Datenschutzerklärung

Inhaltsverzeichnis

1. Hintergrund und Begriffe

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung Ihrer personenbezogenen Daten durch die datenschutzrechtlichen Verantwortliche gem. Art. 13 und 14 Datenschutz-Grundverordnung (DSGVO).

Es werden die folgenden Begriffsdefinitionen, insbesondere die der DSGVO, zugrunde gelegt:

BegriffErläuterung
AuftragsverarbeiterAuftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO)
CookiesEin Cookie ist eine Textinformation, die im Browser auf dem Endgerät des Betrachters (Computer, Laptop, Smartphone, Tablet usw.) jeweils zu einer besuchten Website (Webserver, Server) gespeichert werden kann. Das Cookie wird entweder vom Webserver an den Browser gesendet oder im Browser von einem Skript (JavaScript) erzeugt. Der Webserver kann bei späteren, erneuten Besuchen dieser Seite diese Cookie-Information direkt vom Server aus auslesen oder über ein Skript der Website die Cookie-Information an den Server übertragen. (Quelle: Wikipedia)
DatensicherheitDatensicherheit ist die Vertraulichkeit, Verfügbarkeit und Integrität von personenbezogenem Daten; auch als technisch-organisatorischer Datenschutz bezeichnet (Art 32 DSGVO)
DatenverarbeitungIst jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art 4 Nr. 2 DSGVO)
DrittlandDrittland bezeichnet Staaten außerhalb der Europäischen Union, für die die Europäische Kommission kein der Europäischen Union gleichwertiges Datenschutzniveau festgestellt hat (Art. 44 DSGVO)
Patienten und PatientendatenPatienten sind diejenigen natürlichen Personen, die die Beratung der Apothekerinnen und Apotheker in Anspruch nehmen, die Rezepte einlösen und für die Medikamente individuell angefertigt werden.

Patientendaten sind diejenigen individuellen Daten, die dem Berufsgeheimnis der Apotheker unterfallen.

Personenbezogene Daten und betroffene PersonPersonenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen (Art 4 Nr. 1 DSGVO)
PseudonymisierungPseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden (Art. 4 Nr. 5 DSGVO).
VerantwortlicherVerantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art 4 Nr. 7 DSGVO).

2. Verantwortliche

Datenschutzrechtlich Verantwortliche ist die APONEO – Mehr als Apotheke Konstantin Primbas e. K. („APONEO“, „wir“) mit Sitz in der Plauener Str. 163-165, 13053 Berlin.

3. Datenschutzbeauftragter

Wir haben einen betrieblichen Datenschutzbeauftragten bestellt und ein Datenschutz-Team im Einsatz. Unser Datenschutz-Team erreichen Sie per E-Mail über datenschutz@aponeo.de. Über diesen Weg können wir sicherstellen, dass Ihr Anliegen fristgerecht bearbeitet wird.

4. Details der Datenverarbeitungen nach Betroffenengruppen

Im Folgenden finden Sie alle Details zu den Datenverarbeitungen. Die Datenverarbeitungen sind dabei nach Betroffenengruppen strukturiert dargestellt.

4.1. Webseitenbesucher

Sind Sie Besucher unseres Internetauftritts unter www.APONEO.de („Website”), verarbeiten wir Ihre personenbezogenen Daten wie folgt. Wir verwenden Cookies, um Ihnen unseren Service zur Verfügung zu stellen („Essenziell“), das Nutzungserlebnis stetig zu verbessern („Funktionell“) sowie für unsere Produkte zu werben und unsere Werbepartner zu unterstützen („Marketing“). Sie können die Verwendung von Cookies insgesamt ablehnen („Alles ablehnen“). Dann werden außer den essentiellen Cookies auch keine Cookies auf Ihrem Gerät gespeichert. Sie können alle Cookies akzeptieren („Alles akzeptieren“). Sie können Kategorien der Cookies in Gänze aktivieren oder deaktivieren und Ihre Wahl speichern („Speichern und Beenden“) oder aber über „Einstellungen“ individuelle Einstellungen vornehmen.

4.1.1. Betrieb der Website

VerarbeitungBetrieb der Webseite
ZweckHerstellung der technischen Verbindung zwischen dem Endgerät des Besuchers zu unserer Website (Aufruf unserer Webseite)
Bereitstellung der Inhalte und Funktionalitäten unserer Webseite
Kategorien verarbeiteter DatenIP-Adresse (Internet-Protokoll-Adresse), der Internet-Service-Provider des zugreifenden Systems, Datum und die Uhrzeit des Zugriffs auf die Internetseite, verwendeter Browsertypen und Version, das vom zugreifenden System verwendete Betriebssystem, die Internetseite, von der ein zugreifendes System auf unsere Internetseite gelangt und auf unserer Webseite besuchte Unterwebseiten
Kategorien von EmpfängernDritter (Details: Dritte (Mitarbeiter des Webseiten-Hosters).)
Intern (Details: Interne Abteilung (IT-Administratoren, Marketingabteilung))
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren KriterienSession: Datenlöschung bei Beendigung der jeweiligen Sitzung
Logfiles: Datenlöschung nach 90 Tagen oder aber Anonymisierung
RechtsgrundlagenArt. 6 Abs. 1 b) und f) DSGVO (Vertragserfüllung und berechtigtes Interesse)

4.1.2. Affiliate-Marketing durch Drittanbieter

VerarbeitungAffiliate-Marketing
ZweckBereitstellung von Werbemitteln durch kommerzielle Drittanbieter
Kategorien verarbeiteter DatenBenutzer- bzw. Besucher-ID
Kategorien von Empfängernkommerzieller Anbieter für Affiliate-Marketing (Merchant oder Advertiser)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren KriterienSiehe Consent-Management
RechtsgrundlagenArt. 6 Abs. 1 f) DSGVO (berechtigtes Interesse)

