I. Allgemeines
1. Name und Kontaktdaten des für die Verarbeitung Verantwortlichen sowie des betrieblichen Datenschutzbeauftragten
Diese Datenschutz-Information gilt für die Datenverarbeitung durch:
Verantwortlicher: SMB – Sanitätshaus Müller Betten GmbH & Co. KG (im Folgenden „SMB“)
Im Auel 34b
51766 Engelskirchen
Telefon: 02263 806-0
Telefax: 02263 806-299
E-Mail: info@smb-online.de
Internet: www.smb-online.de
Der betriebliche Datenschutzbeauftragte von SMB ist unter der Anschrift dhpg IT-Services GmbH, Bunsenstr. 10a, 51647 Gummersbach, zu Hd. Herrn Dr. Christian Lenz, beziehungsweise unter datenschutz@dhpg.de oder 02261-8195-0 erreichbar.
2. Betroffenenrechte
Sie haben das Recht:
- gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen;
- gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
- gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
- gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben;
- gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen, sofern die Verarbeitung auf Ihrer Einwilligung oder einem Vertrag beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt;
- gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen und
- gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes oder unseres Unternehmenssitzes wenden.
3. Widerspruchsrecht
Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 lit. e oder f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben oder sich der Widerspruch gegen Direktwerbung richtet.
Im erstgenannten Fall verarbeiten wir Ihre Daten nicht mehr, es sei denn, wir können zwingende Gründe nachweisen, die Ihre Interessen, Freiheiten und Rechte überwiegen oder unsere Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtansprüchen dient.
Im letzteren Fall haben Sie ein generelles Widerspruchsrecht, das ohne Angabe einer besonderen Situation von uns umgesetzt wird. Möchten Sie von Ihrem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an info@smb-online.de.
4. Weitergabe von Daten
Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den im Folgenden aufgeführten Zwecken findet nicht statt. Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:
- Sie Ihre nach Art. 6 Abs. 1 lit. a DSGVO ausdrückliche Einwilligung dazu erteilt haben,
- die Weitergabe nach Art. 6 Abs. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben,
- für den Fall, dass für die Weitergabe nach Art. 6 Abs. 1 lit. c DSGVO eine gesetzliche Verpflichtung besteht, sowie
- dies gesetzlich zulässig und nach Art. 6 Abs. 1 lit. b DSGVO für die Abwicklung von Vertragsverhältnissen mit Ihnen erforderlich ist.
Daneben erhalten unsere Auftragsverarbeiter Ihre personenbezogenen Daten zur weisungsgebundenen Verarbeitung, soweit dies zur Erfüllung des Auftrages erforderlich ist. Unsere Auftragsverarbeiter haben kein eigenes Nutzungsrecht an Ihren Daten.
5. Datensicherheit
Wir unterhalten aktuelle technische Maßnahmen zur Gewährleistung der Datensicherheit, insbesondere zum Schutz Ihrer personenbezogenen Daten vor Gefahren bei der Datenübertragung sowie vor Kenntniserlangung durch Dritte. Diese werden dem aktuellen Stand der Technik entsprechend jeweils angepasst.
6. Drittländer
Daten werden von uns ausschließlich entsprechend den gesetzlichen Regelungen an Drittländer übermittelt.
Die Zulässigkeit der Datenübermittlung in Drittländer richtet sich nach den Art. 44 ff. DSGVO. Sofern wir Ihre Daten in ein Drittland übermitteln, werden Sie darüber in den speziellen Datenschutzinformationen zu dem jeweiligen Verarbeitungsprozess unter Angabe der jeweiligen gesetzlichen Regelung informiert.
II. Spezielle Datenschutzinformationen für die Verarbeitung Ihrer personenbezogenen Daten über die SMB-App
1. Beim Öffnen der App
Beim Öffnen unserer App übermittelt Ihr Gerät automatisch sogenannte Server-Logfiles an uns. Das sind unter anderem:
- IP-Adresse,
- Datum und Uhrzeit des Zugriffs,
- Name und URL der abgerufenen Datei,
- Referrer-URL (Internetseite, von der aus der Zugriff erfolgte) und
- Informationen über den Browsertyp, die verwendete Version und ggf. das von Ihnen verwendete Betriebssystem sowie der Name Ihres Access-Providers.
Darüber hinaus werden weitere technische Hilfsinformationen übermittelt, die automatisch gesendet und erfasst werden.
Diese Daten sind für uns nicht unmittelbar einer bestimmten Person zuordenbar. Die Daten werden getrennt von anderen personenbezogenen Daten gespeichert; eine Zusammenführung mit anderen Daten erfolgt nicht.
Wir verarbeiten diese Daten auf der Grundlage von Art. 6 Abs. 1. lit. f DSGVO zur Bereitstellung der Inhalte unserer App, der Gewährleistung der Funktionsfähigkeit unserer informationstechnischen Systeme und deren Sicherheit sowie zur Optimierung unserer App.
