Datenschutz
1. Hintergrund und Begriffe
Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung Ihrer personenbezogenen Daten durch die datenschutzrechtlichen Verantwortliche gem. Art. 13 und 14 Datenschutz-Grundverordnung (DSGVO).
Es werden die folgenden Begriffsdefinitionen, insbesondere die der DSGVO, zugrunde gelegt:
Begriff | Erläuterung |
Auftragsverarbeiter | Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO) |
Cookies | Ein Cookie ist eine Textinformation, die im Browser auf dem Endgerät des Betrachters (Computer, Laptop, Smartphone, Tablet usw.) jeweils zu einer besuchten Website (Webserver, Server) gespeichert werden kann. Das Cookie wird entweder vom Webserver an den Browser gesendet oder im Browser von einem Skript (JavaScript) erzeugt. Der Webserver kann bei späteren, erneuten Besuchen dieser Seite diese Cookie-Information direkt vom Server aus auslesen oder über ein Skript der Website die Cookie-Information an den Server übertragen. (Quelle: Wikipedia) |
Datensicherheit | Datensicherheit ist die Vertraulichkeit, Verfügbarkeit und Integrität von personenbezogenem Daten; auch als technisch-organisatorischer Datenschutz bezeichnet (Art 32 DSGVO) |
Datenverarbeitung | Ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art 4 Nr. 2 DSGVO) |
Drittland | Drittland bezeichnet Staaten außerhalb der Europäischen Union, für die die Europäische Kommission kein der Europäischen Union gleichwertiges Datenschutzniveau festgestellt hat (Art. 44 DSGVO) |
Patienten und Patientendaten |
Patienten sind diejenigen natürlichen Personen, die die Beratung der Apothekerinnen und Apotheker in Anspruch nehmen, die Rezepte einlösen und für die Medikamente individuell angefertigt werden. Patientendaten sind diejenigen individuellen Daten, die dem Berufsgeheimnis der Apotheker unterfallen. |
Personenbezogene Daten und betroffene Person | Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen (Art 4 Nr. 1 DSGVO) |
Pseudonymisierung | Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden (Art. 4 Nr. 5 DSGVO). |
Verantwortlicher | Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art 4 Nr. 7 DSGVO). |
2. Verantwortliche
Datenschutzrechtlich Verantwortliche für die Website www.sparmed.de („Website“) ist die Atida Plus B.V. („wir“) mit Sitz in Venlo (NL).
3. Datenschutzbeauftragter
Wir haben einen betrieblichen Datenschutzbeauftragten bestellt und ein Datenschutz-Team im Einsatz. Unser Datenschutz-Team erreichen Sie per E-Mail über datenschutz@sparmed.de. Über diesen Weg können wir sicherstellen, dass Ihr Anliegen fristgerecht bearbeitet wird.
4. Details der Datenverarbeitungen nach Betroffenengruppen
Im Folgenden finden Sie alle Details zu den Datenverarbeitungen. Die Datenverarbeitungen sind dabei nach Betroffenengruppen strukturiert dargestellt.
4.1. Webseitenbesucher
Sind Sie Besucher unserer Website, verarbeiten wir Ihre personenbezogenen Daten wie folgt. Wir nutzen dabei Dienste von Dritten. Unter diese Dienste fällt auch die Nutzung von Cookies für verschiedene Zwecke („Marketing“, „Analyse“, „Funktionell“ und „Essenziell“). Konkrete Informationen zu den einzelnen Cookies und individuelle Einstellungsmöglichkeiten finden Sie unter den „Datenschutzeinstellungen“ im Consent Management Tool (erreichbar über das eingeblendete Consent-Icon).
Dort können Sie in Verarbeitungen einwilligen und Verarbeitungen auf Grundlage des berechtigten Interesses widersprechen. Sie können Ihre Präferenzen auch zu einem späteren Zeitpunkt anpassen oder Ihre Einwilligung mit Wirkung für die Zukunft widerrufen. Bitte beachten Sie, dass ohne Ihre Einwilligung einzelne Funktionen der Websites nur eingeschränkt zur Verfügung stehen.
