Datenschutz-Verfahrensverzeichnis

Erstellung des digitalen Impfnachweises

Wie bieten die Möglichkeit zur Erstellung eines digitalen Impfnachweises. Um dieses erstellen zu können, schauen wir uns zur Prfüfung der Authentizität und Identität den jeweiligen Impfausweis sowie das entsprechende ausweisende Dokument an. Im Anschluss nimmt unser Apothekenpersonal folgende Daten auf:

  • Vor- und Nachnamen
  • Geburtsdatum
  • Zielkrankheit oder -erreger
  • Impfarzneimittel, Nummern der Erst- und Wiederimpfung, Datum der Impfungen

Diese Daten werden über ein Portal des Deutschen Apotheker Verbands an das Robert Koch-Institut übermittelt, die das Impfzertifikat mit QR-Code erstellt und dieses wieder an unsere Apotheke zurück übermittelt, die das Zertifikat wiederum ausdruckt oder digital übermittelt. Auf Kundenwunsch werden die Zertifikate per Mail an eine vom Kunden erfasste Mailadresse mit einem vom Kunden gewünschten Passwort als verschlüsselte PDF-Datei gesendet. Die dabei benutzte Technik nutzt den vom BSI empfohlenen Verschüsselsungsstandard AES-256 und gilt als sicher. Eine Speicherung oben genannter Daten bei uns oder im Apothekenportal findet nicht statt.

Rechtsgrundlage für die Verarbeitung dieser personenbezogenen Daten ist in Artikel 6 Abs. 1 lit. b und lit. C DSGVO in Verbindung mit §22 Abs. 5 Infektionsschutzgesetz und der Dienstleistungsvertrag mit der Apotheke über die Erstellung des Impfzertifikats.

Eine Einwilligungserklärung des Patienten bzgl. der Ausstellung des Impfzertifikates muss aufgrund der gesetzlichen Rechtsgrundlage aus §22 Abs. 5 Infektionsschutzgesetz nicht eingeholt werden.

Zusätzlich möchten wir noch auf die Datenschutzhinweise des Robert Koch Instituts (RKI) zum digitalen COVID-Zertifikats hinweisen.

Immunkarte - Digitaler Impfnachweis als Kunststoffkarte

Wir bieten eine Service für Kunden, die den digitalen Impfnachweis ohne Smartphone oder Ausdrucke des Impfnachweises nutzen wollen.

Bei der Erstellung der Immunkarte verarbeiten wir die unter "Personenbezogene Daten" aufgeführten Daten. Datenschutzinformationen zu dem offiziellen QR-Code und wie Daten beim Auslesen durch Apps des Robert-Koch-Instituts wie der CovPass-App verarbeitet werden, entnehmen Sie bitte den Informationen des Bundesgesundheitsministeriums, bzw. den Datenschutzinformationen der entsprechenden Apps. Die Immunkarte ist nur ein physischer Träger des offiziellen QR-Codes.

Wie die Datenverarbeitung darüber hinaus erfolgt, können sie den nachfolgenden Abschnitten entnehmen.

Beschreibung der Verarbeitungstätigkeit

Die Staufen Apotheke nimmt die unter "Personenbezogene Daten" gelisteten Daten auf und übermittelt diese an

 APO Pharma Immun GmbH,
 Spinnereistraße 7 | Halle 20E
 04179 Leipzig
 Tel.: 0800 5739333
 E-Mail: datenschutz@immunkarte.de

Im Anschluss übermittelt die APO Pharma Immun GmbH die zum Druck und Versand der Immunkarte notwendigen Daten (Vor- und Nachname, Lieferadresse und QR-Code) an die

 Germancard Technologies GmbH 
 Ottostr. 5 
 50170 Kerpen, Deutschland

Diese druckt dann Ihre personalisierte Immunkarte und sendet diese im Anschluss per Post an die von Ihnen angegebene Lieferadresse.

Verarbeitungszweck

Zweck der Datenverarbeitung ist die Ausstellung der Immunkarte.

Personenbezogene Daten

  • Vor- und Nachnamen des Kunden
  • Lieferadresse des Kunden
  • E-Mail-Adresse
  • QR-Code des offiziellen Impfzertifikats, der unabhängig von der Immunkarte durch das Bundesgesundheitsministerium erstellt wurde.
      • Diese beinhaltet folgende Daten der geimpften Person:
        • Vor- und Nachnamen
        • Geburtsdatum
        • Datum und Impfstoff und Nummer der Impfungen
        • Gegebenenfalls eine Kennzeichnung einer Genesenimpfung
        • Signatur der Daten, die durch das RKI bei der Erstellung des Impfnachweises erstellt wurde (Fälschungssicherheit)

 

Speicherung und Löschung der personenbezogenen Daten

Die Daten werden sofort nach Übermittelung an die APO Pharma Immun GmbH gelöscht und nicht weiter in der Staufen Apotheke gespeichert. Ein nachträglicher Zugriff der Apotheke auf noch nicht verarbeitete/hinterlegte Daten ist nicht möglich.

Für die Folgeverarbeitung bei den Firmen

  • APO Pharma Immun GmbH, Spinnereistraße 7 | Halle 20E, 04179 Leipzig
  • Germancard Technologies GmbH, Ottostr. 5, 50170 Kerpen

gilt: Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Verarbeitung nicht mehr erforderlich sind, Sie Ihre Einwilligung in die Datenverarbeitung widerrufen haben und sofern nicht anderweitig eine längere Datenaufbewahrung gesetzlich vorgeschrieben (z.B. gesetzliche Aufbewahrungspflichten).

 

Rechtliche Grundlagen der Verarbeitung

Die Rechtsgrundlage der Verarbeitung der Daten zur Durchführung des Vertragsschlusses, wie beispielsweise Name, Rechnungsadresse und Zahlungsinformationen ergibt sich aus Art. 6 Abs. 1 S. 1 lit. b) DSGVO. Die Bereitstellung von Daten ist für den Vertragsschluss erforderlich. Bei Nichtbereitstellung dieser Daten ist ein Vertragsabschluss und/oder die -Durchführung nicht möglich.

Rechtsgrundlage der Verarbeitung von Gesundheitsdaten sowie des Lichtbildes ist die ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a), Art. 9 Abs. 2 lit. a) DSGVO, § 20 Abs. 2 Personalausweisgesetz.

Rechtsgrundlage der Verarbeitung Ihrer Gesundheitsdaten ist eine ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a), Art. 9 Abs. 2 lit. a) DSGVO.

Corona-Schnelltests und PCR-äquivalenter ID NOW COVID-19 NAT-Test

Wir bieten über den Link https://www.terminland.de/staufen-apotheke-salach/ eine Möglichkeit zur Reservierung von Corona-Schnelltest Terminen und nutzen diese Terminplattform auch für telefonische oder persönliche Terminreservierungen. Die hier gespeicherten Daten sind:

  • Vor- und Nachname
  • Geburtsdatum
  • Anschrift
  • Mailadresse und Telefonnummer
  • Datum und Uhrzeit der Testung

Bis zum 30.06.2021 werden diese Daten nach spätestens 5 Arbeitstagen nach der Testung gelöscht. Ab dem 01.07.2021 werden diese Daten als Leistungsnachweis weiter aufbewahrt. Siehe hierzu folgende Ausführungen.

Ab 01.07.2021 sind wir durch die Coronavirus-Testverordnung - TestV vom 24.06.21, §7 (5) verpflichtet, folgende personenbezogene Daten der Testpersonen zum Zwecke der Leistungsdokumentation zu speichern und bis 31.12.2024 aufzubewahren.

  • Vor- und Nachname
  • Geburtsdatum
  • Anschrift
  • Datum und Uhrzeit der Testung
  • Ergebnis der Testung
  • bei positivem Test: Nachweis der Meldung an Gesundheitsamt

Eine Einwilligungserklärung des Patienten bzgl. der Speicherung des Corona-Schnelltests muss aufgrund der gesetzlichen Rechtsgrundlage aus §7 Abs. 5 Coronavirus-Testverordnung - TestV vom 24.06.21 nicht eingeholt werden.

Übermittlung der  Corona-Warn-App (CWA) bzgl. der Schnelltest-Ergebnisse

Ab 01.08.2021 bieten wir auf Kundenwunsch an, das Schnelltestergebnis an die Corona-Warn-App anzubinden.

Beschreibung der Verarbeitungstätigkeit

Die personenbezogenen Daten (siehe unten) werden im Testzentrum (Staufen Apotheke), welche diese Aufklärungshinweise anzeigt, erfasst. Diese Daten werden in einem Internetportal, welches von der T-Systems International GmbH für das Testzentrum betrieben wird, gespeichert. Das Internetportal erzeugt eine Zufallszahl (die GUID), die in einem QR-Code gespeichert wird. Ein QR-Code ist ein Code aus Punkten und Leerstellen, der durch eine Kamera gelesen werden kann. Diesen können Sie mittels Ihres Mobilgeräts einlesen und zum Abruf Ihres Testergebnisses über das Internet verwenden.

