Datenschutzerklaerung

Einleitung

Bei der Beratung und dem Abschluss von Finanzprodukten oder -dienstleistungen erfragen wir zahlreiche vertrauliche Informationen von unseren Kunden. Kunden von Insure To Study müssen darauf vertrauen können, dass wir sorgfältig mit den von ihnen bereitgestellten Informationen umgehen und diese nicht ohne ausdrückliche Zustimmung des Kunden an Dritte weitergeben.

In diesem Sinne ist der sorgfältige Umgang mit der Erfassung und Weitergabe personenbezogener Daten eine Voraussetzung für eine gewissenhafte Finanzdienstleistung. Die Wahrung der Vertraulichkeit ist ein grundlegender Bestandteil unseres Unternehmens und des Handelns unserer Fachkräfte.

Für die effektive Durchführung unserer Aufgaben ist es erforderlich, personenbezogene Daten mit Anbietern wie Reparaturdiensten und gegnerischen Parteien auszutauschen, da dies eine zentrale Rolle in unserer Funktion als Finanzdienstleister spielt. Zudem kann es erforderlich sein, Informationen beispielsweise an die niederländische Steuerbehörde (Belastingdienst) oder die niederländische Finanzmarktaufsicht (Autoriteit Financiële Markten, AFM) aufgrund gesetzlicher Verpflichtungen weiterzugeben.

Wir haben die von uns gespeicherten personenbezogenen Daten in unserem internen Verarbeitungsregister erfasst und verarbeitet. Kunden und andere betroffene Personen können dieses auf Anfrage erhalten. Darin finden sie Informationen über die von uns verarbeiteten Daten und die Parteien, mit denen wir diese gegebenenfalls austauschen.

1. Begriffsbestimmungen

In diesen Regelungen gelten die folgenden Begriffsbestimmungen:

• Gesetz: die Datenschutz-Grundverordnung (DSGVO) und das niederländische Umsetzungsgesetz zur DSGVO;
• Personenbezogene Daten: alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen;
• Verarbeitung personenbezogener Daten: jeder Vorgang oder jede Reihe von Vorgängen im Zusammenhang mit personenbezogenen Daten, einschließlich, aber nicht beschränkt auf das Erheben, Speichern, Organisieren, Anpassen, Abfragen, Verwenden, Verbreiten, Zusammenführen, Sperren, Löschen oder Vernichten von Daten;
• Datei: jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist und sich auf verschiedene Personen bezieht;
• Verantwortlicher: die natürliche oder juristische Person, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt;
• Auftragsverarbeiter: die Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, ohne dessen unmittelbarer Weisung zu unterliegen;
• Betroffene Person: die Person, auf die sich die personenbezogenen Daten beziehen;
• Dritter: jede Person außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter oder einer Person, die unter unmittelbarer Weisung des Verantwortlichen oder des Auftragsverarbeiters personenbezogene Daten verarbeitet;
• Empfänger: die Person, der personenbezogene Daten offengelegt werden;
• Einwilligung der betroffenen Person: jede freiwillig, spezifisch und informiert abgegebene Willenserklärung, mit der die betroffene Person die Verarbeitung ihrer personenbezogenen Daten akzeptiert;
• Aufsichtsbehörde: die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens);
• Bereitstellung personenbezogener Daten: die Offenlegung oder Bereitstellung personenbezogener Daten;
• Erhebung personenbezogener Daten: das Erfassen personenbezogener Daten.

2. Anwendungsbereich

1. Diese Regelungen gelten für die vollständig oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht-automatisierte Verarbeitung personenbezogener Daten, die in einer Datei enthalten sind oder dazu bestimmt sind.
2. Diese Regelungen gelten innerhalb von Insure To Study und betreffen die Verarbeitung personenbezogener Daten von Kunden, Mitarbeitern und anderen natürlichen Personen.

