Allgemeine Informationen der Datenverarbeitung

Wer ist für die Datenverarbeitung verantwortlich und wer ist Datenschutzbeauftragte:r?

Helvetia Versicherungen AG
Hoher Markt 10-11, 1010 Wien
Telefon: +43 (0) 50 222-1000
E-Mail: info@helvetia.at
Unsere:n Datenschutzbeauftragte:n erreichen Sie unter der o.g. Adresse oder unter datenschutz@helvetia.at.

Warum und wofür benötigen wir Ihre Daten?

Wir verarbeiten Ihre personenbezogenen Daten aufgrund der datenschutzrechtlich relevanten Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO), des Datenschutzgesetzes (DSG), des Versicherungsvertragsgesetzes (VersVG) sowie aller weiteren maßgeblichen Gesetze.

Stellen Sie einen Antrag auf Versicherungsschutz, benötigen wir die von Ihnen hierbei gemachten Angaben für den Abschluss des Vertrages. Wir verarbeiten diese personenbezogenen Daten (Name, Firmenname, Kunden-/Kundinnen-Nummer, Polizzen-Nummer, Geburtsdatum, Adresse, E-Mail, Geschlecht, ggf. Gesundheitsdaten, Einkommen, Versicherungssumme, -objekt, -dauer und -prämie, Bankverbindung und Inkassodaten), um das von uns zu übernehmende Risiko bestimmen und einschätzen zu können. Kommt der Versicherungsvertrag zustande, verarbeiten wir diese Daten zur Durchführung des Vertragsverhältnisses, z.B. zur Polizzenerstellung und Rechnungslegung. Angaben zum Schaden benötigen wir etwa, um prüfen zu können, ob ein Versicherungsfall eingetreten und wie hoch der Schaden ist. Das können – soweit erforderlich – auch Angaben von Dritten sein, die mit der Feststellung des Schaden- und Leistungsfalles beauftragt sind (Sachverständige), dazu Auskunft geben können (Behörden, Zeugen und Zeuginnen, etc.) oder im Zusammenhang mit der Schaden- und Leistungserbringung stehen (Reparaturwerkstätten, Handwerker:innen, Ärzte und Ärztinnen, Krankenhäuser).

Der Abschluss bzw. die Durchführung des Versicherungsvertrages ist ohne die Verarbeitung Ihrer Daten nicht möglich. Darüber hinaus benötigen wir die personenbezogenen Daten zur Erstellung von versicherungsspezifischen Statistiken und analytischen Auswertungen, z.B. für die Entwicklung neuer Tarife. Die Daten nutzen wir weiterhin für eine Gesamtbetrachtung der Kundenbeziehung beispielsweise für die Beratung hinsichtlich einer Vertragsanpassung oder für umfassende Auskunftserteilungen.

Die Verarbeitung personenbezogener Daten für vorvertragliche und vertragliche Zwecke erfolgt auf Basis von Art. 6 Abs. 1 b) DSGVO. Soweit dafür besondere Kategorien personenbezogener Daten (z.B. Ihre Gesundheitsdaten bei Abschluss einer privaten Unfallversicherung) erforderlich sind, holen wir zuvor Ihre Einwilligung nach Art. 9 Abs. 2 a) i. V. m. Art. 7 DSGVO und § 11a VersVG ein. Erstellen wir Statistiken mit diesen Datenkategorien, erfolgt dies auf Grundlage von Art. 9 Abs. 2 j) DSGVO i. V. m. § 7 DSG.
Darüber hinaus verarbeiten wir Ihre personenbezogenen Daten zur Erfüllung gesetzlicher Verpflichtungen (z.B. aufsichtsrechtlicher Vorgaben, handels- und steuerrechtlicher Aufbewahrungspflichten oder unserer Beratungspflicht). Als Rechtsgrundlage für die Verarbeitung dienen in diesem Fall die jeweiligen gesetzlichen Regelungen i. V. m. Art. 6 Abs. 1 c) DSGVO.
 
