Datenschutzerklärung der Marsh Medical Consulting GmbH

Die Marsh Medical Consulting GmbH (Marsh Medical Consulting), ein Mitglied der Unternehmensgruppe Marsh & McLennan Companies, Inc., möchte die Vertraulichkeit und die Geheimhaltung personenbezogener Daten, die das Unternehmen in Verbindung mit den für ihre Kunden erbrachten Dienstleistungen verarbeitet, gewährleisten. Die Dienstleistungen von Marsh Medical Consulting umfassen in erster Linie Risikoberatungs- und Versicherungsvermittlungsdienste, die die Berücksichtigung von, den Zugang zu, die Verwaltung und die Inanspruchnahme von Versicherungsleistungen erleichtern.

Eine Versicherung ist die Streuung und Verteilung von Risiken gegen mögliche Eventualitäten. Zu diesem Zweck müssen während des gesamten Versicherungslebenszyklus Informationen, einschließlich personenbezogener Daten, zwischen verschiedenen Teilnehmern des Versicherungsmarktes ausgetauscht werden.

Zur Erläuterung der in dieser Datenschutzerklärung verwendeten Begriffe finden Sie nachfolgend eine Beschreibung der Funktionen und Aufgaben der wichtigsten Versicherungsmarktteilnehmer:

• Versicherungsnehmer: beantragen Versicherungsschutz gegen Risiken, von denen sie betroffen sein könnten. Für den Abschluss eines Versicherungsvertrages können sie sich an einen Vermittler (wie Marsh Medical Consulting) oder direkt bzw. über eine Preisvergleichs-Website an einen Versicherer wenden.
• Vermittler: helfen Versicherungsnehmern und Versicherern bei der Vermittlung des Versicherungsschutzes. Sie können Beratung anbieten und Schadenfälle bearbeiten. Viele Versicherungen und Rückversicherungen werden über Vermittler abgeschlossen.
• Versicherer: bieten den Versicherungsnehmern Versicherungsschutz gegen Zahlung eines Beitrags (Versicherungsprämie).
• Rückversicherer: bieten Versicherungsschutz für einen anderen Versicherer oder Rückversicherer. Diese Versicherung wird als Rückversicherung bezeichnet.

Während des Versicherungslebenszyklus erhält Marsh Medical Consulting personenbezogene Daten von potenziellen oder tatsächlichen Versicherungsnehmern, Begünstigten einer Versicherung, deren Familienangehörigen, Anspruchstellern und sonstigen Dritten, die an einem Schadenfall beteiligt sind. Daher schließen Verweise auf „Personen“ in dieser Datenschutzerklärung alle vorgenannten lebenden Personen ein, von denen Marsh Medical Consulting in Verbindung mit den für ihre Kunden erbrachten Dienstleistungen personenbezogene Daten erhält. In dieser Datenschutzerklärung wird erläutert, wie Marsh Medical Consulting diese personenbezogenen Daten verwendet und anderen Versicherungsmarktteilnehmern und sonstigen Dritten gegenüber offenlegt.

Ein Glossar der wichtigsten Begriffe, die in dieser Datenschutzerklärung verwendet werden, ist im PDF auf Seite 10 zu finden.

Identität und Kontaktdaten des Datenverantwortlichen

Die Marsh Medical Consulting GmbH, Bismarckstraße 2, 32756 Detmold; Telefon: (0 52 31) 308 19 0, Telefax: (0 52 31) 308 19 200, datenschutz@marsh.com (Marsh Medical Consulting bzw. wir) ist Verantwortliche in Bezug auf die personenbezogenen Daten, die Marsh Medical Consulting in Verbindung mit den Dienstleistungen nach dem betreffenden Auftrag von Kunden erhält.

In bestimmten Fällen und zum Zwecke der Durchführung einiger Dienstleistungen stimmen Marsh Medical Consulting und der Kunde überein, dass Marsh Medical Consulting ein Datenverarbeiter (data processor) ist. Wenn Marsh Medical Consulting als Datenverarbeiter handelt, erfüllt sie die Verpflichtungen, die in der mit ihren Kunden jeweils geschlossenen Vereinbarung enthalten sind.