3. Zweck der Verarbeitung

1. Der Zweck der Erhebung und Verarbeitung personenbezogener Daten ist es, die zur Verwirklichung der in den Statuten, Jahresplänen und sonstigen Plänen von Insure To Study festgelegten Ziele erforderlichen Daten bereitzuhalten.
2. Die Zwecke der Datenerhebung und -verarbeitung sind im Anhang dieser Regelungen explizit festgelegt.

4. Vertretung der betroffenen Person

1. Falls die betroffene Person minderjährig und unter 16 Jahre alt ist oder unter Vormundschaft steht, ist die Einwilligung des gesetzlichen Vertreters erforderlich. Diese Einwilligung muss schriftlich erfolgen.
2. Eine erteilte Einwilligung kann jederzeit von der betroffenen Person, ihrem bevollmächtigten Vertreter oder ihrem gesetzlichen Vertreter widerrufen werden.

5. Verantwortlichkeit und Haftung

1. Der Verantwortliche ist für die ordnungsgemäße Verarbeitung und Verwaltung der Daten verantwortlich. Unter seiner Verantwortung wird ein Administrator mit der tatsächlichen Verwaltung der personenbezogenen Daten beauftragt.
2. Der Verantwortliche sorgt für angemessene technische und organisatorische Maßnahmen zum Schutz gegen Verlust oder unrechtmäßige Verarbeitung von Daten.
3. Falls die Verarbeitung von einem Auftragsverarbeiter durchgeführt wird, muss dies vertraglich zwischen dem Verantwortlichen und dem Auftragsverarbeiter geregelt sein.
4. Der Verantwortliche haftet für Schäden, die durch die Nichteinhaltung der gesetzlichen Anforderungen oder dieser Regelungen entstehen. Der Auftragsverarbeiter haftet, soweit der Schaden durch sein Handeln verursacht wurde.

6. Rechtmäßige Verarbeitung

1. Personenbezogene Daten werden ordnungsgemäß und sorgfältig gemäß den gesetzlichen Vorschriften und diesen Regelungen verarbeitet.
2. Die Erhebung personenbezogener Daten erfolgt ausschließlich zu den in diesen Regelungen genannten Zwecken und wird nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken unvereinbar ist.
3. Personenbezogene Daten müssen, unter Berücksichtigung des Zwecks, für den sie erhoben oder weiterverarbeitet werden, angemessen und relevant sein. Es dürfen keine Daten erhoben oder verarbeitet werden, die über das für den Registrierungszweck notwendige Maß hinausgehen.
4. Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn:

   • die betroffene Person eindeutig in die Verarbeitung eingewilligt hat;

   • die Datenverarbeitung zur Erfüllung eines Vertrags erforderlich ist, bei dem die betroffene Person Vertragspartei ist (z. B. Abschluss eines Finanzprodukts oder einer Dienstleistung oder eines Arbeitsvertrags mit der betroffenen Person) oder für Handlungen, die auf Wunsch der betroffenen Person zur Anbahnung oder Verwaltung eines Vertrags erforderlich sind;

   • die Datenverarbeitung zur Erfüllung einer gesetzlichen Verpflichtung des Verantwortlichen erforderlich ist;

   • die Datenverarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person notwendig ist;

   • die Datenverarbeitung aufgrund eines berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich ist, sofern dieses Interesse nicht das Interesse der betroffenen Person überwiegt.

   • Die Registrierung der Bürgerdienstnummer (BSN) erfolgt nur, wenn eine gesetzliche Grundlage dafür besteht. In den meisten Fällen liegt eine solche Grundlage für unsere Dienstleistungen nicht vor.

   • Personen, die unter der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters handeln – einschließlich des Auftragsverarbeiters selbst – dürfen personenbezogene Daten nur im Auftrag des Verantwortlichen verarbeiten, es sei denn, gesetzliche Vorschriften verlangen eine abweichende Verarbeitung.

   • Die Daten werden ausschließlich von Personen verarbeitet, die aufgrund eines (Arbeits-)Vertrags zur Vertraulichkeit verpflichtet sind.

