(Stand: 16. Dezember 2025)
Die Datenschutzerklärung der Webseite finden Sie hier.
Hinweis: Im Interesse eines ungestörten Leseflusses wird nachfolgend auf eine gendergerechte Schreibweise verzichtet. Soweit bei personenbezogenen Bezeichnungen nur der generische Maskulin angeführt wird, sind Männer, Frauen und dritte Geschlechter in gleicher Weise gemeint.
Die ApoPortal-App (im Folgenden die „App“) verpflichtet sich, den Schutz Ihrer Privatsphäre zu gewährleisten. Diese Datenschutzerklärung erklärt, welche Daten die GEDISA erhebt, verwendet und schützt (verarbeitet).
Zur Installation der App muss der Nutzer ggf. zuvor bei einem App Store-Anbieter (z. B. Apple, Google) eine Vereinbarung über den Zugang zu dem jeweiligen App Store abschließen. Die GEDISA ist nicht Vertragspartnerin dieser Vereinbarung und hat keinen Einfluss auf die Datenverarbeitung beim App Store-Anbieter.
Die folgenden Hinweise geben einen Überblick darüber, was mit den personenbezogenen Nutzerdaten passiert, wenn die App genutzt wird. Personenbezogene Daten sind alle Daten, mit denen der Nutzer persönlich identifiziert werden kann.
Verantwortliche für Datenverarbeitungen ist:
GEDISA - Gesellschaft für digitale Services der Apotheken mbHUnsere Datenschutzbeauftragte steht Ihnen gerne für Auskünfte oder Anregungen zum Thema Datenschutz zur Verfügung:
Rechtsanwältin Patricia KühnelBei der Nutzung der App erhebt und verarbeitet die GEDISA in der App verschiedene Daten, wie nachfolgend entlang der Nutzungsweise der App erklärt wird.
Bestimmte Informationen werden bereits automatisch verarbeitet, sobald die App verwendet wird. Welche personenbezogenen Daten verarbeitet werden, ist im Folgenden für Sie aufgeführt.
Beim Download der App werden bestimmte erforderliche Informationen an den ausgewählten App Store (Apple App Store, Google Play Store) übermittelt, insbesondere können dabei der Nutzername, die E-Mail-Adresse, die Kundennummer des Nutzer-Accounts, der Zeitpunkt des Downloads, Zahlungsinformationen sowie die individuelle Gerätekennziffer verarbeitet werden. Die Verarbeitung dieser Daten erfolgt ausschließlich durch den jeweiligen App Store und liegt außerhalb des Einflussbereiches der GEDISA.
Bei Nutzung der App werden gewisse erforderliche Daten erhoben. Dazu gehören:
Dies dient dazu, dem Nutzer die Funktionen der App bereitzustellen, App-Funktionen und -Merkmale zu optimieren und Missbrauch und Fehlfunktionen zu verhindern bzw. zu beheben.
Die Datenverarbeitung ist gemäß Art. 6 Abs. 1 lit. b DSGVO gerechtfertigt, da sie zur Vertragserfüllung mit dem App-Nutzer erforderlich ist. Zudem hat die GEDISA ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO an der Sicherstellung der App-Funktionalität und einem bedarfsgerechten Service.
Um die ApoPortal-App nutzen zu können, muss der Nutzer sich zuvor im GEDISA-Anmeldeportal registriert haben.
Bei der Anmeldung werden personenbezogene Daten erfasst, um die Nutzer-Identität zu verifizieren und dem Nutzer den Zugang zur App zu ermöglichen. Die GEDISA weist darauf hin, dass die Datenschutzerklärung sowie die Nutzungsbedingungen des ApothekenPortals gelten und die Nutzerdaten gemäß diesen Bestimmungen behandelt werden.
Für die Registrierung und Authentifizierung nutzt die GEDISA einen Identity Provider (IDP), der von der Firma Research Industrial Systems Engineering (RISE) GmbH betrieben wird. In diesem Prozess werden die persönlichen Nutzerdaten wie der Name, die E-Mail-Adresse, das Passwort und andere im Registrierungsprozess angegebene Informationen erfasst. Die Datenverarbeitung findet an den Standorten der Firma RISE GmbH in München, Hof und Nürnberg statt. Die GEDISA hat mit der Firma RISE GmbH eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO abgeschlossen, um sicherzustellen, dass die Nutzerdaten in Übereinstimmung mit den datenschutzrechtlichen Bestimmungen verarbeitet werden. Weitere Informationen zur RISE GmbH finden Sie im Abschnitt „Drittanbieter-Dienste“.
