Personen, die eine Einschränkung der Verarbeitung erwirkt haben, werden vom Unternehmen unterrichtet, bevor die Einschränkung aufgehoben wird.
     
    Art. 24b Löschung
    (1) Personenbezogene Daten werden unverzüglich gelöscht, wenn die Erhebung oder Verarbeitung von Anfang an unzulässig war, die Verarbeitung sich auf Grund nachträglich eingetretener Umstände als unzulässig erweist oder die Kenntnis der Daten durch das Unternehmen zur Erfüllung des Zwecks der Verarbeitung nicht mehr erforderlich ist. Eine Löschung erfolgt auch, wenn sie zur Erfüllung einer rechtlichen Ver-pflichtung erforderlich ist oder wenn die personenbezogenen Daten in Bezug auf angebotene Dienste der Informationsgesellschaft an ein Kind gemäß Art. 8 Abs. 1 der Datenschutz-Grundverordnung erhoben worden sind.
    (2) Die Prüfung des Datenbestandes auf die Notwendigkeit einer Löschung nach Ab-satz 1 erfolgt in regelmäßigen Abständen, mindestens einmal jährlich. Auf Verlangen der betroffenen Person wird unverzüglich geprüft, ob die von dem Verlangen erfassten Daten zu löschen sind.
    (3) Eine Löschung nach Absatz 2 erfolgt nicht, soweit die Daten erforderlich sind:

    a. zur Erfüllung einer rechtlichen Verpflichtung des Unternehmens, insbesondere zur Erfüllung gesetzlicher Aufbewahrungspflichten,
    b. für die in Artikel 10 genannten Verarbeitungen für statistische Zwecke,
    c. für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke (z. B. zur Aufarbeitung des Holocaust) oder
    d. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

    Eine Löschung von Daten unterbleibt auch dann, wenn die Daten nicht automatisiert verarbeitet werden, sie wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigem Aufwand gelöscht werden können und das Interesse der betroffenen Personen an der Löschung als gering anzusehen ist. In diesem Fall oder wenn personenbezogene Daten nur noch zur Erfüllung gesetzlicher Aufbewahrungspflichten gespeichert werden müssen, wird deren Verarbeitung nach dem Grundsatz der Datenminimierung eingeschränkt.
     
    Art. 24c Benachrichtigungen über Berichtigung, Einschränkung der Verarbeitung und Löschung
    (1) Das Unternehmen benachrichtigt alle Empfänger, insbesondere Rückversicherer und Versicherungsvertreter über eine auf Verlangen der betroffenen Person erforderliche Berichtigung, Einschränkung der Verarbeitung oder Löschung der Daten, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Das ist zum Beispiel auch der Fall, wenn der Empfänger die Daten aufgrund einer vertraglichen Vereinbarung bereits gelöscht haben muss. Auf Verlangen unterrichtet das Unternehmen die betroffene Person über diese Empfänger.
    (2) Soweit die Berichtigung, Löschung oder Sperrung der Daten aufgrund eines Verlangens der betroffenen Personen erfolgte, werden diese nach der Ausführung hierüber unterrichtet.
    (3) Sonstige Mitteilungspflichten bei Berichtigungen oder Löschungen personenbezogener Daten sowie bei Einschränkungen der Verarbeitung ohne Verlangen der betroffenen Person bleiben hiervon unberührt.
     
    Art. 24d Frist
    Das Unternehmen kommt den Rechten gemäß Art. 23 bis 24b dieser Verhaltensregeln möglichst unverzüglich, jedenfalls innerhalb eines Monats nach Eingang des Antrags auf Ausübung des Rechts der betroffenen Person nach. Die Frist kann um weitere 2 Monate verlän-gert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. In diesem Fall unterrichtet das Unternehmen die betroffene Person innerhalb eines Monats nach Eingang des Antrags über die Fristverlängerung und nennt die Gründe für die Verzögerung.
IX. Einhaltung und Kontrolle
  • Art. 25 Verantwortlichkeit
    (1) Die Unternehmen gewährleisten als Verantwortliche, dass die Anforderungen des Datenschutzes und der Datensicherheit beachtet werden.
    (2) Beschäftigte, die mit der Verarbeitung personenbezogener Daten betraut sind, werden zur Vertraulichkeit hinsichtlich personenbezogener Daten, zur Einhaltung des Datenschutzes und der diesbezüglichen Weisungen des Unternehmens sowie zur Wahrung gesetzlicher Geheimhaltungspflichten verpflichtet. Sie werden darüber unterrichtet, dass Verstöße gegen datenschutzrechtliche Vorschriften auch als Ordnungswidrigkeit geahndet oder strafrechtlich verfolgt werden und Schadensersatzansprüche nach sich ziehen können. Verletzungen datenschutzrechtlicher Vorschriften durch Beschäftigte können entsprechend dem jeweils geltenden Recht arbeitsrechtliche Sanktionen nach sich ziehen.
    (3) Die Verpflichtung der Beschäftigten nach Absatz 2 Satz 1 gilt auch über das Ende des Beschäftigungsverhältnisses hinaus.
     
    Art. 26 Transparenz
    (1) Texte, die sich an betroffene Personen richten, werden informativ, transparent, verständlich und präzise sowie in klarer und einfacher Sprache formuliert. Sie werden den betroffenen Personen in leicht zugänglicher Form zur Verfügung gestellt.

    (2) Die Unternehmen führen ein Verzeichnis über die eingesetzten Datenverarbeitungsverfahren (Verarbeitungsverzeichnis). Sie machen es den Datenschutz-Aufsichtsbehörden auf Anforderung zugänglich. Überdies ist das Verarbeitungsverzeichnis eine interne Grundlage der Unternehmen zur Erfüllung der Informations- und Auskunftspflichten gegenüber den betroffenen Personen.
     
    Art. 26a Datenschutz-Folgenabschätzung
    (1) Die Unternehmen prüfen insbesondere vor dem erstmaligen oder maßgeblich erweiterten Einsatz folgender Verarbeitungen die Erforderlichkeit einer Datenschutz-Folgenabschätzung:
    a) Verfahren mit automatisierten Einzelentscheidungen, die sich auf Verfahren zur systematischen und umfassenden Auswertung mehrerer persönlicher Merkmale der betroffenen Personen stützen, wenn sie eine Rechtswirkung gegenüber den betroffenen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen, wie beispielsweise Verfahren zur automatisierten Risiko- oder Leistungsprüfung.
    b) Verfahren mit umfangreichen Verarbeitungen besonderer Kategorien von personenbezogenen Daten, zum Beispiel Verfahren zur Risiko- oder Leistungsprüfung in der Krankenversicherung, zur Risikoprüfung in der Lebensversicherung oder zur Leistungsprüfung in der Berufsunfähigkeitsversicherung oder
    c) Verfahren zur Prämienberechnung unter Verwendung verhaltensbasierter Daten betroffener Personen (z. B. für sog. Telematiktarife in der Kraftfahrtversicherung oder mit Daten aus Wearables).
    (3) Die Entscheidung darüber, ob eine Datenschutzfolgenabschätzung vorgenommen wird oder nicht und die Gründe dafür werden dokumentiert. Die Unternehmen stellen durch geeignete organisatorische Maßnahmen sicher, dass bei der Durchführung der Datenschutz-Folgenabschätzungen der Rat der Beauftragten für den Datenschutz eingeholt wird.
     
    Art. 27 Beauftragte für den Datenschutz
    (1) Die Unternehmen oder eine Gruppe von Versicherungs- und Finanzdienstleistungsunternehmen benennen entsprechend den gesetzlichen Vorschriften Beauftragte für den Datenschutz. Sie sind weisungsunabhängig und überwachen die Einhaltung der anwendbaren nationalen und internationalen Datenschutzvorschriften sowie dieser Verhaltensregeln. Das Unternehmen trägt der Unabhängigkeit vertraglich Rechnung.

