Datenschutz
Bei der Bearbeitung von Daten ihrer Versicherten unterliegt die CSS strengen Datenschutzbestimmungen. Neben den gesetzlichen Bestimmungen gelten bei der Datenbearbeitung für die Mitarbeitenden der CSS zusätzliche interne Richtlinien.
Allgemeines
Wo im nachfolgenden Text aus Gründen der leichteren Lesbarkeit die männliche Personenbezeichnung verwendet wird, sind darunter auch die anderen geschlechtlichen Bezeichnungen zu verstehen.
Diese Datenschutzerklärung gilt für die Bearbeitung von Personendaten der Webseite css.ch und für alle Produkte und Dienstleistungen der CSS Gruppe.
Zur CSS Gruppe gehören die CSS Kranken-Versicherung AG und CSS Versicherung AG.
Wir freuen uns, dass Sie sich dafür interessieren, wie wir Ihre Personendaten bearbeiten. In dieser Datenschutzerklärung erläutern wir, wie wir Personendaten erheben und bearbeiten. Es finden sich weitere Hinweise zu spezifischen Datenbearbeitungen in der Cookie Policy, Reglementen und Allgemeinen Versicherungsbedingungen, Teilnahmebedingungen, Einwilligungserklärungen und anderen Dokumenten. Wo zwingende gesetzliche Vorgaben gelten, verzichten wir in der Regel darauf, diese wiederzugeben.
Diese Datenschutzerklärung bezieht sich auf unsere Bearbeitung von Daten über Personen, die bei der CSS versichert sind oder waren, Personen, die sich für ein Produkt der CSS interessieren, über Leistungserbringer, Behörden und Ämter bzw. deren Kontaktpersonen und Nutzer der Webseiten der CSS.
Verantwortlich
Verantwortliche
Für die Datenbearbeitung nach dieser Datenschutzerklärung ist grundsätzlich die CSS Kranken-Versicherung AG (nachfolgend «die CSS» oder «wir» oder «uns») verantwortlich.
Datenschutzberater
Wir haben einen Datenschutzberater bestellt. Bei Fragen oder Anliegen zum Datenschutz können Sie uns gerne wie folgt kontaktieren:
CSS Kranken-Versicherung AG
Datenschutzberater
Tribschenstrasse 21
Postfach 2568
CH-6002 Luzern
E-Mail: datenschutz@css.ch
Telefon: 058 277 11 11
Vertretung für datenschutzrechtliche Belange in der EU bzw. im Anwendungsbereich der DSGVO
Soweit unsere Datenbearbeitungen in den Anwendungsbereich der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) fallen, ist Martina Schmid unsere Vertreterin nach Art. 27 DSGVO. Sie können Martina Schmid wie folgt erreichen:
Martina Schmid
BWO GmbH
Bauernwaldstrasse 77
D-70195 Stuttgart
E-Mail: privacy-eu@css.ch
Welche Personendaten bearbeitet die CSS?
Unter Personendaten werden alle Angaben verstanden, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Wir bearbeiten je nach Art Ihrer Beziehung zu uns und ggf. je nach Produktkategorie insbesondere die folgenden Kategorien von Personendaten:
- Angaben zu Ihrer Person: insbesondere Name, Kontakt und Finanzinformationen, Geburtsdatum, Adresse, Sprachen, Nationalität, Kantons- und Gemeindezugehörigkeit, Telefonnummer, E-Mail-Adresse, Alter, Geschlecht, Beruf;
- Angaben zum Vertrag: insbesondere Angaben zur Bankverbindung, Vertragsdaten zur Abwicklung von Zahlungen (z.B. Kontonummern), Prämienzahlungen und allfällige Prämienverbilligung, Ausstände und Mahnungen; Versicherungsprodukt, Art und Umfang der Leistungen, Eintritts- und Austrittsdatum, Sistierung und Franchisen;
- Risikobeurteilungen in Bezug auf Ihre Person und das versicherte Objekt bei der Prüfung von Anträgen, insbesondere Angaben zu Vor- und weiteren Versicherungen und eingetretenen Versicherungsfällen; Beruf und Gesundheitsdaten und unter Umständen Angaben zur Bestimmung Ihrer Bonität;
