Datenschutzerklärungen

 

Wir, die Procomcure Biotech Germany GmbH, nehmen den Schutz Ihrer personenbezogenen Daten ernst und möchten Sie an dieser Stelle über den Datenschutz in unserem Unternehmen informieren.

 Wir sprechen Sie als betroffene Person nachfolgend auch mit “Kunde”, “Nutzer”, “Sie”, “Ihnen” oder “Betroffener” an.

 Unsere Datenschutzhinweise sind modular aufgebaut. Sie bestehen aus einem allgemeinen Teil für jegliche Verarbeitung personenbezogener Daten und Verarbeitungssituationen, die bei jedem Aufruf einer Webseite zum Tragen kommen und informieren Sie über die allgemeinen Löschungsfristen und Speicherdauern, der Art und Weise der Datenerhebung und die eingesetzten technischen und organisatorischen Maßnahmen und erläutern Ihnen vor allem auch die Ihnen zustehenden Rechte (A. Allgemeines) sowie einem besonderen Teil, dessen Inhalt sich jeweils nur auf die dort angegebene Verarbeitungssituation mit Bezeichnung des jeweiligen Angebots oder Produkts bezieht, insbesondere den hier näher ausgestalteten Besuch unserer Webseiten und die damit einhergehenden Möglichkeiten, wie z.B. das Anlegen eines Kundenkontos, die Bestellung eines Covid19-Tests und die Erfassung einer Probe (B. Besuch von Webseiten).

 

A.   Allgemeines

 

1.    Begrifflichkeiten

Nach dem Vorbild des Art. 4 DSGVO liegen dieser Datenschutzhinweise folgende Begriffsbestimmungen zugrunde:

  • „Personenbezogene Daten“ (Art. 4 Nr. 1 DSGVO) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (“Betroffener”) beziehen. Identifizierbar ist eine Person, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einer Online-Kennung, Standortdaten oder mithilfe von Informationen zu ihren physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitätsmerkmalen identifiziert werden kann. Die Identifizierbarkeit kann auch mittels einer Verknüpfung von derartigen Informationen oder anderem Zusatzwissen gegeben sein. Auf das Zustandekommen, die Form oder die Verkörperung der Informationen kommt es nicht an (auch Fotos, Video- oder Tonaufnahmen können personenbezogene Daten enthalten).
  • „Verarbeiten“ (Art. 4 Nr. 2 DSGVO) ist jeder Vorgang, bei dem mit personenbezogenen Daten umgegangen wird, gleich ob mit oder ohne Hilfe automatisierter (d.h. technikgestützter) Verfahren. Dies umfasst insbesondere das Erheben (d.h. die Beschaffung), das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder sonstige Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten sowie die Änderung einer Ziel- oder Zweckbestimmung, die einer Datenverarbeitung ursprünglich zugrunde gelegt wurde.
  • „Verantwortlicher“ (Art. 4 Nr. 7 DSGVO) ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
  • „Auftragsverarbeiter“ (Art. 4 Nr. 8 DSGVO) ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen, insbesondere gemäß dessen Weisungen, verarbeitet (z. B. IT-Dienstleister). Im datenschutzrechtlichen Sinne ist ein Auftragsverarbeiter insbesondere kein Dritter.
  • „Dritter“ (Art. 4 Nr. 10 DSGVO) ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer dem Betroffenen, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten; dazu gehören auch andere konzernangehörige juristische Personen.
  • „Einwilligung“ (Art. 4 Nr. 11 DSGVO) der betroffenen Person bezeichnet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
  • „Gesundheitsdaten“ (Art. 4 Nr. 15 DSGVO) sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

 

2.    Verantwortlicher

Verantwortlicher gemäß Art.  4 Abs. 7 DSGVO für die Verarbeitung Ihrer personenbezogenen Daten ist die 

Procomcure Biotech Germany GmbH
Bürgerweide 24 
21423 Winsen Luhe

Telefonnummer: 04171 607 660
Telefaxnummer: 04171 607 661
E-Mail-Adresse: info@procomcure.org

Weitere Angaben zu unserem Unternehmen entnehmen Sie den Angaben im Impressum.

 

3.    Datenschutzbeauftragter

Bei allen Fragen und als Ansprechpartner zum Thema Datenschutz in unserem Unternehmen steht Ihnen unser externer Datenschutzbeauftragter jederzeit zur Verfügung. Sie erreichen unseren Datenschutzbeauftragten unter

datenschutz@nu-lab.com

 

4.    Rechtsgrundlagen der Datenverarbeitungen

Die Verarbeitung personenbezogener Daten ist nur dann erlaubt, wenn die Datenverarbeitung unter einen Rechtfertigungstatbestand fällt. Nachfolgend listen wir die in Frage kommenden Rechtsgrundlagen der Datenverarbeitungen auf. Eine Verarbeitung kann auch auf mehreren Rechtsgrundlagen beruhen.

