Öffnungszeiten:

Mo. - Fr.: 8.30 - 18.30 Uhr
Samstag: 9.00 - 14.00 Uhr

Telefon:

040 - 46 19 14

 
Nutzen Sie App "Meine Apotheke"
 

Datenschutzerlärung

1. Daten Verarbeiter

Name und Kontaktdaten des Verantwortlichen:

Nikolai-Apotheke, Alexandra Bückmann E.K.

 

Kontaktdaten des Datenschutzbeauftragten:

Julius Wegner

 

2. Allgemeines zur Datenverarbeitung

2.1. Umfang der Verarbeitung personenbezogener Daten

Wir erheben und verwenden personenbezogene Daten unserer Kunden, insbesondere gesundheitsbezogene Daten, grundsätzlich nur, soweit dies im Rahmen unserer Tätigkeit als Apotheke erforderlich ist. Die Erhebung und Verwendung personenbezogener Daten unserer Kunden erfolgt regelmäßig nur auf der Grundlage einer gesetzlichen Ermächtigung, von Verträgen oder nach Einwilligung des Kunden.

2.2. Datenlöschung und Speicherdauer

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

3. Verarbeitungsprozesse

3.1. Rezeptabrechnung mit der GKV oder anderen Kostenträgern

Wenn Sie bei uns ein Rezept der gesetzlichen Krankenversicherung (GKV) oder eines anderen Kostenträgers einlösen, erheben und verarbeiten unsere Mitarbeiter die personenbezogenen Daten und Gesundheitsdaten auf ihrem Rezept (Name, Adresse, Geburtsdatum, Krankenkasse, Versichertennummer, Medikation, verordnender Arzt, bei Hilfsmittelrezepten die Indikation/Diagnose). Dazu übermitteln wir in analoger Form und digitaler und verschlüsselter Form die Rezeptdaten an ein von uns beauftragtes Rechenzentrum, welches ihre Daten und die Daten anderer Versicherter in der GKV und anderen Kostenträgern gebündelt an die jeweiligen gesetzlichen Krankassen oder anderen Kostenträger zum Zwecke der Rezeptabrechnung weitergibt. Zugriff auf diese Daten haben daher unsere Mitarbeiter und das Rechenzentrum.

Wir haben alle unsere Mitarbeiter und das Rechenzentrum zur Verschwiegenheit und zur Wahrung des Datengeheimnisses verpflichtet.

Wir verarbeiten Ihre Daten unter Einbindung eines Rechenzentrums im Rahmen der Rezeptabrechnung mit der GKV gemäß §§ 300, 302 SGB V. Wir löschen ihre Daten nach der Abrechnung mit der GKV oder anderen Kostenträgern.

Im Falle der Direktabrechnung mit der privaten Krankenversicherung (PKV) rechnen wir direkt mit Ihrer Krankenversicherung auf Grundlage vertraglicher Vereinbarungen mit der PKV ab. Eine Löschung erfolgt gem. § 147 AO.

3.2. Kundenkarten

Wir bieten Ihnen auf freiwilliger Basis eine Kundenkarte an. Auf der Kundenkarte werden auf Ihren Wunsch Ihr Name, Adresse, Geburtsdatum, Telefonnummer, Rezeptdaten, Medikationsplan, bei uns von Ihnen gekaufte Arzneimittel, Hilfsmittel, Kosmetik, Nahrungsergänzungsmittel und ähnliche Produkte (Gesundheitsdaten) gespeichert. Die Kundenkarte wird in unserer Hauptapotheke und den Filialapotheken gespeichert, damit Sie und unsere Mitarbeiter in jeder unserer Betriebsstätten Zugriff auf Ihre gespeicherten Daten haben und diese ergänzen können. Die Einwilligung zur Nutzung Ihrer Daten im Rahmen unserer Kundenkarte können Sie jederzeit und mit Wirkung für die Zukunft widerrufen. In diesem Fall löschen wir ihre Daten mit Zugang Ihrer Widerrufserklärung. Sollten Sie länger als drei Jahre keine Medikamente oder Hilfsmittel aus unserer Apotheke und ihren Betriebsstätten bezogen haben, löschen wir Ihre personenbezogenen Daten.

3.3. Medikationsanalyse und Medikationsmanagement

Wir bieten Ihnen als gesonderte Dienstleistung oder im Rahmen unserer Kundenkarte eine Medikationsanalyse oder Medikationsmanagement an. Für eine erfolgreiche und effektive Analyse und Management werden Ihr Name, Geburtsdatum, Adresse sowie Daten mit Gesundheitsbezug (Krankenkasse, Versichertennummer, verordnender Arzt, Arzneimittel und Hilfsmittel, Indikationen und Diagnosen, Rezepte durch unser Apothekenpersonal verarbeitet und für einen Zeitraum von 3 Jahren gespeichert. Wir verarbeiten diese Daten auf Grundlage eines Vertrages mit Ihnen. Auf diese Daten hat nur unser Apothekenpersonal Zugriff und nur auf Ihren Wunsch leiten wir die Daten an ihren behandelnden Arzt oder andere Dritte weiter.

3.4. Dokumentationspflichten

Im Rahmen unserer pharmazeutischen Tätigkeit obliegen uns gesetzliche Dokumentationspflichten, wodurch wir Ihren Namen, Geburtsdatum, Adresse sowie Daten mit Gesundheitsbezug (Krankenkasse, Versichertennummer, verordnender Arzt, Arzneimittel und Hilfsmittel, Indikationen und Diagnosen, Rezepte) verarbeiten und speichern. Dies ist z.B. der Fall bei der Rezepturherstellung, bei der Abgabe von Betäubungsmitteln.

Auf diese Daten haben unsere Mitarbeiter und im Falle von Kontrollen die jeweilige Aufsichtsbehörde Zugriff.

3.5. Datenübermittlung oder Zugriff Dritter

Im Rahmen unserer Tätigkeit als Apotheke sind auch wir auf externe Hilfe wie IT-Dienstleister zur Bereitstellung und Wartung unserer Hard- und Software oder sonstiger Servicekräfte angewiesen. Im Rahmen dieser Einbindung können unseren externen Dienstleistern auch personenbezogene Daten bekannt werden, daher verpflichten wir unsere externen Dienstleister zur Verschwiegenheit und zur Wahrung des Datengeheimnisses und begrenzen ihre Zugriffsmöglichkeiten auf personenbezogene Daten auf ein Minimum. Auch Aufsichtsbehörden kontrollieren Apotheken regelmäßig und haben dabei Zugriff auf personenbezogene Daten und Gesundheitsdaten.

4. Kontaktaufnahme

Wenn Sie mit uns per E-Mail Kontakt aufnehmen, werden die von Ihnen an uns übermittelten personenbezogenen Daten verarbeitet und gespeichert.
Hierbei handelt es sich um folgende Daten: E-Mailadresse ggf. Name, Vorname, Telefonnummer, Fax, individueller Inhalt der E-Mail.
Zusätzlich erfassen wir den Zeitpunkt des E-Mail Eingangs.
Eine Weitergabe dieser Daten an Dritte erfolgt nicht. Die Daten werden ausschließlich zur Beantwortung Ihrer Fragen verwendet.

Stammdaten aller Kunden werden spätestens mit Ablauf des dritten auf die Beendigung des Vertragsverhältnisses folgenden Kalenderjahres gelöscht, sofern der Löschung nicht besondere Gründe entgegenstehen. Die Löschung von Stamm-, Abrechnungs- und sonstigen Daten kann weiterhin unterbleiben, sofern gesetzliche Regelungen dieses vorsehen oder die Verfolgung von Ansprüchen dies erfordert. So werden Buchführungs- und Rechnungsdaten generell im Rahmen der gesetzlichen aufbewahrungspflichten über bis zu 10 Jahre hinweg archiviert.

5. Log-Daten & Coockies beim Besuch der Website www.nikolai-apotheke.com

Beim Besuch unserer Webseite und bei der Nutzung unserer Dienste übermittelt das Gerät, mit dem Sie die Seite aufrufen, automatisch Log-Daten (Verbindungsdaten) an unsere Server. Das ist der Fall, wenn Sie unsere Webpräsenz aufrufen. Beim Besuch unserer Webseite werden folgende Daten in dem Webserverlogfile gespeichert:

  • IP-Adresse
  • Datum und Uhrzeit der Anfrage
  • Zeitzonendifferenz zu GMT
  • Inhalt der Webseite Zugriffsstatus (HTTP-Status)
  • übertragene Datenmenge
  • Website, von der Sie auf unsere Website gelangt sind
  • Webbrowser
  • Betriebssystem
  • Sprache und Version des Browsers

 

Eine Speicherung der o. g. Daten zusammen mit anderen personenbezogenen Daten findet ausdrücklich nicht statt. Die Erhebung und Speicherung der zuvor genannten Daten ist notwendig, um die Funktionsfähigkeit und Sicherheit unserer informationstechnischen Systeme zu gewährleisten. In diesem Zweck liegt unser berechtigtes Interesse an der Datenverarbeitung. Hierzu besteht keine Widerspruchsmöglichkeit. Eine weiterführende Auswertung dieser Daten zu Marketingzwecken findet nicht statt.

Die Website www.nikolai-apotheke.com setzt keine Coockies ein.

6. Daten, die bei der Nutzung der "meine Apotheke" App gespeichert werden

A. App ist nicht bei einer Apotheke registriert

In diesem Fall ist PHARMATECHNIK datenschutzrechtlich Verantwortlicher für die Verarbeitung von Daten auf den Connect-Servern. PHARMATECHNIK speichert in diesem Fall überhaupt keine personenbezogenen Daten. Es werden ausschließlich technische Daten wie die IP-Adresse des Mobiltelefons kurzzeitig (i.d.R. im Sekundenbereich) während der Abwicklung der Geschäftsvorfälle abgelegt.

B. App ist bei einer Apotheke registriert

In diesem Fall ist die Apotheke datenschutzrechtlich Verantwortlicher. PHARMATECHNIK betreibt den Connect-Server im Auftrag der Apotheke und ist daher Unterauftragsverarbeiter; ein AV-Vertrag zwischen Apotheke und PHARMATECHNIK liegt jeweils vor.

Die Daten, die bei Benutzung der App entstehen oder eingegeben werden, werden hierbei in der Regel am Connect-Server der Apotheke abgespeichert.

Folgende personenbezogenen Daten werden dabei übertragen:

- Wenn der Kunde durch den Apotheker oder die Apothekerin direkt im Apothekensystem als „Meine-Apotheke-App-Kunde“ angelegt wird, werden bei einer Anmeldung an der App vom Apothekensystem folgende personenbezogenen Daten über den Connect-Server an die App übertragen:

  • Name und Vorname
  • Adresse
  • Kundenkartennummer
  • Versichertennummer
  • Telefonnummer (sofern diese der Apotheke bekannt sind)
  • Gesammelte Bonuspunkte und ggf. Gegenwert in Euro (optional)
  • Geschlecht M/W/D
  • Medikationsplan (falls Medikationsmanagement durch die Apotheke)

- Bei einer Online-Registrierung übermittelt die App folgende vom Anwender eingegebenen Daten an den Connect-Server:

  • Name
  • Vorname
  • Adresse
  • E-Mail-Adresse
  • Telefonnummer
  • Geburtsdatum sowie
  • das gewählten Passwort (Übertragung via verschlüsselter Verbindung an die Apotheke → erhält eine Teilnehmernummer als Rückantwort)

- Im Rahmen der Kommunikation für die Geschäftsvorfälle:

  • Alle vom Anwender eingegebenen Daten werden an den Connect-Server übermittelt.
  • Erlaubt der Anwender Push-Mitteilungen, wird ein zeitlich begrenztes Device-Token über die App an den Connect-Server übermittelt. Das Device-Token erlaubt es, Push Mitteilungen an die App über den Google-Firebase-Dienst oder den Apple-Push-Notification-Service über deren Server zu senden.
  • Information zum Betriebssystem des Mobilgeräts, Android- oder iOS-Betriebssystem sowie die verwendete Betriebssystem-Version.
  • Login-Daten zur Authentifizierung des App-Kunden gegenüber dem Connect-Server.

- Bei jedem Öffnen der App werden folgende Informationen abgerufen:

  • Bestellhistorie
  • Mitteilungen von der Apotheke
  • Änderungen am Medikationsplan und den Kundendaten (geändert auf Apothekenseite)o Bestellhistorie und Mitteilungen werden anschließend in regelmäßigen Zeitintervallen während die App aktiv ist aktualisiert

Wie werden die Datenübertragungen gesichert?

Der Datenverkehr zwischen allen Systemen erfolgt ausschließlich über https mit TLS-Verschlüsselung.

Welche technischen Zugriffsberechtigungen auf dem Smartphone/Tablet benötigt die App?

Android-Version der App:

  • android.permission.ACCESS_COARSE_LOCATION Erlaubt der App die Nutzung von WIFI- und Mobilfunkzellendaten zur Bestimmung des Standortes.
  • android.permission.ACCESS_FINE_LOCATION Ermöglicht der App einen möglichst genauen Standort über die verfügbaren Standortanbieter zu bestimmen. Ggf. werden auch die Daten des Global Positioning Systems (GPS) verwendet.
  • android.permission.ACCESS_WIFI_STATE Zur Prüfung, ob die App per WLAN verbunden ist.
  • android.permission.CAMERA - Zugriff muss vom Anwender erlaubt werdenfür das Scannen des Anmeldecodes, das Scannen von Packungs-Barcodes, das Fotografieren von Rezepten und das Hinterlegen von eigenen Artikelbildern
  • android.permission.INTERNET Erlaubt der App die Kommunikation mit der Connect-Instanz über das Internet.
  • android.permission.RECEIVE_BOOT_COMPLETED Erlaubt es der App festzustellen, ob das Gerät neu gestartet wurde. Dies ist notwendig, da Einnahmehinweise nach einem Neustart im Android Alarm-Manager erneut registriert werden müssen.
  • android.permission.RECORD_AUDIO Wird von der App für die Spracherkennung benötigt.
  • android.permission.VIBRATE Vibrieren beim Empfang von Push-Mitteilungen.
  • com.google.android.c2dm.permission.RECEIVE Erlaubt der App Push-Mitteilungen zu empfangen.

iOS-Version der App:

  • Kamera (Zugriff muss vom Anwender erlaubt werden) für: Scannen des Anmeldecodes, Scannen von Packungs-Barcodes, Fotografieren von Rezepten, Hinterlegen von eigenen Artikelbildern.
  • Standort (Zugriff muss vom Anwender erlaubt werden) für: Suche nach Apotheken und Notdienst-Apotheken über den Apothekenfinder, Suche nach App- oder Kontakt-Apotheken.
  • Mikrofon (Zugriff muss vom Anwender erlaubt werden) für: Für die Suche per Spracheingabe.
  • Spracherkennung (Zugriff muss vom Anwender erlaubt werden): Der folgende Hinweis wird angezeigt. „Meine Apotheke möchte auf die Spracherkennung zugreifen. Sprachdaten von dieser App werden an Apple gesendet, um deine Anfragen zu verarbeiten. Außerdem werden sie verwendet, um Apple beim Verbessern der Spracherkennungstechnologie zu unterstützen. Spracherkennung ermöglicht eine schnellere Suche.“
  • Push-Mitteilungen: Bei iOS kann der Anwender Push-Mitteilungen beim ersten Start der App erlauben oder ablehnen. Zu einem späteren Zeitpunkt kann die Einstellung über die iOS-Einstellungen geändert werden.

Wo werden welche Daten gespeichert?