- Daten für die Abwicklung von Leistungsansprüchen: In der Krankenversicherung sind dies insbesondere Angaben zu Rückerstattungsanträgen, Rechnungsdaten sowie Gesundheitsdaten wie beispielsweise Arztberichte und sonstige Angaben von Leistungserbringern. Bei anderen Versicherungsprodukten sind dies Daten zu den versicherten Gegenständen, Gebäuden oder Tätigkeiten und ggf. ihrer Finanzierung sowie zur Schadensabwicklung, z.B. die Schadenmeldung, Schadennummer, Angaben im Zusammenhang mit der Schadensprüfung, Anzahl der Schäden und Angaben über Dritte wie z.B. Geschädigte und beteiligte Personen;
- Kommunikationsdaten: insbesondere Angaben zum bevorzugten Kommunikationskanal, Angaben und Inhalt von Korrespondenz per Brief, E-Mail, Telefon, über myCSS oder über andere Kommunikationskanäle, sowie Aufzeichnungen zur Kundenzufriedenheit. Telefongespräche können zu Zwecken der Nachvollziehbarkeit eines Gesprächs, der Qualitätssicherung oder Schulungs- und Beweiszwecken aufgezeichnet werden, wobei dies ausdrücklich kenntlich gemacht wird;
- Daten im Zusammenhang mit der Nutzung der Website oder des Kundenportals myCSS: insbesondere IP-Adresse und andere Geräte-Identifikatoren, Zugangsdaten (inklusive Passwörter), Datum, Zeit und Anzahl der Besuche der Website sowie abgerufene Seiten und Inhalte, verweisende Webseiten; Cookies. Nähere Angaben zu verwendeten Cookies und ähnlichen Technologien finden Sie in der Cookie Policy.
Daten im Zusammenhang mit Marketing: insbesondere persönliche Präferenzen und Interessen, An- und Abmeldungen bei Newslettern, übermittelte Marketingmitteilungen und Reaktionen auf solche Mitteilungen.
In erster Linie erheben wir Personendaten von den betroffenen Personen im Rahmen einer Geschäftsbeziehung oder der Anbahnung einer Geschäftsbeziehung mit Interessenten, Versicherten, Kunden und anderen Geschäftspartnern, Leistungserbringern und Dienstleistern oder bei der Verwendung unserer Websites, Apps und weiteren Anwendungen von den Nutzern. Dies erfolgt z.B. über Kontakt- und Antragsformulare, im Rahmen der E-Mail- oder brieflichen Korrespondenz, per Telefon, bei der Teilnahme an Wettbewerben und Umfragen und im Rahmen von Vertragsbeziehungen, z.B. bei der Leistungsprüfung oder bei Zahlungen.
In bestimmten Situationen erheben wir Personendaten auch von Dritten wie beispielsweise von Leistungserbringern, Geschäftspartnern, Sozialversicherern im Rahmen der Amts- und Verwaltungshilfe, anderen Privatversicherern oder aus öffentlichen Quellen. Angaben zu den Arten der Datenerhebung finden Sie unter «Versicherungsvertrag».
Wenn Sie uns Daten über Dritte bekanntgeben, gehen wir davon aus, dass Sie dazu befugt und dass diese Daten richtig sind. Mit der Übermittlung von Daten über Dritte bestätigen Sie dies. Bitte informieren Sie diese Dritten deshalb über die Bearbeitung ihrer Daten durch uns und übergeben Sie ihnen eine Kopie dieser Datenschutzerklärung. Wenn wir Sie auf eine neue Fassung dieser Dokumente hinweisen, übergeben Sie bitte jeweils auch diese neuen Fassungen.
Zu welchen Zwecken bearbeiten wir Ihre Personendaten?
Besuch der CSS Webseiten, Prämienrechner
Automatisch erhobene Daten
Beim Besuch unserer Webseiten erhebt, speichert und verwendet die CSS technische Daten sowie bestimmte Nutzungsdaten. Beim Zugriff auf unsere Webseiten fallen namentlich folgende Daten in Logfiles an:
- IP-Adresse;
- allgemeine Informationen zum Betriebssystem und Browser;
- Datum, Zeit und Dauer des Besuchs;
- Browser-Anfrage;
- verwendete Add-ons;
- Besucherquelle (verweisende Webseite);
- allgemeine Informationen zum Surfverhalten wie das Anklicken von Werbebannern, das Ausfüllen eines Formulars oder das Herunterladen von Dateien.
Diese Daten verwenden wir zur Verbesserung der Webseiten. Die Daten ermöglichen uns, die darauf angebotenen Services zur Verfügung zu stellen. Ausserdem bilden diese die Basis für statistische Auswertungen.
