Datenschutzerklärung für Sanacorp Webshop und Chat

Wir freuen uns sehr über Ihr Interesse an unseren Service-Angeboten. Der Schutz Ihrer personenbezogenen Daten hat einen besonders hohen Stellenwert für die Marien-Apotheke Dillingen. Daher möchten wir Ihnen die Nutzung Ihrer personenbezogenen Daten im Folgenden erklären.

Die Marien-Apotheke Dillingen nutzt zur Realisierung der Dienstleistungen "Webshop" und "Chat" die technische Plattform der Sanacorp Pharmahandel GmbH (nachfolgend "SANACORP" genannt). Auf die technische Ausgestaltung dieser Angebote hat die Marien-Apotheke absolut keinen Einfluss.

1. Begriffsbestimmungen

Unsere Datenschutzerklärung verwendet die Begriffe, die beim Erlass der Datenschutz-Grundverordnung (DS-GVO) verwendet wurden und soll damit sowohl für die Öffentlichkeit sowie unsere Kunden und Partner einfach lesbar und verständlich sein. Daher möchten wir die verwendeten Begrifflichkeiten kurz erläutern:

a) Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die zu einer Identifikation einer natürlichen Person (im Folgenden "Betroffener" oder "betroffene Person" genannt) führen oder dazu beitragen können. Dazu gehören Daten wie z. B. Name, Adresse, Telefon- oder Kennnummer, Standortdaten, Online-Kennung oder aber besondere Merkmale, die Kennzeichen für die physische, psychische, wirtschaftliche, kulturelle, soziale, religiöse, politische oder genetische Identität dieses Betroffenen sind.

b) Betroffene Person / Betroffener

Als "betroffene Person" bzw. "Betroffenen" bezeichnet man jede natürliche Person, deren personenbezogene Daten von dem Verantwortlichen verarbeitet werden.

c) Verarbeitung

Als Verarbeitung bezeichnet man alle Vorgänge wie das Erheben, das Ordnen und Speichern, die Änderung oder Anpassung, das Abfragen und Auslesen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten.

d) Einschränkung der Verarbeitung

Als Einschränkung der Verarbeitung bezeichnet man die Markierung personenbezogener Daten mit dem Ziel, ihre zukünftige Verarbeitung zu reduzieren. Eine Einschränkung ist z. B. immer dann notwendig, wenn auf grund gesetzlicher Vorgaben eine endgültige Löschung nicht erlaubt ist, eine weitere Verarbeitung durch den Betroffenen aber auch nicht gewünscht wird.

e) Profiling

Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, mittels der persönliche Aspekte natürlicher Person bewertet werden können. Beispielsweise können dadurch Vorlieben und Interessen, Zuverlässigkeit, Verhalten, wirtschaftliche und finanzielle Lage, Gesundheit, Aufenthaltsort und Bewegungsprofile dieser natürlichen Personen analysiert oder vorhergesagt werden.

f) Pseudonymisierung

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, mit der sichergestellt wird, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einem bestimmten Betroffenen zugeordnet werden können. Voraussetzung ist, dass diese zusätzlichen Informationen gesondert aufbewahrt werden und technisch-organisatorischen Maßnahmen unterliegen, die eine missbräuchliche Nutzung durch Dritte bestmöglich verhindern.

g) Verantwortlicher / für die Verarbeitung Verantwortlicher

Der für die Verarbeitung Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind diese Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach diesen rechtlichen Grundlagen vorgesehen werden.

h) Auftragsverarbeiter

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

i) Empfänger

Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, vor der personenbezogene Daten offengelegt werden. Dabei spielt es keine Rolle, ob es sich bei ihr um einen Dritten handelt oder nicht. Eine Ausnahme davon sind Behörden, die im Rahmen rechtlicher Grundlagen personenbezogene Daten erhalten, da diese nicht als Empfänger gelten.

j) Dritter

Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

k) Einwilligung

Einwilligung ist jede vom Betroffenen freiwillige, zweckgebundene, eindeutige und in informierter Weise abgegebene Willensbekundung in Form einer Erklärung oder einer anderweitig eindeutig zustimmenden Handlung oder Geste, mit der der Betroffene zu verstehen gibt, dass er mit der Verarbeitung der ihn betreffenden personenbezogenen Daten einverstanden ist.

2. Name und Anschrift des Verantwortlichen

Verantwortlicher im Sinne der DS-GVO ist die:

3. Name und Anschrift des Datenschutzbeauftragten

Der Datenschutzbeauftragte des Verantwortlichen ist:

Jede betroffene Person kann sich jederzeit bei allen Fragen und Anregungen zum Datenschutz direkt an unseren Datenschutzbeauftragten wenden.

4. Verantwortlicher für die Realisierung der Plattform für Webshop und Chat

Verantwortlicher im Sinne der DS-GVO ist die:

5. Übersicht über die Datenverarbeitungen Webshop und Chat

Die Datenverarbeitung gliedert sich in zwei Teilbereiche:

Die Marien-Apotheke erhebt und verarbeitet Daten im Bereich Webshop und Chat nur im Rahmen der zweckgebundenen Notwendigkeit. So werden für einen Bestellvorgang im Webshop lediglich der Name und die notwendigen Kontaktdaten zusammen mit der Bestellung erfasst, um diesen Vorgang vertragsgetreu abwickeln zu können. Die Dauer der Speicherung ist durch die gesetzlichen Aufbewahrungsfristen geregelt und beträgt zwischen 6 und 10 Jahren. Grundlage für diese Verarbeitung ist der Art. 6 (1) b DSGVO "Daten- verarbeitung aufgrund eines Vertrags".

Im Bereich des Online-Chats verarbeitet die Marien-Apotheke nur die Daten, die der Betroffen im Rahmen eines Chats zur Verfügung stellt, also i.A. Name und Kontaktdaten sowie Angaben, die aus dem Chat-Verlauf resultieren und die vom Betroffenen angegeben werden. Grundlage für diese Verarbeitung ist Art. 6 (1) a DSGVO "Datenverarbeitung aufgrund einer Einwilligung", u.U. in Verbindung mit Art. 9 DSGVO "Verarbeitung besonderer Kategorien personenbezogener Daten".

Für die technische Realisierung und die Ausgestaltung der Anwendungen "Webshop" und "Chat" ist ausschließlich und alleine die Sanacorp Pharmahandel GmbH verantwortlich, die eigenständig und ohne unsere Einflussmöglichkeit über die Auswahl der technischen Verfahren entscheidet. Sie bedient sich dabei zusammen mit verschiedenen Partnern weitergehender Methoden der Datenerhebung und -verarbeitung. Einzelheiten können der Datenschutzerklärung der Sanacorp (MEAdirekt-Produkte) entnommen werden.

Zur Realisierung der Angebote verwendet die Sanacorp Pharmahandel GmbH Dienstleistungen der folgenden Anbieter:

• Shopsysteme der Curacado GmbH (https://curacado.de/)
• Hosting des MEA-Webshops und der Sanacorp Cloud bei Amazon (Serverstandort: Frankfurt)
• Hosting des Chat-Widgets bei Amazon USA (Serverstandort USA)
• Google: Google Maps, Google-Analytics

Hosting der Javascript-Programme:

• MEA-Webshop: www.meineapotheke.de, static.meineapotheke.de, widget.meineapotheke.de
• Amazon
• Sanacorp

Verwendung von Tracker-Cookies: Sowohl der MEA-Webshop als auch der MEA-Chat setzen sog. Tracker- Cookies, die von den folgenden Anbietern erstellt werden:

• Amazon
• Google

Bitte beachten Sie: Etliche Partner der Sanacorp Pharmahandel GmbH haben ihren Haupt-Firmensitz in den USA. Da die USA bis heute über kein der DSGVO entsprechendes Datenschutz-Niveau verfügen, kann sei - tens der Marien-Apotheke nicht ausgeschlossen werden, dass pers.bez. Daten der Betroffenen bei Nutzung dieser Dienst in die USA übertragen und dort ausgewertet werden.

Wenn Sie nicht wünschen, dass Ihre personenbezogenen Daten und insbesondere Gesundheitsdaten über die digitalen Kanäle der Sanacorp und ihrer Partner verarbeitet werden, empfehlen wir Ihnen, sich mit uns direkt in der Apotheke vor Ort zu treffen oder aber die gängigen Methoden wie Telefon oder E-Mail zu verwenden.

6. Technische Möglichkeiten des Datenschutzes

Neben der Möglichkeit der "klassischen" Kommunikation mit der Marien-Apotheke gibt es auch technischen Möglichkeiten, die Datenverarbeitung durch Dritte einzuschränken oder zu verhindern. Sie umfassen neben den Einschränkungen der Verarbeitung von "Cookies" über die Einstellungen des jeweiligen Internet-Browsers auch die Erweiterung des Browser um Erweiterungsmodule, sog. PlugIns.

Beispielhaft für den Mozilla Firefox und die Google Chrome basierenden Browser sind hier verfügbar:

• Noscript: Gezielte Einschränkung des Ausführens von Javascript-Programmen
• div. Adblocker: Kontrolle und Einschränkung von Online-Werbung
• Anti-Tracker-Programme wie z.B. der "Privacy Badger"

Mit diesen Werkzeugen kann man sich nicht nur einen guten Überblick über die Tracking-Maßnahmen Dritter verschaffen, sondern auch noch aktiv dagegen vorgehen.

7. Cookies

Die oben geschilderten Verarbeitungsverfahren verwenden Cookies. Cookies sind Textdateien, die über einen Internetbrowser auf dem Computersystem des Webseiten-Besuchers abgelegt und gespeichert werden.

Zahlreiche Internetseiten und Server verwenden Cookies, die oftmals eine sogenannte Cookie-ID enthalten. Eine Cookie-ID ist eine eindeutige Kennung, durch welche Internetseiten und Server den konkreten Internetbrowser zuordnen können, in dem das Cookie gespeichert wurde. Dies ermöglicht es den besuchten Internetseiten und Servern, den individuellen Browser der betroffenen Person von anderen Internetbrowsern, die andere Cookies enthalten, zu unterscheiden. Ein bestimmter Internetbrowser kann über die eindeutige Cookie- ID wiedererkannt und identifiziert werden.

Durch den Einsatz von Cookies die Betreiber von Webangeboten nutzerfreundlichere Services bereitstellen, die ohne das Setzen von Cookies nicht möglich wären. So können die Informationen und Angebote im Sin- ne des Benutzers optimiert werden. Durch die Wiedererkennung mittels Cookies ist es möglich, den Nut- zern die Verwendung einer Internetseite zu erleichtern. Der Benutzer einer Internetseite, die Cookies ver- wendet, muss zum Beispiel nicht bei jedem Besuch der Internetseite erneut seine Zugangsdaten eingeben, weil die Identifikation des Betroffenen von der Internetseite und dem auf dem Computersystem des Benut - zers abgelegten Cookie übernommen wird. Ein weiteres Beispiel ist das Cookie eines Warenkorbes im On- line-Shop. Der Online-Shop merkt sich die Artikel, die ein Kunde in den virtuellen Warenkorb gelegt hat, über ein Cookie.

Der Betroffene kann die Setzung von Cookies durch die Plattform der Sanacorp jederzeit durch entsprechen - de Einstellung seines Internetbrowsers verhindern und damit der Nutzung von Cookies dauerhaft widerspre- chen. Ferner können bereits gesetzte Cookies jederzeit über einen Internetbrowser oder zusätzliche Program- me gelöscht werden. Dies ist in allen gängigen Internetbrowsern möglich. Deaktiviert die betroffene Person die Setzung von Cookies, sind unter Umständen nicht alle Funktionen einer Internetseite vollumfänglich nutzbar.