    (2) Die Beauftragten überwachen die Einhaltung der Datenschutz-Grundverordnung und anderer datenschutzrechtlicher Vorschriften einschließlich der im Unternehmen bestehenden Konzepte für den Schutz personenbezogener Daten und werden zu diesem Zweck vor der Einrichtung oder nicht nur unbedeutenden Veränderung eines Verfahrens zur automatisierten Verarbeitung personenbezogener Daten rechtzeitig unterrichtet und wirken hieran beratend mit.
    (3) Dazu können sie in Abstimmung mit der jeweiligen Unternehmensleitung alle Unternehmensbereiche zu den notwendigen Datenschutzmaßnahmen veranlassen. Insoweit haben sie ungehindertes Kontrollrecht im Unternehmen.
    (4) Die Beauftragten für den Datenschutz unterrichten und beraten die Unternehmen und die bei der Verarbeitung personenbezogener Daten tätigen Beschäftigten über die jeweiligen besonderen Erfordernisse des Datenschutzes.
    (5) Daneben können sich alle betroffenen Personen jederzeit mit Anregungen, Anfragen, Auskunftsersuchen oder Beschwerden im Zusammenhang mit Fragen des Datenschutzes oder der Datensicherheit auch an die Beauftragten für den Datenschutz wenden. 2Anfragen, Ersuchen und Beschwerde werden vertraulich behandelt. Die für die Kontaktaufnahme erforderlichen Daten werden in geeigneter Form bekannt gegeben.
    (6) Die für den Datenschutz verantwortlichen Geschäftsführungen der Unternehmen unterstützen die Beauftragten für den Datenschutz bei der Ausübung ihrer Tätigkeit und arbeiten mit ihnen vertrauensvoll zusammen, um die Einhaltung der anwendbaren nationalen und internationalen Datenschutzvorschriften und dieser Verhaltensregeln zu gewährleisten.
    (7) Die Unternehmen stellen den Datenschutzbeauftragten die für die Aufgabenerfüllung und die zur Erhaltung des Fachwissens erforderlichen Ressourcen zur Verfügung.
    (8) Die Datenschutzbeauftragten arbeiten mit der für das Unternehmen zuständigen Aufsichtsbehörde zusammen. Sie können sich dazu jederzeit mit der jeweils zuständigen datenschutzrechtlichen Aufsichtsbehörde vertrauensvoll beraten und stehen der Aufsichtsbehörde in allen Angelegenheiten des Datenschutzes als Ansprechpartner zur Verfügung.
     
    Art. 28 Beschwerden und Reaktion bei Verstößen
    (1) Die Unternehmen werden Beschwerden von Versicherten oder sonstigen betroffenen Personen wegen Verstößen gegen datenschutzrechtliche Regelungen sowie diese Verhaltensregeln unverzüglich bearbeiten und innerhalb einer Frist von einem Monat beantworten oder einen Zwischenbescheid geben. Ein Bericht über die ergriffenen Maßnahmen kann auch noch bis zu drei Monaten nach Antragstellung erteilt werden, wenn diese Fristverlängerung unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Die für die Kontaktaufnahme erforderlichen Daten werden in geeigneter Form bekannt gegeben. Kann der verantwortliche Fachbereich nicht zeitnah Abhilfe schaffen, hat er sich umgehend an den Beauftragten für den Datenschutz zu wenden.

    (2) Die Geschäftsführungen der Unternehmen werden bei begründeten Beschwerden so schnell wie möglich Abhilfe schaffen.
    (3) Sollte dies einmal nicht der Fall sein, können sich die Beauftragten für den Datenschutz an die zuständige Aufsichtsbehörde für den Datenschutz wenden. Sie teilen dies den betroffenen Personen unter Benennung der zuständigen Aufsichtsbehörde mit.
     