Formulare
Vertrauliche, persönliche Daten, die Sie über die Formulare auf den Webseiten an die CSS senden, werden nach aktuellem technischem Stand verschlüsselt übermittelt. Diese Daten werden zweckgebunden zur Angebotsabwicklung und für Marketingzwecke (ausgeschlossen Grundversicherung) in der CSS verwendet.
Falls Sie bereits Kunde der CSS sind oder dies werden wollen, können wir die über die Website erhobenen Personendaten, die Sie uns zur Verfügung stellen, mit bereits vorhandenen Vertragsdaten verknüpfen.
Prämienrechner und Online-Antrag
Mit der Eingabe Ihrer Daten im Prämienrechner erklären Sie sich damit einverstanden, von den Unternehmen der CSS im Rahmen der Offertstellung telefonisch oder anderweitig kontaktiert zu werden. Ihre Personendaten werden uns erst übermittelt, wenn Sie das elektronische Kontaktformular mit Ihren persönlichen Angaben vollständig ausfüllen und den Vorgang anschliessend fortsetzen. Detaillierte Angaben zur Datenbearbeitung in Zusammenhang mit dem Versicherungsantrag und ‑abschluss finden Sie im Antragsformular und in den Kundeninformationen Ihrer Versicherung sowie dem beiliegenden Informationsblatt zum Datenschutz.
Soweit für die Bearbeitung Ihrer Anfrage via Internet / Telefon oder für die Vertragsabwicklung Leistungen von Dritten erforderlich sind, leiten wir Ihre Daten an einen von uns beauftragten Dienstleistungspartner weiter, wozu Sie uns mit der Angabe Ihrer Daten ermächtigen. Dieser Partner ist vertraglich an die CSS gebunden und gleichermassen den CSS Datenschutzbestimmungen unterworfen.
Livechat über digitale Assistenz (SIA)
Zur Verbesserung des Nutzererlebnisses und zur schnellen Klärung von Fragen bieten wir Ihnen die Kommunikation über ein Chatbot-System (SIA) an. Für die Absichtserkennung der Nutzereingaben (Natural Language Understanding, kurz NLU) setzen wir den Service Dialogflow von Google (Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) ein. Alle Nutzereingaben werden zum Zwecke der Absichtserkennung analysiert, worauf dem Nutzer entsprechende Antworten und Inhalte der CSS angezeigt werden. Es werden keine personalisierten Daten ausgewertet oder gespeichert.
Rechtsgrundlagen
Soweit die Bearbeitung von Personendaten im Rahmen des vorstehendes Kapitels «Besuch der CSS Webseiten, Prämienrechner» der DSGVO untersteht, stützt sich die Bearbeitung Ihrer Personendaten auf eine oder mehrere der folgenden Rechtsgrundlagen.
Vertragsanbahnung und -erfüllung
Die meisten unserer Bearbeitungen sind für die Erfüllung unserer vertraglichen Verpflichtungen Ihnen gegenüber erforderlich, beispielsweise zur Durchführung der obligatorischen Krankenversicherung oder der Zusatzversicherung. Das gilt auch für die Bearbeitung von Gesundheitsdaten für die Beurteilung von Leistungsfällen. Unsere Bearbeitung zum Abschluss von Verträgen einschliesslich der Risikoprüfung stützt sich auf die Erforderlichkeit der Bearbeitung für vorvertragliche Massnahmen und, soweit wir dabei Gesundheitsdaten bearbeiten, auf Ihre separate Einwilligung.
Rechtliche Verpflichtungen
Wir können nach gesetzlichen Vorgaben zur Datenbearbeitung verpflichtet sein.
Einwilligung
Weitere Datenbearbeitung können wir aufgrund einer Einwilligung vornehmen. Soweit wir Sie für bestimmte Bearbeitungen um Ihre Einwilligung bitten, informieren wir Sie gesondert über die entsprechenden Zwecke der Bearbeitung. Einwilligungen können Sie jederzeit durch schriftliche Mitteilung an uns widerrufen; unsere Kontaktangaben finden Sie in Kapitel «Verantwortliche». Sobald wir die Mitteilung über den Widerruf Ihrer Einwilligung erhalten haben, werden wir Ihre Daten nicht mehr für die Zwecke bearbeiten, denen Sie ursprünglich zugestimmt haben, es sei denn, die Bearbeitung ist aufgrund einer anderen Rechtsgrundlage zulässig. Durch den Widerruf Ihrer Einwilligung wird die Rechtmässigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Bearbeitung nicht berührt.