4.1.1. Betrieb der Website
Verarbeitung | Betrieb der Webseite |
Zweck |
Herstellung der technischen Verbindung zwischen dem Endgerät des Besuchers zu unserer Website (Aufruf der Webseite) |
Kategorien verarbeiteter Daten | IP-Adresse (Internet-Protokoll-Adresse), der Internet-Service-Provider des zugreifenden Systems, verwendeter Browsertypen und Version, das vom zugreifenden System verwendete Betriebssystem |
Kategorien von Empfängern | Extern: Mitarbeiter des Webseiten-Hosters Intern: IT-Administratoren, Marketingabteilung |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien |
Session: Datenlöschung bei Beendigung der jeweiligen Sitzung |
Rechtsgrundlagen | Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung) |
4.1.2. Kontaktaufnahme
Verarbeitung | Kontaktaufnahme ohne Registrierung |
Zweck |
Annahme, Prüfung und Bearbeitung von Anfragen über Kontaktformular, E-Mail und Telefon |
Kategorien verarbeiteter Daten | Kontaktdaten über E-Mail, Kontaktformular, Telefon oder über soziale Medien: Name und E-Mail-Adresse. Verbindungsdaten: E-Mail-Adresse, Nutzername soziale Medien und ggf. Telefonnummer. Inhalte des ausgefüllten Kontaktformulars, der E-Mails und Telefonate können personenbezogen sein. |
Kategorien von Empfängern |
Extern: E-Mail- und Telekommunikationsprovider |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien |
Die Löschung erfolgt, sobald die jeweilige Anfrage erledigt und damit der Zweck der Speicherung entfallen ist. |
Rechtsgrundlagen | Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung) |
4.1.3. Behandlung und Abwehr von Angriffen
Verarbeitung |
Behandlung und Abwehr von Angriffen |
Zweck |
Analysieren von Angriffen, Abwehr von Angriffen, Beweissicherung und -führung zur Rechtsverfolgung |
Kategorien verarbeiteter Daten | die IP-Adresse (Internet-Protokoll-Adresse), der Internet-Service-Provider des zugreifenden Systems, Datum und die Uhrzeit des Zugriffs auf die Internetseite, verwendeter Browsertypen und Version, das vom zugreifenden System verwendete Betriebssystem, die Internetseite, von der ein zugreifendes System auf unsere Internetseite gelangt auf unserer Webseite besuchte Unterwebseiten und sonstige ähnliche Daten und Informationen |
Kategorien von Empfängern | Extern: Mitarbeiter des Webseiten-Hosters Intern: IT-Administratoren, Team Informationssicherheit |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien |
Logfiles werden sieben Tage gespeichert. |
Rechtsgrundlagen | Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an der Wahrung der Datensicherheit (Datenschutz) sowie der Verfügbarkeit, Vertraulichkeit und Integrität von Informationen (Informationssicherheit/Cybersecurity) |
4.1.4. Analyse des Nutzerverhaltens (Webanalyse), Marketing und Drittanbieter-Tools
Verarbeitung | Analyse des Nutzerverhaltens (Webanalyse), Marketing und Drittanbieter-Tools |
Zweck |
Analyse des Nutzerverhaltens, Optimierung der eigenen Internetpräsenz, Statistische Auswertungen, Marketing |
Kategorien verarbeiteter Daten | technische Daten wie IP-Adresse, Verhaltensdaten |
Kategorien von Empfängern | Extern: Analyse-Tool-Anbieter, Drittanbieter Intern: Marketingabteilung |
Drittstaaten-Datentransfer | ja, siehe Hinweise im Consent-Management-Tool (erreichbar über das eingeblendete Consent-Icon) |
Speicherdauer bzw. deren Kriterien |
bis Widerruf bzw. Widerspruch bzw. Zweckfortfall; danach erfolgt die Löschung bzw. Anonymisierung |
Rechtsgrundlagen | Art. 6 Abs.1 f) DSGVO (berechtigtes Interesse: statistische Analyse des Nutzerverhaltens zu Optimierungs- und Marketingzwecken), Art. 6 Abs. 1 a) DSGVO (Einwilligung) |
4.2. Newsletter-Empfänger
Sind Sie ein Newsletter-Abonnent, der einen unserer-Newsletter bezieht, verarbeiten wir Ihre personenbezogenen Daten wie folgt:
Die von Ihnen über die hierfür vorgesehene Eingabemaske eingegebenen Daten werden bei der Anmeldung an uns übermittelt und verarbeitet. Die Angabe Ihrer E-Mail-Adresse ist in jedem Fall verpflichtend. Die Angabe etwaiger weiterer Daten ist freiwillig und dient Ihrer persönlichen Ansprache. Zum Zeitpunkt der Absendung der Nachricht speichern wir Ihre IP-Adresse sowie Datum und Uhrzeit Ihrer Registrierung im Kontaktformular.
