Öffentliches Verfahrensverzeichnis der Thieme Compliance GmbH Erläuterungen zum Datenschutz Der Schutz Ihrer persönlichen Daten und die Beachtung der Bestimmungen des Bundesdatenschutzgesetzes (BDSG) sind für uns selbstverständlich. Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Sie haben ein Recht auf Auskunft, daher informieren wir Sie hiermit in Anlehnung an die Paragrafen 4d und 4e BDSG über unsere generellen Verfahrensweisen. Aus Gründen der Lesbarkeit verzichten wir auf eine Unterscheidung der männlichen und weiblichen Ansprache, natürlich sind sowohl unsere weiblichen als auch männlichen User gemeint. 1. Verantwortliche Stelle Thieme Compliance GmbH (nachfolgend Thieme Compliance genannt) 2. Vertreten durch Reinhold Tokar, Geschäftsführer Dr. Udo Schiller, Geschäftsführer Hubert Köferl, Prokurist Verantwortlich für die Datenverarbeitung: Rainer Friedensohn Die Datenschutzbeauftragte: Kerstin Blossey Telefon: +49 9131/93406-19 E-Mail: datenschutz@thieme-compliance.de Die zuständige Datenschutzaufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 (Schloss), 91522 Ansbach Telefon: +49 981/53-1300 E-Mail: poststelle@lda.bayern.de 3. Anschrift der verantwortlichen Stelle Thieme Compliance GmbH Am Weichselgarten 30 91058 Erlangen Seite 1 von 5
4. Zweckbestimmung Thieme Compliance ist mit mehr als 30 Jahren Markterfahrung ein führender Systemanbieter für medizinisch und juristisch fundierte Patientenaufklärung. Der Spezialist für prozessorientierte Lösungen bietet ein umfassendes Sortiment an Aufklärungsprodukten in allen gängigen Medien: Print- und Digitalprodukte, Filme sowie Durchschreibesätze. Damit steht Kliniken und Praxen eine breite Auswahl zur Verfügung, die sich individuell auf verschiedene Aufklärungssituationen anpassen lässt. Für höchste inhaltliche Qualität und Aktualität der Produkte sorgt ein Expertenteam von über 400 medizinischen Herausgebern, Autoren und Juristen. Höchste Qualitätsstandards dokumentiert das Erlanger Unternehmen auch mit den Zertifizierungen nach DIN EN ISO 13485 und DIN EN ISO 9001. Im Rahmen der Erfüllung dieser Aufgaben ist es erforderlich, persönliche und sachliche personenbezogenen Daten zu folgenden Zwecken zu erheben, zu verarbeiten und zu nutzen: - Produktinformation print und online, Beratung zur Produktauswahl - Verkauf unserer Produkte, auch online - Durchführung anfallender Vertragsangelegenheiten - Technische Prüfung und Bereitstellung von Produkten und Dienstleistungen - Abschluss und Durchführung von Support- und Dienstvereinbarungen - Abrechnung erbrachter Leistungen - Durchführung von Mahnverfahren - Durchführung von Kostenerstattung und Gutschriften - Beantwortung technischer und inhaltlicher Anfragen, Produktsupport - Beteiligung und Abwicklung von Leistungen dritter Anbieter und externer Dienstleister - Abrechnung mit Drittanbietern - Ausstellung von Mitarbeiter-Identifikationsmedien (Ausweise, Zertifikate etc.) für den Zugang zum Unternehmen und seinen Systemen - Qualitätssicherungsmaßnahmen - Vorbereitung, Durchführung und Qualitätssicherung von Modellvorhaben und integrierten Produktformen - Vorbereitung und Durchführung von neuen ziel- und kundenorientierten Angeboten - Schulungen von Kunden, Beschäftigten und Interessenten - Pflege der Bestands- und Nutzungsdaten - Weitere Serviceleistungen für Kunden - Gewinnung von Neukunden - Mitarbeitergewinnung und -förderung - Koordinierung der unterschiedlichen Abteilungen - Statistische Zwecke - Öffentliches Engagement zur Sicherung der Innovation - Forschung und Entwicklung - Vermarktung innovativer Lösungen 5. Betroffene Personengruppen - Interessenten an unserem Angebotsspektrum - Unsere Kunden - Unsere Beschäftigten - Fremdfirmenmitarbeiter - Lieferanten, Händler und Dienstleister - Kooperations- und Vertriebspartner - Kontaktpersonen zu den genannten Gruppen - Weitere Geschäftspartner (mit Funktionsübertragung wie z.b. Betriebsarzt) Seite 2 von 5
