Datenschutzerklärung

2. Anlaufstellen für Datenschutzbelange

3. Begrifflichkeiten

Zum besseren Verständnis möchten wir zunächst die wichtigsten Begrifflichkeiten klären, welche in der vorliegenden Datenschutzerklärung verwendet werden. Wir halten uns diesbezüglich an die Begriffsdefinitionen aus dem schweizerischen Datenschutzgesetz.

• Personendaten: alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen;
• betroffene Personen: natürliche Personen, über die Daten bearbeitet werden;
• besonders schützenswerte Personendaten:
  (1) Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
  (2) Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
  (3) genetische Daten,
  (4) biometrische Daten, die eine natürliche Person eindeutig identifizieren,
  (5) Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen und
  (6) Daten über Massnahmen der sozialen Hilfe;
• Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten;
• Profiling: jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
• Verantwortlicher: private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet;
• Auftragsbearbeiter: private Person oder Bundesorgan, die oder das im Auftrag des Verantwortlichen Personendaten bearbeitet.

4. Rechtsgrundlagen

Die vorliegende Datenschutzerklärung entspricht den Anforderungen des Schweizer Bundesgesetzes über den Datenschutz («DSG»), der zugehörigen Verordnung («DSV») sowie der Datenschutz-Grundverordnung der Europäischen Union («DSGVO»). Art und Umfang der anwendbaren Gesetzgebung hängt vom jeweiligen Einzelfall ab. Ausländisches Datenschutzrecht kommt nur zur Anwendung soweit dies das anwendbare Recht zwingend vorsieht und nur für die davon betroffenen Datenbearbeitungsprozesse sowie Personen.

Wir halten uns bei der Bearbeitung von Personendaten an die jeweils anwendbaren Datenschutzbestimmungen.

Die Bearbeitung von Personendaten darf die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. Aus diesem Grund hat eine solche Datenbearbeitung den Bearbeitungsgrundsätzen des Datenschutzrechts zu genügen und/oder muss durch einen Rechtfertigungsgrund legitimiert sein. Wir sind insbesondere dann zur Bearbeitung von Personendaten legitimiert, wenn die Bearbeitung:

• auf einer gesetzlichen Grundlage beruht.
  Die Bearbeitung von Personendaten kann gesetzlich verlangt oder legitimiert sein. Dies gilt insbesondere im Bereich der Durchführung der sozialen Krankenversicherung (Art. 84 KVG) und der obligatorischen Unfallversicherung (Art. 96 UVG). In diesem Bereich agieren wir als Bundesorgan, womit unser Handeln grundsätzlich gestützt auf eine gesetzliche Grundlage zu erfolgen hat.
• für die Erfüllung eines Vertrags mit der betroffenen Person oder für vorvertragliche Massnahmen erforderlich ist.
  Der wesentliche Teil der Bearbeitung von Personendaten erfolgt im Rahmen der Erfüllung von vertraglichen Verpflichtungen (z.B. Durchführung der obligatorischen Krankenversicherung oder der Zusatzversicherung, Erbringung von Versicherungsberatungsdienstleistungen)
• für die Wahrnehmung berechtigter Interessen unsererseits oder seitens Dritter erforderlich ist.
  Ein berechtigtes Interesse unsererseits liegt insbesondere dann vor, wenn die Bearbeitung von Personendaten im Rahmen der genannten Zwecke als auch der Bekanntgabe von Daten und den damit verbundenen Zielen erfolgt.
• auf einer Einwilligung beruht.
  Soweit eine Bearbeitung von Personendaten auf Ihrer Einwilligung beruht, informieren wir Sie darüber gesondert und transparent. Einwilligungen können Sie mit Wirkung für die Zukunft jederzeit durch schriftliche Mitteilung an uns widerrufen (vgl. Anlaufstellen). Nach Erhalt Ihres Widerrufs werden wir die davon betroffene Datenbearbeitung einstellen, es sei denn, wir können die Bearbeitung auf einen anderweitigen Rechtfertigungsgrund stützen.
• zur Einhaltung von in- und ausländischen Rechtsvorschriften notwendig ist.