Ihre Daten verarbeiten wir auch, wenn es nach Art. 6 Abs. 1 f) DSGVO erforderlich ist, um berechtigte Interessen von uns oder von Dritten zu wahren. Dies kann insbesondere der Fall sein:

• zur Werbung für unsere Versicherungsprodukte und für Produkte der Unternehmen der Helvetia-Gruppe sowie für Markt- und Meinungsumfragen, wenn Sie uns hierfür eine Einwilligung erteilt haben. Für eine auf Ihre Bedürfnisse besser abgestimmte Werbung oder Angebotslegung verknüpfen und analysieren wir die für unsere Marketingzwecke relevanten Daten.
• zur Betreuung, Beratung und Evaluierung der Risikosituation während des Versicherungsverhältnisses, um Wünsche und Bedürfnisse zu evaluieren und auf Ihren aktuellen Versicherungsbedarf anzupassen. Zufriedenheitsumfragen dienen uns dazu, unsere Servicequalität zu erhöhen und Ihrer Erwartung zu entsprechen (z.B. in der Schadenabwicklung
• zur Verhinderung und Aufklärung von Straftaten, insbesondere von Datenanalysen zur Erkennung von Hinweisen, die auf Versicherungsmissbrauch hindeuten können (Art. 6 Abs. 1 f und Art. 6 Abs. 1a DSGVO) sowie zur Verhinderung der Geldwäscherei und Terrorismusfinanzierung (FM-GwG, Art. 6 Abs. 1 lit. c DSGVO)

Automatisierte Einzelfallentscheidungen
Auf Basis Ihrer Angaben zum Risiko, zu denen wir Sie bei Antragstellung befragen, können IT-Systeme selbständig etwa über das Zustandekommen, mögliche Risikoausschlüsse oder über die Höhe der von Ihnen zu zahlenden Versicherungsprämie entscheiden. Die automatisierten Entscheidungen beruhen auf vom Unternehmen vorher festgelegten Regeln zur Gewichtung der Informationen unter Berücksichtigung versicherungsmathematischer und statistischer Verfahren. Durch geeignete Maßnahmen (insb. Beschwerdestellen bzw. Servicestellen) haben wir sichergestellt, dass Sie das Recht des Eingreifens einer Person, auf Darlegung des eigenen Standpunktes und auf Anfechtung der Entscheidung ausüben können.

Gesundheitsdaten
Bei bestimmten Versicherungsverhältnissen ist es nötig, dass wir Informationen zu Ihrem Gesundheitszustand erhalten. Dies ist etwa der Fall, wenn Sie die versicherte Person sind, aber auch wenn Sie von einer versicherten Person geschädigt wurden. Die Verarbeitung Ihrer Gesundheitsdaten erfolgt zu Zwecken der Beurteilung, ob und zu welchen Bedingungen ein Versicherungsvertrag abgeschlossen oder geändert wird; der Verwaltung bestehender Versicherungsverträge und der Beurteilung und Erfüllung von Ansprüchen aus einem Versicherungsvertrag.

Strafrechtliche Daten
Wir verarbeiten teilweise (etwa im Falle einer Rechtsschutz- oder Haftpflichtversicherung) auch Daten über gerichtliche oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen sowie über den Verdacht der Begehung von Straftaten, strafrechtliche Verurteilungen oder vorbeugende Maßnahmen. Die Verarbeitung solcher strafrechtlichen Daten erfolgt ausschließlich auf der Rechtsgrundlage der Bestimmungen des Art 6 Abs 1 lit c bzw. f iVm Art 10 DSGVO iVm § 4 Abs 3 DSG.

Bonitätsauskünfte
Soweit es zur Wahrung unserer berechtigten Interessen notwendig ist (Art. 6 Abs. 1 lit f DSGVO), fragen wir bei einem in Österreich zugelassenen Gläubigerschutzverband Informationen zur Beurteilung Ihres allgemeinen Zahlungsverhaltens ab.

Woher stammen die personenbezogenen Daten, die wir verarbeiten?

