Unsere Rolle als Datenverantwortlicher

Welche Art von personenbezogenen Daten verarbeiten wir?

Die genaue Art der von uns verarbeiteten personenbezogenen Daten hängt von Ihrer Beziehung zu Swiss Re ab. In den meisten Fällen verarbeiten wir allerdings eine Kombination der folgenden Daten:

  • Informationen über Sie – zum Beispiel Name, Alter, Geschlecht, Geburtsdatum, Nationalität, Familienstand, Sozialversicherungsnummer, Ausweisnummer oder Steuernummer.  Auch wenn uns Ihr Name in einigen Fällen nicht übermittelt wird, so benötigen wir dennoch genügend Informationen um Sie und Ihre Police zu identifizieren, damit wir unsere Kundendienstleistungen erbringen können.
  • Kontaktinformationen – in einigen Fällen werden uns beispielsweise Ihre E-Mail-Adresse, Adresse oder Telefonnummer übermittelt.
  • Online-Informationen – zum Beispiel Cookies und IP-Adresse (die Internetadresse Ihres Computers), wenn Sie unsere Websites nutzen. Bitte beachten Sie die weiteren Informationen in der Internet-Datenschutzerklärung und der Cookie-Richtlinie von Swiss Re.
  • Zahlungsdaten – wir verarbeiten möglicherweise Informationen im Zusammenhang mit Zahlungen, die Sie im Rahmen einer Versicherungspolice oder eines Schadens tätigen oder erhalten.
  • Vertragsinformationen – z. B. Einzelheiten zu den Policen, über die Sie verfügen und mit wem Sie diese abgeschlossen haben.
  • Gesundheitsrelevante Daten – z. B. Raucherstatus, Gewicht, Sport- und Freizeitaktivitäten, Familien- oder Morbiditätsanamnese oder medizinische Probleme, die für eine Ihrer Policen oder einen von Ihnen gemeldeten Schaden relevant sind.
  • Finanzinformationen – z. B. Daten zu Ihrem Bankkonto oder der Zahlungskarte, zu Einkommen, Kapitalanlagen/Ersparnissen oder andere finanzielle Informationen einschliesslich Haushaltseinkommen, geschätzter Wert des Hauses und Demographie des Haushalts
  • Risiko-, betrugs- und kreditbezogene Daten – z. B. Kreditauskunft, Informationen zu Vorstrafen und aus Strafregister und Informationen aus verschiedenen Datenbanken zur Betrugsbekämpfung.
  • Beruflicher Werdegang – z. B. Informationen zu Ihrem vorherigen oder jetzigen Arbeitgeber, zu Ihrem Beruf, Gehalt, Gehaltsnebenleistungen, Ausbildung oder zu beruflichen Zulassungen und Qualifikationen.

Warum verarbeiten wir diese Daten?

Hauptsächlich verwenden wir Ihre personenbezogenen Daten nur, wenn es für die Durchführung unserer Geschäftstätigkeiten notwendig ist, und ausschliesslich für die Zwecke, zu denen sie ursprünglich erfasst wurden sowie gegebenenfalls mit demselben Zweck in Verbindung stehende weitere zulässige Zwecke. Wenn wir Ihre personenbezogenen Daten verwenden, kann das aus verschiedenen Gründen geschehen:

  • Bereitstellung unserer Dienstleistungen und Erfüllung unserer vertraglichen Verpflichtungen gegenüber Kunden und sonstigen Dritten
  • Risikobewertung und -übernahme unseres Kundengeschäfts
  • Durchführung von Datenanalysen zur Einschätzung unserer Risiken, Festsetzung unserer Produktpreise und Verbesserung unserer Dienstleistungen
  • Prüfung, Verwaltung und Verarbeitung von Forderungen
  • Bewertung, Verbesserung und Weiterentwicklung unserer Dienstleistungen
  • Ausweitung unseres Wissens über Risiken und Versicherungsmärkte im Allgemeinen
  • Marketingzwecke (z. B. Newsletter, Umfragen, Kundenveranstaltungen usw.)
  • Einhaltung gesetzlicher oder regulatorischer Verpflichtungen und Schutz unserer Kunden und uns selbst vor Betrug, Geldwäsche, Terrorismus und anderen Straftaten

Werden diese Daten weiterverarbeitet?