Der Zweck des QR-Code-Scanners in ApoPortal besteht darin, den Zugriff auf den Chat im ApothekenPortal zu erleichtern und eine reibungslose Kommunikation zwischen den Apothekern und Kunden zu ermöglichen, indem der QR-Code als Authentifizierungsmethode verwendet wird. Dies verbessert die Benutzerfreundlichkeit und ermöglicht einen effizienten Austausch von Informationen und Kommunikation innerhalb des Apothekenteams.
Die ApoPortal-App verwendet den QR-Code-Scanner, der das Google ML Kit für die Bilderkennung und -verarbeitung nutzt. Bitte beachten Sie, dass der gescannte QR-Code keine personenbezogenen Daten enthält, sondern lediglich einen sicheren Schlüsselaustausch zwischen dem mobilen Gerät und dem Chat im Portal ermöglicht.
Die Informationen im QR-Code dienen ausschließlich der Authentifizierung und Gewährleistung eines sicheren Zugriffs auf den Chat im ApothekenPortal. Um den QR-Code auch unter ungünstigsten Bedingungen erkennen zu können (bspw. schlechte Lichtverhältnisse oder Kameraauflösung), nutzt die App mit der Zustimmung des Nutzers eine spezielle Schnittstelle (Barcode Scanning API von Google ML Kit). Das Kamerabild wird ausschließlich im Gerät des Nutzers analysiert. Google behält sich allerdings vor bestimmte Nutzungs- und Gerätedaten innerhalb des Betriebssystems zu protokollieren und zur Weiterentwicklung der Schnittstelle an Google-Server zu übermitteln:
Die GEDISA hat mit der Firma Google eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO abgeschlossen, um sicherzustellen, dass die Nutzerdaten in Übereinstimmung mit den datenschutzrechtlichen Bestimmungen verarbeitet werden. Weitere Informationen zu Google finden Sie im Abschnitt „Drittanbieter-Dienste“.
In der ApoPortal-App bietet die GEDISA registrierten Nutzern eine sichere Chat-Funktion, die auf dem Matrix-Protokoll basiert. Dieses Protokoll ermöglicht eine Ende-zu-Ende-Verschlüsselung, was bedeutet, dass nur Sie und Ihr Gesprächspartner den Inhalt der Nachrichten lesen können. Selbst die GEDISA als Anbieter der ApoPortal-App hat keinen Zugang zu diesen Nachrichten.
Die Server, die die Chat-Daten des Nutzers verarbeiten und speichern, werden von der Famedly GmbH betrieben, einem spezialisierten Dienstleister mit Sitz in Berlin. Mit Famedly hat die GEDISA eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen, die sicherstellt, dass die Nutzerdaten in Übereinstimmung mit den datenschutzrechtlichen Vorgaben behandelt und sicher aufbewahrt werden. Famedly hat keinen Zugang zum Inhalt der verschlüsselten Chats des Nutzers. Weitere Informationen zur Famedly GmbH finden Sie im Abschnitt „Drittanbieter-Dienste“.
Die Funktion der Terminverwaltung in der ApoPortal-App ist für die Nutzer verfügbar, die die Funktion zur Terminverwaltung im ApothekenPortal aktiviert haben. Eine Nutzung dieser Funktion setzt die Aktivierung der Terminverwaltungsfunktion im ApothekenPortal voraus. Im Rahmen der Terminverwaltung übermittelt die GEDISA bestimmte personenbezogene Daten, wie den gewünschten Termin, die Art der Dienstleistung, den Nutzernamen und seine E-Mail-Adresse die APOMONDO GmbH, mit Sitz in Fürth, Deutschland.
APOMONDO speichert vergangene Termine für einen Zeitraum von 2 Wochen in der Datenbank. Nach Ablauf dieses Zeitraums werden die Termine inaktiv gesetzt und sind für Apotheker und Kunden nicht mehr sichtbar. Anschließend erfolgt noch eine Sicherungskopie der Daten, die ebenfalls für einen Zeitraum von 2 Wochen aufbewahrt wird. Insgesamt werden vergangene Termine somit für einen Zeitraum von 4 Wochen gespeichert. Nach Ablauf dieser Fristen werden die Daten endgültig gelöscht und sind nicht mehr abrufbar.
Mit der APOMONDO GmbH hat die GEDISA eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO abgeschlossen, die sicherstellt, dass die Nutzerdaten in Übereinstimmung mit den Datenschutzgesetzen verarbeitet werden. Weitere Informationen zur APOMONDO GmbH finden Sie im Abschnitt „Drittanbieter-Dienste“.
