Datenschutz
Die Datenschutzerklärung beschreibt, wie und wozu wir Personendaten erheben, bearbeiten und verwenden. Der verantwortungsvolle Umgang mit Daten von Kundinnen und Kunden sowie Patientinnen und Patienten war der Medbase schon immer ein wichtiges Anliegen. Wir nehmen kontinuierlich Anpassungen vor, um die persönlichen Daten unserer Kundinnen und Kunden sowie Patientinnen und Patienten noch besser zu schützen.
Allg. Personendaten
Wir bearbeiten allgemeine Personendaten über Sie, z.B. Name und Kontaktdaten.
Weitere Informationen:4. Welche Personendaten bearbeiten wir?
BeispielSie melden sich zu einer medizinischen Untersuchung an.
Finanzdaten
Wir bearbeiten Ihre Finanzdaten.
Weitere Informationen:4. Welche Personendaten bearbeiten wir?
BeispielSie bezahlen eine medizinische Massage mit Ihrer Kreditkarte.
Standortdaten
Wir bearbeiten Ihre Standortdaten.
Weitere Informationen:4. Welche Personendaten bearbeiten wir?
BeispielSie lassen sich in der Medbase physio.coach App Therapeuten in Ihrer Nähe anzeigen.
Gesundheitsdaten
Wir bearbeiten Ihre Gesundheitsdaten.
Weitere Informationen:4. Welche Personendaten bearbeiten wir?
BeispielSie lassen eine medizinische Untersuchung von uns durchführen.
Überlassene Daten
Wir bearbeiten Personendaten, die Sie uns zur Verfügung stellen.
Weitere Informationen:5. Woher stammen die Personendaten?
BeispielSie füllen bei einem Arztbesuch das Formular für die Patientenerfassung aus und geben uns so unter anderem Ihre Kontaktdaten bekannt.
Erhobene Daten
Wir bearbeiten Personendaten, die wir über Sie erheben.
Weitere Informationen:5. Woher stammen die Personendaten?
BeispielWir erheben Informationen zu Ihrem Einkauf, den Sie unter Verwendung Ihrer Medbase Apotheken Club Card haben.
Erhaltene Daten
Wir bearbeiten Personendaten über Sie, die wir von Dritten erhalten.
Weitere Informationen:5. Woher stammen die Personendaten?
BeispielWir erhalten von Ihrem Hausarzt auf Ihre Aufforderung hin Ihr Patientendossier.
Marketing
Wir nutzen Ihre Personendaten für Marketing und Werbung.
Weitere Informationen:6.3. Qualitätsverbesserung, Produktentwicklung und Marktforschung
BeispielWir stellen Ihnen den von Ihnen abonnierten Medbase-Newsletter mit den neusten Angeboten zu.
Produktentwicklung
Wir nutzen Ihre Personendaten für die Entwicklung und Verbesserung von Produkten und Dienstleistungen.
Weitere Informationen:6.3. Qualitätsverbesserung, Produktentwicklung und Marktforschung und Produktentwicklung
BeispielWir werten anonym aus, welche unserer Angebote in den Apotheken in Anspruch genommen werden und optimieren unsere Angebote.
Weitere Zwecke
Wir nutzen Ihre Personendaten für weitere, nicht mit der Kernleistung zusammenhängende Zwecke.
Weitere Informationen:6. Für welche Zwecke bearbeiten wir Personendaten?
BeispielWir werten das Onlineverhalten aus, um mögliche betrügerische Aktivitäten zu erkennen.
Profiling
Wir analysieren Ihr Verhalten und treffen Annahmen über Ihre Interessen und Präferenzen.
Weitere Informationen:11. Wie setzen wir Profiling ein?
BeispielWir werten aus, welche unserer Angebote Sie in den Apotheken in Anspruch nehmen, um Ihnen eine persönliche Auswahl von Vorteilscoupons zuzustellen.
Datenweitergabe
Wir geben Ihre Personendaten an andere Unternehmen weiter, die selber entscheiden können, wie sie die Daten nutzen.
Weitere Informationen:8. Wem geben wir Personendaten weiter?
BeispielWir übertragen eine unbezahlt gebliebene Forderung an ein Inkassounternehmen.
Weltweit
Wir bearbeiten Ihre Personendaten auch ausserhalb der Schweiz und der EU.
Weitere Informationen:9. Wie geben wir Personendaten ins Ausland bekannt?
BeispielWir speichern Daten in der Regel in der Schweiz und in Europa, nutzen aber gängige IT-Dienstleistungen, bei denen gewisse Datenflüsse ausserhalb Europas unvermeidlich sind.
Die aktuelle Version der Datenschutzerklärung berücksichtigt aktuelle rechtliche Anforderungen und macht es für Sie noch einfacher, sich über die Datenbearbeitungen der Medbase Gruppe zu informieren. Die Anpassungen betreffen insbesondere folgende Bereiche:
- Datenbearbeitungen in Zusammenhang mit Videoüberwachung werden neu in einem separaten Abschnitt erläutert (Ziffer 11).
- In einem neuen Abschnitt wird dargelegt, wie wir mit neuen Technologien wie künstlicher Intelligenz umgehen (Ziffer 14).
- Wir haben präzisiert, unter welchen Umständen Personendaten an Unternehmen ausserhalb der Medbase Gruppe weitergegeben werden können (Ziffer 8).
Wer ist Medbase?
Die Medbase Gruppe («wir» oder «uns») besteht aus der Medbase AG und ihren Tochtergesellschaften. Die Medbase Gruppe gehört zur Migros-Gruppe und kümmert sich mit medizinischem, therapeutischem, pharmazeutischem und zahnmedizinischem Angebot umfassend um Ihre Gesundheit. Der Bereich Medbase Corporate Health unterstützt Unternehmen beim umfassenden Gesundheitsmanagement.
Was macht die Medbase für den Datenschutz?
