1. Datenschutz

Datenschutz

1. Hintergrund und Begriffe

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung Ihrer personenbezogenen Daten durch die datenschutzrechtlichen Verantwortliche gem. Art. 13 und 14 Datenschutz-Grundverordnung (DSGVO).
Es werden die folgenden Begriffsdefinitionen, insbesondere die der DSGVO, zugrunde gelegt:

Begriff Erläuterung
Auftragsverarbeiter Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO)
Cookies Ein Cookie ist eine Textinformation, die im Browser auf dem Endgerät des Betrachters (Computer, Laptop, Smartphone, Tablet usw.) jeweils zu einer besuchten Website (Webserver, Server) gespeichert werden kann. Das Cookie wird entweder vom Webserver an den Browser gesendet oder im Browser von einem Skript (JavaScript) erzeugt. Der Webserver kann bei späteren, erneuten Besuchen dieser Seite diese Cookie-Information direkt vom Server aus auslesen oder über ein Skript der Website die Cookie-Information an den Server übertragen. (Quelle: Wikipedia)
Datensicherheit Datensicherheit ist die Vertraulichkeit, Verfügbarkeit und Integrität von personenbezogenem Daten; auch als technisch-organisatorischer Datenschutz bezeichnet (Art 32 DSGVO)
Datenverarbeitung Ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art 4 Nr. 2 DSGVO)
Drittland Drittland bezeichnet Staaten außerhalb der Europäischen Union, für die die Europäische Kommission kein der Europäischen Union gleichwertiges Datenschutzniveau festgestellt hat (Art. 44 DSGVO)
Patienten und Patientendaten

Patienten sind diejenigen natürlichen Personen, die die Beratung der Apothekerinnen und Apotheker in Anspruch nehmen, die Rezepte einlösen und für die Medikamente individuell angefertigt werden.

Patientendaten sind diejenigen individuellen Daten, die dem Berufsgeheimnis der Apotheker unterfallen.

Personenbezogene Daten und betroffene Person Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen (Art 4 Nr. 1 DSGVO)
Pseudonymisierung Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden (Art. 4 Nr. 5 DSGVO).
Verantwortlicher Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art 4 Nr. 7 DSGVO).

2. Verantwortliche

Datenschutzrechtlich Verantwortliche für die Website www.delmed.de („Website“) ist die Atida Plus B.V. („wir“) mit Sitz in Venlo (NL).

3. Datenschutzbeauftragter

Wir haben einen betrieblichen Datenschutzbeauftragten bestellt und ein Datenschutz-Team im Einsatz. Unser Datenschutz-Team erreichen Sie per E-Mail über datenschutz@delmed.de. Über diesen Weg können wir sicherstellen, dass Ihr Anliegen fristgerecht bearbeitet wird.

4. Details der Datenverarbeitungen nach Betroffenengruppen

Im Folgenden finden Sie alle Details zu den Datenverarbeitungen. Die Datenverarbeitungen sind dabei nach Betroffenengruppen strukturiert dargestellt.

4.1. Webseitenbesucher

Sind Sie Besucher unserer Website, verarbeiten wir Ihre personenbezogenen Daten wie folgt. Wir nutzen dabei Dienste von Dritten. Unter diese Dienste fällt auch die Nutzung von Cookies für verschiedene Zwecke („Marketing“, „Analyse“, „Funktionell“ und „Essenziell“). Konkrete Informationen zu den einzelnen Cookies und individuelle Einstellungsmöglichkeiten finden Sie unter den „Datenschutzeinstellungen“ im Consent Management Tool (erreichbar über das eingeblendete Consent-Icon).
Dort können Sie in Verarbeitungen einwilligen und Verarbeitungen auf Grundlage des berechtigten Interesses widersprechen. Sie können Ihre Präferenzen auch zu einem späteren Zeitpunkt anpassen oder Ihre Einwilligung mit Wirkung für die Zukunft widerrufen. Bitte beachten Sie, dass ohne Ihre Einwilligung einzelne Funktionen der Websites nur eingeschränkt zur Verfügung stehen.

