support@hitoco.de

​​Datenschutzinformation Rezeptservice hiToco®

Bei der Nutzung unseres kostenlosen Rezeptservice erheben und verarbeiten die Medigital GmbH, als Betreiber der App hiToco®, die Selfapy GmbH, als Schwesterunternehmen der Medigital GmbH, und ihr Auftragsverarbeiter HubSpot Inc., sowie die MEDICE Arzneimittel Pütter GmbH & Co. KG, als Mutterkonzern der Medigital GmbH, und ihre Auftragsverarbeiter Valantic Digital Marketing & CRM GmbH und Microsoft Deutschland GmbH, personenbezogene Daten von Ihnen und Ihrem Kind.  

Die in einem Rezept/einem Diagnosenachweis enthaltenen besonders schützenswerten Daten (Gesundheitsdaten) gem. Art. 9 Abs. 1 DSGVO sind grundsätzlich vor einer elektronischen Übermittlung mit einem geeigneten Verfahren zu verschlüsseln. Diese Daten können jedoch auch unverschlüsselt per E-Mail übermittelt werden, soweit alle betroffenen Personen (alle Träger der elterlichen Verantwortung) eingewilligt haben.  

Bei Einwilligung zur Nutzung unseres Rezeptservice können Sie eine solche Einwilligung freiwillig erteilen. 

Wichtiger Hinweis: Die unverschlüsselte Übermittlung personenbezogener Daten im Internet ist mit Risiken verbunden! 

Es werden folgende personenbezogenen Daten erhoben: 

  • Kontaktdaten Elternteil/Sorgeberechtigter (Vor- und Nachname, E-Mail-Adresse) 

  • Kontaktdaten Kind (Vor- und Nachname, Adresse) 

  • Demografische Daten Kind (Geburtsdatum) 

  • Versicherungsdaten Kind (Name der Krankenversicherung, KK-Nummer, Versicherungsnummer) 

  • Gesundheitsdaten (Diagnose, verordnete DiGA) 

  • Kontaktdaten verordnender Arzt (Vor- und Nachname, Praxis-Anschrift) 

  • Bilddaten (Scan/Foto der Verordnung)  

Die Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten und der Daten Ihres Kindes bildet Ihre informierte, freiwillige Einwilligung gemäß Art. 6 Abs. 1 lit. a) i.V.m. Art. 9 Abs. 2 DSGVO.  

Verantwortliche Stelle für den Datenschutz nach DSGVO: 

Medigital GmbH 

Medice Allee 1, 58638 Iserlohn  
Telefon: +49 (0)2371 937 0  
E-Mail: info-medigital[at]medice.de 

Die erhobenen personenbezogenen Daten können für folgende Zwecke verarbeitet werden: 

  • zur Prüfung der Vollständigkeit/Richtigkeit der Verordnung 

  • entweder: zur digitalen Weiterleitung der Verordnung an die zuständige Krankenkasse zur Prüfung und Ausstellung eines Freischaltcodes gemäß § 139e SGB V 

  • oder: zur postalischen Weiterleitung der Verordnung an die zuständige Krankenkasse zur Prüfung und Ausstellung eines Freischaltcodes gemäß § 139e SGB V 

  • ggf. zur Kontaktaufnahme bei Rückfragen/Unvollständigkeit der Verordnung 

  • zu Kommunikationszwecken zur hiToco®-App (z.B. Information der Betroffenen über den Bearbeitungsstatus der Verordnung, Willkommensmail) 

  • zur internen Analyse und Wirksamkeitsauswertung des Rezeptservice 

Die Erhebung Ihrer personenbezogenen Daten und der Daten Ihres Kindes erfolgt über die Eingabemaske auf der hiToco®-Webseite der Medigital GmbH. Von dort aus werden Ihre Daten verschlüsselt zur weiteren Verarbeitung und Speicherung an das CRM-System der Selfapy GmbH auf den Servern des Dienstleisters HubSpot Inc. in Europa weitergeleitet.  

