Datenschutzerklärung

Inhaltsverzeichnis

1. Hintergrund und Begriffe

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung Ihrer personenbezogenen Daten durch den datenschutzrechtlichen Verantwortlichen gem. Art. 13 und 14 Datenschutz-Grundverordnung (DSGVO).

Es werden die folgenden Begriffsdefinitionen, insbesondere die der DSGVO, zugrunde gelegt:

BegriffErläuterung
Auftragsverarbeiter Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO)
Cookies Ein Cookie ist eine Textinformation, die im Browser auf dem Endgerät des Betrachters (Computer, Laptop, Smartphone, Tablet usw.) jeweils zu einer besuchten Website (Webserver, Server) gespeichert werden kann. Das Cookie wird entweder vom Webserver an den Browser gesendet oder im Browser von einem Skript (JavaScript) erzeugt. Der Webserver kann bei späteren, erneuten Besuchen dieser Seite diese Cookie-Information direkt vom Server auslesen oder über ein Skript der Website die Cookie-Information an den Server übertragen. (Quelle: Wikipedia)
Datensicherheit Datensicherheit ist die Vertraulichkeit, Verfügbarkeit und Integrität von personenbezogenem Daten; auch als technisch-organisatorischer Datenschutz bezeichnet (Art 32 DSGVO)
Datenverarbeitung Ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art 4 Nr. 2 DSGVO)
Drittland Drittland bezeichnet Staaten außerhalb der Europäischen Union, für die die Europäische Kommission kein der Europäischen Union gleichwertiges Datenschutzniveau festgestellt hat (Art. 44 DSGVO)
Patienten und Patientendaten Patienten sind diejenigen natürlichen Personen, die die Beratung der Apothekerinnen und Apotheker in Anspruch nehmen, die Rezepte einlösen und für die Medikamente individuell angefertigt werden.

Patientendaten sind diejenigen individuellen Daten, die dem Berufsgeheimnis der Apotheker unterfallen.

Personenbezogene Daten und betroffene Person Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen (Art 4 Nr. 1 DSGVO)
Pseudonymisierung Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden (Art. 4 Nr. 5 DSGVO).
Verantwortlicher Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art 4 Nr. 7 DSGVO).

2. Verantwortlicher

Datenschutzrechtlich Verantwortlich ist Pharmeo mit Sitz in der Plauener Str. 163-165, 13053 Berlin.

3. Datenschutzbeauftragter

Wir haben einen betrieblichen Datenschutzbeauftragten bestellt und ein Datenschutz-Team im Einsatz. Unser Datenschutz-Team erreichen Sie per E-Mail über datenschutz@pharmeo.at. Über diesen Weg können wir sicherstellen, dass Ihr Anliegen fristgerecht bearbeitet wird.

4. Details der Datenverarbeitungen nach Betroffenengruppen

Im Folgenden finden Sie alle Details zu den Datenverarbeitungen. Die Datenverarbeitungen sind dabei nach Betroffenengruppen strukturiert dargestellt.

4.1. Websitebesucher

Sind Sie Besucher unseres Internetauftritts unter www.pharmeo.at („Website”), verarbeiten wir Ihre personenbezogenen Daten wie folgt. Wir nutzen dabei Dienste von Dritten. Unter diese Dienste fällt auch die Nutzung von Cookies (notwendige Cookies, funktionale Cookies, Analysen, Komfort und Marketing-Cookies). Konkrete Informationen zu den einzelnen Cookies und individuelle Einstellungsmöglichkeiten finden Sie unter „Erweiterte Einstellungen“ im Consent Management Tool. Dort können Sie in Verarbeitungen einwilligen und Verarbeitungen auf Grundlage des berechtigten Interesses widersprechen. Sie können Ihre Präferenzen auch zu einem späteren Zeitpunkt anpassen oder Ihre Einwilligung mit Wirkung für die Zukunft widerrufen. Bitte beachten Sie, dass ohne Ihre Einwilligung einzelne Funktionen der Websites nur eingeschränkt funktionieren können.

4.1.1. Betrieb der Website

VerarbeitungBetrieb der Website
Zweck Herstellung der technischen Verbindung zwischen dem Endgerät des Besuchers zu unserer Website (Aufruf unserer Website)
Bereitstellung der Inhalte und Funktionalitäten unserer Website
Kategorien verarbeiteter Daten IP-Adresse (Internet-Protokoll-Adresse), der Internet-Service-Provider des zugreifenden Systems, Datum und die Uhrzeit des Zugriffs auf die Internetseite, verwendeter Browsertypen und Version, das vom zugreifenden System verwendete Betriebssystem, die Internetseite, von der ein zugreifendes System auf unsere Internetseite gelangt und auf unserer Website besuchte Unterseiten
Kategorien von Empfängern Dritter (Details: Dritte (Mitarbeiter des Hosting-Anbieter))
Intern (Details: Interne Abteilung (IT-Administratoren, Marketingabteilung))
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien Session: Datenlöschung bei Beendigung der jeweiligen Sitzung
Logfiles: Datenlöschung nach 90 Tagen oder aber Anonymisierung
Rechtsgrundlagen Art. 6 Abs. 1 b) und f) DSGVO (Vertragserfüllung und berechtigtes Interesse)

