Datenschutzhinweise
für die GDV IT-Erhebung
(„IT-Benchmark-Portal“)
Die
nachfolgenden Datenschutzhinweise geben einen Überblick über die
Erhebung und Verarbeitung personenbezogener Daten in
IT-Benchmark-Portal. Die allgemeinen Hinweise zum Datenschutz im
GDV e. V. finden Sie hier.
1.
Verantwortliche
Stelle
Verantwortliche
Stelle für die Datenverarbeitung im Portal ist der GDV
e. V. („Verband“), Wilhelmstraße 43 / 43G, 10117 Berlin,
E-Mail: it-erhebung@gdv.de.
Sie erreichen die Datenschutzbeauftragten des GDV e. V. unter datenschutz@gdv.de.
2.
Welche
Daten werden verarbeitet?
Im
Zusammenhang mit der Nutzung des IT-Benchmark-Portals werden die
folgenden personenbezogenen Daten verarbeitet:
a.
Aufrufen
der Website
Beim
Aufrufen unserer Website werden durch den auf Ihrem Endgerät zum
Einsatz kommenden Browser automatisch Informationen an den
Server unserer Website/Applikation gesendet und temporär in
einem sogenannten Log-File gespeichert. Hierauf haben wir keinen
Einfluss. Folgende Informationen werden dabei auch ohne Ihr
Zutun erfasst und bis zur automatisierten Löschung gespeichert:
·
die
IP-Adresse des anfragenden internetfähigen Gerätes,
·
das
Datum und die Uhrzeit des Zugriffs,
·
der
Name und die URL der abgerufenen Datei,
·
eine individuelle Prozess-ID, Statuscode (Information zur Ablauf des Datenabrufs, z. B. ob dieser
erfolgreich war) sowie die Antwortzeit des Servers (Response
Time) und die Menge der übertragenen Daten in Bytes.
Die
Rechtsgrundlage für die Verarbeitung dieser Daten ist Artikel 6
Abs. 1 f) DSGVO. Unser berechtigtes Interesse folgt aus den
nachfolgend aufgelisteten Zwecken der Datenerhebung. Aus den
erhobenen Daten ist uns kein unmittelbarer Rückschluss auf Ihre
Identität möglich.
Die
IP-Adresse Ihres Endgerätes sowie die weiteren oben
aufgelisteten Daten werden durch uns für folgende Zwecke
genutzt:
·
Gewährleistung
eines reibungslosen Verbindungsaufbaus,
·
Gewährleistung
einer komfortablen Nutzung unserer Website,
·
Auswertung
der Systemsicherheit und -stabilität.
Die
Server-Logfiles können auch nachträglich überprüft werden, wenn
konkrete Anhaltspunkte auf eine rechtswidrige Nutzung unserer
Website hinweisen sollten. Die Daten werden für einen Zeitraum
von 6 Monaten gespeichert und danach automatisch gelöscht.
b. Nutzerdaten für die
TGIC-Accounts
Die
Registrierung und Anlage eines personalisierten TGIC-Accounts ist zur Nutzung des IT-Benchmark-Portals
erforderlich (s. u., Ziff. 3). Der TGIC-Account wird nur
zur Authentifizierung und Ermittlung der individuellen Rechte
genutzt. Es werden keine Nutzeraktivitäten aufgezeichnet.
c. Kontaktdaten des Ausfüllers
Innerhalb
der Anwendung ist es bei der Anlage eines Fragebogens
erforderlich, dass der Ausfüller seine Kontaktdaten hinterlegt.
Diese Daten werden zusammen mit dem Fragebogen gespeichert und
an den GDV übermittelt. Mit den Kontaktdaten wird
sichergestellt, dass der GDV einen Ansprechpartner bei
Rückfragen zum übermittelten Fragebogen hat. Die Kontaktdaten
werden bedarfsweise zum Versand der Ergebnisdokumente oder bei
administrativen Angelegenheiten zum Web-Tool genutzt. Im
Einzelnen werden erfasst:
·
Name,
Telefonnummer Festnetz, E-Mail-Adresse
·
Optional: Name des verantwortlichen IT-Vorstands
·
Optional: Name (Vertreter), Telefonnummer (Vertreter), E-Mail-Adresse (Vertreter)
Diese
Daten werden nach Ablauf von drei Jahren automatisiert gelöscht.
