Diese Erklärung gilt für die Software „Sky Inventory“ (im Folgenden „Anwendung“), die unter sky-inventory.de sowie test.sky-inventory.de betrieben wird. Sie informiert Mitarbeitende der nutzenden Apotheken sowie weitere Personen, deren Daten im Rahmen der Nutzung verarbeitet werden.
Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO für die im Rahmen des Apothekenbetriebs erhobenen Daten (insbesondere Bestände, Chargen, Herstellungs- und Abgabe-Dokumentation, patientenbezogene Pflichtangaben) ist die jeweilige nutzende Apotheke. Die Apotheke ist auch Verantwortliche für die in ihrem Betrieb angelegten Mitarbeiter-Konten.
Auftragsverarbeiter im Sinne des Art. 28 DSGVO:
Blümel Ventures UG (haftungsbeschränkt)
Danneckerstr. 22, 10245 Berlin
Geschäftsführer: Julius Blümel
HRB 135227, Amtsgericht Berlin-Charlottenburg
USt-IdNr.: DE369379243
E-Mail: bluemel.ventures@gmail.com
Die Auftragsverarbeitung erfolgt auf Grundlage einer schriftlichen Vereinbarung nach Art. 28 DSGVO zwischen der Apotheke und Blümel Ventures UG.
Für eigene Zwecke des Auftragsverarbeiters — insbesondere Vertragsabwicklung, Rechnungsstellung gegenüber der Apotheke, Sicherstellung des IT-Betriebs sowie Behebung technischer Fehler — ist Blümel Ventures UG eigene Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Diese Erklärung beschreibt diese Verarbeitungen transparent.
| Zweck | Verantwortliche | Rechtsgrundlage |
|---|---|---|
| Apothekenbetrieb (Bestand, Chargen, Herstellung, Abgabe) | Apotheke | Art. 6 (1) c, Art. 9 (2) h DSGVO i.V.m. § 22 BDSG, § 22 ApBetrO |
| Anmeldung und Authentifizierung von Mitarbeitenden | Apotheke | Art. 6 (1) b, f DSGVO; § 26 BDSG |
| Bereitstellung, Betrieb und Wartung der Anwendung | Blümel Ventures UG | Art. 6 (1) b, f DSGVO |
| IT-Sicherheit (Zugriffs-Logs, Rate-Limits, Fehler-Erkennung) | Blümel Ventures UG | Art. 6 (1) f DSGVO (berechtigtes Interesse: Service-Stabilität) |
| Rechnungsstellung gegenüber der Apotheke | Blümel Ventures UG | Art. 6 (1) b, c DSGVO; § 147 AO |
Nicht gespeichert werden: Patientenadresse, Patientengeburtsdatum, Patiententelefon, Patienten-E-Mail. Diese Felder werden, soweit sie in einzelnen Datenexporten der Telemediziner enthalten sind, beim Import verworfen.
Zur Erbringung der Anwendung greift Blümel Ventures UG auf folgende Sub-Auftragsverarbeiter zurück:
| Anbieter | Zweck | Sitz | Drittland |
|---|---|---|---|
| Hetzner Online GmbH | Hosting (Anwendung, Datenbank, verschlüsselte Backup-Auslagerung) | Deutschland (Falkenstein) | nein |
| Resend Inc. | Versand transaktionaler E-Mails (z. B. Passwort-Zurücksetzung) | USA (Delaware) | ja — SCCs gem. Art. 46 DSGVO |
| Functional Software Inc. (Sentry) | Fehler-Erfassung; personenbezogene Felder werden vor Übertragung serverseitig gefiltert | USA / EU-Region | ja — SCCs gem. Art. 46 DSGVO |
| Telegram FZ-LLC | Betriebs-Alarmierung an die Geschäftsführung (technische Metadaten, keine Patientendaten) | Vereinigte Arabische Emirate | ja — Art. 49 (1) f DSGVO (Schutz lebenswichtiger IT-Interessen) |
| GitHub Inc. | Quellcode-Verwaltung, CI/CD, verschlüsselte Hinterlegung von Wiederherstellungs-Schlüsseln | USA | ja — SCCs gem. Art. 46 DSGVO; nur verschlüsselt übertragen |
Zusätzlich kann eine Übermittlung an Strafverfolgungs- oder Aufsichtsbehörden erfolgen, soweit hierzu eine gesetzliche Verpflichtung besteht.
Soweit Daten an Anbieter mit Sitz außerhalb des Europäischen Wirtschaftsraums übermittelt werden, geschieht dies auf Grundlage von Standardvertragsklauseln (Standard Contractual Clauses) gemäß Durchführungsbeschluss (EU) 2021/914 oder — im Falle von Telegram — auf Grundlage des Art. 49 Abs. 1 lit. f DSGVO zum Schutz lebenswichtiger IT-Interessen. Eine Übermittlung von Patienten- oder Gesundheitsdaten in ein Drittland findet nicht statt.
| Datenart | Frist | Quelle |
|---|---|---|
| Herstellungs- und Prüfdokumentation | 5 Jahre, mindestens 1 Jahr nach MHD | ApBetrO § 22 Abs. 1 |
| Abgabe-Dokumentation | 3 Jahre ab letzter Eintragung | ApBetrO § 22 Abs. 1b |
| Buchungsbelege, Rechnungen | 10 Jahre | AO § 147 |
| Mitarbeiter-Konten | Anonymisierung nach Zweckentfall, längstens nach Beendigung der Tätigkeit | Art. 17 DSGVO i.V.m. § 26 BDSG |
| Authentifizierungs- und Zugriffs-Logs | 90 Tage | Art. 6 (1) f DSGVO |
| Fehler-Telemetrie (Sentry) | 90 Tage | Art. 6 (1) f DSGVO |
Sie haben gegenüber der jeweiligen Verantwortlichen folgende Rechte:
Anfragen gegen die Apotheke richten Sie bitte unmittelbar an Ihre Apothekenleitung. Anfragen gegen Blümel Ventures UG richten Sie an die unter Ziffer 2 genannten Kontaktdaten. Innerhalb der Anwendung können Mitarbeitende ihre Stammdaten unter /profil einsehen und ändern; ein Datenexport ist serverseitig über die Apothekenleitung verfügbar.
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für Blümel Ventures UG ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59-61, 10555 Berlin (datenschutz-berlin.de). Für Anfragen gegen die Apotheke ist die Aufsichtsbehörde des Bundeslandes der Apotheke zuständig.
Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO um. Hierzu zählen insbesondere TLS 1.3 mit HSTS-Preload für alle Verbindungen, Passwort-Hashing mit argon2id, ein rollenbasiertes Berechtigungssystem mit zwingender Filialbindung sicherheitskritischer Berechtigungen, ein vollständiges Audit-Log innerhalb derselben Datenbank-Transaktion wie der fachliche Vorgang, eine Content-Security-Policy mit Nonce, Container-Härtung (cap_drop ALL, no-new-privileges, non-root), nginx-seitige Rate-Limits, tägliche mit gpg AES-256 verschlüsselte Datensicherungen mit räumlich getrennter Auslagerung sowie monatliche automatisierte Wiederherstellungs-Tests.
Die Anwendung verwendet ausschließlich technisch notwendige Cookies (Session-Cookie zur Authentifizierung, Theme-Präferenz). Eine Einwilligung gemäß § 25 TTDSG ist hierfür nicht erforderlich. Tracking- oder Marketing-Cookies werden nicht eingesetzt.
Diese Erklärung wird angepasst, sobald sich die zugrundeliegenden Verarbeitungen wesentlich ändern. Die jeweils aktuelle Fassung ist unter /datenschutz abrufbar.