4.1.1. Betrieb der Website

Verarbeitung Betrieb der Webseite
Zweck

Herstellung der technischen Verbindung zwischen dem Endgerät des Besuchers zu unserer Website (Aufruf der Webseite)
Bereitstellung der Inhalte und Funktionalitäten unserer Webseite

Kategorien verarbeiteter Daten IP-Adresse (Internet-Protokoll-Adresse), der Internet-Service-Provider des zugreifenden Systems, verwendeter Browsertypen und Version, das vom zugreifenden System verwendete Betriebssystem
Kategorien von Empfängern Extern: Mitarbeiter des Webseiten-Hosters
Intern: IT-Administratoren, Marketingabteilung
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien

Session: Datenlöschung bei Beendigung der jeweiligen Sitzung

Rechtsgrundlagen Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung)

4.1.2. Kontaktaufnahme

Verarbeitung Kontaktaufnahme ohne Registrierung
Zweck

Annahme, Prüfung und Bearbeitung von Anfragen über Kontaktformular, E-Mail und Telefon

Kategorien verarbeiteter Daten Kontaktdaten über E-Mail, Kontaktformular, Telefon oder über soziale Medien: Name und E-Mail-Adresse.
Verbindungsdaten: E-Mail-Adresse, Nutzername soziale Medien und ggf. Telefonnummer.
Inhalte des ausgefüllten Kontaktformulars, der E-Mails und Telefonate können personenbezogen sein.
Kategorien von Empfängern

Extern: E-Mail- und Telekommunikationsprovider
Intern: Kundenservice

Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien

Die Löschung erfolgt, sobald die jeweilige Anfrage erledigt und damit der Zweck der Speicherung entfallen ist.

Rechtsgrundlagen Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung)

4.1.3. Behandlung und Abwehr von Angriffen

Verarbeitung

Behandlung und Abwehr von Angriffen

Zweck

Analysieren von Angriffen, Abwehr von Angriffen, Beweissicherung und -führung zur Rechtsverfolgung

Kategorien verarbeiteter Daten die IP-Adresse (Internet-Protokoll-Adresse), der Internet-Service-Provider des zugreifenden Systems, Datum und die Uhrzeit des Zugriffs auf die Internetseite, verwendeter Browsertypen und Version, das vom zugreifenden System verwendete Betriebssystem, die Internetseite, von der ein zugreifendes System auf unsere Internetseite gelangt auf unserer Webseite besuchte Unterwebseiten und sonstige ähnliche Daten und Informationen
Kategorien von Empfängern Extern: Mitarbeiter des Webseiten-Hosters
Intern: IT-Administratoren, Team Informationssicherheit
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien

Logfiles werden sieben Tage gespeichert.
Soweit diese nicht zu Beweiszwecken bei der Rechtsverfolgung weiter benötigt werden, werden sie danach gelöscht oder anonymisiert.

Rechtsgrundlagen Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse an der Wahrung der Datensicherheit (Datenschutz) sowie der Verfügbarkeit, Vertraulichkeit und Integrität von Informationen (Informationssicherheit/Cybersecurity)

4.1.4. Analyse des Nutzerverhaltens (Webanalyse), Marketing und Drittanbieter-Tools

Verarbeitung Analyse des Nutzerverhaltens (Webanalyse), Marketing und Drittanbieter-Tools
Zweck

Analyse des Nutzerverhaltens, Optimierung der eigenen Internetpräsenz, Statistische Auswertungen, Marketing

Kategorien verarbeiteter Daten technische Daten wie IP-Adresse, Verhaltensdaten
Kategorien von Empfängern Extern: Analyse-Tool-Anbieter, Drittanbieter
Intern: Marketingabteilung
Drittstaaten-Datentransfer ja, siehe Hinweise im Consent-Management-Tool (erreichbar über das eingeblendete Consent-Icon)
Speicherdauer bzw. deren Kriterien

bis Widerruf bzw. Widerspruch bzw. Zweckfortfall; danach erfolgt die Löschung bzw. Anonymisierung

Rechtsgrundlagen Art. 6 Abs.1 f) DSGVO (berechtigtes Interesse: statistische Analyse des Nutzerverhaltens zu Optimierungs- und Marketingzwecken), Art. 6 Abs. 1 a) DSGVO (Einwilligung)

4.2. Newsletter-Empfänger

Sind Sie ein Newsletter-Abonnent, der einen unserer-Newsletter bezieht, verarbeiten wir Ihre personenbezogenen Daten wie folgt:
Die von Ihnen über die hierfür vorgesehene Eingabemaske eingegebenen Daten werden bei der Anmeldung an uns übermittelt und verarbeitet. Die Angabe Ihrer E-Mail-Adresse ist in jedem Fall verpflichtend. Die Angabe etwaiger weiterer Daten ist freiwillig und dient Ihrer persönlichen Ansprache. Zum Zeitpunkt der Absendung der Nachricht speichern wir Ihre IP-Adresse sowie Datum und Uhrzeit Ihrer Registrierung im Kontaktformular.