4.2.1. Newsletter ohne Kundenbeziehung
Sofern Sie unseren Newsletter bestellen, aber kein Bestandskunde sind, nutzen wir das Double-Opt-In-Verfahren, um sicherzustellen, dass Sie nur dann unter Nutzung Ihrer E-Mailadresse unseren Newsletter bekommen, wenn Sie über die E-Mailadresse verfügungsberechtigt sind und unseren Newsletter auch wirklich erhalten wollen. Dazu senden wir Ihnen eine Benachrichtigungsmail zu, in der Sie durch das Anklicken des in dieser E-Mail enthaltenen Links die Bestellung bestätigen.
Verarbeitung | Anmeldung zum Newsletterversand |
Zweck |
Werbung; Unterbreitung von Angeboten Waren bzw. Dienstleistungen |
Kategorien verarbeiteter Daten | E-Mailadresse, Name, Vorname |
Kategorien von Empfängern | Extern: Newsletter-Provider Intern: Marketingabteilung |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien |
Bis zur Abbestellung des Newsletters |
Rechtsgrundlagen |
Art. 6 Abs. 1 lit. a (Einwilligung) |
4.2.2. Newsletters an Bestandskunden
Bestandskunden erhalten von uns automatisch den Newsletter. Der Newsletter kann jederzeit abbestellt und damit der weiteren Nutzung der E-Mailadresse für diesen Zweck widersprochen werden.
Verarbeitung | Versand des E-Mail-Newsletters an Bestandskunden |
Zweck |
Werbung, Unterbreitung von Angeboten Waren bzw. Dienstleistungen |
Kategorien verarbeiteter Daten | E-Mailadresse, Name, Vorname |
Kategorien von Empfängern | Extern: Newsletter-Provider Intern: Marketingabteilung |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien |
Bis zum Widerspruch |
Rechtsgrundlagen | Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse: Bestandskundenwerbung) |
4.2.3. Newsletter Analyse
Verarbeitung | Newsletter Analyse |
Zweck |
statistische Analyse, inwieweit der Newsletter gelesen und die darin enthaltenen Informationsangebote vom Adressaten wahrgenommen werden; Verbesserung von Inhalten und Darstellung |
Kategorien verarbeiteter Daten | IP-Adresse, Browser, Betriebssystem |
Kategorien von Empfängern | Extern: Newsletter-Provider Intern: Marketingabteilung |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien |
Bis zur Auswertung; danach erfolgt die Löschung bzw. Anonymisierung |
Rechtsgrundlagen | Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse: Verbesserung von Inhalten und Darstellung des Newsletters) |
4.3. Interessenten und Kunden
Sie können als Interessent bei uns Informationen zu unseren Produkten und Dienstleistungen erfragen, ohne Produkte und Dienstleistungen zu bestellen oder eine pharmazeutische Beratung in Anspruch zu nehmen. Als Kunden können Sie unsere Produkte und Dienstleistungen bestellen.
