Datenschutzerklärung
Inhaltsverzeichnis
- 1. Hintergrund und Begriffe
- 2. Verantwortliche
- 3. Datenschutzbeauftragter
- 4. Details der Datenverarbeitungen nach Betroffenengruppe
- 4.1. Webseitenbesucher
- 4.1.1. Betrieb der Website
- 4.1.2. Affiliate-Marketing durch Drittanbieter
- 4.1.3. Kontaktaufnahme
- 4.1.4. Kontaktaufnahme per WhatsApp
- 4.1.5. Optimierung von Such- und Empfehlungsfunktionen
- 4.2. Newsletter-Empfänger
- 4.3. Interessenten
- 4.4. Kunden
- 4.4.1. Online-Shop
- 4.4.2. E-Rezept CardLink
- 4.4.3. Kundenkarte - Kundenkartei
- 4.4.4. Kontaktdatenverwaltung
- 4.4.5. Kundendatenverwaltung
- 4.4.6. Mailingaktionen (Postversand)
- 4.4.7. Kundenbefragung - Qualitätsmanagement
- 4.4.8. Qualitätsmanagement
- 4.4.9. Dokumentation: Tierarzneiabgabe
- 4.4.10. Bonitätscheck
- 4.4.11. Rechnungswesen
- 4.4.12. Mahnwesen
- 4.5. Patient
- 4.5.1. Arzneimittelherstellung
- 4.5.2. Auftragsherstellung
- 4.5.3. Auskunft vom behandelnden Arzt (Interaktionsprüfung)
- 4.5.4. BtMG (Betäubungsmittelgesetz) - Dokumentation der Abgabe
- 4.5.5. Dokumentation - Meldepflicht: T-Rezeptpflichtiger Arzneimittel
- 4.5.6. Dokumentation: Abgabe von Blutzubereitungen
- 4.5.7. Dokumentation: Arzneimitteleinfuhr
- 4.5.8. Informationsstellen - Anfragen
- 4.5.9. Medikationsanalyse
- 4.5.10. Rezepteinlösung - Auslieferung per Botendienst
- 4.5.11. Rezeptvorlage durch Dritte
- 4.5.12. Schweigepflicht - Schweigepflichtentbindung
- 4.5.13. Verordnungen: Abrechnung mit gesetzlichen Krankenkassen und sonstigen Kostenträgern
- 4.5.14. Verordnungen: Abrechnung von Privatrezepten
- 4.6. Beschäftigte von Unternehmenskunden und Lieferanten
- 4.6.1. Beschaffung und Einkauf
- 4.6.2. Vertragsverwaltung
- 4.6.3. Mahnwesen
- 4.6.4. Qualitätsmanagement
- 4.7. Webinar-Teilnehmer
- 4.8. Bewerber
- 5. Rechte der betroffenen Person
- 5.1. Auskunftsrecht, Art. 15 DSGVO
- 5.2. Recht auf Berichtigung
- 5.3. Recht auf Einschränkung der Verarbeitung
- 5.4. Recht auf Löschung
- 5.5. Recht auf Unterrichtung
- 5.6. Recht auf Datenübertragbarkeit
- 5.7. Widerspruchsrecht
- 5.8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
- 5.9. Recht auf Beschwerde bei einer Aufsichtsbehörde
1. Hintergrund und Begriffe
Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung Ihrer personenbezogenen Daten durch die datenschutzrechtlichen Verantwortliche gem. Art. 13 und 14 Datenschutz-Grundverordnung (DSGVO).
Es werden die folgenden Begriffsdefinitionen, insbesondere die der DSGVO, zugrunde gelegt:
Begriff | Erläuterung |
---|---|
Auftragsverarbeiter | Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO) |
Cookies | Ein Cookie ist eine Textinformation, die im Browser auf dem Endgerät des Betrachters (Computer, Laptop, Smartphone, Tablet usw.) jeweils zu einer besuchten Website (Webserver, Server) gespeichert werden kann. Das Cookie wird entweder vom Webserver an den Browser gesendet oder im Browser von einem Skript (JavaScript) erzeugt. Der Webserver kann bei späteren, erneuten Besuchen dieser Seite diese Cookie-Information direkt vom Server aus auslesen oder über ein Skript der Website die Cookie-Information an den Server übertragen. (Quelle: Wikipedia) |
Datensicherheit | Datensicherheit ist die Vertraulichkeit, Verfügbarkeit und Integrität von personenbezogenem Daten; auch als technisch-organisatorischer Datenschutz bezeichnet (Art 32 DSGVO) |
Datenverarbeitung | Ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art 4 Nr. 2 DSGVO) |
Drittland | Drittland bezeichnet Staaten außerhalb der Europäischen Union, für die die Europäische Kommission kein der Europäischen Union gleichwertiges Datenschutzniveau festgestellt hat (Art. 44 DSGVO) |
Patienten und Patientendaten | Patienten sind diejenigen natürlichen Personen, die die Beratung der Apothekerinnen und Apotheker in Anspruch nehmen, die Rezepte einlösen und für die Medikamente individuell angefertigt werden. Patientendaten sind diejenigen individuellen Daten, die dem Berufsgeheimnis der Apotheker unterfallen. |
Personenbezogene Daten und betroffene Person | Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen (Art 4 Nr. 1 DSGVO) |
Pseudonymisierung | Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden (Art. 4 Nr. 5 DSGVO). |
Verantwortlicher | Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art 4 Nr. 7 DSGVO). |
2. Verantwortliche
Datenschutzrechtlich Verantwortliche ist die APONEO – Mehr als Apotheke Konstantin Primbas e. K. („APONEO“, „wir“) mit Sitz in der Plauener Str. 163-165, 13053 Berlin.
3. Datenschutzbeauftragter
Wir haben einen betrieblichen Datenschutzbeauftragten bestellt und ein Datenschutz-Team im Einsatz. Unser Datenschutz-Team erreichen Sie per E-Mail über datenschutz@aponeo.de. Über diesen Weg können wir sicherstellen, dass Ihr Anliegen fristgerecht bearbeitet wird.
4. Details der Datenverarbeitungen nach Betroffenengruppen
Im Folgenden finden Sie alle Details zu den Datenverarbeitungen. Die Datenverarbeitungen sind dabei nach Betroffenengruppen strukturiert dargestellt.