4.2.1. Newsletter ohne Kundenbeziehung

Sofern Sie unseren Newsletter bestellen, aber kein Bestandskunde sind, nutzen wir das Double-Opt-In-Verfahren, um sicherzustellen, dass Sie nur dann unter Nutzung Ihrer E-Mailadresse unseren Newsletter bekommen, wenn Sie über die E-Mailadresse verfügungsberechtigt sind und unseren Newsletter auch wirklich erhalten wollen. Dazu senden wir Ihnen eine Benachrichtigungsmail zu, in der Sie durch das Anklicken des in dieser E-Mail enthaltenen Links die Bestellung bestätigen.

Verarbeitung Anmeldung zum Newsletterversand
Zweck

Werbung; Unterbreitung von Angeboten Waren bzw. Dienstleistungen

Kategorien verarbeiteter Daten E-Mailadresse, Name, Vorname
Kategorien von Empfängern Extern: Newsletter-Provider
Intern: Marketingabteilung
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien

Bis zur Abbestellung des Newsletters

Rechtsgrundlagen

Art. 6 Abs. 1 lit. a (Einwilligung)

4.2.2. Newsletters an Bestandskunden

Bestandskunden erhalten von uns automatisch den Newsletter. Der Newsletter kann jederzeit abbestellt und damit der weiteren Nutzung der E-Mailadresse für diesen Zweck widersprochen werden.

Verarbeitung Versand des E-Mail-Newsletters an Bestandskunden
Zweck

Werbung, Unterbreitung von Angeboten Waren bzw. Dienstleistungen

Kategorien verarbeiteter Daten E-Mailadresse, Name, Vorname
Kategorien von Empfängern Extern: Newsletter-Provider
Intern: Marketingabteilung
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien

Bis zum Widerspruch

Rechtsgrundlagen Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse: Bestandskundenwerbung)

4.2.3. Newsletter Analyse

Verarbeitung Newsletter Analyse
Zweck

statistische Analyse, inwieweit der Newsletter gelesen und die darin enthaltenen Informationsangebote vom Adressaten wahrgenommen werden; Verbesserung von Inhalten und Darstellung

Kategorien verarbeiteter Daten IP-Adresse, Browser, Betriebssystem
Kategorien von Empfängern Extern: Newsletter-Provider
Intern: Marketingabteilung
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien

Bis zur Auswertung; danach erfolgt die Löschung bzw. Anonymisierung

Rechtsgrundlagen Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse: Verbesserung von Inhalten und Darstellung des Newsletters)

4.3. Interessenten und Kunden

Sie können als Interessent bei uns Informationen zu unseren Produkten und Dienstleistungen erfragen, ohne Produkte und Dienstleistungen zu bestellen oder eine pharmazeutische Beratung in Anspruch zu nehmen. Als Kunden können Sie unsere Produkte und Dienstleistungen bestellen.

Verarbeitung

Mailingaktionen (Mailversand)

Zweck

Als Kunde von DELMED erhalten Sie Produktempfehlungen & Bewertungsanfragen per E-Mail. Der Nutzung Ihrer E-Mail Adresse für die Übersendung der Produktempfehlungen und Bewertungsanfragen können Sie jederzeit für die Zukunft widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen, am einfachsten über den in jeder E-Mail enthaltenen Link.

Kategorien verarbeiteter Daten

Kontaktdaten (Details: Kontaktdaten (Name, E-Mail))

Kategorien von Empfängern

Intern (Details: Interne Abteilung (Marketing))

Drittstaaten-Datentransfer

nein

Speicherdauer bzw. deren Kriterien

Bis Widerruf durch den Betroffenen.