Verarbeitung |
Mailingaktionen (Mailversand) |
Zweck |
Als Kunde von SPARMED erhalten Sie Produktempfehlungen & Bewertungsanfragen per E-Mail. Der Nutzung Ihrer E-Mail Adresse für die Übersendung der Produktempfehlungen und Bewertungsanfragen können Sie jederzeit für die Zukunft widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen, am einfachsten über den in jeder E-Mail enthaltenen Link. |
Kategorien verarbeiteter Daten |
Kontaktdaten (Details: Kontaktdaten (Name, E-Mail)) |
Kategorien von Empfängern |
Intern (Details: Interne Abteilung (Marketing)) |
Drittstaaten-Datentransfer |
nein |
Speicherdauer bzw. deren Kriterien |
Bis Widerruf durch den Betroffenen. |
Rechtsgrundlagen |
§ 7 Abs. 3 UWG |
4.3.1. Einrichtung und Unterhaltung eines Kundenkontos
Verarbeitung | Einrichtung und Unterhaltung eines Nutzerkontos für den Online Shop |
Zweck |
Vereinfachte Bestellung durch hinterlegte Stammdaten |
Kategorien verarbeiteter Daten | Stammdaten: Kontakt-, Liefer- und Zahlungsdaten (Name, Adresse, E-Mailadresse, Telefonnummer, Zahlungsdaten etc.) Transaktionsdaten: bestellte Produkte und Dienstleistungen (Produktbezeichnung, Menge, Datum der Bestellung, Preis etc.) |
Kategorien von Empfängern | Extern: IT-Dienstleister Intern: Kundenservice, Logistik |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien |
Bis zum Löschungsverlangen |
Rechtsgrundlagen | Art. 6 Abs.1 b) DSGVO (Vertragserfüllung) |
4.3.2. Kundenbestellungen
Verarbeitung | Kundenbestellungen im Online-Shop |
Zweck | Aufnahme, Bearbeitung und Abwicklung von Kundenbestellungen |
Kategorien verarbeiteter Daten | Kunden-Kontaktdaten (Name, Adresse, Telefonnummer, E-Mailadresse), Bestell- und Abrechnungsdaten, Kaufhistorien, Korrespondenz, Vorgangsinformationen, Bankverbindungdaten |
Kategorien von Empfängern | Extern: IT-Dienstleister Intern: Kundenservice, Logistik |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | nach Ablauf von handels- und steuerrechtlichen Aufbewahrungsfristen (7 bzw. 10 Jahre), nach Ablauf gesetzlicher Dokumentationspflichten, z.B. bei der Verschreibung von Betäubungsmitteln 20 Jahre nach dem niederländischen Betäubungsmittelgesetz |
Rechtsgrundlagen | Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung); Art. 9 Abs.2 lit. h DSGVO, § 22 Abs. 1 Nr. 1 b) BDSG (soweit rezeptpflichtige Bestellung/Gesundheitsdaten) |
4.3.3. Lieferung
Verarbeitung | Lieferung von Waren an Kunden |
Zweck | Lieferung von Waren an Kunden zur Ausführung von Shop-Bestellungen |
Kategorien verarbeiteter Daten | Name, Lieferanschrift |
Kategorien von Empfängern | Extern: IT-Dienstleister, Versanddienstleister Intern: Logistik |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | nach Ablauf von handels- und steuerrechtlichen Aufbewahrungsfristen (10 Jahre) |
Rechtsgrundlagen | Art. 6 Abs.1 b) DSGVO (Vertragserfüllung) Art. 6 Abs.1 c) DSGVO (Erfüllung einer rechtlichen Verpflichtung) |
4.3.4. Zahlungsabwicklung von Kundenbestellungen
Verarbeitung | Zahlungsabwicklung von Kundenbestellungen |
Zweck | Zahlungsabwicklung von Kundenbestellungen im Online-Shop |
Kategorien verarbeiteter Daten | Name, Adresse, Bankverbindung, Zahlungsdaten |
Kategorien von Empfängern | Extern: Banken, Zahlungsdienstleister Intern: Finanzbuchhaltung |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | nach Ablauf von handels- und steuerrechtlichen Aufbewahrungsfristen (10 Jahre) |
Rechtsgrundlagen | Art. 6 Abs.1 b) DSGVO (Vertragserfüllung) Art. 6 Abs.1 c) DSGVO (Erfüllung einer rechtlichen Verpflichtung) |
4.3.5. Forderungsbeitreibung (Inkasso)
Verarbeitung | Forderungsbeitreibung (Inkasso) |
Zweck | Forderungsbeitreibung |
Kategorien verarbeiteter Daten | Name, Kontakt- und Adressdaten, Zahlungsdaten |
Kategorien von Empfängern | Extern: Inkassobüro Intern: Finanzbuchhaltung |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | nach Ablauf von handels- und steuerrechtlichen Aufbewahrungsfristen (10 Jahre) |
Rechtsgrundlagen | Art. 6 Abs.1 c) DSGVO (Erfüllung einer rechtlichen Verpflichtung) Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse: Forderungsbeitreibung) |
4.3.6. Werbung
Verarbeitung | Werbung |
Zweck | Bewertungserinnerungen zu Werbezwecken, Direktwerbung |
Kategorien verarbeiteter Daten | Kunden-Kontaktdaten (Name, E-Mailadresse) |
Kategorien von Empfängern | Extern: IT-Dienstleister, Anbieter von Bewertungssystemen Intern: Marketing |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | Bis zum Zweckfortfall |
Rechtsgrundlagen | Art. 6 Abs.1 f) DSGVO (berechtigtes Interesse: Bestandskundenwerbung) |
4.4. Patienten
Als Patient können Sie die Beratung der Apothekerinnen und Apotheker in Anspruch nehmen, Rezepte einlösen und Medikamente individuell anfertigen lassen. Für alle diese Aufgaben verarbeiten wir zweckbezogen Ihre personenbezogenen Daten und erfüllen insbesondere unsere berufsrechtlichen Aufklärungs- und Beratungspflichten. Die dabei von Ihnen verarbeiteten Daten lassen in der Regel einen Rückschluss auf Ihren Gesundheitszustand zu. Somit handelt es sich dann um Gesundheitsdaten im Sinne des Datenschutzrechts.
