Datenschutzerklärung Website
Diese Datenschutzerklärung gilt für Universal Alliances AG.
Universal Alliances AG ist ein Anbieter von massgeschneiderten Versicherungs- und Risikolösungen. Sie bietet Dienstleistungen im Bereich der beruflichen Personalvorsorge, der Personen-, der Sach- und der Haftpflichtversicherungen sowie des Risiko-Managements an.
Mit dieser Datenschutzerklärung möchten wir Sie über unsere Datenbearbeitungsmethoden auf unserer Website aufklären.
Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich bspw. um Daten handeln, die Sie in ein Kontaktformular eingeben.
Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst. Wir verwenden auf unserer Homepage Cookies und Google Analytics.
Was sind Cookies und wie werden diese verwendet?
Cookies sind kleine Dateien, die auf ihrem Computer oder mobilen Gerät gespeichert werden, wenn Sie unsere Website nutzen. Wir setzen diese Technologie wie folgt ein:
Warum verwenden wir Cookies?
Die Daten werden insbesondere für die Auswertung der Benutzung der Website, welche Informationen und Leistungen gesucht werden sowie um die Benutzerfreundlichkeit der Website zu erhöhen, genutzt.
Welche Cookies verwenden wir?
Wir verwenden sowohl temporäre sowie auch permanente Cookies. Die temporären Session-Cookies werden beim Schliessen des Browsers gelöscht. Die permanenten Cookies von Google Analytics bleiben auf Ihrem Computer oder mobilen Gerät auch nach Beendigung der Browser-Sitzung gespeichert. Dies ermöglicht eine automatische Erkennung bei der nächsten Sitzung und dadurch wird die Website mit Ihren bevorzugten Einstellungen angezeigt. Damit wollen wir unsere Website nutzerfreundlicher, effizienter und sicherer machen. Die Cookies werden zwei Jahre auf Ihrem Gerät gespeichert und nach Ablauf der programmierten Zeit automatisch gelöscht.
Welche Daten sind in den Cookies gespeichert?
In den von uns verwendeten Cookies werden keine Personendaten gespeichert. Als personenbezogene Informationen gelten alle Daten, die von Google dazu verwendet werden können, eine Person zu identifizieren. Dazu gehören unter anderem Namen, E-Mail-Adressen und Zahlungsinformationen. Die von uns verwendeten Cookies können keiner bestimmten Person zugeordnet werden. Bei Aktivierung eines Cookies wird diesem eine Identifikationsnummer zugewiesen.
Wie kann die Speicherung von Cookies verhindert werden?
Die meisten Internet-Browser akzeptieren Cookies automatisch. Sie können jedoch Ihren Browser anweisen, keine Cookies zu akzeptieren oder Sie jeweils anzufragen, bevor ein Cookie einer von Ihnen besuchten Internet-Seite akzeptiert wird. Sie können auch Cookies auf Ihrem Computer oder mobilen Gerät löschen, indem Sie die entsprechende Funktion Ihres Browsers benutzen. Falls Sie sich entschliessen, unsere Cookies oder die Cookies unserer Partnerunternehmen nicht zu akzeptieren, werden Sie auf unseren Internet-Seiten allenfalls gewisse Informationen nicht sehen und einige Funktionen, die Ihren Besuch verbessern sollen, nicht nutzen können.
Werden Web-Analyse-Tools verwendet?
Wir wollen uns konstant verbessern, um Ihnen in Zukunft einen noch besseren Service zu bieten. Zur Eruierung von Verbesserungspotenzialen nutzen wir sogenannte Tracking-Technologien.
Google Analytics
Wir benutzen Google Analytics, einen Webanalysedienst der Google Inc. (« Google »).
Google Analytics verwendet Erstanbieter-Cookies. Mit diesen Cookies werden Informationen in Serverprotokollen gespeichert, die nicht personenbezogen sind. Sie erfassen gerätespezifische Informationen, beispielsweise das Modell der von Ihnen verwendeten Hardware, die Version des Betriebssystems, eindeutige Geräteerkennungen und Informationen über das Mobilfunknetz einschliesslich Ihrer Telefonnummer.
Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Durch IP-Anonymisierung auf dieser Website wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Google wird diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben ist oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.
Durch die Nutzung dieser Website erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden. (Google Analytics Bedingungen)
Werden Log-Dateien verwendet?
Wir hosten unsere Website bei Hostpoint in der Schweiz. Bei Hostpoint werden für jeden Zugriff auf diese Website standardmässige Webserver-Logdateien mit folgenden Angaben erstellt: IP-Adresse, Datum und Uhrzeit, Browser-Anfrage einschliesslich Herkunft der Anfrage (sogenannter Referrer), verwendetes Betriebssystem einschliesslich Version, verwendeter Browser einschliesslich Sprache und Version (Rechtsgrundlage gemäss DSGVO: Art. 6 Abs. 1 lit. f mit der Informationssicherheit als berechtigtes Interesse). Die Logdateien dienen zur Erkennung von technischen Problemen und zur Gewährleistung der Sicherheit und zur statistischen Auswertung der Nutzung unserer Website. Wir verwenden diese Log-Dateien jedoch nicht.