Rechtsgrundlagen

§ 7 Abs. 3 UWG

4.3.1. Einrichtung und Unterhaltung eines Kundenkontos

Verarbeitung Einrichtung und Unterhaltung eines Nutzerkontos für den Online Shop
Zweck

Vereinfachte Bestellung durch hinterlegte Stammdaten
Verfügbarkeit der Bestellhistorien

Kategorien verarbeiteter Daten Stammdaten: Kontakt-, Liefer- und Zahlungsdaten (Name, Adresse, E-Mailadresse, Telefonnummer, Zahlungsdaten etc.)
Transaktionsdaten: bestellte Produkte und Dienstleistungen (Produktbezeichnung, Menge, Datum der Bestellung, Preis etc.)
Kategorien von Empfängern Extern: IT-Dienstleister
Intern: Kundenservice, Logistik
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien

Bis zum Löschungsverlangen

Rechtsgrundlagen Art. 6 Abs.1 b) DSGVO (Vertragserfüllung)

4.3.2. Kundenbestellungen

Verarbeitung Kundenbestellungen im Online-Shop
Zweck Aufnahme, Bearbeitung und Abwicklung von Kundenbestellungen
Kategorien verarbeiteter Daten Kunden-Kontaktdaten (Name, Adresse, Telefonnummer, E-Mailadresse), Bestell- und Abrechnungsdaten, Kaufhistorien, Korrespondenz, Vorgangsinformationen, Bankverbindungdaten
Kategorien von Empfängern Extern: IT-Dienstleister
Intern: Kundenservice, Logistik
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien nach Ablauf von handels- und steuerrechtlichen Aufbewahrungsfristen (7 bzw. 10 Jahre),
nach Ablauf gesetzlicher Dokumentationspflichten, z.B. bei der Verschreibung von Betäubungsmitteln 20 Jahre nach dem niederländischen Betäubungsmittelgesetz
Rechtsgrundlagen Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung); Art. 9 Abs.2 lit. h DSGVO, § 22 Abs. 1 Nr. 1 b) BDSG (soweit rezeptpflichtige Bestellung/Gesundheitsdaten)

4.3.3. Lieferung

Verarbeitung Lieferung von Waren an Kunden
Zweck Lieferung von Waren an Kunden zur Ausführung von Shop-Bestellungen
Kategorien verarbeiteter Daten Name, Lieferanschrift
Kategorien von Empfängern Extern: IT-Dienstleister, Versanddienstleister
Intern: Logistik
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien nach Ablauf von handels- und steuerrechtlichen Aufbewahrungsfristen (10 Jahre)
Rechtsgrundlagen Art. 6 Abs.1 b) DSGVO (Vertragserfüllung)
Art. 6 Abs.1 c) DSGVO (Erfüllung einer rechtlichen Verpflichtung)

4.3.4. Zahlungsabwicklung von Kundenbestellungen

Verarbeitung Zahlungsabwicklung von Kundenbestellungen
Zweck Zahlungsabwicklung von Kundenbestellungen im Online-Shop
Kategorien verarbeiteter Daten Name, Adresse, Bankverbindung, Zahlungsdaten
Kategorien von Empfängern Extern: Banken, Zahlungsdienstleister
Intern: Finanzbuchhaltung
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien nach Ablauf von handels- und steuerrechtlichen Aufbewahrungsfristen (10 Jahre)
Rechtsgrundlagen Art. 6 Abs.1 b) DSGVO (Vertragserfüllung)
Art. 6 Abs.1 c) DSGVO (Erfüllung einer rechtlichen Verpflichtung)

4.3.5. Forderungsbeitreibung (Inkasso)

Verarbeitung Forderungsbeitreibung (Inkasso)
Zweck Forderungsbeitreibung
Kategorien verarbeiteter Daten Name, Kontakt- und Adressdaten, Zahlungsdaten
Kategorien von Empfängern Extern: Inkassobüro
Intern: Finanzbuchhaltung
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien nach Ablauf von handels- und steuerrechtlichen Aufbewahrungsfristen (10 Jahre)
Rechtsgrundlagen Art. 6 Abs.1 c) DSGVO (Erfüllung einer rechtlichen Verpflichtung)
Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse: Forderungsbeitreibung)

