1. Daten Verarbeiter
Name und Kontaktdaten des Verantwortlichen
Blumen-Apotheke
T. Bröder und Dr. L. Oshinowo
Tibarg 44
22459 Hamburg
Telefon: 040-587918
E-Mail: info@blumen-apotheke-ohg.de
Kontaktdaten des Datenschutzbeauftragten
Julius Wegner
Telefon: 0176-32774524
E-Mail: julius.wegner@hotmail.co.uk
2. Allgemeines zur Datenverarbeitung
2.1. Umfang
der Verarbeitung personenbezogener Daten
Wir erheben
und verwenden personenbezogene Daten unserer Kunden, insbesondere
gesundheitsbezogene Daten, grundsätzlich nur, soweit dies im Rahmen unserer
Tätigkeit als Apotheke erforderlich ist. Die Erhebung und Verwendung
personenbezogener Daten unserer Kunden erfolgt regelmäßig nur auf der Grundlage
einer gesetzlichen Ermächtigung, von Verträgen oder nach Einwilligung des
Kunden.
2.2.
Datenlöschung und Speicherdauer
Die
personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt,
sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus
erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in
unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der
Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der
Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene
Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren
Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung
besteht.
3. Verarbeitungsprozesse
3.1.
Rezeptabrechnung mit der GKV oder anderen Kostenträgern
Wenn Sie bei
uns ein Rezept der gesetzlichen Krankenversicherung (GKV) oder eines anderen
Kostenträgers einlösen, erheben und verarbeiten unsere Mitarbeiter die
personenbezogenen Daten und Gesundheitsdaten auf ihrem Rezept (Name, Adresse,
Geburtsdatum, Krankenkasse, Versichertennummer, Medikation, verordnender Arzt,
bei Hilfsmittelrezepten die Indikation/Diagnose). Dazu übermitteln wir in
analoger Form und digitaler und verschlüsselter Form die Rezeptdaten an ein von
uns beauftragtes Rechenzentrum, welches ihre Daten und die Daten anderer
Versicherter in der GKV und anderen Kostenträgern gebündelt an die jeweiligen
gesetzlichen Krankassen oder anderen Kostenträger zum Zwecke der
Rezeptabrechnung weitergibt. Zugriff auf diese Daten haben daher unsere
Mitarbeiter und das Rechenzentrum.
Wir haben
alle unsere Mitarbeiter und das Rechenzentrum zur Verschwiegenheit und zur
Wahrung des Datengeheimnisses verpflichtet.
Wir
verarbeiten Ihre Daten unter Einbindung eines Rechenzentrums im Rahmen der
Rezeptabrechnung mit der GKV gemäß §§ 300, 302 SGB V. Wir löschen ihre Daten
nach der Abrechnung mit der GKV oder anderen Kostenträgern.
Im Falle der
Direktabrechnung mit der privaten Krankenversicherung (PKV) rechnen wir direkt
mit Ihrer Krankenversicherung auf Grundlage vertraglicher Vereinbarungen mit
der PKV ab. Eine Löschung erfolgt gem. § 147 AO.
3.2. Datenverarbeitung im Rahmen von Meadirekt-Produkten
1. Im Rahmen unseres Angebotes nutzen
wir verschiedene Digitalprodukte, welche mit dem Kennzeichen „mea - meine
Apotheke“ versehen sind (nachfolgend „MEADIREKT PRODUKTE“). Die MEADIREKT
PRODUKTE werden uns durch die Sanacorp Pharmahandel GmbH (nachfolgend „SANACORP“)
als technische Dienstleistung unter einer Subdomain von www.meadirekt.de
bereitgestellt. SANACORP ist Auftragsverarbeiter für die Erbringung der
Dienstleistungen im Zusammenhang mit MEADIREKT PRODUKTEN soweit im Folgenden
nichts Abweichendes geregelt ist.
2.
Angaben zu
Ihrer Identität darf SANACORP im Rahmen Ihrer Registrierung als Nutzer gem.
Art. 6 Abs. 1 lit. b) DSGVO erheben, um Ihnen gegenüber die Nutzung von
MEADIREKT zu gewährleisten. Weiterhin gibt SANACORP Ihre Daten als registrierter
Nutzer an die Apotheken weiter um diesen zu ermöglichen ihre Dienstleistung
(Kommunikation über den Chat, Bestellungen über den Webshop) zu erbringen.