4.1. Webseitenbesucher
Sind Sie Besucher unseres Internetauftritts unter www.APONEO.de („Website”), verarbeiten wir Ihre personenbezogenen Daten wie folgt. Wir verwenden Cookies, um Ihnen unseren Service zur Verfügung zu stellen („Essenziell“), das Nutzungserlebnis stetig zu verbessern („Funktionell“) sowie für unsere Produkte zu werben und unsere Werbepartner zu unterstützen („Marketing“). Sie können die Verwendung von Cookies insgesamt ablehnen („Alles ablehnen“). Dann werden außer den essentiellen Cookies auch keine Cookies auf Ihrem Gerät gespeichert. Sie können alle Cookies akzeptieren („Alles akzeptieren“). Sie können Kategorien der Cookies in Gänze aktivieren oder deaktivieren und Ihre Wahl speichern („Speichern und Beenden“) oder aber über „Einstellungen“ individuelle Einstellungen vornehmen.
4.1.1. Betrieb der Website
Verarbeitung | Betrieb der Webseite |
---|---|
Zweck | Herstellung der technischen Verbindung zwischen dem Endgerät des Besuchers zu unserer Website (Aufruf unserer Webseite) Bereitstellung der Inhalte und Funktionalitäten unserer Webseite |
Kategorien verarbeiteter Daten | IP-Adresse (Internet-Protokoll-Adresse), der Internet-Service-Provider des zugreifenden Systems, Datum und die Uhrzeit des Zugriffs auf die Internetseite, verwendeter Browsertypen und Version, das vom zugreifenden System verwendete Betriebssystem, die Internetseite, von der ein zugreifendes System auf unsere Internetseite gelangt und auf unserer Webseite besuchte Unterwebseiten |
Kategorien von Empfängern | Dritter (Details: Dritte (Mitarbeiter des Webseiten-Hosters).) Intern (Details: Interne Abteilung (IT-Administratoren, Marketingabteilung)) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | Session: Datenlöschung bei Beendigung der jeweiligen Sitzung Logfiles: Datenlöschung nach 90 Tagen oder aber Anonymisierung |
Rechtsgrundlagen | Art. 6 Abs. 1 b) und f) DSGVO (Vertragserfüllung und berechtigtes Interesse) |
4.1.2. Affiliate-Marketing durch Drittanbieter
Verarbeitung | Affiliate-Marketing |
---|---|
Zweck | Bereitstellung von Werbemitteln durch kommerzielle Drittanbieter |
Kategorien verarbeiteter Daten | Benutzer- bzw. Besucher-ID |
Kategorien von Empfängern | kommerzieller Anbieter für Affiliate-Marketing (Merchant oder Advertiser) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | Siehe Consent-Management |
Rechtsgrundlagen | Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse) |
4.1.3. Kontaktaufnahme
Verarbeitung | Kontaktaufnahme ohne Registrierung |
---|---|
Zweck | Annahme, Prüfung und Bearbeitung von Anfragen über Chat, E-Mail und Telefon |
Kategorien verarbeiteter Daten | Kontaktdaten über Kontaktformular, Live-Chat, E-Mail, Telefon oder über soziale Medien: Name und E-Mail-Adresse, sowie Daten die Sie selbst übermitteln. Verbindungsdaten: IP-Adresse sowie Datum und Uhrzeit der Registrierung im Kontaktformular; ggf. Weitergabe an Dritte über Cookies (Steuerung über das Consent-Management-Tool möglich), E-Mail-Adresse, Nutzername soziale Medien, ggf. Telefonnummer Inhalte des ausgefüllten Kontaktformulars, der E-Mails, der Live-Chats und Telefonate können personenbezogen sein. Live-Chat: Chat-Transkript; ggf. mediale Dateien, die während des Chats mit übersendet würden, Endgerät, Anzahl der Seitenaufrufe, URL (wo der Chat gestartet ist), Umfrage vor und nach dem Chat, Chat-Thema, Chat-Status (neu, wartend, beendet), Chat-Bewertung nach dem Chat, Dauer des Chats, Datum des Chats; ggf. Weitergabe an Dritte über Cookies (Whatsapp). Live-Chat: während der Verbindung werden in Ihrem Browser Daten in der Session bzw. Local Storage gespeichert. |
Kategorien von Empfängern | Userlike UG (haftungsbeschränkt), Probsteigasse 44-46, 50670 Köln, Deutschland Intern (Details: Interne Abteilung (Kundenservice)) E-Mail und Telekommunikationsprovider |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | Automatische Löschung erfolgt, sobald die jeweilige Anfrage erledigt ist. Chat: Der Nachrichteninhalt wird nach 3 Monaten gelöscht. Der Session Storage wird beim Schließen des Browsers gelöscht und die Local Storage Daten sind unbefristet im Browser enthalten, jedoch läuft der Authentifizierungstoken nach 24 Stunden ab bzw. sobald Sie die Webseiten-Daten in Ihrem Browser löschen. |
Rechtsgrundlagen | Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung), Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse) |
4.1.4. Kontaktaufnahme per WhatsApp
Verarbeitung | Kontaktaufnahme per WhatsApp |
---|---|
Zweck | Annahme, Prüfung und Bearbeitung von Anfragen über WhatsApp |
Kategorien verarbeiteter Daten | Verbindungsdaten: Mobilfunknummer, Zeit und Dauer der Kommunikation Inhaltsdaten: Inhalt der Anfrage (Textnachrichten, Sprachnachrichten, Bilder, Dokumente) |
Kategorien von Empfängern | Userlike UG (haftungsbeschränkt), Probsteigasse 44-46, 50670 Köln (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO als Anbieter der Lösung WhatsApp Business API) WhatsApp Ireland Limited, 4 Grand Canal Square Grand Canal Harbour, Dublin 2, Irland (Chat- und Telekommunikationsprovider) Intern (Details: Interne Abteilung (Kundenservice) |
Drittstaaten-Datentransfer | ja: WhatsApp Inc., 1601 Willow Road Menlo Park, California 94025, USA |
Speicherdauer bzw. deren Kriterien | Der Nachrichteninhalt wird nach 3 Monaten gelöscht. Der Session Storage wird beim Schließen des Browsers gelöscht und die Local Storage Daten sind unbefristet im Browser enthalten, jedoch läuft der Authentifizierungstoken nach 24 Stunden ab bzw. sobald Sie die Webseiten-Daten in Ihrem Browser löschen. |
Rechtsgrundlagen | Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung), Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse) |
4.1.5. Optimierung von Such- und Empfehlungsfunktionen
Verarbeitung | Optimierung von Such- und Empfehlungsfunktionen |
---|---|
Zweck | Sicherstellung der Funktionalität des statistischen Modells und Optimierung der Angebote |
Kategorien verarbeiteter Daten | Informationen zum Nutzungsverhalten (z. B. Häufigkeit von Besuchen, Vermehrung von Seitenaufrufen, Bestellungen) |
Kategorien von Empfängern | exorbyte GmbH, Turmstraße 5, 78467 Konstanz |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 6 Minuten nach Aufruf der Website |
Rechtsgrundlagen | Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung), Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse) |
4.2. Newsletter-Empfänger
Sind Sie ein Newsletter-Abonnent, der einen unserer-Newsletter bezieht, verarbeiten wir Ihre personenbezogenen Daten wie folgt:
Die von Ihnen über die hierfür vorgesehene Eingabemaske eingegebenen Daten werden bei der Anmeldung an uns übermittelt und verarbeitet. Die Angabe Ihrer E-Mail-Adresse ist in jedem Fall verpflichtend. Die Angabe etwaiger weiterer Daten ist freiwillig und dient Ihrer persönlichen Ansprache. Zum Zeitpunkt der Absendung der Nachricht speichern wir Ihre IP-Adresse sowie Datum und Uhrzeit Ihrer Registrierung im Kontaktformular.