Sind Ihre Daten bei uns sicher?
Die erhobenen Daten werden durch uns mittels geeigneten Sicherheitsmassnahmen geschützt und auf gesicherten Servern bei Hostpoint gespeichert. Ihre personenbezogenen Daten gegen Zugriff, Veränderung oder Verbreitung durch unbefugte Personen gesichert. Obwohl wir alle geeigneten und sinnvollen Sicherheitsvorkehrungen treffen, müssen Sie sich bewusst sein, dass die Übermittlung von Informationen über das Internet immer ein gewisses Sicherheitsrisiko birgt und wir deshalb keine absolute Sicherheit garantieren können.
Werden Hyperlinks verwendet?
Auf unserer Website sind Hyperlinks zu anderen Websites enthalten, welche Universal Alliances AG nicht betreibt oder überwacht. Universal Alliances AG ist für deren Inhalt und Umgang mit Personendaten nicht verantwortlich und empfiehlt Ihnen, die dort geltenden Datenschutzerklärungen zu studieren. Die Verlinkungen sind angezeigt und für deren Nutzung ist ein separates Anklicken notwendig.
Die Gerichte am Sitz von Universal Alliances AG sind ausschliesslich zuständig. Anwendbar ist Schweizer Recht. Massgebend ist dieser Disclaimer in deutscher Version.
Datenschutzpolitik
1.1. Allgemeines
Universal Allliances AG ist ein Anbieter von massgeschneiderten Versicherungs- und Risikolösungen. Sie bietet Dienstleistungen im Bereich der beruflichen Personalvorsorge, der Personen-, der Sach-, der Haftpflicht- und weiterer Nichtlebenversicherungen sowie des Risiko-Managements an. Mit der vorliegenden Datenschutzpolitik möchte Universal Alliances AG darüber informieren, dass sie sich an die geltenden Datenschutzbestimmungen hält.
1.2. Inhalt und Zweck
Als Versicherungsbroker gehört es auch zu den Aufgaben der Universal Alliances AG, personenbezogene Daten (im Folgenden „Personendaten“ oder „Daten“) von Kunden, Mandanten und Mitarbeitenden zu bearbeiten (empfangen, speichern, ändern, weitergeben usw.). Um dem Kunden massgeschneiderte Lösungen anbieten zu können und die Korrespondenz mit ihnen und den Versicherern aufrecht zu erhalten, ist die Bearbeitung dieser Daten unerlässlich. Die Universal Alliances AG erachtet den Schutz von Personendaten als wesentlichen Bestandteil ihrer Dienstleistung am Kunden. Der Datenschutz gehört daher zu den wichtigsten Verhaltensgrundsätzen des Unternehmens.
1.3. Herkunft und Kategorien der verarbeiteten Daten
Die von Universal Alliances AG verarbeiteten Personendaten umfassen vom Versicherungsnehmer, Versicherer, Versicherten oder berechtigten Dritten mitgeteilte sowie öffentlich zugängliche Daten.
Datenkategorien sind:
– Kundendaten (wie z.B. Name, Adresse, Geburtsdatum, Geschlecht, Nationalität, etc.)
– Daten aus Anträgen, einschliesslich der dazugehörigen Zusatzfragebögen (wie z.B. Angaben des Antragstellers zum versicherten Risiko, Antworten auf Fragen, Sachverständigenberichte, Angaben des Vorversicherers über den bisherigen Schadenverlauf)
– Daten aus Verträgen mit Versicherern (wie z.B. Vertragsdauer, versicherte Risiken, Leistungen, Daten aus bestehenden Verträgen)
– Inkassodaten (wie z.B. Datum und Höhe der Prämieneingänge, Ausstände, Mahnungen, Guthaben, Zahlungsverbindungsdaten)
– allfällige Schadensdaten (wie z.B. Schadensanzeigen, Abklärungsberichte, Rechnungsbelege, Daten betreffend geschädigten Drittpersonen)
Es werden keine Daten von weiteren Dritten beschafft.
1.4. Weitergabe von Daten an Dritte
Die Datenverarbeitung im Zusammenhang mit der Tätigkeit als Versicherungsbroker nimmt die Universal Alliances AG mit der Hilfe diverser Outsourcing-Partner wahr:
Die Administration der Versicherungsverträge ist mit einer Co-Broker Vereinbarung geregelt.
