TRUST CENTER – DATENSCHUTZ UND DATENVERARBEITUNG

Onesurance und Datenverarbeitungsrichtlinien
Zuletzt aktualisiert: Dezember 2024

Unser Engagement für den Datenschutz

Bei Onesurance wir Datenschutz nicht als eine Checkliste, sondern als ein Grundrecht. Wir sind uns bewusst, dass wir sensible personenbezogene Daten und Versicherungsdaten verarbeiten, und wir nehmen diese Verantwortung sehr ernst. Unsere Datenschutzrichtlinie

Die Praktiken gehen über die gesetzlichen Mindestanforderungen hinaus und basieren auf Transparenz, Verantwortlichkeit und Respekt für die Rechte des Einzelnen.

DSGVO-Konformität

Rechtliche Grundlage

Onesurance .V. ist in den Niederlanden registriert (Handelskammer: 87521997) und unterliegt der Datenschutz-Grundverordnung (DSGVO). Wir verarbeiten personenbezogene Daten nur, wenn wir dafür eine gültige Rechtsgrundlage haben:

• Vertragliche Notwendigkeit: Verarbeitung erforderlich für die Erfüllung des Vertrags mit unseren Kunden
• Berechtigtes Interesse: Zur Verbesserung unserer Dienstleistungen, Sicherheit und Betrugsbekämpfung
• Gesetzliche Verpflichtung: Wenn dies aufgrund von Gesetzen und Vorschriften erforderlich ist
• Einwilligung: In bestimmten Fällen, in denen andere Rechtsgrundlagen nicht gelten

Datenschutzbeauftragter (DSB)

• Benannt: Ja, dedizierter Datenschutzbeauftragter
• Kontakt: onesurance
• Verantwortlichkeiten:

• Überwachung der DSGVO-Konformität

• Beratung zu Datenschutz-Folgenabschätzungen

• Schulung und Sensibilisierung für Mitarbeiter

• Kontaktstelle für die Aufsichtsbehörde (Datenschutzbehörde)

• Bearbeitung von Anfragen betroffener Personen
  • Unabhängigkeit: Berichtet direkt an die Geschäftsleitung, kein Interessenkonflikt
  • Fachkompetenz: Zertifiziert in Datenschutz und Datensicherheit

DSGVO-Grundsätze

Wir halten uns strikt an die 7 Grundsätze der DSGVO:

1. Rechtmäßigkeit, Angemessenheit und Transparenz

   • Klare Kommunikation über die Datennutzung

   • Datenschutzerklärungen in verständlicher Sprache

   • Keine versteckte Datenverarbeitung

2. Zielbindung

   • Daten werden nur für bestimmte, legitime Zwecke verwendet

   • Keine Wiederverwendung für unvereinbare Zwecke

   • Klare Dokumentation der Verarbeitungszwecke

3. Minimale Datenverarbeitung

   • Nur notwendige Daten werden erfasst

   • Regelmäßige Überprüfung der Datenerfassung

   • Entfernung überflüssiger Datenpunkte

4. Richtigkeit

   • Mechanismen zur Korrektur falscher Daten

   • Regelmäßige Validierung der Datenqualität

   • Sofortige Aktualisierung bei bekannten Ungenauigkeiten

5. Speicherbegrenzung

   • Festgelegte Aufbewahrungsfristen pro Datenkategorie

   • Automatische Löschung nach Ablauf der Aufbewahrungsfrist

   • Ausnahme nur bei gesetzlichen Anforderungen

6. Integrität und Vertraulichkeit

   • Technische und organisatorische Maßnahmen (siehe Vorlage 03)

   • Verschlüsselung, Zugriffskontrollen, Sicherheitsüberwachung

   • Verfahren zur Reaktion auf Vorfälle

7. Rechenschaftspflicht

   • Umfassende Dokumentation der Compliance

   • Regelmäßige Audits und Bewertungen

   • Nachweisbare Einhaltung der DSGVO

Rechte der betroffenen Personen

Wir respektieren und unterstützen alle Rechte gemäß der DSGVO:

Recht auf Information
• Datenschutzerklärung: Verfügbar auf der Website und bei der Registrierung
• Inhalt: Welche Daten, warum, wie lange, mit wem geteilt, Rechte
• Aktualisierungen: Proaktive Kommunikation bei Änderungen
• Sprache: Niederländisch und Englisch verfügbar

Recht auf Einsichtnahme (Art. 15 DSGVO)
• Verfahren: Antrag über onesurance
• Identifizierung: Identitätsprüfung erforderlich (Kopie des Ausweises)
• Antwortfrist: Innerhalb eines Monats (Verlängerung auf drei Monate möglich)
• Inhalt der Einsichtnahme:

• Kopie personenbezogener Daten

• Verarbeitungszwecke

• Datenkategorien

• Empfänger von Daten

• Aufbewahrungsfrist

• Datenquelle (sofern nicht von der betroffenen Person)
  • Format: PDF oder strukturierte Daten (CSV/JSON)
  • Kosten: Erste Anfrage kostenlos, angemessene Kosten bei wiederholten Anfragen

Recht auf Berichtigung (Art. 16 DSGVO)
• Verfahren: Über onesurance oder über das Kundenportal
• Reaktionszeit: Sofortige Korrektur, Bestätigung innerhalb eines Monats
• Weitergabe: Korrekturen werden an Empfänger weitergegeben
• Validierung: Überprüfung der Richtigkeit bei Änderungen

Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO)
• Gründe für die Löschung:

• Daten nicht mehr erforderlich

• Widerruf der Einwilligung

• Widerspruch gegen die Verarbeitung

• Unrechtmäßige Verarbeitung

• Gesetzliche Verpflichtung zur Löschung
  • Ausnahmen:

• Gesetzliche Aufbewahrungsfristen (z. B. steuerlich)

• Feststellung/Ausübung von Rechtsansprüchen

• Archivierungspflichten
  • Reaktionszeit: Innerhalb eines Monats
  • Bestätigung: Schriftliche Bestätigung der Löschung
  • Aufbewahrung von Backups: Daten in Backups werden beim nächsten Backup-Zyklus überschrieben.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Gründe:

• Anfechtung der Richtigkeit (in Bearbeitung)

• Unrechtmäßige Verarbeitung, aber keine Löschung gewünscht

• Daten nicht mehr für uns erforderlich, aber für die Rechtsansprüche der betroffenen Person

• Widerspruch gegen die Verarbeitung (pending balancing test)
  • Umsetzung: Technische Sperrung, Kennzeichnung im System
  • Aufhebung: Nur mit Zustimmung oder zur Geltendmachung von Rechtsansprüchen

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Geltungsbereich: Von der betroffenen Person bereitgestellte Daten, die mit automatisierten Mitteln verarbeitet werden
• Format: Strukturiert, gängig, maschinenlesbar (JSON, CSV, XML)
• Direkte Übertragung: Soweit technisch möglich, direkt an einen anderen Verantwortlichen
• Antwortzeit: Innerhalb eines Monats

Widerspruchsrecht (Art. 21 DSGVO)
• Grund: Besondere persönliche Situation
• Verarbeitungen: Berechtigtes Interesse oder Aufgabe von allgemeinem Interesse
• Bewertung: Abwägung zwischen den Interessen Unternehmen denen der betroffenen Person
• Direktmarketing: Unbedingtes Widerspruchsrecht
• Reaktionszeit: Innerhalb eines Monats

Automatisierte Entscheidungsfindung und Profiling (Art. 22 DSGVO)
• Richtlinie: Keine vollständig automatisierten Entscheidungen mit rechtlichen Auswirkungen
• KI-Modelle: Bei kritischen Entscheidungen immer „Human-in-the-Loop”
• Profiling: Transparenz hinsichtlich der Verwendung von Vorhersagemodellen
• Opt-out: Möglich für nicht essentielles Profiling
• Erklärung: Recht auf Erklärung der Logik der automatisierten Verarbeitung

Datenverarbeitung Details

Kategorien personenbezogener Daten

Wir verarbeiten die folgenden Kategorien (abhängig vom Dienst und vom Kunde):