 

a.   Rechtsgrundlagen der DSGVO

  • 6 Abs. 1 S. 1 lit. a DSGVO (“Einwilligung”): Wenn der Betroffene freiwillig, in informierter Weise und unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung zu verstehen gegeben hat, dass er mit der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke einverstanden ist;
  • 6 Abs. 1 S. 1 lit. b DSGVO: Wenn die Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei der Betroffene ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf die Anfrage des Betroffenen erfolgen;
  • 6 Abs. 1 S. 1 lit. c DSGVO: Wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (z. B. eine gesetzliche Aufbewahrungspflicht);
  • 6 Abs. 1 S. 1 lit. d DSGVO: Wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen;
  • 6 Abs. 1 S. 1 lit. e DSGVO: Wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde oder
  • 6 Abs. 1 S. 1 lit. f DSGVO (“Berechtigte Interessen”): Wenn die Verarbeitung zur Wahrung berechtigter (insbesondere rechtlicher oder wirtschaftlicher) Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die gegenläufigen Interessen oder Rechte des Betroffenen überwiegen (insbesondere dann, wenn es sich dabei um einen Minderjährigen handelt).
  • 9 Abs. 2 lit. i DSGVO: Personenbezogene Daten können auf Grundlage des Art. 9 Abs. 2 lit. I DSGVO verarbeitet werden, sofern es ein öffentliches Interesse im Bereich der öffentlichen Gesundheit gibt. Der Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, wozu der Coronavirus zählt, stellt eine solche grenzüberschreitende Gesundheitsgefahr dar.
  • 9 Abs. 2 lit. g DSGVO i.V.m. § 22 Abs. 1 lit. c, lit. d, Abs. 2 BDSG: Die Verarbeitung der personenbezogenen Daten zum Zwecke der Untersuchung auf den Coronavirus ist aus Gründen eines erheblichen öffentlichen Interesses erforderlich und die Verarbeitung in steht auch angemessenem Verhältnis zum verfolgten Ziel steht. Die von den Arbeitgebern bei uns eingesandten Proben werden auf freiwilliger Basis der Mitarbeiter erhoben, so dass der Wesensgehalt des Datenschutzrechts gewahrt ist. Darüber hinaus sind angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorgesehen. Wir haben technische und organisatorische Maßnahmen getroffen

 

b.  Rechtsgrundlagen nach dem Infektionsschutzgesetz (IfSG)

In Deutschland gilt für bestimmte Krankheiten und Erreger eine Meldepflicht. Welche Krankheiten und Erreger zu melden sind, regelt das Infektionsschutzgesetz (IfSG). Das Robert-Koch-Institut (RKI) fungiert dabei als infektionsepidemiologische Stelle in Deutschland. Für die Rechtmäßigkeit der Datenverarbeitung von Gesundheitsdaten ist neben der Datenschutzgrundverordnung (DSGVO) auch das Infektionsschutzgesetz (IfSG) relevant.

Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten ist Art. 9 Abs. 2 lit. h DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b Bundesdatenschutzgesetz (BDSG). Die Rechtmäßigkeit der Meldungen und Übermittlungen von Gesundheitsdaten bleibt von der DSGVO unberührt.

Gemäß § 8 Abs. 1 Nr. 1 IfSG i.V.m. § 6 der feststellende Arzt und gemäß § 8 Abs. 1 Nr. 2 IfSG i.V.m. § 7 IfSG bei meldepflichtigen Krankheiten und meldepflichtigen Erregern, wozu gemäß § 7 Abs. 1 Nr. 44a IfSG die Erreger Severe-Acute-Respiratory-Syndrome-Coronavirus (SARS-CoV) und Severe-Acute- Respiratory-Syndrome-Coronavirus-2 (SARS-CoV-2) gehören, der Nachweis der Krankheit oder des Erregers an die zuständige Landesbehörde und an das Robert Koch-Institut zu melden, § 11 IfSG.

Gemäß § 8 Abs. 4, Abs. 1 Nr. 2 IfSG sind Personen, die eine Untersuchung zum Nachweis von Krankheitserregern außerhalb des Geltungsbereiches des Infektionsschutzgesetzes durchführen lassen, zur Meldung der meldepflichtigen Krankheiten und Krankheitserregern nach § 6 und 7 IfSG in der in § 11 IfSG beschriebenen Art und Weise verpflichtet.

Die Verarbeitung personenbezogener Daten, einschließlich Gesundheitsdaten gemäß Art. 9 DSGVO, zur Erfüllung gesetzlicher Meldepflichten erfolgen daher auf Grundlage des Art. 9 Abs. 2 lit. i DSGVO i.V.m. §§ 6 bis 9 IfSG.

 

5.    Datenlöschung und Speicherdauer

Für die von uns vorgenommenen Verarbeitungsvorgänge geben wir im Folgenden jeweils an, wie lange die Daten bei uns gespeichert und wann sie gelöscht oder gesperrt werden. Soweit nachfolgend keine ausdrückliche Speicherdauer angegeben wird, werden Ihre personenbezogenen Daten gelöscht oder gesperrt, sobald der Zweck oder die Rechtsgrundlage für die Speicherung entfällt. Eine Speicherung Ihrer Daten erfolgt grundsätzlich nur auf unseren Servern in Deutschland, vorbehaltlich einer ggf. erfolgenden Weitergabe nach den Regelungen in A.(7) und A.(8).