Datenschutz und Datensicherheit sind zentrale Anliegen von Medbase. Verantwortungsvoll mit Personendaten umzugehen ist nach unserem Verständnis Teil eines ethisch verantwortlichen Handelns. Um für Kundinnen und Kunden verständlicher zu machen, wie Medbase mit Daten umgeht, verwenden wir Privacy Icons.
Welche Daten werden über mich bearbeitet?
Wir bearbeiten Personendaten bei unterschiedlichen Anlässen und zu unterschiedlichen Zwecken. Fast immer, wenn Sie mit uns oder wir mit Ihnen interagieren, werden auch Personendaten bearbeitet, z.B. wenn Sie sich über das Kontaktformular oder telefonisch an ein Medical Center oder an eine unserer Apotheken wenden. Im Rahmen von Behandlungen und um Sie bei der gesundheitlichen Prävention oder Rehabilitation zu unterstützen, bearbeiten wir regelmässig auch Gesundheitsdaten von Ihnen. Es ist uns zudem wichtig, unsere Angebote auf Ihre individuellen Bedürfnisse ausrichten zu können. Wenn Sie unsere Webseite besuchen, die Medbase Apps installieren oder wenn Sie am Medbase Apotheken Club Card Programm teilnehmen, bearbeiten wir deshalb auch Verhaltens- und Transaktionsdaten und treffen gestützt darauf Annahmen über Ihre Präferenzen. Dies ermöglicht es uns zum Beispiel, Ihnen Vorteilcoupons zuzustellen, die für Sie voraussichtlich interessant sind, und Ihnen Ihre Treuebons des Medbase Apotheken Club Card Programm zuzustellen.
Wie profitiere ich von der Datenbearbeitung der Medbase?
Unsere Datenbearbeitung ist in weiten Teilen unerlässlich und hat für Sie viele Vorteile. Sie ermöglicht uns erst, Sie umfassend medizinisch zu behandeln und zu betreuen. Sie erleichtert Ihnen zudem auf unserer Webseite und in unseren Apps die Angebote aufzufinden, die Sie häufig in Anspruch nehmen oder die für Sie wahrscheinlich relevanter sind als andere. Dank unserer Datenbearbeitung profitieren Sie auch von der Zusendung individuell auf Ihre Bedürfnisse und Interessen zugeschnittener Informationen. Dank der Bearbeitung von Personendaten sind wir auch in der Lage, unsere Dienstleistungen und Produkte stetig zu verbessern.
Wem werden meine Personendaten weitergegeben?
Ihre Personendaten können an andere Unternehmen der Medbase Gruppe weitergegeben und von diesen genutzt werden. Ausserhalb der Medbase Gruppe werden Personendaten in der Regel nur an ausgewählte Dienstleister weitergegeben, die Personendaten in unserem Auftrag und nach unseren Instruktionen bearbeiten. Für Gesundheitsdaten gilt dies nur eingeschränkt und selbstverständlich unter Einhaltung der geltenden beruflichen Schweigepflichten.
Sind meine Daten sicher?
Wir sorgen für einen den Risiken angemessenen Schutz Ihrer Daten und treffen umfassende Sicherheitsmassnahmen, um Ihre Personendaten vor unberechtigtem Zugriff zu schützen. Wir verbessern unsere Sicherheitsmassnahmen laufend und passen sie dem aktuellen Stand der Technik an.
An wen kann ich mich bei Fragen wenden?
Wenn Sie Fragen zu unserer Bearbeitung Ihrer Personendaten haben, können Sie sich gerne an die Medbase-Kontaktstelle wenden: datenschutz@medbase.ch, 052 260 29 29. In der Datenschutzerklärung finden Sie weitere Kontaktmöglichkeiten sowie Angaben, wie Sie Ihre Rechte in Zusammenhang mit Ihren Personendaten ausüben können.
Datenschutzerklärung
- Worum geht es in dieser Datenschutzerklärung?
- Wer ist für die Datenbearbeitung verantwortlich?
- Für wen und wofür ist diese Datenschutzerklärung bestimmt?
- Welche Personendaten bearbeiten wir?
- Woher stammen die Personendaten?
- Für welche Zwecke bearbeiten wir Personendaten?
- Gestützt auf welche Rechtsgrundlagen bearbeiten wir Personendaten?
- Wem geben wir Personendaten weiter?
- Wie geben wir Personendaten ins Ausland bekannt?
- Wie bearbeiten wir besonders schützenswerte Personendaten?
- Wie setzen wir Videoüberwachung ein?
- Wie setzen wir Profiling ein?
- Treffen wir automatisierte Einzelentscheidungen?
- Wie nutzen wir künstliche Intelligenz?
- Wie schützen wir Personendaten?
- Wie lange bearbeiten wir Personendaten?
- Welche Rechte haben Sie?
- Wie können Sie uns kontaktieren?
- Änderungen dieser Datenschutzerklärung
1. Worum geht es in dieser Datenschutzerklärung?
Datenschutz ist mitunter Vertrauenssache, und Ihr Vertrauen ist uns wichtig. In dieser Datenschutzerklärung informieren wir Sie deshalb, wie und wozu wir Ihre Personendaten erheben, bearbeiten und verwenden. Wir verwenden den Begriff «Daten» hier gleichbedeutend mit «Personendaten».
Sie erfahren in dieser Datenschutzerklärung unter anderem:
- welche Personendaten wir erheben und bearbeiten;
- zu welchen Zwecken wir Ihre Personendaten verwenden;
- wer Zugang zu Ihren Personendaten hat;
- welchen Nutzen unsere Datenbearbeitung für Sie hat;
- wie lange wir Ihre Personendaten bearbeiten;
- welche Rechte Sie mit Bezug auf Ihre Personendaten haben; und
- wie Sie uns kontaktieren können.
Wir wollen Sie über die Bearbeitung Ihrer Personendaten umfassend informieren, Ihnen gleichzeitig aber die Orientierung erleichtern. Sie haben deshalb an verschiedenen Stellen in dieser Datenschutzerklärung die Möglichkeit, weiterführende Informationen anzuzeigen.