5. Kategorien von Personendaten

Abhängig von den von Ihnen genutzten Produkten und Dienstleistungen sowie der jeweiligen Beziehung zwischen Ihnen und uns bearbeiten wir insbesondere die nachfolgenden Kategorien von Personendaten:

• Stammdaten: z.B. Anrede, Name, Vorname, Geschlecht, Geburtsdatum, Alter, Adress- und Kontaktdaten wie Anschrift, Telefonnummern, E-Mail-Adressen, Sprache, Nationalität, Beruf, Kundennummern, Benutzernamen, Finanzinformationen, Familienmitglieder, Kontaktpersonen
• Vertragsdaten: z.B. Informationen aus dem Antragsprozess, Informationen im Zusammenhang mit Bewerbungen, Abschluss und Beendigung von Verträgen, Vertragsanpassungen, aktive/inaktive Versicherungsprodukte, Leistungsumfang, Risikobeurteilungen, Informationen zu früheren Versicherungen, eingetreten Versicherungsfälle, Gesundheitsdeklarationen, Bonität, Zahlungsinformationen, Bankverbindungen, Prämienzahlungen, Prämienverbilligungen, Ausstände, Mahnungen, In-/Exkasso, gewählte Franchisen, Arbeitgeberinformationen
• Kommunikationsdaten: z.B. Namen, Kontaktangaben, Kommunikationsinhalt aus schriftlicher, elektronischer und mündlicher Korrespondenz (inkl. Chatnachrichten, Social-Media-Posts und Nachrichten, Kommentare auf Webseiten etc.), Angaben aus Umfragen, Informationen zu Zeit, Ort, Art etc. der Kommunikation, Identitätsnachweise, Randdaten
• Leistungsabwicklungsdaten: z.B. Informationen zu Rückerstattungsanträgen, Gesundheitsdaten, Informationen zu versicherten Gegenständen oder Tätigkeiten, Informationen zur Schadenabwicklung, Angaben zu beteiligten Dritten, Zahlungsdaten
• Verhaltensdaten: z.B. Informationen zum Besuch von Veranstaltungen und zur Teilnahme an Wettbewerben, Informationen zur Nutzung von und zum Verhalten auf unseren Webseiten und Applikationen (vgl. dazu auch unsere Cookie Policy), Informationen zur Verwendung unserer Infrastruktur (Wifi, elektronische Kommunikationswege etc.)
• Technische Daten: z.B. IP-Adressen, allgemeine Informationen zum Betriebssystem und Browser, Informationen zum Besuch auf unseren Webseiten und Applikationen (Datum, Uhrzeit, Aufenthaltsdauer, Anzahl Aufrufe, aufgerufene Inhalte), Besucherquelle (verweisende Webseite), Geräte-Identifikatoren, Zugangsdaten, Cookies (vgl. dazu auch unsere Cookie Policy)
• Marketingdaten: z.B. Informationen zu persönlichen Präferenzen und Interessen, An- und Abmeldungen bei Newslettern, Inhalt von Marketingkorrespondenz, Profiling
• Bild- und Tonaufnahmen: z.B. Aufzeichnungen von Telefon- und Videokonferenzgesprächen (erfolgt nur nach vorgängiger Ankündigung und soweit notwendig mit Ihrem Einverständnis), Aufzeichnungen von Videoüberwachungssystemen, Aufzeichnungen im Zusammenhang mit Kunden- und Personalanlässen.
• Compliance-Daten: z.B. Daten im Zusammenhang mit Abklärungen, Beurteilungen und Massnahmen im Bereich der Compliance (inkl. Compliance-Vorfällen)

6. Herkunft der Daten

Wir erheben Personendaten zu einem grossen Teil direkt bei Ihnen als betroffene Person. Dazu zählen insbesondere Stamm-, Vertrags-, Kommunikations-, Leistungsabwicklungs- und Präferenzdaten. Die Erhebung solcher Personendaten erfolgt im Rahmen der Anbahnung und Abwicklung von Geschäftsbeziehungen sowie der Nutzung unserer Produkte und Dienstleistungen. Wenn Sie uns Daten zu anderen Personen (z.B. Familienmitgliedern) mitteilen, müssen Sie sicherstellen, dass Sie dazu befugt und dass die Daten korrekt sind. Zudem ist den davon betroffenen Personen die vorliegende Datenschutzerklärung vorab zur Kenntnis zu bringen.

Weiter können wir Personendaten über Sie auch selbst oder automatisiert erheben oder von bereits vorhandenen Daten ableiten. Dazu zählen insbesondere Verhaltens-, Präferenz- und technische Daten.

Schliesslich erhalten wir Personendaten auch von Unternehmen der Sympany Gruppe und von weiteren Dritten, soweit dies gesetzlich zulässig ist. Zu solchen Dritten zählen insbesondere Personen aus Ihrem Umfeld, Leistungserbringer, Geschäftspartner, andere Versicherungen, Banken, Vertriebspartner, Vermittler, Anbieter von Online-Diensten (z.B. Vergleichsportale), Behörden, Amtsstellen, Gerichte, Arbeitgeber, Parteien und deren Rechtsvertretung im Rahmen von rechtlichen Auseinandersetzungen etc. Zudem können wir auch Personendaten aus öffentlichen Quellen (z.B. Auskunfteien) erheben.

7. Zwecke der Datenbearbeitung

Wir bearbeiten die erhobenen Daten, um unseren gesetzlichen und vertraglichen Verpflichtungen gegenüber unseren Versicherten, Interessenten, Antragstellenden, Bewerbenden, Geschäftspartnern, Mitarbeitenden, Behörden sowie weiteren beteiligten Personen (z.B. Prämienzahler, Korrespondenzempfänger, Familienangehörige, Geschädigte, Begünstigte, Kontaktpersonen und Vertreter) nachzukommen. Zu diesen Zwecken zählen insbesondere:

• die Durchführung der sozialen Krankenversicherung insb. im Rahmen von Art. 84 KVG (z.B. um für die Einhaltung der Versicherungspflicht zu sorgen, die Prämien zu berechnen und zu erheben, Leistungsansprüche zu beurteilen sowie Leistungen zu berechnen, zu gewähren und mit Leistungen anderer Sozialversicherungen zu koordinieren, Ansprüche auf Prämienverbilligungen zu beurteilen sowie die Verbilligungen zu berechnen und zu gewähren, ein Rückgriffsrecht gegenüber einem haftpflichtigen Dritten geltend zu machen, die Aufsicht über die Durchführung der anwendbaren Gesetze auszuüben, Statistiken zu führen, die AHV-Nummer zuzuweisen oder zu verifizieren, den Risikoausgleich zu berechnen, Auskünfte bei Dritten einzuholen, Daten an Dritte gemäss Art. 84a KVG bekanntzugeben);
• die Durchführung der obligatorischen und freiwilligen Unfallversicherung (z.B. um die Prämien zu berechnen und zu erheben, Leistungsansprüche zu beurteilen sowie Leistungen zu berechnen, zu gewähren und mit Leistungen anderer Sozialversicherungen zu koordinieren, die Anwendung der Vorschriften über die Verhütung von Unfällen und Berufskrankheiten zu beaufsichtigen, ein Rückgriffsrecht gegenüber einem haftpflichtigen Dritten geltend zu machen, die Aufsicht über die Durchführung der anwendbaren Gesetze auszuüben, Statistiken zu führen, die AHV-Nummer zuzuweisen oder zu verifizieren,  Angebote zu erstellen, Auskünfte bei Dritten einzuholen, Daten an Dritte gemäss Art. 97 f. UVG bekannt zu geben);
• die Durchführung der Zusatzversicherungen im Heilungskosten- und im Unfallversicherungsbereich (z.B. um die Prämien zu berechnen und zu erheben, Leistungsansprüche zu beurteilen und sowie Leistungen zu berechnen und mit anderen Sozialversicherungen zu koordinieren, Rückgriffsrechte gegenüber Dritten auszuüben, Statistiken und Angebote zu erstellen, Risikoabklärungen durchzuführen und Auskünfte bei Dritten einzuholen);
• die Durchführung von Taggeldversicherungen nach Art. 67 KVG sowie nach VVG (z.B. um Leistungsansprüche zu beurteilen und zu berechnen, Auskünfte bei Dritten einzuholen);
• die Eignung von Bewerbenden auf offene Stellen zu prüfen und die damit verbundenen Arbeitsverträge abzuschliessen und durchzuführen;
• die Aufnahme, Verwaltung und Abwicklung weiterer Vertragsbeziehungen;
• die Sicherstellung der Kontakt- und Kundenpflege (auch ausserhalb einer Vertragsbeziehung);
• die Einhaltung von Gesetzen und Empfehlungen in- und ausländischer Behörden und gruppeninterner Regulatorien («Compliance») sowie die Sicherstellung des Risikomanagements;
• die Entwicklung, Bereitstellung und Verbesserung der von Ihnen gewünschten Produkte, Dienstleistungen, Services und Informationen sowie die Verwaltung des Zugangs dazu;
• der Nachvollzug des Verhaltens, der Aktivitäten, Präferenzen und Bedürfnissen (inkl. Analyse- und Auswertung der Nutzung unserer Webseiten);
• die Durchführung von Schulungen und Ausbildungen;
• die Durchführung von Werbe- und Marketingmassnahmen, soweit wir dazu ermächtigt sind, bspw. durch Vorliegen Ihrer Einwilligung;
• die Überwachung und Verbesserung der Leistungsfähigkeit unserer Dienstleistungen;
• die Durchsetzung unserer rechtlichen Ansprüche sowie das Zur-Wehr-Setzen gegen unberechtigte Ansprüche im In- und Ausland;
• die Erkennung, Unterbindung und Aufklärung illegaler Aktivitäten (inkl. Versicherungsmissbrauch);
• der Informationsaustausch zwischen Gruppengesellschaften, soweit ein solcher notwendig und rechtlich zulässig ist;
• die allgemeine Gewährleistung unseres Geschäftsbetriebs und der dafür notwendigen Infrastruktur (insb. IT-Infrastruktur, Webseiten etc.);
• die Sicherstellung von administrativen Abläufen (z.B. Datenarchivierung, Buchhaltung, Stammdatenpflege, Qualitätssicherung).

8. Profiling

Soweit rechtlich zulässig, können wir mittels Profiling (s. Definition) insbesondere Verhaltens-, Stamm- und Vertragsdaten sowie technische Daten zu Ihrer Person miteinander kombinieren und analysieren, um Sie mit Ihren verschiedenen Interessen, Eigenschaften und persönlichen Bedürfnissen besser zu verstehen. Basierend auf diesen Erkenntnissen können wir Ihnen individualisierte Produktempfehlungen oder Angebote unterbreiten, das Kundenerlebnis steigern und statistische Auswertungen vornehmen. Schliesslich können wir mittels solcher Verfahren auch Missbrauchs- und Sicherheitsrisiken identifizieren.

9. Automatisierte Einzelentscheidungen

Soweit wir Entscheidungen treffen, welche ausschliesslich auf einer automatisierten Bearbeitung beruhen und die für Sie mit einer Rechtsfolge verbunden sind oder Sie erheblich beeinträchtigen (automatisierte Einzelentscheidung), informieren wir Sie darüber gesondert. In diesen Fällen haben Sie das Recht, die Entscheidung durch einen Menschen überprüfen zu lassen.

10. Bearbeitungsdauer von Personendaten

Wir bearbeiten Ihre Personendaten so lange, als wir dazu gesetzlich verpflichtet sind (z.B. Aufbewahrungs- und Archivierungspflichten) oder unsere berechtigten Geschäftsinteressen dies erfordern (z.B. Durchsetzung oder Abwehr von Ansprüchen, Gewährleistung IT-Sicherheit) respektive als es der Zweck der Erfassung Ihrer Daten notwendig macht oder die Aufbewahrung technisch bedingt ist. Bei Verträgen erfolgt die Aufbewahrung in der Regel für die Dauer der Vertragsbeziehung sowie für die darüberhinausgehenden gesetzlichen Aufbewahrungsfristen.

In bestimmten Fällen bewahren wir Ihre Personendaten – basierend auf Ihrer Einwilligung – auch länger auf (z.B. Stellenbewerbungen, welche wir pendent halten).

Dies kann dazu führen, dass Ihre Personendaten respektive Auszüge davon noch mehrere Jahre nach Beendigung des Vertragsverhältnisses zwischen Ihnen und uns aufbewahrt werden müssen. Sind Ihre Personendaten für die oben genannten Zwecke nicht mehr erforderlich, werden sie grundsätzlich und soweit möglich gelöscht oder anonymisiert.

Wir haben die Aufbewahrungsdauer von Personendaten in internen Regulatorien verbindlich geregelt. Nachfolgend finden Sie eine allgemeine Übersicht zu den wichtigsten Aufbewahrungsfristen:

• Stamm- und Vertragsdaten: Solche Daten bewahren wir in der Regel zehn Jahre auf, beginnend mit dem Ablauf des Geschäftsjahres, in welchem der Vertrag beendet wurde. Diese Frist kann aber auch länger ausfallen, soweit eine darüber hinausgehende Aufbewahrung aus Beweisgründen, gesetzlichen oder vertraglichen Vorgaben oder technisch bedingt notwendig ist.
• Technische Daten: Log-Daten bewahren wir in der Regel für 18 Monate auf. Session-Cookies werden beim Verlassen unserer Webseiten oder beim Ablauf Ihrer Session gelöscht. Die Speicherdauer anderer Cookies (z.B. permanente Cookies) beträgt einige Tage bis zwei Jahre, sofern Sie diese nicht manuell löschen.
• Kommunikationsdaten: Personendaten, welche im Rahmen unserer Kommunikation anfallen (z.B. E-Mail, schriftliche Korrespondenz, Mitteilungen über Kontaktformulare etc.) werden normalerweise während 10 Jahren gespeichert.
• Daten von Bewerbenden: Bewerberdaten löschen wir innert sechs Monaten nach Abschluss des Bewerbungsprozesses, sofern es nicht zu einem Anstellungsverhältnis kommt. In diesem Falle werden Ihre Bewerberdaten in Ihr Personaldossier überführt. Mit Ihrer Einwilligung können wir Ihre Bewerberdaten auch länger aufbewahren.
• Bild- und Tonaufnahmen: Aufzeichnungen von Sicherheitskameras speichern wir während 3 Tagen und löschen diese im Anschluss, sofern wir sie nicht zur Verfolgung von Straftaten etc. darüber hinaus benötigen. Telefonaufzeichnungen speichern wir während 3 Monaten.
• Kundenportal mySympany: Personendaten werden während der Laufzeit des Accounts gespeichert. Wird die Löschung des Accounts beantragt, werden die Daten innert höchstens 20 Tagen gelöscht. Bei einer Deaktivierung des Accounts infolge Missbrauch werden die Daten sofort nach Kenntnisnahme gelöscht. Wird das Portal nicht genutzt, erfolgt keine Löschung der Daten. 
• Marketingdaten: Personendaten, welche wir im Zusammenhang mit unseren Marketingaktivitäten bearbeiten, löschen wir nach Widerruf Ihrer Einwilligung. Ausgenommen sind Fälle, in welchen wir uns auf einen anderweitigen Rechtfertigungsgrund der Datenbearbeitung stützen können.

11. Bekanntgabe von Personendaten an Dritte

Soweit wir dazu gesetzlich berechtigt oder verpflichtet sind, können wir Personendaten auch an Dritte weitergeben. Dazu zählen unter anderem die folgenden Kategorien von Empfängern:

• Gruppengesellschaften von Sympany
• Leistungserbringer und andere Versicherungen
• Geschäftskunden (z.B. Arbeitgeber im Rahmen der Durchführung der Krankentaggeld- und Unfallversicherung)
• externe Dienstleister (z.B. Banken, Vermögensverwalter, Berater, Rechtsanwälte, Gutachter, Inkassounternehmen, Auskunfteien, IT-Provider, telemedizinische Dienstleister, Logistikunternehmen)
• Geschäftspartner (z.B. Händler, Lieferanten, Subunternehmer)
• Vermittler
• In- und ausländische Behörden, Amtsstellen und Gerichte
• Anderen Parteien im Rahmen von Verwaltungs- und Gerichtsverfahren
• Beteiligte an gesellschaftsrechtlichen Transaktionen (z.B. Kauf, Verkauf oder Zusammenschlüsse von Gesellschaften, Geschäftsbereichen etc.)

Soweit diese Dritten für die jeweilige Datenbearbeitung nicht gemeinsam mit uns oder selbständig verantwortlich sind, agieren sie als unsere Auftragsbearbeiter. Wir haben mit unseren Auftragsbearbeitern entsprechende Auftragsbearbeitungsverträge abgeschlossen. Darin verpflichten sich diese zur Einhaltung der Datenschutz- und Datensicherheitsbestimmungen. Weiter dürfen sie Personendaten nur nach unseren Instruktionen bearbeiten. Auch räumen sie uns umfassende Prüfungs- und Kontrollrechte sowie Auskunfts-, Berichtigungs- und Löschrechte ein.

Je nach Art und Inhalt der Bekanntgabe von Personendaten an Dritte stellen wir durch das Ergreifen entsprechender Massnahmen die Einhaltung anwendbarer Berufs- und Amtsgeheimnisse sowie gesetzlicher Schweigepflichten sicher.

Zum Betreiben des Karriereportals nutzt Sympany den Dienst von jacando AG, Münchensteinerstrasse 41, 4052 Basel sowie Prospective Media Services PMS AG, Seestrasse 513, 8038 Zürich. Zum Abschluss einer Sachversicherung zieht Sympany Simpego Versicherungen AG, Hohlstrasse 556, 8048 Zürich bei. Für die Befragung von Besucherinnen und Besuchern auf der Website arbeitet Sympany mit AmPuls Market Research AG, Hirschengraben 49, 6003 Luzern zusammen. Die Dienstleister sind vertraglich verpflichtet, die Daten nicht zu eigenen Zwecken zu nutzen und sich an die aktuell geltende Datenschutzgesetzgebung, an Sicherheitsstandards und an Weisungen von Sympany zu halten.

12. Bekanntgabe von Personendaten ins Ausland

Wir bearbeiten und speichern Personendaten im Regelfall in der Schweiz und im Europäischen Wirtschaftsraum (EWR). In bestimmten Fällen können wir Personendaten aber auch Dienstleistern und Empfängern bekanntgeben, welche sich ausserhalb dieses Gebiets befinden oder Personendaten ausserhalb dieses Gebiets bearbeiten, grundsätzlich in jedem Land der Welt. Sie müssen insbesondere mit einer Bekanntgabe von Personendaten in alle Länder rechnen, in denen sich die von uns beigezogenen Dienstleister und deren Subunternehmer befinden (insb. USA).

Durch das Ergreifen geeigneter Massnahmen stellen wir dabei die Wahrung der gesetzlichen Vorgaben sicher. Sofern kein Angemessenheitsbeschluss der zuständigen Behörde vorliegt, erfolgt die Übermittlung der Personendaten auf Grundlage geeigneter Garantien (insb. von der Europäischen Kommission und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten [EDÖB] genehmigte Standardvertragsklauseln) oder es bestehen Ausnahmeregelungen für bestimmte Situationen (Vertragsabwicklung, Rechtsdurchsetzung im Ausland etc.) oder wir holen Ihre ausdrückliche Einwilligung ein.

13. Datensicherheit

Wir unterhalten angemessene technische (z.B. Verschlüsselung, Pseudonymisierung, Protokollierung, Zugriffsbeschränkung, Datensicherung etc.) und organisatorische (z.B. Weisungen an unsere Mitarbeitenden, Vertraulichkeitsvereinbarungen, Überprüfungen) Sicherungsmassnahmen gemäss dem aktuellen Stand der Technik, um die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten bestmöglich sicherstellen zu können.

Unsere Mitarbeitenden unterstehen sowohl einer vertraglichen als auch einer gesetzlichen Schweigepflicht (z.B. Art. 62 DSG und Art. 33 ATSG). Des Weiteren schulen und sensibilisieren wir unsere Mitarbeitenden im Bereich Datenschutz regelmässig. Auch werden unsere Datenschutz- und Informationssicherheitsexperten im Rahmen von Projekten proaktiv konsultiert und miteinbezogen.

Im Dokument Bearbeitungsreglement für die Datensammlung werden die Einzelheiten zum Umgang mit Kundendaten geregelt. Bei der Bearbeitung von Daten gemäss dem Vergütungsmodell DRG arbeitet Sympany mit dem Outsourcingpartner Centris AG, Solothurn zusammen. Sowohl Sympany als auch Centris AG, Solothurn sind entsprechend den rechtlichen Vorgaben von der SQS als Datenannahmestellen im Bereich DRG zertifiziert (Zertifikat Vivao Sympany AG). Die Einzelheiten für die Datenbearbeitung sind in einem Reglement definiert.