Berechtige Interessen
Wir bearbeiten Personendaten für unsere berechtigten Interessen, soweit Ihre entgegenstehenden Interessen nicht überwiegen, bspw. für administrative und Sicherheitszwecke, zur Bonitätsprüfung und für Zwecke der Marktforschung, des Marketings, der Verbesserung unserer Dienstleistungen, zur Produktentwicklung und zur Einhaltung von Vorschriften des schweizerischen Rechts.
Versicherungsvertrag
Grundversicherung nach KVG
In der Grundversicherung nach dem KVG bearbeiten wir Daten nach den entsprechenden Rechtsgrundlagen, insbesondere zu den in Art. 84 KVG aufgeführten Zwecken, bspw. um
- für die Einhaltung der Versicherungspflicht zu sorgen;
- die Prämien zu berechnen und zu erheben;
- Leistungsansprüche zu beurteilen sowie Leistungen zu berechnen, zu gewähren und mit Leistungen anderer Sozialversicherungen zu koordinieren;
- den Anspruch auf Prämienverbilligungen zu beurteilen sowie die Verbilligungen zu berechnen und zu gewähren;
- ein Rückgriffsrecht gegenüber einem haftpflichtigen Dritten geltend zu machen;
- Statistiken zu führen;
- die Versichertennummer der AHV zuzuweisen oder zu verifizieren;
- den Risikoausgleich zu berechnen.
Alternative Versicherungsmodelle
Hausarzt-Modelle: Mit dem Abschluss der Hausarztversicherung erklären sich die versicherten Personen damit einverstanden, ihrem koordinierenden Arzt Einsicht in die für dieses Versicherungsmodell notwendigen Diagnose-, Behandlungs- und Rechnungsdaten ihrer medizinischen Versorgung zu gewähren. Diese Versicherungsform erfordert zudem einen Datenaustausch zwischen dem koordinierenden Arzt, der CSS und allfälligen Dritten.
Dabei handelt es sich um Diagnose-, Behandlungs- und Rechnungsdaten der versicherten Personen. Diese werden insbesondere Spezialisten, Spitälern und anderen im Rahmen der medizinischen und organisatorischen Leistungserbringung involvierten Personen und Institutionen zwecks Durchführung des Vertrages oder bei einem Wechsel des koordinierenden Arztes bekannt gegeben.
Telmed-Modelle: Mit dem Abschluss eines Telmed-Modells erklären sich die versicherten Personen damit einverstanden, dass die CSS Personendaten zur Bestimmung der Prämie, zur Bearbeitung von Schadenfällen sowie für statistische Auswertungen bearbeitet.
Die CSS kann, soweit dies erforderlich und gesetzlich zulässig ist, Daten an berechtigte Dritte (insbesondere Mit- oder Rückversicherer) weiterleiten. Die CSS kann zudem – soweit gesetzlich zulässig – bei Leistungserbringern, anderen Versicherern und Behörden die Daten einholen, die sie für die Abklärung des Leistungsanspruchs benötigt.
Die CSS kann, soweit dies erforderlich und gesetzlich zulässig ist, Daten an berechtigte Dritte (insbesondere Mit- oder Rückversicherer) weiterleiten. Die CSS kann zudem – soweit gesetzlich zulässig – bei Leistungserbringern, anderen Versicherern und Behörden die Daten einholen, die sie für die Abklärung des Leistungsanspruchs benötigt.
Die CSS liefert im Rahmen der vorliegenden Versicherungsform dem Zentrum für Telemedizin die für die Durchführung des Vertrages notwendigen Daten der versicherten Person, insbesondere Versichertennummer, Name, Vorname, Geburtsdatum, Geschlecht, Adresse, Leistungsabrechnungen und Angaben über die Versicherungsdeckung.
Das Zentrum für Telemedizin liefert der CSS diejenigen Daten, die notwendig sind, um den Leistungsanspruch zu prüfen, insbesondere Angaben zum Zeitpunkt des Telefonanrufs und zur erteilten Empfehlung. Gesundheitsdaten der versicherten Person werden ausschliesslich dem Vertrauensärztlichen Dienst der CSS mitgeteilt.
Multimed: Mit dem Abschluss der Multimed-Versicherung erklären sich die versicherten Personen damit einverstanden, dass die CSS Personendaten bearbeitet, um die Prämie zu bestimmen, Schadenfällen zu bearbeiten sowie statistische Auswertungen zu Multimed vorzunehmen. Die CSS kann, soweit dies erforderlich und gesetzlich zulässig ist, Daten an berechtigte Dritte (z.B. Leistungserbringer, andere Versicherer und Behörden) bekanntgeben, bzw. im gleichen Umfange bei diesen Daten einholen.