Personenbezogene Daten, die verarbeitet werden können

Marsh Medical Consulting kann die folgenden personenbezogenen Daten erheben und verarbeiten:

• Persönliche Daten: Name, Adresse (und Adressnachweis), sonstige Kontaktdaten (z.B. E-Mail-Adresse und Telefonnummer), Geschlecht, Familienstand, Familiendaten, Geburtsdatum und -ort, Arbeitgeber, Berufsbezeichnung und beruflicher Werdegang, Beziehung zum Versicherungsnehmer, Versicherten, Begünstigten oder Anspruchsteller
• Identifikationsdaten: Von Behörden oder staatlichen Stellen ausgestellte Identifikationsnummern (z.B. Sozialversicherungsnummer, (Reise-) Passnummer, Personalausweisnummer, Steueridentifikationsnummer, Führerscheinnummer – je nach Ihrem Wohnsitzland)
• Finanzdaten: Kartennummer (EC-Karte, Kreditkarte usw.) und Bankverbindung, Einkommen und sonstige Finanzdaten
• Versichertes Risiko: Informationen über das versicherte Risiko, die personenbezogene Daten enthalten können, sofern diese für das zu versichernde Risiko von Belang sind:
  • Gesundheitsdaten: Informationen über aktuelle oder frühere physische oder psychische Krankheiten, Gesundheitszustand, Verletzungen oder Behinderungen, medizinische Behandlungen, relevante persönliche Gewohnheiten (z.B. Rauchen oder Alkoholkonsum), Informationen über verschriebene Arzneimittel, Vorerkrankungen (Anamnese)
  • Daten über Vorstrafen: Strafrechtliche Verurteilungen, einschließlich Verkehrsdelikten
  • Andere besondere Kategorien von personenbezogenen Daten: Rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Zugehörigkeit zu einer Gewerkschaft, genetische Daten, biometrische Daten, Daten zum Sexualleben oder zur sexuellen Ausrichtung einer Person
• Policendaten: Informationen über die Versicherungsangebote und -policen, die erstellt werden
• Kredit- und Betrugsbekämpfungsdaten: Bonität(-sgeschichte) und Kredit-Score, Informationen über Verurteilungen wegen Betrugsdelikten, Straftatvorwürfe und nähere Angaben zu Strafmaßnahmen bzw. Sanktionen aus verschiedenen Betrugsbekämpfungs- und Sanktionsdatenbanken oder von Aufsichts- oder Strafverfolgungsbehörden
• Frühere Versicherungsfälle/-ansprüche: Informationen über frühere Versicherungsfälle/-ansprüche, die Gesundheitsdaten, Daten über Vorstrafen und andere besondere Kategorien von personenbezogenen Daten (wie oben unter der Definition für „Versichertes Risiko“ beschrieben) enthalten können
• Aktuelle Versicherungsfälle/-ansprüche: Informationen über aktuelle Versicherungsfälle/-ansprüche, die Gesundheitsdaten, Daten über Vorstrafen und andere besondere Kategorien von personenbezogenen Daten (wie oben unter der Definition für „Versichertes Risiko“ beschrieben) enthalten können
• Marketingdaten: Ob die Person dem Erhalt von Marketingmitteilungen von Marsh Medical Consulting und Dritten zugestimmt hat

Sofern Marsh Medical Consulting derartige Daten von Personen direkt erhebt, informieren wir diese darüber, ob die Angabe dieser Informationen notwendig ist, und auch über die Folgen, wenn sie im betreffenden Formular nicht angegeben werden.