Im Regelfall verarbeiten wir vor allem personenbezogenen Daten, die wir im Rahmen unserer Geschäftsbeziehung von Ihnen direkt erhalten haben, etwa bei Vertragsabschluss, einer Schadenmeldung, einem Beratungsgespräch, einer Anfrage usw. Wir erheben grundsätzlich nur die Daten, welche unbedingt erforderlich sind. Im Zuge der Regulierung von Schaden- und Leistungsfällen können wir Ihre Daten auch von Dritten erhalten, wie z.B. durch den/die Schädiger:in, die geschädigten Personen, von Zeugen und Zeuginnen, Behörden, Gesundheitsdienstanbietern, Sozialversicherungsträgern, vom Verband der Versicherungsunternehmen oder von Vertragspartnern und -partnerinnen der Versicherungsbeziehung (z.B. Werkstätten). Zudem verarbeiten wir - soweit es für die Erbringung unserer Dienstleistung oder zur Geltendmachung oder Abwehr von Rechtsansprüchen erforderlich ist - personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Grundbuch, Firmenbuch, Zentrales Melderegister, Vereinsregister, wirtschaftliches Eigentümer-Register, Insolvenzdatei, ECG-Liste) zulässigerweise gewinnen oder die uns von sonstigen Dritten (Kreditauskunfteien wie z.B. Kreditschutzverband von 1870 und CRIF GmbH) oder aus vom VVO zentral betriebenen Systemen der Versicherungswirtschaft berechtigt übermittelt werden. Zusätzlich können wir personenbezogene Daten von staatlichen Behörden oder von Personen im hoheitlichen Auftrag erhalten, wie z.B. Pflegschafts- oder Strafgerichten, Staatsanwaltschaften, Gerichtskommissär:innen.

Wer bekommt Ihre Daten (Datenempfänger:in)?

Aufgrund der hohen Komplexität des Versicherungsgeschäftes sowie der rechtlichen Rahmenbedingungen kann es erforderlich sein, dass Ihre Daten an sehr unterschiedliche Empfänger:innen übermittelt werden. Im Folgenden finden Sie nähere Informationen darüber, an welche Empfänger:innen bzw. Empfänger:innen-Kategorien wir Ihre personenbezogenen Daten weitergeben können.
Eine Weitergabe erfolgt selbstverständlich nur dann, wenn dies zur Vertragserfüllung notwendig ist oder eine rechtliche Verpflichtung vorliegt, dies zur Wahrung eines überwiegenden berechtigten Interesses von uns oder eines Dritten erforderlich ist oder Ihre Einwilligung dazu vorliegt.
In allen diesen Fällen werden Ihre personenbezogenen Daten nur im absolut erforderlichen Mindestumfang übermittelt oder bereitgestellt, daher keinesfalls sämtliche vorhandenen Daten, sondern immer nur die zur Erfüllung des speziellen Zweckes notwendigen Daten.

Datenweitergabe an eigenständig datenschutzrechtlich Verantwortliche
Bei den folgenden Empfänger:innen handelt es sich um keine Auftragsverarbeitung im datenschutzrechtlichen Sinn, sondern um die Inanspruchnahme fremder Fachleistungen bei einem/einer eigenständigen Verantwortlichen bzw. die erforderliche Datenübermittlung an einen/einer eigenständigen Verantwortlichen. Anlassbezogen können bzw. müssen wir Ihre personenbezogenen Daten an folgende Empfänger:innen-Kategorien übermitteln:

Rückversicherer
Von uns übernommene Risiken versichern wir bei spezialisierten Versicherungsunternehmen (Rückversicherer). Dafür kann es erforderlich sein, Ihre Vertrags- und ggf. Schadendaten an einen Rückversicherer zu übermitteln, damit dieser sich ein eigenes Bild über das Risiko oder den Versicherungsfall machen kann. Darüber hinaus ist es möglich, dass der Rückversicherer unser Unternehmen aufgrund seiner besonderen Sachkunde bei der Risiko- oder Leistungsprüfung sowie bei der Bewertung von Verfahrensabläufen unterstützt. Wir übermitteln Ihre Daten an den Rückversicherer nur soweit dies für die Erfüllung unseres Versicherungsvertrages mit Ihnen erforderlich ist bzw. im zur Wahrung unserer berechtigten Interessen erforderlichen Umfang. Nähere Informationen zu den von uns eingesetzten Rückversicherern können Sie auch unter datenschutz@helvetia.at anfordern.

 
Mitversicherer
Soweit das Risiko bei einem Mitversicherer eingedeckt wird (Aufteilung des Risikos auf mehrere Versicherungsunternehmen), werden Ihre Daten auch an diesen Versicherer übermittelt, soweit dies zur Vertrags- und Schadenbearbeitung notwendig ist.