Wir nutzen ein Double-Opt-In-Verfahren, um sicherzustellen, dass Sie nur dann unseren Newsletter bekommen, wenn Sie das wirklich wollen. Dazu senden wir Ihnen eine Benachrichtigungsmail zu, in der Sie durch das Anklicken eines in dieser E-Mail enthaltenen Links bestätigen, dass Sie unsere werblichen E-Mails bzw. unseren Newsletter tatsächlich erhalten möchten.
Verarbeitung | Newsletterversand (E-Mail) |
---|---|
Zweck | Versand von Informationen an Kunden und Interessierte zu Angeboten, Dienstleistungen, Produkten oder zum Unternehmen und seinen Mitarbeitern. |
Kategorien verarbeiteter Daten | Kontaktdaten (Details: Kontaktdaten (Name, E-Mail)) |
Kategorien von Empfängern | Intern (Details: Interne Abteilung (Marketing)) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | Bis Widerruf durch den Betroffenen. |
Rechtsgrundlagen | Art. 6 Abs. 1 lit. a (Einwilligung) |
4.3. Interessenten
Verarbeitung | Mailingaktionen (Postversand) |
---|---|
Zweck | Durchführung von Werbemaßnahmen auf postalischem Weg. |
Kategorien verarbeiteter Daten | Kontaktdaten (Details: Kontaktdaten (Name, Anschrift)) |
Kategorien von Empfängern | Intern (Details: Interne Abteilung (Marketing)) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers) Löschung nach Widerspruch gegen die Zusendung postalischer Mitteilungen (Art. 21 Abs. 1, 2 DSGVO) |
Rechtsgrundlagen | Die Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich und es überwiegen keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person |
Verarbeitung | Mailingaktionen (Mailversand) |
---|---|
Zweck | Als Kunde von Aponeo erhalten Sie Produktempfehlungen & Bewertungsanfragen per E-Mail. Der Nutzung Ihrer E-Mail Adresse für die Übersendung der Produktempfehlungen und Bewertungsanfragen können Sie jederzeit für die Zukunft widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen, am einfachsten über den in jeder E-Mail enthaltenen Link. |
Kategorien verarbeiteter Daten | Kontaktdaten (Details: Kontaktdaten (Name, E-Mail)) |
Kategorien von Empfängern | Intern (Details: Interne Abteilung (Marketing)) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | Bis Widerruf durch den Betroffenen. |
Rechtsgrundlagen | § 7 Abs. 3 UWG |
4.4. Kunden
4.4.1. Online-Shop
Verarbeitung | Online-Shop |
---|---|
Zweck | Abwicklung von Kundenbestellungen, Verwalten von Zahlungsinformationen, Information über Auftrags- und Lieferdaten. |
Kategorien verarbeiteter Daten | Internetnutzungsdaten (Details: Internetnutzungsdaten (IP-Adresse, Besuchszeit und Datum)) Vertragsdaten (Details: Vertragsdaten (Anschrift, Kontaktdaten, Bestellung)) Zahlungsdaten (Details: Zahlungsdaten (Kontoinformationen, Kreditkartendaten)) |
Kategorien von Empfängern | Intern (Details: Interne Abteilung (Marketing, IT-Abteilung)) Intern (Details: Interne Abteilung (Vertrieb)) Intern (Details: Interne Abteilung (Finanzbuchhaltung)) Intern (Details: Interne Abteilung (Zahlungsdienstleister Bankeinzug)) Extern (Details: Externe Abteilung (Zahlungsdienstleister für für Rechnung, Ratenkauf, Sofortüberweisung und Kreditkarte)) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers) 10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.) Zahlungsdaten: - bei Gastbestellung 6 Monate - bei Kundenkonto bis auf Widerruf |
Rechtsgrundlagen | Die Verarbeitung ist für die Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme gem. Art. 6 Abs. 1 lit. b DSGVO erforderlich. |
4.4.2. E-Rezept CardLink
Verarbeitung | E-Rezept CardLink |
---|---|
Kategorien verarbeiteter Daten | Die Verarbeitungsvorgänge in der dezentralen Infrastruktur lassen sich in drei Kategorien unterteilen: Kategorie 1: (ausschließlich) Transport von Daten ohne weitere Verarbeitung Diese Kategorie umfasst alle Verarbeitungsvorgänge, in denen einer Komponente der dezentralen Infrastruktur personenbezogene Daten übergeben werden (z. B. vom Primärsystem) und in denen die Komponente der dezentralen Infrastruktur die übergebenen Daten unverändert an die vorgesehene Empfängerkomponente weiterleitet. Empfängerkomponenten können Teil der zentralen TI, der Anwendungsinfrastruktur der TI oder eines an die TI angeschlossenen Netzes sein. Empfängerkomponenten können selbst Teil der dezentralen Infrastruktur sein (z. B. Kartenterminals). Die Komponente der dezentralen Infrastruktur übernimmt für diese Verarbeitungsvorgänge lediglich eine Weiterleitungsfunktion. Eine weitere Verarbeitung der transportierten Daten erfolgt nicht. Zu dieser Kategorie gehören insbesondere Verarbeitungsvorgänge
Kategorie 2: Weitere Verarbeitung (Verschlüsselung, Signatur, Authentifizierung) Zu dieser Kategorie gehören die Ver- und Entschlüsselungen sowie die Signaturoperationen, die mittels der Verschlüsselungs- und Signaturfunktionen der dezentralen Infrastruktur durchgeführt werden. Hier werden die zu verschlüsselnden bzw. zu entschlüsselnden Daten sowie die zu signierenden Daten übergeben. Es erfolgt keine über die Ver- bzw. Entschlüsselung bzw. Signatur hinausgehende Verarbeitung in den Komponenten der dezentralen Infrastruktur. Die Funktionen zur Ver- und Entschlüsselung sowie der Signatur können durch Anwendungen der Kategorie 1 und 3 genutzt werden. Kategorie 3: Verarbeitungen, die über jene in den Kategorien 1 und 2 hinausgehen In diesen Verarbeitungsvorgängen werden die einer Komponente der dezentralen Infrastruktur übergebenen Daten in der dezentralen Infrastruktur anwendungsspezifisch verarbeitet, d. h. die Verarbeitung ist im Gegensatz zu den bisherigen Kategorien nicht auf den Transport, die Ver- und Entschlüsselung oder die Signatur beschränkt. Zu dieser Kategorie gehören die Verarbeitungsvorgänge
|
Details der Datenverarbeitungen | Verarbeitung #1 "Netzwerkkommunikation Versicherte zum CardLink Service" 1.1 Name der Verarbeitung
2.1 Name der Verarbeitung
3.1 Name der Verarbeitung
