Datenschutzerklärung

Verantwortlich für die Verarbeitung personenbezogener Daten ist:

Für Datenschutzanfragen, Auskunftsersuchen, Löschanfragen, Berichtigungsanfragen, Widerrufe und sonstige Anliegen im Zusammenhang mit personenbezogenen Daten ist der Datenschutzkontakt erreichbar unter:

• Stammdaten: Name, Geburtsdatum, Anschrift, Geschlecht, Kundennummer, Nutzerkennung.
• Kontaktdaten: E-Mail-Adresse, Telefonnummer, Anschrift, Kommunikationskanal.
• Kontodaten: Login-Daten, Nutzerrolle, Organisation, Berechtigungen, Verifizierungsstatus, Zeitstempel.
• Gesundheitsdaten: Angaben zu Beschwerden, Diagnosen, Vorerkrankungen, Medikamenten, Therapieangaben, Präparaten, Dosierung, Rezeptdaten, ärztlichen Einschätzungen und medizinischen Rückfragen.
• Rezept- und Prozessdaten: Rezeptstatus, Apothekenauswahl, Präparat, Menge, Dosierung, Bearbeitungsstatus, Weiterleitungsstatus, Kommunikationshistorie.
• Zahlungs- und Rechnungsdaten: Rechnungsdaten, Zahlungsstatus, Transaktionsreferenzen, gebuchte Leistungen, Erstattungen, steuerliche Nachweise.
• Kommunikationsdaten: E-Mails, Kontaktformularinhalte, Supportanfragen, Telefonnotizen, Nachrichtenverläufe, Rückfragen.
• Apotheken- und B2B-Daten: Unternehmensdaten, Ansprechpartner, Apothekenstandorte, Angebotsdaten, Bestelldaten, Produktdaten, Preis- und Verfügbarkeitsdaten.
• Technische Daten: IP-Adresse, Browser, Gerätetyp, Betriebssystem, Zeitstempel, Log-Dateien, Sicherheitsereignisse, Fehlerdaten, Sitzungsdaten.
• Nutzungsdaten: Aufgerufene Funktionen, Formularfortschritte, Prozessschritte, Statusänderungen, Interaktionen innerhalb der Plattform.

• Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung und vorvertragliche Maßnahmen (Registrierung, Nutzerkonto, Plattformnutzung, kostenpflichtige Leistungen, Support, Rezeptprozess, Zahlungsabwicklung, B2B-Leistungen).
• Art. 6 Abs. 1 lit. c DSGVO: Erfüllung gesetzlicher Verpflichtungen (steuerlich, handelsrechtlich, buchhalterisch, regulatorisch).
• Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen (sicherer Plattformbetrieb, Missbrauchsprävention, Fehleranalyse, Rechtsverteidigung, Prozessdokumentation, B2B-Abwicklung, wirtschaftliche Steuerung).
• Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (jederzeit mit Wirkung für die Zukunft widerrufbar).
• Art. 9 Abs. 2 lit. h DSGVO: Gesundheitsdaten für Zwecke der Gesundheitsversorgung oder Behandlung.
• Art. 9 Abs. 2 lit. a DSGVO: Ausdrückliche Einwilligung für Gesundheitsdatenverarbeitung.
• Art. 9 Abs. 2 lit. f DSGVO: Gesundheitsdaten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Personenbezogene Daten werden nur an Empfänger weitergegeben, soweit dies für den jeweiligen Zweck erforderlich ist, eine gesetzliche Pflicht besteht, eine Einwilligung vorliegt oder eine sonstige Rechtsgrundlage die Weitergabe erlaubt.