Swiss Re hält die Zweckbindung ein und verarbeitet personenbezogene Daten ausschliesslich zu den zum Zeitpunkt der Erfassung dargelegten Zwecken. Eine Verarbeitung für sekundäre Zwecke findet nur dann statt, wenn eine Rechtsgrundlage dafür besteht, beispielsweise die Einwilligung der betroffenen Person. Zur Sicherstellung dieses Prinzips beurteilt Swiss Re das Verhältnis zwischen dem Erhebungszweck und der Weiterverarbeitung der Daten, dem Kontext, in dem die Daten erhoben wurden, die berechtigten Erwartungen der betroffenen Personen, die Art der Daten und die Konsequenzen der Weiterverarbeitung auf die betroffenen Personen.

Woher bekommen wir personenbezogene Daten?

In den meisten Fällen erhalten wir personenbezogene Daten von Dritten, wie etwa unseren Firmenkunden; diese können Ihr Versicherer, Agent oder Makler oder andere Akteure des Versicherungsmarktes sein. Gelegentlich erhalten wir personenbezogene Daten direkt von Ihnen, wenn Sie sich für eine Veranstaltung anmelden oder Informationen direkt von uns erhalten. Wir erhalten Daten möglicherweise auch von anderen Parteien im Zusammenhang mit einem Schaden (Anspruchsteller/Beklagter), Zeugen, Sachverständigen (einschliesslich medizinischen Sachverständigen), Schadensgutachtern, Anwälten sowie Sachbearbeitern, Gesundheitsdienstleistern oder aus Datenbanken zur Betrugsbekämpfung, Sanktionslisten, Gerichtsurteilen und anderen öffentlichen Datenbanken.

Mit wem tauschen wir personenbezogene Daten aus, oder verkaufen wir sie?

Unsere Mitarbeitenden haben Zugriff auf personenbezogene Daten und verarbeiten diese unter Einhaltung des «Need-to-know»-Prinzips («Kenntnis nur bei Bedarf»). Mit anderen Worten, sie haben nur Zugriff auf personenbezogene Daten, soweit es ihre Tätigkeit verlangt. Wir überprüfen regelmässig wer Zugriff auf unsere Systeme und Daten hat.

Auf Grundlage folgender Kategorien können wir Ihre personenbezogenen Daten mit Dritten teilen:

  • Unsere Dienstleister und Vertreter, z. B. IT-Unternehmen, die unsere technische Infrastruktur unterstützen. Wir verarbeiten personenbezogene Daten beispielsweise (d. h. innerhalb unseres E-Mail-Systems oder anderer Anwendungen) mit Microsoft Azure und Office 365. Diese extern betriebene Plattform entspricht unseren Programmen für Datenschutz und Sicherheit und wird regelmässig überprüft, damit sie auch weiterhin unseren Standards entspricht.
  • Unsere Berater, Prüfer, Rückversicherer, medizinischen Agenturen und Rechtsberater, Ermittlungsbehörden, Aufsichtsbehörden und Regierungsbehörden.
  • Der Kunde, der uns Ihre Daten zur Verfügung gestellt hat.
  • Auftragnehmer, Makler, externe Manager, sonstige Akteure des Versicherungsmarktes oder Finanzinstitute.

Wir verkaufen keine personenbezogenen Daten.

Daten werden gegebenenfalls entsprechend der gesetzlichen Anforderungen und der erforderlichen Massnahmen zum Datenschutz in weitere Länder übermittelt. Dies trifft vor allem dann zu, wenn personenbezogene Daten von internen Serviceteams oder von Dritten an anderen Standorten von Swiss Re und ausserhalb der EU oder der Schweiz verarbeitet werden müssen. Wir stellen sicher, dass angemessene Sicherheitsvorkehrungen für die Verarbeitung durch interne und externe Parteien gegeben sind.

Wie lange speichern wir personenbezogene Daten?