Wir weisen darauf hin, dass trotz aller Massnahmen Datensicherheitsverletzungen nicht vollständig ausgeschlossen werden können. Ein gewisses Restrisiko bleibt immer bestehen.

Insbesondere unverschlüsselte E-Mail-Nachrichten an Sympany können möglicherweise von unberechtigten Dritten eingesehen werden. Auch können Ihre Daten für Dritte im Ausland einsehbar werden, da der Internetverkehr regelmässig über Drittstaaten geleitet wird. Sympany kann für unverschlüsselt erhaltene E-Mails keine Datensicherheit gewähren und schliesst deshalb jede Gewährleistung und Haftung dafür aus. Dieser Hinweis gilt insbesondere auch in Bezug auf den Versand von besonders schützenswerten Personendaten (z.B. Gesundheitsdaten) per unverschlüsseltem E-Mail.  Bei der Kommunikation im Kundenportal mySympany ist die Sicherheit gewährleistet. Wünschen Sie eine sichere und verschlüsselte Kommunikation mit uns, dann ist dies z.B. mittels HIN oder Fex möglich. Unser Kundendienst kann Sie hier bei Bedarf beraten.

14. Betroffenenrechte

Soweit die Voraussetzungen des jeweils anwendbaren Datenschutzrechts erfüllt und keine gesetzlichen Ausnahmen anwendbar sind, haben Sie im Zusammenhang mit der Bearbeitung Ihrer Personendaten die folgenden Rechte:

• das Recht, Auskunft über Ihre bei uns bearbeiteten Personendaten zu verlangen;
• das Recht, unrichtige oder unvollständige Personendaten zu korrigieren;
• das Recht, die Löschung oder Anonymisierung Ihrer Personendaten zu verlangen;
• das Recht, die Einschränkung der Bearbeitung Ihrer Personendaten zu verlangen;
• das Recht, bestimmte Personendaten in einem gängigen elektronischen Format zu erhalten oder an einen anderen Verantwortlichen zu übertragen;
• das Recht, einer Bearbeitung Ihrer Personendaten zu widersprechen, insbesondere soweit sich eine Bearbeitung auf berechtigte Interessen stützt oder dem Direktmarketing dient;
• das Recht, bei allfälligen ausschliesslich automatisierten Einzelentscheidungen den eigenen Standpunkt darzulegen und zu verlangen, dass die Entscheidung von einer natürlichen Person überprüft wird;
• das Recht, eine erteilte Einwilligung mit Wirkung für die Zukunft zu widerrufen.

Bitte beachten Sie, dass diese Rechte im konkreten Einzelfall unter Umständen eingeschränkt oder ausgeschlossen werden können (z.B. zum Schutz Dritter oder von Geschäftsgeheimnissen).

Weiterführende Informationen zu Ihren Betroffenenrechten finden Sie zudem im Bearbeitungsreglement für die Datensammlung.

Zwecks Geltendmachung Ihrer Betroffenenrechte oder bei Fragen zur vorliegenden Datenschutzerklärung sowie den darin beschriebenen Bearbeitungsprozessen können Sie sich mittels Briefpost und beigelegter Kopie eines amtlichen Ausweises an die unter Ziffer 2 genannten Stellen wenden.

Sollten Sie annehmen, dass Ihre Daten unrechtmässig bearbeitet wurden, sind wir für Ihre direkte Kontaktaufnahme dankbar. Alternativ können Sie eine Beschwerde bei der für Sie zuständigen Aufsichtsbehörde einreichen. Aufsichtsbehörde für den Datenschutz in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). In der EU ist die Beschwerde bei der jeweiligen nationalen Datenschutzbehörde einzureichen.

15. Änderungen dieser Datenschutzerklärung

Wir können die vorliegende Datenschutzerklärung jederzeit und ohne Vorankündigung anpassen. Es gilt jeweils die aktuelle, auf unserer Website publizierte Fassung.

Die Hinweise zum Datenschutz wurden in mehreren Sprachen verfasst. Bei inhaltlichen Unterschieden ist die deutsche Version massgeblich.