Zu
den Fragebögen wird gespeichert, von welchem Unternehmen (TGIC-Org-ID) der jeweilige Bogen angelegt wurde.
Über die Angabe der Kontaktdaten direkt im Fragebogen kann
außerdem zugeordnet werden, durch welchen Nutzer der Fragebogen
erstellt wurde.
d.
Cookies
Das
Portal verwendet Cookies. Cookies sind kleine
Textdateien, die durch Ihren Browser auf Ihrem Computer oder
mobilen Endgerät abgelegt werden, und die eine Wiederkennung
Ihres Computers oder Endgerätes ggf. auch über verschiedene
Webseiten hinweg ermöglichen. Die Cookies enthalten keine
persönlichen Daten. Cookies werden im Portal IT-Erhebung nur zur
Bereitstellung der Funktionen des Portals IT-Erhebung verwendet
(Anmeldung und Verwaltung von Nutzer-Sessions). Die zur Nutzung
des Portals erforderlichen Cookies sind Session-Cookies, die
nach Schließen des Browsers automatisch gelöscht werden. Sie
können die Verwendung von Cookies durch eine entsprechende
Einstellung Ihrer Browser-Software verhindern. Allerdings ist
die Nutzung des Portals IT-Erhebung dann nicht möglich.
e.
Autorisierung
im Portal
Zur
Verwaltung der Zugangsberechtigungen kommt eine
Autorisierungsliste (Excel-Dokument) zum Einsatz. Diese enthält
eine Aufstellung aller für die Anwendung berechtigten Personen.
Die Datenerhebung erfolgt durch eine Abfrage an die VU zur
Benennung der berechtigten Personen. Die Autorisierungsliste
wird stets auf aktuellem Stand gehalten und mindestens einmal im
Jahr per Unternehmensabfrage auf Richtigkeit der Daten
überprüft. Daten, die nicht (mehr) benötigt werden, werden durch
Einspielen einer aktualisierten Fassung der Liste überschrieben.
In der Liste werden die folgenden Daten erfasst: TGIC-Nummer,
Name, Vorname, Berechtigung, Organisation, E-Mail-Adresse. Der
TGIC-Support der GDV DL hat lesenden Zugriff auf die Liste. So
soll dem Nutzer bei Fragen zu seiner Autorisierung schnell
geantwortet werden können. Der Support wird nur Auskünfte zum
Konto / Berechtigung des anfragenden Nutzers erteilen.
Weitergehende Auskünfte, auch zu Nutzern der gleichen
Organisation, werden durch den Support nicht erteilt.
Die
Datenverarbeitungen nach Buchstaben b) bis e) erfolgen gemäß
Art. 6 Abs. 1f DSGVO zur Wahrung berechtigter Interessen des
Verbandes an der Bereitstellung
des IT-Benchmark-Portals und zur Wahrung des berechtigten
Interesses Ihres Arbeitgebers an der Nutzung des Portals.
Weitere
berechtigte Interessen ergeben sich aus den folgenden
Verarbeitungszwecken:
·
um das Portal zu betreiben und die jeweiligen Inhalte, Services und Funktionen zur Verfügung zu stellen.
· um das IT-Benchmark-Portal technisch und funktional zu verbessern und anzupassen,
· um interne Qualitätskontrollen durchzuführen,
· um Fehler, Störungen und möglichen Missbrauch zu erkennen, abzustellen und zu verhindern,
· um aggregierte, anonymisierte oder pseudonymisierte Statistiken über die Nutzung des Portals IT-Erhebung zu erstellen.
3.
Datenübermittlung
3.1.
TGIC
Das
Portal IT-Erhebung nutzt die Trusted
German Insurance Cloud („TGIC“) zur Authentifizierung und
Anmeldung von Nutzern. Die Nutzung des Portals IT-Erhebung setzt
ein persönliches Nutzerkonto in der TGIC voraus.
