Datenschutzerklärung

1. Verantwortliche Stelle

Apotheke im Nordharz Center
Inhaberin: Susanne Bormann
Lerchenbreite 5B, 38889 Blankenburg (Harz)
Telefon: +49 3944 369 466 - 0
E-Mail: info@aponoha.de

Datenschutzbeauftragter / Datenschutzkontakt:
Robert Nickel · r.nickel@aponoha.de

2. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten insbesondere auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, wenn die Verarbeitung für Beratung, Bestellung, Terminbuchung, Beschäftigungsverhältnis oder Vertragsdurchführung erforderlich ist. Für gesetzliche Pflichten nutzen wir Art. 6 Abs. 1 lit. c DSGVO. Für Sicherheits-, Organisations-, Qualitäts- und Kommunikationszwecke kann Art. 6 Abs. 1 lit. f DSGVO greifen. Einwilligungen stützen wir auf Art. 6 Abs. 1 lit. a DSGVO.

Gesundheitsdaten verarbeiten wir, wenn dies für pharmazeutische Beratung, Arzneimittelversorgung, Rezeptbearbeitung, Medikationsanalysen, Tests oder vergleichbare Gesundheitsleistungen erforderlich ist, insbesondere auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit den berufs- und gesundheitsrechtlichen Vorgaben. Wenn eine ausdrückliche Einwilligung nötig ist, holen wir sie gesondert ein.

3. Ihre Rechte

Sie haben nach Maßgabe der DSGVO das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Sie können sich außerdem bei der zuständigen Aufsichtsbehörde beschweren: Landesbeauftragte für den Datenschutz Sachsen-Anhalt, Otto-von-Guericke-Straße 34a, 39104 Magdeburg, Beschwerdeformular.

4. Webseite, Hosting und Server-Logs

Unsere Webseite wird auf einem Server der IONOS SE in Deutschland betrieben. Die technische Infrastruktur umfasst unter anderem Webserver, Datenbank, Automatisierungsdienste und interne Dashboard-Funktionen. Mit IONOS besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Soweit weitere Hosting-Dienstleister nur für einzelne Alt- oder Nebenverträge genutzt werden, werden sie intern im Datenschutzregister geführt und regelmäßig geprüft.

Beim Aufruf der Webseite werden technische Verbindungsdaten verarbeitet, zum Beispiel Datum, Uhrzeit, angefragte URL, Statuscode, übertragene Datenmenge, Browser- und Betriebssysteminformationen. Soweit IP-Adressen in Logs anfallen, verwenden wir sie nur für Sicherheit, Fehleranalyse und Betrieb der Webseite und speichern sie höchstens kurzfristig. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

5. Cookies, LocalStorage und Einwilligungen

Wir verwenden keine Werbe- oder Profiling-Cookies. Die Cookie-Einstellung selbst speichern wir lokal im Browser (localStorage), damit die Auswahl nicht bei jedem Besuch erneut abgefragt werden muss. Diese technische Speicherung ist für die von Ihnen gewünschte Cookie-Steuerung erforderlich.

Plausible Analytics wird erst nach Ihrer Zustimmung aktiviert. Die Speicherung von Informationen auf Ihrem Endgerät oder der Zugriff darauf richtet sich zusätzlich nach § 25 TDDDG. Sie können Ihre Auswahl jederzeit über Cookie-Einstellungen im Footer ändern.

6. Web-Analyse mit Plausible

Wenn Sie zustimmen, laden wir Plausible Analytics von analytics.aponoha.org. Plausible wird von uns selbst gehostet, setzt keine Cookies und dient nur der aggregierten Reichweitenmessung unserer Webseite. Wir sehen, welche Seiten aufgerufen werden, aber nicht, welche Person dahintersteht.

Rechtsgrundlage für das Laden des Analyse-Skripts ist Ihre Einwilligung. Sie können diese jederzeit über die Cookie-Einstellungen widerrufen.

7. Online-Shop über ia.de / IhreApotheken

Die Hauptwebseite aponoha.org bindet den Online-Shop nicht direkt ein und lädt keine Shop-Skripte. Wir verlinken auf unsere eigene Shop-Subdomain shop.aponoha.org, deren Datenverarbeitung im folgenden Absatz beschrieben ist.