3. Die Nutzung
von MEADIREKT PRODUKTEN unterliegt unserer Datenschutzerklärung und der
MEADIREKT DATENSCHUTZERKLÄRUNG von
SANACORP. Die MEADIREKT DATENSCHUTZERKLÄRUNG finden Sie unter www.meadirekt.de
im Bereich Datenschutz & Impressum.
4. Bei der
Nutzung von MEADIREKT fallen Kommunikationsdaten an wie Chatname, Mobilnummer
oder Mailadresse, bestelltes Arzneimittel, Bestellhistorie, Name, Adresse,
Rezeptdaten, Geburtsdatum und Chatverläufe. Rechtsgrundlagen der Verarbeitung
durch uns sind Art. 6 Abs. 1 lit. a, sowie lit. b DSGVO.
5. Im Rahmen
der Nutzung ist nicht ausgeschlossen, dass auch gesundheitsbezogene Daten
verarbeitet werden (besondere Arten personenbezogener Daten gem. Art. 9 DSGVO).
Bei einer Kommunikation über MEADIREKT werden Ihre Daten absolut vertraulich
behandelt, nur für den angegebenen Zweck verwendet und insbesondere keinem
Dritten offenbart. Eine Verarbeitung von Gesundheitsdaten erfolgt
ausschließlich unter Aufsicht von pharmazeutisch geschultem Personal und nur
mit Ihrer ausdrücklichen Einwilligung. Wenn Sie nicht wünschen, dass
Gesundheitsdaten über MEADIREKT verarbeitet werden, empfehlen wir Ihnen,
sämtliche Kommunikation bzw. Bestellungen die Aufschluss über Ihre Gesundheit
geben kann, direkt in unserer Apotheke durchzuführen.
6.
Wir
speichern den Umstand Ihrer Einwilligung um unserer Nachweispflicht im Rahmen
des Art. 7 DSGVO nachkommen zu können.
7.
MEADIREKT-CHAT
a) Wir bieten unseren Kunden einen Chat als
Kommunikationsplattform zur Abwicklung von Vorbestellungen, der Bearbeitung von
Verfügbarkeitsanfragen und der Durchführung einer pharmazeutischen Beratung an.
b) Den Chat können Sie nur nutzen, wenn Sie zuvor eine
Einwilligungserklärung über den entsprechenden Dialog im Chat abgegeben haben.
c) Es besteht zudem die Möglichkeit mit uns über die Website www.meadirekt.de per Chat-Funktion in Kontakt zu treten. Die Informationen zur Datenverarbeitung entnehmen Sie der Datenschutzerklärung von meadirekt unter www.meadirekt.de im Bereich Datenschutz & Impressum.
7. 1. Chat / Kommunikation über Google Produkte
7. 1. 1. Wir bieten die Möglichkeit an, mit uns über Applikationen und Webseiten der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA und der Google Ireland Limited, Gordon House, Barrow Street, Dublin, Irland (nachfolgend „Google“) in Kontakt zu treten. Wir verarbeiten Ihre über diesen Dienst übermittelten personenbezogenen Daten ausschließlich zum Zwecke der Beantwortung ihrer Anfrage.
7.1. 2. Ihre Nachrichten und unsere Antworten werden neben uns auch durch Google verarbeitet und ggf. von Google eigenen Zwecken genutzt. Für die Verarbeitung von Google geltend die jeweils Ihnen durch Google im entsprechenden Google Produkt mitgeteilten Bedingungen. Die Verarbeitung durch Google liegt außerhalb unseres Einflussbereiches und ist nicht in dieser Datenschutzerklärung geregelt.
8.