Kontaktinformationen

• Name, Adresse, Telefon, E-Mail

• Firmenname, Funktion (B2B-Kontext)

Identifikationsdaten

• Handelsregisternummer (für Unternehmen)

• Eindeutige Kunden-IDs (intern)

Nutzungsdaten

• Anmeldezeiten, IP-Adressen

• Funktionen verwendet, Klickverhalten

• API-Aufrufe, Systemnutzung

Versicherungsbezogene Daten (von Endkunden unserer Kunden)

• Policennummern, Schadenssummen

• Risikoprofile, Prämienberechnungen

• Churn-Risiko-Bewertungen, Lifetime Value

Technische Daten

• Browser-Typ, Geräteinformationen

• Cookies, Sitzungs-IDs

• Logdateien, Fehlerberichte

Besondere Kategorien (minimal, nur wenn erforderlich)

• Gesundheitsdaten: Nur wenn für Versicherungsprodukt relevant (z. B. Krankenversicherung)

• Strafregisterdaten: Nicht verarbeitet, sofern nicht gesetzlich vorgeschrieben

Verarbeitungszwecke

• Dienstleistungen: Betrieb der SaaS-Plattform für Versicherer
• Kundensupport: Fehlerbehebung, Helpdesk, Onboarding
• Produktentwicklung: Verbesserung von Funktionen, Fehlerbehebung, Innovation
• Sicherheit: Betrugserkennung, Zugriffskontrolle, Reaktion auf Vorfälle
• Compliance: Einhaltung gesetzlicher Verpflichtungen
• Analytik: Aggregierte, anonymisierte Nutzungsstatistiken
• Marketing: Mit Einwilligung, Opt-out möglich

Verzeichnis der Verarbeitungsaktivitäten (ROPA)

Wir führen ein umfassendes ROPA gemäß Art. 30 DSGVO:

• Umfang: Alle Verarbeitungsaktivitäten dokumentiert
• Details pro Verarbeitung:

• Name und Kontaktdaten des Verantwortlichen

• Zwecke der Verarbeitung

• Kategorien von betroffenen Personen

• Kategorien personenbezogener Daten

• Kategorien von Empfängern

• Weitergabe an Drittländer (nicht zutreffend)

• Aufbewahrungsfristen

• Technische und organisatorische Maßnahmen
  • Aktualisierungshäufigkeit: Bei neuen Verarbeitungen und mindestens einmal jährlich
  • Verfügbarkeit: Auf Anfrage für die Aufsichtsbehörde verfügbar

Aufbewahrungsfristen

Automatische Löschung: Automatisierter Prozess überprüft täglich auf abgelaufene Daten

Datenschutz-Folgenabschätzungen (DPIA)

Wann erforderlich
• Neue Technologien mit hohem Datenschutzrisiko
• Groß angelegte Verarbeitung besonderer Kategorien
• Systematische Überwachung
• Automatisierte Entscheidungsfindung mit rechtlichen Auswirkungen
• Groß angelegte Verarbeitung

Unsere DPIAs
• Durchgeführt für: KI-Modelle (Churn, CLV, NBP), Defend Agent
• Letzte DPIA: [Datum]
• Ergebnis: Akzeptables Risiko mit risikomindernden Maßnahmen
• Maßnahmen: Anonymisierung, Aggregation, menschliche Aufsicht
• Überprüfung: Bei wesentlichen Änderungen oder jährlich

DPIA-Prozess

1. Beschreibung der Verarbeitung und Ziele

2. Notwendigkeits- und Verhältnismäßigkeitsprüfung

3. Risikoidentifizierung für Rechte der Betroffenen

4. Maßnahmen zur Risikobewältigung

5. Konsultation FG

6. Dokumentation und Genehmigung

7. (Falls erforderlich) Vorherige Konsultation der Aufsichtsbehörde

Internationale Datenübermittlung

Datenstandort
• Primär: Azure West-Europe (Niederlande)
• Backup: Azure West-Europe (geografisch redundant innerhalb der EU)
• Keine Weitergabe außerhalb der EU/des EWR