4.3.6. Werbung

Verarbeitung Werbung
Zweck Bewertungserinnerungen zu Werbezwecken, Direktwerbung
Kategorien verarbeiteter Daten Kunden-Kontaktdaten (Name, E-Mailadresse)
Kategorien von Empfängern Extern: IT-Dienstleister, Anbieter von Bewertungssystemen
Intern: Marketing
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien Bis zum Zweckfortfall
Rechtsgrundlagen Art. 6 Abs.1 f) DSGVO (berechtigtes Interesse: Bestandskundenwerbung)

4.4. Patienten

Als Patient können Sie die Beratung der Apothekerinnen und Apotheker in Anspruch nehmen, Rezepte einlösen und Medikamente individuell anfertigen lassen. Für alle diese Aufgaben verarbeiten wir zweckbezogen Ihre personenbezogenen Daten und erfüllen insbesondere unsere berufsrechtlichen Aufklärungs- und Beratungspflichten. Die dabei von Ihnen verarbeiteten Daten lassen in der Regel einen Rückschluss auf Ihren Gesundheitszustand zu. Somit handelt es sich dann um Gesundheitsdaten im Sinne des Datenschutzrechts.

4.4.1 Pharmazeutische Sorge und Beratung; Prüfung der Wechselwirkung

Unsere Apotheker haben umfangreiche gesetzliche Prüf-, Beratungs und Aufklärungs- sowie Dokumentations- und Nachweispflichten, die auch Ihre personenbezogenen Daten umfassen können. So sind sie verpflichtet, eine Patientenakte zu führen. Diese Akte enthält Informationen über Sie als Patient und Informationen, die für Ihre Behandlung notwendig sind. Wir sind so z.B. verpflichtet, Ihre Versicherungsnummer in unsere Unterlagen aufzunehmen, und wir müssen sie bei der Kommunikation mit anderen Gesundheitsdienstleistern und bei der Abrechnung mit ihnen als Patienten und mit den Versicherern verwenden. Außerdem müssen wir Ihre Identität überprüfen. Als Apotheker wird von uns auch erwartet, dass wir Sie zu Ihrer Krankengeschichte befragen und die Ergebnisse dokumentieren. Dies kann auch die Konsultation anderer Leistungserbringer des Gesundheitswesens erfordern. Sollte dies notwendig sein, werden wir Sie ausführlich über die avisierte Konsultation informieren, Ihre Einwilligung dafür einholen und diese dokumentieren. Sie können einwilligen, dass alle oder nur bestimmte Informationen allen oder nur bestimmten Gesundheitsdienstleistern zur Verfügung gestellt werden. Falls ein lebenswichtiges Interesse besteht, z.B. bei medizinischer Dringlichkeit, und Sie nicht in der Lage sind, eine solche Einwilligung zu erteilen, werden wir eine erforderliche Konsultation auch ohne Ihre Einwilligung durchführen.

Verarbeitung Pharmazeutische Sorge und Beratung; Prüfung der Wechselwirkung
Zweck Bereitstellung von medizinischer Versorgung, z. B. Beratung über und Abgabe von verschreibungspflichtigen Medikamenten und Arzneimitteln; Einhaltung der geltenden Rechtsvorschriften über die Bereitstellung von Arzneimitteln und die Gesundheitsfürsorge sowie der medizinischen und pharmazeutischen Richtlinien, wie z. B.: die Anforderung der Krankenakte.
Kategorien verarbeiteter Daten Name, Vorname, Geburtsdatum, Anschrift, Kostenträger, Versicherungsstatus, Versichertennummer, verordnender Arzt, Medikation, Hilfsmittel mit Indikation/Diagnose, Namenszeichen
Kategorien von Empfängern Extern: IT-Dienstleister,, Leistungserbringer des Gesundheitswesens
Intern: Apotheker
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 7, 10 oder 20 Jahre (gesetzliche Aufbewahrungspflichten nach HGB und AO sowie pharmazeutische Dokumentationspflichten)
Rechtsgrundlagen Art. 6 Abs.1 c) DSGVO (Erfüllung einer rechtlichen Verpflichtung) § 17 Abs. 6 ApBetrO
Artt. 7:446, , 7:454 (1) und 7:457 DCC Niederländische Bürgerliches Gesetzbuch, Art. 88 Niederländische Apothekengesetz
Art. 9 2. a), c) und h) DSGVO