Wir haben diese Datenschutzerklärung sowohl am Schweizer Datenschutzgesetz als auch an der Europäischen Datenschutz-Grundverordnung – kurz DSGVO – ausgerichtet. Die DSGVO hat sich weltweit als Massstab für einen starken Datenschutz etabliert. Ob und inwieweit die DSGVO anwendbar ist, hängt aber vom Einzelfall ab.
2. Wer ist für die Datenbearbeitung verantwortlich?
Datenschutzrechtlich verantwortlich für eine bestimmte Datenbearbeitung ist jeweils das Unternehmen, das festlegt, ob diese Bearbeitung erfolgen soll, zu welchen Zwecken sie erfolgt und wie sie ausgestaltet ist. Für die Datenbearbeitungen nach dieser Datenschutzerklärung ist grundsätzlich jeweils ein Unternehmen der Medbase Gruppe («wir» oder «uns») datenschutzrechtlich verantwortlich. In der Regel ist dies das Unternehmen, das Sie auf diese Datenschutzerklärung hingewiesen hat (z.B. auf seiner Website oder wenn Sie dessen Dienstleistungen nutzen). Ein Unternehmen kann bezüglich datenschutzrechtlicher Angelegenheiten für mehrere Einheiten innerhalb der Medbase Gruppe verantwortlich sein. Dies gilt insbesondere für die Medbase-Standorte und für die Apotheken der Medbase Gruppe.
Die nachfolgende Liste zeigt auf, welches Unternehmen der Medbase Gruppe im Einzelfall für die datenschutzrechtliche Angelegenheit der Betriebsbereiche an den jeweiligen Standorten verantwortlich ist.
Medical Center | |
Standort | Verantwortliches Unternehmen |
Medbase Kriens Mattenhof | Medbase Zentralschweiz AG |
Medbase Thun Strättligen Medbase Zweisimmen | Medbase Berner Oberland AG |
Alle übrigen Medbase Medical Center | Medbase AG |
Apotheken | |
Standort | Verantwortliches Unternehmen |
Medbase Apotheke Kriens Mattenhof | Medbase Zentralschweiz AG |
Medbase Apotheke St. Gallen Am Vadianplatz | Medbase AG |
Alle übrigen Medbase Apotheken | Medbase Apotheken AG |
Übrige Einheiten | |
Betriebsbereich / Standort | Verantwortliches Unternehmen |
fit im job AG | fit im job AG |
Radiologisches Zentrum Baden AG | Radiologisches Zentrum Baden AG |
Radiologie Win AG | Radiologie Win AG |
Radiologie Luzern AG | Radiologie Luzern AG |
Centre d'Imagerie Médicale | Centre d'Imagerie Médicale de Cornavin SA |
Zahnarztzentrum.ch-Praxen
| zahnarztzentrum.ch AG
WePractice AG |
*HIN = Health Information Network (Als Antwort erhalten Sie von uns eine verschlüsselte E-Mail, die Sie über das HIN-Portal lesen und ebenfalls wieder sicher beantworten können.)
Für eine bestimmte Datenbearbeitung können auch mehrere Unternehmen der Medbase Gruppe gemeinsam verantwortlich sein, wenn sie über die Ausgestaltung oder den Zweck der betreffenden Datenbearbeitung mitentscheiden. Sie können sich dann an jedes dieser Unternehmen halten, falls Ihnen nicht klar ist, wer verantwortlich ist.
3. Für wen und wofür ist diese Datenschutzerklärung bestimmt?
Diese Datenschutzerklärung gilt für alle Personen, deren Daten wir bearbeiten (jeweils «Sie»), unabhängig davon, auf welche Weise Sie mit uns in Kontakt treten, z.B. in einer Praxis oder Apotheke, telefonisch, über ein Online-Terminbuchungs-Tool, auf einer Webseite, in einer App, über ein soziales Netzwerk, auf einer Veranstaltung etc. Sie ist sowohl auf die Bearbeitung von bereits erhobenen als auch von zukünftig erhobenen Personendaten anwendbar.
Unsere Datenbearbeitungen können insbesondere die folgenden Kategorien von Personen betreffen, soweit wir dabei Personendaten bearbeiten:
- Kundinnen und Kunden in unseren Geschäften;
- Patientinnen und Patienten in unseren Praxen;
- Personen, die Dienstleistungen von uns in Anspruch nehmen oder die mit Angeboten von uns in Kontakt kommen;
- Nutzerinnen und Nutzer unserer Online-Angebote und Apps;
- Teilnehmerinnen und Teilnehmer des Medbase Apotheken Club Card Programms;
- Besucherinnen und Besucher unserer Webseiten;
- Besucherinnen und Besucher unserer Räumlichkeiten;
- Personen, die uns schreiben oder auf andere Weise mit uns Kontakt aufnehmen;
- Empfängerinnen und Empfänger von Informationen und Marketingkommunikationen;
- Teilnehmerinnen und Teilnehmer an Wettbewerben und Gewinnspielen;
- Teilnehmerinnen und Teilnehmer an Kundenanlässen und öffentlichen Veranstaltungen;
- Teilnehmerinnen und Teilnehmer an Marktforschungs- und Meinungsumfragen und Kundenbefragungen;
- Kontaktpersonen unserer Lieferanten, Abnehmer und anderer Geschäftspartner sowie von Organisationen und Behörden;
- Aktionärinnen und Aktionäre der Medbase-(Tochter-)Gesellschaften; sowie
- Stellenbewerberinnen und Stellenbewerber.
Bitte konsultieren Sie auch die Vertragsbedingungen für einzelne Leistungen (z.B. Allgemeine Geschäftsbedingungen, Nutzungsbedingungen oder Teilnahmebedingungen). Diese können ergänzende Hinweise auf unsere Datenbearbeitungen enthalten.
Diese Datenschutzerklärung gilt für die Bearbeitung von Personendaten in allen unseren Geschäftsbereichen, darunter die Medbase Medical Center, Apotheken, Checkup Center, Zahnarztpraxen, Radiologiezentren, WePractice Standorte sowie das Medbase Apotheken Club Card Programm.
Auch auf die Tätigkeiten der Tochtergesellschaften der Medbase Gruppe, darunter die Zahnarztzentrum.ch-Gesellschaften, findet diese Datenschutzerklärung Anwendung. Die betreffenden Unternehmen können diese Datenschutzerklärung jedoch durch weitere Hinweise ergänzen. Bitte konsultieren Sie daher jeweils auch allfällige ergänzende Datenschutzhinweise des betreffenden Unternehmens, die Sie in der Regel auf dessen Webseite finden können.
Für Angaben zur Erhebung und Bearbeitung von Personendaten bei der Verwendung unserer Webseiten, Mobile Apps und Social Media-Auftritte, insbesondere im Zusammenhang mit Cookies und ähnlichen Technologien, konsultieren Sie bitte auch unsere Cookie-Informationen.
4. Welche Personendaten bearbeiten wir?
«Personendaten» sind Informationen, die mit einer bestimmten Person in Verbindung gebracht werden können. Keine Personendaten sind hingegen Informationen, die keine Rückschlüsse auf bestimmte Personen zulassen, z.B. aggregierte Daten oder statistische Auswertungen.
Wir bearbeiten verschiedene Kategorien von Personendaten. Die wichtigsten Kategorien finden Sie zu Ihrer Orientierung nachstehend. Im Einzelfall können wir aber auch weitere Personendaten bearbeiten.
In Ziffer 5 erfahren Sie mehr zur Herkunft der von uns bearbeiteten Personendaten und in Ziffer 6 zu den Zwecken, zu denen wir diese Personendaten bearbeiten.
4.1. Stammdaten
Stammdaten sind die grundlegenden Daten über Sie, wie z.B. Anrede, Name, Kontaktdaten oder Geburtsdatum. Wir erheben Stammdaten insbesondere,wenn Sie sich für eines unserer Angebote anmelden (z.B. medizinische Untersuchung oder Behandlung, Medbase Apotheken Club Card Programm), Sie sich für eines unserer Angebote registrieren (z.B. das Medbase Apotheken Club Card Programm) oder ein Kundenkonto anlegen. Stammdaten erheben wir aber z.B. auch, wenn Sie an einem Wettbewerb oder Gewinnspiel teilnehmen oder sich für einen Newsletter anmelden. Auch für Zugangskontrollen zu unseren Anlässen (z.B. Kurse) oder Büroräumlichkeiten erheben wir Stammdaten. Stammdaten erheben wir ausserdem über Kontaktpersonen und Vertreter von Vertragspartnern, Organisationen und Behörden. Wir können im Rahmen von Stammdaten auch Gesundheitsdaten sowie Angaben über Dritte (z.B. Familienmitglieder) bearbeiten.
Zu den Stammdaten gehören z.B.:
- Anrede, Vorname, Name, Geschlecht, Geburtsdatum, Nationalität, Religionszugehörigkeit (Angaben über die Religionszugehörigkeit stellen besonders schützenswerte Personendaten dar; mehr Informationen zu deren Bearbeitung finden Sie unter Ziffer 10);
- Adresse, E-Mail-Adresse, Telefonnummer und andere Kontaktdaten;
- Kunden- und Buchungsnummern (z.B. Medbase Apotheken Club Card Programm, Online-Terminreservationen etc.);
- Krankenkassennummer und gewählte Versicherungsmodelle;
- Portraitfoto für Kundendatei;
- Zahlungsinformationen (z.B. hinterlegte Zahlungsmittel, Bankverbindung, Rechnungsadresse);
- Benutzername und Profilbild für Accounts von Online-Angeboten;
- Angaben zur Nutzung von Online-Angeboten (z.B. Health Report, myChange, myRelax, Oviva - Online-Ernährungscoaching), Apps (z.B. Medbase physio.coach App) und Abonnements (z.B. Medbase-Magazin);
- Angaben zu verbundenen Webseiten, Social Media-Profilen etc.;
- Angaben zu Vorlieben und Interessen, präferierten Medbase-Standorten, Sprachpräferenzen etc.
- Angaben über Ihre Beziehung mit uns (Kundin bzw. Kunde, Patientin bzw. Patient, Besucherin bzw. Besucher, Lieferantin bzw. Lieferant etc.);
- Angaben über verbundene Dritte (z.B. Kontaktpersonen, Empfängerinnen bzw. Empfänger von Leistungen oder Vertreterinnen bzw. Vertreter, Familienmitglieder);
- Einstellungen betreffend Erhalt von Werbung, abonnierte Newsletter etc.;
- Angaben zu Ihrem Status bei uns (z.B. Hausverbot);
- Angaben zur Teilnahme an Wettbewerben und Gewinnspielen;
- Angaben zur Teilnahme an Werbeveranstaltungen, Sponsoring-Anlässen oder Kultur- und Sportveranstaltungen;
- Behördliche Dokumente, in denen Sie vorkommen (z.B. Ausweisdokumente, Impfausweis, Handelsregisterauszüge, Bewilligungen etc.);
- Angaben zu Titeln und zur Funktion im Unternehmen bei Kontaktpersonen und Vertretern unserer Geschäftspartner;
- Datum und Zeit von Registrierungen.
4.2. Vertragsdaten
Vertragsdaten sind Personendaten, die im Zusammenhang mit dem Vertragsschluss bzw. der Vertragsabwicklung anfallen, z.B. Art und Dauer eines zwischen Ihnen und uns geschlossenen Behandlungsvertrags oder das Kaufdatum, die Produktebezeichnung und die Mengenangabe bezüglich eines Medikamentenkaufs in einer unserer Apotheken. Auch Gesundheitsdaten und Angaben über Dritte können dazu gehören, z.B. Angaben über Krankheitsfälle in der Familie. Verträge schliessen wir vor allem mit Kundinnen und Kunden, Patientinnen und Patienten, Geschäftspartnern und Stellenbewerberinnen und Stellenbewerbern, aber auch mit anderen Vertragspartnerinnen und Vertragspartner wie z.B. Antragstellerinnen und Antragssteller für Sponsoring. Wenn Sie gestützt auf einen Vertrag Angebote von uns nutzen, z.B. Waren erwerben oder Dienstleistungen in Anspruch nehmen, erheben wir zudem häufig auch Verhaltens- und Transaktionsdaten (siehe Ziffer 4.5).
Zu den Vertragsdaten gehören z.B. Angaben
- über die Anbahnung und den Abschluss von Verträgen, z.B. Art und Dauer des Behandlungsvertrags, Datum des Vertragsschlusses (z.B. Kaufdatum), Angaben aus dem Antragsprozess und Angaben über den betreffenden Vertrag (z.B. Art und Dauer);
- über die Abwicklung und Verwaltung von Verträgen (z.B. Kontaktangaben, Lieferadressen, erfolgte oder fehlgeschlagene Lieferungen und Zahlungsmittelinformationen, erbrachte Tarifpositionen und andere Abrechnungen);
- im Zusammenhang mit Anfragen bezüglich unserer Angebote oder technischer Unterstützung;
- über unsere Interaktionen mit Ihnen (allenfalls eine Historie mit entsprechenden Eintragungen);
- über Forderungen und erworbene Ansprüche und Vorteile (z.B. Medbase Apotheken Club Card Punktestand oder Gewinn bei einem unserer Wettbewerbe);
- über bezogene Produkte und Dienstleistungen;
- über Mängel und Beschwerden sowie Anpassungen eines Vertrags;
- zur Kundenzufriedenheit, die wir mit Befragungen erheben können;
- zu finanziellen Belangen wie z.B. zur Bestimmung der Bonität (d.h. Informationen, die Schlüsse über die Wahrscheinlichkeit zulassen, dass Forderungen beglichen werden), zu Mahnungen, zum Inkasso und zur Durchsetzung von Forderungen;
- im Zusammenhang mit einer Stellenbewerbung, z.B. Lebenslauf, Referenzen, Qualifikationen, Zeugnisse, Gesprächsnotizen etc. (die auch Personendaten Dritter enthalten können);
- im Zusammenhang mit einem Sponsoring-Antrag, z.B. Angaben über Ihr Projekt und weitere Beteiligte;
- zu Interaktionen mit Ihnen als Kontaktperson oder Vertreter eines Geschäftspartners;
- im Zusammenhang mit Sicherheitsprüfungen und anderen Prüfungen im Hinblick auf die Aufnahme einer Geschäftsbeziehung.
4.3. Gesundheitsdaten
Aufgrund unseres medizinischen, therapeutischen, pharmazeutischen und zahnmedizinischen Angebots bearbeiten wir regelmässig Gesundheitsdaten. Als solche gelten alle Informationen, welche Rückschlüsse auf den physischen oder psychischen Gesundheitszustand erlauben. Auf den Schutz dieser Daten legen wir besonders Wert. Informationen darüber, wie wir besonders schützenswerte Daten wie Gesundheitsdaten bearbeiten, finden Sie unter Ziffer 10.
Zu den Gesundheitsdaten gehören z.B.
- Krankengeschichte und Patientendossier;
- Impfausweis;
- Laborwerte;
- Informationen aus DNA-Analysen oder über Erbkrankheiten;
- Röntgenbilder;
- Messwerte eines EKG;
- ärztliche Rezepte;
- Austrittsbericht eines Spitals.
4.4. Kommunikationsdaten
Wenn Sie mit uns oder wir mit Ihnen in Kontakt stehen, z.B. wenn Sie eine Praxis oder Apotheke kontaktieren oder wenn Sie uns schreiben oder anrufen, bearbeiten wir die ausgetauschten Kommunikationsinhalte und Angaben über Art, Zeitpunkt und Ort der Kommunikation. In bestimmten Situationen können wir Sie zur Identifikation auch um einen Identitätsnachweis oder Ihre Krankenkassennummer bitten.
Kommunikationsdaten sind z.B.
- Name und Kontaktangaben wie z.B. Postadresse, E-Mail-Adresse und Telefonnummer;
- Inhalt von E-Mails, schriftlicher Korrespondenz, Chatnachrichten, Social Media-Posts, Kommentare auf einer Webseite, Telefongesprächen, Videokonferenzen etc.;
- Antworten auf Kunden- und Zufriedenheitsumfragen;
- Angaben zu Art, Zeit und u.U. Ort der Kommunikation;
- Identitätsnachweise wie z.B. Kopien amtlicher Ausweise
- Metadaten der Kommunikation (z.B. Datum und Zeit eines Anrufs oder einer E-Mail-Zustellung).
Telefon- und Videokonferenzgespräche mit uns können aufgezeichnet werden; darüber informieren wir Sie jeweils zu Beginn des Gesprächs. Wenn Sie nicht möchten, dass wir solche Gespräche aufnehmen, haben Sie jederzeit die Möglichkeit, das Gespräch abzubrechen und mit uns auf andere Weise (z.B. mittels E-Mail) in Kontakt zu treten.
4.5. Verhaltens- und Transaktionsdaten
Wenn Sie unsere Dienstleistungen in Anspruch nehmen, bei uns einkaufen oder unsere Infrastruktur nutzen, erheben wir häufig Daten über diese Nutzung und allgemein über Ihr Verhalten. Das ist z.B. der Fall, wenn Sie sich auf unseren Apps registrieren oder online einen Termin buchen. Das ist aber auch der Fall, wenn Sie bei uns unter Angabe der Nummer Ihrer Medbase Apotheken Club Card einkaufen. Wenn Sie am Medbase Apotheken Club Card Programm teilnehmen, können diese Personendaten nicht nur Sie betreffen, sondern auch andere Medbase Apotheken Club Card-Teilnehmerinnen bzw. -Teilnehmer, z.B. Ihre Familienmitglieder.
Zu den Verhaltens- und Transaktionsdaten gehören z.B. folgende Angaben, soweit sie uns personenbezogen vorliegen:
- über Ihr Verhalten auf Webseiten;
- über Ihr Verhalten bei Ihren Einkäufen (sofern wir Bestellungen in Ihrem Namen tätigen oder Sie die Medbase Apotheken Club Card verwenden);
- über den Besuch von Events oder die Nutzung von Testangeboten (z.B. Datum, Ort und Art des Events bzw. der Nutzung);
- über die Teilnahme an Wettbewerben, Gewinnspielen und ähnlichen Veranstaltungen;
- über die Installation und Verwendung von mobilen Apps;
- über Ihre Verwendung elektronischer Mitteilungen (z.B. ob und wann Sie eine E-Mail geöffnet oder einen Link angeklickt haben).
Viele unserer Angebote können Sie auch anonym nutzen. Beispielsweise können sie in unseren Apotheken ohne Angabe Ihrer Medbase Apotheken Club Card-Nummer einkaufen. Auch online (inkl. in unseren Apps) besteht teilweise die Möglichkeit, das Angebot ohne Account zu nutzen. Wenn Sie über einen Account verfügen, können Verhaltens- und Transaktionsdaten ggf. aber auch dann Ihrem Profil zugeordnet werden, wenn Sie im Zeitpunkt des Besuchs der Webseite bzw. Nutzung der App nicht angemeldet sind.
4.6. Präferenzdaten
Wir möchten unsere Angebote und Leistungen bestmöglich auf unsere Kundinnen und Kunden ausrichten. Wir bearbeiten deshalb auch Daten zu Ihren Interessen und Präferenzen. Hierzu können wir Verhaltens- und Transaktionsdaten mit anderen Daten verbinden und diese Daten personenbezogen und nicht personenbezogen auswerten (aber: mit Patientendossiers tun wir das nicht). So können wir Schlüsse auf Eigenschaften, Präferenzen und voraussichtliches Verhalten ziehen, z.B. Ihre Vorlieben und Affinitäten zu bestimmten Produkten und Dienstleistungen. Zum Profiling in diesem Zusammenhang finden Sie in Ziffer 11 weitere Informationen.
Wir können Verhaltens- und Transaktionsdaten mit anderen Informationen verknüpfen, bspw. mit Stammdaten, Vertragsdaten und technischen Daten sowie mit nicht personenbezogenen statistischen Angaben, und sie auswerten, um daraus Angaben über Ihre Eigenschaften, Präferenzen und voraussichtliches Verhalten abzuleiten. Wir können insbesondere Segmente bilden (dauerhaft oder einzelfallbezogen), also Gruppen von Personen, die mit Bezug auf bestimmte Eigenschaften Ähnlichkeiten aufweisen. Präferenzdaten können personenbezogen verwendet werden (z.B. um Ihnen Werbung anzuzeigen, die Sie interessiert, oder um Ihnen relevante Vorteilcoupons zuzustellen), aber auch nicht-personenbezogen (z.B. zur Marktforschung oder zur Produktentwicklung).
4.7. Technische Daten
Wenn Sie unsere Webseiten, unsere Apps, unsere WiFi-Netze oder andere elektronische Angebote nutzen, erheben wir bestimmte technische Daten wie z.B. Ihre IP-Adresse oder eine Geräte-ID. Zu den technischen Daten gehören auch die Protokolle, in denen wir die Nutzung unserer Systeme aufzeichnen (Log-Daten). Zum Teil können wir Ihrem Endgerät (Tablet, PC, Smartphone etc.) auch eine eindeutige Kennnummer zuweisen (eine ID), z.B. mittels Cookies oder ähnlichen Technologien, damit wir es wiedererkennen können. Dazu finden Sie weitere Angaben in unseren Cookie-Informationen.
Auf Basis von technischen Daten können insbesondere auch Verhaltensdaten erhoben werden, also Angaben zu Ihrer Nutzung von Webseiten und mobilen Apps (dazu Ziffer 4.5). Wir können aus technischen Daten in der Regel aber nicht ableiten, wer Sie sind, es sei denn, Sie legen z.B. ein Kundenkonto an oder registrieren sich. In diesem Fall können wir technische Daten mit Stammdaten – und damit mit Ihrer Person – verbinden.
Zu den technischen Daten gehören u.a.
- die IP-Adresse Ihres Geräts und weitere Geräte-IDs (z.B. MAC-Adresse);
- Kennnummern, die Ihrem Gerät von Cookies und ähnlichen Technologien (z.B. Pixel Tags) zugewiesen werden;
- Angaben über Ihr Gerät und dessen Konfiguration, z.B. Betriebssystem oder Spracheinstellungen;
- Angaben zum Browser, mit dem Sie auf das Angebot zugreifen, und dessen Konfiguration;
- Informationen über Ihre Bewegungen und Aktionen auf unseren Webseiten und in unseren Apps;
- Angaben über Ihren Internetprovider;
- Ihr ungefährer Standort und der Zeitpunkt der Nutzung;
- systemseitige Aufzeichnungen von Zugriffen und anderen Vorgängen (Log-Daten).
Diese technischen Daten erlauben uns für sich genommen meist keine Rückschlüsse auf Ihre Identität. Im Rahmen von Benutzerkonten, Registrierungen, der Abwicklung von Verträgen oder Auswertungen für Präferenzdaten können sie aber mit anderen Datenkategorien – und so ggf. mit Ihrer Person – verknüpft werden.
Bitte beachten Sie zur Bearbeitung technischer Daten auch unsere Cookie-Informationen.
4.8. Sonstige Daten
Daten von Ihnen erheben wir auch in anderen Situationen. Im Zusammenhang mit behördlichen oder gerichtlichen Verfahren etwa fallen Daten an (wie Akten, Beweismittel etc.), die sich auch auf Sie beziehen können. Aus Gründen des Gesundheitsschutzes können wir ebenfalls Daten erheben (z.B. im Rahmen von Schutzkonzepten). Schliesslich erheben und bearbeiten wir Daten über unsere Aktionäre und anderen Anleger; neben Stammdaten sind dies u.a. Angaben für die entsprechenden Register, bezüglich der Ausübung ihrer Rechte und der Durchführung von Anlässen (z.B. Generalversammlungen).
4.9. Bild- und Tonaufnahmen
Wir fertigen möglicherweise Fotos, Videos und Tonaufnahmen an, in bzw. auf denen Sie vorkommen können, z.B. wenn Sie sich telefonisch an ein Medical Center oder an eine unserer Apotheken wenden, eine telemedizinische Beratung per Videokonferenz in Anspruch nehmen oder an einer Veranstaltung teilnehmen. Bei medizinischen Untersuchungen kann es auch zu Aufnahmen kommen, um der Gesundheitsfachperson beispielsweise zu ermöglichen, Symptome besser beurteilen oder Behandlungsschritte besser begleiten zu können. Wir erstellen ausserdem Aufzeichnungen im Zusammenhang mit Videoüberwachung in unseren Geschäften und in unseren übrigen Räumlichkeiten (dazu Ziffer 11).
Bild- und Tonaufnahmen umfassen z.B.:
- Aufzeichnungen im Rahmen einer medizinischen Untersuchung (Fotos, Röntgenbilder) und therapeutischen Behandlungen (Videos);
- Aufzeichnungen von Telefon- und Videokonferenzgesprächen (z.B. in der telemedizinischen Beratung);
- Fotos, Videos und Tonaufnahmen von Kundenanlässen und öffentlichen Anlässen (z.B. Werbeveranstaltungen, Sponsoring-Anlässen etc.);
- Fotos, Videos und Tonaufnahmen von Kursen, Referaten, Schulungen etc.;
- Aufzeichnungen von Videokameras und Bildsensoren in unseren Geschäften und übrigen Räumlichkeiten.
5. Woher stammen die Personendaten?
Personendaten geben Sie uns häufig selbst bekannt, z.B., wenn Sie uns Daten übermitteln oder mit uns kommunizieren. Insbesondere Stamm-, Vertrags- und Kommunikationsdaten geben Sie uns meist selbst bekannt. Auch Präferenzdaten geben Sie uns häufig selbst bekannt.
Sie stellen uns z.B. in folgenden Fällen selbst Personendaten zur Verfügung:
- Sie melden sich für einen medizinischen Termin oder eines unserer Kursangebote an;
- Sie werden durch unsere Fachpersonen medizinisch untersucht;
- Sie kaufen in einer unserer Apotheken ein;
- Sie registrieren sich auf einer unserer Apps und erfassen Ihre medizinischen Angaben oder Trainingsresultate;
- Sie melden sich für das Medbase Apotheken Club Card Programm an;
- Sie nehmen an einem Gewinnspiel oder an einem Wettbewerb teil;
- Sie wenden sich an die Medbase-Kontaktstelle.
Die Bereitstellung von Personendaten ist in der Regel freiwillig, d.h. Sie sind meist nicht verpflichtet, uns Personendaten bekannt zu geben. Allerdings müssen wir diejenigen Personendaten erheben und bearbeiten, die für die Abwicklung einer Vertragsbeziehung (z.B. medizinische Untersuchung) und für die Erfüllung damit verbundener Pflichten erforderlich oder gesetzlich vorgeschrieben sind, z.B. obligatorische Stamm- und Vertragsdaten. Andernfalls können wir den betreffenden Vertrag nicht abschliessen oder weiterführen.
Wenn Sie uns Daten über andere Personen (z.B. Familienmitglieder) übermitteln, gehen wir davon aus, dass Sie dazu befugt sind und diese Daten richtig sind. Bitte stellen Sie auch sicher, dass diese anderen Personen über diese Datenschutzerklärung informiert wurden.
Wir können Personendaten über Sie auch selbst oder automatisiert erheben, z.B., wenn Sie unsere Dienstleistungen in Anspruch nehmen, unsere Angebote nutzen oder bei uns einkaufen. Es handelt sich dabei häufig um Verhaltens- und Transaktionsdaten sowie um technische Daten.
Wir erheben z.B. in folgenden Fällen selbständig Personendaten über Sie:
- Sie kaufen in einer unserer Apotheken ein und erfassen dabei Ihre Medbase Apotheken Club Card bzw. den zugehörigen Code;
- Sie melden sich online zu einem unserer Angebote an (z.B. Blutdruckmessung);
- Sie besuchen eine unserer Webseiten (z.B. Medbase.ch) oder verwenden eine unserer Apps (z.B. die Medbase physio.coach App);
- Sie klicken auf einen Link in einem unserer Newsletter oder interagieren anderweitig mit einer unserer elektronischen Werbemitteilungen.
Wir können Personendaten auch aus bereits vorhandenen Personendaten ableiten, z.B. durch Auswertung von Verhaltens- und Transaktionsdaten. Bei solchen abgeleiteten Personendaten handelt es sich häufig um Präferenzdaten oder im Falle von medizinischen Untersuchungen um Stammdaten.
Wir können z.B. die bei Einkäufen in unseren Apotheken angefallenen Verhaltens- und Transaktionsdaten analysieren und gestützt darauf Annahmen über Ihre persönlichen Interessen, Präferenzen, Affinitäten und Gewohnheiten treffen. Dies ermöglicht es uns z.B., unsere Angebote und Informationen auf Ihre individuellen Bedürfnisse und Interessen auszurichten. So können wir Ihnen z.B. im Rahmen des Medbase Apotheken Club Card Programms eine individuelle Auswahl an für Sie relevanten Vorteilcoupons zustellen. Zu Verhaltens- und Transaktionsdaten finden Sie in Ziffer 4.5 und zum Profiling in diesem Zusammenhang in Ziffer 11 weitere Informationen.
Fachpersonen können aus der Analyse von Daten aus Untersuchungen von Ihnen ebenfalls weitere Personendaten ableiten (z.B. Laborwerte, Diagnosen).
Personendaten können wir auch von anderen Unternehmen der Medbase Gruppe erhalten. Dazu finden Sie unter Ziffer 8 weitere Angaben. Wir können aber auch von anderen Dritten Angaben über Sie erhalten, z.B. von Unternehmen, mit denen wir zusammenarbeiten, von Personen, die mit uns kommunizieren, oder aus öffentlichen Quellen.