 

Eine Speicherung kann jedoch über die angegebene Zeit hinaus im Falle einer (drohenden) Rechtsstreitigkeit mit Ihnen oder eines sonstigen rechtlichen Verfahrens erfolgen oder wenn die Speicherung durch gesetzliche Vorschriften, denen wir als Verantwortlicher unterliegen (z.B. § 257 HGB, § 147 AO), vorgesehen ist. Wenn die durch die gesetzlichen Vorschriften vorgeschriebene Speicherfrist abläuft, erfolgt eine Sperrung oder Löschung der personenbezogenen Daten, es sei denn, dass eine weitere Speicherung durch uns erforderlich ist und dafür eine Rechtsgrundlage besteht.

 

6.    Datensicherheit

Wir bedienen uns geeigneter technischer und organisatorischer Sicherheitsmaßnahmen (TOM), um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen (z.B. TSL-Verschlüsselung für unsere Webseite) unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Natur, des Umfangs, des Kontextes und des Zwecks der Verarbeitung sowie der bestehenden Risiken einer Datenpanne (inklusive von deren Wahrscheinlichkeit und Auswirkungen) für den Betroffenen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

Nähere Informationen hierzu erteilen wir Ihnen auf Anfrage gerne. Wenden Sie sich hierzu bitte an unseren Datenschutzbeauftragten (siehe unter A.(3)).

 

7.    Zusammenarbeit mit Auftragsverarbeitern

Wir setzen zur Abwicklung unseres Geschäftsverkehrs externe in- und ausländische Dienstleister ein (z. B. für die Bereiche IT, Logistik, Telekommunikation, Vertrieb und Marketing). Diese werden nur nach unserer Weisung tätig und wurden gemäß Art. 28 DSGVO vertraglich dazu verpflichtet, die datenschutzrechtlichen Bestimmungen einzuhalten. Sofern personenbezogene Daten von Ihnen durch uns an unsere Auftragsverarbeitung weitergegeben werden und dort verarbeitet werden, geschieht dies also nur aufgrund von bestehenden Auftragsverarbeitungsverhältnissen.

 

8.    Weitergabe von personenbezogenen Daten in Drittländer

Im Rahmen unserer Geschäftsbeziehungen können Ihre personenbezogenen Daten an Drittgesellschaften weitergegeben oder offengelegt werden. Diese können sich auch außerhalb des Europäischen Wirtschaftsraums (EWR), also in Drittländern, befinden. Eine derartige Verarbeitung erfolgt ausschließlich zur Erfüllung der vertraglichen und geschäftlichen Verpflichtungen und zur Pflege Ihrer Geschäftsbeziehung zu uns. Über die jeweiligen Einzelheiten der Weitergabe unterrichten wir Sie nachfolgend an den dafür relevanten Stellen.

Einigen Drittländern bescheinigt die Europäische Kommission durch sog. Angemessenheitsbeschlüsse einen Datenschutz, der dem EWR-Standard vergleichbar ist (eine Liste dieser Länder sowie eine Kopie der Angemessenheitsbeschlüsse erhalten Sie hier: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.html). In anderen Drittländern, in die ggf. personenbezogene Daten übertragen werden, herrscht aber unter Umständen wegen fehlender gesetzlicher Bestimmungen kein durchgängig hohes Datenschutzniveau. Soweit dies der Fall ist, achten wir darauf, dass der Datenschutz ausreichend gewährleistet ist. Möglich ist dies über bindende Unternehmensvorschriften, Standard-Vertragsklauseln der Europäischen Kommission zum Schutz personenbezogener Daten, Zertifikate oder anerkannte Verhaltenskodizes. Bitte wenden Sie sich an unseren Datenschutzbeauftragten (siehe unter A.(3)), wenn Sie hierzu nähere Informationen erhalten möchten.

 

9.    Gesetzliche Verpflichtung zur Übermittlung bestimmter Daten

Wir können unter Umständen einer besonderen gesetzlichen oder rechtlichen Verpflichtung unterliegen, die rechtmäßig verarbeiteten personenbezogenen Daten für Dritte, insbesondere öffentlichen Stellen, bereitzustellen (Art. 6 Abs. 1 S. 1 lit. c DSGVO). Hierzu verweisen wir im Rahmen der Labormeldepflicht ausdrücklich auf A.(4).b.

 

10. Ihre Rechte

Ihre Rechte als Betroffener bezüglich Ihrer verarbeiteten personenbezogenen Daten können Sie uns gegenüber unter den eingangs unter A.(2) angegebenen Kontaktdaten jederzeit geltend machen. Sie haben als Betroffener das Recht:

 

  • „Auskunftsrecht“ gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen;
  • „Recht auf Berichtigung“ gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten Daten zu verlangen;
  • „Recht auf Löschung (Recht auf Vergessenwerden)“ gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
  • „Recht auf Einschränkung der Verarbeitung“ gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird oder die Verarbeitung unrechtmäßig ist;
  • „Recht auf Datenübertragbarkeit“ gemäß Art. 20 DSGVO Ihre Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen (“Datenübertragbarkeit”);
  • gemäß Art. 21 DSGVO haben Sie das Recht Widerspruch gegen die Verarbeitung einzulegen („Widerrufsrecht“), sofern die Verarbeitung aufgrund von Art. 6 Abs. 1 S. 1 lit. e oder lit. f DSGVO erfolgt. Dies ist insbesondere der Fall, wenn die Verarbeitung nicht zur Erfüllung eines Vertrags mit Ihnen erforderlich ist. Sofern es sich nicht um einen Widerspruch gegen Direktwerbung handelt, bitten wir bei Ausübung eines solchen Widerspruchs um die Darlegung der Gründe, weshalb wir Ihre Daten nicht wie von uns durchgeführt verarbeiten sollen. Im Falle Ihres begründeten Widerspruchs prüfen wir die Sachlage und werden entweder die Datenverarbeitung einstellen bzw. anpassen oder Ihnen unsere zwingenden schutzwürdigen Gründe aufzeigen, aufgrund derer wir die Verarbeitung fortführen;
  • gemäß Art. 7 Abs. 3 DSGVO Ihre einmal (auch vor der Geltung der DSGVO, dh vor dem 25.5.2018) erteilte Einwilligung – also Ihr freiwilliger, in informierter Weise und unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung verständlich gemachter Willen, dass Sie mit der Verarbeitung der betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke einverstanden sind – jederzeit uns gegenüber zu widerrufen, falls Sie eine solche erteilt haben. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen und
  • gemäß Art. 77 DSGVO sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten in unserem Unternehmen zu beschweren, etwa bei der für uns zuständigen Datenschutz-Aufsichtsbehörde:

Die Landesbeauftragte für den Datenschutz Niedersachsen

Barbara Thiel
Prinzenstraße 5
30159 Hannover

Telefon: 0511 120 45 00
Telefax: 0511 120 45 99
E-Mail: poststelle@lfd.niedersachsen.de

 

B.   Erhebung und Verarbeitung von personenbezogenen Daten beim Besuch unserer Website

 

1.    Freier Zugriff auf unsere Website (Server-Logfiles)

Beim Aufruf unserer Website werden Verbindungen zwischen Ihrem Computer und den Servern unserers Auftragsverarbeiters, die Mittwald CM Service GmbH & Co. KG, Königsberger Straße 4-6, 32339 Espelkamp, Deutschland, aufgebaut. Das bedeutet, dass zum Zweck der Bereitstellung und der Auslieferung der Website Verbindungsdaten verarbeitet werden. Konkret werden beim Aufruf unserer Internetseite automatisiert Informationen vom Computersystem des aufrufenden Rechners erfasst (sog. Server-Logfiles). Diese dienen dazu zu protokollieren, welche Seitenaufrufe zu welchem Zeitpunkt stattgefunden haben.

Sie beinhalten folgende Daten: IP, Verzeichnisschutzbenutzer, Datum, Uhrzeit, aufgerufene Seiten, Protokolle, Statuscode, Datenmenge, Referer, User Agent, aufgerufener Hostname.

Die IP-Adressen werden dabei anonymisiert gespeichert. Hierzu werden die letzten drei Ziffern entfernt, d.h. aus 127.0.0.1 wird 127.0.0.*.

IPv6-Adressen werden ebenfalls anonymisiert. Die anonymisierten IP-Adressen werden für 60 Tage aufbewahrt. Angaben zum verwendeten Verzeichnisschutzbenutzer werden nach einem Tag anonymisiert.

Die Rechtsgrundlage für diese Verarbeitung personenbezogener Daten ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO an der Darstellung und Bereitstellung unserer Website (unbedingte technische Notwendigkeit zur Bereitstellung und Auslieferung des von ihnen durch Ihren Aufruf ausdrücklich gewünschten Dienstes „Website“)

Darüber hinaus werden für den weiteren Betrieb und Funktionalität der Website sowie der Erreichung unseres Geschäftszweckes Verbindungsdaten und weitere personenbezogenen Daten für diverse andere Funktionen bzw. Dienste verarbeitet. Hierüber werden Sie nachfolgend B. (2.) – (4.) im Detail gemäß Art. 13 DSGVO informiert.

 

2.    Registrierung auf unserer Website „Kundenkonto“

Falls Sie über unseren Internetauftritt ein Kundenkonto bei uns anlegen, werden wir die von Ihnen bei der Registrierung eingegebenen Daten (also bspw. Ihren Namen, Ihre Anschrift oder Ihre E-Mail-Adresse) ausschließlich für vorvertragliche Leistungen, für die Vertragserfüllung oder zum Zwecke der Kundenpflege (bspw. um Ihnen eine Übersicht über Ihre bisherigen Bestellungen bei uns zur Verfügung zu stellen oder um Ihnen die sog. Merkzettelfunktion anbieten zu können) erheben und speichern. Gleichzeitig speichern wir dann die IP-Adresse und das Datum Ihrer Registrierung nebst Uhrzeit. Eine Weitergabe dieser Daten an Dritte erfolgt natürlich nicht. Im Rahmen des Weiteren Anmeldevorgangs wird Ihre Einwilligung in diese Verarbeitung eingeholt und auf diese Datenschutzerklärung verwiesen. Die dabei von uns erhobenen Daten werden ausschließlich für die Zurverfügungstellung des Kundenkontos verwendet Soweit Sie in diese Verarbeitung einwilligen, ist Art. 6 Abs. 1 lit. a DSGVO Rechtsgrundlage für die Verarbeitung. Sofern die Eröffnung des Kundenkontos zusätzlich auch vorvertraglichen Maßnahmen oder der Vertragserfüllung dient, so ist Rechtsgrundlage für diese Verarbeitung auch noch Art. 6 Abs. 1 lit. b DSGVO. Die uns erteilte Einwilligung in die Eröffnung und den Unterhalt des Kundenkontos können Sie gemäß Art. 7 Abs. 3 DSGVO jederzeit mit Wirkung für die Zukunft widerrufen. Hierzu müssen Sie uns lediglich über Ihren Widerruf in Kenntnis setzen. Die insoweit erhobenen Daten werden gelöscht, sobald die Verarbeitung nicht mehr erforderlich ist. Hierbei müssen wir aber steuer- und handelsrechtliche Aufbewahrungsfristen beachten.

 

3.    Erhebung, Verarbeitung und Weitergabe personenbezogener Daten bei Bestellungen

Bei der Bestellung eines Covid19-Tests werden folgende Daten abgefragt:

  • Name
  • Firma
  • Telefonnummer
  • Umsatzsteuer-ID-Nummer
  • Straße und Hausnummer
  • PLZ und Ort
  • Land

Diese Daten werden zum Zwecke der Begründung, inhaltliche Ausgestaltung und/oder Änderung des Rechtsverhältnisses erhoben (Bestandsdaten). Die hierbei erhobenen Daten verwenden wir also nur zum Zwecke der Nutzung unseres Angebotes bzw. des Dienstes, für den Sie sich registriert haben.

Im Rahmen des Bestandskundenprivileg aus § 7 Abs. 3 UWG nutzen wir Ihre im Rahmen einer Bestellung bei uns eingegeben E-Mail-Adresse dafür, um Ihnen Werbung für eigene ähnliche Waren oder Dienstleistungen zu übermitteln, sofern Sie uns gegenüber keinen Widerspruch ausgesprochen haben. Das heißt, dass wir Ihre E-Mail-Adresse neben der Vertragsabwicklung auch dazu nutzen, um Sie per E-Mail über ähnliche Waren/Dienstleistungen zu informieren. Ihre Einwilligung in den Versand ist jederzeit widerruflich, ohne dass Ihnen dabei andere als die Übermittlungskosten nach den Basistarifen entstehen.

Bei der Übermittlung setzen wir eine verschlüsselte Verbindung namens Transport Layer Security (TLS) ein, um zu verhindern, dass die von Ihnen eingegeben Daten auf dem Weg zu uns abgefangen werden. Bitte beachten Sie, dass diese Methode eine nach dem aktuellen Stand der Technik sehr effektive Methode der sicheren Datenübermittlung darstellt. Allerdings besteht keine Gewährleistung dafür, dass die Daten nicht dennoch bei der Übertragung von Dritten abgefangen werden können.  Wir verwenden die Daten ausschließ dafür, um uns Ihr Anliegen durchzulesen und Sie zu kontaktieren. Es erfolgt keine Weitergabe Ihrer Daten an Dritte.  Das Bestellformular erfasst die darin gemachten Angaben erst, wenn der Nutzer ausdrücklich seine Einwilligung zur Verarbeitung seiner Daten erteilt hat und bestätigt, dass er mit unserer vorliegenden Datenschutzerklärung einverstanden ist. 

Da die Daten zum Vertragsschluss dienen, stellt die Rechtsgrundlage der Verarbeitung der personenbezogenen Daten über das Bestellformular Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) dar.

 

4.    Registrierung einer Probe

Nach dem Erstellen eines Kundenkontos auf unserer Website haben Sie die Möglichkeit, eine Probe zu registrieren. Hierzu muss zuvor ein Covid19-Test von uns über die Seite www.nu-lab.com gekauft und dieses bereits erhalten worden sein. Jede anhand eines solchen Covid19-Tests durchgeführten Probe erhält eine eindeutige Identifikationsnummer („Proben-Code“). Über diesen „Proben-Code“ wird die Zuordnung einer Probe zu der Person, von der die Probe stammt, ermöglicht. Nach der Eintragung der Informationen in die entsprechenden Felder oder nach dem Upload einer CSV-Datei erfolgt die Übermittlung der Daten an uns. Die Übermittlung dieser Daten erfolgt via https-Schnittstelle. Das bedeutet, dass aus Sicherheitsgründen und zum Schutz der Übertragung der eingetragenen personenbezogenen Daten eine SSL-bzw. TLS-Verschlüsselung eingesetzt wird. Die Daten werden in unserer Datenbank, die mit AWS gehostet wird (s. nachfolgend Ziffer 7.3.) sowie eine Datenbank der Firma LDB Labordatenbank GmbH gespeichert. Eine Übermittlung der Daten an uns ist erst möglich, wenn zugesichert wird, dass die Daten rechtmäßig erhoben wurden und dass diese nach bestem Wissen und Gewissen zusammengetragen wurden. Das bedeutet, dass die Probe und die dazugehörigen Informationen der zu testenden Person freiwillig und auf Grundlage einer schriftlichen Einwilligung erhoben worden ist und dass die zu testende Person durch die einsendende Stelle darüber informiert wurde, zu welchen Zwecken ihre Daten erhoben und die Probe entnommen wurde. Darüber hinaus muss bestätigt werden, dass die zu testende Person auch auf ihr Widerspruchsrecht und im Übrigen auf unsere Datenschutzerklärung hingewiesen wurde. Damit möchten wir sicherstellen, dass wir nur Daten verarbeiten, die auf eine tragfähige Rechtsgrundlage und auf freiwilliger Basis erhoben wurden.

Durch die Registrierung einer Probe, also durch die Einsendung der Probe und durch die Übermittlung der dazugehörigen Daten, werden wir damit beauftragt, zum Zwecke der Durchführung und Auswertung eines SARS-CoV-2 PCR-Tests personenbezogene Daten zu verarbeiten.

Die Rechtsgrundlage für die Verarbeitung der personenbezogenen Date zum Zwecke der Durchführung und Auswertung eines SARS-CoV-2 PCR-Tests ist grundsätzlich die schriftliche ausdrückliche Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. Art. 9 Abs. 2 lit. a DSGVO. Neben der Rechtsgrundlage der schriftlichen Einwilligung der betroffenen Person existieren noch andere Rechtsgrundlagen, die mit der COVID19-Pandemie zusammenhängen. Personenbezogene Daten, auch besondere personenbezogene Daten (Gesundheitsdaten), dürfen unter gewissen Umständen auch ohne Einwilligung verarbeitet werden. Personenbezogene Daten können auf Grundlage des Art. 9 Abs. 2 lit. i DSGVO verarbeitet werden, sofern es ein öffentliches Interesse im Bereich der öffentlichen Gesundheit gibt. Der Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, wozu der Corona-Virus zählt, stellt eine solche grenzüberschreitende Gesundheitsgefahr dar.

Auch aus Erwägungsgrund 54 DSGVO folgt, dass die öffentliche Gesundheit es notwendig machen kann, dass besondere Kategorien personenbezogener Daten, somit auch Gesundheitsdaten, wozu auch eine Covid-19 Erkrankung und die Daten des Probengebers zwecks Zuordnung zählen, auch ohne Einwilligung der betroffenen Person verarbeitet werden dürfen, sofern eine solche Verarbeitung von Gesundheitsdaten allein aus Gründen des öffentlichen Interesses erfolgt und ausgeschlossen ist, dass Dritte, darunter auch Arbeitgeber, solche personenbezogenen Daten zu anderen Zwecken verarbeiten.

Die Fürsorgepflicht der Arbeitgeber sowie der Dienstherren führt zu einer rechtlichen Verpflichtung, die Gesamtheit ihrer Beschäftigten vor gesundheitlichen Gefahren zu schützen und die Wahrung ihrer Gesundheit sicherzustellen. Die aktuell andauernde pandemische Verbreitung des meldepflichtigen Erregers SARS-CoV-2 erfordert eine angemessene Reaktion des Arbeitgebers, vor allem in Form der Vorsorge und Nachverfolgbarkeit. Sofern wir weisungsgebunden für Arbeitgeber die Proben der Mitarbeiter untersuchen, so stütz sich die Einsendung der Proben durch den Arbeitgeber neben der Einwilligung auch auf Art. 9 Abs. 2 lit.b DSGVO i.V.m. §§  3 Abs. 1 ArbSchG, 4 Nr. 4 ArbSchG.

 

5.    Technisch notwendige Cookies

Unsere Internetseiten verwenden teilweise Cookies. Bei Cookies handelt es sich um Textdateien, die im Internetbrowser bzw. vom Internetbrowser auf dem Computersystem des Nutzers gespeichert werden. Sobald ein Nutzer unsere Seite aufruft, kann ein Cookie auf dem Betriebssystem dieses Nutzers abgespeichert werden. Dieses Cookie enthält eine individuelle Zeichenfolge, die eine eindeutige Identifizierung des Browsers des Nutzers beim erneuten Aufrufen der Internetseite ermöglicht.

Es gibt technisch notwendige und technisch nicht notwendige Cookies. Technisch notwendige Cookies sind z.B. Session-Cookies, die bestimmte Einstellungen, z.B. den Warenkorb oder die Log-In-Daten, des Nutzers speichern. Auch solche Cookies, die von den eingebundenen Zahlungsdienstanbietern (vgl. unten Ziffer 7.5. und 7.6.), die nur der Vorbereitung eventueller Zahlungen oder der Prüfung einer Zahlungslegitimation dienen und kein bestimmtes Nutzungsverhalten analysieren, sind technisch notwendige Cookies.

Die Rechtsgrundlage für den Einsatz solcher Cookies und die damit einhergehende Verarbeitung personenbezogener Daten ist unser berechtigtes Interesse an der technisch fehlerfreien und ordnungsgemäßen Funktionsweise unserer Website gemäß Art. 6 Abs. 1 lit. f DSGVO.

Soweit andere Cookies (z.B. Cookies zur Analyse des Surfverhaltens) gespeichert werden, werden diese in dieser Datenschutzerklärung gesondert behandelt.

[borlabs-cookie type=”btn-cookie-preference” title=”Cookie Einstellungen”/]

 

6.    E-Mail-Kontakt durch Formularverwendung

Über die Seite https://nul.integr8-staging.de/unternehmen/ stellen wir ein Kontaktformular zur Verfügung, worüber Sie sich mit uns in Verbindung setzen können, um Teststrategien für Ihr Unternehmen zu entwickeln.

Nimmt ein Nutzer die Möglichkeit wahr und kontaktiert uns über dieses Kontaktformular, so werden die in der Eingabemaske eingegeben Daten an uns übermittelt und gespeichert.  Diese Daten sind:

Unternehmen, Anzahl der Mitarbeiter, Geplante Testungen pro Woche, Ansprechpartner, Funktion, E-Mail-Adresse, Telefonnummer, Nachricht

Bei der Übermittlung setzen wir eine verschlüsselte Verbindung namens Transport Layer Security (TLS) ein, um zu verhindern, dass die von Ihnen eingegeben Daten auf dem Weg zu uns abgefangen werden. Bitte beachten Sie, dass diese Methode eine nach dem aktuellen Stand der Technik sehr effektive Methode der sicheren Datenübermittlung darstellt. Allerdings besteht keine Gewährleistung dafür, dass die Daten nicht dennoch bei der Übertragung von Dritten abgefangen werden können.  Wir verwenden die Daten ausschließ dafür, um uns Ihr Anliegen durchzulesen und Sie zu kontaktieren. Es erfolgt keine Weitergabe Ihrer Daten an Dritte.  Das Kontaktformular erfasst die darin gemachten Angaben erst, wenn der Nutzer ausdrücklich seine Einwilligung zur Verarbeitung seiner Daten erteilt hat und bestätigt, dass er mit unserer vorliegenden Datenschutzerklärung einverstanden ist. 

Damit stellt die Rechtsgrundlage der Verarbeitung der personenbezogenen Daten über das Kontaktformular Art. 6 Abs. 1 lit. f DSGVO dar. 

Zielt die Nachricht auf den Abschluss eines Vertrages mit uns ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b DSGVO. 

Die Verarbeitung der Daten aus der Eingabemaske des Kontaktformulars dient allein zur Bearbeitung der Kontaktaufnahme.

Die sonstigen während des Absendevorgangs verarbeiteten Daten, namentlich Datum, Uhrzeit und IP-Adresse, dienen dazu, einen Missbrauch durch unser Kontaktformular zu verhindern sowie – auch im Rahmen des Art. 32 DSGVO – als technische Vorkehrung, um die Sicherheit unserer IT-Systeme sicherzustellen.  Die Daten, die über die Eingabemaske des Kontaktformulars an uns übermittelt werden, werden gelöscht, nach dem der Zweck ihrer Verarbeitung erreicht ist. Dies ist dann der Fall, wenn die Konversationen zwischen dem Betroffenen und uns endgültig beendet ist. Die Konversation ist dann beendet, wenn sich aus den Umständen eindeutig ergibt, dass der Sachverhalt abschließend geklärt ist. Die Daten „Datum und Uhrzeit“ und „IP-Adresse“, die während des Absendevorgangs verarbeitet und gespeichert werden, werden automatisch nach sieben Tagen endgültig und unwiderruflich gelöscht. Betroffenen Nutzern steht das Recht zu, die im Rahmen des Kontaktformulars erteilte Einwilligung zur Verarbeitung der personenbezogenen Daten jederzeit zu widerrufen.  In so einem Fall kann allerdings durch uns keine Konversation mit dem betroffenen Nutzer geführt werden.  er Widerruf kann in Textform, z.B. per E-Mail oder Telefax, aber auch mündlich oder telefonisch erklärt werden.  Alle personenbezogenen Daten, die im Zuge der Kontaktaufnahme gespeichert wurden, werden in diesem Fall unwiderruflich gelöscht.

 

 

7.    Einsatz von Drittanbietern

 

7.1.     ArminLabs

Die ArminLabs GmbH, Zirbelstraße 58, 86154 Augsburg, ist ein DAkkS akkreditiertes Labor nach ISO 15189:2014. Wir übersenden ggf. personenbezogene Daten zwecks Auswertung einer Probe auch an das Labor ArnimLabs. Die Datenschutzerklärungen finden Sie hier: https://arminlabs.com/de/disclaimer

 

7.2.     Matomo (ehemals Piwik)

Zur statistischen Auswertung setzen wir auf unserer Webseite den Dienst „Matomo“ (früher “PIWIK”) ein.

Matomo verwendet sog. Cookies. Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die möglich machen, die Benutzung unserer Webseite zu analysieren. Dazu werden die durch den Cookie gewonnenen Informationen über die Nutzung gespeichert, damit das Nutzungsverhalten ausgewertet werden kann. Ihre IP-Adresse wird umgehend anonymisiert; damit bleiben Sie als Nutzer anonym. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Webseite werden nicht an Dritte weitergegeben.

Sie können sich hier entscheiden, ob in Ihrem Browser ein Webanalyse-Cookie abgelegt werden darf, um dem Bundespresseamt die Erfassung und Analyse statistischer Daten zu ermöglichen.

Matomo ist auf unseren Server installiert, so dass die Daten auf unserem Server verarbeitet werden.

Das bedeutet, dass durch das Cookie erzeugte Informationen über Ihre Benutzung dieser Webseite werden nur auf unserem Server gespeichert und nicht an Dritte weitergegeben; Dienstanbieter: Webanalyse/ Reichweitenmessung im Selbsthosting; Website: https://matomo.org/; Löschung von Daten: Die Cookies haben eine Speicherdauer von maximal 13 Monaten.

 

 

7.3.     Google Fonts

Wir verarbeiten mit unserem Auftragsverarbeiter Google Fonts, Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland Verbindungsdaten und Browserdaten zum Zweck der Bereitstellung der vom Webbrowser zur Anzeige der Website benötigten Schriftarten. Diese Daten werden nur für die zur Auswahl und Übermittlung der Schriftarten benötigte Dauer verarbeitet.

Die Rechtsgrundlage für die Datenverarbeitung ist das berechtigte Interesse (unbedingte technische Notwendigkeit zur Bereitstellung und Auslieferung des von ihnen durch Ihren Aufruf ausdrücklich gewünschten Dienstes „Website“) gemäß Art. 6 Abs. 1 lit. f DSGVO.

 

7.4.     AWS

Wir nutzen für das Hosting der Datenbank und Webinhalte den Dienst Amazon Web Services („AWS“) der 

Amazon Web Services, Inc.
410 Terry Avenue North
Seattle WA 98109
United States

Dabei nutzen wir die Dienste “S3” (Hosting, Region: Europe (Frankfurt)), EC2 (Server, Frankfurt), DynamoDB (Datenbank, Frankfurt).

Zur Benutzerauthentifizierung wird der Dienst Amazon Cognito eingesetzt. Amazon Web Services erhält deshalb die zum Login benötigten Informationen. Das Passwort wird verschlüsselt gespeichert und ist für uns nicht ersichtlich. Die Nutzung von Amazon Web Services erfolgt im Interesse einer höheren Ausfallsicherheit der Website, dem erhöhten Schutz vor Datenverlust und einer besseren Ladegeschwindigkeit dieser Website.

Nähere Informationen zu AWS und zum Datenschutz finden Sie unter https://aws.amazon.com/de/compliance/eu-data-protection/ sowie unter https://aws.amazon.com/de/privacy/.

Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Vertrag über Auftragsverarbeitung gemäß Art. 28 DSGVO mit AWS geschlossen.

https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf

 

7.5.     Labordatenbank.de

Wir nutzen die Dienste der Firma LDB Labordatenbank GmbH, die sich auf die Entwicklung, Bereitstellung und Betreuung einer Labordatenbank spezialisiert hat. Mit Labordatenbank sammeln und organisieren wir alle Daten unseres Labors, um diese jederzeit und überall zugänglich und nutzbar zu machen. Hierdurch können wir unsere Proben verwalten und unsere Dienste anbieten.

Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir der Firma LDB Labordatenbank GmbH einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen.

Rechtsgrundlage für diese Datenverarbeitung ist die von Ihnen erteilte Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. Art. 9 Abs. 2 lit. a DSGVO.

 

7.6.     Paypal

Alle PayPal-Transaktionen unterliegen der PayPal-Datenschutzerklärung. Diese sind unter https://www.paypal.com/de/webapps/mpp/ua/privacy-full einsehbar (PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg)

Die Rechtsgrundlagen sind: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).

 

7.7.     Stripe

Bei der Zahlungsart „Kreditkarte“ setzen wir den Zahlungsdienstleister Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA; Website: https://stripe.com/de; Die Datenschutzerklärung der Firma Stripe finden Sie hier: https://stripe.com/de/privacy.

Die Rechtsgrundlagen sind: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).

 

 

 

Winsen Luhe, 3. Februar 2021