Selbständige Versicherungsvermittlung
Soweit Sie hinsichtlich Ihrer Versicherungsverträge von einer Vermittlung betreut werden, verarbeitet Ihre Vermittlung die zum Abschluss und zur Durchführung des Vertrages benötigten Antrags-, Vertrags- und Schadendaten. Auch übermittelt unser Unternehmen diese Daten an Ihre Vermittlung, soweit die Vermittlung diese Informationen zu Ihrer Betreuung und Beratung benötigt.

Sonstige Empfänger:innen
Betriebliche Vorsorgekassen oder Pensionskassen, im Zusammenhang mit Verträgen der betrieblichen Kollektivversicherung
Abtretungs-, Pfand- und Vinkulargläubiger:innen, zum Zweck der Sicherstellung von Rechten an Versicherungsverträgen auf Basis vertraglicher Vereinbarungen zwischen Gläubiger:in (z.B. Leasinggeber:in, Kreditgeber:in, Hypothekargläubiger:in) und Versicherungsnehmer:in
Sachverständige, Gutachter:innen (z.B. ÖAMTC), zum Zweck der Erstellung von Sachverständigengutachten
(v.a. in Schadenfällen oder für die Vorschadenbesichtigung) bzw. zu Zwecken gemäß §§ 11a ff VersVG
Schadenregulierungsbeauftragte, zum Zweck der Regulierung von Kfz-Haftpflichtschäden
gemäß § 100 VAG
Professionist:innen, Werkstätten, zum Zweck der Durchführung von Schadenbehebungen (z.B. Reparaturen)
Beteiligte im Schaden- und Leistungsfall (wie z.B. Bezugsberechtigte, Schädiger:in und geschädigte Personen), soweit rechtlich zulässig zum Zweck der Schadenabwicklung bzw. zur Leistungserbringung
Gesundheitsdienstleistende (z.B. Ärzte und Ärztinnen, Krankenanstalten, Reha-Zentren, Apotheken) oder Sozialversicherungsträger, zum Zweck der Risikoprüfung oder zur Erfüllung des Versicherungsvertrages (z.B. Prüfung von Leistungsansprüchen, Direktverrechnung von Leistungen im Rahmen der Krankenversicherung) im Rahmen Ihrer Einwilligung bzw. zu Zwecken gemäß §§ 11a ff VersVG
Rechtsbeistand und Notariate, zum Zweck der Geltendmachung oder Abwehr von Rechtsansprüchen oder der Erfüllung des Versicherungsvertrages
Gerichte, Staatsanwaltschaft, Finanzbehörden, Aufsichtsbehörden, sonstige Behörden und andere öffentlich-rechtliche Unternehmen, zum Zweck der Erfüllung von gesetzlichen Verpflichtungen, denen wir unterliegen, bzw. zu Zwecken gemäß §§ 11a ff VersVG. Informationen von steuerlich nicht ausschließlich in Österreich ansässigen Kunden gemäß FATCA oder CRS
Notariat, Gerichtskommissäre und -kommissärinnen, zum Zweck der Durchführung von Verlassenschaftsverfahren.
Insolvenzverwaltungen, zum Zweck der Durchführung von Insolvenzverfahren im Rahmen seiner vom Gericht bestellten Tätigkeit
Inkassobüros, Detekteien, Dienstleistende im Zuge der Betrugsbekämpfung, zum Zweck der Geltendmachung oder Abwehr von Rechtsansprüchen
Banken, Kreditinstitute, zum Zweck der Abwicklung von Zahlungsverkehr (z.B. Einzug von Versicherungsprämien, zur Nachverfolgung, Stornierung oder Korrektur von Zahlungen)
Kreditauskunfteien, zum Zweck der Bonitätsprüfung und Bonitätsauskünfte
Wirtschaftsprüfungs- und Steuerberatungsunternehmen, insbesondere im Zusammenhang mit dem Jahresabschluss
Einrichtungen der Streitbeilegung (Schlichtungsstellen, Interessenvertretungen), zum Zweck der außergerichtlichen Regulierung von strittigen Ansprüchen bzw. zu Zwecken gemäß §§ 11a ff VersVG
Berufsgruppenvertretungen, zum Zweck der Übermittlung von Pflichtversicherungsbestätigungen
Telekommunikationsunternehmen, zum Zweck der Erbringung von Telekommunikationsdienstleistungen
nach TKG
Gesetzliche oder von Ihnen bevollmächtigte Vertretungen (z.B. Eltern für ein minderjähriges Kind, Erwachsenenvertretungen oder aufgrund einer Vollmacht bevollmächtigte Personen), im Rahmen der Vertretungsvollmacht oder zu Zwecken gemäß §§ 11a ff VersVG