6. Daten oder Datenkategorien Im Sinne der vom BDSG vorgesehenen Datensparsamkeit erheben wir jeweils nur die personenbezogenen Daten, die wir zur Erfüllung der Aufgabe benötigen. Daten können aus folgenden Kategorien stammen: - Vor- und Zuname, gegebenenfalls auch Geburtsname (Personal) - Personalnummer, Geburtsdatum (Personal) - Bewerbungsunterlagen und Lebensläufe (Personal) - Gesundheitsdaten unserer Beschäftigten (Personal) - Angaben zu Arbeits- und Urlaubszeiten (Personal) - Weitere Personaldaten zur Personalentwicklung und pflege (Personal) - Bild- bzw. Tondaten (z.b. Video, Foto, Voicemail) - Vor- und Zuname des Kunden, Projektnummer (Kunden) - Firmenzugehörigkeit (Kunden) - Firmen- bzw. bei Bedarf auch Privatadresse (Kunden) - Telefon- und Faxnummer(n) - E-Mail-Adresse(n) - Daten zur Geschäftsfähigkeit und Abwicklung des Zahlungsverkehrs (z.b. Bankverbindung, Kreditkartendaten, Angaben zur Liquidität) - Merkmale zur Identifikation eines Nutzers (z.b. IP-Adressen, Login-Daten) - Technische Daten zur Vertragserfüllung (z.b. Ansprechpartner, individuelle Kundenanforderungen) - Angaben zu Beginn, Dauer und Ende eines Vertragsverhältnisses - Art, Umfang und Zeitraum in Anspruch genommener Leistungen - Vertrags- und Lizenz-Identifikationsmerkmale (z.b. Lizenznummer) - Informationen zur Kundenzufriedenheit (Kundenservice) - Daten, die Kunden von sich aus übermitteln, z.b. Weiterempfehlung unseres Angebots - Patientendaten (in Einzelfällen, wenn diese unaufgefordert an uns übermittelt werden) - Daten Dritter über Webformular, z.b. Empfehlung von Fachartikeln Sofern Sie uns Ihre Einwilligung hierfür schriftlich erteilt haben: - Werbeaktionen und -maßnahmen - Marktforschung - Zufriedenheitsmessungen zur Optimierung unserer Produkte - Dienstleistungen für unsere Kunden 7. Empfänger der Daten oder Kategorien von Empfängern - Unsere internen Abteilungen und deren Beschäftigte (nach Zuständigkeit und Bedarf) - Geschäftsführer/Geschäftsleitung - Kooperations- und Vertriebspartner und ggf. deren Subunternehmen - Technische Dienste, soweit für das Vertragsverhältnis erforderlich - Öffentliche Stellen im Rahmen vorrangiger gesetzlicher Verpflichtungen - Weitere Stellen im Verbundunternehmen im Rahmen der Auftragsabwicklung, Vertragspflege und Kundenbetreuung Sofern Sie uns Ihre schriftliche Einwilligung hierfür gegeben haben, nutzen wir Ihre Daten außerdem zur Optimierung unserer Leistungen und Produkte für unsere Beschäftigten und/oder Kunden für - Werbeaktionen und -maßnahmen - Marktforschung Seite 3 von 5
8. Regelfristen für die Löschung personenbezogener Daten Die Fristen zur Aufbewahrungspflicht und Löschung von Daten sind gesetzlich derzeit nicht immer eindeutig geregelt, da in vielen Bereichen die Rechtsprechung eine Anpassung der Fristen erfordert. Wo Regelungen bestehen, kommen wir der Pflicht zur Löschung Ihrer Daten routinemäßig nach. Dies betrifft insbesondere folgende Datenarten und Fristen: - Verbindungsdaten werden nach den Vorgaben des BDSG nach Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht, sofern solche überhaupt erhoben