    Art. 29 Meldung von Verletzungen des Schutzes personenbezogener Daten
    (1) Im Falle einer Verletzung des Schutzes personenbezogener Daten, z. B. wenn sie unrechtmäßig übermittelt worden oder Dritten unrechtmäßig zur Kenntnis gelangt sind, informieren die Unternehmen unverzüglich und möglichst binnen 72 Stunden, nachdem ihnen die Verletzung bekannt wurde, die zuständige Aufsichtsbehörde, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen. Risiken für die Rechte und Freiheiten betroffener Personen be-stehen insbesondere dann, wenn zu befürchten ist, dass die Verletzung zu einem Identitätsdiebstahl, einem finanziellen Verlust oder einer Rufschädigung führt.
    (2) Das Unternehmen dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang damit stehenden Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen. Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels.
    (3) Die betroffenen Personen werden benachrichtigt, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten zur Folge hat. Dies erfolgt unverzüglich. Dabei wird entsprechend der Gefahrenlage entschieden, ob zunächst Maßnahmen zur Sicherung der Daten oder zur Verhinderung künftiger Verlet-zungen ergriffen werden. Würde eine Benachrichtigung unverhältnismäßigen Aufwand erfordern, z. B. wegen der Vielzahl der betroffenen Fälle oder wenn eine Feststellung der betroffenen Personen nicht in vertretbarer Zeit oder mit vertretbarem technischem Aufwand möglich ist, tritt an ihre Stelle eine Information der Öffentlichkeit.
    (4) Die Benachrichtigung der betroffenen Personen unterbleibt, wenn der Verantwortliche durch geeignete technische und organisatorische Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht oder nicht mehr besteht. Die Benachrichtigung der betroffenen Personen unterbleibt auch, soweit durch die Benachrichtigung Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen, es sei denn, dass die Interessen der betroffenen Personen an der Benachrichtigung, insbesondere unter Berücksichtigung drohender Schäden, gegenüber dem Geheimhaltungsinteresse überwiegen.
    (5) Die Benachrichtigung der betroffenen Personen beschreibt in klarer einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest:

    a) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen,
    b) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten,
    c) eine Beschreibung der vom Unternehmen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
    (6) Die Unternehmen verpflichten ihre Auftragsverarbeiter, sie unverzüglich über Vorfälle nach Absatz 1 bei diesen zu unterrichten.
    (7) Die Unternehmen erstellen ein Konzept für den Umgang mit Verletzungen des Schutzes personenbezogener Daten. Sie stellen sicher, dass alle Verletzungen den betrieblichen Datenschutzbeauftragten zur Kenntnis gelangen. Die betrieblichen Datenschutzbeauftragten berichten unmittelbar der höchsten Managementebene des Unternehmens.
X. Formalia
  • Art. 30 Beitritt
    (1) Die Unternehmen, die diesen Verhaltensregeln beigetreten sind, verpflichten sich zu deren Einhaltung ab dem Zeitpunkt des Beitritts. Der Beitritt der Unternehmen wird vom GDV dokumentiert und in geeigneter Form bekanntgegeben.
    (2) Versicherungsnehmer, deren Verträge vor dem Beitritt des Unternehmens zu diesen Verhaltensregeln bereits bestanden, werden über den Beitritt zu diesen Verhaltensregeln über den Internetauftritt des Unternehmens sowie spätestens mit der nächsten Vertragspost in Textform informiert.
    (3) Hat ein Unternehmen seinen Beitritt zu diesen Verhaltensregeln erklärt, ist die jeweils gültige Fassung wirksam. Eine Rücknahme des Beitritts ist jederzeit möglich durch Erklärung gegenüber dem GDV. Wenn ein Unternehmen die Rücknahme des Beitritts erklärt, wird dies durch die Löschung des Unternehmens in der Beitrittsliste vom GDV dokumentiert und in Form einer aktualisierten Beitrittsliste in geeigneter Weise bekannt gegeben. Das Unternehmen wird zudem die für das Unternehmen zuständige Datenschutzbehörde und die Versicherten über die Rücknahme informieren.
     
    Art. 31 Evaluierung
    Diese Verhaltensregeln werden bei jeder ihren Regelungsgehalt betreffenden Rechtsänderung in Bezug auf diese, spätestens aber drei Jahre nach Anwendungsbeginn der Datenschutz-Grundverordnung insgesamt evaluiert.
     
    Art. 32 Inkrafttreten
    Diese Fassung der Verhaltensregeln gilt ab dem 1. August 2018 und ersetzt die Fassung vom 7. September 2012.

Code of Conduct als Download

Hier erhalten Sie den kompletten Code of Conduct als Pdf-Datei zum Download 
Code of Conduct

Kontakt Datenschutzbeauftragter

Die mit einem * gekennzeichneten Felder sind Pflichtangaben.

Haben Sie Fragen oder Anmerkungen zum Datenschutz? Hier können Sie Kontakt zu unserer Datenschutzbeauftragten aufnehmen. Bitte schildern Sie uns kurz Ihr Anliegen. 

Sie haben Fragen zu Ihrem Versicherungsvertrag oder ein anderes Anliegen? Nutzen Sie gern das folgende Kontaktformular.

Bitte geben Sie eine Anrede ein.