4.1.3. Kontaktaufnahme

VerarbeitungKontaktaufnahme ohne Registrierung
ZweckAnnahme, Prüfung und Bearbeitung von Anfragen über Chat, E-Mail und Telefon
Kategorien verarbeiteter DatenKontaktdaten über Kontaktformular, Live-Chat, E-Mail, Telefon oder über soziale Medien: Name und E-Mail-Adresse, sowie Daten die Sie selbst übermitteln.
Verbindungsdaten: IP-Adresse sowie Datum und Uhrzeit der Registrierung im Kontaktformular; ggf. Weitergabe an Dritte über Cookies (Steuerung über das Consent-Management-Tool möglich), E-Mail-Adresse, Nutzername soziale Medien, ggf. Telefonnummer
Inhalte des ausgefüllten Kontaktformulars, der E-Mails, der Live-Chats und Telefonate können personenbezogen sein. Live-Chat: Chat-Transkript; ggf. mediale Dateien, die während des Chats mit übersendet würden, Endgerät, Anzahl der Seitenaufrufe, URL (wo der Chat gestartet ist), Umfrage vor und nach dem Chat, Chat-Thema, Chat-Status (neu, wartend, beendet), Chat-Bewertung nach dem Chat, Dauer des Chats, Datum des Chats; ggf. Weitergabe an Dritte über Cookies (Whatsapp). Live-Chat: während der Verbindung werden in Ihrem Browser Daten in der Session bzw. Local Storage gespeichert.
Kategorien von EmpfängernUserlike UG (haftungsbeschränkt), Probsteigasse 44-46, 50670 Köln, Deutschland
Intern (Details: Interne Abteilung (Kundenservice))
E-Mail und Telekommunikationsprovider
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren KriterienAutomatische Löschung erfolgt, sobald die jeweilige Anfrage erledigt ist.
Chat: Der Nachrichteninhalt wird nach 3 Monaten gelöscht. Der Session Storage wird beim Schließen des Browsers gelöscht und die Local Storage Daten sind unbefristet im Browser enthalten, jedoch läuft der Authentifizierungstoken nach 24 Stunden ab bzw. sobald Sie die Webseiten-Daten in Ihrem Browser löschen.
RechtsgrundlagenArt. 6 Abs. 1 b) DSGVO (Vertragserfüllung), Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse)

4.1.4. Kontaktaufnahme per WhatsApp

VerarbeitungKontaktaufnahme per WhatsApp
ZweckAnnahme, Prüfung und Bearbeitung von Anfragen über WhatsApp
Kategorien verarbeiteter DatenVerbindungsdaten: Mobilfunknummer, Zeit und Dauer der Kommunikation
Inhaltsdaten: Inhalt der Anfrage (Textnachrichten, Sprachnachrichten, Bilder, Dokumente)
Kategorien von EmpfängernUserlike UG (haftungsbeschränkt), Probsteigasse 44-46, 50670 Köln (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO als Anbieter der Lösung WhatsApp Business API)
WhatsApp Ireland Limited, 4 Grand Canal Square
Grand Canal Harbour, Dublin 2, Irland (Chat- und Telekommunikationsprovider)
Intern (Details: Interne Abteilung (Kundenservice)
Drittstaaten-Datentransferja: WhatsApp Inc., 1601 Willow Road
Menlo Park, California 94025, USA
Speicherdauer bzw. deren KriterienDer Nachrichteninhalt wird nach 3 Monaten gelöscht. Der Session Storage wird beim Schließen des Browsers gelöscht und die Local Storage Daten sind unbefristet im Browser enthalten, jedoch läuft der Authentifizierungstoken nach 24 Stunden ab bzw. sobald Sie die Webseiten-Daten in Ihrem Browser löschen.
RechtsgrundlagenArt. 6 Abs. 1 b) DSGVO (Vertragserfüllung), Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse)

4.1.5. Optimierung von Such- und Empfehlungsfunktionen

VerarbeitungOptimierung von Such- und Empfehlungsfunktionen
ZweckSicherstellung der Funktionalität des statistischen Modells und Optimierung der Angebote
Kategorien verarbeiteter DatenInformationen zum Nutzungsverhalten (z. B. Häufigkeit von Besuchen, Vermehrung von Seitenaufrufen, Bestellungen)
Kategorien von Empfängernexorbyte GmbH, Turmstraße 5, 78467 Konstanz
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien6 Minuten nach Aufruf der Website
RechtsgrundlagenArt. 6 Abs. 1 b) DSGVO (Vertragserfüllung), Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse)

4.2. Newsletter-Empfänger

Sind Sie ein Newsletter-Abonnent, der einen unserer-Newsletter bezieht, verarbeiten wir Ihre personenbezogenen Daten wie folgt:
Die von Ihnen über die hierfür vorgesehene Eingabemaske eingegebenen Daten werden bei der Anmeldung an uns übermittelt und verarbeitet. Die Angabe Ihrer E-Mail-Adresse ist in jedem Fall verpflichtend. Die Angabe etwaiger weiterer Daten ist freiwillig und dient Ihrer persönlichen Ansprache. Zum Zeitpunkt der Absendung der Nachricht speichern wir Ihre IP-Adresse sowie Datum und Uhrzeit Ihrer Registrierung im Kontaktformular.
Wir nutzen ein Double-Opt-In-Verfahren, um sicherzustellen, dass Sie nur dann unseren Newsletter bekommen, wenn Sie das wirklich wollen. Dazu senden wir Ihnen eine Benachrichtigungsmail zu, in der Sie durch das Anklicken eines in dieser E-Mail enthaltenen Links bestätigen, dass Sie unsere werblichen E-Mails bzw. unseren Newsletter tatsächlich erhalten möchten.

VerarbeitungNewsletterversand (E-Mail)
ZweckVersand von Informationen an Kunden und Interessierte zu Angeboten, Dienstleistungen, Produkten oder zum Unternehmen und seinen Mitarbeitern.
Kategorien verarbeiteter DatenKontaktdaten (Details: Kontaktdaten (Name, E-Mail))
Kategorien von EmpfängernIntern (Details: Interne Abteilung (Marketing))
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren KriterienBis Widerruf durch den Betroffenen.
RechtsgrundlagenArt. 6 Abs. 1 lit. a (Einwilligung)

4.3. Interessenten

VerarbeitungMailingaktionen (Postversand)
ZweckDurchführung von Werbemaßnahmen auf postalischem Weg.
Kategorien verarbeiteter DatenKontaktdaten (Details: Kontaktdaten (Name, Anschrift))
Kategorien von EmpfängernIntern (Details: Interne Abteilung (Marketing))
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers) Löschung nach Widerspruch gegen die Zusendung postalischer Mitteilungen (Art. 21 Abs. 1, 2 DSGVO)
RechtsgrundlagenDie Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich und es überwiegen keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person
VerarbeitungMailingaktionen (Mailversand)
ZweckAls Kunde von Aponeo erhalten Sie Produktempfehlungen & Bewertungsanfragen per E-Mail. Der Nutzung Ihrer E-Mail Adresse für die Übersendung der Produktempfehlungen und Bewertungsanfragen können Sie jederzeit für die Zukunft widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen, am einfachsten über den in jeder E-Mail enthaltenen Link.
Kategorien verarbeiteter DatenKontaktdaten (Details: Kontaktdaten (Name, E-Mail))
Kategorien von EmpfängernIntern (Details: Interne Abteilung (Marketing))
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren KriterienBis Widerruf durch den Betroffenen.
Rechtsgrundlagen§ 7 Abs. 3 UWG

4.4. Kunden

4.4.1. Online-Shop

VerarbeitungOnline-Shop
ZweckAbwicklung von Kundenbestellungen, Verwalten von Zahlungsinformationen, Information über Auftrags- und Lieferdaten.
Kategorien verarbeiteter DatenInternetnutzungsdaten (Details: Internetnutzungsdaten (IP-Adresse, Besuchszeit und Datum))
Vertragsdaten (Details: Vertragsdaten (Anschrift, Kontaktdaten, Bestellung))
Zahlungsdaten (Details: Zahlungsdaten (Kontoinformationen, Kreditkartendaten))
Kategorien von EmpfängernIntern (Details: Interne Abteilung (Marketing, IT-Abteilung))
Intern (Details: Interne Abteilung (Vertrieb))
Intern (Details: Interne Abteilung (Finanzbuchhaltung))
Intern (Details: Interne Abteilung (Zahlungsdienstleister Bankeinzug))
Extern (Details: Externe Abteilung (Zahlungsdienstleister für für Rechnung, Ratenkauf, Sofortüberweisung und Kreditkarte))
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers)
10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.)
Zahlungsdaten: - bei Gastbestellung 6 Monate - bei Kundenkonto bis auf Widerruf
RechtsgrundlagenDie Verarbeitung ist für die Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme gem. Art. 6 Abs. 1 lit. b DSGVO erforderlich.

4.4.2. E-Rezept CardLink

VerarbeitungE-Rezept CardLink
Kategorien verarbeiteter DatenDie Verarbeitungsvorgänge in der dezentralen Infrastruktur lassen sich in drei Kategorien unterteilen:

Kategorie 1: (ausschließlich) Transport von Daten ohne weitere Verarbeitung
Diese Kategorie umfasst alle Verarbeitungsvorgänge, in denen einer Komponente der dezentralen Infrastruktur personenbezogene Daten übergeben werden (z. B. vom Primärsystem) und in denen die Komponente der dezentralen Infrastruktur die übergebenen Daten unverändert an die vorgesehene Empfängerkomponente weiterleitet.
Empfängerkomponenten können Teil der zentralen TI, der Anwendungsinfrastruktur der TI oder eines an die TI angeschlossenen Netzes sein. Empfängerkomponenten können selbst Teil der dezentralen Infrastruktur sein (z. B. Kartenterminals).
Die Komponente der dezentralen Infrastruktur übernimmt für diese Verarbeitungsvorgänge lediglich eine Weiterleitungsfunktion. Eine weitere Verarbeitung der transportierten Daten erfolgt nicht.

Zu dieser Kategorie gehören insbesondere Verarbeitungsvorgänge
  • der weiteren Anwendungen nach § 327 SGB V,
  • der sicheren Übermittlungsverfahren nach § 311 Absatz 1 Nummer 5 SGB V sowie
  • der Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 2, 6 und 7 SGB V.

Kategorie 2: Weitere Verarbeitung (Verschlüsselung, Signatur, Authentifizierung)
Zu dieser Kategorie gehören die Ver- und Entschlüsselungen sowie die Signaturoperationen, die mittels der Verschlüsselungs- und Signaturfunktionen der dezentralen Infrastruktur durchgeführt werden. Hier werden die zu verschlüsselnden bzw. zu entschlüsselnden Daten sowie die zu signierenden Daten übergeben. Es erfolgt keine über die Ver- bzw. Entschlüsselung bzw. Signatur hinausgehende Verarbeitung in den Komponenten der dezentralen Infrastruktur.
Die Funktionen zur Ver- und Entschlüsselung sowie der Signatur können durch Anwendungen der Kategorie 1 und 3 genutzt werden.

Kategorie 3: Verarbeitungen, die über jene in den Kategorien 1 und 2 hinausgehen
In diesen Verarbeitungsvorgängen werden die einer Komponente der dezentralen Infrastruktur übergebenen Daten in der dezentralen Infrastruktur anwendungsspezifisch verarbeitet, d. h. die Verarbeitung ist im Gegensatz zu den bisherigen Kategorien nicht auf den Transport, die Ver- und Entschlüsselung oder die Signatur beschränkt.
Zu dieser Kategorie gehören die Verarbeitungsvorgänge

  • des Versichertenstammdatenmanagements nach § 291b SGB V sowie
  • der Anwendungen nach § 334 Absatz 1 Satz 2 Nummer 1 und 3 bis 5 SGB V.
Details der DatenverarbeitungenVerarbeitung #1 "Netzwerkkommunikation Versicherte zum CardLink Service"
1.1 Name der Verarbeitung
  • Netzwerkkommunikation - Versicherte zum Card-Link Service
1.2 Kurzbeschreibung der Verarbeitung
  • Versicherte, die ihr Rezept in einer (Online-Apotheke einlösen möchten, starten eine App, welche sich mit CardLink verbindet.
1.3 Zwecke der Verarbeitung
  • Die Verarbeitung dient der grundsätzlichen Bereitstellung des Services.
1.4 Welche Kategorien personenbezogener Daten werden verarbeitetet?
  • Kategorie 1
  • IP-Adressen der verwendeten Endgeräte der Versicherten. Die IP-Adressen werden spezifikationsgemäß weiterverbeitet im Rahmen des Security Monitoring
1.5 Welche Kategorien von Personen sind von der Verarbeitung betroffen?
  • Versicherte bzw. Patienten der Leistungserbringer
1.6 Wie verläuft der Lebenszyklus von Daten und Prozessen?
  • Die Daten werden in Logdaten für maximal 90 Tage aufbewahrt.
Verarbeitung #2 "Stammdatenabgleich - Daten der eGK werden an CardLink übertragen"
2.1 Name der Verarbeitung
  • Stammdatenabgleich - Daten der eGK werden an Card-Link übertragen
2.2 Kurzbeschreibung der Verarbeitung
  • Von der App und der eGK werden personenbezogene Daten (Versichertenstammdaten, VSD) der versicherten Person an CardLink übertragen und geprüft.
2.3 Zwecke der Verarbeitung:
  • Die vorliegende Verarbeitung führt den notwendigen Stammdatenabgleich durch, um die korrekte Verarbeitung und die Legitimität der Anfrage sicherzustellen.
2.4 Welche Kategorien personenbezogener Daten werden verarbeitetet?
  • Kategorie 3
  • Die Stammdaten werden geprüft.
2.5 Welche Kategorien von Personen sind von der Verarbeitung betroffen?
  • Versicherte bzw. Patienten der Leistungserbringer
2.6 Wie verläuft der Lebenszyklus von Daten und Prozessen?
  • Für diese Verarbeitung werden die Daten nicht gespeichert, sondern nur für die Dauer der Verarbeitung im Speicher gehalten. Die Daten werden allerdings für die Anomalieerkennung gespeichert (siehe Verarbeitung #6).
Verarbeitung #3 "E-Rezept Abfrage - Daten an E-Rezept Fachdienst übertragen"
3.1 Name der Verarbeitung
  • E-Rezept Abfrage - Daten an E-Rezept Fachdienst übertragen
3.2 Kurzbeschreibung der Verarbeitung
  • Die VSD werden an den (externen) E-Rezept Fachdienst übertragen, um das E-Rezept abholen zu können (siehe unten).
3.3 Zwecke der Verarbeitung
  • Die vorliegende Verarbeitung überträgt die für den Abruf des E-Rezepts notwendigen Daten an den E-Rezept Fachdienst.
3.4 Welche Kategorien personenbezogener Daten werden verarbeitetet?
  • Kategorie 1
  • Die Stammdaten werden weitergegeben.
3.5 Welche Kategorien von Personen sind von der Verarbeitung betroffen?
  • Versicherte bzw. Patienten der Leistungserbringer
3.6 Wie verläuft der Lebenszyklus von Daten und Prozessen?
  • Die Daten werden nicht gespeichert und nur für die Dauer der unmittelbaren Verarbeitung im Speicher gehalten.
Verarbeitung #4 "Rezept-Empfang: Vollständiges E-Rezept vom Fachdienst empfangen und an Verantwortlichen/App zurückmelden"
4.1 Name der Verarbeitung
  • Rezept-Empfang: Vollständiges E-Rezept vom Fachdienst empfangen und an Verantwortlichen/App zurückmelden
4.2 Kurzbeschreibung der Verarbeitung
  • Vom Fachdienst kommt ein vollständiges E-Rezept zurück, welches an die Smartphone App gesendet wird.
4.3 Zwecke der Verarbeitung
  • Die vorliegende Verarbeitung leitet das E-Rezept vom Fachdienst and die App der Versicherten weiter
4.4 Welche Kategorien personenbezogener Daten werden verarbeitetet?
  • Kategorie 3
  • Die Stammdaten werden weitergegeben.
4.5 Welche Kategorien von Personen sind von der Verarbeitung betroffen?
  • Versicherte bzw. Patienten der Leistungserbringer
4.6 Wie verläuft der Lebenszyklus von Daten und Prozessen?
  • Die Daten werden nicht dauerhaft gespeichert und nur für die Dauer der unmittelbaren Verarbeitung im Speicher gehalten.
Verarbeitung #5 "SMS-Versand - Daten an SMS Provider übertragen"
5.1 Name der Verarbeitung
  • SMS-Versand - Daten an SMS Provider übertragen
5.2 Kurzbeschreibung der Verarbeitung
  • Versand eine SMS über einen externen SMS-Provider.
5.3 Zwecke der Verarbeitung
  • Die vorliegende Verarbeitung leitet einen Code plus Telefonnummern der Versicherten an einen SMS-Provider weiter, um die Legitimität der Anfrage sicherzustellen.
5.4 Welche Kategorien personenbezogener Daten werden verarbeitetet?
  • Kategorie 3
  • Die Telefonnummer wird verwendet, um einen SMS-Code zu generieren und zu versenden.
5.5 Welche Kategorien von Personen sind von der Verarbeitung betroffen?
  • Versicherte bzw. Patienten der Leistungserbringer
5.6 Wie verläuft der Lebenszyklus von Daten und Prozessen?
  • Die Telefonnummer wird in einer Datenbank gespeichert.
  • Eine Löschung erfolgt nach 90 Tagen.
Verarbeitung #6 "Angriffsprüfung und Erkennung von Sicherheitsvorfällen"
6.1 Name der Verarbeitung
  • Angriffsprüfung und Erkennung von Sicherheitsvorfällen
6.2 Kurzbeschreibung der Verarbeitung
  • Die WAF untersucht Metadaten auf Angriffsmuster, die CardLink Software untersucht Inhalte und Metadaten und aus den verschiedenen Komponenten eingesammelte Logdaten werden von einem SIEM auf Sicherheitsvorfälle untersucht.
6.3 Zwecke der Verarbeitung
  • Die Anwendungen der Telematikinfrastruktur dienen der Verbesserung der Wirtschaftlichkeit, der Qualität und der Transparenz der Versorgung. Die vorliegende Verarbeitung verarbeitet Daten, um Sicherheits- und Datenschutzvorfälle zu erkennen.
6.4 Welche Kategorien personenbezogener Daten werden verarbeitetet?
  • Kategorie 3
  • Die Stammdaten und die Metadaten der Kommunikation werden auf Angriffsmuster oder Anomlien untersucht. Die Inhalte des E-Rezepts werden hierbei nicht verarbeitet.
6.5 Welche Kategorien von Personen sind von der Verarbeitung betroffen?
  • Versicherte bzw. Patienten der Leistungserbringer
6.6 Wie verläuft der Lebenszyklus von Daten und Prozessen?
  • Die Daten werden im SIEM für einen Zeitraum von maximal 90 Tagen vorgehalten.
Empfänger der DatenDie Daten werden an den E-Rezept Fachdienst weitergegeben. Anbieter und Betreiber des E-Rezept Fachdienstes ist zum Stichtag 24.04.2024 die IBM Deutschland GmbH.
Auftragsverarbeiter für die Verarbeitung: ist die akquinet Health Service GmbH
Die akquinet outsourcing übernimmt den Betrieb des Netzwerks sowie der Firewall und der WAF.
Die akquinet nx2 übernimmt den generellen Betrieb von CardLink.
RechtsgrundlagenAnwendung der Telematik-Infrastruktur nach § 334 Abs. 1 S. 2 Nr. 6 SGB V auf der Rechtsgrundlage der §§ 360-361a SGB V

4.4.3. Kundenkarte - Kundenkartei

VerarbeitungKundenkarte - Kundenkartei
ZweckKundenkarte - persönliche Gesundheitskarte: Dokumentation und Bearbeitung nachstehender Leistungen: - Auflistung/Dokumentation aller Käufe - Auflistung aller Zuzahlungen - Sammelbeleg für geleistete Zuzahlungen für Finanzamt und Krankenkassen - Rabattierung - Bonussystem - Feststellung/Dokumentation von Unverträglichkeiten - Wechselwirkung von Medikamenten
Kategorien verarbeiteter DatenAbrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte))
Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten))
Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Sozialversicherungsdaten (Details: Sozialversicherungsdaten (Krankenkasse, Rentenkasse, Steuerdaten, Kirchensteuermerkmal))
Kategorien von EmpfängernAuftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren KriterienLöschung auf Anforderung (§ 17 DSGVO) bzw. 3 Jahre nach Nichtgebrauch
RechtsgrundlagenArt. 6 Abs. 1 Satz 1 a) DSGVO (Einwilligung)

4.4.4. Kontaktdatenverwaltung

VerarbeitungKontaktdatenverwaltung
ZweckKontaktdaten von Kunden werden zur besseren Übersicht und Verfügbarkeit ins CRM-/ERP-System eingebracht und verwaltet.
Kategorien verarbeiteter DatenKontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von EmpfängernIntern (Details: Interne Abteilung (Mitarbeiter mit Zugriff auf das CRM-/ERP-System))
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren KriterienDauer der Kundenbeziehung
RechtsgrundlagenArt. 6 Abs. 1 Satz 1 f) DSGVO (berechtigtes Interesse)

4.4.5. Kundendatenverwaltung

VerarbeitungKundendatenverwaltung (CRM)
ZweckSystematische Pflege von Kundenbeziehungen zum Zweck der Absatzförderung.
Kategorien verarbeiteter DatenKontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von EmpfängernIntern (Details: Interne Abteilung (Vertrieb))
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren KriterienSpeicherung für die Dauer der zugrundeliegenden Geschäftsbeziehung.
RechtsgrundlagenDie Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich und es überwiegen keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person.