Der IT-Bereich wird ausgelagert und die Entwicklung, Anpassung und Wartung der Versicherungsbroker-Software sowie des Dokumentenmanagement Systems übernehmen darauf spezialisierte Softwareunternehmen. Dienstleistungen im Bereich der Buchhaltung sind wird von einem spezialisierten Treuhandunternehmen übernommen. Die Vertragspartner für ausgelagerte Funktionen werden von Universal Alliances AG sorgfältig ausgewählt. Die Universal Alliances AG verpflichtet die Vertragspartner zur Einhaltung des Datenschutzes und überwacht sie laufend. Hierbei bleibt die Universal Alliances AG für die Einhaltung des Datenschutzes verantwortlich.
Co-Broker: Strategic Alliances Financial Services AG, Grubenstrasse 35, 8045 Zürich
Hosting Website: Hostpoint AG, Neue Jonastrasse 60, 8640 Rapperswil-Jona
Buchhaltung: 4S Treuhand AG, Hinterbergstrasse 18, 6312 Steinhausen
Brokersoftware: WMC IT Solutions AG, Kägenstrasse 10, 4153 Reinach BL
1.5. Speicherdauer
Universal Alliances AG verarbeitet Personendaten, solange dies für die Erfüllung der oben genannten Zwecke erforderlich ist. Für die Aufbewahrung von Geschäftsunterlagen gilt grundsätzlich die gesetzliche Aufbewahrungsfrist von zehn Jahren (Art. 958f Abs. 1 OR). Zudem bewahrt Universal Alliances AG Daten für die Zeit auf, in welcher Ansprüche gegen Universal Alliances AG geltend gemacht werden können.
1.6. Leitsätze zum Datenschutz
Folgende Leitsätze werden in der Datenbearbeitung durch Universal Alliances AG befolgt:
– Die Verhältnismässigkeit ist die Grundlage der Datenverarbeitung bei Universal Alliances AG. Folglich werden nur Daten gespeichert und bearbeitet, die für die Aufgabenerfüllung wirklich notwendig sind.
– Technisch inkorrekte Daten werden an den Datenlieferanten zurückgewiesen.
– Universal Alliances AG bearbeitet Daten ausschliesslich zur Vertragserfüllung und gewährleistet die Datensicherheit.
– Die Geschäftsleitung der Universal Alliances AG trägt die Gesamtverantwortung für den Datenschutz, stellt entsprechende Mittel für dessen Erfüllung bereit und ist für eine angemessene Überprüfung des Datenschutzes verantwortlich.
– Alle Mitarbeitenden der Universal Alliances AG kennen die Bedeutung der Daten sowie der Informationen und werden regelmässig geschult.
– Alle Mitarbeitenden der Universal Alliances AG kennen die gesetzlichen Bestimmungen sowie die internen Richtlinien und handeln entsprechend danach.
– Alle Mitarbeitenden der Universal Alliances AG sind verpflichtet, die Wirksamkeit des Datenschutzes laufend zu optimieren.
– Vertrauliche und besonders schützenswerte Daten werden sicher verwaltet und sind vor dem Zugriff Unbefugter geschützt.
– Sämtliche Personen, die bei Universal Alliances AG angestellt oder von ihr beauftragt sind, sind zur Geheimhaltung und zum Einhalten des Datenschutzes gemäss den Weisungen und den vertraglichen Regelungen verpflichtet.
– Universal Alliances AG geht verantwortungsvoll mit Daten, Informationen, Prozessen und der Infrastruktur um.
– Sämtliche Mitarbeitenden der Universal Alliances AG sind in ihrer jeweiligen Funktion für die Schaffung und Erhaltung der notwendigen und angemessenen Rahmenbedingungen für den Datenschutz und die Datensicherheit verantwortlich.
1.7. Datenschutzmanagementsystem
Universal Alliances AG trifft alle technischen und organisatorischen Vorkehrungen, welche geeignet und verhältnismässig sind, um die Personendaten vor unbefugter Kenntnisnahme, Fremdzugriff, Manipulation, Veränderung, Verfälschung, Zerstörung oder Verlust zu schützen. Dies gilt für alle Bearbeitungsphasen der Daten, von der Beschaffung bis zu deren Vernichtung.
1.8. Ihre Rechte als betroffene Person
Können Sie aufgrund der bei Universal Alliances AG gespeicherten Daten als natürliche Person identifiziert werden, sind sie eine betroffene Person.
Universal Alliances AG bearbeitet Personendaten einerseits als Auftragsverarbeiterin von Kundendaten und andererseits als Verantwortliche für die Bearbeitung von Daten von Partnern, Mitarbeitenden und Lieferanten. Im ersten Fall ist der Kunde Verantwortlicher. Die hier aufgelisteten Rechte von betroffenen Personen müssen beim jeweils Verantwortlichen geltend gemacht werden.