4.1.2. Behandlung und Abwehr Angriffen

VerarbeitungBehandlung und Abwehr von Angriffen
Zweck Analysieren von Angriffen, Abwehr von Angriffen, Beweissicherung und -führung zur Rechtsverfolgung
Kategorien verarbeiteter Daten die IP-Adresse (Internet-Protokoll-Adresse), der Internet-Service-Provider des zugreifenden Systems, Datum und die Uhrzeit des Zugriffs auf die Internetseite, verwendeter Browsertypen und Version, das vom zugreifenden System verwendete Betriebssystem, die Internetseite, von der ein zugreifendes System auf unsere Internetseite gelangt auf unserer Website besuchte Unterseiten und sonstige ähnliche Daten und Informationen
Kategorien von Empfängern Dritter (Details: Dritte (Mitarbeiter des Hosting-Anbieter))
Intern (Details: Interne Abteilung (IT-Administratoren, Marketingabteilung))
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien sieben Tage gespeichert und – soweit diese nicht zu Beweiszwecken bei der Rechtsverfolgung weiter benötigt werden – gelöscht oder anonymisiert.
Rechtsgrundlagen Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse)

4.1.3. Kontaktaufnahme

VerarbeitungKontaktaufnahme ohne Registrierung
Zweck Annahme, Prüfung und Bearbeitung von Anfragen über Chat, E-Mail und Telefon
Kategorien verarbeiteter Daten Kontaktdaten über Kontaktformular, E-Mail, Telefon oder über soziale Medien: Name und E-Mail-Adresse.
Verbindungsdaten: IP-Adresse sowie Datum und Uhrzeit der Registrierung im Kontaktformular; ggf. Weitergabe an Dritte über Cookies (Steuerung über das Consent-Management-Tool möglich), E-Mail-Adresse, Nutzername soziale Medien, ggf. Telefonnummer
Inhalte des ausgefüllten Kontaktformulars, der E-Mails, der Live-Chats und Telefonate können personenbezogen sein Live-Chat: während der Verbindung werden in Ihrem Browser Daten in der Session bzw. Local Storage gespeichert.
Kategorien von Empfängern Userlike UG (haftungsbeschränkt), Probsteigasse 44-46, 50670 Köln, Deutschland
Intern (Details: Interne Abteilung (Kundenservice))
E-Mail und Telekommunikationsprovider
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien Automatische Löschung erfolgt, sobald die jeweilige Anfrage erledigt ist.
Chat: Der Nachrichteninhalt wird nach 7 Tagen gelöscht. Der Session Storage wird beim Schließen des Browsers gelöscht und die Local Storage Daten sind unbefristet im Browser enthalten, jedoch läuft der Authentifizierungstoken nach 24 Stunden ab bzw. sobald Sie die Websiten-Daten in Ihrem Browser löschen
Rechtsgrundlagen Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung), Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse)

4.1.4. Kontaktaufnahme per WhatsApp

VerarbeitungKontaktaufnahme per WhatsApp
Zweck Annahme, Prüfung und Bearbeitung von Anfragen über WhatsApp
Kategorien verarbeiteter Daten Verbindungsdaten: Mobilfunknummer, Zeit und Dauer der Kommunikation
Inhaltsdaten: Inhalt der Anfrage (Textnachrichten, Sprachnachrichten, Bilder, Dokumente)
Kategorien von Empfängern Userlike UG (haftungsbeschränkt), Probsteigasse 44-46, 50670 Köln (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO als Anbieter der Lösung WhatsApp Business API)
WhatsApp Ireland Limited, 4 Grand Canal Square
Grand Canal Harbour, Dublin 2, Irland (Chat- und Telekommunikationsprovider)
Intern (Details: Interne Abteilung (Kundenservice)
Drittstaaten-Datentransfer ja: WhatsApp Inc., 1601 Willow Road
Menlo Park, California 94025, USA
Speicherdauer bzw. deren Kriterien Der Nachrichteninhalt wird nach 3 Monaten gelöscht. Der Session Storage wird beim Schließen des Browsers gelöscht und die Local Storage Daten sind unbefristet im Browser enthalten, jedoch läuft der Authentifizierungstoken nach 24 Stunden ab bzw. sobald Sie die Webseiten-Daten in Ihrem Browser löschen.
Rechtsgrundlagen Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung), Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse)

4.1.5. Optimierung von Such- und Empfehlungsfunktionen

VerarbeitungOptimierung von Such- und Empfehlungsfunktionen
Zweck Sicherstellung der Funktionalität des statistischen Modells und Optimierung der Angebote
Kategorien verarbeiteter Daten Informationen zum Nutzungsverhalten (z. B. Häufigkeit von Besuchen, Vermehrung von Seitenaufrufen, Bestellungen)
Kategorien von Empfängern exorbyte GmbH, Turmstraße 5, 78467 Konstanz
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 6 Minuten nach Aufruf der Website
Rechtsgrundlagen Art. 6 Abs. 1 b) DSGVO (Vertragserfüllung), Art. 6 Abs. 1 f) DSGVO (berechtigtes Interesse)

4.2. Newsletter-Empfänger

Sind Sie ein Newsletter-Abonnent, der einen unserer-Newsletter bezieht, verarbeiten wir Ihre personenbezogenen Daten wie folgt:
Die von Ihnen über die hierfür vorgesehene Eingabemaske eingegebenen Daten werden bei der Anmeldung an uns übermittelt und verarbeitet. Die Angabe Ihrer E-Mail-Adresse ist in jedem Fall verpflichtend. Die Angabe etwaiger weiterer Daten ist freiwillig und dient Ihrer persönlichen Ansprache. Zum Zeitpunkt der Absendung der Nachricht speichern wir Ihre IP-Adresse sowie Datum und Uhrzeit Ihrer Registrierung im Kontaktformular.
Wir nutzen ein Double-Opt-In-Verfahren, um sicherzustellen, dass Sie nur dann unseren Newsletter bekommen, wenn Sie das wirklich wollen. Dazu senden wir Ihnen eine Benachrichtigungsmail zu, in der Sie durch das Anklicken eines in dieser E-Mail enthaltenen Links bestätigen, dass Sie unsere werblichen E-Mails bzw. unseren Newsletter tatsächlich erhalten möchten.