7. Verarbeitung personenbezogener Daten

1. Die Verarbeitung erfolgt durch Mitarbeiter unseres Unternehmens oder andere natürliche Personen, die im Bereich der Finanzdienstleistungen unter unserer Verantwortung tätig sind.
2. Die Verarbeitung erfolgt grundsätzlich im Zusammenhang mit der Erfüllung eines Vertrags, insbesondere eines Dienstleistungsvertrags. Falls es keinen solchen Vertrag gibt, erfolgt die Verarbeitung nur mit der ausdrücklichen Einwilligung der betroffenen Person.
3. Die Verarbeitung dient der Durchführung unserer Tätigkeit als Berater und/oder Vermittler für Finanzprodukte und -dienstleistungen.

8. Besondere personenbezogene Daten

1. Die Verarbeitung personenbezogener Daten zu Religion oder Weltanschauung, ethnischer Herkunft, politischer Überzeugung, Gesundheit, Sexualleben, Gewerkschaftszugehörigkeit oder strafrechtlicher Vergangenheit ist grundsätzlich verboten, außer in den Fällen, in denen das Gesetz ausdrücklich festlegt, wer, zu welchem Zweck und unter welchen Bedingungen solche Daten verarbeiten darf (Artikel 9 und 10 DSGVO).
2. Als Finanzdienstleister dürfen wir Gesundheitsdaten in unseren Unterlagen verarbeiten, sofern dies für die ordnungsgemäße Erbringung unserer Dienstleistungen erforderlich ist. Falls dies für die Erfüllung eines Vertrags notwendig ist, können wir zudem Informationen zu einer möglichen strafrechtlichen Vergangenheit anfordern – jedoch nur mit Ihrer ausdrücklichen Einwilligung.

9. Datenverarbeitung

Von der betroffenen Person bereitgestellte Daten

1. Wenn personenbezogene Daten direkt von der betroffenen Person erhoben werden, informiert der Verantwortliche die betroffene Person vor der Erhebung über:
   • seine Identität;
   • den Zweck der Verarbeitung, sofern dieser der betroffenen Person nicht bereits bekannt ist.

   Der Verantwortliche stellt der betroffenen Person zusätzliche Informationen zur Verfügung, soweit dies erforderlich ist – unter Berücksichtigung der Art der Daten, der Umstände ihrer Erhebung oder ihrer beabsichtigten Nutzung –, um eine ordnungsgemäße und sorgfältige Verarbeitung zu gewährleisten.

Von Dritten erhaltene Daten

1. Neben den von der betroffenen Person erhaltenen Informationen kann der Verantwortliche – für die in diesen Regelungen beschriebenen Zwecke – Daten aus externen Quellen, die er für zuverlässig hält, beziehen. Beispiele hierfür sind:
   • Roy-data zur Registrierung Ihrer Bonus-Malus-Erklärung,
   • das RDW für Fahrzeugdaten,
   • die CIS-Stiftung zur Betrugsprävention und -bekämpfung im Versicherungssektor.
2. Der Verantwortliche stellt sicher, dass bei der Verarbeitung personenbezogener Daten ausschließlich genaue, angemessene, relevante und nicht übermäßige Daten verarbeitet werden.

10. Recht auf Auskunft

1. Die betroffene Person hat das Recht auf Einsicht in die sie betreffenden verarbeiteten Daten.
2. Der Verantwortliche teilt jeder Person auf Anfrage so schnell wie möglich, spätestens jedoch innerhalb von vier Wochen nach Eingang der Anfrage schriftlich mit, ob personenbezogene Daten über sie verarbeitet werden. Für diese Auskunft kann eine Gebühr erhoben werden. Darüber hinaus kann die betroffene Person, die Zugang zu ihren personenbezogenen Daten verlangt, gebeten werden, eine Kopie eines gültigen Identitätsnachweises vorzulegen.
3. Falls personenbezogene Daten verarbeitet werden, stellt der Verantwortliche der betroffenen Person auf deren Wunsch eine vollständige schriftliche Übersicht zur Verfügung – so schnell wie möglich, spätestens jedoch innerhalb von vier Wochen nach Eingang der Anfrage. Diese Übersicht enthält:
   • den Zweck oder die Zwecke der Datenverarbeitung,
   • die Daten oder Kategorien von Daten, die verarbeitet werden,
   • die Empfänger oder Kategorien von Empfängern der Daten,
   • die Herkunft der Daten.
4. Falls ein wesentliches Interesse des Antragstellers dies erfordert, kann der Verantwortliche die Auskunft in einer anderen als der schriftlichen Form erteilen, sofern dies dem Interesse angemessen ist.
5. Der Verantwortliche kann eine Anfrage ablehnen, wenn und soweit dies erforderlich ist im Zusammenhang mit:
   • der Aufklärung und Verfolgung von Straftaten,
   • dem Schutz der betroffenen Person oder der Rechte und Freiheiten Dritter.