Die für die Behandlung notwendigen Daten sind für alle an der jeweiligen Behandlung Beteiligten (Leistungserbringer bzw. Koordinationspartner) einsehbar und können insbesondere zwecks Qualitätssicherung und Sicherstellung einer optimalen Behandlung zwischen diesen ausgetauscht bzw. bearbeitet werden. Dabei handelt es sich insbesondere um Diagnose-, Behandlungs- und Rechnungsdaten der versicherten Person.
HMO-Modell / Gesundheitspraxisversicherung (GPV): Mit dem Abschluss der Gesundheitspraxisversicherung (HMO-Modell) erklären sich die versicherten Personen einverstanden, ihrem koordinierenden Arzt Einsicht in die für dieses Versicherungsmodell notwendigen Diagnose-, Behandlungs- und Rechnungsdaten ihrer medizinischen Versorgung zu gewähren. Diese Versicherungsform erfordert zudem einen Datenaustausch zwischen dem koordinierenden Arzt, der CSS und allfälligen Dritten.
Dabei handelt es sich um Diagnose-, Behandlungs- und Rechnungsdaten der versicherten Personen. Diese werden insbesondere Spezialisten, Spitälern und anderen im Rahmen der medizinischen und organisatorischen Leistungserbringung involvierten Personen und Institutionen zwecks Durchführung des Vertrages oder bei einem Wechsel des koordinierenden Arztes bekannt gegeben.
Krankenzusatzversicherungen nach VVG
Bei den Krankenversicherungen nach VVG handelt es sich insbesondere um folgende Produkte:
VVG Heilungskosten
- Alternativversicherungen
- Ambulantversicherungen
- Spitalversicherungen
- Zahnpflegeversicherungen
VVG Spezialversicherungen
Die CSS bietet nachfolgende Versicherungen nach Bundesgesetz über den Versicherungsvertrag (VVG) an:
- Unfallversicherungen
- Taggeldversicherungen
- Sachversicherungen (Hausrat, Gebäude)
- Haftpflichtversicherungen
- Kapitalversicherungen bei Krankheit
Die CSS bearbeitet Daten, die sich aus den Antrags- bzw. Vertragsunterlagen oder aus der Vertragsabwicklung ergeben, und verwendet diese insbesondere für die Bestimmung der Prämie, für die Risikoabklärung, für die Bearbeitung von Versicherungsfällen und für statistische Auswertungen.
Die CSS kann im erforderlichen Umfang Daten an die an der Vertragsabwicklung beteiligten Dritten im In- und Ausland, insbesondere an Gesellschaften der CSS Gruppe sowie an Mit- und Rückversicherer, zur Bearbeitung weiterleiten. Bei Verdacht auf Vermögens- und Urkundendelikte sowie im Falle, dass die CSS wegen betrügerischer Begründung eines Versicherungsanspruchs vom Vertrag zurücktritt (Art. 40 VVG), kann eine Meldung an den Schweizerischen Versicherungsverband (SVV) zwecks Eintragung in das Zentrale Informationssystem (ZIS) erfolgen.
Für die Prüfung von Leistungsabrechnungen ausländischer Leistungserbringer kann die CSS die Daten an deren Beauftragte weitergeben. Ferner kann die CSS bei Amtsstellen und weiteren Dritten (z.B. Leistungserbringern, Versicherern bzw. deren medizinischen Diensten) sachdienliche Auskünfte einholen. Dies gilt unabhängig vom Zustandekommen des jeweiligen Vertrags.
Weitere Bearbeitungen
Elektronische Mitteilungen
Elektronische Mitteilungen mit Werbecharakter (z.B. in Form von Newslettern) werden unseren Kunden und Interessenten nur mit ihrer separaten Einwilligung zugesandt.
Der Versand unserer Marketing-E-Mails (Newsletter, Einladungen, Umfragen per E-Mail) wird durch den Einsatz der E-Mail-Marketing-Lösung Adobe Campaign – welche auf den Servern der CSS gehostet wird – realisiert. Personendaten, die mit der Anmeldung für den Newsletter erhoben werden, sind auf den Rechnern der CSS gespeichert. In jedem Newsletter bieten wir eine Möglichkeit zur Korrektur, Aktualisierung oder Entfernung der von Empfängern zur Verfügung gestellten Informationen.
Sämtliche elektronischen Mitteilungen mit Werbecharakter können jederzeit über einen Link am Ende der E-Mail wieder abbestellt werden. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter gespeichert und nach der Abbestellung des Newsletters gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt.
Ihre E-Mail-Adresse wird nur zum Versand unserer eigenen Informationen verwendet. Wir geben Ihre Adresse nicht an Dritte weiter. Das Klickverhalten auf Hyperlinks in E-Mails und auf Webseiten wird nur anonym aufgezeichnet.
Teilnahme an Wettbewerben, Werbeveranstaltungen, Sponsoring-Anlässen und ähnlichen Aktivitäten
Wir erheben und bearbeiten Personendaten, wenn Sie an Wettbewerben, Werbeveranstaltungen, Sponsoring-Anlässen oder ähnlichen Veranstaltungen teilnehmen. Art und Umfang der dabei bearbeiteten Personendaten ergeben sich aus den jeweiligen Teilnahmebedingungen. Dort weisen wir auch auf den Gegenstand und Umfang allfälliger Einwilligungen hin.
Nutzung WLAN
Falls Sie in unseren Räumlichkeiten ein von uns zur Verfügung gestelltes WLAN nutzen, müssen Sie sich unter Angabe von Namen und Mobiltelefonnummer oder E-Mail-Adresse anmelden. Dabei erheben wir geräte- und nutzungsspezifische Daten, insbes. Datum, Zeit und Dauer der Verbindung.
Videoüberwachte Bereiche
In bestimmten und gekennzeichneten Räumlichkeiten der CSS nehmen wir Videoaufnahmen vor. Diese Bearbeitung erfolgt zur Sicherheit unserer Mitarbeiter und zu Beweiszwecken. Bei Verdacht strafbarer Handlungen können wir die Aufnahmen im Rahmen der gesetzlichen Vorgaben den Strafverfolgungsbehörden zur Verfügung stellen.
Was gilt bei «Profiling»?
Unter Profiling versteht man die Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten, insbesondere um die Arbeitsleistung, die wirtschaftlichen Verhältnisse, die Gesundheit, das Verhalten, die Vorlieben, den Aufenthaltsort oder die Mobilität zu analysieren oder vorherzusagen.
Die CSS setzt solche automatisierte Bearbeitungen von Daten – soweit rechtlich zulässig – zu Analyse- und Prognosezwecken ein. Die wichtigsten Anwendungsgebiete des Profilings sind Risikobeurteilung, Bonitätsprüfung, Leistungsprüfung, Missbrauchsbekämpfung, Kundenpflege und gegebenenfalls Marketingzwecke. Die CSS kann Verhaltens- und Präferenzdaten, aber auch Stamm- und Vertragsdaten und Ihnen zugeordnete technische Daten kombinieren & verknüpfen, um Sie als Person mit Ihren unterschiedlichen Interessen und persönlichen Bedürfnissen besser zu verstehen.
Trifft die CSS «automatisierte Einzelentscheidungen»?
Die CSS trifft keine Entscheidungen, die ausschliesslich auf einer automatisierten Bearbeitung beruhen und die für Sie mit einer Rechtsfolge verbunden sind oder Sie erheblich beeinträchtigen (automatisierte Einzelentscheidung).
Weitergabe an Dritte – Wem geben wir Ihre Personendaten weiter und wozu?
Wir geben Personendaten an Dritte zu deren eigenen Zwecken weiter, wenn wir zu einer Weitergabe gesetzlich verpflichtet oder berechtigt sind oder Sie dazu eingewilligt haben. In derartigen Fällen ist der Empfänger der Daten datenschutzrechtlich als selbständiger Verantwortlicher zu betrachten. In keinem Fall verkaufen wir Ihre Personendaten an Dritte. Wir betreiben keinen Handel mit Ihren Personendaten.
Folgenden Kategorien von Empfängern können wir Personendaten - abhängig davon, wie Sie bei der CSS versichert sind oder waren, ob Sie sich für ein Produkt der CSS interessieren, Leistungserbringer, Behörde oder Nutzer dieser Webseite sind –bekannt geben:
- Dienstleistern von uns (z.B. Banken, Versicherungen, Beratern, IT-Providern, Dienstleistern im Marketing-Bereich, Inkassounternehmen und Wirtschaftsauskunfteien usw.);
- Vermittlern;
- Händlern, Lieferanten, Subunternehmern und sonstigen Geschäftspartnern;
- im Rahmen gesetzlicher Verpflichtungen in- und ausländischen Behörden, Sozial- und Privatversicherern, Amtsstellen oder Gerichten;
- Erwerbern oder Interessenten am Erwerb von Geschäftsbereichen, Gesellschaften oder sonstigen Teilen der CSS;
- anderen Parteien in möglichen oder tatsächlichen Verwaltungs- und Gerichtsverfahren;
- weiteren Gesellschaften der CSS-Gruppe.
Diese Empfänger können ihren Sitz im In- oder im Ausland haben. Sie müssen insbesondere mit der Übermittlung Ihrer Daten in alle Länder rechnen, in denen die von uns benutzten Dienstleister und deren Unterbeauftragten befinden (wie z.B. [Microsoft], [SAP], [Amazon] und [Salesforce.com]). Wenn wir Daten in ein Land ohne angemessenen gesetzlichen Datenschutz übermitteln, sorgen wir durch entsprechende Verträge (meist auf Basis der sog. Standardvertragsklauseln der Europäischen Kommission) für ein angemessenes Schutzniveau, soweit der Empfänger nicht bereits einem gesetzlich anerkannten Regelwerk zur Sicherstellung des Datenschutzes unterliegt und wir uns nicht auf eine Ausnahmebestimmung stützen können. Eine Ausnahme kann namentlich bei Rechtsverfahren im Ausland gelten, aber auch in Fällen überwiegender öffentlicher Interessen oder wenn eine Vertragsabwicklung eine solche Bekanntgabe erfordert, wenn Sie eingewilligt haben oder wenn es sich um von Ihnen allgemein zugänglich gemachte Daten handelt, deren Bearbeitung Sie nicht widersprochen haben.
Datensicherheit – Wie schützen wir Ihre Personendaten?
Daten auf unseren Systemen werden angemessen vor Verlust, unbeabsichtigter Veränderung, Missbrauch, Fälschung und einer ungewollten Offenlegung oder eines unberechtigten Zugriffs geschützt. Dazu treffen wir geeignete Sicherheitsmassnahmen technischer Natur (z.B. Verschlüsselung, Pseudonymisierung, Protokollierung, Zugriffsbeschränkung, Datensicherung etc.) und organisatorischer Natur (z.B. Weisungen an unsere Mitarbeiter, Vertraulichkeitsvereinbarungen, Überprüfungen etc.). Mitarbeiter der CSS unterstehen einer vertraglichen und oft auch einer gesetzlichen Schweigepflicht (in der Schweiz z.B. nach Art. 33 ATSG). Mitarbeiter der CSS werden in Datenschutzfragen geschult und sensibilisiert, und Datenbearbeitungsprozesse werden laufend überprüft und optimiert. Sicherheitsrisiken lassen sich jedoch generell nicht ganz ausschliessen.
Die Sicherheit unserer Systeme wird fortlaufend intern und extern überprüft. Die IT der CSS ist gemäss ISO-Norm 27001:2022 zertifiziert. Diese internationale Norm spezifiziert, wie ein Informationssicherheits-Managementsystem hergestellt, eingeführt, betrieben, überwacht, gewartet und verbessert wird. Die folgenden weiteren Zertifizierungen unterstreichen ebenfalls die Bedeutung des Datenschutzes in der CSS:
Der Vertrauensärztliche Dienst (VAD) der CSS ist mit dem Gütesiegel GoodPriv@cy* und zusätzlich gemäss der Verordnung über die Datenschutzzertifizierungen (VDSZ) zertifiziert.
Die CSS verfügt über eine zertifizierte (gemäss VDSZ und GoodPriv@cy) Datenannahmestelle gemäss Art. 59a der Verordnung über die Krankenversicherung. Ihr standardisiertes Regelwerk gewährleistet zum einen den Datenschutz der CSS-Versicherten und macht zum anderen den Weg frei für eine schnelle und kundenorientierte Abrechnung mit den Spitälern. Damit wird der CSS ermöglicht, Rechnungen des Typus DRG von stationären Leistungserbringern gesetzeskonform und effizient abzurechnen.
Der Prozess für die Entgegennahme und Digitalisierung von Papierdokumenten per E-Mail, App und Portal ist gemäss VDSZ zertifiziert und mit dem internationalen Zertifikat GoodPriv@cy ausgezeichnet.
* Das internationale Zertifikat GoodPriv@cy wird von der unabhängigen Schweizerischen Vereinigung für Qualitäts- und Management-Systeme (SQS) verliehen und durch jährliche Überprüfungen bestätigt.
Wie lange bewahren wir Ihre Daten auf?
Wir speichern Ihre Personendaten, solange es für den Zweck, für den wir sie erhoben haben, erforderlich ist, bei Verträgen in der Regel zumindest für die Dauer der Vertragsbeziehung. Wir speichern Personendaten ferner, wenn bestimmte Anliegen eine weitere Speicherung verlangen. Das kann insbesondere dann der Fall sein, wenn wir Personendaten benötigen, um Ansprüche durchzusetzen oder abzuwehren, zu Archivierungszwecken und zur Gewährleistung der IT-Sicherheit. Wir speichern Ihre Personendaten zudem, solange sie einer gesetzlichen Aufbewahrungspflicht unterliegen. Für bestimmte Daten gilt z.B. eine zehnjährige Aufbewahrungsfrist. Für andere Daten gelten jeweils kürzere Aufbewahrungsfristen, zum Beispiel bei Aufnahmen aus einer Videoüberwachung oder für Aufzeichnungen bestimmter Vorgänge im Internet (Log-Daten). In bestimmten Fällen können wir Sie zudem um Ihre Einwilligung bitten, wenn wir Personendaten länger speichern.
Die Personendaten des Logins zu myCSS werden während der Laufzeit des Accounts gespeichert. Wird eine Löschung des Accounts verlangt, werden die Daten umgehend gelöscht. Bei einer Deaktivierung des Accounts (z.B. bei Inaktivität oder Sperrung infolge Missbrauchs) werden die Daten nach 24 Monaten gelöscht.
Welche Rechte haben Sie?
Sie haben unter bestimmten Umständen das Recht, der Bearbeitung Ihrer Daten zu widersprechen, insbesondere der Bearbeitung zu Zwecken des Direktmarketings.
Zudem stehen Ihnen die im Folgenden aufgeführten Rechte zu, soweit die entsprechenden gesetzlichen Voraussetzungen erfüllt sind und keine Gründe für eine Einschränkung oder einen Aufschub dieser Rechte bestehen. Sie können sich zur Ausübung Ihrer Rechte an die Personen gemäss Kapitel «Verantwortliche» wenden. Bitte senden Sie uns zur Identifikation eine Kopie eines offiziellen Ausweises (z.B. Pass oder ID).
Auskunft
Sie haben das Recht, jederzeit Auskunft über Ihre bei uns gespeicherten Personendaten zu verlangen. So können Sie prüfen, welche Personendaten wir über Sie bearbeiten.
Berichtigung
Sie haben das Recht, unrichtige oder unvollständige Personendaten berichtigen bzw. vervollständigen zu lassen und über die Berichtigung informiert zu werden.
Widerspruch, Einschränkung und Löschung
Sie haben das Recht, unserer Bearbeitung zu bestimmten Zwecken zu widersprechen und die Einschränkung der Bearbeitung oder die Löschung Ihrer Personendaten zu verlangen.
Recht auf Datenübertragung
Sie haben das Recht, von uns die Herausgabe bestimmter Personendaten in einem gängigen elektronischen Format oder ihre Übertragung an einen anderen Verantwortlichen zu verlangen.
Widerruf der Einwilligung
Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen, soweit die Bearbeitung auf Ihrer Einwilligung beruht. Der Widerruf gilt nur für die künftige Bearbeitung Ihrer Personendaten.
Beschwerde
Sie haben das Recht, beim Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragten eine Beschwerde gegen unsere Datenbearbeitungen einzulegen, wenn Sie der Meinung sind, dass sie den rechtlichen Vorgaben nicht entsprechen.
Änderung dieser Datenschutzerklärung
Die CSS behält sich vor, diese Datenschutzerklärung jederzeit anzupassen. Es gilt jeweils die auf der Website der CSS veröffentlichte Version.
Abkürzungen und Gesetze
- Bundesgesetz über den Allgemeinen Teil des Sozialversicherungsrechts (ATSG)
- Bundesgesetz über den Datenschutz (DSG)
- Bundesgesetz betreffend die Aufsicht über die soziale Krankenversicherung (Krankenversicherungsaufsichtsgesetz, KVAG)
- Bundesgesetz über die Krankenversicherung (KVG)
- Bundesgesetz über den Versicherungsvertrag (VVG)
- Datenschutz-Grundverordnung (DSGVO)