Auf der Subdomain shop.aponoha.org betreiben wir eine eigene Shop-Seite, die Widgets der IhreApotheken-Plattform (ia.de) einbindet. Beim Aufruf von shop.aponoha.org werden Skripte und Stile direkt von apotheke-im-nordharz-center-blankenburg.de (Server der IhreApotheken-Plattform) geladen. Dabei können technische Verbindungsdaten (IP-Adresse, Browser-Informationen, aufgerufene Ressourcen) an die Server von IhreApotheken übertragen werden. Zusätzlich werden von shop.aponoha.org Schriftarten über die Google Fonts API (fonts.googleapis.com / fonts.gstatic.com) geladen; dabei kann Ihre IP-Adresse an Google LLC, USA, übertragen werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen Darstellung).

Auf der Shop-Seite können je nach Nutzung Suchanfragen, Warenkorb-Inhalte, Login-/Konto-Daten, Bestelldaten, Rezeptfotos oder E-Rezept-Informationen verarbeitet werden. Für die technische Plattform und bestimmte Datenverarbeitungen informiert IhreApotheken in eigener Verantwortung; Bestelldaten werden an uns weitergeleitet, damit wir die Bestellung bearbeiten können. Die Pflichtangaben gemäß Arzneimittelrecht werden durch das ia.de-Fußzeilen-Widget automatisch auf der Shop-Seite eingeblendet.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO für Bestellung und Abwicklung sowie Art. 9 Abs. 2 lit. h DSGVO, soweit Rezept- oder Gesundheitsdaten betroffen sind. Weitere Informationen: Datenschutzerklärung IhreApotheken.

8. Online-Terminbuchung

Die Terminbuchung läuft direkt über aponoha.org und unsere eigene Server-Infrastruktur. Wenn Sie einen Termin anfragen, verarbeiten wir Vorname, Nachname, E-Mail-Adresse, Terminart, Datum und Uhrzeit. Optional können Telefonnummer und eine Nachricht angegeben werden. Bei Blut- oder Speicheltests kann zusätzlich die Testauswahl verarbeitet werden.

Zur Absicherung gegen Missbrauch speichern wir einen anonymisierten IP-Hash. Nach der Anfrage erhalten Sie eine Bestätigungsmail; ohne Bestätigung wird die Reservierung nach 6 Stunden automatisch gelöscht. Bestätigte Termine werden teamintern in unsere Terminübersicht übernommen. Die Buchungsdaten werden 1 Stunde nach dem Termin automatisch aus der Webdatenbank gelöscht bzw. personenbezogene Felder werden geleert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit es um gesundheitsbezogene Test- oder Beratungsanliegen geht, zusätzlich Art. 9 Abs. 2 lit. h DSGVO beziehungsweise im Einzelfall eine ausdrückliche Einwilligung.

Für die pDL Medikationsanalyse kann nach bestätigtem Termin zusätzlich ein geschützter Folgezugang eingerichtet werden. In diesem Fall versenden wir in einer separaten E-Mail einen persönlichen Link und ein generiertes Passwort, damit weitere Gesundheitsangaben oder Dokumente nicht allein über eine URL erreichbar sind. In diesem geschützten Bereich verarbeitete Angaben, Medikationspläne, Laborberichte oder vergleichbare Unterlagen nutzen wir ausschließlich zur Vorbereitung und Durchführung der angefragten Leistung. Fehlende Angaben können auch direkt in der Apotheke ergänzt werden.

9. E-Mail, Telefon, Kontaktformular und WhatsApp

Wenn Sie uns per E-Mail, Telefon oder WhatsApp kontaktieren, verarbeiten wir die Inhalte Ihrer Anfrage und die dafür nötigen Kontaktdaten. Das gilt auch für Rezept- oder Produktanfragen, Rückfragen zu Bestellungen, Terminabsprachen oder organisatorische Abstimmungen.