Die Löschung der Daten erfolgt, sobald sie für die angegebenen Zwecke nicht mehr benötigt werden, spätestens nach 6 Monaten.
2. Bei Aktivierung der Standortermittlung
Grundsätzlich sind wir primärer Leistungserbringer bei allen über die App eingereichten Rezepten, die unserem Leistungsportfolio entsprechen. Soweit Sie über die App Rezepte einreichen, die außerhalb unseres Leistungsportfolios liegen, können wir diese nicht vollständig selbst bearbeiten. Für diesen Fall haben Sie die Möglichkeit, in der App freiwillig Ihre Postleitzahl zu hinterlegen oder uns freiwillig automatisch Ihre Standortdaten zu übermitteln. Die Übermittlung der Standortdaten müssen Sie ausdrücklich aktivieren – etwa durch Auswahl des Feldes „Standort verwenden“ innerhalb der SMB-App.
Falls Sie Ihre Postleitzahl hinterlegen oder Ihren Standort übermitteln, werden wir diese Daten gegebenenfalls dazu nutzen, um andere Leistungsbringer in Ihrer Nähe zu ermitteln und Ihnen diese vorzuschlagen. Dadurch können Sie auch solche Rezepte in unserer App einreichen, die nicht (vollständig) durch uns bearbeitet werden können.
Rechtsgrundlage für die Verarbeitung Ihrer Postleitzahl bzw. Ihrer Standortdaten ist Art. 6 Abs. 1 lit. a DSGVO, soweit Sie in die Verarbeitung dieser Daten zu den genannten Zwecken ausdrücklich eingewilligt haben. Im Übrigen dient auch Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage, da die Verarbeitung der Daten erforderlich ist, um den Vertrag mit Ihnen zu erfüllen. Schließlich dient auch Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage, da wir ein berechtigtes Interesse daran haben, alle über unsere App eingereichten Rezepte vollständig bearbeiten zu können, selbst wenn Anfragen außerhalb unseres Leistungsportfolios liegen, und es auch in Ihrem Interesse liegt, dass Ihre Rezepte vollständig bearbeitet werden.
3. Bei Registrierung in der App
Um die App nutzen zu können, müssen Sie ein passwortgeschütztes Kundenkonto einrichten. Hierfür ist es erforderlich, dass Sie Ihre E-Mail-Adresse sowie Ihren Vor- und Nachnamen eingeben und ein Passwort festlegen. Wir benötigen diese Daten, um den Account erstellen und Ihnen eindeutig zuordnen zu können. Außerdem müssen Sie angeben, ob es sich bei Ihnen um einen Endkunden oder eine Pflegeeinrichtung handelt.
Rechtsgrundlage für die Verarbeitung Ihrer Registrierungsdaten ist daher Art. 6 Abs. 1 lit. b DSGVO, da die Verarbeitung für die Erfüllung eines Vertrags mit Ihnen bzw. zur Durchführung vorvertraglicher Maßnahmen, die auf Ihre Anfrage erfolgen, erforderlich ist.
Ihr Account bleibt grundsätzlich bestehen, bis er auf Ihre Veranlassung hin deaktiviert wird.
4. Bei Übermittlung eines Rezepts
Sie haben die Möglichkeit, ärztliche Verordnungen über die App abzufotografieren. Die erfassten Bilddateien und die dabei generierten Daten werden verschlüsselt an uns übermittelt. Daraufhin verarbeiten wir die dem Rezept zu entnehmenden personenbezogenen Daten. Wir verarbeiten in diesem Zusammenhang Ihren Vor- und Nachnamen sowie Ihre postalische Anschrift, um Ihnen das benötigte Produkt zusenden zu können. Die Verarbeitung dieser Daten ist demnach erforderlich, um den Vertrag mit Ihnen zu erfüllen.
Rechtsgrundlage für die Verarbeitung ist daher Art. 6 Abs. 1 lit. b DSGVO. Zudem dient Ihre ausdrücklich erteilte Einwilligung in die Verarbeitung Ihrer Daten gemäß Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.
Soweit die in dem Rezept genannten Produkte außerhalb unseres Leistungsportfolios liegen und sofern Sie uns Ihre Standortdaten zur Verfügung stellen, wird eine KI-basierte Analyse der Rezeptdaten durchgeführt, um eine Auswahl von Leistungserbringern in Ihrer Nähe zu ermitteln, die die gewünschten Leistungen außerhalb unseres Leistungsportfolios erbringen können.
