(Stand: 1. Februar 2024)
Hinweis: Im Interesse eines ungestörten Leseflusses wird nachfolgend auf
eine gendergerechte Schreibweise verzichtet. Soweit bei personenbezogenen Bezeichnungen nur der generische Maskulin angeführt wird, sind Männer, Frauen und dritte Geschlechter in gleicher Weise gemeint.Die ApoPortal-App (im Folgenden die „App“) verpflichtet sich, den Schutz Ihrer Privatsphäre zu gewährleisten. Diese Datenschutzerklärung erklärt, welche Daten die GEDISA erhebt, verwendet und schützt (verarbeitet).
Im Rahmen der inhaltlichen Weiterentwicklung und kontinuierlichen Optimierung unserer Apotheken-App haben wir uns dazu entschieden, die mobile Anwendung ApoConnect in "ApoPortal App" umzubenennen. Wir wollen dadurch den Zusammenhang mit dem GEDISA ApothekenPortal stärker herausstellen und deutlich machen, dass der Funktionsumfang der App inzwischen weit über das Unterstützen des Chats im GEDISA ApothekenPortal hinausgeht. Die ApoPortal App soll zukünftig zur mobilen Version des GEDISA ApothekenPortals ausgebaut werden und die Apotheken noch leichter und schneller in ihrem Arbeitsalltag unterstützen.
Die vorliegende Datenschutzerklärung ersetzt daher alle vorhergehenden Datenschutzerklärungen, die sich auf ApoConnect bezogen haben.
Zur Installation der App muss der Nutzer ggf. zuvor bei einem App Store-Anbieter (z. B. Apple, Google) eine Vereinbarung über den Zugang zu dem jeweiligen App Store abschließen. Die GEDISA ist nicht Vertragspartnerin dieser Vereinbarung und hat keinen Einfluss auf die Datenverarbeitung beim App Store-Anbieter.
Die folgenden Hinweise geben einen Überblick darüber, was mit den personenbezogenen Nutzerdaten passiert, wenn die App genutzt wird. Personenbezogene Daten sind alle Daten, mit denen der Nutzer persönlich identifiziert werden kann.
Verantwortliche für Datenverarbeitungen ist:
GEDISA - Gesellschaft für digitale Services der Apotheken mbHUnsere Datenschutzbeauftragte steht Ihnen gerne für Auskünfte oder Anregungen zum Thema Datenschutz zur Verfügung:
Rechtsanwältin Patricia KühnelBei der Nutzung der App erhebt und verarbeitet die GEDISA in der App verschiedene Daten, wie nachfolgend entlang der Nutzungsweise der App erklärt wird.
Bestimmte Informationen werden bereits automatisch verarbeitet, sobald die App verwendet wird. Welche personenbezogenen Daten verarbeitet werden, ist im Folgenden für Sie aufgeführt.
Beim Download der App werden bestimmte erforderliche Informationen an den ausgewählten App Store (Apple App Store, Google Play Store) übermittelt, insbesondere können dabei der Nutzername, die E-Mail-Adresse, die Kundennummer des Nutzer-Accounts, der Zeitpunkt des Downloads, Zahlungsinformationen sowie die individuelle Gerätekennziffer verarbeitet werden. Die Verarbeitung dieser Daten erfolgt ausschließlich durch den jeweiligen App Store und liegt außerhalb des Einflussbereiches der GEDISA.
Für die adäquate Nutzung der App werden gewisse erforderliche Daten erhoben. Dazu gehören:
Dies dient dazu, dem Nutzer die Funktionen der App bereitzustellen, App-Funktionen und -Merkmale zu optimieren und Missbrauch und Fehlfunktionen zu verhindern bzw. zu beheben.
Die Datenverarbeitung ist gemäß Art. 6 Abs. 1 lit. b DSGVO gerechtfertigt, da sie zur Vertragserfüllung mit dem App-Nutzer erforderlich ist. Zudem hat die GEDISA ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO an der Sicherstellung der App-Funktionalität und einem bedarfsgerechten Service.
Um die ApoPortal-App nutzen zu können, muss der Nutzer sich zuvor im GEDISA-Anmeldeportal registriert haben. Bitte beachten Sie, dass die Registrierung im GEDISA-Anmeldeportal erforderlich ist, um die App zu verwenden und auf deren Funktionen zugreifen zu können.
Bei der Anmeldung werden personenbezogene Daten erfasst, um die Nutzer-Identität zu verifizieren und dem Nutzer den Zugang zur App zu ermöglichen. Die GEDISA weist darauf hin, dass die Datenschutzerklärung sowie die Nutzungsbedingungen des Apothekenportals gelten und die Nutzerdaten gemäß diesen Bestimmungen behandelt werden.
Für die Registrierung und Authentifizierung nutzt die GEDISA einen Identity Provider (IDP), der von der Firma Research Industrial Systems Engineering (RISE) GmbH betrieben wird. In diesem Prozess werden die persönlichen Nutzerdaten wie der Name, die E-Mail-Adresse, das Passwort und andere im Registrierungsprozess angegebene Informationen erfasst. Die Datenverarbeitung findet an den Standorten der Firma RISE GmbH in München, Hof und Nürnberg statt. Die GEDISA hat mit der Firma RISE GmbH eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO abgeschlossen, um sicherzustellen, dass die Nutzerdaten in Übereinstimmung mit den datenschutzrechtlichen Bestimmungen verarbeitet werden. Weitere Informationen zur RISE GmbH finden Sie im Abschnitt „Drittanbieter-Dienste“.
Der Zweck des QR-Code-Scanners in ApoPortal besteht darin, den Zugriff auf den Chat im Apothekenportal zu erleichtern und eine reibungslose Kommunikation zwischen den Apothekern und Kunden zu ermöglichen, indem der QR-Code als Authentifizierungsmethode verwendet wird. Dies verbessert die Benutzerfreundlichkeit und ermöglicht einen effizienten Austausch von Informationen und Kommunikation innerhalb des Apothekenteams.
Die ApoPortal-App verwendet den QR-Code-Scanner, der das Google ML Kit für die Bilderkennung und -verarbeitung nutzt. Bitte beachten Sie, dass der gescannte QR-Code keine personenbezogenen Daten enthält, sondern lediglich einen sicheren Schlüsselaustausch zwischen dem mobilen Gerät und dem Chat im Portal ermöglicht.
Die Informationen im QR-Code dienen ausschließlich der Authentifizierung und Gewährleistung eines sicheren Zugriffs auf den Chat im Apothekenportal. Um den QR-Code auch unter ungünstigsten Bedingungen erkennen zu können (bspw. schlechte Lichtverhältnisse oder Kameraauflösung), nutzt die App mit der Zustimmung des Nutzers eine spezielle Schnittstelle (Barcode Scanning API von Google ML Kit). Das Kamerabild wird ausschließlich im Gerät des Nutzers analysiert. Google behält sich allerdings vor bestimmte Nutzungs- und Gerätedaten innerhalb des Betriebssystems zu protokollieren und zur Weiterentwicklung der Schnittstelle an Google-Server zu übermitteln:
Die GEDISA hat mit der Firma Google eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO abgeschlossen, um sicherzustellen, dass die Nutzerdaten in Übereinstimmung mit den datenschutzrechtlichen Bestimmungen verarbeitet werden. Weitere Informationen zu Google finden Sie im Abschnitt „Drittanbieter-Dienste“.
In der ApoPortal-App bietet die GEDISA registrierten Nutzern eine sichere Chat-Funktion, die auf dem Matrix-Protokoll basiert. Dieses Protokoll ermöglicht eine Ende-zu-Ende-Verschlüsselung, was bedeutet, dass nur Sie und Ihr Gesprächspartner den Inhalt der Nachrichten lesen können. Selbst die GEDISA als Anbieter der ApoPortal-App hat keinen Zugang zu diesen Nachrichten.
Die Server, die die Chat-Daten des Nutzers verarbeiten und speichern, werden von der Famedly GmbH betrieben, einem spezialisierten Dienstleister mit Sitz in Berlin. Mit Famedly hat die GEDISA eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen, die sicherstellt, dass die Nutzerdaten in Übereinstimmung mit den datenschutzrechtlichen Vorgaben behandelt und sicher aufbewahrt werden. Famedly hat keinen Zugang zum Inhalt der verschlüsselten Chats des Nutzers. Weitere Informationen zur Famedly GmbH finden Sie im Abschnitt „Drittanbieter-Dienste“.
Die Funktion der Terminverwaltung in der ApoPortal-App ist für die Nutzer verfügbar, die die Funktion zur Terminverwaltung im Apothekenportal aktiviert haben. Eine Nutzung dieser Funktion setzt die Aktivierung der Terminverwaltungsfunktion im Apothekenportal voraus. Im Rahmen der Terminverwaltung übermittelt die GEDISA bestimmte personenbezogene Daten, wie den gewünschten Termin, die Art der Dienstleistung, den Nutzernamen und seine E-Mail-Adresse die APOMONDO GmbH, mit Sitz in Fürth, Deutschland.
APOMONDO speichert vergangene Termine für einen Zeitraum von 2 Wochen in der Datenbank. Nach Ablauf dieses Zeitraums werden die Termine inaktiv gesetzt und sind für Apotheker und Kunden nicht mehr sichtbar. Anschließend erfolgt noch eine Sicherungskopie der Daten, die ebenfalls für einen Zeitraum von 2 Wochen aufbewahrt wird. Insgesamt werden vergangene Termine somit für einen Zeitraum von 4 Wochen gespeichert. Nach Ablauf dieser Fristen werden die Daten endgültig gelöscht und sind nicht mehr abrufbar.
Mit der APOMONDO GmbH hat die GEDISA eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO abgeschlossen, die sicherstellt, dass die Nutzerdaten in Übereinstimmung mit den Datenschutzgesetzen verarbeitet werden. Weitere Informationen zur APOMONDO GmbH finden Sie im Abschnitt „Drittanbieter-Dienste“.
Für die Datenübermittlung von Benachrichtigungen zu Terminbuchungen und Chats verwendet die GEDISA Firebase Cloud Messaging, einen Dienst von Google. Wenn der registrierte Nutzer sich dafür entscheidet, Push-Benachrichtigungen in der ApoPortal-App zu aktivieren, wird der Gerätetoken, eine einzigartige Identifikation des Geräts, für das Firebase Cloud Messaging an die APOMONDO GmbH (Terminbuchung) bzw. die Famedly (Chat) übermittelt. Dadurch können dem Nutzer Benachrichtigungen zu Terminbuchungen und Chat-Nachrichten gesendet werden.
Push-Benachrichtigungen für Terminbuchungen enthalten die folgenden Informationen:
Push-Benachrichtigungen für Chat-Nachrichten enthalten die folgenden Informationen:
Die eigentlichen Chat-Inhalte sind nicht in der Push-Benachrichtigung enthalten, sondern werden ausschließlich innerhalb des Chat-Systems verarbeitet.
Diese Informationen ermöglichen es der GEDISA, dem Nutzer gezielt relevante Benachrichtigungen zu senden, die auf seine spezifischen Buchungen und Nachrichten zugeschnitten sind. Die GEDISA verwendet den Gerätetoken des Nutzers und die anderen bereitgestellten Informationen ausschließlich zum Zweck der Bereitstellung dieser Benachrichtigungen. Der Gerätetoken wird nur zum Senden von Benachrichtigungen verwendet und nicht mit anderen Informationen verknüpft, die die Identität des Nutzers preisgeben könnten. Der Gerätetoken gibt der GEDISA keine Informationen über das Gerät, die persönlichen Daten oder andere Anwendungen, die der Nutzer verwendet. Es dient ausschließlich dem Zweck, Benachrichtigungen an das Gerät des Nutzers zu senden.
Die Nutzung von Push-Benachrichtigungen ist optional. Sollte sich der Nutzer dazu entscheiden, Push-Benachrichtigungen zu deaktivieren oder sich aus der App abmelden, wird der Gerätetoken nicht länger verwendet und aus den Systemen der GEDISA entfernt. Bitte beachten Sie, dass die Benachrichtigungen standardmäßig deaktiviert sind und Sie sie in den Einstellungen der ApoPortal-App jederzeit aktivieren oder deaktivieren können.
Die GEDISA hat mit der Firma Google eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO abgeschlossen, um sicherzustellen, dass die Nutzerdaten in Übereinstimmung mit den datenschutzrechtlichen Bestimmungen verarbeitet werden. Weitere Informationen zu Google finden Sie im Abschnitt „Drittanbieter-Dienste“.
Wenn der Nutzer der GEDISA per Kontaktformular, E-Mail oder Telefon Anfragen zukommen lässt, werden die Angaben aus dem Anfrageformular, dem Telefonat bzw. der E-Mail inklusive der vom Nutzer dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei der GEDISA gespeichert. Diese Daten gibt die GEDISA in keinem Fall ohne die Einwilligung des Nutzers weiter.
Die Bearbeitung der Nutzeranfrage wird durch die SMASER AG über ein Ticketsystem realisiert. Die Nutzerdaten werden nach abschließender Bearbeitung nach spätestens 18 Monaten gelöscht, sofern keine anderen gesetzlichen Aufbewahrungspflichten entgegenstehen. Rechtsgrundlage für die Verarbeitung der Daten ist das berechtigte Interesse der GEDISA an der Beantwortung des Anliegens des Nutzers gemäß Art. 6 Abs. 1 lit. f DSGVO sowie ggf. Art. 6 Abs. 1 lit. b DSGVO, sofern die Anfrage des Nutzers auf den Abschluss eines Vertrages abzielt.
Die GEDISA hat mit der SMASER AG eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO geschlossen. Diese Vereinbarungen gewährleisten, dass die Nutzerdaten sicher und in Übereinstimmung mit den Datenschutzgesetzen verarbeitet werden. Weitere Informationen zur SMASER AG finden Sie im Abschnitt „Drittanbieter-Dienste“.
In der ApoPortal-App bietet die GEDISA allen Nutzern eine optionale Nutzungsanalyse an. Wenn der Nutzer dieser Funktion zustimmt, erfasst ApoPortal, basierend auf seiner Einwilligung gemäß Art. 6 Abs. 1, S. 1 lit. a DSGVO Informationen über das Gerät des Nutzers und seine Nutzung der App. Beispiele für die gesammelten Informationen sind die Art und Version des Geräts, der Hersteller und das Betriebssystem, sowie die Art und der Umfang der Interaktionen mit den verschiedenen Funktionen der App.
Wichtig zu beachten ist, dass alle gesammelten Nutzungsdaten anonymisiert werden, was bedeutet, dass sie nicht mit der Identität des Nutzers verknüpft werden können. Sie werden sicher gespeichert und ausschließlich für die Verbesserung der App verwendet.
Die Analyse und Verarbeitung dieser Daten wird durch Sentry, ein Analysetool, ermöglicht, das von der Cyrano Kommunikation GmbH betrieben wird. Diese Server werden bei der Hetzner Online GmbH gehostet, einem renommierten Anbieter für Hosting-Dienstleistungen mit Sitz in Deutschland. Die GEDISA hat sowohl mit der Cyrano Kommunikation GmbH als auch mit der Hetzner Online GmbH Auftragsverarbeitungsvereinbarungen gemäß Art. 28 DSGVO geschlossen. Diese Vereinbarungen gewährleisten, dass die Nutzerdaten sicher und in Übereinstimmung mit den Datenschutzgesetzen verarbeitet werden.
Ab Januar 2024 wird Sentry durch die SMASER AG gehostet und betrieben werden. Die GEDISA hat auch mit der Firma SMASER AG eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO abgeschlossen, um sicherzustellen, dass die Nutzerdaten in Übereinstimmung mit den datenschutzrechtlichen Bestimmungen verarbeitet werden.
Wenn der Nutzer seine Zustimmung zur Nutzungsanalyse widerrufen möchte, kann er dies jederzeit tun, indem er die Funktion in den Einstellungen der ApoPortal-App deaktiviert. Wenn der Nutzer diese Funktion deaktiviert, werden keine weiteren Nutzungsdaten von seinem Gerät übertragen. Weitere Informationen zur Cyrano GmbH und der SMASER AG finden Sie im Abschnitt „Drittanbieter-Dienste“.
Eine vollautomatisierte Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 DSGVO findet nicht statt.