Für die Datenübermittlung von Benachrichtigungen zu Terminbuchungen und Chats verwendet die GEDISA Firebase Cloud Messaging, einen Dienst von Google. Wenn der registrierte Nutzer sich dafür entscheidet, Push-Benachrichtigungen in der ApoPortal-App zu aktivieren, wird der Gerätetoken, eine einzigartige Identifikation des Geräts, für das Firebase Cloud Messaging an die APOMONDO GmbH (Terminbuchung) bzw. die Famedly (Chat) übermittelt. Dadurch können dem Nutzer Benachrichtigungen zu Terminbuchungen und Chat-Nachrichten gesendet werden.
Push-Benachrichtigungen für Terminbuchungen enthalten die folgenden Informationen:
Push-Benachrichtigungen für Chat-Nachrichten enthalten die folgenden Informationen:
Die eigentlichen Chat-Inhalte sind nicht in der Push-Benachrichtigung enthalten, sondern werden ausschließlich innerhalb des Chat-Systems verarbeitet.
Diese Informationen ermöglichen es der GEDISA, dem Nutzer gezielt relevante Benachrichtigungen zu senden, die auf seine spezifischen Buchungen und Nachrichten zugeschnitten sind. Die GEDISA verwendet den Gerätetoken des Nutzers und die anderen bereitgestellten Informationen ausschließlich zum Zweck der Bereitstellung dieser Benachrichtigungen. Der Gerätetoken wird nur zum Senden von Benachrichtigungen verwendet und nicht mit anderen Informationen verknüpft, die die Identität des Nutzers preisgeben könnten. Der Gerätetoken gibt der GEDISA keine Informationen über das Gerät, die persönlichen Daten oder andere Anwendungen, die der Nutzer verwendet. Es dient ausschließlich dem Zweck, Benachrichtigungen an das Gerät des Nutzers zu senden.
Die Nutzung von Push-Benachrichtigungen ist optional. Sollte sich der Nutzer dazu entscheiden, Push-Benachrichtigungen zu deaktivieren oder sich aus der App abmelden, wird der Gerätetoken nicht länger verwendet und aus den Systemen der GEDISA entfernt. Bitte beachten Sie, dass die Benachrichtigungen standardmäßig deaktiviert sind und Sie sie in den Einstellungen der ApoPortal-App jederzeit aktivieren oder deaktivieren können.
Die GEDISA hat mit der Firma Google eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO abgeschlossen, um sicherzustellen, dass die Nutzerdaten in Übereinstimmung mit den datenschutzrechtlichen Bestimmungen verarbeitet werden. Weitere Informationen zu Google finden Sie im Abschnitt „Drittanbieter-Dienste“.
Wenn der Nutzer der GEDISA per Kontaktformular, E-Mail oder Telefon Anfragen zukommen lässt, werden die Angaben aus dem Anfrageformular, dem Telefonat bzw. der E-Mail inklusive der vom Nutzer dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei der GEDISA gespeichert.
Die Bearbeitung der Nutzeranfrage wird durch einen Dienstleister der GEDISA über ein Ticketsystem realisiert. Die Nutzerdaten werden nach abschließender Bearbeitung nach spätestens 18 Monaten gelöscht, sofern keine anderen gesetzlichen Aufbewahrungspflichten entgegenstehen. Rechtsgrundlage für die Verarbeitung der Daten ist das berechtigte Interesse der GEDISA an der Beantwortung des Anliegens des Nutzers gemäß Art. 6 Abs. 1 lit. f DSGVO sowie ggf. Art. 6 Abs. 1 lit. b DSGVO, sofern die Anfrage des Nutzers auf den Abschluss eines Vertrages abzielt.
Die GEDISA hat mit ihrem Dienstleister eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO geschlossen. Diese Vereinbarungen gewährleisten, dass die Nutzerdaten sicher und in Übereinstimmung mit den Datenschutzgesetzen verarbeitet werden. Weitere Informationen zu Dienstleistern finden Sie im Abschnitt „Drittanbieter-Dienste“.
Um die kontinuierliche Verfügbarkeit der angebotenen Services sicherzustellen sowie zur Fehlererkennung und -behebung (nachfolgend der "Zweck") werden bestimmte System- und Nutzungsdaten gesammelt. Diese Erhebung kann personenbezogene Nutzerdaten wie z.B. User-IDs, Gerätekennungen, IP-Adressen und Accountinformationen umfassen, sofern die Verarbeitung dieser Daten für die Erreichung des Zwecks erforderlich ist. Die Verarbeitung findet auf Basis unseres berechtigten Interesses an der Erreichung des Zwecks gemäß Art. 6 Abs. 1 lit. f DSGVO statt. Die Daten werden nicht für andere Zwecke verwendet.
Im Rahmen der Verarbeitung können Daten an externe Dienstleister der GEDISA ("Auftragsverarbeiter" im Sinne des Art. 28 DSGVO) übertragen werden, wenn dies für die Erreichung des Zwecks technisch erforderlich ist - z.B. im Kontext von Hosting. Die GEDISA hat mit diesen Dienstleistern Auftragsverarbeitungsverträge abgeschlossen und gibt Ihre hohen Datenschutz- und Sicherheitsstandards an Ihre Dienstleister weiter.
Eine vollautomatisierte Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 DSGVO findet nicht statt.
Die GEDISA speichert personenbezogene Daten nur so lange, wie es für die Zwecke erforderlich ist, für die sie sie erhoben hat. Nach Ablauf dieser Zwecke oder nach Beendigung des Vertragsverhältnisses werden die Nutzerdaten gelöscht oder anonymisiert, sofern sie nicht für die strafrechtliche Verfolgung, zur Sicherung, Geltendmachung oder Durchsetzung von Rechtsansprüchen oder aus rechtlichen Gründen länger aufbewahrt werden müssen. Die konkrete Speicherdauer personenbezogener Daten richtet sich danach, welche Funktionalitäten des Angebotes der GEDISA der Nutzer über die App nutzt.
Famedly speichert Chat-Inhalte für die erforderliche Dauer, um eine reibungslose Nutzung der App zu ermöglichen. Mit der Löschung des Nutzerkontos wird auch der Schlüssel zur Entschlüsselung der Chat-Inhalte dauerhaft gelöscht, die damit nicht mehr verfügbar sind.
Für die Terminbuchung speichert APOMONDO die Nutzerdaten für einen Zeitraum von maximal 4 Wochen. Nach Ablauf dieser Frist werden die Termindaten gelöscht.
Die Speicherdauer für die Nutzungsanalyse mit Sentry beträgt 90 Tage. Nach Ablauf dieses Zeitraums werden die Daten gelöscht.
RISE speichert die Nutzerdaten im Rahmen der Registrierung bis zur Löschung des Accounts durch den Nutzer.
Bei der Nutzung der ApoPortal-App können folgende Drittanbieter-Dienste zum Einsatz kommen:
Famedly GmbH betreibt die Server für den Ende-zu-Ende verschlüsselten Chat der GEDISA, der auf dem Matrix-Protokoll basiert. Diese Server werden von der Hetzner Online GmbH gehostet. Weitere Informationen über die Datenverarbeitung durch Famedly finden Sie hier: https://www.famedly.com/datenschutz.
Die GEDISA verwendet Firebase Cloud Messaging für das Senden von Push-Benachrichtigungen sowohl für die Terminbuchung als auch für den Chat. Google ML Kit wird von der GEDISA genutzt, um QR-Codes zu scannen. Weitere Informationen über die Datenverarbeitung durch Google finden Sie in der Datenschutzerklärung von Google: https://www.google.com/policies/privacy/.
Hetzner hostet die Server für den verschlüsselten Chat der GEDISA sowie bis Februar 2024 das Analysetool Sentry.
RISE betreibt den Identity Provider (IDP) für die Registrierung und Anmeldung des Nutzers.
Die DVG betreibt betreut den Service Desk für die Beantwortung von Kundenanfragen.
Die GEDISA behält sich das Recht vor, diese Datenschutzerklärung von Zeit zu Zeit nach ihrem alleinigen Ermessen zu ändern oder zu aktualisieren. Sollte sie Änderungen an dieser Datenschutzerklärung vornehmen, wird sie Sie darüber informieren, indem sie die geänderte Datenschutzerklärung in der ApoPortal-App veröffentlicht und/oder den Nutzer per E-Mail oder auf andere Weise über die Änderungen informiert. Wenn der Nutzer mit der geänderten Datenschutzerklärung nicht einverstanden ist, muss er die Nutzung der App einstellen.
Als betroffene Person haben Sie das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung unrichtiger Daten (Art. 16 DSGVO) oder auf Löschung, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt, z. B., wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden. Es besteht zudem das Recht auf Einschränkung der Verarbeitung, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen vorliegt und in den Fällen des Art. 20 DSGVO das Recht auf Datenübertragbarkeit.
Sofern die Verarbeitung von Daten auf Grundlage Ihrer Einwilligung erfolgt, sind Sie nach Art. 7 DSGVO berechtigt, die Einwilligung in die Verwendung Ihrer personenbezogenen Daten jederzeit zu widerrufen. Ein Widerruf berührt die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht.
Jede betroffene Person hat zudem das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden Daten gegen datenschutzrechtliche Bestimmungen verstößt (Art. 77 DSGVO).
Der Schutz Ihrer Daten ist der GEDISA wichtig! Setzen Sie sich bei Fragen zum Datenschutz oder zu Ihren Betroffenenrechten im Zusammenhang mit der Datenverarbeitung mittels dieser App jederzeit gern direkt unter datenschutzbeauftragte@gedisa.de mit der GEDISA in Verbindung.