Auskunftsrecht:
Sie haben das Recht, Auskunft über Ihre vom Verantwortlichen verarbeiteten Personendaten und den Zweck der Bearbeitung dieser Daten zu erhalten. Sie können dem Verantwortlichen Ihr Auskunftsbegehren schriftlich und unter Beilage einer Kopie Ihrer Identitätskarte oder Ihres Passes an die Kontaktadresse des Verantwortlichen zustellen.
Zugangsrecht und Recht auf Berichtigung:
Sie haben das Recht, Ihre vom Verantwortlichen verarbeiteten Personendaten einzusehen. Sollten trotz der Bemühungen um Datenrichtigkeit und Aktualität falsche Informationen über Sie gespeichert sein, werden diese auf Ihre Aufforderung hin berichtigt. Sie werden nach der Berichtigung darüber informiert.
Recht auf Löschung:
Sofern der Verantwortliche aufgrund der geltenden Gesetze und Vorschriften nicht verpflichtet oder berechtigt ist, einige Ihrer Personendaten aufzubewahren, haben Sie Anspruch auf Löschung Ihrer Daten aus dem System des Verantwortlichen.
Recht auf Datenübertragbarkeit:
Sie haben das Recht, die Ihre Person betreffenden Daten, welche Sie einem Verantwortlichen bereitgestellt haben, zu erhalten und diese einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem Sie die Daten bereitgestellt haben, zu übermitteln.
Recht auf Widerspruch:
Ist eine Verarbeitung Ihrer Daten nicht zwingend für die Vertragserfüllung notwendig oder ist der Verantwortliche nicht aufgrund der geltenden Gesetze und Vorschriften zu einer Verarbeitung Ihrer Daten verpflichtet oder berechtigt, können Sie dieser Verarbeitung jederzeit mit Wirkung für die Zukunft widersprechen.
Recht auf Beschwerde:
Bei einer Verletzung Ihrer Rechte haben Sie die Möglichkeit, bei der zuständigen Datenschutzbehörde eine Beschwerde einzureichen.
1.9. Kontakt
Der interne Verantwortliche für Themen des Datenschutzes und Ansprechperson für Fragen ist:
Roman Blattmann, Co-Geschäftsführer der Universal Alliances AG, Wilenstrasse, 68, 8832 Wilen bei Wollerau, Telefon +41 44 585 90 05, E-Mail roman.blattmann@ua-eg.com
1.10. Änderungsvorbehalt
Universal Alliances AG behält sich vor, diese Datenschutzpolitik jederzeit den aktuellen gesetzlichen Bestimmungen anzupassen. Es gilt jeweils die unter www.universalalliances.com veröffentlichte Version.
Aus Gründen der besseren Lesbarkeit wird im ganzen Dokument auf eine geschlechterspezifische Differenzierung verzichtet. Sämtliche Personenbezeichnungen gelten im Sinne der Gleichbehandlung für alle Geschlechter.
Das vorliegende Bearbeitungsreglement wurde gestützt auf folgende Gesetze und Verordnungen verfasst:
– Datenschutz-Grundverordnung der Europäischen Union (DSGVO) vom 27. April 2016 (Fassung vom 4. Mai 2016)
– Bundesgesetz über den Datenschutz (DSG) vom 9. Juni 1992 (Stand am 1. Januar 2014)
– Entwurf zum Bundesgesetz über den Datenschutz (E-DSG) gemäss Beschluss der Bundesversammlung vom 15. September 2017
– Verordnung zum Bundesgesetz über den Datenschutz (VDSG) vom 14. Juni 1993 (Stand am 16. Oktober 2012)
– Obligationenrecht (OR) vom 30. März 1911 (Stand am 1. April 2017)
Mit der Hilfe des Bearbeitungsreglements wird sichergestellt, dass die Persönlichkeits- und Grundrechte von Personen, von welchen bei Universal Alliances AG personenbezogene Daten bearbeitet werden, entsprechend den gesetzlichen Bestimmungen geschützt werden. Das Bearbeitungsreglement umschreibt insbesondere das Datenbearbeitungs- und Kontrollverfahren und erwähnt, welche Dokumente über die Planung, die Realisierung und den Betrieb der Datensammlung existieren.
Die Universal Alliances AG ist ein Anbieter von massgeschneiderten Versicherungs- und Risikolösungen. Sie bietet Dienstleistungen im Bereich der beruflichen Personalvorsorge, der Personen-, der Sach-, der Haftpflicht- und weiterer Nichtlebenversicherungen sowie des Risiko-Managements an. Um dem Kunden massgeschneiderte Lösungen anbieten zu können und die Korrespondenz mit ihm und den Versicherern aufrecht zu erhalten, ist die Bearbeitung von Kundendaten für die Auftragserfüllung unerlässlich.