Die GEDISA speichert personenbezogene Daten nur so lange, wie es für die Zwecke erforderlich ist, für die sie sie erhoben hat. Nach Ablauf dieser Zwecke oder nach Beendigung des Vertragsverhältnisses werden die Nutzerdaten gelöscht oder anonymisiert, sofern sie nicht für die strafrechtliche Verfolgung, zur Sicherung, Geltendmachung oder Durchsetzung von Rechtsansprüchen oder aus rechtlichen Gründen länger aufbewahrt werden müssen. Die konkrete Speicherdauer personenbezogener Daten richtet sich danach, welche Funktionalitäten des Angebotes der GEDISA der Nutzer über die App nutzt.
Famedly speichert Chat-Inhalte für die erforderliche Dauer, um eine reibungslose Nutzung der App zu ermöglichen. Mit der Löschung des Nutzerkontos wird auch der Schlüssel zur Entschlüsselung der Chat-Inhalte dauerhaft gelöscht, die damit nicht mehr verfügbar sind.
Für die Terminbuchung speichert APOMONDO die Nutzerdaten für einen Zeitraum von maximal 4 Wochen. Nach Ablauf dieser Frist werden die Termindaten gelöscht.
Die Speicherdauer für die Nutzungsanalyse mit Sentry beträgt 90 Tage. Nach Ablauf dieses Zeitraums werden die Daten gelöscht.
RISE speichert die Nutzerdaten im Rahmen der Registrierung bis zur Löschung des Accounts durch den Nutzer.
Bei der Nutzung der ApoPortal-App können folgende Drittanbieter-Dienste zum Einsatz kommen:
Die Cyrano betreibt bis Februar 2024 Sentry, ein Analysetool für die Nutzungsanalyse der App.
Famedly GmbH betreibt die Server für den Ende-zu-Ende verschlüsselten Chat der GEDISA, der auf dem Matrix-Protokoll basiert. Diese Server werden von der Hetzner Online GmbH gehostet. Weitere Informationen über die Datenverarbeitung durch Famedly finden Sie hier: https://www.famedly.com/datenschutz.
Die GEDISA verwendet Firebase Cloud Messaging für das Senden von Push-Benachrichtigungen sowohl für die Terminbuchung als auch für den Chat. Google ML Kit wird von der GEDISA genutzt, um QR-Codes zu scannen. Weitere Informationen über die Datenverarbeitung durch Google finden Sie in der Datenschutzerklärung von Google: https://www.google.com/policies/privacy/.
Hetzner hostet die Server für den verschlüsselten Chat der GEDISA sowie bis Februar 2024 das Analysetool Sentry.
RISE betreibt den Identity Provider (IDP) für die Registrierung und Anmeldung des Nutzers.
Die SMASER betreibt ab Februar 2024 Sentry, ein Analysetool für die Nutzungsanalyse der App. Darüber hinaus betreut sie den Service Desk.
Die GEDISA behält sich das Recht vor, diese Datenschutzerklärung von Zeit zu Zeit nach ihrem alleinigen Ermessen zu ändern oder zu aktualisieren. Sollte sie Änderungen an dieser Datenschutzerklärung vornehmen, wird sie Sie darüber informieren, indem sie die geänderte Datenschutzerklärung in der ApoPortal-App veröffentlicht und/oder den Nutzer per E-Mail oder auf andere Weise über die Änderungen informiert. Wenn der Nutzer mit der geänderten Datenschutzerklärung nicht einverstanden ist, muss er die Nutzung der App einstellen.
Als betroffene Person haben Sie das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung unrichtiger Daten (Art. 16 DSGVO) oder auf Löschung, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt, z. B., wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden. Es besteht zudem das Recht auf Einschränkung der Verarbeitung, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen vorliegt und in den Fällen des Art. 20 DSGVO das Recht auf Datenübertragbarkeit.
Sofern die Verarbeitung von Daten auf Grundlage Ihrer Einwilligung erfolgt, sind Sie nach Art. 7 DSGVO berechtigt, die Einwilligung in die Verwendung Ihrer personenbezogenen Daten jederzeit zu widerrufen. Ein Widerruf berührt die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht.
Jede betroffene Person hat zudem das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt (Art. 77 DSGVO).
Der Schutz Ihrer Daten ist der GEDISA wichtig! Setzen Sie sich bei Fragen zum Datenschutz oder zu Ihren Betroffenenrechten im Zusammenhang mit der Datenverarbeitung mittels dieser App jederzeit gern direkt unter datenschutz@gedisa.de mit der GEDISA in Verbindung.