In
diesem Zusammenhang finden folgende Datenübermittlungen statt:
Zur
Durchführung des Logins wird Ihre TGIC-Kennung an die TGIC
übermittelt.
Die
Datenverarbeitung durch die TGIC erfolgt durch die GDV
Dienstleistungs-GmbH, Glockengießerwall 1, 20095 Hamburg
(„GDV-DL“) als Verantwortlichen im Sinne der DSGVO und nach
Maßgabe der für die TGIC geltenden Datenschutzbestimmungen.
Die
Datenschutzhinweise zur TGIC finden Sie hier.
Sie
und Ihr Arbeitgeber können Ihren TGIC-Account jederzeit
löschen. Wenden Sie sich dazu an
tgic-support@gdv-dl.de.
3.2.
Zugriffsrechte
innerhalb des Portals
Für
Nutzer von Versicherungsunternehmen gibt es eine bearbeitende
und lesende Rolle. Diese unterscheiden sich wie folgt:
|
|
Bearbeiter |
Leser |
|
An
wen richtet sich diese Rolle? |
Diese
Rolle ist für alle Ausfüller bzw. IT-Controller geeignet. In
der Rolle Bearbeiter können Fragebögen für das
Versicherungsunternehmen angelegt und an den GDV übermittelt
werden. |
Diese
Rolle ist für alle Nutzer geeignet, die nur das
Gesamtergebnis der Erhebung sehen sollen oder das
Benchmarking einsetzen. |
|
Was
kann diese Rolle? |
ü
Neuen
Fragebogen erstellen
ü
Alle
bestehenden Fragebögen des VU einsehen
ü
Fragebogen
an GDV senden
ü
Final
an GDV gesendete Fragebögen des VU ansehen
ü
Gesamtergebnisse
ansehen
ü
Benchmarking
durchführen |
û
Neuen
Fragebogen erstellen
û
Alle
bestehenden Fragebögen des VU einsehen
û
Fragebogen
an GDV senden
ü
Final
an GDV gesendete Fragebögen des VU ansehen
ü
Gesamtergebnisse
ansehen
ü
Benchmarking
durchführen |
|
Was
ist zu beachten? |
§
Ein
jeder Bearbeiter kann alle von diesem Unternehmen
eingegebenen Daten sehen und auch bearbeiten.
§
Es
können mehrere Bearbeiter pro VU benannt werden.
§
Aber:
Das Portal bietet keine explizite Unterstützung für
gleichzeitiges Bearbeiten eines Fragebogens durch mehrere
Bearbeiter (kein Collaboration-Tool).
Es gibt keinen Schutz davor, dass Bearbeiter A die Änderungen
von Bearbeiter B überschreibt, sofern beide zeitgleich am
gleichen Fragebogen arbeiten. |
§
Lesende
Nutzer können für ihr Versicherungsunternehmen nur die final
an den GDV versandten Fragebögen einsehen.
§
Lesende
Nutzer sollten mit ihrem TGIC-Benutzerkonto der gleichen
Organisation (TGIC-Org-ID)
angehören, wie die bearbeitenden Nutzer. |
Nutzer
in der Rolle „Bearbeiter“, die dem gleichen Unternehmen
angehören (gleiche TGIC Org-ID),
können demnach untereinander alle eingegebenen Fragebögen dieses
Unternehmens sowie die Gesamtergebnisse sehen.
Nutzer
in der Rolle „Leser“, die dem gleichen Unternehmen angehören
(gleiche TGIC Org-ID), können alle
final an den GDV übersandten Fragebögen dieses Unternehmens
sowie die Gesamtergebnisse sehen.
Fragebögen
bzw. Daten von anderen Versicherungsunternehmen bzw.
Versicherungskonzernen sind nicht sichtbar, außer für
Mitarbeiter des Verbandes. Nutzer-Account-Daten in der TGIC sind
für den TGIC-Organisationsverwalter Ihres Unternehmens und
Mitarbeiter der GDV DL einsehbar und änderbar.