Bei einem vollständig und korrekt ausgefüllten Rezept, erfolgt die Übermittlung der Verordnung als einfache PDF-, JPG- oder PNG-Datei per Mail an Ihre Krankenkasse über den Microsoft Workspace der MEDICE Arzneimittel Pütter GmbH & Co. KG, auf Servern in Deutschland.  

In Einzelfällen erfolgt die Übermittlung der Verordnung postalisch an Ihre Krankenkasse über den Service LetterXpress des Versanddienstleisters A&O Fischer GmbH Co. KG.  

Bei einer unvollständigen/nicht korrekt ausgefüllten Verordnung erfolgt die zugehörige Korrespondenz per Mail über den Microsoft Workspace der MEDICE Arzneimittel Pütter GmbH & Co. KG, auf Servern in Deutschland. Hierrüber erfolgt ebenfalls die Übermittlung der korrigierten/neu ausgestellten Verordnung als einfache PDF-, JPG- oder PNG-Datei per Mail an Selfapy. 

Zugriff- und Verarbeitungsrechte zu diesen Daten haben ausschließlich die für die Durchführung des Rezeptservice zuständigen, autorisierten Mitarbeiter der Selfapy GmbH. 

Zum Zwecke der Kontaktaufnahme per Mail (z.B. für Willkommensmails, Erinnerungen, etc.) und internen Wirksamkeitsanalyse des Rezeptservice übermittelt die Selfapy Ihre E-Mail-Adresse zusätzlich zur weiteren Verarbeitung und Speicherung an das CRM-System der MEDICE Arzneimittel Pütter GmbH & Co KG, auf den Servern des Dienstleisters salesforce.com Inc. in Deutschland.  

Zugriff- und Verarbeitungsrechte zu diesen Daten haben ausschließlich die jeweils zuständigen, autorisierten Mitarbeiter der MEDICE Arzneimittel Pütter GmbH, der Medigital GmbH und der Valantic Digital Marketing & CRM GmbH. 

Ihre personenbezogenen Daten und die Daten Ihres Kindes werden bis zur Erfüllung der o. g. Zwecke / bis zum Widerruf Ihrer Einwilligung, längstens für 3 Monate durch die involvierten Parteien gespeichert und hiernach manuell durch alle Parteien gelöscht. 

An folgende Dritte Parteien können Ihre Daten übermittelt werden: 

  • die für die Durchführung des Rezeptservice zuständigen Mitarbeiter der Selfapy GmbH 

  • der den Weisungen der Selfapy unterliegende Auftragsverarbeiter (HubSpot Inc.)  

  • die den Weisungen der MEDICE Arzneimittel Pütter GmbH & Co. KG unterliegenden Auftragsverarbeiter (salesforce.com Inc., Microsoft Deutschland GmbH, Valantic Digital Marketing & CRM GmbH) 

  • zuständige Krankenkassen 

Hierzu bestehen entsprechende vertragliche Vereinbarungen gem. Art. 26 DSGVO zwischen Medigital und MEDICE, sowie vertragliche Vereinbarungen gem. Art. 28 DSGVO zwischen der MEDICE, als Mutterkonzern der Medigital, und Selfapy. 

Ebenso bestehen entsprechende vertragliche Vereinbarungen gem. Art. 28 DSGVO zwischen Sefapy und dem Auftragsverarbeiter HubSpot, sowie zwischen MEDICE und den Auftragsverarbeitern salesfroce, Microsoft und Valantic. 

Bei dem von Selfapy eingesetzten IT-Dienstleister HubSpot Inc. handelt es sich um ein US-Unternehmen. Selfapy setzt nur US-Unternehmen ein, welche sich unter dem EU-US Data Privacy Framework zertifiziert haben, somit der Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO greift (d.h. ein angemessenes Datenschutzniveau besteht) und bei denen eine Datenverarbeitung ausschließlich auf Servern innerhalb der EU erfolgt. Um Ihre Daten zu schützen, wurden darüber hinaus Vereinbarungen zur Auftragsverarbeitung auf Grundlage der Standardvertragsklauseln der Europäischen Kommission mit dem Dienstleister abgeschlossen. 

Bei den von MEDICE eingesetzten IT-Dienstleistern salesforce.com Inc., sowie der Microsoft Corporation, als Mutterkonzern der Microsoft Deutschland GmbH, handelt es sich um US-Unternehmen. Die MEDICE setzt nur US-Unternehmen ein, welche sich unter dem EU-US Data Privacy Framework zertifiziert haben, somit der Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO greift (d.h. ein angemessenes Datenschutzniveau besteht) und bei denen eine Datenverarbeitung ausschließlich auf Servern innerhalb der EU erfolgt. Um Ihre Daten zu schützen, wurden darüber hinaus Vereinbarungen zur Auftragsverarbeitung auf Grundlage der Standardvertragsklauseln der Europäischen Kommission mit den Dienstleistern abgeschlossen.  

Medigital versichert Ihre personenbezogene Daten nur an Stellen weiterzugeben, die ein geeignetes Datenschutzkonzept entsprechend den geltenden Verordnungen und Gesetzen vorweisen können und mit denen, wenn erforderlich, entsprechende vertragliche Vereinbarungen gem. Art. 26 oder Art. 28 DSGVO bestehen.   

Im Rahmen der Verarbeitung Ihrer personenbezogenen Daten ist es unser Ziel Ihre Betroffenenrechte zu jedem Zeitpunkt zu gewährleisten.  

Folgende Rechte können Sie in Bezug auf Ihre personenbezogenen Daten wahrnehmen:  

  • Sie können Auskunft über die Verarbeitung Ihrer Daten verlangen.  

  • Sie können die Anpassung Ihrer personenbezogenen Daten fordern, sofern diese fehlerhaft oder unvollständig sind.  

  • Sie können die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten fordern. (1) Für die Dauer der Überprüfung der Richtigkeit der Daten. (2) Wenn die Verarbeitung unrechtmäßig ist und Sie eine Löschung ablehnen. (3) Wenn die Daten vom Verantwortlichen für die Verarbeitungszwecke nicht länger benötigt werden, Sie diese jedoch zu Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen. (4) Im Falle eines Widerspruchs gegen die Datenverarbeitung, solange die entsprechende Interessensabwägung nicht geklärt ist. 

  • Sie können eine Datenübertragung der zu Ihrer Person erhobenen Daten an Sie oder eine von Ihnen bestimmte Stelle verlangen. 

  • Sie können, bei Vorliegen einer Beschwerdegrundlage, eine Beschwerde bei der zuständigen Datenschutzbehörde einreichen. Die Kontaktdaten der Datenschutzaufsichtsbehörden aller Bundesländer finden Sie unter folgender Internetadresse: 

https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

  • Sie können die Löschung der zu Ihrer Person erhobenen Daten verlangen.  

  • Sie können der Verarbeitung Ihrer personenbezogenen Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit formlos, ohne Angaben von Gründen widersprechen. Wenn die Verarbeitung aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt. 

  • Sie können eine erteilte Einwilligung zur Datenverarbeitung jederzeit formlos, ohne Angabe von Gründen widerrufen. Wenden Sie sich dafür bitte an: privacy-medigital[at]medice.de

Bei einem Widerspruch/Widerruf entstehen Ihnen keine Nachteile. Der Widerspruch gilt dabei mit Wirkung für die Zukunft; die bisherigen Datenweitergaben bleiben rechtmäßig. Ihre Daten werden fortan nur noch eingeschränkt durch die involvierten Parteien verarbeitet, wenn entsprechende gesetzliche Vorgaben nach Art. 6 Abs. 1 lit. c) und unser berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f) DSGVO dies vorgeben. 

Falls Sie weitere Fragen zum Umgang mit Ihren personenbezogenen Daten haben oder von Ihren anderen Rechten Gebrauch machen möchten, wenden Sie sich gerne an unser Datenschutzteam unter privacy-medigital[at]medice.de

Bei vertraulichen Anliegen in Bezug auf den Datenschutz können Sie sich direkt an unsere Datenschutzbeauftragte wenden unter dsb[at]medice.de