4.4.6. Mailingaktionen (Postversand)

VerarbeitungMailingaktionen (Postversand)
ZweckDurchführung von Werbemaßnahmen auf postalischem Weg.
Kategorien verarbeiteter DatenKontaktdaten (Details: Kontaktdaten (Name, Anschrift))
Kategorien von EmpfängernIntern (Details: Interne Abteilung (Marketing))
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers) Löschung nach Widerspruch gegen die Zusendung postalischer Mitteilungen (Art. 21 Abs. 1, 2 DSGVO)
Rechtsgrundlagen§ 6 Abs. 1 Satz 1 f) DSGVO (berechtigtes Interesse)

4.4.7. Kundenbefragung - Qualitätsmanagement

VerarbeitungKundenbefragung - Qualitätsmanagement
ZweckKundenbefragung im Rahmen des Qualitätsmanagements (Themen z.B. Kundenzufriedenheit, Kundenwünsche ..)
Kategorien verarbeiteter DatenKontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von EmpfängernAuftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien3 Jahre BGB (Details: 3 Jährte nach der Erbringung der Dienstleistung (Regelmäßige Verjährungsfrist gem. 195 BGB)) Zeitnahe Löschung nach Ausarbeitung
Rechtsgrundlagen§ 6 Abs. 1 Satz 1 f) DSGVO (berechtigtes Interesse)

4.4.8. Qualitätsmanagement

VerarbeitungQualitätsmanagement
ZweckErstellen und Pflegen des Qualitätsmanagements.
Kategorien verarbeiteter DatenKontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von EmpfängernIntern (Details: Qualitätsmanagement)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers)
RechtsgrundlagenDie Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich und es überwiegen keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person.

4.4.9. Dokumentation: Tierarzneiabgabe

VerarbeitungDokumentation: Tierarzneiabgabe
ZweckGesetzliche Dokumentationspflicht bei der Abgabe von Tierarzneimitteln
Kategorien verarbeiteter DatenAbrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von EmpfängernAuftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahre, aufzubewahren.)
Rechtsgrundlagen§ 19 Abs. 1 Satz 2 Nr. 2 lit. a) b) Abs. 2 ApBetrO

4.4.10. Bonitätscheck

VerarbeitungBonitätscheck
ZweckPrüfung und Feststellung der Bonität
Kategorien verarbeiteter DatenName, Anschrift
Kategorien von EmpfängernAuskunfteien
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren KriterienLöschung des Prüfungsergebnisses nach Zweckfortfall
RechtsgrundlagenArt. 6 Abs. 1 f) DSGVO (berechtigtes Interesse)

4.4.11. Rechnungswesen

VerarbeitungRechnungswesen
ZweckRechnung erstellen, versenden und Zahlungseingang kontrollieren inkl. Kontoauszüge
Kategorien verarbeiteter DatenAbrechnungsdaten (Details: Abrechnungsdaten (Informationen über erstelle Lieferungen/Leistungen))
Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Vertragsdaten (Details: Vertragsdaten (Anschrift, Vertragsinhalte))
Zahlungsdaten (Details: Zahlungsdaten (Kontoinformationen, Kreditkartendaten))
Kategorien von EmpfängernIntern (Details: Buchhaltung)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.)
RechtsgrundlagenDie Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung gem. Art. 6 Abs. 1 lit. c DSGVO erforderlich (Buchführungspflicht gemäß § 238 Abs. 1 HGB).

4.4.12. Mahnwesen

VerarbeitungMahnwesen
ZweckDurchführung von Mahnungen.
Kategorien verarbeiteter DatenAbrechnungsdaten (Details: Abrechnungsdaten (Informationen über erstelle Lieferungen/Leistungen).) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail, Position, Unternehmen))
Kategorien von EmpfängernIntern (Details: Buchhaltung) Zu 2) Intern (Details: Buchhaltung)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.)
RechtsgrundlagenArt. 6 Abs. 1 Satz 1 b) und f) DSGVO (Vertragserfüllung und berechtigtes Interesse)

4.5. Patient

4.5.1. Arzneimittelherstellung

VerarbeitungArzneimittelherstellung
ZweckBei der Herstellung von Arzneimitteln werden personenbezogene Daten gespeichert.
Kategorien verarbeiteter DatenGesundheitsdaten (Details: Gesundheitsdaten (z.B. Medikamentation)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon))
Kategorien von EmpfängernAuftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahrelang, aufzubewahren.)
RechtsgrundlagenApBetrO: §§ 7 Abs. 1a, Satz 1, 1 b Satz 2, 1 c Satz 1 (4-7), Satz 2, Satz 3, Satz 8 Abs. 2 (7), Satz 3, Abs. 3 (1), Abs. 4 (2), 14 Abs. 1 Satz 1 (9)

4.5.2. Auftragsherstellung

VerarbeitungAuftragsherstellung
ZweckHerstellung von Rezepturarzneimitteln für oder durch einen anderen Herstellungsbetrieb.
Kategorien verarbeiteter DatenAbrechnungsdaten (Details: Abrechnungsdaten) Kontaktdaten (Details: Kontaktdaten: Patient: Name, ggf. Name des Tierhalters Arzt: Name des verschreibenden Arztes oder Tierarztes)
Kategorien von EmpfängernAuftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren KriterienZu 1) 1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahre lang, aufzubewahren.) Zu 2) 1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahre lang, aufzubewahren.)
RechtsgrundlagenDie Verarbeitung ist für die Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme gem. Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 6 Abs. 1 lit. c DSGVO zur Einhaltung rechtlicher Verpflichtungen erforderlich (§ 21 Abs. 2 Nr. 1b AMG, § 11 Abs. 3 od. 4 ApoG, § 17 Abs. 6c Nr. 5 ApBetrO, §§ 11a, 7, 14 ApBetrO)

4.5.3. Auskunft vom behandelnden Arzt (Interaktionsprüfung)

VerarbeitungAuskunft vom behandelnden Arzt (Interaktionsprüfung)
ZweckErforderliche Nachfrage beim behandelnden Arzt bei Unklarheiten und Unsicherheiten.
Kategorien verarbeiteter DatenAbrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte)) Gesundheitsdaten (Details: Gesundheitsdaten (Medikamentation)) Kontaktdaten (Details: Kontaktdaten (Name, Adresse))
Kategorien von EmpfängernAuftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien3 Jahre BGB (Details: 3 Jährte nach der Erbringung der Dienstleistung (Regelmäßige Verjährungsfrist gem. 195 BGB))
RechtsgrundlagenEinwilligung nach Art. 6 Abs. 1 lit. a DSGVO § 203 Strafgesetzbuch: Schweigepflicht

