Datenschutzhinweise nach KVKK

2. Begriffe und Definitionen

Die in diesem Text verwendeten Begriffe haben die in Art. 3 KVKK festgelegte Bedeutung:

Personenbezogene Daten: alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.

Besondere Kategorien personenbezogener Daten: die in Art. 6 KVKK genannten sensiblen Daten: Gesundheit, biometrische, genetische, sexuelle Identität, strafrechtliche Verurteilungen und ähnliche.

Betroffene Person: die natürliche Person, deren personenbezogene Daten verarbeitet werden (Versicherungsnehmer, Versicherter, Begünstigter, Antragsteller, Website-Besucher).

Verantwortlicher: juristische Person, die über Zwecke und Mittel der Verarbeitung entscheidet und für Aufbau und Verwaltung des Datenregistersystems verantwortlich ist.

Auftragsverarbeiter: natürliche oder juristische Person, die personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet.

SBM: Versicherungsinformations- und Aufsichtszentrum (Art. 31/B Gesetz Nr. 5684).

SEDDK: Regulierungs- und Aufsichtsbehörde für Versicherung und private Altersvorsorge.

TARSİM: Pool für Agrarversicherung (Gesetz Nr. 5363).

DASK: Anstalt für Versicherung gegen Naturkatastrophen (Gesetz Nr. 6305).

3. Welche Daten wir verarbeiten

Je nach gewünschtem Produkt oder vorgenommener Transaktion verarbeiten wir folgende Datenkategorien. Diese Kategorien werden niemals vollständig gleichzeitig verarbeitet — angefordert werden nur die für die jeweilige Leistung erforderlichen Daten.

Identifikations- und Kontaktdaten: Name, türkische Identifikationsnummer (T.C. kimlik no, für die Policenausstellung erforderlich), bei Ausländern Pass- oder Ausländer-ID, Telefon, E-Mail, Adresse, Geburtsdatum.

Daten zum versicherten Gegenstand: bei Kfz-Versicherungen Kennzeichen, Fahrzeugschein, Motor- und Fahrgestellnummer, Marke/Modell, Schadenfreiheitsklasse; bei Wohn- und Gewerbeversicherungen Anschrift, Grundbuchdaten, Bruttofläche, Bauweise; bei Agrarversicherungen Parzellen- und Flurstücksdaten, Kultur, Anbaufläche; bei Krankenversicherungen angegebene Gesundheitsangaben (besondere Kategorie), ärztliche Befunde, eingenommene Medikamente; bei der Krankenversicherung für Ausländer Pass- und Aufenthaltsdaten.

Finanzdaten: Zahlungsart der Prämie sowie die von der Bank zurückgegebene Transaktionsreferenz. Kartendaten werden bei uns nicht gespeichert; Zahlungen werden über PCI-DSS-konforme Infrastrukturen abgewickelt.

Schadendaten: Datum und Art des Schadens, Sachverständigengutachten, Rechnungen, Fotos, Polizeibericht, Zeugenaussagen; bei Krankenfällen Epikrise, Rezepte, Befundberichte (nur mit Ihrer ausdrücklichen Einwilligung).

Audio- und Bildaufzeichnungen: Texte der WhatsApp-Konversationen (zur Nachverfolgung von Angebot und Anfrage). Telefongespräche werden nicht aufgezeichnet.

Website- und technische Daten: nicht rückführbar gehashte IP-Adresse und Browser-Signatur, besuchte Seiten, Besuchsdauer, Verweis-Website, Spracheinstellung, Sitzungskennung.

4. Verarbeitungszwecke

Ihre Daten werden im Einklang mit den allgemeinen Grundsätzen aus Art. 4 KVKK (Rechtmäßigkeit und Treu und Glauben, Richtigkeit und Aktualität, bestimmte, ausdrückliche und legitime Zwecke, Erforderlichkeit und Verhältnismäßigkeit) zu folgenden Zwecken verarbeitet:

Abschluss der Versicherungspolice: Einholung von Angeboten mehrerer Versicherer, Auswahl der geeigneten Deckung, Ausstellung der Police und Inkasso der Prämie.

Unabhängige Vermittlung: vergleichende Darstellung der Angebote der Gesellschaften, deren autorisierter Agent wir sind.