Quellen personenbezogener Daten

Marsh Medical Consulting erhebt personenbezogene Daten aus verschiedenen Quellen, wie u.a. von bzw. aus (je nach Ihrem Wohnsitzland):

• Personen und deren Familienangehörigen – online, telefonisch oder in schriftlichen Mitteilungen
• Arbeitgebern von Personen
• Bei Versicherungsansprüchen von Dritten, einschließlich der Gegenpartei (Anspruchsteller bzw. Kläger/ Beschuldigter), Zeugen, Sachverständigen (einschließlich medizinischen Sachverständigen), Schadensachbearbeitern, Rechtsanwälten und Schadenbearbeitern
• Anderen Versicherungsmarktteilnehmern, wie Versicherern, Rückversicherern und anderen Vermittlern
• Wirtschafts-/Kreditauskunfteien (sofern Marsh Medical Consulting Kreditrisiken übernimmt)
• Betrugsbekämpfungsdatenbanken und sonstigen Datenbanken von Dritten, einschließlich Sanktionslisten
• Behörden, wie Fahrzeugzulassungsstellen und Steuerbehörden.
• Anspruchs-/Schadenmeldeformularen

Wie wir Ihre personenbezogenen Daten verwenden und offenlegen

In diesem Abschnitt wird beschrieben, zu welchen Zwecken personenbezogene Daten verwendet werden, es wird erläutert, wie diese Daten weitergegeben werden und es werden die Rechtsgrundlagen, auf die wir uns bei der Verarbeitung der Daten stützen, erklärt.

Diese Rechtsgrundlagen sind in der Datenschutz-Grundverordnung (DSGVO) dargelegt, wonach Unternehmen personenbezogene Daten nur verarbeiten dürfen, wenn die Verarbeitung nach den in der Verordnung dargelegten speziellen Rechtsgrundlagen zulässig ist. Die vollständige Beschreibung der einzelnen Rechtsgrundlagen ist hier zu finden. 

Bitte beachten Sie, dass Marsh Medical Consulting personenbezogene Daten – mit Ausnahme von den in der Tabelle unten aufgeführten Offenlegungen – zu den in dieser Datenschutzerklärung erläuterten Zwecken gegenüber Dienstleistern, Vertragspartnern, Unterbeauftragten und Mitgliedern der Marsh & McLennan Companies- Unternehmensgruppe offenlegen darf, die im Auftrag von Marsh Medical Consulting Tätigkeiten durchführen.

Einwilligung

Um die Bereitstellung von Versicherungsschutz und die Bearbeitung von Versicherungsansprüchen zu erleichtern, verlässt Marsh Medical Consulting sich auf die Einwilligung der betroffenen Person zur Verarbeitung besonderer Kategorien von personenbezogenen Daten, wie u.a. Krankenakten und Akten über strafrechtliche Verurteilungen, wie in der Tabelle (link) oben und unter „Profiling“ im nächsten Absatz dargelegt. Diese Einwilligung gestattet Marsh Medical Consulting die Weitergabe der Daten an Versicherer, andere Vermittler und Rückversicherer, die diese Daten zur Wahrnehmung ihrer Funktion im Versicherungsmarkt möglicherweise benötigen (was Marsh Medical Consulting wiederum die nachhaltige Streuung und Preiskalkulation von Risiken ermöglicht).

Die Einwilligung der betroffenen Person zur Verarbeitung besonderer Kategorien von personenbezogenen Daten ist eine notwendige Bedingung, damit Marsh Medical Consulting die vom Kunden gewünschten Dienstleistungen erbringen kann. 

Wenn Marsh Medical Consulting Daten über eine andere Person zur Verfügung gestellt werden, erklären Sie sich damit einverstanden, diese dritte Person über unsere Verwendung ihrer personenbezogenen Daten zu informieren und deren Einwilligung für uns einzuholen. 

Personen können ihre Einwilligung zu dieser Verarbeitung jederzeit widerrufen. In Folge kann Marsh Medical Consulting die Dienstleistungen für den betreffenden Kunden jedoch nicht mehr erbringen. Wenn eine Person ihre Einwilligung zur Verarbeitung besonderer Kategorien von personenbezogenen Daten durch einen Versicherer oder Rückversicherer widerruft, ist die Fortsetzung des Versicherungsschutzes außerdem unter Umständen nicht mehr möglich.

