Datenschutzhinweise medigital GmbH
Datenschutzhinweise gemäß EU-DSGVO für natürliche Personen
medigital GmbH
Mit den nachfolgenden Informationen geben wir Ihnen einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten durch uns und Ihre Datenschutzrechte. Welche Daten im Einzelnen verarbeitet und in welcher Weise genutzt werden, richtet sich maßgeblich nach den jeweils von Ihnen mit uns getätigten Geschäften und sonstigen geschäftlichen Kontaktaufnahmen (z.B. Besuch unserer Websites, telefonische Anfragen, Außendienstbesuche, Teilnahme an Preisausschreiben, Bestellung unserer Produkte etc.).
1. Wer ist für die Datenverarbeitung verantwortlich? Wer ist dafür mein Ansprechpartner?
Verantwortliche Stelle ist:
Medigital GmbH
Medice-Allee 1
58638 Iserlohn
Vertretungsberechtigte Personen:
Dr. Felix Lambrecht
Sie erreichen unsere betriebliche Datenschutzbeauftragte unter:
Medigital GmbH
Datenschutz
Medice-Allee 1
58638 Iserlohn
Telefon: +49 (0)2371 937 0
E-Mail-Adresse: medigital-privacy@medice.de
2. Welche Daten nutzt Medigital? Und aus welchen Quellen stammen diese Daten?
Wir verarbeiten personenbezogene Daten, die wir im Rahmen unserer Geschäftsbeziehung von unseren Interessenten (einschließlich Besuchern unserer Internetangebote), Bewerbern, Patienten, Kunden, Lieferanten und Dienstleistern erhalten. Zudem verarbeiten wir – soweit für die Erbringung unserer Dienstleistung erforderlich – personenbezogene Daten, die wir von anderen Unternehmen der MEDICE Health Family oder von sonstigen Dritten (z. B. Schufa, Behörden, Partnerunternehmen) zulässigerweise (z. B. zur Ausführung von Aufträgen, zur Erfüllung von Verträgen, aus gesetzlicher Verpflichtung oder aufgrund einer von Ihnen erteilten Einwilligung) erhalten haben. Zum anderen verarbeiten wir personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z. B. öffentliche Register, Medien, Internet) zulässigerweise gewonnen haben und verarbeiten dürfen.
Personenbezogene Daten von…
Interessenten sind z.B.
Stammdaten, Kommunikationsdaten, Daten zur Beantwortung allgemeiner an uns gerichteter Anfragen oder zur Anbahnung eines Geschäfts (z.B. Interesse an einem Produkt, Aufnahme in Werbeverteiler), Daten zur Nutzung unserer Internetangebote
Bewerbern sind z.B.
Stammdaten, Kommunikationsdaten, beschäftigungsrelevante Daten (z.B. aus Anschreiben, Lebensläufen, Zeugnissen), Sozialdaten
Patienten sind z.B.
Stammdaten, Kommunikationsdaten, Daten zur Beantwortung an uns gerichteter medizinischer Anfragen, Daten zur Erfüllung unserer gesetzlichen Melde- und Dokumentationspflichten (insbesondere Gesundheitsdaten) und Daten zur Qualitätskontrolle für unsere Produkte. In der klinischen Forschung verarbeitet Medigital ausschließlich anonymisierte oder pseudonymisierte Daten.
Kunden, Lieferanten, Dienstleistern sind z.B.
Stammdaten, Kommunikationsdaten, Daten zur Begründung und Durchführung einer Geschäftsbeziehung (z.B. Bonitätsdaten, steuerliche Informationen, Bankverbindungen), Daten zu abgeschlossenen und laufenden Geschäften, Einwilligung in Werbung, Besuch durch unseren Außendienst, Daten zur Einhaltung von Rechtsvorschriften, Qualifikationsnachweise, Daten zur Verfolgung von Rechtsansprüchen
3. Wofür verarbeitet Medigital meine Daten (Zweck der Verarbeitung)? Auf welcher Rechtsgrundlage erfolgt die Verarbeitung?
Wir verarbeiten die vorab genannten personenbezogenen Daten im Einklang mit den Bestimmungen der EU-Datenschutz- Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG):
a. Aufgrund Ihrer Einwilligung (Artikel 6 Abs. 1 a DSGVO)
Soweit Sie uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke erteilt haben, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der EU-Datenschutz-Grundverordnung, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind.
Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Trotz eines Widerrufs kann die Verarbeitung Ihrer personenbezogenen Daten weiterhin zulässig sein, soweit wir dazu z.B. gesetzlich verpflichtet sind oder eine Interessenabwägung zu Gunsten von Medigital ausfällt. Dies kann insbesondere bei gesetzlichen Aufbewahrungsfristen und zur Verfolgung oder Abwehr von rechtlichen Ansprüchen sowie zur Strafverfolgung der Fall sein.