11. Weitergabe personenbezogener Daten

1. Die Weitergabe personenbezogener Daten an Dritte erfolgt grundsätzlich nur mit der Einwilligung der betroffenen Person oder ihres gesetzlichen Vertreters – es sei denn, eine gesetzliche Vorschrift oder ein Notfall erfordert dies.
2. Eine Ausnahme von dieser Regel besteht für den Austausch von Informationen mit Parteien, die diese zur Vertragserfüllung benötigen, wie z. B.:
   • Versicherungsunternehmen,
   • Banken,
   • Kreditgeber,
   • an der Schadenregulierung beteiligte Parteien.
3. Schließlich können personenbezogene Daten weitergegeben werden, um gesetzlichen Verpflichtungen nachzukommen, z. B. an:
   • die niederländische Steuerbehörde (Belastingdienst),
   • die niederländische Finanzmarktaufsicht (Autoriteit Financiële Markten, AFM).

12. Recht auf Berichtigung, Ergänzung und Löschung

1. Auf schriftlichen Antrag der betroffenen Person berichtigt, ergänzt, löscht und/oder sperrt der Verantwortliche die verarbeiteten personenbezogenen Daten, wenn und soweit diese:

   • sachlich unrichtig,
   • unvollständig im Hinblick auf den Verarbeitungszweck,
   • irrelevant oder übermäßig für den Zweck der Speicherung,
   • oder anderweitig gesetzeswidrig verarbeitet wurden.

   Der Antrag der betroffenen Person muss die gewünschten Änderungen enthalten.

2. Der Verantwortliche informiert den Antragsteller so schnell wie möglich, spätestens jedoch innerhalb von vier Wochen nach Eingang des Antrags, ob der Antrag erfüllt wird. Falls dies nicht oder nur teilweise geschieht, wird eine Begründung gegeben. Der Antragsteller hat dann die Möglichkeit, sich an den Beschwerdeausschuss des Verantwortlichen zu wenden.

3. Der Verantwortliche sorgt dafür, dass eine Entscheidung zur Berichtigung, Ergänzung, Löschung und/oder Sperrung innerhalb von 14 Werktagen umgesetzt wird – oder, falls dies nicht möglich ist, so bald wie möglich danach.

13. Aufbewahrung von Daten

1. Personenbezogene Daten werden nicht länger aufbewahrt, als es für die Erfüllung der Zwecke, für die sie erhoben oder verarbeitet wurden, erforderlich ist.
2. Der Verantwortliche legt fest, wie lange personenbezogene Daten gespeichert bleiben.
3. Ist die Aufbewahrungsfrist abgelaufen oder verlangt die betroffene Person eine vorzeitige Löschung, werden die betreffenden Daten innerhalb von drei Monaten gelöscht.
4. Eine Löschung erfolgt jedoch nicht, wenn anzunehmen ist, dass:
   • die Aufbewahrung für eine andere Person als die betroffene Person von großer Bedeutung ist;
   • eine gesetzliche Vorschrift (einschließlich des niederländischen Finanzaufsichtsgesetzes) die Speicherung verlangt;
   • eine Vereinbarung zwischen der betroffenen Person und dem Verantwortlichen eine Speicherung vorsieht.

14. Verarbeitungsverzeichnis

1. Jede vollständig oder teilweise automatisierte Verarbeitung personenbezogener Daten, die der Erreichung eines bestimmten Zwecks oder damit verbundener Zwecke dient, wird vor Beginn der Verarbeitung in einem intern geführten Verarbeitungsverzeichnis erfasst.
2. Falls eine automatisierte Verarbeitung personenbezogener Daten ein hohes Risiko für die betroffene Person darstellt – unter Berücksichtigung der Art und des Kontexts der verarbeiteten personenbezogenen Daten – führen wir vor Beginn der Verarbeitung eine Datenschutz-Folgenabschätzung (DPIA) durch. Dadurch stellen wir sicher, dass die damit verbundenen Risiken angemessen verwaltet werden, um die Rechte der betroffenen Personen ausreichend zu schützen.
3. Das interne Verarbeitungsverzeichnis enthält:
   • den Namen und die Adresse des Verantwortlichen;
   • den Zweck oder die Zwecke der Verarbeitung;
   • eine Beschreibung der Kategorien betroffener Personen sowie der dazugehörigen Datenkategorien;
   • die Empfänger oder Kategorien von Empfängern, denen die Daten offengelegt werden können;
   • die beobachteten Aufbewahrungsfristen.

15. Datenschutzverletzungen (Data Breaches)

1. Im Falle einer Datenschutzverletzung untersucht der Verantwortliche, ob personenbezogene Daten verloren gegangen sind oder eine unrechtmäßige Verarbeitung nicht ausgeschlossen werden kann.
2. Falls die Untersuchung ergibt, dass sensible personenbezogene Daten betroffen sind oder dass ein erhebliches Risiko für die Rechte und den Schutz der betroffenen Personen besteht, meldet der Verantwortliche die Datenschutzverletzung bei der niederländischen Datenschutzbehörde (Autoriteit Persoonsgegevens, AP).
3. Falls der Verantwortliche die betroffenen personenbezogenen Daten nicht oder nicht ausreichend verschlüsselt hat oder falls die Datenschutzverletzung voraussichtlich nachteilige Folgen für die betroffenen Personen haben könnte, wird die Datenschutzverletzung ebenfalls der niederländischen Finanzmarktaufsicht (AFM) gemeldet. In Absprache mit den genannten Aufsichtsbehörden kann zudem entschieden werden, die betroffenen Personen über die Datenschutzverletzung zu informieren.

16. Beschwerdeverfahren

Falls eine betroffene Person der Ansicht ist, dass diese Regelungen nicht eingehalten werden, kann sie sich wenden an:

• den Verantwortlichen;
• falls die betroffene Person mit dem Ergebnis der Beschwerde nicht zufrieden ist, kann sie sich an das Finanzdienstleistungs-Beschwerdeinstitut (KiFiD) in Den Haag wenden;
• die niederländische Datenschutzbehörde (AP) mit der Bitte um Vermittlung und Beratung im Streitfall zwischen der betroffenen Person und dem Verantwortlichen;
• das zuständige Gericht.

17. Änderungen, Inkrafttreten und Kopie

1. Änderungen an diesen Regelungen werden von der zuständigen Person vorgenommen.
2. Änderungen treten vier Wochen nach ihrer Bekanntgabe an die Beteiligten in Kraft.
3. Diese Regelungen können in der Geschäftsstelle des Verantwortlichen eingesehen werden. Auf Anfrage kann eine Kopie dieser Regelungen gegen Kostenerstattung ausgehändigt werden.

18. Unvorhergesehene Fälle

In Fällen, die nicht durch diese Regelungen abgedeckt sind, trifft der Verantwortliche eine Entscheidung unter Berücksichtigung der gesetzlichen Bestimmungen sowie des Zwecks und der Zielsetzung dieser Regelungen.

Informationen zur Datenschutz-Grundverordnung (DSGVO)

• Gesetzestext: Verordnung (EU) 2016/679 (DSGVO)
• Website der niederländischen Datenschutzbehörde (Autoriteit Persoonsgegevens, AP): https://www.autoriteitpersoonsgegevens.nl