Profiling und automatische Entscheidungsfindung

Versicherungsprämien werden von Versicherungsmarktteilnehmern durch Vergleich der Eigenschaften von Kunden und Begünstigten mit den Eigenschaften und Risikoneigungen von anderen Kunden und Begünstigten bei versicherten Ereignissen berechnet. Bei diesem Leistungsvergleich müssen Marsh Medical Consulting und andere Versicherungsmarktteilnehmer die von allen Versicherten, Begünstigten oder Anspruchstellern erhaltenen Daten analysieren und zusammenstellen, um Modelle für diese Wahrscheinlichkeiten erstellen zu können. Demzufolge kann Marsh Medical Consulting personenbezogene Daten sowohl zur Abstimmung mit den Daten in den Modellen als auch zur Erstellung der Modelle verwenden, nach denen Prämien im Allgemeinen und für andere Versicherte kalkuliert werden. Marsh Medical Consulting und andere Versicherungsmarktteilnehmer können besondere Kategorien von personenbezogenen Daten für die Erstellung solcher Modelle verwenden, sofern diese relevant sind, wie bspw. Vorerkrankungen für Lebensversicherungen oder Verurteilungen wegen Verkehrsdelikten für Kfz-Versicherungen.

Marsh Medical Consulting und andere Versicherungsmarktteilnehmer verwenden ähnliche Prognoseverfahren zur Analyse und Begutachtung der von Kunden und Personen vorgelegten Daten, um Betrugsmuster bzw. die Wahrscheinlichkeit zukünftiger Schäden bei verschiedenen Anspruchsszenarien zu erkennen.

Wir nutzen diese Modelle nur zu den in dieser Datenschutzerklärung genannten Zwecken. Meist trifft Marsh Medical Consulting Entscheidungen auf Basis der Modelle.

Automatische Versicherungsvermittlungsplattform

Wenn Kunden eine automatische Versicherungsvermittlungsplattform verwenden, basieren die Versicherungsangebote vollständig auf dem Abgleich der vom Kunden angegebenen Eigenschaften mit den von den Versicherern festgelegten Kriterien, wodurch ermittelt wird, (a) ob ein Angebot unterbreitet wird und, wenn ja, (b) zu welchen Konditionen und (c) zu welchem Preis. Jeder Versicherer verwendet andere Algorithmen für seine Preiskalkulation. Für weitere Informationen müssen Kunden die Datenschutzerklärung jedes Versicherers genau durchlesen. Marsh Medical Consultings Plattform fragt lediglich ab, ob die Eigenschaften von potenziellen Versicherten den Modellen von Versicherern entsprechen und ermittelt dann die entsprechenden Ergebnisse. Wenn die Eigenschaften eines potenziellen Versicherten den Modellen von Versicherern nicht entsprechen, wird die Angebotsanfrage zur Prüfung durch einen Mitarbeiter mit entsprechender Befugnis zum Abschluss von Versicherungsverträgen weitergeleitet. Zur leichteren Betrugserkennung und -prävention wendet Marsh Medical Consulting außerdem Betrugsprognosealgorithmen auf die von Kunden vorgelegten Daten an. In regelmäßigen Abständen prüft Marsh Medical Consulting alle Profiling- und zugehörigen Algorithmen auf etwaige Ungenauigkeiten und systematische Fehler.

Diese teilweise automatisierten Prozesse können dazu führen, dass ein Kunde kein Versicherungsangebot erhält, oder sie können sich auf den Preis oder die Versicherungskonditionen auswirken.

Kunden können verlangen, dass Marsh Medical Consulting ihnen Auskünfte über die Methoden zur Entscheidungsfindung gibt, und darum bitten, zu prüfen, ob die automatische Entscheidung richtig getroffen wurde. Marsh Medical Consulting kann diese Bitte im gesetzlich zulässigen Rahmen ablehnen, insbesondere dann, wenn die Auskunft zu einer Offenlegung eines Geschäftsgeheimnisses führen oder die Erkennung oder Prävention von Betrugsdelikten oder anderen Straftaten behindern würde. Unter diesen Umständen wird Marsh Medical Consulting jedoch im Allgemeinen prüfen, ob der Algorithmus und die Quelldaten wie vorgesehen fehlerfrei oder vorurteilsfrei funktionieren.