Weitere Hinweise zum Widerrufsrecht erhalten Sie unter Nr. 7 dieses Dokuments.
b. Zur Erfüllung von vertraglichen Pflichten (Artikel 6 Abs.1 b DSGVO)
Die Verarbeitung personenbezogener Daten erfolgt zur Erbringung von Warenlieferungen und Dienstleistungen im Rahmen der Durchführung unserer Verträge mit unseren Kunden oder zur Durchführung vorvertraglicher Maßnahmen, die auf Ihre Anfrage hin erfolgen. Die weiteren Einzelheiten zum Zweck der Datenverarbeitung können Sie den jeweiligen Vertragsunterlagen und Geschäftsbedingungen entnehmen.
c. Aufgrund gesetzlicher Vorgaben (Artikel 6 Abs.1 c DSGVO) oder im öffentlichen Interesse (Artikel 6 Abs.1 e DSGVO)
Zudem unterliegt Medice als pharmazeutisches Unternehmen diversen rechtlichen Verpflichtungen, die eine Datenverarbeitung erforderlich machen. Dies sind gesetzliche Anforderungen (z. B. Abgabenordnung, Grundsätze der ordnungsgemäßen Buchführung, Arzneimittelgesetz) sowie aufsichtsrechtlichen Vorgaben (z. B. der Europäischen Arzneimittelagentur, dem Bundesinstitut für Arzneimittel und Medizinprodukte, der zuständigen Bezirksregierung).
Zu den Zwecken der Verarbeitung gehören unter anderem die Erfüllung steuerrechtlicher Kontroll- und Meldepflichten, der Betrieb des Pharmakovigilanz-Systems, die produktbezogene Qualitätskontrolle, die Nachverfolgbarkeit von Produktchargen, die Korruptions-, Betrugs- und Geldwäscheprävention, sowie die Bewertung und Steuerung von Risiken innerhalb der MEDICE Health Family.
d. Im Rahmen der Interessenabwägung (Artikel 6 Abs. 1 f DSGVO)
Soweit erforderlich, verarbeiten wir Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Beispiele sind:
- Konsultation von und Datenaustausch mit Auskunfteien (z. B. Schufa)
- zur Ermittlung von Bonitäts- bzw. Ausfallrisiken
- Prüfung und Optimierung von Verfahren zur Bedarfsanalyse und zu direkter Kundenansprache; inkl. Kundensegmentierungen und Bestellwahrscheinlichkeiten
- Werbung oder Markt- und Meinungsforschung, soweit Sie der Nutzung Ihrer Daten nicht widersprochen haben
- Verfolgung und Abwehr rechtlicher Ansprüche
- Gewährleistung der IT-Sicherheit und des IT-Betriebs von Medigital
- Verhinderung und Verfolgung von Straftaten
- Videoüberwachungen zur Wahrung des Hausrechts, zur Sammlung von Beweismitteln bei Straftaten
- Maßnahmen zur Gebäude- und Anlagensicherheit (z. B. Zutrittskontrollen)
- Maßnahmen zur Sicherstellung des Hausrechts
- Maßnahmen zur Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten
- Risikosteuerung in der MEDICE Health Family
4. Wer hat Zugriff auf meine Daten?
Innerhalb von Medigital erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten brauchen.
Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten, wenn diese unsere schriftlichen datenschutzrechtlichen Weisungen wahren. Dies sind im wesentlichen Unternehmen aus den im Folgenden aufgeführten Kategorien.
Informationen über Sie dürfen wir nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten, Sie eingewilligt haben oder von uns beauftragte Auftragsverarbeiter gleichgerichtet die Vorgaben der EU-Datenschutz-Grundverordnung/des Bundesdatenschutzgesetzes garantieren.
Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z. B. sein:
- Unternehmen der MEDICE Health Family, soweit dies für den Zweck der Datenverarbeitung erforderlich ist.
- Öffentliche Stellen und Institutionen (z. B. Europäische Arzneimittelagentur, Bundesinstitut für Arzneimittel und Medizinprodukte, der zuständigen Bezirksregierung, Europäische Zentralbank, Finanzbehörden, Bundeszentralamt für Steuern, Staatsanwaltschaften) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung.
- Auftragsverarbeiter, an die wir zur Durchführung der Geschäftsbeziehung mit Ihnen personenbezogene Daten übermitteln z.B. für Dienstleistungen im Zusammenhang mit Archivierung, Außendienst, Belegbearbeitung, Call-Center-Services, Controlling, Compliance, Pharmakovigilanz, Datenvernichtung, Einkauf, Beitreibung von Forderungen, Kundenverwaltung, Lettershops, Marketing, Medientechnik, Meldewesen, Unterstützung/Wartung von IT-Anwendungen, Risikocontrolling, Telefonie, Warenversand, Webseitenmanagement, Zahlungsverkehr.