Die personenbezogenen Daten werden zu Abrechnungszwecken und zur Dokumentation des Tests in dem Internetportal gespeichert. Die Daten können dort vom Testzentrum abgerufen werden.

Verarbeitungszwecke

Personenbezogene Daten werden zu folgenden Zwecken verarbeitet:

  1. Um zu ermöglichen, das Testergebnis über das Internet abzurufen.
  2. Um die Leistung der Durchführung des Tests gegenüber der Bundesrepublik Deutschland durch das Testzentrum abzurechnen.
  3. Um die Testdurchführung und das Testergebnis für die gesetzlich vorgeschriebene Dauer zu dokumentieren.
  4. Um eine namentliche Meldung nach den §§ 6 - 9 IfSG an das zuständige Gesundheitsamt im Falle eines positiven Testergebnisses durchzuführen.

 

Personenbezogene Daten

Folgende personenbezogene Daten werden verarbeitet und gespeichert:

  • Name;
  • Vorname;
  • Geburtsdatum;
  • Geschlecht;
  • Adresse;
  • Telefonnummer;
  • eMail-Adresse;
  • Adresse des Testzentrums;
  • Zeitpunkt der Testdurchführung;
  • Testhersteller und der Name des eingesetzten Tests;
  • individuelle Seriennummer oder sonstige von der Teststelle vergebene individuelle Bezeichnung Ihres Tests;
  • eine für jeden Test neu ermittelte Zufallszahl;
  • die CWA Test ID: Diese wird als Hashwert aus den Angaben Ziffer 1 bis 3, 9, 11 und 12 (personalisierte Anzeige des Testergebnisses) oder 9 und 11 (pseudonymisierte Anzeige des Testergebnisses) errechnet und als Hashwert, zur Gänze und in der Form der ersten 8 Zeichen zur Kennzeichnung des Tests verwendet;
  • das Testergebnis

Rechtliche Grundlagen der Verarbeitung

Die Verarbeitung erfolgt auf Basis der folgenden Rechtsgrundlagen gemäß Art. 6 Abs. 1 lit. e) DSGVO und Art. 9 Abs. 2 lit. h) DSGVO:

  1. Für den Zweck, Ihnen zu ermöglichen, das Testergebnis über das Internet abzurufen: §§ 1, 4a Corona-TestV.
  2. Für den Zweck, die Leistung der Durchführung des Tests gegenüber der Bundesrepublik Deutschland durch das Testzentrum abzurechnen: §§ 1, 4a, 7, 11 12 Corona-TestV.
  3. Für den Zweck, die Testdurchführung und das Testergebnis für die gesetzlich vorgeschriebene Dauer zu dokumentieren: § 630f BGB.
  4. Für den Zweck, eine namentliche Meldung nach den §§ 6 - 9 IfSG durchzuführen: §§ 6 - 9 IfSG.

 

Speicherung und Löschung der personenbezogenen Daten

Die personenbezogenen Daten werden binnen folgender Fristen gelöscht:

  1. Der Hashwert der CWA Test ID: 14 Tage nach Durchführung des Tests;
  2. Die CWA Test ID: 10 Jahre nach Ende des Kalenderjahrs der Testdurchführung;
  3. Name: 10 Jahre nach Ende des Kalenderjahrs der Testdurchführung;
  4. Vorname: 10 Jahre nach Ende des Kalenderjahrs der Testdurchführung;
  5. Geburtsdatum: 10 Jahre nach Ende des Kalenderjahrs der Testdurchführung;
  6. Geschlecht: 10 Jahre nach Ende des Kalenderjahrs der Testdurchführung;
  7. Adresse: 10 Jahre nach Ende des Kalenderjahrs der Testdurchführung;
  8. Telefonnummer: 10 Jahre nach Ende des Kalenderjahrs der Testdurchführung;
  9. eMail-Adresse: 10 Jahre nach Ende des Kalenderjahrs der Testdurchführung;
  10. Testhersteller und der Name des eingesetzten Tests: 10 Jahre nach Ende des Kalenderjahrs der Testdurchführung;
  11. Die individuelle Seriennummer oder sonstige von der Teststelle vergebene individuelle Bezeichnung Ihres Tests: 10 Jahre nach Ende des Kalenderjahrs der Testdurchführung;
  12. Datum der Testdurchführung: 10 Jahre nach Ende des Kalenderjahrs der Testdurchführung;
  13. Testergebnis: 10 Jahre nach Ende des Kalenderjahrs der Testdurchführung.

 

Salach, den 30.07.2021

Rainer Stransky
Datenschutzbeauftragter der Staufen Apotheke in Salach