Sie haben sodann die Möglichkeit, einen der vorgeschlagenen Leistungserbringer auszuwählen und das Rezept an diesen zu übermitteln. Hierfür müssen Sie in der App das Bedienfeld „Rezept übertragen“ auswählen. Die Übertragung erfolgt entweder direkt in das Backend des jeweiligen Leistungserbringers oder über den Drittdienstleister dskom GmbH (Reginhardstr. 34, 13409 Berlin), welcher ein Fax an den entsprechenden Leistungserbringer übersendet.
Rechtsgrundlage für die Übermittlung des Rezepts an den Drittdienstleister sowie an den anderen Leistungserbringer sind Art. 6 Abs. 1 lit. b DSGVO, soweit die Übermittlung zur Erfüllung eines Vertrags mit Ihnen erforderlich ist, sowie Ihre ausdrücklich erteilte Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
Wir weisen darauf hin, dass in diesem Zusammenhang besondere Kategorien personenbezogener Daten in Form von Gesundheitsdaten verarbeitet werden können. Die Verarbeitung von Gesundheitsdaten durch uns ist rechtmäßig, soweit Sie uns gemäß Art. 9 Abs. 2 lit. a DSGVO Ihre ausdrückliche Einwilligung dazu erteilen.
5. Speicherung von Rezeptdaten in der Übertragungshistorie
Soweit Sie uns hierzu Ihre Einwilligung erteilen, werden die Rezept-Daten nach der Übermittlung in Ihrer Übertragungshistorie gespeichert. Hierüber können Sie Ihre vergangenen Rezept-Übermittlungen für bis zu zehn Jahre einsehen, soweit Sie uns nicht schon vorher zur Löschung auffordern. Anschließend werden die Daten gelöscht.
Rechtsgrundlage für die Speicherung Ihrer Rezept-Daten in der Übertragungshistorie ist Ihre ausdrücklich erteilte Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
Die Verarbeitung der Gesundheitsdaten in der Übertragungshistorie ist rechtmäßig, soweit Sie uns gemäß Art. 9 Abs. 2 lit. a DSGVO Ihre ausdrückliche Einwilligung dazu erteilen.
6. Bei Nutzung der Bewertungs- und Kommentarfunktion
Im Rahmen angebotener Bewertungsfunktionen können Sie gegebenenfalls auch Kommentare verfassen. Ihre Bewertung bzw. Ihr Kommentar werden dann gemeinsam mit Ihrem Namen öffentlich angezeigt.
Rechtsgrundlage für die Verarbeitung Ihrer Daten im Rahmen der Bewertungs- und Kommentarfunktion ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, sofern Sie uns diese erteilt haben. Soweit die Verarbeitung erforderlich ist, um einen Vertrag mit Ihnen zu erfüllen, greift Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Schließlich haben wir jedenfalls ein berechtigtes Interesse daran, es unseren Nutzern zu ermöglichen, öffentlich einsehbare Kommentare zu erstellen, wofür die hier genannte Verarbeitung Ihrer Daten auch erforderlich ist, sodass jedenfalls Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage herangezogen werden kann.
Die Kommentare werden nach zehn Jahren gelöscht, sofern Sie die Löschung nicht schon zu einem früheren Zeitpunkt veranlassen.
7. Hilfsmittelheld und HMM
Die von uns verwendete App basiert auf einer Weboberfläche der Hilfsmittelheld GmbH (Karl-Arnold-Str. 18, 73230 Kirchheim unter Teck, nachfolgend „Hilfsmittelheld“). Die über die App erhobenen Daten werden zunächst über diese Weboberfläche von Hilfsmittelheld in unserem Auftrag entgegengenommen. Im Rahmen der oben erwähnten KI-Analyse verwendet Hilfsmittelheld ein Datenextraktionsmodell sowie ein Multi-Class-Klassifikationsmodell, die auf einem eigenen GPU-Server der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen) in Deutschland betrieben werden und individuell durch Hilfsmittelheld trainiert wurden. Falls erforderlich, führt Hilfsmittelheld zusätzlich eine Texterkennung über die Google Cloud Vision API der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland).
Anschließend werden die Daten über eine Schnittstelle von der App über den Kommunikationskanal ZHP X3 der HMM Deutschland GmbH (Eurotec-Ring 10, 47445 Moers, nachfolgend „HMM“) auf sichere Weise an uns übermittelt.
Für den Fall, dass Rezepte außerhalb unseres Leistungsportfolios liegen, führt Hilfsmittelheld die KI-basierte Analyse zur Ermittlung passender Leistungserbringer in Ihrem Umfeld durch. Sowohl Hilfsmittelheld als auch HMM werden als Auftragsverarbeiter für uns tätig. Wir haben mit beiden Anbietern einen Auftragsverarbeitungsvertrag geschlossen. Die dskom GmbH, die Ihr Rezept erforderlichenfalls per Fax an andere Leistungserbringer übermittelt, sowie die Hetzner Online GmbH und die Google Ireland Limited sind Unterauftragsverarbeiter von Hilfsmittelheld.