4.5.4. BtMG (Betäubungsmittelgesetz) - Dokumentation der Abgabe

VerarbeitungBtMG (Betäubungsmittelgesetz) - Dokumentation der Abgabe
ZweckRezepteinlösung für Betäubungsmittel nach BtMG Rezepte werden mit Durchschrift erstellt und eingelöst gelbes Rezept zur Weiterleitung an die Abrechnungsstelle Durchschlag verbleibt in der Apotheke - Dokumenten-Ablage
Kategorien verarbeiteter DatenAbrechnungsdaten (Details: Abrechnungsdaten (Verordnung)) Gesundheitsdaten (Details: Gesundheitsdaten (Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Adresse)) Sozialversicherungsdaten (Details: Sozialversicherungsdaten (Krankenkasse,))
Kategorien von EmpfängernAuftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) Öffentliche Stelle (Details: Abrechnungsstelle)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien3 Jahre (BtMVV) (Details: Löschung nach 3 Jahren. Aufbewahrungsfrist gem. § 13 Abs. 3 Betäubungsmittel-Verschreibungs-Verordnung.) 10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.)
RechtsgrundlagenEinwilligung nach Art. 6 Abs. 1 lit. a DSGVO § 13,1a(5)BtMG sowie BtMVV: § 7,3(4),7,4(5 und 7) § 12,3 (3) § 13,1 (4) § 14,1 (4 und 5).

4.5.5. Dokumentation - Meldepflicht: T-Rezeptpflichtiger Arzneimittel

VerarbeitungDokumentation - Meldepflicht: T-Rezeptpflichtiger Arzneimittel
ZweckGesetzliche Dokumentationspflicht bei der Abgabe von T-rezeptpflichtiger Arzneimittel z.B. Talidomid (Contergan), Teratogene
Kategorien verarbeiteter DatenGesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten))
Kategorien von EmpfängernAuftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahrelang, aufzubewahren.)
Rechtsgrundlagen§ 17 Abs. 6 b Satz 1 Nr. 6 und 7, Satz 2 ApBetrO, § 3a Abs. AMVV>/p>

4.5.6. Dokumentation: Abgabe von Blutzubereitungen

VerarbeitungDokumentation: Abgabe von Blutzubereitungen
ZweckDokumentation bei der Abgabe von Blutzubereitungen - Gesetzliche Dokumentationspflicht
Kategorien verarbeiteter DatenKontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von EmpfängernAuftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien30 Jahre (RöV) (Details: Löschung nach 30 Jahren. Aufbewahrungsfrist gem. § 85 Abs. 3 StrlSchV bzw. § 28 Abs. 3 S. 1 RöV bei Behandlungen mit radioaktiven Stoffen oder ionisierenden Strahlen.)
Rechtsgrundlagen§ 17 Abs. 6a Nr. 4,5 ApBetrO

4.5.7. Dokumentation: Arzneimitteleinfuhr

VerarbeitungDokumentation: Arzneimitteleinfuhr
ZweckEinfuhr von Arzneimitteln aus anderen Staaten
Kategorien verarbeiteter DatenAbrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte)) Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von EmpfängernAuftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahrelang, aufzubewahren.)
Rechtsgrundlagen§ 18 Abs. 1 Nr. 5,6,8 ApBetrO § 73 Abs. 3, 3b AMG

4.5.8. Informationsstellen - Anfragen

VerarbeitungInformationsstellen - Anfragen
ZweckAnfragen bei Informationsstellen zu pharmazeutischen Problemen
Kategorien verarbeiteter DatenGesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Personenbezug i.d.R. nicht erforderlich. ggf. Gesundheitsdaten, Medikationsdaten, Diagnosen, Alter, Geschlecht, Gewicht
Kategorien von EmpfängernAuftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) Öffentliche Stelle (Details: Öffentliche-Stelle: Behörde, Organ der Rechtspflege, öffentlich-rechtliche Einrichtung des Bundes, bundesunmittelbare Körperschaften, Anstalten, Stiftungen und deren Vereinigungen gem. § 2 Abs. 1-3 BDSG.
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien3 Jahre (BtMVV) (Details: Löschung nach 3 Jahren. Aufbewahrungsfrist gem. § 13 Abs. 3 Betäubungsmittel-Verschreibungs-Verordnung.)
RechtsgrundlagenEinwilligung nach Art. 6 Abs. 1 lit. a DSGVO sowie Art. 9 Abs. 2 lit. h DSGVO

4.5.9. Medikationsanalyse

VerarbeitungMedikationsanalyse
ZweckMedikationsanalyse - Medikationsmanagement als Dienstleistung für Patienten zur Verbesserung der Therapiesicherheit.
Kategorien verarbeiteter DatenAbrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte)) Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)
Kategorien von EmpfängernAuftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien3 Jahre (BtMVV) (Details: Löschung nach 3 Jahren. Aufbewahrungsfrist gem. § 13 Abs. 3 Betäubungsmittel-Verschreibungs-Verordnung.)
RechtsgrundlagenVertragserfüllung nach Art. 6 Abs. 1 lit. a DSGVO sowie Art. 9 Abs. 2 lit. h DSGVO

4.5.10. Rezepteinlösung - Auslieferung per Botendienst

VerarbeitungRezepteinlösung - Auslieferung per Botendienst
ZweckRezeptvorlage durch Patient - Auslieferung durch Boten Telefonische Bestellung - Auslieferung durch Boten Bestellung online - Auslieferung durch Boten
Kategorien verarbeiteter DatenGesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Sozialversicherungsdaten (Details: Sozialversicherungsdaten (Krankenkasse, Rentenkasse, Steuerdaten, Kirchensteuermerkmal))
Kategorien von EmpfängernAuftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahrelang, aufzubewahren.) 3 Jahre (Verjährungsfrist nach § 195 BGB) Botenlisten werden täglich vernichtet
Rechtsgrundlagen§ 17, 2 (1) ApBetrO § 24, 4 (1) ApBetrO

4.5.11. Rezeptvorlage durch Dritte

VerarbeitungRezeptvorlage durch Dritte
ZweckBearbeitung von Rezepten, die nicht persönlich - sondern durch Dritte vorgelegt werden: z.B. durch Hauskrankenpflege: Rezept wird z.T. durch Apotheke abgeholt Bearbeitung entsprechend Verarbeitungstätigkeit: Vorlage Rezept Medikament wird von Apothekenpersonal oder Boten geliefert Abgabe nur gegen Unterschrift.
Kategorien verarbeiteter DatenGesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Sozialversicherungsdaten (Details: Sozialversicherungsdaten (Krankenkasse, Rentenkasse, Steuerdaten, Kirchensteuermerkmal))
Kategorien von EmpfängernÖffentliche Stelle (Details: Rezeptvorlage bei Abrechnungstelle) Sonstige Empfänger (Details: Botendienst - Daten aus der Botenliste enthalten Kontaktdaten (Adresse) sowie Auflistung der Medikamente. Botenliste wird vom Patienten/Empfänger abgezeichnet und zur Dokumentation zurückgebracht.) Öffentliche Stelle (Details: Öffentliche-Stelle: Behörde, Organ der Rechtspflege, öffentlich-rechtliche Einrichtung des Bundes, bundesunmittelbare Körperschaften, Anstalten, Stiftungen und deren Vereinigungen gem. § 2 Abs.. 1-3 BDSG.
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.) Daten aus den Rezepten werden nicht gespeichert. Botenlisten werden täglich vernichtet.
RechtsgrundlagenDie Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich. Art 6 (1) f