4.1 Name der Verarbeitung
5.1 Name der Verarbeitung
6.1 Name der Verarbeitung
|
Empfänger der Daten | Die Daten werden an den E-Rezept Fachdienst weitergegeben. Anbieter und Betreiber des E-Rezept Fachdienstes ist zum Stichtag 24.04.2024 die IBM Deutschland GmbH. Auftragsverarbeiter für die Verarbeitung: ist die akquinet Health Service GmbH Die akquinet outsourcing übernimmt den Betrieb des Netzwerks sowie der Firewall und der WAF. Die akquinet nx2 übernimmt den generellen Betrieb von CardLink. |
Rechtsgrundlagen | Anwendung der Telematik-Infrastruktur nach § 334 Abs. 1 S. 2 Nr. 6 SGB V auf der Rechtsgrundlage der §§ 360-361a SGB V |
4.4.3. Kundenkarte - Kundenkartei
Verarbeitung | Kundenkarte - Kundenkartei |
---|---|
Zweck | Kundenkarte - persönliche Gesundheitskarte: Dokumentation und Bearbeitung nachstehender Leistungen: - Auflistung/Dokumentation aller Käufe - Auflistung aller Zuzahlungen - Sammelbeleg für geleistete Zuzahlungen für Finanzamt und Krankenkassen - Rabattierung - Bonussystem - Feststellung/Dokumentation von Unverträglichkeiten - Wechselwirkung von Medikamenten |
Kategorien verarbeiteter Daten | Abrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte)) Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Sozialversicherungsdaten (Details: Sozialversicherungsdaten (Krankenkasse, Rentenkasse, Steuerdaten, Kirchensteuermerkmal)) |
Kategorien von Empfängern | Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | Löschung auf Anforderung (§ 17 DSGVO) bzw. 3 Jahre nach Nichtgebrauch |
Rechtsgrundlagen | Art. 6 Abs. 1 Satz 1 a) DSGVO (Einwilligung) |
4.4.4. Kontaktdatenverwaltung
Verarbeitung | Kontaktdatenverwaltung |
---|---|
Zweck | Kontaktdaten von Kunden werden zur besseren Übersicht und Verfügbarkeit ins CRM-/ERP-System eingebracht und verwaltet. |
Kategorien verarbeiteter Daten | Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) |
Kategorien von Empfängern | Intern (Details: Interne Abteilung (Mitarbeiter mit Zugriff auf das CRM-/ERP-System)) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | Dauer der Kundenbeziehung |
Rechtsgrundlagen | Art. 6 Abs. 1 Satz 1 f) DSGVO (berechtigtes Interesse) |
4.4.5. Kundendatenverwaltung
Verarbeitung | Kundendatenverwaltung (CRM) |
---|---|
Zweck | Systematische Pflege von Kundenbeziehungen zum Zweck der Absatzförderung. |
Kategorien verarbeiteter Daten | Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) |
Kategorien von Empfängern | Intern (Details: Interne Abteilung (Vertrieb)) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | Speicherung für die Dauer der zugrundeliegenden Geschäftsbeziehung. |
Rechtsgrundlagen | Die Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich und es überwiegen keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person. |
4.4.6. Mailingaktionen (Postversand)
Verarbeitung | Mailingaktionen (Postversand) |
---|---|
Zweck | Durchführung von Werbemaßnahmen auf postalischem Weg. |
Kategorien verarbeiteter Daten | Kontaktdaten (Details: Kontaktdaten (Name, Anschrift)) |
Kategorien von Empfängern | Intern (Details: Interne Abteilung (Marketing)) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers) Löschung nach Widerspruch gegen die Zusendung postalischer Mitteilungen (Art. 21 Abs. 1, 2 DSGVO) |
Rechtsgrundlagen | § 6 Abs. 1 Satz 1 f) DSGVO (berechtigtes Interesse) |
4.4.7. Kundenbefragung - Qualitätsmanagement
Verarbeitung | Kundenbefragung - Qualitätsmanagement |
---|---|
Zweck | Kundenbefragung im Rahmen des Qualitätsmanagements (Themen z.B. Kundenzufriedenheit, Kundenwünsche ..) |
Kategorien verarbeiteter Daten | Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) |
Kategorien von Empfängern | Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 3 Jahre BGB (Details: 3 Jährte nach der Erbringung der Dienstleistung (Regelmäßige Verjährungsfrist gem. 195 BGB)) Zeitnahe Löschung nach Ausarbeitung |
Rechtsgrundlagen | § 6 Abs. 1 Satz 1 f) DSGVO (berechtigtes Interesse) |
4.4.8. Qualitätsmanagement
Verarbeitung | Qualitätsmanagement |
---|---|
Zweck | Erstellen und Pflegen des Qualitätsmanagements. |
Kategorien verarbeiteter Daten | Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) |
Kategorien von Empfängern | Intern (Details: Qualitätsmanagement) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers) |
Rechtsgrundlagen | Die Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich und es überwiegen keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person. |
4.4.9. Dokumentation: Tierarzneiabgabe
Verarbeitung | Dokumentation: Tierarzneiabgabe |
---|---|
Zweck | Gesetzliche Dokumentationspflicht bei der Abgabe von Tierarzneimitteln |
Kategorien verarbeiteter Daten | Abrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) |
Kategorien von Empfängern | Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahre, aufzubewahren.) |
Rechtsgrundlagen | § 19 Abs. 1 Satz 2 Nr. 2 lit. a) b) Abs. 2 ApBetrO |
4.4.10. Bonitätscheck
Verarbeitung | Bonitätscheck |
---|---|
Zweck | Prüfung und Feststellung der Bonität |
Kategorien verarbeiteter Daten | Name, Anschrift |
Kategorien von Empfängern | Auskunfteien |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | Löschung des Prüfungsergebnisses nach Zweckfortfall |
Rechtsgrundlagen | Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse) |
4.4.11. Rechnungswesen
Verarbeitung | Rechnungswesen |
---|---|
Zweck | Rechnung erstellen, versenden und Zahlungseingang kontrollieren inkl. Kontoauszüge |
Kategorien verarbeiteter Daten | Abrechnungsdaten (Details: Abrechnungsdaten (Informationen über erstelle Lieferungen/Leistungen)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Vertragsdaten (Details: Vertragsdaten (Anschrift, Vertragsinhalte)) Zahlungsdaten (Details: Zahlungsdaten (Kontoinformationen, Kreditkartendaten)) |
Kategorien von Empfängern | Intern (Details: Buchhaltung) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.) |
Rechtsgrundlagen | Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung gem. Art. 6 Abs. 1 lit. c DSGVO erforderlich (Buchführungspflicht gemäß § 238 Abs. 1 HGB). |
4.4.12. Mahnwesen
Verarbeitung | Mahnwesen |
---|---|
Zweck | Durchführung von Mahnungen. |
Kategorien verarbeiteter Daten | Abrechnungsdaten (Details: Abrechnungsdaten (Informationen über erstelle Lieferungen/Leistungen).) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail, Position, Unternehmen)) |
Kategorien von Empfängern | Intern (Details: Buchhaltung) Zu 2) Intern (Details: Buchhaltung) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.) |
Rechtsgrundlagen | Art. 6 Abs. 1 Satz 1 b) und f) DSGVO (Vertragserfüllung und berechtigtes Interesse) |
4.5. Patient
4.5.1. Arzneimittelherstellung
Verarbeitung | Arzneimittelherstellung |
---|---|
Zweck | Bei der Herstellung von Arzneimitteln werden personenbezogene Daten gespeichert. |
Kategorien verarbeiteter Daten | Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Medikamentation)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon)) |
Kategorien von Empfängern | Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahrelang, aufzubewahren.) |
Rechtsgrundlagen | ApBetrO: §§ 7 Abs. 1a, Satz 1, 1 b Satz 2, 1 c Satz 1 (4-7), Satz 2, Satz 3, Satz 8 Abs. 2 (7), Satz 3, Abs. 3 (1), Abs. 4 (2), 14 Abs. 1 Satz 1 (9) |
4.5.2. Auftragsherstellung
Verarbeitung | Auftragsherstellung |
---|---|
Zweck | Herstellung von Rezepturarzneimitteln für oder durch einen anderen Herstellungsbetrieb. |
Kategorien verarbeiteter Daten | Abrechnungsdaten (Details: Abrechnungsdaten) Kontaktdaten (Details: Kontaktdaten: Patient: Name, ggf. Name des Tierhalters Arzt: Name des verschreibenden Arztes oder Tierarztes) |
Kategorien von Empfängern | Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | Zu 1) 1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahre lang, aufzubewahren.) Zu 2) 1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahre lang, aufzubewahren.) |
Rechtsgrundlagen | Die Verarbeitung ist für die Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme gem. Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 6 Abs. 1 lit. c DSGVO zur Einhaltung rechtlicher Verpflichtungen erforderlich (§ 21 Abs. 2 Nr. 1b AMG, § 11 Abs. 3 od. 4 ApoG, § 17 Abs. 6c Nr. 5 ApBetrO, §§ 11a, 7, 14 ApBetrO) |
4.5.3. Auskunft vom behandelnden Arzt (Interaktionsprüfung)
Verarbeitung | Auskunft vom behandelnden Arzt (Interaktionsprüfung) |
---|---|
Zweck | Erforderliche Nachfrage beim behandelnden Arzt bei Unklarheiten und Unsicherheiten. |
Kategorien verarbeiteter Daten | Abrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte)) Gesundheitsdaten (Details: Gesundheitsdaten (Medikamentation)) Kontaktdaten (Details: Kontaktdaten (Name, Adresse)) |
Kategorien von Empfängern | Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 3 Jahre BGB (Details: 3 Jährte nach der Erbringung der Dienstleistung (Regelmäßige Verjährungsfrist gem. 195 BGB)) |
Rechtsgrundlagen | Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO § 203 Strafgesetzbuch: Schweigepflicht |
4.5.4. BtMG (Betäubungsmittelgesetz) - Dokumentation der Abgabe
Verarbeitung | BtMG (Betäubungsmittelgesetz) - Dokumentation der Abgabe |
---|---|
Zweck | Rezepteinlösung für Betäubungsmittel nach BtMG Rezepte werden mit Durchschrift erstellt und eingelöst gelbes Rezept zur Weiterleitung an die Abrechnungsstelle Durchschlag verbleibt in der Apotheke - Dokumenten-Ablage |
Kategorien verarbeiteter Daten | Abrechnungsdaten (Details: Abrechnungsdaten (Verordnung)) Gesundheitsdaten (Details: Gesundheitsdaten (Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Adresse)) Sozialversicherungsdaten (Details: Sozialversicherungsdaten (Krankenkasse,)) |
Kategorien von Empfängern | Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) Öffentliche Stelle (Details: Abrechnungsstelle) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 3 Jahre (BtMVV) (Details: Löschung nach 3 Jahren. Aufbewahrungsfrist gem. § 13 Abs. 3 Betäubungsmittel-Verschreibungs-Verordnung.) 10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.) |
Rechtsgrundlagen | Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO § 13,1a(5)BtMG sowie BtMVV: § 7,3(4),7,4(5 und 7) § 12,3 (3) § 13,1 (4) § 14,1 (4 und 5). |
4.5.5. Dokumentation - Meldepflicht: T-Rezeptpflichtiger Arzneimittel
Verarbeitung | Dokumentation - Meldepflicht: T-Rezeptpflichtiger Arzneimittel |
---|---|
Zweck | Gesetzliche Dokumentationspflicht bei der Abgabe von T-rezeptpflichtiger Arzneimittel z.B. Talidomid (Contergan), Teratogene |
Kategorien verarbeiteter Daten | Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) |
Kategorien von Empfängern | Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahrelang, aufzubewahren.) |
Rechtsgrundlagen | § 17 Abs. 6 b Satz 1 Nr. 6 und 7, Satz 2 ApBetrO, § 3a Abs. AMVV>/p> |
4.5.6. Dokumentation: Abgabe von Blutzubereitungen
Verarbeitung | Dokumentation: Abgabe von Blutzubereitungen |
---|---|
Zweck | Dokumentation bei der Abgabe von Blutzubereitungen - Gesetzliche Dokumentationspflicht |
Kategorien verarbeiteter Daten | Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) |
Kategorien von Empfängern | Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 30 Jahre (RöV) (Details: Löschung nach 30 Jahren. Aufbewahrungsfrist gem. § 85 Abs. 3 StrlSchV bzw. § 28 Abs. 3 S. 1 RöV bei Behandlungen mit radioaktiven Stoffen oder ionisierenden Strahlen.) |
Rechtsgrundlagen | § 17 Abs. 6a Nr. 4,5 ApBetrO |
4.5.7. Dokumentation: Arzneimitteleinfuhr
Verarbeitung | Dokumentation: Arzneimitteleinfuhr |
---|---|
Zweck | Einfuhr von Arzneimitteln aus anderen Staaten |