MEADIREKT-SHOP
a) Der MEADIREKT SHOP eröffnet Ihnen die Möglichkeit,
Rezepte hochzuladen und Produkte (insbesondere Arzneimittel), online
vorzubestellen.
b) Zudem bietet Ihnen der MEADIREKT SHOP die (optionale)
Möglichkeit Ihre persönlichen Daten (Name, Adresse, Geburtsdatum, Abholer) zu
hinterlegen. Dies ist im Rahmen der Registrierung eines Accounts über den
Button „Anmelden“ oder durch Bestätigen einer entsprechenden Checkbox im Rahmen
einer (Vor-)Bestellung möglich.
c) Die Verarbeitung der im Rahmen der Nutzung des
MEADIREKT SHOPS erhobenen Daten erfolgt durch uns als Verantwortlicher im Sinne
des Art. 4 Nr. 7 DSGVO auf Basis Ihrer Einwilligung (Art. 6 Abs. 1 lit. a))
DSGVO oder zum Zwecke der Vertragsdurchführung (Art. 6 Abs. 1 lit. b)) DSGVO
oder aufgrund unserer legitimen Interessen (Art. 6 Abs. 1 lit f)) DSGVO.
d) Den Rezept Upload können Sie nur nutzen, wenn Sie
zuvor eine Einwilligung in die Verarbeitung Ihrer Gesundheitsdaten abgegeben
haben.
e) Teilweise erfolgt im Rahmen der
Nutzung des MEADIREKT SHOP eine Verarbeitung von Daten durch SANACORP
(beispielsweise im Falle des Einsatzes von Webanalyse Tools). Hierauf werden
Sie gegebenenfalls ausdrücklich hingewiesen. Erhebt SANACORP die Daten bei
Ihnen, ist SANACORP für die Datenverarbeitung verantwortlich. Auf diese
Verarbeitung haben wir keinen Einfluss und können die erhobenen Daten auch
nicht einsehen. Weitere Informationen zur Datenverarbeitung durch SANACORP
finden Sie in der MEADIREKT DATENSCHUTZERKLÄRUNG unter www.meadirekt.de.
3.3.
Kundenkarten
Wir bieten
Ihnen auf freiwilliger Basis eine Kundenkarte an. Auf der Kundenkarte werden
auf Ihren Wunsch Ihr Name, Adresse, Geburtsdatum, Telefonnummer, Rezeptdaten,
Medikationsplan, bei uns von Ihnen gekaufte Arzneimittel, Hilfsmittel,
Kosmetik, Nahrungsergänzungsmittel und ähnliche Produkte (Gesundheitsdaten)
gespeichert. Die Kundenkarte wird in unserer Hauptapotheke und den
Filialapotheken gespeichert, damit Sie und unsere Mitarbeiter in jeder unserer
Betriebsstätten Zugriff auf Ihre gespeicherten Daten haben und diese ergänzen
können. Die Einwilligung zur Nutzung Ihrer Daten im Rahmen unserer Kundenkarte
können Sie jederzeit und mit Wirkung für die Zukunft widerrufen. In diesem Fall
löschen wir ihre Daten mit Zugang Ihrer Widerrufserklärung. Sollten Sie länger
als drei Jahre keine Medikamente oder Hilfsmittel aus unserer Apotheke und
ihren Betriebsstätten bezogen haben, löschen wir Ihre personenbezogenen Daten.
3.4.
Medikationsanalyse und Medikationsmanagement
Wir bieten
Ihnen als gesonderte Dienstleistung oder im Rahmen unserer Kundenkarte eine
Medikationsanalyse oder Medikationsmanagement an. Für eine erfolgreiche und
effektive Analyse und Management werden Ihr Name, Geburtsdatum, Adresse sowie Daten
mit Gesundheitsbezug (Krankenkasse, Versichertennummer, verordnender Arzt,
Arzneimittel und Hilfsmittel, Indikationen und Diagnosen, Rezepte durch unser
Apothekenpersonal verarbeitet und für einen Zeitraum von 3 Jahren gespeichert.
Wir verarbeiten diese Daten auf Grundlage eines Vertrages mit Ihnen. Auf diese
Daten hat nur unser Apothekenpersonal Zugriff und nur auf Ihren Wunsch leiten
wir die Daten an ihren behandelnden Arzt oder andere Dritte weiter.
3.5.
Dokumentationspflichten
Im Rahmen
unserer pharmazeutischen Tätigkeit obliegen uns gesetzliche
Dokumentationspflichten, wodurch wir Ihren Namen, Geburtsdatum, Adresse sowie
Daten mit Gesundheitsbezug (Krankenkasse, Versichertennummer, verordnender
Arzt, Arzneimittel und Hilfsmittel, Indikationen und Diagnosen, Rezepte)
verarbeiten und speichern. Dies ist z.B. der Fall bei der Rezepturherstellung,
bei der Abgabe von Betäubungsmitteln.