Roman Blattmann
Co-Geschäftsführer
Universal Alliances AG
Wilenstrasse 68
8832 Wilen bei Wollerau
Telefon +41 44 585 90 05
E-Mail roman.blattmann@ua-eg.com
2.1. Bestandteile Informationssystem
2.1.1. Unternehmensleitung
Die Gesamtverantwortung für den Datenschutz trägt die Geschäftsleitung. Diese Verantwortung ist nicht übertragbar.
2.1.2. E-Mail, Internet und Telefon
Auf allen Computern ist ein Internet-Zugang für geschäftliche Zwecke konfiguriert. Jedem Berater werden ein individuelles E-Mail-Konto und eine Direktwahl eingerichtet. Die Übergänge vom internen zum externen Netz sind durch eine Firewall geschützt. Von extern können nur ausgewählte Service-Provider mithilfe eines Codes auf das System der Universal Alliances AG zugreifen.
2.1.3. HR-Management
Intern ist ein Mitarbeiter mit den Aufgaben des HR-Managements betraut. Bei Neueinstellungen von Mitarbeitenden wird im Bedarfsfall eine externe Personalrekrutierungsfirma hinzugezogen.
2.1.4. Dokumentenmanagement
Die Daten und Dokumente liegen auf den Servern eines Outsourcing-Partners und werden mittels CloudZugang und einem Dokumentenmanagement-Systems den Beratern der Universal Alliances AG zur Verfügung gestellt. Die Zugriffsberechtigung auf spezifische Daten und Dokumente wird nach Funktion, Rolle und Stellvertreterfunktion eines Beraters erteilt.
2.1.5. IT-Betrieb
Der IT-Bereich wird durch einen Outsourcing-Partner sichergestellt. Er stellt die Server zur Verfügung, auf denen die Applikationen, Daten und Dokumente der Universal Alliances AG gespeichert sind. Die Versicherungsbroker-Software liefert und unterhält eine darauf spezialisierte Software-Firma. Diese Partner bestätigen mit Vertragsunterzeichnung die Einhaltung der Datenschutzbestimmungen für sich und ihre Angestellten. Die Berater können via ihrem Computer auf die Daten auf den Servern zugreifen, die sie für die Ausführung ihrer Tätigkeiten brauchen. Alle Daten werden regelmässig vom Outsourcing-Partner als Backup gespeichert und sowohl von ihm als auch von Universal Alliances AG archiviert. Sowohl die Firewall als auch das Antivirus-Programm müssen vom Outsourcing-Partner regelmässig überprüft und auf dem neusten Stand gehalten werden.
2.2. Schnittstellen
Die von Universal Alliances AG im Rahmen ihrer Tätigkeit als Versicherungsbroker verarbeiteten Personendaten umfassen vom Versicherungsnehmer, Versicherer und Versicherten mitgeteilte sowie öffentlich zugängliche Daten. Im Rahmen Ihrer Aufgaben verarbeitet Universal Alliances AG Personendaten, die sie von Beratern, Mitarbeitenden, Bewerbern und der Personalrekrutierungsfirma, welche mit Aufgaben des Personalmanagements beauftragt werden kann, bezieht. Um für Kunden Offerten einzuholen und Versicherungsabschlüsse zu tätigen, ist es für die Auftragserfüllung notwendig, dass Kundendaten den Versicherungspartnern der Universal Alliances AG weitergeleitet werden. Durch die Auslagerung des IT-Bereichs, während Unterhaltsarbeiten an der Versicherungsbroker-Software und durch die Bereitstellung des Dokumentenmanagement-Systems sind elektronisch erfasste Kunden- und Mitarbeiterdaten für die mit diesen Aufgaben betrauten Outsourcing-Partner bearbeitbar. Die Abwicklung der Lohnbuchhaltung und das Erstellen des Geschäftsabschlusses der Universal Alliances AG werden von einem Treuhandunternehmen übernommen. Diese Firma erhält aufgrund ihrer Tätigkeit Einsicht in die Geschäftsunterlagen der Universal Alliances AG. Für die datenschutzkonforme Vernichtung von Dokumenten mit Kunden- und Mitarbeiter-Informationen hat die Universal Alliances AG dafür vorgesehene Geräte (u.a. Aktenvernichter, Schutzklasse 3). Universal Alliances AG arbeitet eng mit Strategic Alliances Financial Services AG, zusammen. Um diese Zusammenarbeit zu ermöglichen, erhalten in der Regel die Mitarbeitenden von Strategic Alliances Financial Services AG eine Bearbeitungsberechtigung für die Kundendaten der Universal Alliances AG.
3.Beteiligte Stellen
3.1. Organisationsbereiche der Universal Alliances AG
Die Gesamtverantwortung für den Datenschutz trägt die Geschäftsleitung. Diese Verantwortung ist nicht übertragbar.