3.3.
Sonstige
Datenübermittlungen
Zudem
bedient sich der Verband zum Betrieb des IT-Benchmark-Portals
ggf. externer technischer und kaufmännischer Dienstleister und
wird diesen zur Erfüllung ihrer Tätigkeiten, falls erforderlich,
auch personenbezogene Daten zugänglich machen. Die Dienstleister
dürfen die personenbezogenen Daten ausschließlich im Auftrag des
Verbandes und nicht zu eigenen Zwecken verarbeiten. Insbesondere
setzt der Verband die GDV DL als technischen Dienstleister
für das Hosting und den technischen Betrieb sowie für die
Weiterentwicklung und Wartung des IT-Benchmark-Portals ein.
Darüber
hinaus geben wir Ihre personenbezogenen Daten nicht weiter,
soweit nicht ausnahmsweise eine Behörde die Daten verlangen darf
z. B. zur Strafverfolgung oder zur Gefahrenabwehr.
Eine
Datenübermittlung in Drittländer oder an internationale
Organisationen erfolgt nicht.
4.
Speicherfristen
Bei
Löschung Ihres TGIC-Accounts werden Ihre Accountdaten in der
TGIC gelöscht. Die von Ihnen eingegebenen Daten sowie Ihre
Kontaktdaten in der Anwendung werden jedoch nicht gelöscht. Sie
bleiben als Bearbeiterdaten (Name,
Unternehmen, E-Mail-Adresse) zunächst den von Ihnen
übermittelten oder bearbeiteten Vorgängen zugeordnet, um die
IT-Erhebungen des Verbandes nachvollziehbar zu dokumentieren.
Am
Ende des dritten Jahres nach Eingabe der Meldung für die
IT-Erhebung werden Ihre Bearbeiterdaten
dann auch in den von Ihnen übermittelten oder bearbeiteten
Vorgängen gelöscht.
In
der Autorisierungsliste werden Ihre Daten im Zuge der
Aktualisierungsabfrage entfernt oder indem Sie eine Anfrage per
E-Mail an it-erhebung@gdv.de
schicken.
Ihre
Anfragen beim TGIC-Support werden nach 6 Monaten gelöscht.
5.
Betroffenenrechte
und Beschwerderecht
Sie
haben das Recht, aus Gründen, die sich aus Ihrer besonderen
Situation ergeben, jederzeit gegen die Verarbeitung Ihrer
personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1f
DSGVO erfolgt, Widerspruch einzulegen (Art. 21 Abs. 1 DSGVO).
Sie
können jederzeit Auskunft über die von
Ihnen bei uns gespeicherten Daten verlangen. Wenden Sie sich
bitte hierfür an den Beauftragten für Datenschutz im GDV, per
E-Mail (datenschutz@gdv.de)
oder per Post an die oben zum Verantwortlichen angegebenen
Kontaktdaten.
Darüber
hinaus können Sie unter bestimmten Voraussetzungen die
Berichtigung oder die Löschung Ihrer Daten verlangen. Sobald Sie
einen Löschungsanspruch geltend machen oder wenn die Daten zur
Erfüllung des mit der Speicherung verfolgten Zwecks nicht mehr
erforderlich sind oder wenn ihre Speicherung aus sonstigen
gesetzlichen Gründen unzulässig ist, werden wir die von Ihnen
gespeicherten personenbezogenen Daten löschen. Ihnen kann
weiterhin ein Recht auf Einschränkung der Verarbeitung Ihrer
Daten sowie ein Recht auf Herausgabe der von Ihnen
bereitgestellten Daten in einem strukturierten, gängigen und
maschinenlesbaren Format zustehen. Sie haben die Möglichkeit,
sich mit einer Beschwerde an den zuvor genannten
Datenschutzbeauftragten
oder an die für uns zuständige
Datenschutzaufsichtsbehörde zu wenden. Diese ist die
Berliner
Beauftragte für Datenschutz und Informationsfreiheit,
Friedrichstr. 219, 10969 Berlin.