Auf diese
Daten haben unsere Mitarbeiter und im Falle von Kontrollen die jeweilige
Aufsichtsbehörde Zugriff.
3.6. Datenübermittlung
oder Zugriff Dritter
Im Rahmen unserer Tätigkeit als Apotheke sind auch wir auf externe Hilfe wie IT-Dienstleister zur Bereitstellung und Wartung unserer Hard- und Software oder sonstiger Servicekräfte angewiesen. Im Rahmen dieser Einbindung können unseren externen Dienstleistern auch personenbezogene Daten bekannt werden, daher verpflichten wir unsere externen Dienstleister zur Verschwiegenheit und zur Wahrung des Datengeheimnisses und begrenzen ihre Zugriffsmöglichkeiten auf personenbezogene Daten auf ein Minimum. Auch Aufsichtsbehörden kontrollieren Apotheken regelmäßig und haben dabei Zugriff auf personenbezogene Daten und Gesundheitsdaten.
4. IHRE RECHTE ALS KUNDE
4.1. Recht
auf Auskunft
Die
betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung
darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet
werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese
personenbezogenen Daten und auf die in Art. 15 DSGVO im einzelnen aufgeführten
Informationen.
4.2. Recht
auf Berichtigung
Die
betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die
Berichtigung sie betreffender unrichtiger personenbezogener Daten und ggf. die
Vervollständigung unvollständiger personenbezogener Daten zu verlangen (Art. 16
DSGVO).
4.3. Recht
auf Löschung und Einschränkung der Verarbeitung
Die
betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass
sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern
einer der in Art. 17 DSGVO im einzelnen aufgeführten Gründe zutrifft, z. B.
wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden. Im Falle
gesetzlicher Dokumentations- oder Aufbewahrungspflichten besteht kein Recht auf
Löschung bis zum Ende der gesetzlichen Fristen.
Die
betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der
Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO aufgeführten
Voraussetzungen gegeben ist, z. B. wenn die betroffene Person Widerspruch gegen
die Verarbeitung eingelegt hat, für die Dauer der Prüfung durch den
Verantwortlichen.
4.4. Recht
auf Unterrichtung
Haben Sie
das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen
Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt
wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der
Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist
mit einem unverhältnismäßigen Aufwand verbunden.
Ihnen steht
gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet
zu werden.
4.5.
Widerspruch
Die
betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen
Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender
personenbezogener Daten Widerspruch einzulegen. Der Verantwortliche verarbeitet
die personenbezogenen Daten dann nicht mehr, es sei denn, er kann zwingende
schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen,
Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung
dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art.
21 DSGVO).
4.6. Recht
auf Datenübertragbarkeit
Sie haben
das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem
Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und
maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht diese Daten
einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem
die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
(1)
die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1
lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gem. Art. 6
Abs. 1 lit. b DSGVO beruht und
(2)
die Verarbeitung mithilfe automatisierter Verfahren
erfolgt.
In Ausübung
dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie
betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem
anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt
werden.
Das Recht
auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener
Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im
öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die
dem Verantwortlichen übertragen wurde.
4.7. Recht
auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Sie haben
das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu
widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der
aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht
berührt.
4.8. Recht
auf Beschwerde bei der Aufsichtsbehörde
Jede
betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen
oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer
Aufsichtsbehörde, wenn die betroffene Person der Ansicht ist, dass die
Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO
verstößt (Art. 77 DSGVO). Die betroffene Person kann dieses Recht bei der
Aufsichtsbehörde in dem Mitgliedstaat ihres Aufenthaltsorts, ihres
Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend zu machen.
Kontaktdaten:
Der
Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Klosterwall
6 (Block C)
20095 Hamburg
Telefon: 040/42 85 4-4040
Telefax: 040/42 85 4-4000
E-Mail: mailbox@datenschutz.hamburg.de
Darüber
hinaus haben Sie die Möglichkeit, sich an die Aufsichtsbehörde
an ihrem gewöhnlichen Aufenthaltsort (Wohnort) zu wenden.