Wir speichern Ihre personenbezogenen Daten gemäss den entsprechenden Aufbewahrungsfristen und so lange, wie dies für den Zweck, zu dem sie erhoben wurden, erforderlich ist, und wie unsere gesetzlichen und aufsichtsrechtlichen Anforderungen es erfordern. Dies kann unter Umständen bedeuten, dass wir Ihre Daten für einen angemessenen Zeitraum aufbewahren, auch nachdem Ihre Beziehung zu uns oder unserem Kunden beendet ist. Wenn personenbezogene Daten nicht länger für die entsprechenden Zwecke benötigt werden und die Aufbewahrungsfrist abgelaufen ist, so werden diese unter Sicherheitsvorkehrungen vernichtet. Unter gewissen Umständen können wir aggregierte und anonymisierte Daten zurückhalten, die nicht mehr zu Ihnen zurückverfolgt werden können, und somit nicht als personenbezogene Daten zu verstehen sind. Für weitere Informationen zur Aufbewahrung und Löschung Ihrer personenbezogenen Daten beachten Sie bitte auch den Abschnitt zu Ihren Datenschutzrechten weiter unten und kontaktieren Sie uns mittels der Kontaktangaben am Ende dieses Dokuments.

Wie sieht es mit der Informationssicherheit aus?

Wir achten auf grösste Sorgfalt wenn wir mit Dritten zusammenarbeiten. Nur beteiligte Unternehmen, , Geschäftspartner, Drittanbieter und Lieferanten erhalten von uns personenbezogene Daten, und dies ausschliesslich dann, wenn ein legitimer Geschäftszweck vorliegt und die Weitergabe gesetzlich zulässig ist. Wir verlangen von Dritten dass sie ähnliche Standards für den Schutz personenbezogener Daten einhalten, und wir überprüfen dies zuvor im Rahmen unseres Due-Diligence-Prozesses.

Weitere Informationen finden Sie hier: Datensicherheit bei Swiss Re | Swiss Re

Wie handhaben wir Zwischenfälle?

Im Falle von Sicherheits- oder Datenschutzzwischenfällen, die einen unbefugten Zugriff auf personenbezogene Daten zur Folge haben können, verfügen wir über globale und regionale Prozeduren zum Umgang mit dem Zwischenfall, einschliesslich geeigneter Meldewege wie 24/7-Anlaufstellen sowie eine Whistleblowing-Hotline. Unsere Verfahren zur Erkennung und Eindämmung von Sicherheitsregelverstössen berücksichtigen die potenziellen Auswirkungen auf Geschäft und Reputation sowie rechtliche und regulatorische Belange unseres Unternehmens. Sie beinhalten auch die Beurteilung, ob der Vorfall tatsächlich eine Datenschutzverletzung darstellt, die Auswirkungen auf natürliche Personen haben könnte und welche Personen über die Verletzung informiert werden müssen, beispielsweise Aufsichtsbehörden, betroffene Personen oder andere Interessengruppen. Zu diesem Zweck verwenden wir die am besten geeigneten Kommunikationskanäle, abhängig von der Schwere und dem Umfang des Verstosses, einschliesslich unserer öffentlichen Website, wenn dies angemessen erscheint. Wir beziehen alle relevanten internen und externen Interessengruppen in unsere Bestrebungen mit ein, den Schaden für Swiss Re und betroffene Personen zu minimieren. Wir überwachen ständig das Bedrohungsumfeld und haben Kommunikationswege sowohl intern als auch extern mit Informationszentren, Strafverfolgungsbehörden und Aufsichtsbehörden vorbereitet. Unsere Pläne zielen darauf ab, Vorfälle zu minimieren, die das Unternehmen und die betroffenen Personen schädigen könnten.

Was sind unsere Rechtsgründe für die Verarbeitung personenbezogener Daten?

Wir verarbeiten personenbezogene Daten nur im Rahmen legitimer Geschäftszwecke und wenn ein Rechtsgrund gemäss Datenschutzgesetz vorliegt. Es gibt eine Reihe von Rechtsgründen, die möglicherweise zutreffen. Diejenigen, die für Sie am wahrscheinlichsten sind, werden in der folgenden Tabelle erläutert.

Rechtsgründe Beispiel

Einwilligung

Wir können Ihre personenbezogenen Daten verarbeiten, wenn wir Ihre Einwilligung erhalten oder wenn unser Kunde die Einwilligung von Ihnen einholt.

Wir sorgen mit geeigneten Massnahmen dafür, dass unsere Kunden uns nur dann personenbezogene Daten zur Verfügung stellen, wenn sie dazu befugt sind. Dies bedeutet oft, dass unsere Kunden Ihre Einwilligung zur Weitergabe personenbezogener Daten an Rückversicherer erhalten.

Erfüllung eines Vertrags

Wenn Sie einen Vertrag mit Swiss Re haben, können die personenbezogenen Daten verarbeitet werden, wenn dies für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist.

Dies könnte die Erfüllung unserer Verpflichtungen in Bezug auf einen von Ihnen geltend gemachten Anspruch beinhalten.

Einhaltung einer gesetzlichen Verpflichtung

Ihre personenbezogenen Daten können verarbeitet werden, wenn wir gesetzlich dazu verpflichtet sind, z. B. wenn wir Informationen mit unseren Aufsichtsbehörden, Strafverfolgungsbehörden oder Gerichten austauschen.

Wenn wir von den Behörden im Zuge einer Untersuchung eine Aufforderung erhalten, müssen wir möglicherweise personenbezogene Daten als Teil dieses Verfahrens weitergeben.

Notwendig für einen Versicherungszweck

An einigen Standorten beinhalten lokale Gesetze Rechtsgründe für die Verarbeitung Ihrer medizinischen und anderen sensiblen personenbezogenen Daten, wenn dies im Zusammenhang mit einem Versicherungsprodukt erforderlich ist.

In einigen Fällen erhalten wir personenbezogene Daten von unseren Kunden, die unsere Meinung zu komplexen Ansprüchen einholen.

Wenn wir uns auf ein berechtigtes Interesse als Grund für die Verarbeitung berufen können, stellen wir sicher, dass wir nur die kleinstmögliche Menge an Daten verarbeiten, die notwendig ist, und dies nur für die absolut notwendige Zeit. Auch sorgen wir dafür, dass unsere Verarbeitung nicht unnötig eingreifend ist.

Die nachstehende Tabelle enthält einige Beispiele dafür, wann wir uns auf unsere berechtigten Interessen zur Verarbeitung personenbezogener Daten berufen können.

Verwendung personenbezogener Daten Unser legitimes Interesse

Unsere Produkte werden unter Berücksichtigung der Bedürfnisse unserer Kunden entwickelt.  Wir verarbeiten personenbezogene Daten, um sicherzustellen, dass wir den Service bieten, den unsere Kunden erwarten, und dass unsere Produkte so funktionieren, wie wir es uns vorgestellt haben.

Wir verwenden auch Daten, um sicherzustellen, dass unser Geschäftsbetrieb effizient abläuft – wo immer möglich, verzichten wir jedoch auf identifizierende Informationen.

Wir müssen in der Lage sein, zu erkennen, ob unsere Produkte oder Dienstleistungen effizient arbeiten.

Wir müssen neue Produkte und Dienstleistungen entwickeln und sicherstellen, dass das, was wir anbieten, fair ist.

Wir müssen sicherstellen, dass wir Kunden und Versicherungsnehmer fair behandeln.

Wir verarbeiten personenbezogene Daten in einer Reihe von Anwendungen und verwenden eine Vielzahl von technologischen Mitteln und Prozessen, um zu verstehen, wie diese Anwendungen funktionieren. Wir müssen sicherstellen, dass unsere Systeme sicher sind und ordnungsgemäss funktionieren.

 

Ihr Rechte zum Datenschutz

Wir erkennen an, dass Sie Rechte in Bezug auf unsere Verarbeitung Ihrer Daten haben können. Während sich Art und Umfang dieser Rechte von Standort zu Standort unterscheiden, verfügen wir über Prozesse, die es uns ermöglichen, um auf jede berechtigte Anfrage zeitnah zur reagieren:

  • Recht auf Auskunft – Möglicherweise haben Sie das Recht zu erfahren, welche personenbezogenen Daten wir über Sie besitzen (dies umfasst die Kategorie personenbezogener Daten und/oder besondere personenbezogene Daten).
  • Recht auf Berichtigung – Wenn Ihre Angaben unrichtig, ungenau oder unvollständig sind, können Sie eine Korrektur beziehungsweise Ergänzung beantragen.
  • Recht auf Datenübertragbarkeit – Unter bestimmten Umständen können Sie beantragen eine elektronische Kopie der von Ihnen zur Verfügung gestellten personenbezogenen Daten an Sie oder an eine andere Organisation zu senden.
  • Widerspruchsrecht – Sie haben das Recht, einer Verarbeitung aufgrund berechtigter Interessen zu widersprechen. Wir werden dann das Verhältnis zwischen unseren und Ihren Interessen unter Berücksichtigung Ihrer besonderen Umstände neu beurteilen.  Wenn wir einen zwingenden Grund haben, können wir Ihre Daten gegebenenfalls weiterhin verwenden.
  • Ausschluss von Marketingmassnahmen – Sie haben ein besonderes Recht der Verwendung Ihrer Daten für Direktmarketingzwecke zu widersprechen; einem solchen Widerspruch werden wir stets anerkennen.
  • Recht auf Einschränkung der Verarbeitung – Wenn Sie sich hinsichtlich der Genauigkeit oder der Verwendung Ihrer Daten nicht sicher sind, können Sie uns auffordern, die Verwendung Ihrer Daten auszusetzen, bis Ihre Anfrage geklärt ist.  Wir werden Sie über das Ergebnis informieren, bevor wir weitere Massnahmen in Bezug auf diese Daten ergreifen.
  • Recht auf Löschung – Sie können uns bitten, Ihre personenbezogenen Daten zu löschen, wenn das Löschen Ihrer Daten nicht im Widerspruch zu unseren gesetzlichen und regulatorischen Verpflichtungen steht.  Wenn die Verarbeitung Ihrer Daten auf Grundlage Ihrer Einwilligung erfolgt, so können Sie diese zurückziehen und die Löschung Ihrer Daten beantragen.