Unterauftragsverarbeiter (siehe auch Vorlage 08)
• Microsoft Azure: EU-Rechenzentren, Standardvertragsklauseln
• Bonsai Software: Sitz in der EU, Verarbeitungsvereinbarung
• Angemessenheitsbeschlüsse: Bevorzugung von Anbietern mit Sitz in der EU
• Neue Unterauftragsverarbeiter: Vorabgenehmigung durch den Kunden möglich

Garantien bei der Weitergabe (falls zutreffend)
• Angemessenheitsentscheidung (Art. 45 DSGVO)
• Standardvertragsklauseln (Art. 46 DSGVO)
• Verbindliche Unternehmensregeln (nicht zutreffend)
• Transfer Impact Assessment (TIA) durchgeführt

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Designprinzipien
• Proaktiv statt reaktiv: Datenschutz ab der ersten Entwurfsphase
• Datenschutz als Standard: Standardmäßig datenschutzfreundlichste Einstellungen
• In das Design eingebettet: Datenschutz als integraler Bestandteil des Systems, kein Add-on
• Volle Funktionalität: Kein Kompromiss zwischen Datenschutz und Funktionalität
• End-to-End-Sicherheit: Vollständiger Schutz über den gesamten Lebenszyklus
• Sichtbarkeit und Transparenz: Klarheit für die Nutzer
• Nutzerorientiert: Respekt für die Privatsphäre der Nutzer

Implementierung
• Minimierung: Nur wesentliche Datenfelder erforderlich
• Zweckbindung: Daten nur für den angegebenen Zweck
• Zugriffskontrollen: Standardmäßig geringste Berechtigungen
• Verschlüsselung: Standardmäßig für alle sensiblen Daten
• Audit-Protokollierung: Transparenz beim Datenzugriff
• Aufbewahrung: Automatische Löschung nach Ablauf der Frist
• Portabilität: Integrierte Exportfunktion

Datenschutz-Governance

Datenschutz-Prüfungsausschuss
• Zusammensetzung: FG, Sicherheit, Recht, Produkt, Technik
• Häufigkeit: monatlich
• Tagesordnung: neue Funktionen, Datenschutz-Folgenabschätzungen, Datenschutzvorfälle, Aktualisierungen der Richtlinien
• Entscheidungsbefugnis: Go/No-Go für Änderungen mit Auswirkungen auf den Datenschutz

Datenschutzschulung
• Onboarding: Obligatorische Datenschutzschulung für alle neuen Mitarbeiter
• Auffrischung: Jährliche Wiederholung
• Spezifische Schulung: Für Mitarbeiter mit Datenzugriff
• GDPR-Bewusstsein: Verständnis der Grundsätze und Rechte
• Reaktion auf Vorfälle: Verfahren bei Datenschutzverletzungen

Datenschutzkennzahlen
• Anfragen von betroffenen Personen: Anzahl, Art, Reaktionszeit
• Datenschutz-Folgenabschätzungen: Anzahl der durchgeführten, identifizierte Risiken
• Datenschutzvorfälle: Anzahl, Schweregrad, Zeit bis zur Lösung
• Abschluss von Schulungen: Prozentsatz der Mitarbeiter
• Aktualisierungen der Richtlinien: Häufigkeit und Kommunikation

Datenlecks & Meldepflicht

Erkennung und Bewertung
• Überwachung: 24/7-Sicherheitsüberwachung auf Anomalien
• Quellen: Sicherheitstools, Benutzerberichte, Benachrichtigungen von Dritten
• Erste Bewertung: Innerhalb von 4 Stunden nach der Erkennung
• Klassifizierung:

• Umfang: Anzahl der Betroffenen

• Art der Daten: besondere Kategorien, finanzielle Daten usw.