Kategorien verarbeiteter Daten | Abrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte)) Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) |
Kategorien von Empfängern | Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahrelang, aufzubewahren.) |
Rechtsgrundlagen | § 18 Abs. 1 Nr. 5,6,8 ApBetrO § 73 Abs. 3, 3b AMG |
4.5.8. Informationsstellen - Anfragen
Verarbeitung | Informationsstellen - Anfragen |
---|---|
Zweck | Anfragen bei Informationsstellen zu pharmazeutischen Problemen |
Kategorien verarbeiteter Daten | Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Personenbezug i.d.R. nicht erforderlich. ggf. Gesundheitsdaten, Medikationsdaten, Diagnosen, Alter, Geschlecht, Gewicht |
Kategorien von Empfängern | Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) Öffentliche Stelle (Details: Öffentliche-Stelle: Behörde, Organ der Rechtspflege, öffentlich-rechtliche Einrichtung des Bundes, bundesunmittelbare Körperschaften, Anstalten, Stiftungen und deren Vereinigungen gem. § 2 Abs. 1-3 BDSG. |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 3 Jahre (BtMVV) (Details: Löschung nach 3 Jahren. Aufbewahrungsfrist gem. § 13 Abs. 3 Betäubungsmittel-Verschreibungs-Verordnung.) |
Rechtsgrundlagen | Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO sowie Art. 9 Abs. 2 lit. h DSGVO |
4.5.9. Medikationsanalyse
Verarbeitung | Medikationsanalyse |
---|---|
Zweck | Medikationsanalyse - Medikationsmanagement als Dienstleistung für Patienten zur Verbesserung der Therapiesicherheit. |
Kategorien verarbeiteter Daten | Abrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte)) Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail) |
Kategorien von Empfängern | Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 3 Jahre (BtMVV) (Details: Löschung nach 3 Jahren. Aufbewahrungsfrist gem. § 13 Abs. 3 Betäubungsmittel-Verschreibungs-Verordnung.) |
Rechtsgrundlagen | Vertragserfüllung nach Art. 6 Abs. 1 lit. a DSGVO sowie Art. 9 Abs. 2 lit. h DSGVO |
4.5.10. Rezepteinlösung - Auslieferung per Botendienst
Verarbeitung | Rezepteinlösung - Auslieferung per Botendienst |
---|---|
Zweck | Rezeptvorlage durch Patient - Auslieferung durch Boten Telefonische Bestellung - Auslieferung durch Boten Bestellung online - Auslieferung durch Boten |
Kategorien verarbeiteter Daten | Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Sozialversicherungsdaten (Details: Sozialversicherungsdaten (Krankenkasse, Rentenkasse, Steuerdaten, Kirchensteuermerkmal)) |
Kategorien von Empfängern | Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahrelang, aufzubewahren.) 3 Jahre (Verjährungsfrist nach § 195 BGB) Botenlisten werden täglich vernichtet |
Rechtsgrundlagen | § 17, 2 (1) ApBetrO § 24, 4 (1) ApBetrO |
4.5.11. Rezeptvorlage durch Dritte
Verarbeitung | Rezeptvorlage durch Dritte |
---|---|
Zweck | Bearbeitung von Rezepten, die nicht persönlich - sondern durch Dritte vorgelegt werden: z.B. durch Hauskrankenpflege: Rezept wird z.T. durch Apotheke abgeholt Bearbeitung entsprechend Verarbeitungstätigkeit: Vorlage Rezept Medikament wird von Apothekenpersonal oder Boten geliefert Abgabe nur gegen Unterschrift. |
Kategorien verarbeiteter Daten | Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Sozialversicherungsdaten (Details: Sozialversicherungsdaten (Krankenkasse, Rentenkasse, Steuerdaten, Kirchensteuermerkmal)) |
Kategorien von Empfängern | Öffentliche Stelle (Details: Rezeptvorlage bei Abrechnungstelle) Sonstige Empfänger (Details: Botendienst - Daten aus der Botenliste enthalten Kontaktdaten (Adresse) sowie Auflistung der Medikamente. Botenliste wird vom Patienten/Empfänger abgezeichnet und zur Dokumentation zurückgebracht.) Öffentliche Stelle (Details: Öffentliche-Stelle: Behörde, Organ der Rechtspflege, öffentlich-rechtliche Einrichtung des Bundes, bundesunmittelbare Körperschaften, Anstalten, Stiftungen und deren Vereinigungen gem. § 2 Abs.. 1-3 BDSG. |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.) Daten aus den Rezepten werden nicht gespeichert. Botenlisten werden täglich vernichtet. |
Rechtsgrundlagen | Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich. Art 6 (1) f |
4.5.12. Schweigepflicht - Schweigepflichtentbindung
Verarbeitung | Schweigepflicht - Schweigepflichtentbindung |
---|---|
Zweck | Entbindung von der Schweigepflicht gem § 203 StGB - Verletzung von Privatgeheimnissen. Bei der Weitergabe von personenbezogenen Patienten- und/oder Gesundheitsdaten muss eine Schweigepflichtentbindung des Betroffenen vorliegen. |
Kategorien verarbeiteter Daten | Abrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte)) Genetische Daten (Details: Genetischen Daten (Informationen über Genomdaten der betroffenen Person)) Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) |
Kategorien von Empfängern | Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | dauerhaft (Details: Löschung derzeit nicht definiert.) |
Rechtsgrundlagen | § 203 StGB |
4.5.13. Verordnungen: Abrechnung mit gesetzlichen Krankenkassen und sonstigen Kostenträgern
Verarbeitung | Verordnungen: Abrechnung mit gesetzlichen Krankenkassen und sonstigen Kostenträgern |
---|---|
Zweck | Einlösung des Kassenrezepts zur Aushändigung der Medikamente an Kunden und Weiterleitung an die Abrechnungsstelle. |
Kategorien verarbeiteter Daten | Gesundheitsdaten (Details: Gesundheitsdaten (Medikamente und Medikation)) Kontaktdaten (Details: Kontaktdaten (Name, Anschrift)) Versicherungsdaten (Details: Versicherungsdaten (Träger der gesetzlichen Krankenversicherung, Versicherungsnummer, Kartennummer, Gültigkeit)) Erhobenen Daten sind i.d.R. auf dem Rezept durch den Verordner aufgedruckt |
Kategorien von Empfängern | Öffentliche Stelle (Details: Abrechnungsstelle der Krankenkassen) Zu 2) Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 10 Jahre (Behandlung) (Details: Löschung nach 10 Jahren. (Abrechnungsvereinbarung gem. § 300 SGB V)) Rezepte werden an Abrechnungsstelle der Krankenkassen weitergegeben. |
