Politik zum Schutz personenbezogener Daten

Die Rechtsvorschriften zum Schutz personenbezogener Daten schützen das Privatleben und die Rechte der Einzelnen. Sie gelten für jede Person, die personenbezogene Daten von lebenden natürlichen Personen verwaltet oder Zugang dazu hat. Mit Blick auf diese Rechtsvorschriften stellen die Unternehmen der LALUX Gruppe eine transparentere Erhebung der Daten sicher. In diesen Richtlinien werden die Personen definiert, deren personenbezogenen Daten im Besitz dieser Unternehmen sind, und diese Personen werden darüber informiert, wie diese Unternehmen die von den betroffenen Personen übermittelten Informationen nutzen und schützen. Diese Richtlinien sollen gewährleisten, dass die personenbezogenen Daten korrekt, sicher und gemäß den Datenschutzvorschriften verarbeitet werden. Sie gelten für alle Informationen, unabhängig davon, in welcher Weise sie verwendet und gespeichert werden und davon, ob sie in Aktenordnern oder elektronisch aufbewahrt werden.

Personenbezogene Daten sind alle Informationen, die sich auf eine lebende natürliche Person beziehen, die auf der Grundlage dieser Informationen identifiziert werden kann. Die LALUX-Gruppe erhebt im Rahmen der Pflege der Versicherungsverträge Informationen über ihre Kunden/potenziellen Kunden. Personenbezogene Daten sind etwa: Name, Anschrift, Telefonnummer, Führerscheinnummer, Kennzeichen, Gesundheitsdaten usw.

Die Vorschriften basieren auf den Datenschutzgrundsätzen oder den Vorschriften für den „ordnungsgemäßen Umgang mit Informationen“, d. h. die Daten müssen:

• auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden
• für festgelegte, eindeutige und legitime Zwecke erhoben werden
• dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein
• sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein
• in einer Form gespeichert werden, in der die betroffenen Personen nur so lange identifiziert werden können, wie dies für die Zwecke, für die sie verarbeitet werden, erforderlich ist
• in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.

Innerhalb der LALUX-Gruppe sind folgende Personen für die Verarbeitung personenbezogener Daten verantwortlich (nachfolgend die „Verantwortlichen“):

• LALUX Group Société Anonyme
• LA LUXEMBOURGEOISE Société Anonyme d’Assurances
• LA LUXEMBOURGEOISE-VIE Société Anonyme d’Assurances
• DKV Luxembourg Société Anonyme
• APROBAT lalux-assurances Société Anonyme.

Jeder Verantwortliche erklärt, die luxemburgischen Rechtsvorschriften zum Schutz des Privatlebens sowie die Bestimmungen der Datenschutz-Grundverordnung ab deren Inkrafttreten zu erfüllen.

Gemäß Datenschutz-Grundverordnung erhebt und verarbeitet der Verantwortliche die personenbezogenen Daten, die ihm die betroffenen Personen mitgeteilt haben, sowie die Daten, die nachträglich für folgende Zwecke übermittelt werden:

• Zur Beurteilung der Risiken und zur Vorbereitung, Erstellung, Verwaltung und Ausführung der Versicherungsverträge. Die Verarbeitung ist für die Ausführung eines Vertrags notwendig, bei dem die betroffene Person (d. h. der Versicherungsnehmer und der (oder die) Versicherte(n)) Vertragspartei ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Wunsch dieser Partei durchgeführt werden, wie etwa die Anforderung von Angeboten/Kostenvoranschlägen. Die personenbezogenen Daten werden dementsprechend den Mitarbeitern der LALUX-Gruppe, den Agenten des LALUX-Netzes, dem Bankpartner des LALUX-Netzes für den Vertrieb bestimmter Produkte von LALUX Vie, den beratenden Ärzten, den Sachverständigen, Dritten wie Werkstätten, Auftragsverarbeitern, Versicherungsmaklern und Rückversicherern mitgeteilt.
• Zur Erhebung und gegebenenfalls Übermittlung an die luxemburgische Steuerbehörde (Administration des Contributions Directes), damit diese gegebenenfalls der zuständigen ausländischen Behörde meines steuerlichen Wohnsitzes/meiner steuerlichen Wohnsitze gemäß dem Gesetz vom 18.12.2015 über den automatischen Informationsaustausch in Steuersachen mitgeteilt werden. Diese Verarbeitung ist notwendig, um eine für den Verantwortlichen von LALUX Vie geltende gesetzliche Verpflichtung zu erfüllen.
• Zur Erhebung und gegebenenfalls Übermittlung an die allgemeine Sozialversicherungsbehörde gemäß dem Gesetz vom 08.06.1999 über zusätzliche Ruhestandsregelungen. Diese Verarbeitung ist notwendig, um eine für den Verantwortlichen von LALUX Vie geltende gesetzliche Verpflichtung zu erfüllen.
• Zur Erhebung und gegebenenfalls Übermittlung an die Aufsichtsbehörde für den Versicherungssektor (Commissariat Aux Assurances) gemäß dem geänderten Gesetz vom 07.12.2015 über den Versicherungssektor. Diese Verarbeitung ist notwendig, um eine für den Verantwortlichen geltende gesetzliche Verpflichtung zu erfüllen.
• Zur Erhebung und gegebenenfalls Übermittlung an die externen Prüfer im Rahmen der Arbeiten, die das geänderte Gesetz vom 08.12.1994 über die Jahresabschlüsse von Versicherungsunternehmen und Rückversicherern verlangt. Diese Verarbeitung ist notwendig, um eine für den Verantwortlichen geltende gesetzliche Verpflichtung zu erfüllen.
• Zur Vermeidung jedes Betrugsrisikos oder zur Aufdeckung jedes Finanzdelikts (einschließlich Finanzierung von Terrorismus und Geldwäsche sowie Verbote und Ergreifen einschränkender finanzieller Maßnahmen gegen Personen, Unternehmen oder Unternehmensgruppen). Die Verantwortlichen nutzen die personenbezogenen Daten, um ihre Pflichten sowie alle geltenden gesetzlichen Bestimmungen und Vorschriften zu erfüllen. Diese Verarbeitung ist notwendig, um eine für die Verantwortlichen geltende gesetzliche Verpflichtung zu erfüllen oder zur Wahrnehmung der berechtigten Interessen der Verantwortlichen. Die personenbezogenen Daten werden gegebenenfalls an die zuständige Behörde weitergeleitet, wie etwa die zentrale Meldestelle, wobei die geltenden Rechtsvorschriften streng befolgt werden.
• Zur Pflege der Geschäftsbeziehungen mit ihren Kunden – einschließlich (sofern die Kunden dem nicht widersprechen) zur Information über vergleichbare Produkte oder Leistungen oder über Produkte und Leistungen, die die von ihnen bereits abgeschlossenen ergänzen. Die Verarbeitung ist zur Wahrnehmung der berechtigten Interessen der Verantwortlichen notwendig, um ihre Kunden auf Versicherungsprodukte und - leistungen aufmerksam zu machen und sie zu beraten. Die personenbezogenen Daten werden dementsprechend den Mitarbeitern der Verantwortlichen der LALUX-Gruppe und den Agenten des LALUXNetzes mitgeteilt. Dies gilt selbstverständlich nicht für die Gesundheitsdaten. Diese werden nur von der Gesellschaft verarbeitet, die sie erhebt.
• Zur Korrespondenz mit ihren Anwälten, Beratern oder jedem anderen Beteiligten, damit ihre Rechte geschützt werden, insbesondere im Rahmen der Verteidigung oder des Schutzes der Rechte und rechtmäßigen Interessen (etwa Eintreibung geschuldeter Beträge, Abtretung von Forderungen), im Rahmen von gerichtlichen Klagen, dem Umgang mit Beschwerden oder Streitigkeiten usw. Die Verarbeitung ist notwendig zur Erfüllung einer gesetzlichen Verpflichtung oder zur Wahrnehmung der berechtigten Interessen der Verantwortlichen. Die personenbezogenen Daten werden dementsprechend den oben angegebenen Parteien übermittelt.
• Die Verantwortlichen handeln gemäß den Modalitäten und Bedingungen, die in Artikel 300 des geänderten Gesetzes über den Versicherungssektor im Hinblick auf die berufliche Schweigepflicht im Versicherungsbereich ausgeführt werden. Als verantwortlicher Datencontroller verarbeitet und sammelt PECOMA Actuarial and Risk S.A. (PECOMA) die personenbezogene Daten für folgende Zwecke:
• Für die Berechnung der Gebühren und das Festlegen der Zertifikate der verbundenen Unternehmen der Zusatzrentensysteme, die vom Arbeitgeber übernommen werden
• zum Erstellen von Finanzinformationen für Arbeitgeber von verbundenen Unternehmen, die eine Zusatzrente abgeschlossen haben
• zum Sammeln erforderlicher Daten, welche bei Bedarf an die Generalinspektion für soziale Sicherheit, gemäß dem geänderten Gesetz vom 08.06.1999 über Zusatzrentensysteme, übermittelt werden müssen. Sollte dies zutreffen, ist diese Behandlung erforderlich, um eine gesetzliche Verpflichtung zu erfüllen, der der PECOMA-Controller unterliegt
• zum Sammeln erforderlicher Daten, welche bei Bedarf, im Rahmen der Arbeiten, gemäß dem geänderten Gesetz vom 08.12.1994 über den Jahresabschluss von Versicherungs- und Rückversicherungsgesellschaften an externe Prüfer übermittelt werden. Diese Behandlung ist notwendig, um eine gesetzliche Verpflichtung zu erfüllen, der der Controller unterliegt
• zur Verhinderung oder Aufdeckung jeglicher Gefahr von Betrug oder Finanzkriminalität
• zur Verwaltung der Geschäftsbeziehung mit Arbeitgebern von verbundenen Unternehmen, die eine Zusatzrentensicherung abgeschlossen haben, und
• zur Korrespondenz mit Rechtsanwälten, Beratern oder anderen Interessengruppen zum Schutz der Rechte und Interessen von PECOMA Actuarial and Risk S.A.

Es kann sein, dass die betroffenen Personen ihren Willen bekundet haben, dass ihre Daten nicht genutzt werden, die Verantwortlichen aber trotzdem verpflichtet sind, diese aus verschiedenen Gründen zu verwenden. In einem solchen Fall nutzen die Verantwortlichen die Daten weiter, (i) wenn dies im Gesetz vorgeschrieben ist, (ii) wenn sie eine vertragliche Verpflichtung oder eine vorvertragliche Maßnahme erfüllen müssen, (iii) wenn es im öffentlichen Interesse liegt, dies zu tun, oder (iv) wenn ein berechtigtes Interesse besteht, dies zu tun.

Im Rahmen der Datenverarbeitung in Verbindung mit einem Leasingangebot handelt der LALUX-Agent als Vermittler. Der Vermittler und die Leasinggesellschaft sind gemeinsam für diese Datenverarbeitung verantwortlich. Hierbei finden die Datenschutzrichtlinien der Leasinggesellschaft, die Sie auf deren Website nachlesen können, Anwendung. Der Data Protection Officer der Leasinggesellschaft ist allein zuständig für die Beantwortung einer Anfrage, die die Ausübung der Rechte in Verbindung mit dieser Verarbeitung oder den Datenschutz betrifft.

Wenn die betroffenen Personen, um deren personenbezogenen Daten es geht, nicht mehr in die Verarbeitung ihrer personenbezogenen Daten durch die Verantwortlichen für folgende Zwecke einwilligen:

• zur Beurteilung der Risiken und zur Vorbereitung, Erstellung, Verwaltung und Ausführung der Versicherungsverträge
  zur Übermittlung der personenbezogenen Daten an Einrichtungen/Stellen, die gesetzlich befugt sind, sie anzufordern
• zur Vermeidung jedes Betrugsrisikos oder Aufdeckung jedes Finanzdelikts
• zur Pflege der Geschäftsbeziehung mit ihren Kunden, außer Akquise. Dies bewirkt die Kündigung des Vertrags und gegebenenfalls die seitens des Verantwortlichen erfolgende Zahlung des Rückkaufwertes zum Zeitpunkt der Kündigung bei den Produkten, die einen Rückkaufwert haben, abzüglich etwaig anfallender Kosten.

Dementsprechend ist die verlangte Angabe personenbezogener Daten im Zusammenhang mit dem Vertrag zu sehen und Voraussetzung für den Vertragsabschluss. Sollten die Personen, deren personenbezogenen Daten verarbeitet werden, die Verarbeitung dieser Daten zum Zwecke der Information über Versicherungsprodukte oder -Leistungen ablehnen, erhalten sie keine Informationen mehr.

Der Verantwortliche kann automatisierte Entscheidungsfindungssysteme nutzen, etwa bei Kontrollen zur Verhinderung des Betrugsrisikos, der Geldwäsche oder Terrorismusfinanzierung. Er kann solche Verfahren nutzen, um festzustellen, ob die Tätigkeit eines Kunden oder ein Vertrag mit einem Risiko (Betrug oder Finanzdelikt) verbunden ist. Dementsprechend können die Verantwortlichen zusätzliche Nachweise verlangen und sind berechtigt, den Abschluss der Versicherung abzulehnen.

Bei der Verarbeitung personenbezogener Daten wenden die Verantwortlichen keine Verarbeitung an, die in einer automatisierten Bewertung basierend auf persönlichen Aspekten beruht, es sei denn, es handelt sich um ein Produkt, das von einem spezifischen Versicherungsvermittler vertrieben wird. Abgesehen von einem Produkt, das von einem spezifischen Vermittler vertrieben wird, werden alle Entscheidungen von einem Menschen und nicht automatisiert getroffen, wenn es um die Verarbeitung personenbezogener Daten geht, die ein menschliches Eingreifen erfordern. Für gezielte Marketingkampagnen werden Daten personalisiert, wobei dies keine Entscheidung erfordert, und die betroffenen Personen sind hierdurch den Verantwortlichen gegenüber in keiner Weise verpflichtet.

Die Dauer der Aufbewahrung der Daten ist beschränkt auf die Laufzeit des Versicherungsvertrags und die sich daran anschließende Zeitspanne, während der die Daten aufbewahrt werden müssen, damit die Verantwortlichen ihre Pflichten nach Maßgabe der Verjährungsfristen oder in Anwendung anderer gesetzlicher Bestimmungen erfüllen können.

Personenbezogene Daten, die von Personen erhoben werden, die nicht Kunden der Verantwortlichen sind, werden nach Ablauf einer Frist von drei Jahren nach ihrem letzten Kontakt mit einem Agenten oder einem Mitarbeiter des Verantwortlichen aus den Systemen gelöscht. Wenn sie innerhalb dieser Frist ausdrücklich ihre Einwilligung in die Verarbeitung ihrer Daten geben, verlängert sich dieser Zeitraum um weitere drei Jahre.

Die Personen, deren personenbezogenen Daten vom Verantwortlichen gespeichert werden, haben das Recht, vom Verantwortlichen Zugang zu diesen Daten, die Berichtigung oder Löschung dieser Daten oder eine Beschränkung der Verarbeitung dieser Daten zu verlangen, und sie haben das Recht auf Widerspruch gegen die Verarbeitung und auf Übertragbarkeit der Daten.

Diese Personen können diese Rechte ausüben, indem sie sich per E-Mail wenden an dpo@lalux.lu ausschließlich für PECOMA, die sich an folgende E-Mail wenden können: dpo@pecoma.lu. Die betroffenen Personen haben im Hinblick auf den Schutz

9.1

Der Verantwortliche muss:

• die personenbezogenen Daten korrekt verwalten und verarbeiten
• das Privatleben der betroffenen Personen schützen
• einer betroffenen Person den Zugang zu allen sie betreffenden personenbezogenen Daten erlauben, die in Besitz des Verantwortlichen sind.

9.2

Der Verantwortliche haftet gesetzlich für die Einhaltung der Rechtsvorschriften. 

Der Verantwortliche besitzt und nutzt personenbezogene Daten. Er entscheidet, wie und warum die Informationen genutzt werden, und ist dafür verantwortlich, eine rechtskonforme Praxis und rechtskonforme Richtlinien einzuführen.

9.3

Jeder Mitarbeiter und jeder Agent des LALUX-Netzes, der im Besitz personenbezogener Daten ist, muss die Rechtsvorschriften zum Schutz personenbezogener Daten erfüllen, wenn er mit diesen Daten umgeht.

9.4

Die Auftragsverarbeiter des Verantwortlichen, die in Besitz der personenbezogenen Daten sind, müssen die Rechtsvorschriften zum Schutz personenbezogener Daten erfüllen, wenn sie mit diesen Daten umgehen.

9.5

Der Verantwortliche verpflichtet sich, die Datenschutzgrundsätze zu erfüllen (siehe Abschnitt 2). Diese Richtlinien können sich ändern oder geändert werden, vor allem um Änderungen der Vorschriften, der Gesetze, der Rechtsprechung oder der Technologie Rechnung zu tragen, und die betroffene Person wird daher aufgefordert, sie regelmäßig nachzulesen. Für alle Fragen oder Anträge in Verbindung mit dem Schutz personenbezogener Daten möchten wir Sie bitten, eine Nachricht an dpo@lalux.lu zu senden.