4.1. Benutzer
Alle Berater der Universal Alliances AG sind Benutzer des IT-Systems und können Daten bearbeiten. Die Zugriffsberechtigungen aller Berater werden dokumentiert und abhängig von Funktion und Rolle erteilt. Universal Alliances AG führt ein Nutzungsreglement betreffend IT- und Telecom-Infrastruktur.
4.2. Benutzerverwaltung
Die Benutzerverwaltung erfolgt durch den internen IT-Koordinator. Die Geschäftsleitung ist für die Definition der IT-Zugriffsrechte der einzelnen Berater zuständig.
4.3. Aufhebung der Zugriffsberechtigung
Die Benutzer sind so lange und in dem Umfang zugriffsberechtigt, wie sie die Daten für die Ausübung ihrer Tätigkeiten benötigen. Bei Austritt sowie bei Aufgabenwechsel innerhalb der Firma Universal Alliances AG wird die Zugriffsberechtigung entzogen und die für den allfällig neuen Aufgabenbereich benötigten Zugriffsberechtigungen werden neu erteilt.
4.4. Ausbildung der Benutzer
Die Benutzer des vom Outsourcing-Partner bereitgestellten IT-Systems werden auf verschiedenen Wegen im datenschutzrechtlichen Bereich wie auch anwendungstechnisch geschult. Jeder Berater wird auf die Datenschutzbestimmungen im Unternehmen aufmerksam gemacht. Die Berater werden regelmässig bezüglich Datenschutz geschult.
5.1. Datenherkunft
Die von Universal Alliances AG verarbeiteten Personendaten umfassen vom Versicherungsnehmer, Versicherer, Versicherten oder berechtigten Dritten mitgeteilte sowie öffentlich zugängliche Daten. Es werden keine Daten von weiteren Dritten beschafft.
5.2. Kategorien der verarbeiteten Daten
Die wesentlichen Datenkategorien, die Universal Alliances AG im System verarbeitet oder auf Papier ablegt, sind wie folgt:
– Kundendaten (wie z.B. Name, Adresse, Geburtsdatum, Geschlecht, Nationalität, etc.)
– Daten aus Anträgen, einschliesslich der dazugehörigen Zusatzfragebögen (wie z.B. Angaben des Antragstellers zum versicherten Risiko, Antworten auf Fragen, Sachverständigenberichte, Angaben des Vorversicherers über den bisherigen Schadenverlauf)
– Daten aus Verträgen mit Versicherern (wie z.B. Vertragsdauer, versicherte Risiken, Leistungen, Daten aus bestehenden Verträgen)
– Inkassodaten (wie z.B. Datum und Höhe der Prämieneingänge, Ausstände, Mahnungen, Guthaben, Zahlungsverbindungsdaten)
– allfällige Schadensdaten (wie z.B. Schadensanzeigen, Abklärungsberichte, Rechnungsbelege, Daten betreffend geschädigten Drittpersonen)
5.3. Anmeldung der Datensammlung beim EDÖB
Die gesetzlichen Bestimmungen sehen keine Anmeldung der von der Universal Alliances AG bearbeitet Datensammlungen beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vor. Als Inhaberin von Kontaktdaten und Verträgen von Lieferanten und Outsourcing-Partnern sowie Datensammlungen zur eigenen Personalverwaltung ist die Universal Alliances AG gemäss Art. 11a Abs. 5 lit. a DSG sowie Art. 4 Abs. 1 lit. a und g VDSG von der Anmeldepflicht befreit.
Weitere Datensammlungen von Kunden bearbeitet die Universal Alliances AG als Auftragsverarbeiterin im Auftrag dieser Kunden. Für diese Daten bleibt der jeweilige Kunde Inhaber und ist somit für eine allfällige Anmeldung bei der Datenschutzstelle verantwortlich.
6.1. Archivierungspflicht
Archivierungspflichtige Dokumente werden während der gesetzlich verlangten Dauer archiviert und vor Veränderungen und unbefugten Zugriffen geschützt.
6.2. Aufbewahrungsdauer und Löschung
Für die Aufbewahrung von Geschäftsunterlagen gilt grundsätzlich die gesetzliche Aufbewahrungsfrist von zehn Jahren (Art. 958f Abs. 1 OR). Werden die Geschäftsunterlagen in elektronischer oder vergleichbarer Weise aufbewahrt, so müssen sie während dieser Zeit wieder lesbar gemacht werden können (Art. 958f Abs. 3 OR). Sofern nicht eine gesetzliche Aufbewahrungspflicht besteht, werden personenbezogene Daten so lange aufbewahrt, wie sie auch für den Zweck, für den sie erhoben wurden, benötigt werden.