8. Erfassung von allgemeinen Daten und Informationen

Unsere Internetseite bzw. der Server des Providers, auf dem unser Webauftritt gespeichert ist, erfasst mit jedem Aufruf eine Reihe von allgemeinen Daten und Informationen, die in den Logfiles des Servers gespeichert werden. Erfasst werden können:

• Browsertyp und Version
• das Betriebssystem des zugreifenden Rechners
• die Referrer-Adresse der Internetseite, von welcher ein zugreifendes System auf unsere Webseite gelangt ist
• die Unterwebseiten, welche über ein zugreifendes System auf unserer Internetseite angesteuert werden
• das Datum und die Uhrzeit des Zugriffs auf die Internetseite
• die IP-Adresse des zugreifenden Systems
• u.U. der Internet-Service-Provider des zugreifenden Systems und
• weitere vergleichbare Daten und Informationen, die der Gefahrenabwehr im Falle von Angriffenunsere Informations-Systeme dienen.

Bei der Nutzung dieser allgemeinen Daten und Informationen ziehen wir keine Rückschlüsse auf den Betroffenen. Diese Informationen werden jedoch benötigt, um

• die Inhalte unserer Internetseite korrekt auszuliefern
• die dauerhafte Funktionsfähigkeit unserer IT-Systeme und der Technik unserer Internetseite zu gewährleisten sowie
• um Strafverfolgungsbehörden im Falle eines Cyberangriffes Informationen bereitzustellen, die eine Strafverfolgung unterstützen und ermöglichen.

Diese anonym erhobenen Daten werden von uns statistisch und mit dem Ziel ausgewertet, den Datenschutz und die Datensicherheit in unserem Unternehmen zu erhöhen, damit ein optimales Schutzniveau für die von uns verarbeiteten personenbezogenen Daten gewährleistet werden kann. Die anonymen Daten der Server-Log files werden getrennt von allen anderen Daten gespeichert.

9. Dauer der Speicherung personenbezogener Daten

Das entscheidende Kriterium für die Dauer der Speicherung von personenbezogenen Daten ist die jeweilige gesetzliche Aufbewahrungsfrist. Nach Ablauf dieser Frist werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind.

10. Routinemäßiges Löschen und Sperren personenbezogener Daten

Wir verarbeiteten personenbezogene Daten von Betroffenen nur für den Zeitraum der Zweckbindung oder aufgrund gesetzlicher Vorgaben der Europäischen Union oder anderer gesetzlicher Grundlagen und Vorschriften, welchen der Verantwortliche unterliegt.

Entfällt diese Zweckbindung oder läuft eine aufgrund gesetzlicher Vorgaben der Europäischen Union oder anderer gesetzlicher Grundlagen und Vorschriften vorgeschriebene Speicherfrist ab, werden die personenbezoge nen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht

11.Rechte des Betroffenen

Aus derDS-GVO ergeben sich für die Betroffenen folgende Rechte:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschen und Vergessen (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch (Art. 21 DSGVO)
• Recht auf Widerruf einer datenschutzrechtlichen Einwilligung (Art. 7 DSGVO)
• Recht auf Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO)

Möchte ein Betroffener dieses Auskunftsrecht in Anspruch nehmen, kann er sich gerne jederzeit an unseren Datenschutzbeauftragten oder einen anderen unserer Mitarbeiter wenden.

12. Rechtsgrundlage der Verarbeitung

Der Art. 6 (1) a DS-GVO stellt die Rechtsgrundlage für Verarbeitungsvorgänge in unserem Unternehmen dar, bei denen wir eine Einwilligung des Betroffenen für einen bestimmten Verarbeitungszweck einholen.

Ist die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags mit dem Betroffenen notwendig, so findet der Art. 6 (1) b DS-GVO Anwendung. Dies kann z. B. bei einer Warenanlieferung, einer Vor-Ort-Dienstleistung, der Beantwortung von Anfragen oder der Erstellung von Angeboten der Fall sein.

Im Falle von rechtlichen Verpflichtungen, denen unser Unternehmen unterliegen kann, findet die Verarbeitung auf Basis des Art. 6 (1) c DS-GVO statt. Diese Verpflichtungen können z.B. steuerliche Auflagen oder Meldeverpflichtungen sein.

Sollte der Fall Eintreten, dass eine Verarbeitung personenbezogener Daten zur Wahrung von lebenswichtigen Interessen von Betroffenen notwendig ist, so erfolgt diese auf Basis des Art. 6 (1) d DS-GVO. Dies wäre bei spielsweise der Fall, wenn Besucher auf dem Gelände des Unternehmens einen Unfall hätten. Für diesen Fall müssten wir Daten wie z.B. Name, Alter, Krankenkassen- und Versicherungsdaten sowie sonstige lebenswichtige Informationen an einen Arzt, ein Krankenhaus oder andere Dritte weitergegeben.

Zuletzt könnten eine Verarbeitung personenbezogener Daten auch auf unseren berechtigten Interessen beruhen, womit der Art. 6 (1) f DS-GVO zur Anwendung kommt. Ein berechtigtes Interesse könnte sein, dass der Betroffene ein Kunde des Verantwortlichen ist und die Verarbeitung für das Unternehmen sinnvoll und nützlich ist. Daneben ist unser berechtigtes Interesse die Durchführung unserer Geschäftstätigkeit zum Wohl des Unter nehmens sowie seiner Eigentümer, Anteilseigner und der Mitarbeiter. Hierbei sind jedoch die Interessen, Grundrechte und Grundfreiheiten des Betroffenen ausreichend zu berücksichtigen.

13. Bereitstellung pers.bez. Daten aufgrund gesetzlicher oder vertraglicher Vorschriften

Hiermit klären wir Sie darüber auf, dass die Bereitstellung personenbezogener Daten zum Teil gesetzlich vor geschrieben ist (z.B. durch Steuer- und Meldevorschriften) oder sich diese aus Vertragsbedingungen ergeben kann. So kann es passieren, dass uns ein Betroffener personenbezogene Daten zur Verfügung stellt, die wir im weiteren Ablauf verarbeiten müssen. Bei Fragen zur Notwendigkeit der Bereitstellung personenbezogener Daten steht Ihnen unser Datenschutzbeauftragter jederzeit zur Verfügung, um zu klären, ob im Einzelfall eine gesetzliche oder vertraglich Grundlage gegeben ist und welche Folgen eine Nichtbereitstellung der personenbezogenen Daten hätte.

14. Kontaktmöglichkeit über die Internetseite

Unsers Internetseite enthält aufgrund der gesetzlichen Vorschriften Angaben, die eine schnelle elektronische Kontaktaufnahme zu unserem Unternehmen ermöglichen, sei es telefonisch, per Fax oder per E-Mail. Wenn eine betroffene Person per E-Mail oder über ein Kontaktformular mit dem für die Verantwortlichen Kontakt aufnimmt, werden die von der betroffenen Person übermittelten personenbezogenen Daten automatisch gespeichert. Solche auf freiwilliger Basis von einer betroffenen Person an den Verantwortlichen übermittelten personenbezogenen Daten werden für Zwecke der Bearbeitung oder zur Kontaktaufnahme mit dem Betroffenen gespeichert. Es erfolgt keine Weitergabe dieser personenbezogenen Daten an Dritte.

Wenn Sie das Kontaktformular unserer Webseite nutzen, fragen wir Sie nach Ihrem Namen und anderen per sönlichen Angaben. Bis auf einige wenige Pflichtfelder unterliegt es Ihrer freien Entscheidung, ob Sie diese Daten eingeben wollen oder nicht. Ihre Angaben speichern wir auf Servern in Deutschland zum Zweck, das von Ihnen geäußerte Anliegen zu bearbeiten.

15. Datenschutzbestimmungen für eine automatisierten Entscheidungsfindung

Wir verwenden keine Maßnahmen des Profilings bzw. der automatische Entscheidungsfindung.