4.5.12. Schweigepflicht - Schweigepflichtentbindung

VerarbeitungSchweigepflicht - Schweigepflichtentbindung
ZweckEntbindung von der Schweigepflicht gem § 203 StGB - Verletzung von Privatgeheimnissen. Bei der Weitergabe von personenbezogenen Patienten- und/oder Gesundheitsdaten muss eine Schweigepflichtentbindung des Betroffenen vorliegen.
Kategorien verarbeiteter DatenAbrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte)) Genetische Daten (Details: Genetischen Daten (Informationen über Genomdaten der betroffenen Person)) Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von EmpfängernAuftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriteriendauerhaft (Details: Löschung derzeit nicht definiert.)
Rechtsgrundlagen§ 203 StGB

4.5.13. Verordnungen: Abrechnung mit gesetzlichen Krankenkassen und sonstigen Kostenträgern

VerarbeitungVerordnungen: Abrechnung mit gesetzlichen Krankenkassen und sonstigen Kostenträgern
ZweckEinlösung des Kassenrezepts zur Aushändigung der Medikamente an Kunden und Weiterleitung an die Abrechnungsstelle.
Kategorien verarbeiteter DatenGesundheitsdaten (Details: Gesundheitsdaten (Medikamente und Medikation)) Kontaktdaten (Details: Kontaktdaten (Name, Anschrift)) Versicherungsdaten (Details: Versicherungsdaten (Träger der gesetzlichen Krankenversicherung, Versicherungsnummer, Kartennummer, Gültigkeit)) Erhobenen Daten sind i.d.R. auf dem Rezept durch den Verordner aufgedruckt
Kategorien von EmpfängernÖffentliche Stelle (Details: Abrechnungsstelle der Krankenkassen) Zu 2) Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien10 Jahre (Behandlung) (Details: Löschung nach 10 Jahren. (Abrechnungsvereinbarung gem. § 300 SGB V)) Rezepte werden an Abrechnungsstelle der Krankenkassen weitergegeben.
RechtsgrundlagenDie Verarbeitung ist für die Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme gem. Art. 6 Abs. 1 lit. b DSGVO erforderlich. Rechtsgrundlagen: §§ 129, 300, 302 SGB V, § 17 Abs. 6 ApBetrO

4.5.14. Verordnungen: Abrechnung von Privatrezepten

VerarbeitungVerordnungen: Abrechnung von Privatrezepten
ZweckPrivat-Verordnung wird zur Einlösung vorgelegt. Medikament wird ausgehändigt. Bezahlvorgang bar, Karte oder Rechnung.
Kategorien verarbeiteter DatenGesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Sozialversicherungsdaten (Details: Sozialversicherungsdaten (Krankenkasse, Rentenkasse, Steuerdaten, Kirchensteuermerkmal)
Kategorien von EmpfängernAuftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.)
RechtsgrundlagenArt. 6 Abs. 1 b) und f) DSGVO (Vertragserfüllung und berechtigtes Interesse)

4.6. Beschäftigte von Unternehmenskunden und Lieferanten

4.6.1. Beschaffung und Einkauf

VerarbeitungBeschaffung und Einkauf
ZweckOrganisation und Durchführung von Einkauf und Beschaffung.
Kategorien verarbeiteter DatenKontaktdaten (Details: Kontaktdaten (Name, Telefon, E-Mail, Position, Unternehmen))/p>
Kategorien von EmpfängernIntern (Details: Interne Abteilung (Facilitymanagement und Einkauf/Beschaffung))
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.)
RechtsgrundlagenDie Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich (Wahrung der geschäftlichen Interessen des Unternehmens).

4.6.2. Vertragsverwaltung

VerarbeitungVertragsverwaltung
ZweckErstellung und Abwicklung von Verträgen im Vertrieb und Einkauf.
Kategorien verarbeiteter DatenKontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Vertragsdaten (Details: Vertragsdaten (Anschrift, Kontaktdaten, Vertragsinhalte))
Kategorien von EmpfängernIntern (Details: Interne Abteilung (EInkauf, Vertrieb))
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers)
RechtsgrundlagenDie Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f) DSGVO erforderlich und es überwiegen keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person.

4.6.3. Mahnwesen

VerarbeitungMahnwesen
ZweckDurchführung von Mahnungen.
Kategorien verarbeiteter DatenAbrechnungsdaten (Details: Abrechnungsdaten (Informationen über erstelle Lieferungen/Leistungen).) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail, Position, Unternehmen))
Kategorien von EmpfängernIntern (Details: Buchhaltung)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.)
RechtsgrundlagenDie Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich (Wahrung der geschäftlichen Interessen des Unternehmens).

4.6.4. Qualitätsmanagement

VerarbeitungQualitätsmanagement
ZweckErstellen und Pflegen des Qualitätsmanagements.
Kategorien verarbeiteter DatenAbrechnungsdaten (Details: Abrechnungsdaten (Informationen über Lieferungen/Leistungen)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) /p>
Kategorien von EmpfängernIntern (Details: Qualitätsmanagement)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers)
RechtsgrundlagenDie Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich und es überwiegen keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person.