VerarbeitungNewsletterversand (E-Mail)
Zweck Versand von Informationen an Kunden und Interessierte zu Angeboten, Dienstleistungen, Produkten oder zum Unternehmen und seinen Mitarbeitern.
Kategorien verarbeiteter Daten Kontaktdaten (Details: Kontaktdaten (Name, E-Mail))
Kategorien von Empfängern Intern (Details: Interne Abteilung (Marketing))
Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien Bis Widerruf durch den Betroffenen.
Rechtsgrundlagen Art. 6 Abs. 1 lit. a (Einwilligung)

4.3. Interessenten

VerarbeitungMailingaktionen (Postversand)
Zweck Durchführung von Werbemaßnahmen auf postalischem Weg.
Kategorien verarbeiteter Daten Kontaktdaten (Details: Kontaktdaten (Name, Anschrift))
Kategorien von Empfängern Intern (Details: Interne Abteilung (Marketing))
Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers) Löschung nach Widerspruch gegen die Zusendung postalischer Mitteilungen (Art. 21 Abs. 1, 2 DSGVO)
Rechtsgrundlagen Die Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich und es überwiegen keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person
Verarbeitung Mailingaktionen (Mailversand)
Zweck Als Kunde von Pharmeo erhalten Sie Produktempfehlungen & Bewertungsanfragen per E-Mail. Der Nutzung Ihrer E-Mail Adresse für die Übersendung der Produktempfehlungen und Bewertungsanfragen können Sie jederzeit für die Zukunft widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen, am einfachsten über den in jeder E-Mail enthaltenen Link.
Kategorien verarbeiteter Daten Kontaktdaten (Details: Kontaktdaten (Name, E-Mail))
Kategorien von Empfängern Intern (Details: Interne Abteilung (Marketing))
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien Bis Widerruf durch den Betroffenen.
Rechtsgrundlagen § 7 Abs. 3 UWG

4.4. Kunden

4.4.1. Online-Shop

VerarbeitungOnline-Shop
Zweck Abwicklung von Kundenbestellungen, Verwalten von Zahlungsinformationen, Information über Auftrags- und Lieferdaten.
Kategorien verarbeiteter Daten Internetnutzungsdaten (Details: Internetnutzungsdaten (IP-Adresse, Besuchszeit und Datum))
Vertragsdaten (Details: Vertragsdaten (Anschrift, Kontaktdaten, Bestellung))
Zahlungsdaten (Details: Zahlungsdaten (Kontoinformationen, Kreditkartendaten))
Kategorien von Empfängern Intern (Details: Interne Abteilung (Marketing, IT-Abteilung))
Intern (Details: Interne Abteilung (Vertrieb))
Intern (Details: Interne Abteilung (Finanzbuchhaltung))
Intern (Details: Interne Abteilung (Zahlungsdienstleister Bankeinzug))
Extern (Details: Externe Abteilung (Zahlungsdienstleister für Rechnung, Ratenkauf, Sofortüberweisung und Kreditkarte))
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers)
10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.)
Zahlungsdaten: - bei Gastbestellung 6 Monate - bei Kundenkonto bis auf Widerruf
Rechtsgrundlagen Die Verarbeitung ist für die Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme gem. Art. 6 Abs. 1 lit. b DSGVO erforderlich.

4.4.2. Kundenkarte - Kundenkartei

VerarbeitungKundenkarte - Kundenkartei
Zweck Kundenkarte - persönliche Gesundheitskarte: Dokumentation und Bearbeitung nachstehender Leistungen: - Auflistung/Dokumentation aller Käufe - Auflistung aller Zuzahlungen - Sammelbeleg für geleistete Zuzahlungen für Finanzamt und Krankenkassen - Rabattierung - Bonussystem - Feststellung/Dokumentation von Unverträglichkeiten - Wechselwirkung von Medikamenten
Kategorien verarbeiteter Daten Abrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte))
Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten))
Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Sozialversicherungsdaten (Details: Sozialversicherungsdaten (Krankenkasse, Rentenkasse, Steuerdaten, Kirchensteuermerkmal))
Kategorien von Empfängern Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien Löschung auf Anforderung (§ 17 DSGVO) bzw. 3 Jahre nach Nichtgebrauch
Rechtsgrundlagen Art. 6 Abs. 1 Satz 1 a) DSGVO (Einwilligung)

4.4.3. Kontaktdatenverwaltung

VerarbeitungKontaktdatenverwaltung
Zweck Kontaktdaten von Kunden werden zur besseren Übersicht und Verfügbarkeit ins CRM-/ERP-System eingebracht und verwaltet.
Kategorien verarbeiteter Daten Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von Empfängern Intern (Details: Interne Abteilung (Mitarbeiter mit Zugriff auf das CRM-/ERP-System))
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien Dauer der Kundenbeziehung
Rechtsgrundlagen Art. 6 Abs. 1 Satz 1 f) DSGVO (berechtigtes Interesse)

4.4.4. Kundendatenverwaltung

VerarbeitungKundendatenverwaltung (CRM)
Zweck Systematische Pflege von Kundenbeziehungen zum Zweck der Absatzförderung.
Kategorien verarbeiteter Daten Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von Empfängern Intern (Details: Interne Abteilung (Vertrieb))
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien Speicherung für die Dauer der zugrundeliegenden Geschäftsbeziehung.
Rechtsgrundlagen Die Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich und es überwiegen keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person.