Rechtsgrundlagen | Die Verarbeitung ist für die Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme gem. Art. 6 Abs. 1 lit. b DSGVO erforderlich. Rechtsgrundlagen: §§ 129, 300, 302 SGB V, § 17 Abs. 6 ApBetrO |
4.5.14. Verordnungen: Abrechnung von Privatrezepten
Verarbeitung | Verordnungen: Abrechnung von Privatrezepten |
---|---|
Zweck | Privat-Verordnung wird zur Einlösung vorgelegt. Medikament wird ausgehändigt. Bezahlvorgang bar, Karte oder Rechnung. |
Kategorien verarbeiteter Daten | Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Sozialversicherungsdaten (Details: Sozialversicherungsdaten (Krankenkasse, Rentenkasse, Steuerdaten, Kirchensteuermerkmal) |
Kategorien von Empfängern | Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.) |
Rechtsgrundlagen | Art. 6 Abs. 1 b) und f) DSGVO (Vertragserfüllung und berechtigtes Interesse) |
4.6. Beschäftigte von Unternehmenskunden und Lieferanten
4.6.1. Beschaffung und Einkauf
Verarbeitung | Beschaffung und Einkauf |
---|---|
Zweck | Organisation und Durchführung von Einkauf und Beschaffung. |
Kategorien verarbeiteter Daten | Kontaktdaten (Details: Kontaktdaten (Name, Telefon, E-Mail, Position, Unternehmen))/p> |
Kategorien von Empfängern | Intern (Details: Interne Abteilung (Facilitymanagement und Einkauf/Beschaffung)) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.) |
Rechtsgrundlagen | Die Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich (Wahrung der geschäftlichen Interessen des Unternehmens). |
4.6.2. Vertragsverwaltung
Verarbeitung | Vertragsverwaltung |
---|---|
Zweck | Erstellung und Abwicklung von Verträgen im Vertrieb und Einkauf. |
Kategorien verarbeiteter Daten | Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Vertragsdaten (Details: Vertragsdaten (Anschrift, Kontaktdaten, Vertragsinhalte)) |
Kategorien von Empfängern | Intern (Details: Interne Abteilung (EInkauf, Vertrieb)) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers) |
Rechtsgrundlagen | Die Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f) DSGVO erforderlich und es überwiegen keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person. |
4.6.3. Mahnwesen
Verarbeitung | Mahnwesen |
---|---|
Zweck | Durchführung von Mahnungen. |
Kategorien verarbeiteter Daten | Abrechnungsdaten (Details: Abrechnungsdaten (Informationen über erstelle Lieferungen/Leistungen).) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail, Position, Unternehmen)) |
Kategorien von Empfängern | Intern (Details: Buchhaltung) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.) |
Rechtsgrundlagen | Die Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich (Wahrung der geschäftlichen Interessen des Unternehmens). |
4.6.4. Qualitätsmanagement
Verarbeitung | Qualitätsmanagement |
---|---|
Zweck | Erstellen und Pflegen des Qualitätsmanagements. |
Kategorien verarbeiteter Daten | Abrechnungsdaten (Details: Abrechnungsdaten (Informationen über Lieferungen/Leistungen)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) /p> |
Kategorien von Empfängern | Intern (Details: Qualitätsmanagement) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers) |
Rechtsgrundlagen | Die Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich und es überwiegen keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person. |
4.7. Webinar-Teilnehmer
Sind Sie ein Webinar-Teilnehmer, verarbeiten wir Ihre personenbezogenen Daten wie folgt. Sie können an einem Webinar teilnehmen, wenn Sie sich zuvor dazu über unsere Internetseite dazu angemeldet haben. Die Durchführung und Nachbereitung der Webinare erfolgten durch Nutzung von Zoom. In den virtuellen Seminarräumen werden personenbezogene Daten der Dozenten und Teilnehmer (gemeinsam „Beteiligte“) verarbeitet. Die Dozenten und Teilnehmer sind damit datenschutzrechtlich Betroffene. Beim Eintritt in den virtuellen Seminarraum und dem Login durch die Teilnehmer und Dozenten vergeben sich diese ein virtuelles Namensschild, um für die anderen Beteiligten am Webinar erkennbar und ansprechbar zu sein. Bei der Durchführung der Webinare werden von den Dozenten und Teilnehmern Videodaten, Töne, Bildschirminhalte und Chat-Nachrichten an alle am Webinar Beteiligte übertragen, sofern die jeweilige Funktion vom Dozenten oder aber vom Teilnehmer freigeschaltet bzw. aktiv genutzt wird. Die Daten werden nur zu Übertragung gespeichert und verarbeitet; eine Speicherung und Verarbeitung der Daten nach dem Ende der Übertragung findet grundsätzlich nicht statt. Die Beteiligten haben die Möglichkeit, bilateral oder in Gruppen zu chatten. Zugriff auf die Inhalte der Chatnachrichten haben dabei nur die beiden Beteiligten des bilateralen Chats bzw. die Mitglieder der jeweiligen Chat-Gruppe. Wir nutzen gelegentlich die Möglichkeit, Webinare aufzuzeichnen und die aufgezeichneten Inhalte im Nachgang den Beteiligten zur Verfügung zu stellen und darüber hinaus das Webinar intern zu dokumentieren. Sollte eine solche Aufzeichnung durch uns erfolgen, wird dies im Webinar selbst angekündigt, so dass die Teilnehmer entscheiden können, ob sie Videodaten, Töne, Bildschirminhalte und Chat-Nachrichten von sich freischalten bzw. aktiv nutzen und somit für die Aufzeichnung zu Verfügung stellen. Wir erheben personenbezogene Daten der Teilnehmer über deren Aufenthalt im virtuellen Seminarraum, deren Verweildauern und Nutzung von Angeboten. Dies entspricht in etwa dem Beobachten der Teilnehmer in einem realen Raum. Am Ende der Webinare wird den Teilnehmern regelmäßig die Bewertung der Dozenten ermöglicht. Dabei ist es organisatorisch ausgeschlossen, dass die Individuell abgegebene Bewertung der Teilnehmer sichtbar gemacht wird. Wir erhalten eine aggregierte Bewertung der Dozentin bzw. des Dozenten.