4.7. Webinar-Teilnehmer

Sind Sie ein Webinar-Teilnehmer, verarbeiten wir Ihre personenbezogenen Daten wie folgt. Sie können an einem Webinar teilnehmen, wenn Sie sich zuvor dazu über unsere Internetseite dazu angemeldet haben. Die Durchführung und Nachbereitung der Webinare erfolgten durch Nutzung von Zoom. In den virtuellen Seminarräumen werden personenbezogene Daten der Dozenten und Teilnehmer (gemeinsam „Beteiligte“) verarbeitet. Die Dozenten und Teilnehmer sind damit datenschutzrechtlich Betroffene. Beim Eintritt in den virtuellen Seminarraum und dem Login durch die Teilnehmer und Dozenten vergeben sich diese ein virtuelles Namensschild, um für die anderen Beteiligten am Webinar erkennbar und ansprechbar zu sein. Bei der Durchführung der Webinare werden von den Dozenten und Teilnehmern Videodaten, Töne, Bildschirminhalte und Chat-Nachrichten an alle am Webinar Beteiligte übertragen, sofern die jeweilige Funktion vom Dozenten oder aber vom Teilnehmer freigeschaltet bzw. aktiv genutzt wird. Die Daten werden nur zu Übertragung gespeichert und verarbeitet; eine Speicherung und Verarbeitung der Daten nach dem Ende der Übertragung findet grundsätzlich nicht statt. Die Beteiligten haben die Möglichkeit, bilateral oder in Gruppen zu chatten. Zugriff auf die Inhalte der Chatnachrichten haben dabei nur die beiden Beteiligten des bilateralen Chats bzw. die Mitglieder der jeweiligen Chat-Gruppe. Wir nutzen gelegentlich die Möglichkeit, Webinare aufzuzeichnen und die aufgezeichneten Inhalte im Nachgang den Beteiligten zur Verfügung zu stellen und darüber hinaus das Webinar intern zu dokumentieren. Sollte eine solche Aufzeichnung durch uns erfolgen, wird dies im Webinar selbst angekündigt, so dass die Teilnehmer entscheiden können, ob sie Videodaten, Töne, Bildschirminhalte und Chat-Nachrichten von sich freischalten bzw. aktiv nutzen und somit für die Aufzeichnung zu Verfügung stellen. Wir erheben personenbezogene Daten der Teilnehmer über deren Aufenthalt im virtuellen Seminarraum, deren Verweildauern und Nutzung von Angeboten. Dies entspricht in etwa dem Beobachten der Teilnehmer in einem realen Raum. Am Ende der Webinare wird den Teilnehmern regelmäßig die Bewertung der Dozenten ermöglicht. Dabei ist es organisatorisch ausgeschlossen, dass die Individuell abgegebene Bewertung der Teilnehmer sichtbar gemacht wird. Wir erhalten eine aggregierte Bewertung der Dozentin bzw. des Dozenten.

VerarbeitungWebinar-Teilnehmer
Zwecktechnische Umsetzung der Webinare (Übertragung von Namen, Kamerabildern, Ton, Bildschirminhalten und Chat-Nachrichten), Aufzeichnung von Webinaren, Ausstellung von Teilnahmebescheinigungen, Nachbereitung der Webinare (z.B. Bereitstellung von Seminarunterlagen, Bewertung der Dozenten) und Resonanz der Beteiligten festzustellen und ggf. Verbesserungsmaßnahmen ableiten
Kategorien verarbeiteter DatenKontaktdaten über Kontaktformular, E-Mail, Telefon oder über soziale Medien: Name, E-Mail-Adresse und optional Telefonnummer Verbindungsdaten: IP-Adresse sowie Datum und Uhrzeit der Registrierung im Kontaktformular; ggf. Weitergabe an Dritte über Cookies (Steuerung über das Consent-Management-Tool möglich), E-Mail-Adresse, Nutzername soziale Medien, ggf. Telefonnummer Inhalte des ausgefüllten Kontaktformulars, der E-Mails, der Live-Chats und Telefonate können personenbezogen sein
Kategorien von Empfängernx
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren KriterienNach dem Ende des jeweiligen Webinars werden die Chatinhalte automatisch gelöscht. Nach Aggregation und Ausstellung von Teilnahmebescheinigungen werden die Daten im virtuellen Seminarraum gelöscht.
RechtsgrundlagenArt. 6 Abs. 1 a), b) und f) DSGVO (Einwilligung, Vertragserfüllung und berechtigtes Interesse)

4.8. Bewerber

VerarbeitungBewerbungsverfahren (extern)
ZweckAuswahl geeigneter externer Bewerber zur Besetzung einer offenen Stelle.
Kategorien verarbeiteter DatenBewerberdaten (Details: Bewerberdaten (Angaben zur Person, Kontaktdaten, Lebenslauf, Foto, Zeugnisse))
Kategorien von EmpfängernIntern (Details: Interne Abteilung (Personalabteilung, Vorgesetzte, Geschäftsleitung)
Drittstaaten-Datentransfernein
Speicherdauer bzw. deren Kriterien6 Monate (Bewerbung) (Details: Löschung nach 6 Monaten (sofern keine Einwilligung zur längeren Speicherung vorliegt). Aufbewahrungsfrist von 2 Monaten gem. § 21 Abs. 5 AGG plus vertretbarer Bearbeitungszeit.)
RechtsgrundlagenDie Verarbeitung ist für die Anbahnung des Beschäftigungsverhältnisses gemäß § 26 Abs. 1 S. 1 BDSG erforderlich. (Eine über das aktuelle Bewerbungsverfahren hinausgehende Speicherung bzw. eine Weitergabe an Dritte bedingt eine Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO, welche die Anforderungen an die Einwilligung gem. Art. 7 Abs. 1-4 DSGVO werden erfüllt.)

5. Rechte der betroffenen Person

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener im Sinne der DSGVO. Ihnen stehen damit folgende Rechte gegenüber dem Verantwortlichen zu:

5.1. Auskunftsrecht, Art. 15 DSGVO

Sie haben gem. Art. 15 DSGVO das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten verarbeiten, die Sie betreffen. Ist das der Fall, können Sie nachfolgende Auskünfte über folgende Informationen von uns verlangen: Verarbeitungszwecke; Kategorie der personenbezogenen Daten, die verarbeitet werden; Empfänger bzw. Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden; geplante Speicherdauer oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer; Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch; Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; Herkunft Ihrer Daten, sofern diese nicht bei uns erhoben wurden; Bestehen einer automatisierten Entscheidungsfindung einschließlich „Profiling“ und ggf. aussagekräftigen Informationen zu deren Einzelheiten; Übermittlung der personenbezogenen Daten in ein Drittland oder an eine internationale Organisation; geeignete Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung.

5.2. Recht auf Berichtigung

Sie haben gem. Art. 16 DSGVO das Recht, unverzüglich die Berichtigung oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.

5.3. Recht auf Einschränkung der Verarbeitung

Sie haben gem. Art. 18 DSGVO das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gem. Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben.

5.4. Recht auf Löschung

Sie haben gem. Art. 17 DSGVO das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

5.5. Recht auf Unterrichtung

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber Aponeo als verantwortlicher Stelle geltend gemacht, sind wir gem. Art. 19 DSGVO dazu verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht gegenüber Aponeo das Recht zu, über diese Empfänger unterrichtet zu werden.

5.6. Recht auf Datenübertragbarkeit

Sie haben gem. Art. 20 DSGVO das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.

5.7. Widerspruchsrecht

Sie haben gem. Art. 21 DSGVO das Recht, Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Wir verarbeiten die Sie betreffenden personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das „Profiling“, soweit es mit solcher Direktwerbung in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

5.8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Sie haben gem. Art. 7 Abs. 3 DSGVO das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

5.9. Recht auf Beschwerde bei einer Aufsichtsbehörde

Sie haben gem. Art. 77 DSGVO das Recht, sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden.

Stand: September 2024

Nach oben