• Ärztinnen und Ärzte: Medizinische Prüfung, Behandlung, Rückfrage, Rezeptentscheidung, Dokumentation.
• Apotheken: Bearbeitung von Rezepten, Verfügbarkeit, Abholung, Versand, Rückfragen, pharmazeutische Versorgung.
• Zahlungsdienstleister: Abwicklung von Zahlungen, Rückerstattungen, Rechnungen, Zahlungsstatus.
• Hosting- und Infrastruktur-Dienstleister: Technische Bereitstellung, Speicherung, Auslieferung, Sicherung.
• Authentifizierungs- und Login-Dienstleister: Registrierung, Anmeldung, Nutzerverwaltung, Rollenverwaltung, Zugriffskontrolle.
• E-Mail- und Kommunikationsdienstleister: Versendung von E-Mails, Statusinformationen, Supportantworten, Systemnachrichten.
• Videodienstleister: Durchführung digitaler Videosprechstunden.
• Signatur- und Dokumentendienstleister: Erstellung, Übermittlung, Signatur von Dokumenten, Rezepten.
• Support-, CRM- und Helpdesk-Dienstleister: Bearbeitung von Anfragen, Vorgängen, Kommunikation, Nutzerbetreuung.
• Buchhaltung, Steuerberatung und Rechtsberatung: Rechnungsstellung, steuerliche Dokumentation, rechtliche Prüfung.
• Behörden, Gerichte und öffentliche Stellen: Bei gesetzlicher Verpflichtung zur Offenlegung.
• Interne Mitarbeitende und berechtigte Auftragnehmer: Bearbeitung, technische Administration, Support, Abrechnung, Prozesssteuerung.

• Hosting und Deployment: Vercel, Cloudflare oder vergleichbare Infrastruktur- und Bereitstellungsdienste.
• Backend, Datenbank und Serverfunktionen: Convex oder vergleichbare Backend- und Datenbankdienste.
• Authentifizierung und Nutzerverwaltung: Clerk oder vergleichbare Authentifizierungsdienste.
• Zahlungsabwicklung: Stripe oder vergleichbare Zahlungsdienstleister.
• E-Mail, Benachrichtigungen und Kommunikation: E-Mail-, Newsletter-, Transaktionsmail- oder Kommunikationsdienstleister.
• Video- und Telemedizin-Kommunikation: Daily.co oder vergleichbare Videodienstleister.
• Dateispeicherung und Dokumentenverarbeitung: Cloudspeicher-, Dokumenten- oder Signaturdienste.
• Monitoring, Fehleranalyse und Sicherheit: Monitoring-, Logging-, Sicherheits- und Analysewerkzeuge.
• Apotheken-, Produkt- und Verfügbarkeitsschnittstellen: Schnittstellenanbieter, Apothekenportale, Produktdatenanbieter, Warenwirtschafts- oder Verfügbarkeitsanbieter.

Eine Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums kann stattfinden, soweit eingesetzte Dienstleister, verbundene Unternehmen oder Unterauftragnehmer ihren Sitz, Serverstandorte oder Zugriffsmöglichkeiten außerhalb der EU/EWR haben.

In diesen Fällen erfolgt die Übermittlung nur auf Grundlage geeigneter Garantien im Sinne der DSGVO, insbesondere auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission, der EU-Standardvertragsklauseln oder sonstiger zulässiger Übermittlungsmechanismen.

Dies kann insbesondere technische Dienstleister aus den Bereichen Hosting, Authentifizierung, Zahlungsabwicklung, Kommunikation, Monitoring, Support und Cloud-Infrastruktur betreffen.

• Nutzerkonto: Für die Dauer des aktiven Nutzerkontos. Nach Löschung gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten, Nachweispflichten oder berechtigten Interessen bestehen.
• Medizinische Anfrage-, Gesundheits- und Rezeptdaten: Für die Dauer, die für Bearbeitung, medizinische Dokumentation, Nachvollziehbarkeit, gesetzliche Pflichten und Rechtsverteidigung erforderlich ist.
• Zahlungs- und Rechnungsdaten: Entsprechend gesetzlicher Aufbewahrungspflichten, regelmäßig bis zu zehn Jahre.
• Kommunikations- und Supportdaten: Solange zur Bearbeitung, Dokumentation, Qualitätssicherung, Rechtsverteidigung oder Erfüllung gesetzlicher Pflichten erforderlich.
• Technische Logs und Sicherheitsdaten: Solange für IT-Sicherheit, Missbrauchsprävention, Fehleranalyse und Systembetrieb erforderlich. Sicherheitsrelevante Logs können länger gespeichert werden.
• Apotheken-, Partner- und B2B-Daten: Für die Dauer der Geschäftsbeziehung. Danach nur soweit gesetzliche Aufbewahrungspflichten, Nachweispflichten oder berechtigte Interessen bestehen.
• Einwilligungsnachweise: Solange zum Nachweis der Rechtmäßigkeit der Verarbeitung erforderlich.