Sicherheitsmaßnahmen

Marsh Medical Consulting verfügt über entsprechende physische, elektronische und verfahrenstechnische Sicherheitsmaßnahmen zum Schutz der von Marsh Medical Consulting verwalteten Daten. Diese Sicherheitsmaßnahmen hängen von Faktoren wie Vertraulichkeit, Format, Standort, Menge, Verteilung und Speicherung der personenbezogenen Daten ab und schließen Maßnahmen ein, die personenbezogene Daten vor unbefugtem Zugriff Dritter schützen sollen. Sofern angemessen, schließen diese Sicherheitsmaßnahmen die Verschlüsselung von Mitteilungen über SSL, die Verschlüsselung von Daten bei der Speicherung, Firewalls, Zugriffskontrollen, Aufgabentrennung und ähnliche Sicherheitsprotokolle ein. Marsh Medical Consulting schränkt den Zugriff auf personenbezogene Daten auf Mitarbeiter und Dritte ein, die zu legitimen und relevanten Geschäftszwecken auf diese Daten zugreifen müssen.

Beschränkung der Erhebung und Aufbewahrung personenbezogener Daten

Von Marsh Medical Consulting werden personenbezogene Daten zu den in dieser Datenschutzerklärung genannten Zwecken oder im gesetzlich zulässigen Rahmen erhoben, verwendet, offengelegt und anderweitig verarbeitet. Wenn Marsh Medical Consulting die Angabe personenbezogener Daten für einen Zweck verlangt, der mit den in dieser Datenschutzerklärung genannten Zwecken nicht vereinbar ist, werden die Kunden über den neuen Zweck informiert und es wird gegebenenfalls die Einwilligung von Personen zur Verarbeitung personenbezogener Daten für den neuen Zweck bzw. die neuen Zwecke eingeholt (oder Dritte werden darum gebeten, die Einwilligung in Marsh Medical Consultings Namen einzuholen).

Marsh Medical Consultings Aufbewahrungsfristen für personenbezogene Daten basieren auf Geschäftsanforderungen und gesetzlichen Vorgaben. Marsh Medical Consulting bewahrt personenbezogene Daten so lange auf, wie es für den Verarbeitungszweck (die Verarbeitungszwecke), für den (bzw. die) die Daten erhoben wurden, und für andere zulässige, zugehörige Zwecke notwendig oder gesetzlich vorgeschrieben ist. Beispielsweise bewahrt Marsh Medical Consulting bestimmte Transaktionsdaten und Mitteilungen möglicherweise auf, bis die Frist für die Geltendmachung von Ansprüchen aus diesen Transaktionen abgelaufen ist, oder um die rechtlichen oder behördlichen Anforderungen in Bezug auf die Aufbewahrung dieser Daten einzuhalten. Wenn personenbezogene Daten nicht mehr benötigt werden, werden sie von Marsh Medical Consulting unumkehrbar anonymisiert (wobei Marsh Medical Consulting die anonymisierten Daten dann weiter aufbewahren und verwenden darf) oder auf sichere Weise gelöscht oder vernichtet.

Grenzüberschreitende Übermittlung personenbezogener Daten

Marsh Medical Consulting übermittelt personenbezogene Daten an oder gestattet den Zugriff auf personenbezogene Daten aus Ländern außerhalb des Europäischen Wirtschaftsraums (EWR). Die Datenschutzgesetze dieser Länder bieten nicht immer das gleiche Schutzniveau für personenbezogene Daten wie die Länder des EWR. In jedem Fall wird Marsh Medical Consulting personenbezogene Daten gemäß der Beschreibung in dieser Datenschutzerklärung schützen.

Bestimmte Länder außerhalb des EWR bieten laut der Angemessenheitsentscheidung der Europäischen Kommission einen im Wesentlichen gleichwertigen Schutz wie die Datenschutzgesetze des EWR. Gemäß den EU-Datenschutzgesetzen darf Marsh Medical Consulting personenbezogene Daten an diese Länder frei übermitteln.