Kundenbetreuung: Erinnerungen zur Policenverlängerung, Anpassungen der Deckung, Beantwortung von Anfragen.

Schadenmanagement: Öffnung und Bearbeitung der Schadenakte beim Versicherer und Auszahlung an den Begünstigten.

Erfüllung gesetzlicher Pflichten: Melde-, Aufbewahrungs-, Prüf- und Berichtspflichten nach dem Versicherungsgesetz, dem Steuer- und Handelsrecht sowie KVKK- und MASAK-Vorschriften.

Berichterstattung an Behörden: Bereitstellung der von SEDDK, SBM, TARSİM, DASK und anderen Behörden angeforderten Informationen.

Kommunikation und Information: Versand von Verlängerungserinnerungen und Servicemitteilungen nur mit Ihrer ausdrücklichen Einwilligung.

Messung der Website-Performance: anonyme Besuchsstatistiken (Einzelbesucher, Seitenaufrufe), Überwachung des Netzwerkverkehrs und Verhinderung missbräuchlicher Zugriffe.

5. Rechtsgrundlage

Ihre Daten werden auf den folgenden, in Art. 5 und Art. 6 KVKK aufgeführten Rechtsgrundlagen verarbeitet:

Erfüllung oder Anbahnung eines Vertrags (Art. 5/2-c): Ausstellung der Police, Einzug der Prämie, Gewährung der Deckung und Schadenregulierung.

Gesetzliche Anordnung (Art. 5/2-a): Versicherungsgesetz Nr. 5684, Türkisches Handelsgesetzbuch Nr. 6102, Steuerverfahrensgesetz Nr. 213, Katastrophenversicherungsgesetz Nr. 6305, Agrarversicherungsgesetz Nr. 5363 und Geldwäschegesetz Nr. 5549.

Erfüllung einer rechtlichen Verpflichtung (Art. 5/2-ç): SEDDK-Vorschriften, Verordnung über Versicherungsagenten, Verordnung über Erhebung, Aufbewahrung und Weitergabe von Versicherungsdaten (vom 18.10.2022, RG Nr. 31987).

Begründung, Ausübung oder Schutz eines Rechts (Art. 5/2-e): Schadenrechtsstreitigkeiten, Versicherungs-Schiedsverfahren, Gerichtsverfahren.

Berechtigtes Interesse des Verantwortlichen (Art. 5/2-f): Sicherheit der Website, Betrugsprävention und Qualitätsmessung — sofern grundlegende Rechte und Freiheiten der betroffenen Person nicht beeinträchtigt werden.

Ausdrückliche Einwilligung (Art. 5/1 und Art. 6/2): Verarbeitung besonderer Datenkategorien (z. B. Gesundheitsdaten) sowie Direktwerbung erfolgen mit Ihrer ausdrücklichen Einwilligung, die Sie jederzeit widerrufen können.

6. Datenübermittlung: an wen und unter welchen Bedingungen

Übermittlung im Inland: an die Versicherungs- und Pensionsgesellschaften, deren autorisierter Agent wir sind (für Angebot, Policenausstellung und Schadenbearbeitung); an SBM (verpflichtende Übermittlung nach Art. 31/B Gesetz Nr. 5684 sowie der Verordnung über Erhebung, Aufbewahrung und Weitergabe von Versicherungsdaten); an DASK (im Rahmen der Pflicht-Erdbebenversicherung); an TARSİM (im Rahmen der Agrarversicherung); an SEDDK und das Ministerium für Schatz und Finanzen (Aufsicht und Berichterstattung); an Rückversicherer (über den Versicherer); an Steuerberater, Wirtschaftsprüfer und Anwälte (im Rahmen vertraglicher Geheimhaltungspflichten); an Anbieter unserer IT-Infrastruktur (als Auftragsverarbeiter, vertraglich gebunden); an autorisierte öffentliche Stellen (Gericht, Staatsanwaltschaft, Polizei, Finanzamt) bei rechtmäßigen Auskunftsersuchen.