Die Bereitstellung bestimmter personenbezogener Daten ist erforderlich, damit PhytoMedic genutzt werden kann.

Ohne erforderliche Angaben können insbesondere folgende Leistungen nicht oder nicht vollständig erbracht werden: Registrierung und Nutzerkonto, medizinische Anfrage, ärztliche Prüfung, Rezeptprozess, Apothekenweiterleitung, Zahlungsabwicklung, Support, B2B-Portal, Apothekenkommunikation, Bestell- und Angebotsprozesse.

Freiwillige Angaben sind als solche erkennbar oder ergeben sich aus dem jeweiligen Nutzungskontext.

Betroffene Personen haben nach Maßgabe der gesetzlichen Voraussetzungen folgende Rechte:

• Recht auf Auskunft nach Art. 15 DSGVO
• Recht auf Berichtigung nach Art. 16 DSGVO
• Recht auf Löschung nach Art. 17 DSGVO
• Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO
• Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
• Recht auf Widerspruch nach Art. 21 DSGVO
• Recht auf Widerruf einer Einwilligung mit Wirkung für die Zukunft
• Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde

Anfragen zur Ausübung dieser Rechte können gerichtet werden an:

Soweit die Verarbeitung personenbezogener Daten auf einer Einwilligung beruht, kann diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden.

Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung, die bis zum Zeitpunkt des Widerrufs erfolgt ist.

Der Widerruf kann per E-Mail gerichtet werden an: team@phytomedic.de

Soweit personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeitet werden, besteht das Recht, aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen.

Nach einem Widerspruch werden die betroffenen personenbezogenen Daten nicht mehr verarbeitet, es sei denn, es liegen zwingende schutzwürdige Gründe für die Verarbeitung vor oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Eine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO findet nicht statt.

Automatisierte technische Prozesse können eingesetzt werden, um Eingaben zu strukturieren, Statusanzeigen zu erzeugen, Produkt- oder Apothekeninformationen darzustellen, Prozessschritte vorzubereiten oder technische Abläufe zu unterstützen. Eine verbindliche medizinische Entscheidung erfolgt nicht ausschließlich automatisiert.

Wir setzen technische und organisatorische Maßnahmen ein, um personenbezogene Daten gegen Verlust, Missbrauch, unbefugten Zugriff, Veränderung, Offenlegung oder Zerstörung zu schützen.

Dazu gehören insbesondere Zugriffsbeschränkungen, Rollen- und Rechtekonzepte, Protokollierung, Verschlüsselung, sichere Übertragungswege, Systemüberwachung, Sicherheitsprüfungen und organisatorische Vertraulichkeitsvorgaben.

Im Rahmen von PhytoMedic können Gesundheitsdaten verarbeitet werden. Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten und unterliegen einem erhöhten Schutz.

Gesundheitsdaten werden nur verarbeitet, soweit dies für den jeweiligen medizinischen, organisatorischen, technischen oder rechtlich zulässigen Zweck erforderlich ist.

Der Zugriff auf Gesundheitsdaten wird auf berechtigte Personen und erforderliche Verarbeitungsvorgänge beschränkt. Beteiligte Ärztinnen, Ärzte, Apotheken und sonstige Berufsgeheimnisträger unterliegen zusätzlich ihren eigenen gesetzlichen, beruflichen und datenschutzrechtlichen Pflichten.

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Zuständige Aufsichtsbehörde kann insbesondere die Datenschutzaufsichtsbehörde am Sitz des Verantwortlichen oder die Datenschutzaufsichtsbehörde am Aufenthaltsort der betroffenen Person sein.

Für alle Datenschutzanfragen: