versicherungsselect - Ihr Versicherungsmakler Timo Fuhrmann - Versicherungen online vergleichen und abschließen
Informationen zur DSGVO

Versicherungen online ver­gleichen & abschließen

 0800-5445005

 0174-5445005

 

Allgemeine Informationen zur DSGVO

Die EU-Datenschutz-Grundverordnung (DSGVO) gilt ab dem 25.05.2018 in Deutschland und damit auch für Sie als unsere Mandanten. Die Verordnung regelt insbesondere die Rechte und Pflichten im Umgang mit Ihren personenbezogenen Daten, aber auch bezogen auf unsere Mitarbeiter und Geschäftspartner im Betrieb. 
 

Datenschutzerklärung

Allgemeines

Die Einhaltung der Datenschutzgesetze ist für uns nicht nur gesetzliche Pflicht, sondern auch ein wichtiger Vertrauensfaktor. Mit den nachfolgenden Datenschutzbestimmungen möchten wir Sie deshalb transparent über Art, Umfang und Zweck der von Ihnen auf dieser Webseite erhobenen und verarbeiteten personenbezogenen Daten (Im Folgenden: „Daten“) sowie Ihre Rechte informieren.

Verantwortlichkeit für die Datenverarbeitung

TF Ver­sicherungs­maklerbüro, Timo Fuhrmann, Altenberger Str. 316, 48565 Steinfurt, Telefon +49 2552 - 51795710 (im Folgenden: „Wir“) sind als Betreiber der Website www.versicherungsselect.de Verantwortlicher gem. Art. 4 Abs. 7 EU-Datenschutz-Grundverordnung (DSGVO). Bei Fragen können Sie sich an firma.fuhrmann@web.de wenden.

Datenschutzbeauftragter

Es wurde kein Datenschutzbeauftragter bestellt, da dies für uns nicht verpflichtend ist.

Ihre Rechte als betroffene Person

Als betroffene Person haben Sie uns gegenüber folgende Rechte hinsichtlich Ihrer personenbezogenen Daten. Sie haben:

  • Ein Recht auf Auskunft über die Kategorien der verarbeiteten Daten, der Verarbeitungszwecke, die Speicherdauer sowie etwaige Empfänger. (Art. 15 DSGVO)
  • Ein Recht auf Berichtigung oder Löschung unrichtiger bzw. unvollständiger Daten. (Art. 17 DSGVO)
  • Ein Recht auf Einschränkung der Verarbeitung, soweit eine Löschung nicht möglich oder strittig ist. (Art. 18 DSGVO)
  • Ein Recht auf Widerspruch gegen die Verarbeitung, soweit die Datenverarbeitung aufgrund eines berechtigten Interesses erfolgte. (Art. 21 Abs. 1 DSGVO)
  • Ein Recht auf Widerruf einer abgegebenen Einwilligung mit Wirkung für die Zukunft. (Art. 7 Abs. 3 DSGVO)
  • Ein Recht auf Datenübertragbarkeit in einem gängigen Format. (Art. 20 DSGVO)
  • Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO). Eine Liste der Datenschutzbehörden mit weiterführenden Informationen und Kontaktdaten finden Sie unter https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_de#dataprotectionauthorities.

Datenschutzmaßnahmen

Wir sichern unsere Website und sonstigen Systeme – und damit auch Ihre Daten – durch technische und organisatorische Maßnahmen gegen Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung durch unbefugte Per­sonen ab. Insbesondere werden Ihre persönlichen Daten verschlüsselt durch das Internet übertragen. Wir bedienen uns dabei des Codierungssystems TLS (Transport Layer Security).
Jedoch ist die Übertragung von Informationen über das Internet nie vollständig sicher, weshalb wir die Sicherheit der von unserer Website übermittelten Daten nicht zu 100% garantieren können.

Arten, Zweck und Speicherdauer von Daten, Rechtsgrundlagen

Server-Log-Dateien

Bei jedem Aufruf unserer Webseite werden die folgenden allgemeinen Informationen von Ihrem Browser automatisch an unseren Server übermittelt (sog. Server-Log-Dateien): IP-Adresse, Produkt- und Versionsinformationen über den verwendeten Browser und das Betriebssystem, die Internetseite von welcher Ihr Zugriff stattfand (sog. Referer), Datum und Uhrzeit der Anfrage und u.U. Ihr Internet-Service-Provider. Außerdem werden der Status und die übertragene Datenmenge im Rahmen dieser Anfrage erfasst.
Die IP-Adresse Ihres Computers wird dabei nur für die Zeit Ihrer Nutzung der Website gespeichert und im Anschluss daran unverzüglich gelöscht oder durch Kürzung teilweise unkenntlich gemacht. Die übrigen Daten werden für eine begrenzte Zeitdauer (maximal 7 Tage) gespeichert. Die Rechtsgrundlage für die Nutzung der Server-Log-Dateien ist Art. 6 Abs. 1 S. 1 Buchstabe f) DSGVO (Berechtigtes Interesse an der Datenverarbeitung). Das berechtigte Interesse ergibt sich aus der Notwendigkeit für den Betrieb unserer Website, insbesondere um Fehler der Website festzustellen und zu beseitigen, um die Auslastung der Website festzustellen und um Anpassungen oder Verbesserungen vorzunehmen und die Sicherheit des Systems zu gewährleisten.

Kontaktformular

Unsere Website bietet an mehreren Stellen die Möglichkeit, direkt mit uns in Kontakt zu treten. Mit dem Absenden des Formulars erklären Sie sich mit der Verarbeitung und Speicherung Ihrer eingegebenen Daten (insbesondere Ihrer E-Mailadresse) einverstanden. Die von Ihnen dabei an uns übermittelten Daten verarbeiten wir ausschließlich bis zur Erreichung des jeweiligen Zwecks Ihrer Kontaktaufnahme, maximal jedoch bis zu 7 Tage nach Zweckerreichung. Dieser Verarbeitung können Sie jederzeit mit Wirkung für die Zukunft widersprechen. Nutzen Sie hierfür bitte unsere Kontaktdaten im Impressum.
Die Rechtsgrundlage für die Nutzung der von Ihnen per Kontaktformular an uns übermittelten Daten ist Art. 6 Abs. 1 S. 1 Buchstabe a) DSGVO (Einwilligung der betroffenen Person).

Cookies

Wir benutzen zur Verbesserung der Nutzerfreundlichkeit auf unserer Webseite sogenannte „Cookies“. Sehr vereinfacht gesagt ist ein Cookie eine kleine Textdatei, die Daten über besuchte Webseiten speichert. Cookies speichern eine Art „Benutzerprofil“, also Dinge wie Ihre bevorzugte Sprache und andere Seiteneinstellungen, die von unserer Webseite benötigt werden, um Ihnen bestimmte Dienste anbieten zu können. Diese Datei wird von unserer Webseite auf Ihrem Computer gespeichert und hilft dabei, Sie bei einem erneuten Aufruf unserer Webseite wiederzuerkennen. Wir erhalten durch die Cookies außerdem Informationen über Ihre bevorzugten Aktivitäten auf unserer Website und können unsere Website so an Ihren individuellen Interessen ausrichten und die Geschwindigkeit der Abwicklung Ihrer Anfragen beschleunigen.

Sie können die Cookies in den Sicherheitseinstellungen Ihres Browsers jederzeit manuell löschen. Sie können die Speicherung von Cookies aber auch durch eine entsprechende Einstellung Ihres Browsers von vorneherein verhindern. Bitte beachten Sie dabei aber, dass Sie dann möglicherweise nicht sämtliche Funktionen unserer Website vollumfänglich nutzen können.
Sollten Sie nur unsere eigenen Cookies, nicht aber Cookies unserer Auftragsverarbeiter akzeptieren wollen, können Sie die Speicherung dieser Cookies durch die entsprechende Einstellung „Cookies von Drittanbietern blockieren” verhindern.

Die Rechtsgrundlage für die Nutzung der Cookies ist im Allgemeinen Art. 6 Abs. 1 S. 1 Buchstabe f) DSGVO (Berechtigtes Interesse an der Datenverarbeitung). Das berechtigte Interesse ergibt sich aus unserem Bedarf, Ihnen eine nutzerfreundliche Webseite anbieten zu können. Für die unten im Einzelnen aufgeführten Arten von Cookies können abweichend hiervon speziellere Rechtsgrundlagen anwendbar sein.

Unsere Website verwendet im Einzelnen folgende Arten von Cookies:

Transistente Cookies

Transistente Cookies werden automatisiert gelöscht, wenn Sie den Browser schließen.

  • Session-Cookies (zu Deutsch: Sitzungs-Cookies): Diese enthalten eine Identifikationsnummer, mit welcher sich verschiedene Anfragen Ihres Browsers zu einer Sitzung zuordnen lassen. Dadurch kann Ihr Rechner wiedererkannt werden, wenn Sie auf unsere Website zurückkehren. Die Session-Cookies werden automatisiert gelöscht, wenn Sie den Browser schließen. Wir nutzen diese Art von Cookie, um elementare Funktionen dieser Website bereitzustellen, wie etwa den Schutz vor Spam-Versand über Anfrage-Formulare.
  • Lesebestätigung der Erstinformation: Vor der Darstellung bestimmter versicherungsbezogener Informationen sind wir gesetzlich verpflichtet, Sie über unseren Status als Vermittler zu informieren. Dies geschieht in Form unserer Erstinformation, deren Download Sie durch Setzen eines Hakens bestätigen müssen. Hierbei speichern wir in einem Cookie, dass die Bestätigung durch Sie erfolgt ist und die Erstinformation nicht erneut von Ihnen heruntergeladen werden muss.

Persistente Cookies

Persistente Cookies werden automatisiert nach einer vorgegebenen Dauer gelöscht, die sich je nach Cookie unterscheiden kann.

  • Hinweis-Banner zur Cookie-Nutzung: Um Sie transparent auf die Nutzung von Cookies durch uns hinzuweisen, wird am unteren Rand des Browserfensters hierzu ein Hinweis-Banner eingeblendet. Wenn Sie dieses Banner durch einen Klick ausblenden, speichern wir dies in einem Cookie. Dadurch bleibt auch bei Ihrem nächsten Besuch unserer Homepage das Banner ausgeblendet. Dieser Cookie wird nach einem Jahr automatisch gelöscht.
  • Bedarfs-Analyse: Möglicherweise ist auf einer der Unterseiten dieser Homepage ein Tool zur Analyse Ihres Bedarfs an Versicherungsprodukten eingebunden. Dieses bietet Ihnen anhand weniger Fragen einen schnellen Überblick, welche Versicherungsprodukte in Ihrer Lebenssituation wichtig sind. Um die technische Funktion dieses Tools zu gewährleisten, werden Ihre Antworten kurzzeitig in Cookie-Dateien zwischengespeichert. Diese Cookies werden nach einem Tag automatisch gelöscht.
  • Gewinnspiele, Tippspiele, etc: Möglicherweise ist auf einer der Unterseiten dieser Homepage ein Modul zur Teilnahme an einem Gewinnspiel, Tippspiel, o.ä. eingebunden. Wenn Sie sich zur Teilnahme hierfür registrieren, speichern wir in einem Cookie eine Identifikationsnummer, damit Sie beim nächsten Besuch dieses Moduls automatisch wieder angemeldet sind und Ihre Daten nicht erneut eingeben müssen. Dieser Cookie wir nach einem Jahr automatisch gelöscht.

Datenverarbeitung

Weitergabe von Daten, Auftragsdatenverarbeitung

Grundsätzlich geben wir Ihre personenbezogenen Daten nicht an Dritte weiter, es sei denn,

  1. Sie haben in die Datenweitergabe eingewilligt oder
  2. wir sind aufgrund
    1. gesetzlicher Bestimmungen oder
    2. behördlicher oder gerichtlicher Anordnungen
    zu einer Datenweitergabe berechtigt oder verpflichtet. Dabei kann es sich insbesondere um die Auskunftserteilung für Zwecke der Strafverfolgung, zur Gefahrenabwehr oder zur Durchsetzung geistiger Eigentumsrechte handeln.

Unter Umständen übermitteln wir Ihre Daten außerdem an externe Dienstleister (Auftragsverarbeiter), um unsere eigene Datenverarbeitung zu vereinfachen. In diesem Fall wird dieser Auftragsverarbeiter entsprechend Art. 28 DSGVO vertraglich verpflichtet, das heißt insbesondere, dass der Auftragsverarbeiter hinreichend Garantien dafür zu bieten hat, dass durch ihn geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz Ihrer Rechte als betroffene Person gewährleistet ist. Trotz Beauftragung von Auftragsverarbeitern bleiben wir für die Verarbeitung Ihrer Daten die Verantwortliche Stelle im Sinne der Datenschutzgesetze.

Datenübermittlung an Drittstaaten außerhalb der EU

Alle Informationen, die wir von Ihnen oder über Sie erhalten, werden grundsätzlich auf Servern innerhalb der Europäischen Union verarbeitet. Eine Übermittlung Ihrer Daten an oder eine Verarbeitung Ihrer Daten in Drittstaaten erfolgt ohne Ihre ausdrückliche Einwilligung lediglich, sofern dies gesetzlich vorgesehen ist und in dem Drittstaat ein hierfür angemessenes Datenschutzniveau sichergestellt ist.

Dienste Dritter

Wir nutzen auf unserer Webseite Dienste von Dritten, beispielsweise Plugins oder APIs (Application Programming Interface, zu Deutsch: Programmierschnittstelle), um den Funktionsumfang unserer Webseite zu erweitern. Dabei werden möglicherweise Daten an den Anbieter dieser Dienste übermittelt. Im Einzelnen nutzen wir folgende Dienste:

Google

Unsere Webseite verwendet die folgenden Dienste der Firma Google LLC („Google“), 1600 Amphitheatre Parkway Mountain View, CA 94043, USA. Die Firma Google erfüllt die Anforderungen des „EU-Privacy-Shield“ (zu deutsch: EU-Datenschutzschild). Das Privacy-Shield-Abkommen regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Es stellt sicher, dass die übertragenen Daten dort ebenfalls einem der Europäischen Union vergleichbaren Datenschutzniveau unterliegen. Die Liste zertifizierter Unternehmen können Sie hier abrufen: https://www.privacyshield.gov/list. Mehr Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von Google: https://www.google.de/intl/de/policies/privacy/.

Google Maps

Unsere Webseite nutzt den externen Kartendienst „Google Maps“ von Google. Google Maps dient dazu, eine interaktive Karte auf unserer Webseite anzubieten, die Ihnen zeigt, wie Sie uns finden und erreichen können. Dieser Dienst ermöglicht es uns, unsere Webseite ansprechend darzustellen, indem Kartenmaterial von einem externen Server geladen wird. Die benötigten Daten werden in der Regel von einem Server von Google in den USA angefordert. Durch diese Anforderung werden in der Regel folgende Informationen an einen Server von Google in den USA übertragen und dort mehrere Monate gespeichert: Diejenige unserer Internetseiten, die Sie besucht haben und die IP-Adresse Ihres Endgerätes. Die Rechtsgrundlage für die Verarbeitung Ihrer Daten in Bezug auf den Dienst „Google Maps“ ist Art. 6 Abs. 1 S. 1 Buchstabe f) DSGVO (Berechtigtes Interesse an der Datenverarbeitung). Das berechtigte Interesse ergibt sich aus unserem Bedarf an einer ansprechenden Darstellung unseres Online-Angebots und der leichten Auffindbarkeit der auf unserer Homepage angegebenen Orte.

Youtube

Unsere Website nutzt YouTube-Videos, die auf https://www.youtube-nocookie.com gespeichert sind und von unserer Website aus direkt abspielbar sind. Diese sind alle im „erweiterten Datenschutz-Modus“ eingebunden, d.h. dass keine Daten über Sie als Nutzer an YouTube übertragen werden, wenn Sie die Videos nicht abspielen. Erst wenn Sie die Videos abspielen, werden die unten genannten Daten übertragen. Auf diese Datenübertragung haben wir keinen Einfluss.
Durch den Besuch auf der Website erhält YouTube die Information, dass Sie die entsprechende Unterseite unserer Website aufgerufen haben. Dies erfolgt unabhängig davon, ob YouTube ein Nutzerkonto bereitstellt, über das Sie eingeloggt sind, oder ob kein Nutzerkonto besteht. Wenn Sie bei Google eingeloggt sind, werden Ihre Daten direkt Ihrem Konto zugeordnet. Wenn Sie die Zuordnung mit Ihrem Profil bei YouTube nicht wün­schen, müssen Sie sich vor Aktivierung des Buttons ausloggen. YouTube speichert Ihre Daten als Nutzungsprofile und nutzt sie für Zwecke der Werbung, Marktforschung und/oder bedarfsgerechten Gestaltung seiner Website. Eine solche Auswertung erfolgt insbesondere (selbst für nicht eingeloggte Nutzer) zur Erbringung von bedarfsgerechter Werbung und um andere Nutzer des sozialen Netzwerks über Ihre Aktivitäten auf unserer Website zu informieren. Ihnen steht ein Widerspruchsrecht zu gegen die Bildung dieser Nutzerprofile, wobei Sie sich zur Ausübung dessen an YouTube richten müssen.
Die Rechtsgrundlage für die Verarbeitung Ihrer Daten in Bezug auf den Dienst „YouTube“ ist Art. 6 Abs. 1 S. 1 Buchstabe f) DSGVO (Berechtigtes Interesse an der Datenverarbeitung). Das berechtigte Interesse ergibt sich aus unserem Bedarf an einer ansprechenden Darstellung unseres Online-Angebots.

Sonstige Dienste

Tarifrechner der Bayerische Beamten Lebensversicherung

Unsere Website verwendet Tarifrechner der Firma Bayerische Beamten Lebensversicherung a.G. , Thomas-Dehler-Str. 25, 81737 München, Deutschland „Die Bayerische“. Mit diesen Tarifrechnern ist eine Berechnung und Gegenüberstellung sowie der Abschluss von verschiedenen Versicherungstarifen möglich. Dazu werden Ihre Eingaben im Tarifrechner, Ihre IP-Adresse, die von Ihnen aufgerufene Seite sowie der Zugriffszeitpunkt und Ihre Browserkonfiguration an Die Bayerische übertragen. Weitere Informationen finden Sie in den Datenschutzhinweisen der Bayerischen. Die Rechtsgrundlage für die Verarbeitung Ihrer Daten in Bezug auf den Dienst „Die Bayerische“ ist Art. 6 Abs. 1 S. 1 Buchstabe f) DSGVO (Berechtigtes Interesse an der Datenverarbeitung). Das berechtigte Interesse ergibt sich aus unserem Bedarf, Ihnen eine nutzerfreundliche Webseite mit einem breiten Funktionsumfang und in einer ansprechenden Darstellung anbieten zu können.

 

Mitgliedsantrag der Betriebskrankenkasse Mobil Oil

Unsere Website verwendet ein Mitglieds-Antrags-Formular der Betriebskrankenkasse Mobil Oil, Friedenheimer Brücke 29, 80639 München, Deutschland „Betriebskrankenkasse Mobil Oil“. Mit diesem Formular ist das Absenden eines Mitglieds-Antrags bei der Betriebskrankenkasse Mobil Oil möglich. Dazu werden Ihre Eingaben im Antrags-Formular, Ihre IP-Adresse, die von Ihnen aufgerufene Seite sowie der Zugriffszeitpunkt und Ihre Browserkonfiguration an die Betriebskrankenkasse Mobil Oil übertragen. Weitere Informationen finden Sie in den Datenschutzhinweisen der Betriebskrankenkasse Mobil Oil. Die Rechtsgrundlage für die Verarbeitung Ihrer Daten in Bezug auf den Dienst „Betriebskrankenkasse Mobil Oil“ ist Art. 6 Abs. 1 S. 1 Buchstabe f) DSGVO (Berechtigtes Interesse an der Datenverarbeitung). Das berechtigte Interesse ergibt sich aus unserem Bedarf, Ihnen eine nutzerfreundliche Webseite mit einem breiten Funktionsumfang und in einer ansprechenden Darstellung anbieten zu können.

PROCHECK24

Unsere Website verwendet Vergleichsrechner der Firma PROCHECK24 GmbH, Landshuter Allee 8, 80637 München, Deutschland „PROCHECK24“. Mit diesen Vergleichsrechnern ist eine Berechnung und Gegenüberstellung sowie der Abschluss von verschiedenen Versicherungstarifen möglich. Dazu werden Ihre Eingaben in den Vergleichsrechnern, Ihre IP-Adresse, die von Ihnen aufgerufene Seite sowie der Zugriffszeitpunkt und Ihre Browserkonfiguration an PROCHECK24 übertragen. Weitere Informationen finden Sie in den Datenschutzhinweisen von PROCHECK24. Die Rechtsgrundlage für die Verarbeitung Ihrer Daten in Bezug auf den Dienst „PROCHECK24“ ist Art. 6 Abs. 1 S. 1 Buchstabe f) DSGVO (Berechtigtes Interesse an der Datenverarbeitung). Das berechtigte Interesse ergibt sich aus unserem Bedarf, Ihnen eine nutzerfreundliche Webseite mit einem breiten Funktionsumfang und in einer ansprechenden Darstellung anbieten zu können.

Vimeo

Unsere Website nutzt Videos, die auf dem Video-Portal der Firma Vimeo Inc., 555 West 18th Street, New York, New York 10011, USA „Vimeo“, gespeichert sind. Diese Videos sind von unserer Website aus direkt abspielbar. Dazu werden Ihre IP-Adresse, die von Ihnen aufgerufene Seite sowie der Zugriffszeitpunkt und Ihre Browserkonfiguration an Vimeo übertragen. Weitere Informationen finden Sie in den Datenschutzhinweisen von Vimeo. Die Rechtsgrundlage für die Verarbeitung Ihrer Daten in Bezug auf den Dienst „Vimeo“ ist Art. 6 Abs. 1 S. 1 Buchstabe f) DSGVO (Berechtigtes Interesse an der Datenverarbeitung). Das berechtigte Interesse ergibt sich aus unserem Bedarf, Ihnen eine nutzerfreundliche Webseite mit einem breiten Funktionsumfang und in einer ansprechenden Darstellung anbieten zu können.

Sie möchten weitere Informationen zum Hintergrund und zu den einzelnen Inhalten der neuen Datenschutz-Grundverordnung? Gerne nennen wir Ihnen relevante Informationsquellen:  

blau direkt

Unsere Website verwendet Vergleichsrechner sowie ein Kundenportal der Firma blau direkt GmbH & Co. KG, Kaninchenborn 31, 23560 Lübeck, Deutschland „blau direkt“. Mit diesen Vergleichsrechnern ist eine Berechnung und Gegenüberstellung sowie der Abschluss von verschiedenen Versicherungstarifen möglich. Das Kundenportal bietet eine Übersicht über bestehende Verträge und zusätzliche Services wie Schadensmeldungen. Dazu werden Ihre Eingaben in den Vergleichsrechnern und dem Kundenportal, Ihre IP-Adresse, die von Ihnen aufgerufene Seite sowie der Zugriffszeitpunkt und Ihre Browserkonfiguration an blau direkt übertragen. Weitere Informationen finden Sie in den Datenschutzhinweisen von blau direkt. Die Rechtsgrundlage für die Verarbeitung Ihrer Daten in Bezug auf den Dienst „blau direkt“ ist Art. 6 Abs. 1 S. 1 Buchstabe f) DSGVO (Berechtigtes Interesse an der Datenverarbeitung). Das berechtigte Interesse ergibt sich aus unserem Bedarf, Ihnen eine nutzerfreundliche Webseite mit einem breiten Funktionsumfang und in einer ansprechenden Darstellung anbieten zu können.

Wir verwalten unsere Kunden ausschließlich über unseren Auftragsdatenverarbeiter

Technische und organisatorische Maßnahmen (TOM) des Auftragnehmers i.S.d. Art. 32 DSGVO der Firma blau direkt GmbH & Co. KG Erläuterung: Firmen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben technische und organisatorische Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschrift der Datenschutzgesetze zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Die Firma blau direkt GmbH & Co. KG erfüllt diesen Anspruch durch folgende Maßnahmen:

1. Vertraulichkeit gem. Art. 32 Abs. 1 lit. DSGVO

1.1 Zutrittskontrolle Erläuterung: Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Maßnahmen: - Manuelles Schließsystem - Chipkarten-/Transponder-Schließsystem mit regelmäßiger Prüfung der Zutrittsrechte - Sicherheitsschlösser - Schlüsselregelung - Per­sonenkontrolle beim Empfang - Sorgfältige Auswahl von Reinigungspersonal - stichprobenartig eingesetzte mobile Kameraüberwachung mit WLAN-gestützer Bildübertragung - Besucher in Begleitung durch Mitarbeiter

1.2. Zugangskontrolle: Erläuterung: Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können. Mit Zugangskontrolle ist die unbefugte Verhinderung der Nutzung von Anlagen gemeint. Maßnahmen: - Zuordnung von Benutzerrechten - Erstellen von Benutzerprofilen - Passwortvergabe - Authentifikation mit Benutzername / Passwort (Hochsicherheitspasswörter mit Passwortmanagement & Controlling) - Zuordnung von Benutzerprofilen zu IT-Systemen - Einsatz von VPN-Technologie - Sperren von externen Schnittstellen (USB) - Schlüsselregelung - Per­sonenkontrolle beim Empfang - Sorgfältige Auswahl von Reinigungspersonal - Einsatz von Intrusion-Detection-Systemen - Einsatz von Anti-Viren-Software - Einsatz einer Hardware-Firewall - Einsatz einer Software-Firewall - Richtlinie „Sicheres Passwort“ - Richtlinie „Löschen / Vernichten“ - Richtlinie „Clean desk“ - Allgemeine Richtlinien zum Datenschutz und/oder Sicherheit - Anleitung „Manuelle Desktopsperre“

1.3. Zugriffskontrolle Erläuterung: Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Maßnahmen: - Passwortrichtlinie: (Hochsicherheitspasswörter mit Passwortmanagement & Controlling) - Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten - Sichere Aufbewahrung von Datenträgern - physische Löschung von Datenträgern vor Wiederverwendung - ordnungsgemäße Vernichtung von Datenträgern (DIN 66399) - Einsatz von Dienstleistern zur Aktenvernichtung Protokollierung der Aktenvernichtung mit Aktenvernichtungszertifikaten - Einsatz Berechtigungskonzepte - Minimale Anzahl an Administratoren - Verschließbare Aktenschränke - Verwaltung von Benutzerechten durch Administratoren

1.4. Trennungskontrolle Erläuterung: Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Maßnahmen: - physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern Logische Mandantentrennung (softwareseitig) - Versehen der Datensätze mit Zweckattributen/Datenfeldern - Festlegung von Datenbankrechten - Trennung von Produktiv- und Testsystem - Steuerung über Berechtigungskonzept

1.5. Pseudonymisierung (Art. 32 Abs. 1 lit. A DSGVO; Art. 25 Abs. 1 DSGVO) Erläuterung: Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden könne, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technische und organisatorische Maßnaßmen unterliegen. Maßnahmen: - Interne Anweisung, personbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren.

2. Integrität (Art. 32 Abs. 1 lit . B DSGVO)

2.1. Weitergabekontrolle Erläuterung: Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Maßnahmen: - Einrichtungen von VPN-Tunneln - E-Mail-Verschlüsselung - Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen. - Bereitstellung über verschlüsselte Verbindungen wie sftp, https - Weitergabe in anonymisierter oder pseudonymisierter Form

2.2. Eingabekontrolle Erläuterung: Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Maßnahmen: - Technische Protokollierung der Eingabe, Änderung und Löschung von Daten - Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können. - Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) - Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind - Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. B DSGVO) 3.1. Verfügbarkeitskontrolle Erläuterung: Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Maßnahmen: - Unterbrechungsfreie Stromversorgung (USV) - Lüftungsanlage in Serverräumen - Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen Schutzsteckdosenleisten in Serverräumen - Feuer- und Rauchmeldeanlagen - Feuerlöschgeräte in Serverräumen - Erstellen eines Backup- & Recoverykonzepts - Testen von Datenwiederherstellung - Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort - Serverräume nicht unter sanitären Anlagen - RAID System / Festplattenspiegelung - Einsatz von Server Anti-Viren Software

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. D DSGVO; Art. 25 Abs. 1 DSGVO)

4.1. Incident-Response-Management Erläuterung: Unterstützung bei der Reaktion auf Sicherheitsverletzungen Maßnahmen: - Einsatz von Firewall und regelmäßigen Aktualisierung - Einsatz von Virenscanner und regelmäßige Aktualisierung - Intrusion-Detection-Systemen - Intrusion-Prevention-Systemen - Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen und Datenpannen - Dokumentierter Vorgehensweise zum Umgang mit Sicherheitsvorfällen - Einbindung von DSB und zuständige Datenschutzbehörde bei Sicherheitsvorfällen und Datenpannen - Dokumentation von Sicherheitsvorfällen und Datenpannen

4.2. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO) Erläuterung: Privacy by design / privacy by default Maßnahmen: - Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind - Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen

4.3. Auftragskontrolle Erläuterung: Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Maßnahmen: - Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) - vorherige Prüfung der Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen - schriftliche Weisungen an den Auftragnehmer - Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis - Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags - Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart - laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten - Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer - Regelung zum Einsatz weiterer Subunternehmer

4.4. Datenschutz-Management Maßnahmen: - Interner Datenschutzbeauftragter - Mitarbeiter werden geschult und auf Vertraulichkeit / Datengeheimnis verpflichtet - Regelmäßige Sensibilisierung der Mitarbeiter findet statt - Die Datenschutz-Folgenabschätzung wird bei Bedarf durchgeführt - Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mindestens jährlich durchgeführt - Sicherheitskonzepte werden dokumentiert - Software-Lösung für Datenschutz-Management im Einsatz - Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden - Benutzerrechtevergabe wird dokumentiert und regelmäßig kontrolliert - Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeiten für Mitarbeiter nach Bedarf /

Auflistung der zum Vertragsabschluss bestehenden Unterauftragsverhältnisse:

• Dionera GmbH (Stresemannstraße 72, 10963 Berlin) Software Entwicklung Maklerverwaltungsprogramm, Vergleichsrechner, Kunden- und Makler Apps sowie E-Mail/Webseiten und Abrechnungssoftware.

• Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043) Bereitstellung und Hosting von E-Mail (und deren E-Mails) und Cloudsoftware.

• Zammad GmbH (Marienstraße 11, 10117 Berlin) Bereitstellung und Hosting einer Helpdesk E-Mail Software und deren E-Mails.

• Internext GmbH (Friedrichsplatz 4, 76133 Karlsruhe) SMS Schnittstelle zum versenden von SMS über das blau direkt Maklerverwaltungsprogramm.

• FAX.de GmbH (Bei den Kämpen 10, 21220 Seevetal-Ramelsloh) Fax Schnittstelle zum versenden von Fax über das blau direkt Maklerverwaltungsprogramm.

• nepatec GmbH (Seelhorststraße 44, 30175 Hannover) digitales Erfassen von Unterschriften in Apps sowie Übertragung in das Maklerverwaltungsprogramm von blau direkt

• objective IT GmbH (Bürgermeister-Schmidt-Straße 2, 51399 Burscheid) Erstellen von Kranken­ver­si­che­rungsangeboten und Verträgen

• bisure GmbH (Johann-Krane-Weg 8, 48149 Münster) Erstellen von Gewerblichen Versicherungsangeboten und Verträgen

• KV Werk GmbH (Bonner Straße 271, 50968 Köln) Erstellen von Kranken­ver­si­che­rungsangeboten und Verträgen

• CleverReach GmbH & Co. KG (Mühlenstraße 43, 26180 Rastede) Newsletter und Marketing System

• maklerhomepage.net GmbH (Hinter der Neustadt 4, 25813 Husum / Nordsee) Anbieter von Webseiten Systemen und anderen Dienstleistungen wie Datenexporte und Datenimporte in das Maklerverwaltungsprogramm von blau direkt.

• A&O – IT Beratung (Wörnitzstraße 115 A, 90449 Nürnberg) Hostinganbieter des Maklerverwaltungsprogramms, Vergleichsrecher, Abrechnungssoftware sowie E-Mail und Webseiten Systemen.

Stand: 22.05.2018