Übermittlung ins Ausland: Personenbezogene Daten werden grundsätzlich nicht ins Ausland übermittelt; unsere Server stehen in der Türkei. In unvermeidbaren Fällen (z. B. ein Schadenfall im Ausland im Rahmen der Reisekrankenversicherung) erfolgt die Übermittlung gemäß Art. 9 KVKK in der durch Gesetz Nr. 7499 geänderten Fassung (in Kraft seit 01.06.2024) — entweder mit Ihrer ausdrücklichen Einwilligung oder mit vom Kuratorium festgelegten geeigneten Garantien (Übermittlung in Länder mit angemessenem Schutzniveau, Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften).

Eingebettete Drittinhalte: Für eingebettete Inhalte wie die Google-Maps-Karte auf der Kontaktseite gelten die Datenschutzrichtlinien des jeweiligen Anbieters.

7. Aufbewahrungsdauer

Ihre personenbezogenen Daten werden für den zur Zweckerfüllung erforderlichen Zeitraum gespeichert und nicht kürzer als die gesetzlich festgelegten Mindestfristen:

Nach Ablauf der Frist werden die Daten gemäß Art. 7 KVKK und der „Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten" gelöscht, vernichtet oder anonymisiert.

8. Datenschutzmaßnahmen

Gemäß Art. 12 KVKK ergreifen wir technische und organisatorische Maßnahmen, um unbefugten Zugriff auf personenbezogene Daten, ihre fehlerhafte oder unbefugte Änderung sowie ihren Verlust zu verhindern.

8.1. Technische Maßnahmen

• Zugriff auf Server und Datenbanken durch Passwörter und mehrstufige Authentifizierung beschränkt.
• Sämtliche Kommunikation verschlüsselt mit TLS 1.2 und höher (Let's-Encrypt-Zertifikat).
• Passwörter werden mit modernen Algorithmen (argon2id) gespeichert; Identitäts-Hashes mit SHA-256.
• In Besuchsprotokollen werden IP-Adresse und Browser-Signatur mit täglich rotierendem Salt SHA-256-gehasht; Roh-IPs werden nicht gespeichert.
• In HTTP-Headern sind HSTS, Content-Security-Policy, X-Frame-Options und Referrer-Policy aktiviert.
• Anfragenbegrenzung (Rate-Limit) verhindert missbräuchliche Zugriffe.
• Regelmäßige Backups und Notfallwiederherstellungsplan; Backups werden ebenso verschlüsselt.
• Software-Abhängigkeiten werden aktuell gehalten und Sicherheits-Patches zeitnah eingespielt.

8.2. Organisatorische Maßnahmen

• Mitarbeiterschulungen zum Datenschutz und Unterzeichnung von Vertraulichkeitsverpflichtungen.
• Zugriffsrechte nach dem Need-to-know-Prinzip.
• Auftragsverarbeiterverträge enthalten KVKK-Konformitätsklauseln.
• Datenverzeichnis, Lösch- und Anonymisierungsplan sowie interne Richtlinien werden aktuell gehalten.

9. Cookies und Webtechnologien

Unsere Website verwendet eine begrenzte Anzahl von Cookies und vergleichbaren Technologien, um das Nutzererlebnis zu verbessern und den Dienst sicher zu betreiben.

Drittanbieter-Werbe- oder Tracking-Cookies werden nicht eingesetzt; Social-Media-Plug-ins sind nicht vorhanden. Lediglich auf der Kontaktseite ist eine Google-Maps-Karte als iframe eingebettet; deren Laden unterliegt den Google-Richtlinien. Sie können Cookies in den Browsereinstellungen ablehnen — in diesem Fall werden personalisierte Funktionen wie die Spracheinstellung eingeschränkt, die grundlegenden Funktionen der Seite bleiben verfügbar.

10. Besondere Regelungen der Versicherungsvermittlung

Neben dem KVKK unterliegt die Versicherungsvermittlung folgenden besonderen Vorschriften:

Art. 31/A Gesetz Nr. 5684 (Geheimhaltungspflicht): bei Abschluss, Durchführung oder Beendigung eines Versicherungsvertrags erlangte Geheimnisse dürfen Dritten nicht offenbart werden; diese Pflicht besteht auch nach Beendigung der Tätigkeit fort.

Verordnung über Versicherungsagenten: Agenten unterstehen der Aufsicht der SEDDK, haben Informationspflichten gegenüber Kunden und müssen eine Berufshaftpflichtversicherung führen; mit der Änderung vom 22.01.2025 wurden die Anforderungen zur Angabe der Agenturbezeichnung auf der Website und das Verfahren zur Erteilung der Eignungsbescheinigung über die TOBB präzisiert.