• Consequences: identity fraud, financial damage, reputational damage

Meldeverfahren
• Intern: Direkte Eskalation an FG und Management
• Datenschutzbehörde: Innerhalb von 72 Stunden, falls erforderlich
• Kriterien für die Meldung:

• Wahrscheinliches Risiko für die Rechte der Betroffenen

• Kann zu physischen, materiellen oder immateriellen Schäden führen

• Nicht durch Maßnahmen zu mildern
  • Inhalt der Meldung:

• Art der Datenpanne

• Kategorien und Anzahl der betroffenen Personen

• Mögliche Folgen

• Getroffene/vorgeschlagene Maßnahmen
  • Betroffene: Ohne unnötige Verzögerung bei hohem Risiko
  • Kunden: Proaktive Kommunikation, Updates, Support

Prävention
• Präventive Kontrollen: Siehe Vorlage 03 (Datensicherheit)
• Regelmäßige Tests: Penetrationstests, Schwachstellenscans
• Übungen zur Reaktion auf Vorfälle: Jährliche Übungen
• Gewonnene Erkenntnisse: Überprüfungen nach Vorfällen und Verbesserungen

Cookies & Tracking

Cookie-Richtlinie
• Cookie-Hinweis: Deutlich sichtbar beim ersten Besuch
• Kategorien:

• Unbedingt erforderlich: Immer aktiv

• Funktional: Für die Benutzererfahrung

• Analytics: Für Statistiken (Opt-in)

• Marketing: Für Personalisierung (Opt-in)
  • Einwilligungsmanagement: Granulare Kontrolle pro Kategorie
  • Widerruf: Einfacher Widerruf über die Einstellungen

Tracking-Technologien
• Sitzungscookies: Für Benutzersitzungen, werden beim Schließen des Browsers gelöscht
• Permanente Cookies: Aufbewahrungsfrist wird klar kommuniziert
• Cookies von Drittanbietern: Nur mit Zustimmung
• Analytics: Google Analytics mit IP-Anonymisierung
• Kein Verkauf: Wir verkaufen niemals Daten an Dritte.

Kunde Verantwortlichkeiten bei der Verarbeitung

Als Verantwortliche für die Verarbeitung legen unsere Kunden Folgendes fest:
• Ziele und Mittel der Verarbeitung
• Rechtsgrundlage für die Verarbeitung
• Rechte der betroffenen Personen
• Aufbewahrungsfristen (im Rahmen unserer technischen Möglichkeiten)

Onesurance Verarbeiter:
• Verarbeitet Daten nur auf Anweisung des Kunden
• Hilft bei der Einhaltung der DSGVO-Verpflichtungen
• Erleichtert die Ausübung der Rechte der betroffenen Personen
• Hilft bei Bedarf bei Datenschutz-Folgenabschätzungen
• Meldet Datenlecks sofort an den Kunden

Verarbeitungsvereinbarung (DPA)
• Standard-DPA verfügbar
• Gemäß Art. 28 DSGVO
• Bestandteile:

• Thema und Dauer der Verarbeitung

• Art und Zweck der Verarbeitung

• Art der personenbezogenen Daten

• Kategorien der betroffenen Personen

• Rechte und Pflichten des Verantwortlichen

• Verarbeitungshinweise

• Vertraulichkeit

• Sicherheit

• Unterauftragsverarbeiter

• Rechte der betroffenen Personen

• Unterstützung bei der Einhaltung von Vorschriften

• Audits

• Löschung/Rückgabe von Daten
  • Verfügbar bei: Vertragsunterzeichnung oder auf Anfrage

Transparenz & Kommunikation

Datenschutzerklärung
• Standort: Website, In-App, Vertragsunterlagen
• Aktualisierungen: Versionskontrolle, Änderungsprotokoll verfügbar
• Benachrichtigung: E-Mail bei wesentlichen Änderungen
• Archiv: Frühere Versionen verfügbar

Kontakt für Datenschutz
• Datenschutzbeauftragter: onesurance
• Reaktionszeit: Innerhalb von 5 Werktagen für eine erste Antwort
• Sprachen: Niederländisch und Englisch
• Eskalation: Geschäftsleitung, wenn mit der Antwort des Datenschutzbeauftragten nicht zufrieden

Aufsichtsbehörde
• Niederlande: Autoriteit Persoonsgegevens (AP)
• Website: autoriteitpersoonsgegevens.nl
• Beschwerderecht: Betroffene können bei der AP Beschwerde einlegen.

Zuletzt aktualisiert: Dezember 2024
Onesurance .V. | Breda, Niederlande | Handelskammer: 87521997