4.4.5. Mailingaktionen (Postversand)

VerarbeitungMailingaktionen (Postversand)
Zweck Durchführung von Werbemaßnahmen auf postalischem Weg.
Kategorien verarbeiteter Daten Kontaktdaten (Details: Kontaktdaten (Name, Anschrift))
Kategorien von Empfängern Intern (Details: Interne Abteilung (Marketing))
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers) Löschung nach Widerspruch gegen die Zusendung postalischer Mitteilungen (Art. 21 Abs. 1, 2 DSGVO)
Rechtsgrundlagen § 6 Abs. 1 Satz 1 f) DSGVO (berechtigtes Interesse)

4.4.6. Kundenbefragung - Qualitätsmanagement

VerarbeitungKundenbefragung - Qualitätsmanagement
Zweck Kundenbefragung im Rahmen des Qualitätsmanagements (Themen z.B. Kundenzufriedenheit, Kundenwünsche ..)
Kategorien verarbeiteter Daten Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von Empfängern Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 3 Jahre BGB (Details: 3 Jährte nach der Erbringung der Dienstleistung (Regelmäßige Verjährungsfrist gem. 195 BGB)) Zeitnahe Löschung nach Ausarbeitung
Rechtsgrundlagen § 6 Abs. 1 Satz 1 f) DSGVO (berechtigtes Interesse)

4.4.7. Qualitätsmanagement

VerarbeitungQualitätsmanagement
Zweck Erstellen und Pflegen des Qualitätsmanagements.
Kategorien verarbeiteter Daten Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von Empfängern Intern (Details: Qualitätsmanagement)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers)
Rechtsgrundlagen Die Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich und es überwiegen keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person.

4.4.8. Dokumentation: Tierarzneiabgabe

VerarbeitungDokumentation: Tierarzneiabgabe
Zweck Gesetzliche Dokumentationspflicht bei der Abgabe von Tierarzneimitteln
Kategorien verarbeiteter Daten Abrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von Empfängern Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahrelang, aufzubewahren.)
Rechtsgrundlagen § 19 Abs. 1 Satz 2 Nr. 2 lit. a) b) Abs. 2 ApBetrO

4.4.9. Rechnungswesen

VerarbeitungRechnungswesen
Zweck Rechnung erstellen, versenden und Zahlungseingang kontrollieren inkl. Kontoauszüge
Kategorien verarbeiteter Daten Abrechnungsdaten (Details: Abrechnungsdaten (Informationen über erstelle Lieferungen/Leistungen)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Vertragsdaten (Details: Vertragsdaten (Anschrift, Vertragsinhalte)) Zahlungsdaten (Details: Zahlungsdaten (Kontoinformationen, Kreditkartendaten))
Kategorien von Empfängern Intern (Details: Buchhaltung)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.)
Rechtsgrundlagen Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung gem. Art. 6 Abs. 1 lit. c DSGVO erforderlich (Buchführungspflicht gemäß § 238 Abs. 1 HGB).

4.4.10. Mahnwesen

VerarbeitungMahnwesen
Zweck Durchführung von Mahnungen.
Kategorien verarbeiteter Daten Abrechnungsdaten (Details: Abrechnungsdaten (Informationen über erstelle Lieferungen/Leistungen).) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail, Position, Unternehmen))
Kategorien von Empfängern Intern (Details: Buchhaltung)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.)
Rechtsgrundlagen Art. 6 Abs. 1 Satz 1 b) und f) DSGVO (Vertragserfüllung und berechtigtes Interesse)

4.5. Patient

4.5.1. Arzneimittelherstellung

VerarbeitungArzneimittelherstellung
Zweck Bei der Herstellung von Arzneimitteln werden personenbezogene Daten gespeichert.
Kategorien verarbeiteter Daten Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Medikamentation)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon))
Kategorien von Empfängern Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahrelang, aufzubewahren.)
Rechtsgrundlagen ApBetrO: §§ 7 Abs. 1a, Satz 1, 1 b Satz 2, 1 c Satz 1 (4-7), Satz 2, Satz 3, Satz 8 Abs. 2 (7), Satz 3, Abs. 3 (1), Abs. 4 (2), 14 Abs. 1 Satz 1 (9)

4.5.2. Auftragsherstellung

VerarbeitungAuftragsherstellung
Zweck Herstellung von Rezepturarzneimitteln für oder durch einen anderen Herstellungsbetrieb.
Kategorien verarbeiteter Daten Abrechnungsdaten (Details: Abrechnungsdaten) Kontaktdaten (Details: Kontaktdaten: Patient: Name, ggf. Name des Tierhalters Arzt: Name des verschreibenden Arztes oder Tierarztes)
Kategorien von Empfängern Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien Zu 1) 1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahre lang, aufzubewahren.) Zu 2) 1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahre lang, aufzubewahren.)
Rechtsgrundlagen Die Verarbeitung ist für die Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme gem. Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 6 Abs. 1 lit. c DSGVO zur Einhaltung rechtlicher Verpflichtungen erforderlich (§ 21 Abs. 2 Nr. 1b AMG, § 11 Abs. 3 od. 4 ApoG, § 17 Abs. 6c Nr. 5 ApBetrO, §§ 11a, 7, 14 ApBetrO)