Verordnung über Erhebung, Aufbewahrung und Weitergabe von Versicherungsdaten (18.10.2022, RG Nr. 31987): regelt die verpflichtende Datenübermittlung an die SBM sowie den dazugehörigen Verfahrensrahmen.

Gesetz Nr. 6305 über Katastrophenversicherung: Rechtsgrundlage der Übermittlung an DASK im Rahmen der Pflicht-Erdbebenversicherung.

Gesetz Nr. 5363 über Agrarversicherung: regelt die verpflichtende Datenübermittlung an TARSİM.

Gesetz Nr. 5549 über die Verhütung der Geldwäsche: Versicherungsagenten sind im Rahmen der einschlägigen Verordnungen verpflichtete Personen und erfüllen entsprechende Know-Your-Customer-Pflichten (KYC).

Innerhalb der genannten Rechtsvorschriften werden Daten zum versicherten Gegenstand und zur versicherten Person unter Wahrung der KVKK-Bestimmungen an die zuständigen Stellen übermittelt.

11. Ihre Rechte als betroffene Person (Art. 11 KVKK)

Als betroffene Person können Sie sich an Suprem Sigorta wenden und folgende Rechte ausüben:

Auskunft darüber, ob Ihre personenbezogenen Daten verarbeitet werden, und gegebenenfalls Auskunft über die Verarbeitung;

Auskunft über den Verarbeitungszweck und darüber, ob die Daten zu diesem Zweck genutzt werden;

Auskunft über die Empfänger im In- und Ausland;

Berichtigung unvollständiger oder unrichtiger Daten verlangen und die Mitteilung dieser Berichtigung an die Empfänger fordern;

in den Fällen des Art. 7 die Löschung, Vernichtung oder Anonymisierung der Daten verlangen und die Mitteilung dieser Maßnahmen an die Empfänger fordern;

der ausschließlich automatisierten Entscheidungsfindung, die Sie nachteilig betrifft, widersprechen;

Ersatz des durch eine rechtswidrige Verarbeitung entstandenen Schadens verlangen.

12. Vorgehen bei einer Anfrage

Zur Ausübung der oben genannten Rechte können Sie sich gemäß „Verordnung über die Verfahren und Grundsätze der Anfrage an den Verantwortlichen" auf einem der folgenden Wege an uns wenden:

Schriftliche Anfrage (mit eigenhändiger Unterschrift): persönlich bei unserer eingetragenen Adresse oder per Einschreiben mit Rückschein.

Per E-Mail: von Ihrer bei uns hinterlegten Mailadresse an info@supremsigorta.com.tr.

Geben Sie in Ihrer Anfrage Ihre Identifikationsdaten, das Anliegen und gegebenenfalls beigefügte Unterlagen an. Gemäß Art. 13 KVKK wird Ihre Anfrage innerhalb von höchstens 30 Tagen bearbeitet. In den vom Kuratorium festgelegten Fällen kann eine Gebühr erhoben werden.

Bei Ablehnung, unzureichender Antwort oder fehlender Antwort innerhalb der Frist können Sie eine Beschwerde beim Personal Data Protection Board (kvkk.gov.tr) einreichen.

13. Vorgehen bei einer Datenpanne

Gemäß Art. 12/5 KVKK identifizieren wir bei einem rechtswidrigen Zugriff Dritter auf Ihre personenbezogenen Daten den Vorfall schnellstmöglich und melden ihn innerhalb von 72 Stunden an das Personal Data Protection Board; die betroffenen Personen werden ebenfalls in kürzester Zeit informiert. In der Meldung werden Art des Vorfalls, betroffene Datenkategorien sowie ergriffene und geplante Maßnahmen aufgeführt.

14. Änderungen und Inkrafttreten

Diese Datenschutzhinweise können bei Gesetzesänderungen, einer Erweiterung unserer Dienstleistungen oder bei Aktualisierungen unserer technischen Infrastruktur überarbeitet werden. Die jeweils aktuelle Fassung wird stets auf dieser Seite veröffentlicht; bei wesentlichen Änderungen informieren wir Sie über die hinterlegten Kommunikationskanäle.