Falls wir Ihre Daten verwenden, um Entscheidungen ausschliesslich auf automatisierte Weise zu treffen (einschliesslich der Verwendung Ihrer Daten, um ein Profil über Sie zu erstellen), werden wir Sie immer darüber informieren und sicherstellen, dass Sie eine solche Entscheidung anfechten können. Jede neue Profilerstellung oder automatisierte Entscheidungsfindung, die wir durchführen, unterliegt einer gründlichen Bewertung, die darauf abzielt, mögliche Risiken für Sie zu minimieren. Diese Bewertung wird jeweils vor Beginn der Verarbeitung durchgeführt.

Die einfachste Möglichkeit, Ihre Rechte wahrzunehmen, besteht darin, sich über die untenstehenden Kontaktdaten an das Datenschutzteam zu wenden. Wir werden umgehend antworten; die Beantwortung Ihrer Anfrage erfolgt zudem in der Regel kostenlos. Bitte beachten Sie, dass wir vor Bearbeitung Ihrer Anfrage möglicherweise Ihre Identität prüfen müssen, indem wir Sie um eine Kopie eines amtlichen Ausweises und/oder um eine Kopie zum Nachweis Ihres Wohnsitzes oder Ähnliches bitten.

Wenn Sie mit der Verarbeitung Ihrer personenbezogenen Daten nicht einverstanden sind, haben Sie möglicherweise das Recht sich bei einer Datenschutzbehörde oder Aufsichtsbehörde zu beschweren. Wir empfehlen Ihnen allerdings zunächst uns zu kontaktieren so dass wir Ihre Bedenken berücksichtigen können.

Datenethik bei Swiss Re

Die digitale Transformation der Versicherungsbranche ist eine der zentralen Herausforderungen für alle Akteure. Digitale Technologien werden in die gesamte Wertschöpfungskette integriert, vom Vertrieb über die Risikobemessung bis hin zum Schaden. Dies wirft kritische Fragen hinsichtlich Marktdynamik und Mitbewerbern, Kundenverhalten, Datennutzung, künstlicher Intelligenz und mehr auf. Swiss Re fördert auch zukünftig eine vernünftige und ethische Verarbeitungsgrundlage, und erreicht dies zum Teil durch das von uns entwickelte Digital Governance Framework (DGF). Das DGF umfasst Bewertungen der ethischen Folgen von Verarbeitung personenbezogener Daten sowie von Compliance-Risiken. Es soll die Bedürfnisse von schnellen unternehmerischen Innovationen und effektivem Risikomanagement in Einklang bringen.

Kontakt

Wenn Sie Fragen zu diesem Thema haben, oder wenn Sie von Ihren Persönlichkeitsrechten Gebrauch machen möchten, wenden Sie sich bitte an unseren Datenschutzbeauftragten, David Evans, und sein Team unter Data Protection.

Wenn Sie in den USA ansässig sind, finden Sie die Telefonnummern der entsprechenden Kontaktpersonen hier.

Sie können uns beauftragen Sie aus der Empfängerliste für Marketingmitteilungen zu löschen. Ihre Anfragen werden wir zeitnah und in Übereinstimmung mit den geltenden rechtlichen oder regulatorischen Anforderungen beantworten. Wir bitten Firmenkunden uns über die üblichen Geschäftskanäle zu kontaktieren.