7.1. Zugangskontrolle
Der Zutritt zum Bürogebäude der Universal Alliances AG ist mit einem Schlüsselsystem gesichert. Der Zugang zu den Büroräumlichkeiten im Gebäude ist nur mittels Schlüssel möglich.
7.2. Datenträgerkontrolle
Durch informationstechnische Massnahmen ist es ausschliesslich berechtigten Personen möglich, Daten auf den elektronischen Datenträgern zu bearbeiten. Datenträger, welche zur ordentlichen Benutzung fest mit Datenverarbeitungsanlagen verbaut werden, dürfen ausser zum Zweck der Entsorgung oder der Reparatur nicht aus den Anlagen ausgebaut werden. Im Weiteren dürfen für den stationären Gebrauch bestimmte Informatikmittel nicht aus den Räumlichkeiten der Universal Alliances AG entfernt werden, ausser zum Zweck der Entsorgung, Veräusserung, Migration oder der Reparatur. Datenträger müssen vor der Entsorgung unwiederbringlich gelöscht und wenn möglich zerkleinert werden. Dokumente mit kundenrelevanten Daten werden mittels Aktenvernichter vernichtet.
7.3. Transportkontrolle
Informationen, welche mittels E-Mail versendet werden, werden mittels Server-to-Server-Verschlüsselung geschützt. SIM-Karten, Flash-Speicher, USB-Sticks und andere Datenträger, welche zum mobilen Gebrauch bestimmt sind, müssen ausserhalb der Universal Alliances AG beaufsichtigt und sicher verwahrt werden. Sofern technisch möglich sind mobile Datenträger zu verschlüsseln.
7.4. Bekanntgabekontrolle
Gemäss Art. 9 Abs. 1 lit. d VDSG müssen Datenempfänger, denen Personendaten mittels Einrichtungen zur Datenübertragung bekannt gegeben werden, identifiziert werden können. Sensible Kundendaten dürfen nur verschlüsselt weitergegeben werden. Datenübertragungen werden protokolliert. Es muss immer geprüft werden, ob die anfragende Person auskunftsberechtigt ist.
Auskunftsberechtigte Personen sind in der Broker-Software hinterlegt. Diese werden durch den Kunden jährlich anlässlich des Jahresgesprächs überprüft.
7.5. Speicherkontrolle
Unbefugte Eingabe, Veränderungen oder Löschungen in den Speicher werden durch Zugangs- und Berechtigungskontrolle (z.B. Benutzername/Kennwort) sowie durch die IT-Anwendungen unterbunden. Durch das regelmässige Update der Betriebssysteme und Anwendungen werden Angriffe durch Malware minimiert. Zum Schutz der schützenswerten Daten vor Verlust werden Kopien von allen digitalen Dokumenten erstellt. Diese Kopien werden jeweils nach einer Woche wieder gelöscht. Backups werden durch den mit der Auslagerung des IT-Bereichs betrauten Outsourcing-Partner erstellt.
7.6. Zugriffskontrolle
Der Zugriff auf das Informationssystem der Universal Alliances AG ist nur mit den entsprechenden Authentifizierungsdaten möglich. Für jeden Berater werden ein persönlicher Benutzername und ein persönliches Passwort festgelegt. Jeder Berater erhält diese vom IT-Koordinator, welcher diese Daten auch verwaltet. Bei mehrmaligem falschem Eingeben der Zugangsdaten wird der Zugang zum Informationssystem gesperrt und muss vom IT-Koordinator manuell wieder freigeschaltet werden. Gegen die Benutzung durch unbefugte Personen ausserhalb der Universal Alliances AG ist das System mittels Firewall geschützt. Die Sicherheit wird im Rahmen von IT-Security Massnahmen laufend überprüft.
7.7. Eingabekontrolle
Eine unbefugte Eingabe in den Speicher ist zu verhindern und in den Systemen muss nachträglich überprüfbar sein, welche Personendaten zu welcher Zeit und von welcher Person eingegeben wurden. Daher werden alle Eingaben und Mutationen aus Gründen der Systemsicherheit und Datenintegrität laufend überwacht und protokolliert.
7.8. Massnahmen im Bereich der Endgeräte
Die Nutzung sämtlicher Software respektive des ganzen Betriebssystems der Universal Alliances AG ausserhalb der im Eigentum der Universal Alliances AG stehenden Informatikmittel ist nur mit ausdrücklicher Genehmigung der Universal Alliances AG möglich. Beim Verlassen des Arbeitsplatzes sind die Berater angewiesen, das Endgerät mit einer Zugangssperre zu belegen.
7.9. Trennung von Test- und Produktionsserver
Um neue Software-Bausteine zu testen, werden Daten auf einen Testserver kopiert. Alle Tests erfolgen auf dem Testserver und ausschliesslich mit denjenigen Daten, welche sich auf dem Testserver befinden.