4.4.2. Abrechnung Krankenversicherung

Verarbeitung Abrechnung Krankenversicherung
Zweck Abrechnung der von den Kunden eingereichten Verordnungen zulasten der gesetzlichen Krankenkassen und sonstiger Kostenträger
Kategorien verarbeiteter Daten Name, Vorname, Geburtsdatum, Anschrift, Kostenträger, Versicherungsstatus, Versichertennummer, verordnender Arzt, Medikation, Hilfsmittel mit Indikation/Diagnose, Namenszeichen
Kategorien von Empfängern Extern: IT-Dienstleister, Apothekenrechenzentrum, Kostenträger
Intern: Finanzbuchhaltung
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 10 Jahre (Technische Anlage 3 zur Abrechnungsvereinbarung nach § 300 SGB V)
Rechtsgrundlagen Art. 6 Abs.1 c) DSGVO (Erfüllung einer rechtlichen Verpflichtung)
§§ 129, 300, 302 SGB V, § 17 Abs. 6 ApBetrO

4.4.3. Rezeptabrechnung mit Kostenträgern

Verarbeitung Rezeptabrechnung mit den gesetzlichen Krankenkassen und sonstigen Kostenträgern
Zweck Abrechnung der von den Kunden eingereichten Verordnungen zulasten der gesetzlichen Krankenkassen und sonstiger Kostenträger
Kategorien verarbeiteter Daten Name, Vorname, Geburtsdatum, Anschrift, Kostenträger, Versicherungsstatus, Versichertennummer, verordnender Arzt, Medikation, Hilfsmittel mit Indikation/Diagnose, Namenszeichen
Kategorien von Empfängern Extern: IT-Dienstleister, Apothekenrechenzentrum, Kostenträger
Intern: Finanzbuchhaltung
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 10 Jahre (Technische Anlage 3 zur Abrechnungsvereinbarung nach § 300 SGB V)
Rechtsgrundlagen Art. 6 Abs.1 c) DSGVO (Erfüllung einer rechtlichen Verpflichtung)
§§ 129, 300, 302 SGB V, § 17 Abs. 6 ApBetrO

4.4.4. Medikationsanalyse und Medikationsmanagement

Verarbeitung Wahrung und Verbesserung der Arzneimitteltherapiesicherheit
Zweck Wahrung und Verbesserung der Arzneimitteltherapiesicherheit
Kategorien verarbeiteter Daten Name, Vorname, Geburtsdatum, Medikationsdaten, Anschrift, Telefonnummer, E-Mail-Adresse
Kategorien von Empfängern Intern: Apotheker
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 3 Jahre nach Erbringung der Dienstleistung bzw. Vertragsende (Verjährung nach § 195 BGB)
Rechtsgrundlagen Art. 9 Abs. 2 h) DSGVO (Gesundheitsvorsorge/Behandlung im Gesundheits- oder Sozialbereich)

4.4.5. Auftragsherstellung

Verarbeitung Auftragsherstellung
Zweck Auftragsherstellung für oder durch einen anderen Herstellungsbetrieb
Kategorien verarbeiteter Daten Name, ggf. Name des Tierhalters, Name des verschreibenden Heilberuflers, Name der Person, die das Rezepturarzneimittel hergestellt hat
Kategorien von Empfängern Extern: IT-Dienstleister ; Mitarbeiter des beauftragten Lohnherstellers
Intern: Apotheker
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien Entsprechend § 22 ApBetrO: ein Jahr nach Ablauf des Verfalldatums, mindestens fünf Jahre
Rechtsgrundlagen Art. 6 Abs.1 c) DSGVO (Erfüllung einer rechtlichen Verpflichtung)
§ 21 Abs. 2 Nr. 1b AMG, § 11 Abs. 3 oder 4 ApoG, § 17 Abs. 6c Nr. 5 ApBetrO i.V.m. §§ 11a, 7, 14 ApBetrO

4.4.6. Pharmazeutische Anfragen bei Informationsstellen

Verarbeitung Pharmazeutische Anfragen bei Informationsstellen
Zweck Anfragen zu pharmazeutischen Problemen
Kategorien verarbeiteter Daten ggf. Gesundheitsdaten, Medikationsdaten, Diagnosen, Alter, Geschlecht, Gewicht, Kontaktdaten /Kunden, Arzt oder andere Anfragende
Kategorien von Empfängern Extern: IT-Dienstleister, Mitarbeiter der Arzneimittelinformationsstellen
Intern: Apotheker
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien Drei Jahre (§ 195 BGB Allgemeine Verjährungsfrist)
Rechtsgrundlagen Art. 6 Abs. 1 a) DSGVO (Einwilligung)