WhatsApp-Kommunikation erfolgt nur, wenn Sie diesen Weg selbst wählen. Bitte übermitteln Sie dort nur Informationen, mit deren Nutzung Sie einverstanden sind. Bei sensiblen Gesundheitsdaten sind Telefon, persönlicher Kontakt oder gesicherte Wege oft besser geeignet.

10. Social Media

Wir verlinken auf Profile bei Facebook und Instagram. Erst mit dem Klick auf diese Links verlassen Sie unsere Webseite. Auf den Plattformen verarbeiten Meta bzw. die jeweiligen Anbieter Daten in eigener Verantwortung und können diese auch außerhalb der EU verarbeiten. Weitere Informationen: Meta-Datenschutzerklärung und WhatsApp-Datenschutzhinweise.

11. Apothekenbetrieb, Rezepte und Gesundheitsleistungen

Im Apothekenbetrieb verarbeiten wir personenbezogene Daten und Gesundheitsdaten, soweit dies für Arzneimittelversorgung, Rezeptbearbeitung, pharmazeutische Beratung, Medikationsanalysen, pharmazeutische Dienstleistungen, Botendienst, Rezeptur, Hilfsmittelversorgung, Kundenkonto/Kundenkarte oder gesetzliche Dokumentationspflichten erforderlich ist.

Empfänger können je nach Vorgang Krankenkassen, Abrechnungszentren, ärztliche Praxen, Botendienst, Software- und IT-Dienstleister, Labore, Behörden oder andere gesetzlich vorgesehene Stellen sein. Bei Rezeptabrechnung, Warenwirtschaft, pharmazeutischen Portalen, Fortbildung und Qualitätssicherung können Fach- und Branchendienstleister eingebunden sein, zum Beispiel Abrechnungsstellen, CGM LAUER, pharma4u, GEHE/Alliance Healthcare oder vergleichbare Anbieter. Wir geben Daten nur weiter, wenn dies für die Versorgung, Abrechnung, gesetzliche Pflichten, Qualitätssicherung oder mit Ihrer Einwilligung erforderlich ist.

Wirtschaftliche Apothekendaten, Lieferantenkommunikation und Kooperationsdaten können außerdem im Rahmen von Warenbezug, gesund-leben-Kooperation, Aktionen, Fortbildungen oder Hersteller-/Großhandelsservices verarbeitet werden. Soweit dabei keine Kunden- oder Patientendaten betroffen sind, handelt es sich nicht um eine Verarbeitung Ihrer Gesundheitsdaten.

12. DNA-, Blut- und Speicheltests

Bei DNA-, Blut- oder Speicheltests verarbeiten wir Beratungs- und Termindaten sowie, je nach Ablauf, Proben- und Bestelldaten. Die Laboranalyse erfolgt durch die jeweiligen Labor- oder Plattformpartner, zum Beispiel made for me / scalyst, medivere, GANZIMMUN oder weitere spezialisierte Partner. Für made for me / scalyst liegt eine Vereinbarung zur Auftragsverarbeitung im Anbieterprozess vor. Sie erhalten zusätzliche Informationen und Einwilligungsunterlagen des jeweiligen Anbieters, bevor eine Probe verarbeitet wird.

Rechtsgrundlagen sind je nach Fall Art. 6 Abs. 1 lit. b DSGVO, Art. 9 Abs. 2 lit. h DSGVO und, soweit erforderlich, Ihre ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO.

13. KI-Assistenz, interne Automatisierung und Qualitätssicherung

Wir nutzen interne digitale Werkzeuge, um Arbeitsabläufe zu strukturieren, Informationen schneller zu finden, Nachrichten vorzubereiten, Qualitätsmanagement zu unterstützen und wiederkehrende Aufgaben zu automatisieren. Dazu gehören interne Dashboard-Funktionen, Automatisierungsworkflows und KI-Assistenzsysteme. Diese Systeme sind Hilfsmittel für unser Team; sie ersetzen keine pharmazeutische Prüfung und keine verantwortliche Entscheidung.

Soweit für solche Assistenzfunktionen personenbezogene Daten verarbeitet werden, geschieht dies nur im erforderlichen Umfang und nach Rollen-/Berechtigungskonzept. Für KI-Backend-Leistungen kann OpenAI als Dienstleister eingesetzt werden; mit OpenAI besteht ein Data Processing Agreement. Besonders sensible Gesundheitsdaten werden nicht ohne fachlichen Anlass in KI-Systeme eingegeben. Bei externen KI- oder Cloud-Dienstleistern prüfen wir Drittlandbezüge, vertragliche Garantien und technische Schutzmaßnahmen fortlaufend.

14. Beschäftigtendaten, Dienstplanung und Schulungen

Für Bewerbungen, Beschäftigungsverhältnisse, Dienstplanung, Stunden- und Urlaubskonten, Fortbildungen, Pflichtunterweisungen, QMS-Nachweise, Lohn-/Gehaltsprozesse und betriebliche Altersvorsorge verarbeiten wir Beschäftigtendaten. Dazu können Stammdaten, Kontaktdaten, Arbeitszeitdaten, Urlaubs- und Krankheitsinformationen, Schulungsnachweise sowie abrechnungsrelevante Daten gehören.

Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. b und lit. c DSGVO sowie § 26 BDSG, soweit Beschäftigtendaten betroffen sind. Dienstleister, zum Beispiel für Mail, Hosting, Schulungs-/Fachportale oder bAV-Beratung, werden vertraglich eingebunden, soweit sie personenbezogene Daten in unserem Auftrag verarbeiten.

15. Podcast, Karten und externe Links

Unsere Podcast-Seite lädt Coverbilder aus dem Podigee-CDN und verlinkt auf Podigee, Apple Podcasts, Spotify und den RSS-Feed. Beim Laden der Coverbilder und beim Klick auf externe Podcast-Plattformen können dort technische Zugriffsdaten verarbeitet werden. Weitere Informationen: Datenschutz bei Podigee.

Google Maps ist auf unserer Webseite nur als Link eingebunden. Beim Klick verlassen Sie unsere Webseite und Google verarbeitet Daten nach eigener Verantwortung. Weitere Informationen: Datenschutzerklärung Google.

16. Aufbewahrung und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Apotheken-, Handels-, Steuer-, Personal- und Abrechnungsunterlagen können gesetzlichen Aufbewahrungspflichten unterliegen. Reine Kontaktanfragen löschen wir, wenn sie erledigt sind und keine Aufbewahrungspflicht besteht. Für einzelne digitale Prozesse gelten kürzere Löschkonzepte, zum Beispiel bei der Online-Terminbuchung.

17. Sicherheit und Drittlandübermittlung

Unsere Webseite nutzt TLS-Verschlüsselung. Wir betreiben die Kernsysteme bevorzugt auf Servern in Deutschland oder der EU. Zu unseren Schutzmaßnahmen gehören unter anderem Rollen- und Berechtigungskonzepte, Zugriffsbeschränkungen, technische Protokollierung, Backups, vertrauliche Behandlung durch Mitarbeitende und regelmäßige Prüfung eingesetzter Dienstleister.

Drittlandbezüge können entstehen, wenn Sie Dienste wie Meta, WhatsApp, Google, Apple, Spotify oder andere externe Plattformen nutzen oder wenn ein Cloud-/KI-Dienstleister Unterauftragnehmer außerhalb der EU einsetzt. In diesen Fällen prüfen wir die rechtlichen Voraussetzungen und verweisen ergänzend auf die Datenschutzinformationen der jeweiligen Anbieter.

18. Datenschutzregister und regelmäßige Prüfung

Wir führen intern ein Datenschutz- und Verzeichnis-der-Verarbeitungstätigkeiten-Register. Darin dokumentieren wir Verarbeitungstätigkeiten, Dienstleister, Auftragsverarbeitungsverträge, Review-Fristen und offene Prüfpunkte. Dieses Register dient der laufenden Datenschutzorganisation und wird regelmäßig aktualisiert.

19. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Erklärung, wenn sich Funktionen, Dienstleister oder rechtliche Anforderungen ändern. Den jeweils aktuellen Stand finden Sie immer auf dieser Seite.