- Zur beruflichen Verschwiegenheit verpflichtete Personen (u.a. Rechtsanwälte, Steuerberater, Wirtschaftsprüfer) zur Unterstützung bei der Erfüllung gesetzlicher oder behördlicher Verpflichtungen sowie zur Verfolgung und Abwehr von Rechtsansprüchen und in der Strafverfolgung.
Weitere Datenempfänger können diejenigen Stellen sein, für die Sie Ihre Einwilligung zur Datenübermittlung erteilt haben.
5. Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung in Länder außerhalb der EU bzw. des EWR (sogenannte Drittstaaten) findet nur statt, soweit dies im Rahmen einer geschäftlichen Beziehung erforderlich ist (z. B. Zahlungsaufträge, Warenlieferungen), gesetzlich vorgeschrieben ist (z. B. steuerrechtliche oder arzneimittelrechtliche Meldepflichten), Sie uns eine Einwilligung erteilt haben oder in seltenen Fällen im Rahmen einer Auftragsdatenverarbeitung. Werden Dienstleister in Drittstaaten eingesetzt, sind diese zusätzlich zu schriftlichen Weisungen durch die Vereinbarung der EU-Standardvertragsklauseln zur Einhaltung des Datenschutzniveaus in Europa verpflichtet.
6. Wie lange werden meine Daten gespeichert?
Wir verarbeiten und speichern Ihre personenbezogenen Daten, solange es für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten sowie zur Verfolgung und Abwehr von rechtlichen Ansprüchen erforderlich ist.
Sind die Daten für die Erfüllung vertraglicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, ihre befristete Weiterverarbeitung ist zu folgenden Zwecken erforderlich:
Erfüllung von handels- und steuerrechtlichen sowie arzneimittelrechtlichen Aufbewahrungsfristen: 2-15 Jahre
Erhaltung von Beweismitteln im Rahmen der Verjährungsvorschriften. Nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt.
7. Welche Datenschutzrechte habe ich?
Sie haben als betroffene Person
- das Recht auf Auskunft nach Artikel 15 DSGVO,
- das Recht auf Berichtigung nach Artikel 16 DSGVO,
- das Recht auf Löschung nach Artikel 17 DSGVO,
- das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO,
- das Recht auf Widerspruch aus Artikel 21 DSGVO sowie
- das Recht auf Datenübertragbarkeit aus Artikel 20 DSGVO.
Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Darüber hinaus besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Artikel 77 DSGVO i. V. m § 19 BDSG).
Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten können Sie jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der EU-Datenschutz-Grundverordnung, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.
Bitte beachten Sie die gesonderten Hinweise zum Widerspruchsrecht nach Artikel 21 DSGVO unter https://medice.com/de-de/service/datenschutz/datenschutzerklaerung.
8. Gibt es für mich eine Pflicht zur Bereitstellung von Daten?
Im Rahmen einer Geschäftsbeziehung mit Medigital müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme und Durchführung einer Geschäftsbeziehung und die Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten werden wir üblicherweise eine Geschäftsverbindung oder einen sonstigen Auftrag nicht annehmen können oder beenden müssen.
9. Inwieweit erfolgt eine automatisierte Entscheidungsfindung (einschließlich Profiling)?
Zur Begründung und Durchführung einer Geschäftsbeziehung nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich vorgegeben ist.
10. Findet „Profiling“ statt?
Wir verarbeiten Ihre Daten teilweise automatisiert mit dem Ziel, bestimmte Aspekte zu Ihrer Person zu bewerten (Profiling). Wir setzen Profiling beispielsweise in folgenden Fällen ein:
Um Sie zielgerichtet über Produkte informieren und beraten zu können, setzen wir Auswertungsinstrumente ein. Diese ermöglichen eine bedarfsgerechte Kommunikation und Werbung einschließlich Markt- und Meinungsforschung.
Im Rahmen der Beurteilung Ihrer Bonität nutzen wir unter Umständen ein Scoring. Darin fließen Erfahrungen aus der bisherigen Geschäftsbeziehung, öffentliche verfügbaren Daten sowie Informationen von Kreditauskunfteien ein.
Medigital behält sich vor, diese Datenschutzhinweise von Zeit zu Zeit zu aktualisieren und erneut auf medice.de zu veröffentlichen.
11. Sicherheitsmaßnahmen
Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs zu den Daten als auch des sie betreffenden Zugriffs, der Eingabe, der Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, die Löschung von Daten und Reaktionen auf die Gefährdung der Daten gewährleisten. Ferner berücksichtigen wir den Schutz personenbezogener Daten bereits bei der Entwicklung bzw. Auswahl von Hardware, Software sowie Verfahren entsprechend dem Prinzip des Datenschutzes, durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.
SSL-Verschlüsselung (https): Um Ihre via unser Online-Angebot übermittelten Daten zu schützen, nutzen wir eine SSL-Verschlüsselung. Sie erkennen derart verschlüsselte Verbindungen an dem Präfix https:// in der Adresszeile Ihres Browsers.