Verarbeitung | Webinar-Teilnehmer |
---|---|
Zweck | technische Umsetzung der Webinare (Übertragung von Namen, Kamerabildern, Ton, Bildschirminhalten und Chat-Nachrichten), Aufzeichnung von Webinaren, Ausstellung von Teilnahmebescheinigungen, Nachbereitung der Webinare (z.B. Bereitstellung von Seminarunterlagen, Bewertung der Dozenten) und Resonanz der Beteiligten festzustellen und ggf. Verbesserungsmaßnahmen ableiten |
Kategorien verarbeiteter Daten | Kontaktdaten über Kontaktformular, E-Mail, Telefon oder über soziale Medien: Name, E-Mail-Adresse und optional Telefonnummer Verbindungsdaten: IP-Adresse sowie Datum und Uhrzeit der Registrierung im Kontaktformular; ggf. Weitergabe an Dritte über Cookies (Steuerung über das Consent-Management-Tool möglich), E-Mail-Adresse, Nutzername soziale Medien, ggf. Telefonnummer Inhalte des ausgefüllten Kontaktformulars, der E-Mails, der Live-Chats und Telefonate können personenbezogen sein |
Kategorien von Empfängern | x |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | Nach dem Ende des jeweiligen Webinars werden die Chatinhalte automatisch gelöscht. Nach Aggregation und Ausstellung von Teilnahmebescheinigungen werden die Daten im virtuellen Seminarraum gelöscht. |
Rechtsgrundlagen | Art. 6 Abs. 1 a), b) und f) DSGVO (Einwilligung, Vertragserfüllung und berechtigtes Interesse) |
4.8. Bewerber
Verarbeitung | Bewerbungsverfahren (extern) |
---|---|
Zweck | Auswahl geeigneter externer Bewerber zur Besetzung einer offenen Stelle. |
Kategorien verarbeiteter Daten | Bewerberdaten (Details: Bewerberdaten (Angaben zur Person, Kontaktdaten, Lebenslauf, Foto, Zeugnisse)) |
Kategorien von Empfängern | Intern (Details: Interne Abteilung (Personalabteilung, Vorgesetzte, Geschäftsleitung) |
Drittstaaten-Datentransfer | nein |
Speicherdauer bzw. deren Kriterien | 6 Monate (Bewerbung) (Details: Löschung nach 6 Monaten (sofern keine Einwilligung zur längeren Speicherung vorliegt). Aufbewahrungsfrist von 2 Monaten gem. § 21 Abs. 5 AGG plus vertretbarer Bearbeitungszeit.) |
Rechtsgrundlagen | Die Verarbeitung ist für die Anbahnung des Beschäftigungsverhältnisses gemäß § 26 Abs. 1 S. 1 BDSG erforderlich. (Eine über das aktuelle Bewerbungsverfahren hinausgehende Speicherung bzw. eine Weitergabe an Dritte bedingt eine Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO, welche die Anforderungen an die Einwilligung gem. Art. 7 Abs. 1-4 DSGVO werden erfüllt.) |
5. Rechte der betroffenen Person
Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener im Sinne der DSGVO. Ihnen stehen damit folgende Rechte gegenüber dem Verantwortlichen zu:
5.1. Auskunftsrecht, Art. 15 DSGVO
Sie haben gem. Art. 15 DSGVO das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten verarbeiten, die Sie betreffen. Ist das der Fall, können Sie nachfolgende Auskünfte über folgende Informationen von uns verlangen: Verarbeitungszwecke; Kategorie der personenbezogenen Daten, die verarbeitet werden; Empfänger bzw. Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden; geplante Speicherdauer oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer; Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch; Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; Herkunft Ihrer Daten, sofern diese nicht bei uns erhoben wurden; Bestehen einer automatisierten Entscheidungsfindung einschließlich „Profiling“ und ggf. aussagekräftigen Informationen zu deren Einzelheiten; Übermittlung der personenbezogenen Daten in ein Drittland oder an eine internationale Organisation; geeignete Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung.
5.2. Recht auf Berichtigung
Sie haben gem. Art. 16 DSGVO das Recht, unverzüglich die Berichtigung oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.
5.3. Recht auf Einschränkung der Verarbeitung
Sie haben gem. Art. 18 DSGVO das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gem. Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben.
5.4. Recht auf Löschung
Sie haben gem. Art. 17 DSGVO das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
5.5. Recht auf Unterrichtung
Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber Aponeo als verantwortlicher Stelle geltend gemacht, sind wir gem. Art. 19 DSGVO dazu verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht gegenüber Aponeo das Recht zu, über diese Empfänger unterrichtet zu werden.
5.6. Recht auf Datenübertragbarkeit
Sie haben gem. Art. 20 DSGVO das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.
5.7. Widerspruchsrecht
Sie haben gem. Art. 21 DSGVO das Recht, Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Wir verarbeiten die Sie betreffenden personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das „Profiling“, soweit es mit solcher Direktwerbung in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
5.8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben gem. Art. 7 Abs. 3 DSGVO das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
5.9. Recht auf Beschwerde bei einer Aufsichtsbehörde
Sie haben gem. Art. 77 DSGVO das Recht, sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden.
Stand: September 2024