4.5.3. Auskunft vom behandelnden Arzt (Interaktionsprüfung)

VerarbeitungAuskunft vom behandelnden Arzt (Interaktionsprüfung)
Zweck Erforderliche Nachfrage beim behandelnden Arzt bei Unklarheiten und Unsicherheiten.
Kategorien verarbeiteter Daten Abrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte)) Gesundheitsdaten (Details: Gesundheitsdaten (Medikamentation)) Kontaktdaten (Details: Kontaktdaten (Name, Adresse))
Kategorien von Empfängern Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 3 Jahre BGB (Details: 3 Jährte nach der Erbringung der Dienstleistung (Regelmäßige Verjährungsfrist gem. 195 BGB))
Rechtsgrundlagen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO § 203 Strafgesetzbuch: Schweigepflicht

4.5.4. BtMG (Betäubungsmittelgesetz) - Dokumentation der Abgabe

VerarbeitungBtMG (Betäubungsmittelgesetz) - Dokumentation der Abgabe
Zweck Rezepteinlösung für Betäubungsmittel nach BtMG Rezepte werden mit Durchschrift erstellt und eingelöst gelbes Rezept zur Weiterleitung an die Abrechnungsstelle Durchschlag verbleibt in der Apotheke - Dokumenten-Ablage
Kategorien verarbeiteter Daten Abrechnungsdaten (Details: Abrechnungsdaten (Verordnung)) Gesundheitsdaten (Details: Gesundheitsdaten (Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Adresse)) Sozialversicherungsdaten (Details: Sozialversicherungsdaten (Krankenkasse,))
Kategorien von Empfängern Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) Öffentliche Stelle (Details: Abrechnungsstelle)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 3 Jahre (BtMVV) (Details: Löschung nach 3 Jahren. Aufbewahrungsfrist gem. § 13 Abs. 3 Betäubungsmittel-Verschreibungs-Verordnung.) 10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.)
Rechtsgrundlagen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO § 13,1a(5)BtMG sowie BtMVV: § 7,3(4),7,4(5 und 7) § 12,3 (3) § 13,1 (4) § 14,1 (4 und 5).

4.5.5. Dokumentation - Meldepflicht: T-Rezeptpflichtiger Arzneimittel

VerarbeitungDokumentation - Meldepflicht: T-Rezeptpflichtiger Arzneimittel
Zweck Gesetzliche Dokumentationspflicht bei der Abgabe von T-rezeptpflichtiger Arzneimittel z.B. Talidomid (Contergan), Teratogene
Kategorien verarbeiteter Daten Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten))
Kategorien von Empfängern Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahrelang, aufzubewahren.)
Rechtsgrundlagen § 17 Abs. 6 b Satz 1 Nr. 6 und 7, Satz 2 ApBetrO, § 3a Abs. AMVV>/p>

4.5.6. Dokumentation: Abgabe von Blutzubereitungen

VerarbeitungDokumentation: Abgabe von Blutzubereitungen
Zweck Dokumentation bei der Abgabe von Blutzubereitungen - Gesetzliche Dokumentationspflicht
Kategorien verarbeiteter Daten Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von Empfängern Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 30 Jahre (RöV) (Details: Löschung nach 30 Jahren. Aufbewahrungsfrist gem. § 85 Abs. 3 StrlSchV bzw. § 28 Abs. 3 S. 1 RöV bei Behandlungen mit radioaktiven Stoffen oder ionisierenden Strahlen.)
Rechtsgrundlagen § 17 Abs. 6a Nr. 4,5 ApBetrO

4.5.7. Dokumentation: Arzneimitteleinfuhr

VerarbeitungDokumentation: Arzneimitteleinfuhr
Zweck Einfuhr von Arzneimitteln aus anderen Staaten
Kategorien verarbeiteter Daten Abrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte)) Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von Empfängern Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahrelang, aufzubewahren.)
Rechtsgrundlagen § 18 Abs. 1 Nr. 5,6,8 ApBetrO § 73 Abs. 3, 3b AMG

4.5.8. Informationsstellen - Anfragen

VerarbeitungInformationsstellen - Anfragen
Zweck Anfragen bei Informationsstellen zu pharmazeutischen Problemen
Kategorien verarbeiteter Daten Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Personenbezug i.d.R. nicht erforderlich. ggf. Gesundheitsdaten, Medikationsdaten, Diagnosen, Alter, Geschlecht, Gewicht
Kategorien von Empfängern Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.) Öffentliche Stelle (Details: Öffentliche-Stelle: Behörde, Organ der Rechtspflege, öffentlich-rechtliche Einrichtung des Bundes, bundesunmittelbare Körperschaften, Anstalten, Stiftungen und deren Vereinigungen gem. § 2 Abs. 1-3 BDSG.
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 3 Jahre (BtMVV) (Details: Löschung nach 3 Jahren. Aufbewahrungsfrist gem. § 13 Abs. 3 Betäubungsmittel-Verschreibungs-Verordnung.)
Rechtsgrundlagen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO sowie Art. 9 Abs. 2 lit. h DSGVO

4.5.9. Medikationsanalyse

VerarbeitungMedikationsanalyse
Zweck Medikationsanalyse - Medikationsmanagement als Dienstleistung für Patienten zur Verbesserung der Therapiesicherheit.
Kategorien verarbeiteter Daten Abrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte)) Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)
Kategorien von Empfängern Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 3 Jahre (BtMVV) (Details: Löschung nach 3 Jahren. Aufbewahrungsfrist gem. § 13 Abs. 3 Betäubungsmittel-Verschreibungs-Verordnung.)
Rechtsgrundlagen Vertragserfüllung nach Art. 6 Abs. 1 lit. a DSGVO sowie Art. 9 Abs. 2 lit. h DSGVO