Datenweitergabe an Auftragsverarbeiter der Helvetia Versicherungen AG

Wir übermitteln zum Zwecke der Erbringung gewisser Dienstleistungen für uns anlassbezogen Ihre personenbezogenen Daten sowohl an Auftragsverarbeiter:innen, die der Helvetia Unternehmensgruppe angehören, wie auch an solche, zu denen keine Konzernverbindung besteht. In beiden Fällen haben wir entsprechende Vereinbarungen gemäß Art 28 DSGVO abgeschlossen. Sämtliche unserer Auftragsverarbeiter:innen wurden von uns entsprechend dem europäischen Datenschutzniveau und Datensicherheitsstandards sorgfältig ausgewählt und geprüft. Aufgrund der Komplexität von IT-Anwendungen und der technischen Weiterentwicklung ist es nicht ausgeschlossen, dass gegebenenfalls noch weitere Dienstleister:innen herangezogen werden können (z.B. durch Sub-Auftragsverarbeiter:innen).

Datenverarbeitung in der Unternehmensgruppe
Mit der Datenverarbeitung sind verschiedene Stellen in der Unternehmensgruppe beauftragt. Die Betreuung und Weiterentwicklung der Systeme werden von der Helvetia Versicherungen AG wahrgenommen. Der Betrieb der Rechenzentren wird von zentralen Stellen der Unternehmensgruppe, überwiegend in der Schweiz, teilweise auch mit IT-Subdienstleistenden und Rechenzentren, die für Wartungs- und Supportleistungen weltweit agieren, sichergestellt.

Eine Auflistung der Unternehmen der Helvetia-Gruppe und der sonstigen Auftragsverarbeiter:innen finden Sie hier.

Einrichtungen der Versicherungswirtschaft
Um einen koordinierten Informationsaustausch zwischen den teilnehmenden Versicherungsunternehmen zu ermöglichen, werden zu Zwecken von Risikoausgleich der Versichertengemeinschaft, zur Verhinderung und Bekämpfung von Versicherungsmissbrauch und - betrug, zur Sachverhaltsaufklärung, zur Beurteilung und Erfüllung von Ansprüchen aus einem Versicherungsvertrag und zur Einholung von Informationen und Überprüfung, betreffend den bisherigen Schadenverlauf bei Abschluss einer Kfz-Haftpflichtversicherung, Daten zwischen den beteiligten Versicherern oder Banken ausgetauscht (Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO):

Abwicklung Internationale Versicherungskarte (vormals „Grüne Karte“)
Nach Verkehrsunfällen, die sich in einem EU-Staat oder in Island, Liechtenstein, Norwegen oder der Schweiz mit einem dort zugelassenen Fahrzeug ereignen, können die Schadenersatzansprüche im Heimatland geltend gemacht werden. Jede Kfz-Haftpflichtversicherung, der in einem solchen Staat tätig ist, muss in einem EU-Staat, Island, Liechtenstein, Norwegen oder der Schweiz einen so genannten „Schadenregulierungsbeauftragte:n“ (zum Beispiel eine Versicherung oder ein spezialisiertes Schadenregulierungsbüro) bekannt geben. Zum Zwecke der Schadenabwicklung vor Ort ist daher die Verarbeitung von personenbezogenen Daten erforderlich (Art. 6 Abs. 1 lit b DSGVO, Art. 9 Abs. 2 lit f DSGVO). Daten werden der ausländischen Korrespondenzversicherung bzw. dem nationalen Versicherungsbüro (in Österreich ist das der VVO, siehe dazu auch https://www.vvo.at/vvo/vvo.nsf/syspages/Verkehrsunfall.html) zur Verfügung gestellt.

Verband der Versicherungsunternehmen Österreichs
Die österreichische Versicherungswirtschaft zieht den Verband der Versicherungsunternehmen (VVO), Schwarzenbergplatz 7, 1030 Wien, als datenschutzrechtlichen Auftragsverarbeiter für den Betrieb mehrerer zentraler Services heran. Nachfolgende technische Dienstleistungen werden vom VVO betrieben und von uns als datenschutzrechtlich Verantwortliche genutzt:

•  „LET-Tilgungsträgerdatenbank“ zum Zweck des automatisierten Datenaustausches zwischen Versicherungsunternehmen und Kreditinstituten über Lebensversicherungen, die der Kreditbesicherung dienen. Die Vertragsdaten dieser Lebensversicherungen (Name des Versicherungsnehmers bzw. der Versicherungsnehmerin und der Versicherung, Vertragsdaten, Sparte, Versicherungsleistung zum Stichtag und Ablauf, Zahlungsdaten, Beginn und Ablauf, Mahndaten) werden zur Sicherstellung der Werthaltigkeit und ordnungsgemäßen Bedienung (gem. § 39 BWG) vom Kreditinstitut beim VVO abgefragt und über die Datendrehscheibe elektronisch beauskunftet.
• Mitversicherungsverrechnung (gem. § 5 Zi 48 VAG) zum Zweck des standardisierten Datentransfers zwischen Versicherungen zur Durchführung des gegenseitigen Saldoabgleiches bei Mitversicherungen.
• Nutzung der Software FTAPI SecuTransfer als gehostete Software im Rechenzentrum des VVO zum sicheren und verschlüsselten Datenaustausch im Zusammenhang mit Versicherungsverhältnissen.

Nachfolgende technische Services werden vom VVO als Auftragsverarbeiter unter einer gemeinsamen datenschutzrechtlichen Verantwortlichkeit der teilnehmenden Versicherungsunternehmen betrieben:

• Zentrales Informationssystem der österreichischen Versicherungswirtschaft in der Kranken- und Lebensversicherung zur Prüfung von Versicherungsrisiken im Antrags- oder Leistungsfall. Zu diesem Zweck kann im Falle einer dauerhaften oder vorübergehenden Ablehnung eines Versicherungsantrags, der potentiellen Annahme des Antrags unter erschwerten Bedingungen, des Abschlusses einer Berufsunfähigkeitsversicherung mit Rentenbezug bei mehr als EUR 9.000 versicherter Jahresrente und der vorzeitigen Vertragsbeendigung aufgrund einer Verletzung der Anzeigepflicht des/der Versicherungsnehmenden bzw. Antragstellenden eine Einmeldung in das System (registriertes Informationsverbundsystem gem. § 50 DSG 2000 iVm § 69 Abs. 9 DSG 2018) erfolgen. Erfasst werden: Name, Geburtsdatum, Art und Datum der Meldung, Versicherungssparte, numerisch kodierter Meldefall, allfälliger Bestreitungsvermerk. Ein bestehender Systemeintrag kann von den teilnehmenden Versicherungsunternehmen abgefragt werden und dazu führen, dass von der betreffenden Person unter Umständen weitere Informationen eingeholt werden müssen. Über eine Eintragung in das Zentrale Informationssystem der österreichischen Versicherungswirtschaft im Bereich der Kranken- und Lebensversicherung informieren wir Sie schriftlich.
• Bonus Malus Auskunftssystem zum Zweck des Abrufes der Prämieneinstufung in der Kfz-Haftpflichtversicherung. Daten zur Prämienstufe aus Kfz-Haftpflichtversicherungsverträgen (meldendes Unternehmen, Polizzennummer, Stammdaten VN, Fahrzeugidentifikationsdaten, Versicherungsdaten, B/M-Stufe, Schadendatum) werden von der verantwortlichen Versicherung eingemeldet, wenn die Versicherung ohne Nachfolgevertrag beendet und auf den Versicherungsvertrag das Bonus Malus System angewendet wurde. Die Daten zur Prämienstufe können von der Nachfolgeversicherung (gem. Art. 6 Abs. 1 lit. f DSGVO) abgerufen und der Einstufung im Bonus Malus System zugrunde gelegt werden.
• Kfz-Zulassungsevidenz zur Erfüllung der gesetzlichen Verpflichtung im Zusammenhang mit der Kraftfahrzeugzulassung gem. § 47 und § 61 KFG sowie § 4 Abs 3 Zi 9 VersStG. Jedes verantwortliche Versicherungsunternehmen ist berechtigt bzw. verpflichtet, eine Dateneinspeicherung (Stammdaten, Fahrzeugdaten, bereichspezifisches Kennzeichen, Zulassungsdaten, Versicherungsdaten) in das Informationssystem vorzunehmen oder Daten aus diesem System abzurufen.