  • Bestellungen: Am Connect-Server der Apotheke
  • aktueller Warenkorb: in der App
  • Fotorezepte (vom Anwender festlegbare Dauer): in der App.
  • Tagebücher: in der App.
  • Bei Medikationsmanagement (MM) durch die Apotheke in der App. (für Einnahmehinweise) sowie am Connect-Server der Apotheke.
  • falls der Einnahmeplan durch den App-Anwender gepflegt wird: in der App.
  • Vom Anwender hinterlegte Notfallkontakte, Allergien und Erkrankungen werden ausschließlich in der App gespeichert.
  • Kassenbons: werden mit AES256 mit lokalen Schlüsseln anonymisiert, sodass sie keine personenbezogenen Daten darstellen und nicht unter die DSGVO fallen.

Wie werden die Daten gesichert/verschlüsselt?

Sämtliche personenbezogenen Daten am Connect-Server sind AES256 verschlüsselt.

Die App läuft am Mobiltelefon in einer geschützten, abgeschlossenen Umgebung, einer sogenannten Sandbox. Diese Sandbox bietet zum einen Schutz nach innen, dadurch sind die Benutzerdaten der App vor einem Fremdzugriff geschützt und zum anderen stellt die Sandbox-Technologie den Schutz nach außen sicher. Dieser verhindert, dass die App auf andere Benutzerdaten oder Systemdienste zugreifen kann. Für bestimmte Funktionalitäten wie Datenaustausch und Kommunikation wird die Sandbox mit Hilfe von Berechtigungen (auch Permissions genannt) nach außen hin geöffnet.

Wie sieht das Löschkonzept aus?

  • iOS: Der Anwender kann die App-Daten bei iOS durch Löschen der App entfernen.
  • Android: Der Anwender kann die App-Daten bei Android durch Löschen der App entfernen oder das Löschen der App-Daten ohne Löschen der App durchführen.
  • Fotos von Rezepten: Fotos von Rezepten werden von der App spätestens nach 180 Tagen automatisch gelöscht. Die Vorhaltedauer kann durch den App-Anwender in der App auch herabgesetzt werden.

Werden anonymisierte Daten zu Analyse-Zwecke erhoben? Wenn ja, von wem?

Es werden im Rahmen des Auslastungs-Monitoring die Anzahl der getätigten Bestellungen durch Pharmatechnik überwacht. Google und Apple können Absturzberichte an Pharmatechnik übermitteln, wenn der Anwender der Übermittlung von Diagnosedaten auf seinem Smartphone zugestimmt hat.

Welche externen Unternehmen sind im Rahmen der App Anwendungen eingebunden?

Für die Entwicklung und die Bereitstellung der App werden die Technologie-Plattformen von

  • Google (Android)
  • Apple (iOS)
  • Qt (Entwicklungsplattform)

verwendet.

Werden Daten an externe Unternehmen weitergegeben?

Nein.

6. IHRE RECHTE ALS KUNDE

6.1. Recht auf Auskunft

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 DSGVO im einzelnen aufgeführten Informationen.

6.2. Recht auf Berichtigung

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten und ggf. die Vervollständigung unvollständiger personenbezogener Daten zu verlangen (Art. 16 DSGVO).

6.3. Recht auf Löschung und Einschränkung der Verarbeitung

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 DSGVO im einzelnen aufgeführten Gründe zutrifft, z. B. wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden. Im Falle gesetzlicher Dokumentations- oder Aufbewahrungspflichten besteht kein Recht auf Löschung bis zum Ende der gesetzlichen Fristen.

Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO aufgeführten Voraussetzungen gegeben ist, z. B. wenn die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat, für die Dauer der Prüfung durch den Verantwortlichen.

6.4. Recht auf Unterrichtung

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.

6.5. Widerspruch

Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen. Der Verantwortliche verarbeitet die personenbezogenen Daten dann nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 21 DSGVO).

6.6. Recht auf Datenübertragbarkeit

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

(1) die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO beruht und

(2) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.

Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

6.7. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

6.8. Recht auf Beschwerde bei der Aufsichtsbehörde

Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO). Die betroffene Person kann dieses Recht bei der Aufsichtsbehörde in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend zu machen.

Kontaktdaten: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Darüber hinaus haben Sie die Möglichkeit, sich an die Aufsichtsbehörde an ihrem gewöhnlichen Aufenthaltsort (Wohnort) zu wenden.