4.5.10. Rezepteinlösung - Auslieferung per Botendienst

VerarbeitungRezepteinlösung - Auslieferung per Botendienst
Zweck Rezeptvorlage durch Patient - Auslieferung durch Boten Telefonische Bestellung - Auslieferung durch Boten Bestellung online - Auslieferung durch Boten
Kategorien verarbeiteter Daten Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Sozialversicherungsdaten (Details: Sozialversicherungsdaten (Krankenkasse, Rentenkasse, Steuerdaten, Kirchensteuermerkmal))
Kategorien von Empfängern Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 1 Jahr ApBetrO (Details: Alle Aufzeichnungen über die Herstellung, Prüfung, Überprüfung der Arzneimittel ... sind vollständig und mindestens bis 1 Jahr nach Ablauf des Verfallsdatums, jedoch nicht weniger als 5 Jahrelang, aufzubewahren.) 3 Jahre (Verjährungsfrist nach § 195 BGB) Botenlisten werden täglich vernichtet
Rechtsgrundlagen § 17, 2 (1) ApBetrO § 24, 4 (1) ApBetrO

4.5.11. Rezeptvorlage durch Dritte

VerarbeitungRezeptvorlage durch Dritte
Zweck Bearbeitung von Rezepten, die nicht persönlich - sondern durch Dritte vorgelegt werden: z.B. durch Hauskrankenpflege: Rezept wird z.T. durch Apotheke abgeholt Bearbeitung entsprechend Verarbeitungstätigkeit: Vorlage Rezept Medikament wird von Apothekenpersonal oder Boten geliefert Abgabe nur gegen Unterschrift.
Kategorien verarbeiteter Daten Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Sozialversicherungsdaten (Details: Sozialversicherungsdaten (Krankenkasse, Rentenkasse, Steuerdaten, Kirchensteuermerkmal))
Kategorien von Empfängern Öffentliche Stelle (Details: Rezeptvorlage bei Abrechnungstelle) Sonstige Empfänger (Details: Botendienst - Daten aus der Botenliste enthalten Kontaktdaten (Adresse) sowie Auflistung der Medikamente. Botenliste wird vom Patienten/Empfänger abgezeichnet und zur Dokumentation zurückgebracht.) Öffentliche Stelle (Details: Öffentliche-Stelle: Behörde, Organ der Rechtspflege, öffentlich-rechtliche Einrichtung des Bundes, bundesunmittelbare Körperschaften, Anstalten, Stiftungen und deren Vereinigungen gem. § 2 Abs. 1-3 BDSG.
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.) Daten aus den Rezepten werden nicht gespeichert. Botenlisten werden täglich vernichtet.
Rechtsgrundlagen Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich. Art 6 (1) f

4.5.12. Schweigepflicht - Schweigepflichtentbindung

VerarbeitungSchweigepflicht - Schweigepflichtentbindung
Zweck Entbindung von der Schweigepflicht gem § 203 StGB - Verletzung von Privatgeheimnissen. Bei der Weitergabe von personenbezogenen Patienten- und/oder Gesundheitsdaten muss eine Schweigepflichtentbindung des Betroffenen vorliegen.
Kategorien verarbeiteter Daten Abrechnungsdaten (Details: Abrechnungsdaten (z.B. Verbrauchs- und Leistungswerte)) Genetische Daten (Details: Genetischen Daten (Informationen über Genomdaten der betroffenen Person)) Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von Empfängern Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien dauerhaft (Details: Löschung derzeit nicht definiert.)
Rechtsgrundlagen § 203 StGB

4.5.13. Verordnungen: Abrechnung mit gesetzlichen Krankenkassen und sonstigen Kostenträgern

VerarbeitungVerordnungen: Abrechnung mit gesetzlichen Krankenkassen und sonstigen Kostenträgern
Zweck Einlösung des Kassenrezepts zur Aushändigung der Medikamente an Kunden und Weiterleitung an die Abrechnungsstelle.
Kategorien verarbeiteter Daten Gesundheitsdaten (Details: Gesundheitsdaten (Medikamente und Medikation)) Kontaktdaten (Details: Kontaktdaten (Name, Anschrift)) Versicherungsdaten (Details: Versicherungsdaten (Träger der gesetzlichen Krankenversicherung, Versicherungsnummer, Kartennummer, Gültigkeit)) Erhobenen Daten sind i.d.R. auf dem Rezept durch den Verordner aufgedruckt
Kategorien von Empfängern Öffentliche Stelle (Details: Abrechnungsstelle der Krankenkassen) Zu 2) Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 10 Jahre (Behandlung) (Details: Löschung nach 10 Jahren. (Abrechnungsvereinbarung gem. § 300 SGB V)) Rezepte werden an Abrechnungsstelle der Krankenkassen weitergegeben.
Rechtsgrundlagen Die Verarbeitung ist für die Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme gem. Art. 6 Abs. 1 lit. b DSGVO erforderlich. Rechtsgrundlagen: §§ 129, 300, 302 SGB V, § 17 Abs. 6 ApBetrO