4.4.1 Pharmazeutische Sorge und Beratung; Prüfung der Wechselwirkung
Unsere Apotheker haben umfangreiche gesetzliche Prüf-, Beratungs und Aufklärungs- sowie Dokumentations- und Nachweispflichten, die auch Ihre personenbezogenen Daten umfassen können. So sind sie verpflichtet, eine Patientenakte zu führen. Diese Akte enthält Informationen über Sie als Patient und Informationen, die für Ihre Behandlung notwendig sind. Wir sind so z.B. verpflichtet, Ihre Versicherungsnummer in unsere Unterlagen aufzunehmen, und wir müssen sie bei der Kommunikation mit anderen Gesundheitsdienstleistern und bei der Abrechnung mit ihnen als Patienten und mit den Versicherern verwenden. Außerdem müssen wir Ihre Identität überprüfen. Als Apotheker wird von uns auch erwartet, dass wir Sie zu Ihrer Krankengeschichte befragen und die Ergebnisse dokumentieren. Dies kann auch die Konsultation anderer Leistungserbringer des Gesundheitswesens erfordern. Sollte dies notwendig sein, werden wir Sie ausführlich über die avisierte Konsultation informieren, Ihre Einwilligung dafür einholen und diese dokumentieren. Sie können einwilligen, dass alle oder nur bestimmte Informationen allen oder nur bestimmten Gesundheitsdienstleistern zur Verfügung gestellt werden. Falls ein lebenswichtiges Interesse besteht, z.B. bei medizinischer Dringlichkeit, und Sie nicht in der Lage sind, eine solche Einwilligung zu erteilen, werden wir eine erforderliche Konsultation auch ohne Ihre Einwilligung durchführen.
Verarbeitung | Pharmazeutische Sorge und Beratung; Prüfung der Wechselwirkung |
Zweck | Bereitstellung von medizinischer Versorgung, z. B. Beratung über und Abgabe von verschreibungspflichtigen Medikamenten und Arzneimitteln; Einhaltung der geltenden Rechtsvorschriften über die Bereitstellung von Arzneimitteln und die Gesundheitsfürsorge sowie der medizinischen und pharmazeutischen Richtlinien, wie z. B.: die Anforderung der Krankenakte. |
Kategorien verarbeiteter Daten | Name, Vorname, Geburtsdatum, Anschrift, Kostenträger, Versicherungsstatus, Versichertennummer, verordnender Arzt, Medikation, Hilfsmittel mit Indikation/Diagnose, Namenszeichen |
Kategorien von Empfängern | Extern: IT-Dienstleister,, Leistungserbringer des Gesundheitswesens Intern: Apotheker |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 7, 10 oder 20 Jahre (gesetzliche Aufbewahrungspflichten nach HGB und AO sowie pharmazeutische Dokumentationspflichten) |
Rechtsgrundlagen | Art. 6 Abs.1 c) DSGVO (Erfüllung einer rechtlichen Verpflichtung) § 17 Abs. 6 ApBetrO Artt. 7:446, , 7:454 (1) und 7:457 DCC Niederländische Bürgerliches Gesetzbuch, Art. 88 Niederländische Apothekengesetz Art. 9 2. a), c) und h) DSGVO |
4.4.2. Abrechnung Krankenversicherung
Verarbeitung | Abrechnung Krankenversicherung |
Zweck | Abrechnung der von den Kunden eingereichten Verordnungen zulasten der gesetzlichen Krankenkassen und sonstiger Kostenträger |
Kategorien verarbeiteter Daten | Name, Vorname, Geburtsdatum, Anschrift, Kostenträger, Versicherungsstatus, Versichertennummer, verordnender Arzt, Medikation, Hilfsmittel mit Indikation/Diagnose, Namenszeichen |
Kategorien von Empfängern | Extern: IT-Dienstleister, Apothekenrechenzentrum, Kostenträger Intern: Finanzbuchhaltung |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 10 Jahre (Technische Anlage 3 zur Abrechnungsvereinbarung nach § 300 SGB V) |
Rechtsgrundlagen | Art. 6 Abs.1 c) DSGVO (Erfüllung einer rechtlichen Verpflichtung) §§ 129, 300, 302 SGB V, § 17 Abs. 6 ApBetrO |
4.4.3. Rezeptabrechnung mit Kostenträgern
Verarbeitung | Rezeptabrechnung mit den gesetzlichen Krankenkassen und sonstigen Kostenträgern |
Zweck | Abrechnung der von den Kunden eingereichten Verordnungen zulasten der gesetzlichen Krankenkassen und sonstiger Kostenträger |
Kategorien verarbeiteter Daten | Name, Vorname, Geburtsdatum, Anschrift, Kostenträger, Versicherungsstatus, Versichertennummer, verordnender Arzt, Medikation, Hilfsmittel mit Indikation/Diagnose, Namenszeichen |
Kategorien von Empfängern | Extern: IT-Dienstleister, Apothekenrechenzentrum, Kostenträger Intern: Finanzbuchhaltung |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 10 Jahre (Technische Anlage 3 zur Abrechnungsvereinbarung nach § 300 SGB V) |
Rechtsgrundlagen | Art. 6 Abs.1 c) DSGVO (Erfüllung einer rechtlichen Verpflichtung) §§ 129, 300, 302 SGB V, § 17 Abs. 6 ApBetrO |
4.4.4. Medikationsanalyse und Medikationsmanagement
Verarbeitung | Wahrung und Verbesserung der Arzneimitteltherapiesicherheit |
Zweck | Wahrung und Verbesserung der Arzneimitteltherapiesicherheit |
Kategorien verarbeiteter Daten | Name, Vorname, Geburtsdatum, Medikationsdaten, Anschrift, Telefonnummer, E-Mail-Adresse |
Kategorien von Empfängern | Intern: Apotheker |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 3 Jahre nach Erbringung der Dienstleistung bzw. Vertragsende (Verjährung nach § 195 BGB) |
Rechtsgrundlagen | Art. 9 Abs. 2 h) DSGVO (Gesundheitsvorsorge/Behandlung im Gesundheits- oder Sozialbereich) |
4.4.5. Auftragsherstellung
Verarbeitung | Auftragsherstellung |
Zweck | Auftragsherstellung für oder durch einen anderen Herstellungsbetrieb |
Kategorien verarbeiteter Daten | Name, ggf. Name des Tierhalters, Name des verschreibenden Heilberuflers, Name der Person, die das Rezepturarzneimittel hergestellt hat |
Kategorien von Empfängern | Extern: IT-Dienstleister ; Mitarbeiter des beauftragten Lohnherstellers Intern: Apotheker |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | Entsprechend § 22 ApBetrO: ein Jahr nach Ablauf des Verfalldatums, mindestens fünf Jahre |
Rechtsgrundlagen | Art. 6 Abs.1 c) DSGVO (Erfüllung einer rechtlichen Verpflichtung) § 21 Abs. 2 Nr. 1b AMG, § 11 Abs. 3 oder 4 ApoG, § 17 Abs. 6c Nr. 5 ApBetrO i.V.m. §§ 11a, 7, 14 ApBetrO |
4.4.6. Pharmazeutische Anfragen bei Informationsstellen
Verarbeitung | Pharmazeutische Anfragen bei Informationsstellen |
Zweck | Anfragen zu pharmazeutischen Problemen |
Kategorien verarbeiteter Daten | ggf. Gesundheitsdaten, Medikationsdaten, Diagnosen, Alter, Geschlecht, Gewicht, Kontaktdaten /Kunden, Arzt oder andere Anfragende |
Kategorien von Empfängern | Extern: IT-Dienstleister, Mitarbeiter der Arzneimittelinformationsstellen Intern: Apotheker |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | Drei Jahre (§ 195 BGB Allgemeine Verjährungsfrist) |
Rechtsgrundlagen | Art. 6 Abs. 1 a) DSGVO (Einwilligung) |
4.4.7. Bonitätscheck
Verarbeitung | Bonitätscheck |
Zweck | Prüfung und Feststellung der Bonität |
Kategorien verarbeiteter Daten | Name, Anschrift |
Kategorien von Empfängern | Auskunfteien |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | Löschung des Prüfungsergebnisses nach Zweckfortfall |
Rechtsgrundlagen | Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse) |
4.5. Tierhalter
Verarbeitung | Dokumentation bei der Abgabe von Tierarzneimitteln |
Zweck | Gesetzliche Dokumentationspflicht |
Kategorien verarbeiteter Daten | Name und Anschrift des Tierhalters |
Kategorien von Empfängern | Extern: Aufsichtsbehörden Intern: berechtigte Mitarbeiter |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | Drei Jahre (Verjährungsfrist nach § 36 Nr. 3 lit. i) ApBetrO, 31 Abs. 2 OWiG) |
Rechtsgrundlagen | Art. 6 Abs.1 c) DSGVO (Erfüllung einer rechtlichen Verpflichtung) § 19 Abs. 1 Satz 2 Nr. 2 lit. a) b), Abs. 2 ApBetrO |
4.6. Bewerber
Verarbeitung | Bewerbung von Mitarbeitern |
Zweck | Auswahl von zukünftigen Mitarbeitern im Bewerbungsverfahren |
Kategorien verarbeiteter Daten | Kontaktdaten (Namen, Adresse, E-Mailadresse, Telefonnummer), Lebenslauf, Zeugnisse, Referenzen |
Kategorien von Empfängern | Extern: IT-Dienstleister Intern: Betriebserlaubnisinhaber, Personalverantwortlicher |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | bei Ablehnung des Bewerbers/der Bewerberin: 6 Monate nach Ablehnung bei Einstellung: Überführung der Daten in die Personalakte und Löschung im Bewerbungssystem |
Rechtsgrundlagen | Art. 6 Abs. 1 b) DSGVO, § 26 BDSG, Art. 6, 88 DSGVO |
5. Rechte der betroffenen Person
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener im Sinne der DSGVO. Ihnen stehen damit folgende Rechte gegenüber dem Verantwortlichen zu:
5.1. Auskunftsrecht, Art. 15 DSGVO
Sie haben gem. Art. 15 DSGVO das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten verarbeiten, die Sie betreffen. Ist das der Fall, können Sie nachfolgende Auskünfte über folgende Informationen von uns verlangen: Verarbeitungszwecke; Kategorie der personenbezogenen Daten, die verarbeitet werden; Empfänger bzw. Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden; geplante Speicherdauer oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer; Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch; Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; Herkunft Ihrer Daten, sofern diese nicht bei uns erhoben wurden; Bestehen einer automatisierten Entscheidungsfindung einschließlich „Profiling“ und ggf. aussagekräftigen Informationen zu deren Einzelheiten; Übermittlung der personenbezogenen Daten in ein Drittland oder an eine internationale Organisation; geeignete Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung.
5.3. Recht auf Berichtigung
Sie haben gem. Art. 16 DSGVO das Recht, unverzüglich die Berichtigung oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.
5.3. Recht auf Einschränkung der Verarbeitung
Sie haben gem. Art. 18 DSGVO das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gem. Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben.
5.4. Recht auf Löschung
Sie haben gem. Art. 17 DSGVO das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
5.5. Recht auf Unterrichtung
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber uns als verantwortlicher Stelle geltend gemacht, sind wir gem. Art. 19 DSGVO dazu verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht gegenüber uns das Recht zu, über diese Empfänger unterrichtet zu werden.
5.6. Recht auf Datenübertragbarkeit
Sie haben gem. Art. 20 DSGVO das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.
5.7. Widerspruchsrecht
Sie haben gem. Art. 21 DSGVO das Recht, Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Wir verarbeiten die Sie betreffenden personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das „Profiling“, soweit es mit solcher Direktwerbung in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
5.8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben gem. Art. 7 Abs. 3 DSGVO das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
5.9. Recht auf Beschwerde bei einer Aufsichtsbehörde
Sie haben gem. Art. 77 DSGVO das Recht, sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden.
Stand: August 2021