4.4.7. Bonitätscheck

Verarbeitung Bonitätscheck
Zweck Prüfung und Feststellung der Bonität
Kategorien verarbeiteter Daten Name, Anschrift
Kategorien von Empfängern Auskunfteien
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien Löschung des Prüfungsergebnisses nach Zweckfortfall
Rechtsgrundlagen Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse)

4.5. Tierhalter

Verarbeitung Dokumentation bei der Abgabe von Tierarzneimitteln
Zweck Gesetzliche Dokumentationspflicht
Kategorien verarbeiteter Daten Name und Anschrift des Tierhalters
Kategorien von Empfängern Extern: Aufsichtsbehörden
Intern: berechtigte Mitarbeiter
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien Drei Jahre (Verjährungsfrist nach § 36 Nr. 3 lit. i) ApBetrO, 31 Abs. 2 OWiG)
Rechtsgrundlagen Art. 6 Abs.1 c) DSGVO (Erfüllung einer rechtlichen Verpflichtung)
§ 19 Abs. 1 Satz 2 Nr. 2 lit. a) b), Abs. 2 ApBetrO

4.6. Bewerber

Verarbeitung Bewerbung von Mitarbeitern
Zweck Auswahl von zukünftigen Mitarbeitern im Bewerbungsverfahren
Kategorien verarbeiteter Daten Kontaktdaten (Namen, Adresse, E-Mailadresse, Telefonnummer), Lebenslauf, Zeugnisse, Referenzen
Kategorien von Empfängern Extern: IT-Dienstleister
Intern: Betriebserlaubnisinhaber, Personalverantwortlicher
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien bei Ablehnung des Bewerbers/der Bewerberin: 6 Monate nach Ablehnung
bei Einstellung: Überführung der Daten in die Personalakte und Löschung im Bewerbungssystem
Rechtsgrundlagen Art. 6 Abs. 1 b) DSGVO, § 26 BDSG, Art. 6, 88 DSGVO

5. Rechte der betroffenen Person

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener im Sinne der DSGVO. Ihnen stehen damit folgende Rechte gegenüber dem Verantwortlichen zu:

5.1. Auskunftsrecht, Art. 15 DSGVO

Sie haben gem. Art. 15 DSGVO das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten verarbeiten, die Sie betreffen. Ist das der Fall, können Sie nachfolgende Auskünfte über folgende Informationen von uns verlangen: Verarbeitungszwecke; Kategorie der personenbezogenen Daten, die verarbeitet werden; Empfänger bzw. Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden; geplante Speicherdauer oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer; Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch; Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; Herkunft Ihrer Daten, sofern diese nicht bei uns erhoben wurden; Bestehen einer automatisierten Entscheidungsfindung einschließlich „Profiling“ und ggf. aussagekräftigen Informationen zu deren Einzelheiten; Übermittlung der personenbezogenen Daten in ein Drittland oder an eine internationale Organisation; geeignete Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung.

5.3. Recht auf Berichtigung

Sie haben gem. Art. 16 DSGVO das Recht, unverzüglich die Berichtigung oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.

5.3. Recht auf Einschränkung der Verarbeitung

Sie haben gem. Art. 18 DSGVO das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gem. Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben.

5.4. Recht auf Löschung

Sie haben gem. Art. 17 DSGVO das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

5.5. Recht auf Unterrichtung

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber uns als verantwortlicher Stelle geltend gemacht, sind wir gem. Art. 19 DSGVO dazu verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht gegenüber uns das Recht zu, über diese Empfänger unterrichtet zu werden.

5.6. Recht auf Datenübertragbarkeit

Sie haben gem. Art. 20 DSGVO das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.

5.7. Widerspruchsrecht

Sie haben gem. Art. 21 DSGVO das Recht, Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Wir verarbeiten die Sie betreffenden personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das „Profiling“, soweit es mit solcher Direktwerbung in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

5.8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Sie haben gem. Art. 7 Abs. 3 DSGVO das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

5.9. Recht auf Beschwerde bei einer Aufsichtsbehörde

Sie haben gem. Art. 77 DSGVO das Recht, sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden.

Stand: August 2021