7.10. Verletzungen der Datensicherheit
Werden Verletzungen gegen die Datensicherheit bemerkt, muss sofort der interne Verantwortliche für Themen des Datenschutzes informiert werden. Danach wird der Meldepflicht gemäss Art. 22 E-DSG entsprochen.
Alle Verletzungen gegen die Datensicherheit werden in einem Verzeichnis aufgeführt. Erfasst werden dabei folgende Informationen:
– Datum des Vorfalls und/oder der Entdeckung des Vorfalls
– wer den Vorfall gemeldet hat
– was sich ereignet hat
– ob Universal Alliances AG als Verantwortliche oder als Auftragsverarbeiterin davon betroffen ist
– Einschätzung des Risikos für die Persönlichkeit und die Grundrechte der durch die Verletzung der Datensicherheit betroffene(n) Person(en)
– an wen Meldungen des Vorfalls abgesetzt wurden sowie Name und Datum des Meldedokuments
– Ursachen und Auswirkungen des Vorfalls
– welche Daten wiederhergestellt wurden
– welche davon manuell
– wie die Wiederherstellung erreicht und von wem sie durchgeführt wurde
– welche Massnahmen ergriffen wurden
– zuständige Person
Eine natürliche Person, welche aufgrund der bei der Universal Alliances AG bearbeiteten personenbezogenen Daten identifiziert werden kann, ist eine betroffene Person. Die Universal Alliances AG bearbeitet Personendaten einerseits als Auftragsverarbeiterin von Kundendaten und andererseits als Verantwortliche für die Bearbeitung von Daten von Partnern, Berater und Lieferanten. Im ersten Fall ist der Kunde Verantwortlicher. Die hier aufgelisteten Rechte von betroffenen Personen müssen beim jeweils Verantwortlichen geltend gemacht werden.
8.1. Informationspflicht beim Beschaffen von Personendaten
Universal Alliances AG ist gemäss Art. 14 DSG verpflichtet, betroffene Personen über die Beschaffung von Personendaten zu informieren, wo sie als Verantwortliche für die Datenbearbeitung handelt.
8.2. Auskunftsrecht
Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Daten über sie bearbeitet werden, welche Daten über sie vorhanden sind, woher diese Daten kommen, zu welchem Zweck sie bearbeitet werden, gegenüber wem die Daten offengelegt werden, welche Datenkategorien vorhanden sind und wie lange die Daten gespeichert werden. Das Auskunftsbegehren kann schriftlich und unter Beilage einer Kopie der Identitätskarte oder des Passes an die Kontaktadresse des Verantwortlichen zugestellt werden.
8.3. Zugangsrecht und Recht auf Berichtigung
Betroffene Personen haben das Recht, ihre vom Verantwortlichen verarbeiteten Personendaten einzusehen. Sollten trotz der Bemühungen um Datenrichtigkeit und Aktualität falsche Informationen über sie gespeichert sein, werden diese auf deren Aufforderung hin berichtigt. Die betroffenen Personen werden nach der Berichtigung darüber informiert.
8.4. Recht auf Löschung
Sofern der Verantwortliche aufgrund der geltenden Gesetze und Vorschriften nicht verpflichtet oder berechtigt ist, einige der Personendaten aufzubewahren, haben betroffenen Personen Anspruch auf Löschung ihrer Daten aus dem System des Verantwortlichen.
8.5. Recht auf Datenübertragbarkeit
Betroffene Personen haben das Recht, die sie betreffenden Personendaten, welche sie einem Verantwortlichen bereitgestellt haben, zu erhalten und diese einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die Personendaten bereitgestellt wurden, zu übermitteln.
8.6. Recht auf Widerspruch
Ist eine Verarbeitung von Daten nicht zwingend für die Vertragserfüllung notwendig oder ist der Verantwortliche nicht aufgrund der geltenden Gesetze und Vorschriften zu einer Verarbeitung von Daten verpflichtet oder berechtigt, können betroffene Personen dieser Verarbeitung jederzeit mit Wirkung für die Zukunft widersprechen.
8.7. Recht auf Beschwerde
Betroffene Personen haben die Möglichkeit, bei Verletzung ihrer Rechte bei der zuständigen Datenschutzbehörde eine Beschwerde einzureichen.
9.1. Änderungen des Reglements
Das Daten-Bearbeitungsreglement wird regelmässig aktualisiert. Dieses Reglement kann jederzeit geändert werden. Änderungen bedürfen der Schriftform und der Zustimmung des Vorsitzenden der Geschäftsleitung sowie der für den Datenschutz zuständigen Stelle.
9.2. Genehmigung
Das vorliegende Daten-Bearbeitungsreglement wurde von der Geschäftsleitung der Universal Alliances AG genehmigt und tritt per 01. September 2023 in Kraft.