Folgende Verarbeitung wird von der Fa. Audatex GmbH als Auftragsverarbeiter unter einer gemeinsamen datenschutzrechtlichen Verantwortlichkeit der teilnehmenden Versicherungsunternehmen betrieben:

• GDH-Datenbank (Gutachten Damage History): Im Bereich der Kfz-Versicherung wird von der Firma Audatex Österreich GesmbH unter einer gemeinsamen Verantwortlichkeit der teilnehmenden Versicherungsunternehmen eine Datenbank zum Zweck der Kfz-bezogenen Dokumentation von Unfallschäden zur Gutachtenerstellung im Versicherungsfall geführt. Die Unfalldokumentation wird anhand der Fahrzeug-Identifizierungsnummer ("Vehicle Identification Number" = VIN) dem jeweiligen Kraftfahrzeug zugeordnet. Sonstige personenbezogene Daten der Fahrzeughalter:innen werden nicht gespeichert.

Jede:r gemeinsam Verantwortliche kommt den Pflichten, die sich aus der DSGVO ergeben, nach und nimmt Begehren von Betroffenen unter der DSGVO entgegen. Die Erledigung dieser Begehren obliegt jedem:r Gemeinsam Verantwortlichen in jenem Ausmaß und hinsichtlich jener Daten, die er/sie in die Datenbank eingepflegt oder abgerufen hat.

Datenübermittlung in ein Drittland

Abhängig vom jeweiligen Produkt erstreckt sich unser Versicherungsschutz unter Umständen auch über die europäischen Grenzen hinaus. Vor allem aufgrund dieser Tatsache ist es im Rahmen der Vertragsbeziehung als auch zur Geltendmachung, Ausübung und Abwehr von etwaigen Rechtsansprüchen oder aufgrund gesetzlicher Vorschriften in Einzelfällen erforderlich, dass personenbezogene Daten im notwendigen Ausmaß an Empfänger:innen in Drittstaaten – sohin außerhalb des EU/EWR Raumes – übermittelt werden. Dies kann im Zusammenhang mit Leistungspflichten in einem Schaden- oder Leistungsfall (z.B. Freizeitunfall oder Kfz-Unfall außerhalb EU/EWR) oder auch zur Vertragserfüllung im Rahmen der Rück- und Mitversicherung erforderlich sein.
Wir achten darauf, dass bei einer Drittlandverarbeitung stets die notwendigen Vorgaben nach Art. 44 ff DSGVO eingehalten werden, d.h. ein Angemessenheitsbeschluss der Europäischen Kommission für das Drittland (wie z.B. für die Schweiz) oder andere geeignete Garantien (z.B. Standarddatenschutzklauseln) vorliegen.

Wir übermitteln personenbezogene Daten an Unternehmen der Helvetia Gruppe in der Schweiz als einer unserer größten IT-Dienstleister (siehe Datenverarbeitung in der Unternehmensgruppe). Die Schweiz ist zwar nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR), durch die EU-Kommission wurde ihr jedoch ein angemessenes und gleichwertiges Datenschutzniveau bestätigt (Entscheidung 2000/518/EG der Kommission).
Sollte aufgrund Ihrer Angaben im Bereich der Lebensversicherung ein US-Bezug bestehen, sind wir gesetzlich verpflichtet, bestimmte personenbezogene Daten an die US-Finanzbehörde zu übermitteln.
Sollte eine gesetzliche oder aufsichtsrechtliche Verpflichtung vorliegen, wie insbesondere im Bereich der Geldwäschereiprävention nach §§ 22 iVm. 24 FM-GwG, kann die Helvetia Gruppe in St. Gallen als unsere Muttergesellschaft Ihre personenbezogenen Daten empfangen. Dies dient der Verhinderung von Geldwäscherei und Terrorismusfinanzierung und der globalen Überwachung der Rechts- und Reputationsrisiken. Die Rechtsgrundlage hierfür liegt in Art. 6 Abs. Abs. 1 lit.c.

Wie lange speichern wir Ihre Daten (Aufbewahrungsdauer)?

Wir bewahren Ihre personenbezogenen Daten ausschließlich unter Berücksichtigung der rechtlichen Rahmenbedingen auf, und zwar nur so lange wie dies für die festgelegten Zwecke erforderlich ist. Dies, so lange Ansprüche gegen unser Unternehmen geltend gemacht werden können (gesetzliche Verjährungsfrist von drei oder bis zu dreißig Jahren) bzw. gesetzliche Nachweis- und Aufbewahrungspflichten (UGB, der BAO, dem VersVG und dem Geldwäschereigesetz) bestehen. Während der gesetzlich vorgesehenen Aufbewahrung gibt es zusätzliche technische und organisatorische Sicherheitsvorkehrungen und Verarbeitungssperren, die die Sicherheit der Daten garantieren.

Solange ein Vertragsverhältnis besteht, ist die Verarbeitung der Vertragsdaten (inklusive der zugehörigen Stamm- und Kontaktdaten) sowie sonstiger in diesem Zusammenhang erhobener personenbezogener Daten insbesondere für die Vertragsabwicklung bzw. Schadens- und Leistungsabwicklung zwingend erforderlich. Danach werden die Daten für die Zeit aufbewahrt, in der Ansprüche gegen unser Unternehmen geltend gemacht werden können oder wir gesetzlichen Nachweis- und Aufbewahrungspflichten unterliegen.
Die nachfolgende Aufbewahrung nach der Beendigung der Vertragsbeziehung richtet sich nach den allgemeinen rechtlichen Aufbewahrungspflichten. Die Speicherung nach Vertragsende erfolgt insbesondere aufgrund gesetzlicher Mindestaufbewahrungspflichten (z.B. nach § 212 UGB oder § 132 BAO), zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen sowie zur Erfüllung nachvertraglicher Verpflichtungen. In Anwendung des Versicherungsvertragsgesetzes (insbesondere § 12 VersVG) bewahrt die Versicherung die Daten während des Zeitraums, in dem Ansprüche gegen sie erhoben werden können daher zehn Jahre nach Vertragsende auf. In bestimmten Konstellationen bzw. in einigen Sparten (z.B. in der Haftpflichtversicherung, der Rechtsschutzversicherung und bei bereicherungsrechtlichen Ansprüchen) können Ansprüche gegen die Versicherung nach aktueller Rechtsprechung bis zu dreißig Jahre nach Vertragsende oder noch länger geltend gemacht werden (zeitlich unbegrenzte Nachhaftung). In diesen Fällen muss die Versicherung die Daten aus dem zugrundeliegenden Versicherungsvertrag daher mindestens dreißig Jahre aufbewahren.

Ebenso führen Schaden- und Leistungsfälle nach Beendigung des Versicherungsvertrages zu einer Verlängerung der oben genannten Aufbewahrungsfristen um jedenfalls zehn Jahre ab Erledigung, da diesbezüglich die Verjährungsfrist neu zu laufen beginnt. Unabhängig von den oben genannten Fristen ist die Löschung von personenbezogenen Daten in bestimmten Fällen vorläufig ausgesetzt, z.B. wenn diese in gerichtlichen, außergerichtlichen oder verwaltungsbehördlichen Verfahren relevant sind. In diesem Fall richtet sich die konkrete Speicherdauer nach dem jeweiligen Anlassfall. Soweit keine gesetzlichen Aufbewahrungspflichten dem Entgegenstehen, löschen wir sämtliche personenbezogene Daten, sobald diese von uns nicht mehr für die oben genannten Zwecke gebraucht werden.

Datensicherheit

Wir treffen im Rahmen der Datenverarbeitung basierend auf deren Kritikalität angemessene technische und organisatorische Maßnahmen, um unerlaubte Zugriffe und sonstige unbefugte Bearbeitungen zu verhindern. Diese orientieren sich an nationalen und den internationalen Standards in diesem Bereich und werden entsprechend regelmäßig überprüft und wenn nötig angepasst.

Die Schutzmaßnahmen umfassen u.a. den Einsatz moderner Sicherheitssoftware und Verschlüsselungsverfahren, physischer Zutrittskontrollen, Zugriffs- und Berechtigungskonzepte, Geheimhaltungsverpflichtungen, Awareness-Maßnahmen und sonstige Vorkehrungen zur Abwehr und Verhinderung von Angriffen.
Die Sicherheit des Datenverkehrs wird durch entsprechende Verschlüsselungen sichergestellt, z.B. https oder TLS-Transportverschlüsselung bzw. in besonderen Fällen FTAPI Secure Transfer oder Sepp Secure E-Mail.