4.5.14. Verordnungen: Abrechnung von Privatrezepten

VerarbeitungVerordnungen: Abrechnung von Privatrezepten
Zweck Privat-Verordnung wird zur Einlösung vorgelegt. Medikament wird ausgehändigt. Bezahlvorgang bar, Karte oder Rechnung.
Kategorien verarbeiteter Daten Gesundheitsdaten (Details: Gesundheitsdaten (z.B. Krankmeldungen, Patientendaten)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Sozialversicherungsdaten (Details: Sozialversicherungsdaten (Krankenkasse, Rentenkasse, Steuerdaten, Kirchensteuermerkmal)
Kategorien von Empfängern Auftragsverarbeiter (Details: Auftragsverarbeiter i.S.d. Art. 4 i.V.m. Art. 28 DSGVO.)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.)
Rechtsgrundlagen Art. 6 Abs. 1 b) und f) DSGVO (Vertragserfüllung und berechtigtes Interesse)

4.6. Beschäftigte von Unternehmenskunden und Lieferanten

4.6.1. Beschaffung und Einkauf

VerarbeitungBeschaffung und Einkauf
Zweck Organisation und Durchführung von Einkauf und Beschaffung.
Kategorien verarbeiteter Daten Kontaktdaten (Details: Kontaktdaten (Name, Telefon, E-Mail, Position, Unternehmen))/p>
Kategorien von Empfängern Intern (Details: Interne Abteilung (Facilitymanagement und Einkauf/Beschaffung))
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.)
Rechtsgrundlagen Die Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich (Wahrung der geschäftlichen Interessen des Unternehmens).

4.6.2. Vertragsverwaltung

VerarbeitungVertragsverwaltung
Zweck Erstellung und Abwicklung von Verträgen im Vertrieb und Einkauf.
Kategorien verarbeiteter Daten Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail)) Vertragsdaten (Details: Vertragsdaten (Anschrift, Kontaktdaten, Vertragsinhalte))
Kategorien von Empfängern Intern (Details: Interne Abteilung (Einkauf, Vertrieb))
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers)
Rechtsgrundlagen Die Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f) DSGVO erforderlich und es überwiegen keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person.

4.6.3. Mahnwesen

VerarbeitungMahnwesen
Zweck Durchführung von Mahnungen.
Kategorien verarbeiteter Daten Abrechnungsdaten (Details: Abrechnungsdaten (Informationen über erstelle Lieferungen/Leistungen).) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail, Position, Unternehmen))
Kategorien von Empfängern Intern (Details: Buchhaltung)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 10 Jahre (AO) (Details: Löschung nach 10 Jahren. Aufbewahrungsfrist gem. § 147 AO für steuerlich relevante Unterlagen.)
Rechtsgrundlagen Die Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich (Wahrung der geschäftlichen Interessen des Unternehmens).

4.6.4. Qualitätsmanagement

VerarbeitungQualitätsmanagement
Zweck Erstellen und Pflegen des Qualitätsmanagements.
Kategorien verarbeiteter Daten Abrechnungsdaten (Details: Abrechnungsdaten (Informationen über Lieferungen/Leistungen)) Kontaktdaten (Details: Kontaktdaten (Name, Telefon, Fax, E-Mail))
Kategorien von Empfängern Intern (Details: Qualitätsmanagement)
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien 3 Jahre (Details: Berechtigtes Interesse des Arbeitgebers)
Rechtsgrundlagen Die Verarbeitung ist zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten gem. Art. 6 Abs. 1 lit. f DSGVO erforderlich und es überwiegen keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person.

4.7. Webinar-Teilnehmer

Sind Sie ein Webinar-Teilnehmer, verarbeiten wir Ihre personenbezogenen Daten wie folgt. Sie können an einem Webinar teilnehmen, wenn Sie sich zuvor dazu über unsere Internetseite dazu angemeldet haben. Die Durchführung und Nachbereitung der Webinare erfolgten durch Nutzung von Zoom. In den virtuellen Seminarräumen werden personenbezogene Daten der Dozenten und Teilnehmer (gemeinsam „Beteiligte“) verarbeitet. Die Dozenten und Teilnehmer sind damit datenschutzrechtlich Betroffene. Beim Eintritt in den virtuellen Seminarraum und dem Login durch die Teilnehmer und Dozenten vergeben sich diese ein virtuelles Namensschild, um für die anderen Beteiligten am Webinar erkennbar und ansprechbar zu sein. Bei der Durchführung der Webinare werden von den Dozenten und Teilnehmern Videodaten, Töne, Bildschirminhalte und Chat-Nachrichten an alle am Webinar Beteiligte übertragen, sofern die jeweilige Funktion vom Dozenten oder aber vom Teilnehmer freigeschaltet bzw. aktiv genutzt wird. Die Daten werden nur zu Übertragung gespeichert und verarbeitet; eine Speicherung und Verarbeitung der Daten nach dem Ende der Übertragung findet grundsätzlich nicht statt. Die Beteiligten haben die Möglichkeit, bilateral oder in Gruppen zu chatten. Zugriff auf die Inhalte der Chatnachrichten haben dabei nur die beiden Beteiligten des bilateralen Chats bzw. die Mitglieder der jeweiligen Chat-Gruppe. Wir nutzen gelegentlich die Möglichkeit, Webinare aufzuzeichnen und die aufgezeichneten Inhalte im Nachgang den Beteiligten zur Verfügung zu stellen und darüber hinaus das Webinar intern zu dokumentieren. Sollte eine solche Aufzeichnung durch uns erfolgen, wird dies im Webinar selbst angekündigt, so dass die Teilnehmer entscheiden können, ob sie Videodaten, Töne, Bildschirminhalte und Chat-Nachrichten von sich freischalten bzw. aktiv nutzen und somit für die Aufzeichnung zu Verfügung stellen. Wir erheben personenbezogene Daten der Teilnehmer über deren Aufenthalt im virtuellen Seminarraum, deren Verweildauern und Nutzung von Angeboten. Dies entspricht in etwa dem Beobachten der Teilnehmer in einem realen Raum. Am Ende der Webinare wird den Teilnehmern regelmäßig die Bewertung der Dozenten ermöglicht. Dabei ist es organisatorisch ausgeschlossen, dass die Individuell abgegebene Bewertung der Teilnehmer sichtbar gemacht wird. Wir erhalten eine aggregierte Bewertung der Dozentin bzw. des Dozenten.