werden. - Bewerber- und Personaldaten werden nach den Vorgaben des BDSG und der flankierenden weiteren Regelungen, z.b. AGG, nach spätestens sechs Monaten (Bewerberdaten) bzw. nach Ablauf der gesetzlichen Aufbewahrungsfrist (i.d.r. nach zehn Jahren, Personaldaten) gelöscht. - Interessenten-, Kunden- und Geschäftspartnerdaten werden nach den Vorgaben des BDSG nach Ablauf der gesetzlichen Aufbewahrungsfristen (i.d.r. spätestens nach sechs bzw. zehn Jahren) gelöscht. Sofern keine Aufbewahrungsfrist vorgeschrieben ist, werden entsprechende Daten unverzüglich gelöscht. - Widersprechen Sie einer Nutzung Ihrer Daten, werden diese personenbezogenen Daten nach den Vorgaben des BDSG sofort gelöscht, sofern diese nicht zur Abwicklung eines Vertragsverhältnisses mit Ihnen dienen und sofern keine anderen gesetzlichen Fristen entgegenstehen. Spätestens nach Ablauf solcher Fristen erfolgt eine Löschung. Die Betroffenen werden nach 28 BDSG in einer internen Sperrliste vermerkt, um die Wirksamkeit des Widerspruchs auch für die Zukunft sicherstellen zu können. Sofern eine Löschung aus technischen oder organisatorischen Gründen einmal nicht möglich sein sollte, werden Ihre Daten datenschutzkonform zur weiteren Verarbeitung oder Nutzung gesperrt. 9. Datenübermittlung ins Ausland Eine Übermittlung Ihrer personenbezogenen Daten in die EU (Europäische Union), den EWR (Europäischer Wirtschaftsraum) oder Drittstaaten wird ausschließlich zur Erfüllung der Geschäftszwecke durchgeführt, mit denen Sie uns beauftragt haben bzw. zu denen wir eventuell gesetzlich verpflichtet sind. Eine Übermittlung wird entsprechend der Europäischen Datenschutzrichtlinie (Richtlinie 95/46/EG, künftig der EU Datenschutz-Grundverordnung) sowie unter Einhaltung insbesondere der Paragraphen 4b und 4d BDSG durchgeführt. Den besonderen Schutzbedürfnissen tragen wir durch entsprechende Maßnahmen Rechnung, insbesondere werden nur personenbezogene Daten übermittelt, die unbedingt erforderlich sind. 10. Sicherheitsmaßnahmen nach 9 BDSG + Anlage Wir haben eine Vielzahl von Vorkehrungen zum Schutz Ihrer Daten getroffen. Die Darlegung von Einzelheiten wäre insofern kontraproduktiv, weil damit zugleich die Struktur an sich angreifbar gemacht würde. Aus diesem Grund sieht der Gesetzgeber in Ihrem Interesse vor, dass Angaben zu den technischen und organisatorischen Einzelmaßnahmen nicht öffentlich zur Verfügung gestellt werden. Wir versichern Ihnen, dass wir vielfältige Maßnahmen, entsprechend einem Unternehmen unserer Größenordnung, nach den nachfolgend benannten Erfordernissen des 9 BDSG getroffen haben und diese permanent an die aktuelle Sicherheitslage anpassen. Diese Maßnahmen umfassen alle gesetzlich vorgesehenen Verantwortungsbereiche: - Zutrittskontrolle - Zugangskontrolle - Zugriffskontrolle - Weitergabekontrolle - Eingabekontrolle - Auftragskontrolle - Verfügbarkeitskontrolle Seite 4 von 5
- Trennungsgebot - Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren 11. Kontakt für weiterführende Fragen oder Anregungen zum Thema Datenschutz Zur Auskunft über Ihre bei uns gespeicherten Daten und Berichtigung oder Löschung Ihrer Daten und alle weiteren Fragen oder Anregungen zum Datenschutz steht Ihnen unsere Datenschutzbeauftragte zur Verfügung: Frau Blossey (datenschutz@thieme-compliance.de) Unsere Hinweise zum Schutz Ihrer personenbezogenen Daten werden bei Bedarf regelmäßig aktualisiert. Bitte besuchen Sie diese Seite bei Ihrem nächsten Besuch daher gerne wieder. *** Stand dieser Information: 22. Mai 2017 Seite 5 von 5