Wenn Marsh Medical Consulting personenbezogene Daten an andere Länder außerhalb des EWR übermittelt, beruft Marsh Medical Consulting sich auf eine entsprechende Rechtsgrundlage für diese Übermittlung, wie Marsh McLennan Binding Corporate Rules, EU-Standardvertragsklauseln, Einwilligung von Personen oder sonstige Rechtsgrundlagen, die nach den geltenden gesetzlichen Vorgaben zulässig sind.

Personen können um weitere Auskünfte über die speziellen Sicherheitsmaßnahmen für die Übermittlung ihrer personenbezogenen Daten durch Kontaktaufnahme mit dem Datenschutzbeauftragten unter der unten angegebenen Adresse bitten.

Richtigkeit, Rechenschaftspflicht und Ichre Rechte

Es ist wichtig, dass die bei uns gespeicherten personenbezogenen Daten richtig, vollständig und aktuell sind. Personen sollten sich per E-Mail an datenschutz@marsh.com mit Marsh Medical Consulting in Verbindung setzen, um ihre Daten zu aktualisieren.

Fragen zu den Datenschutzpraktiken von Marsh Medical Consulting sollten zuerst an den Datenschutzbeauftragten von Marsh Medical Consulting gerichtet werden.

Unter bestimmten Bedingungen haben Personen das Recht, Marsh Medical Consulting zu Folgendem aufzufordern:

• Angabe weiterer Informationen, wie ihre personenbezogenen Daten von Marsh Medical Consulting verwendet und verarbeitet werden
• Übermittlung einer Kopie der von Marsh Medical Consulting gespeicherten personenbezogenen Daten
• Korrektur von Fehlern in den von Marsh Medical Consulting gespeicherten personenbezogenen Daten
• Löschung personenbezogener Daten, die keine Rechtsgrundlage mehr für die Verarbeitung haben
• Widerruf der Einwilligung, sofern die Datenverarbeitung auf der Einwilligung beruht
• Widerspruch gegen die Verarbeitung personenbezogener Daten, die Marsh Medical Consulting mit „berechtigten Interessen“ begründet, es sei denn, dass Marsh Medical Consultings Rechte für diese Verarbeitung schwerer wiegen als die Beeinträchtigung der Datenschutzrechte der betreffenden Person
• Beschränkung der Art der Verarbeitung der personenbezogenen Daten, während Marsh Medical Consulting eine Anfrage prüft

Diese Rechte unterliegen bestimmten Ausnahmen zum Schutz des öffentlichen Interesses (z. B. Prävention oder Erkennung von Straftaten) und der Interessen von Marsh Medical Consulting (z. B. Wahrung von gesetzlich verankerten Rechten). Marsh Medical Consulting wird die meisten Anfragen innerhalb von 30 Tagen beantworten.

Wenn Marsh Medical Consulting eine Anfrage oder eine Beschwerde nicht lösen kann, kann die betroffene Person sich auch an die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen wenden.

Fragen, Anfragen oder Beschwerden

Bei Fragen zu dieser Datenschutzerklärung oder den Datenschutzpraktiken von Marsh Medical Consulting wenden Sie sich bitte schriftlich an den Datenschutzbeauftragten unter der folgenden Anschrift:

Datenschutzbeauftragter
Marsh Medical Consulting GmbH
Bismarckstraße 2
32756 Detmold
(0 52 31) 308 19 0
datenschutz@marsh.com

Änderungen dieser Datenschutzerklärung

Änderungen dieser Datenschutzerklärung sind jederzeit vorbehalten. Zuletzt wurde sie am 17.11.2021 geändert. Bei Änderungen dieser Datenschutzerklärung werden wir das letzte Änderungsdatum aktualisieren. Sämtliche Änderungen dieser Datenschutzerklärung treten mit sofortiger Wirkung in Kraft.

Datenschutzerklärung