VerarbeitungWebinar-Teilnehmer
Zweck technische Umsetzung der Webinare (Übertragung von Namen, Kamerabildern, Ton, Bildschirminhalten und Chat-Nachrichten), Aufzeichnung von Webinaren, Ausstellung von Teilnahmebescheinigungen, Nachbereitung der Webinare (z.B. Bereitstellung von Seminarunterlagen, Bewertung der Dozenten) und Resonanz der Beteiligten festzustellen und ggf. Verbesserungsmaßnahmen ableiten
Kategorien verarbeiteter Daten Kontaktdaten über Kontaktformular, E-Mail, Telefon oder über soziale Medien: Name, E-Mail-Adresse und optional Telefonnummer Verbindungsdaten: IP-Adresse sowie Datum und Uhrzeit der Registrierung im Kontaktformular; ggf. Weitergabe an Dritte über Cookies (Steuerung über das Consent-Management-Tool möglich), E-Mail-Adresse, Nutzername soziale Medien, ggf. Telefonnummer Inhalte des ausgefüllten Kontaktformulars, der E-Mails, der Live-Chats und Telefonate können personenbezogen sein
Kategorien von Empfängern x
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien Nach dem Ende des jeweiligen Webinars werden die Chatinhalte automatisch gelöscht. Nach Aggregation und Ausstellung von Teilnahmebescheinigungen werden die Daten im virtuellen Seminarraum gelöscht.
Rechtsgrundlagen Art. 6 Abs. 1 a), b) und f) DSGVO (Einwilligung, Vertragserfüllung und berechtigtes Interesse)

4.8. Bewerber

VerarbeitungBewerbungsverfahren (extern)
Zweck Auswahl geeigneter externer Bewerber zur Besetzung einer offenen Stelle.
Kategorien verarbeiteter Daten Bewerberdaten (Details: Bewerberdaten (Angaben zur Person, Kontaktdaten, Lebenslauf, Foto, Zeugnisse))
Kategorien von Empfängern Intern (Details: Interne Abteilung (Personalabteilung, Vorgesetzte, Geschäftsleitung))
Drittstaaten-Datentransfer nein
Speicherdauer bzw. deren Kriterien S6 Monate (Bewerbung) (Details: Löschung nach 6 Monaten (sofern keine Einwilligung zur längeren Speicherung vorliegt). Aufbewahrungsfrist von 2 Monaten gem. § 21 Abs. 5 AGG plus vertretbarer Bearbeitungszeit.)
Rechtsgrundlagen Die Verarbeitung ist für die Anbahnung des Beschäftigungsverhältnisses gemäß § 26 Abs. 1 S. 1 BDSG erforderlich. (Eine über das aktuelle Bewerbungsverfahren hinausgehende Speicherung bzw. eine Weitergabe an Dritte bedingt eine Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO, welche die Anforderungen an die Einwilligung gem. Art. 7 Abs. 1-4 DSGVO werden erfüllt.)

5. Rechte der betroffenen Person

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener im Sinne der DSGVO. Ihnen stehen damit folgende Rechte gegenüber dem Verantwortlichen zu:

5.1. Auskunftsrecht, Art. 15 DSGVO

Sie haben gem. Art. 15 DSGVO das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten verarbeiten, die Sie betreffen. Ist das der Fall, können Sie nachfolgende Auskünfte über folgende Informationen von uns verlangen: Verarbeitungszwecke; Kategorie der personenbezogenen Daten, die verarbeitet werden; Empfänger bzw. Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden; geplante Speicherdauer oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer; Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch; Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; Herkunft Ihrer Daten, sofern diese nicht bei uns erhoben wurden; Bestehen einer automatisierten Entscheidungsfindung einschließlich „Profiling“ und ggf. aussagekräftigen Informationen zu deren Einzelheiten; Übermittlung der personenbezogenen Daten in ein Drittland oder an eine internationale Organisation; geeignete Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung.

5.2. Recht auf Berichtigung

Sie haben gem. Art. 16 DSGVO das Recht, unverzüglich die Berichtigung oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.

5.3. Recht auf Einschränkung der Verarbeitung

Sie haben gem. Art. 18 DSGVO das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gem. Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben.

5.4. Recht auf Löschung

Sie haben gem. Art. 17 DSGVO das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

5.5. Recht auf Unterrichtung

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber Pharmeo als verantwortlicher Stelle geltend gemacht, sind wir gem. Art. 19 DSGVO dazu verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht gegenüber Pharmeo das Recht zu, über diese Empfänger unterrichtet zu werden.

5.6. Recht auf Datenübertragbarkeit

Sie haben gem. Art. 20 DSGVO das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.

5.7. Widerspruchsrecht

Sie haben gem. Art. 21 DSGVO das Recht, Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Wir verarbeiten die Sie betreffenden personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das „Profiling“, soweit es mit solcher Direktwerbung in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

5.8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Sie haben gem. Art. 7 Abs. 3 DSGVO das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

5.9. Recht auf Beschwerde bei einer Aufsichtsbehörde

Sie haben gem. Art. 77 DSGVO das Recht, sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden.

Stand: Juli 2023

Nach oben