Wir können z.B. von folgenden Dritten Angaben über Sie erhalten:
- von anderen Arztpraxen;
- von Kooperationspartnern;
- von Dienstleistern (z.B. medizinische Labore, die Proben auswerten);
- von Ihrem Arbeitgeber und Arbeitskollegen im Zusammenhang mit einer Stellenbewerbung und ihren beruflichen Funktionen (z.B. Referenzen früherer Arbeitgeber);
- von Dritten, wenn Korrespondenz und Besprechungen Sie betreffen;
- von Personen aus Ihrem Umfeld (Familienangehörige, Rechtsvertreter etc.), z.B. Ihre Adresse für Lieferungen, Referenzen, Vollmachten oder Krankheiten in der Familie;
- von Wirtschaftsauskunfteien, z.B., wenn wir Bonitätsauskünfte einholen;
- von der schweizerischen Post und von Adresshändlern, z.B. für Adressaktualisierungen;
- von Banken, Versicherungen, Vertriebs- und anderen Vertragspartnern bei Käufen und Zahlungen;
- von Anbietern von Online-Diensten, z.B. Anbietern von Internet-Analysediensten;
- von Behörden, Parteien und anderen Dritten im Zusammenhang mit behördlichen und gerichtlichen Verfahren;
- von Medienbeobachtungsunternehmen im Zusammenhang mit Artikeln und Berichten, in denen Sie vorkommen;
- aus öffentlichen Registern wie z.B. dem Betreibungs- oder Handelsregister, von öffentlichen Stellen wie z.B. dem Bundesamt für Statistik, aus den Medien oder aus dem Internet.
6. Für welche Zwecke bearbeiten wir Personendaten?
6.1. Kommunikation
Wir möchten mit Ihnen in Kontakt bleiben und auf Ihre individuellen Anliegen eingehen. Wir bearbeiten Personendaten deshalb für die Kommunikation mit Ihnen, z.B. die Beantwortung von Anfragen und die Kundenpflege. Hierzu verwenden wir insbesondere Kommunikations- und Stammdaten und, soweit die Kommunikation einen Vertrag betrifft, auch Vertragsdaten. Wir können den Inhalt und den Versandzeitpunkt von Nachrichten auch auf Basis von Verhaltens-, Transaktions- und Präferenzdaten und anderen Daten personalisieren.
Der Zweck der Kommunikation umfasst insbesondere:
- Terminvereinbarungen;
- die Beantwortung von Anfragen;
- die Kontaktaufnahme mit Ihnen bei Fragen;
- die Kommunikation im Zusammenhang mit Warenrückrufen (z.B. können wir Sie direkt kontaktieren, wenn wir wissen, dass Sie ein Produkt gekauft haben, das von einem Rückruf betroffen ist);
- die Authentifizierung, z.B. bei der Nutzung unserer Online-Angebote;
- alle anderen Bearbeitungszwecke, soweit wir dafür mit Ihnen kommunizieren (z.B. die Vertragsabwicklung, die Information und die Direktwerbung).
6.2. Vertragsabwicklung
Wir möchten Ihnen den bestmöglichen Service bieten, damit Sie gesund bleiben oder es wieder werden. Wir bearbeiten Personendaten deshalb im Zusammenhang mit der Anbahnung, Verwaltung und Abwicklung von Vertragsbeziehungen, z.B. um medizinische und pharmazeutische Dienstleistung zu erbringen, um ein Treue- oder Bonusprogramm durchzuführen oder ein Gewinnspiel zu veranstalten. Die Vertragsabwicklung umfasst auch eine ggf. vereinbarte Personalisierung von Leistungen. Wir verwenden dazu insbesondere Stammdaten, Vertragsdaten, Kommunikationsdaten, Verhaltens- und Transaktionsdaten sowie Präferenzdaten.
Der Zweck der Vertragsabwicklung umfasst generell alles, was erforderlich oder zweckmässig ist, um einen Vertrag zu schliessen, durchzuführen und ggf. durchzusetzen. Dies kann auch den Beizug von anderen Unternehmen der Medbase Gruppe und von Dritten (z.B. Lieferdienst, medizinisches Labor, Arztpraxis) umfassen.
Dazu gehören z.B. Bearbeitungen:
- um die Bereitstellung unserer Leistungen zu planen und vorzubereiten, z.B. Einsatzplanung unserer Mitarbeitenden;
- um vertraglich vereinbarte Leistungen zu erbringen, z.B. medizinische und pharmazeutische Dienstleistungen, Auslieferung von Waren und Bereitstellung von Funktionen (einschliesslich personalisierter Leistungsbestandteile);
- um zu entscheiden, ob und wie (z.B. mit welchen Zahlungsmöglichkeiten) wir einen Vertrag mit Ihnen eingehen (einschliesslich der Bonitätsprüfung);
- um Kostengutsprachen einzuholen;
- um unsere Leistungen abzurechnen (und ggf. Rückforderungsbelege für die Krankenkasse zu erstellen) sowie generell für die Buchführung;
- um Kundendienstleistungen zu erbringen und die Kundenzufriedenheit zu erheben;
- um Treue- und Bonusprogramme (z.B. das Medbase Apotheken Club Card Programm) durchzuführen und zu bewirtschaften, z.B. um erworbene Ansprüche und Vorteile (z.B. Treuepunkte) abzurechnen und gutzuschreiben;
- um die Gewinnerinnen bzw. Gewinner von Wettbewerben und Gewinnspielen zu ermitteln, zu benachrichtigen und ggf. zu publizieren;
- um Sponsoring-Anträge zu prüfen und ggf. abzuwickeln;
- um die Eignung von Stellenbewerberinnen bzw. Stellenbewerber zu prüfen und ggf. zur Vorbereitung und zum Abschluss des Arbeitsvertrags;
- um zu prüfen, ob wir mit einem Unternehmen zusammenarbeiten wollen und können, sowie um dessen Leistungen zu überwachen und zu beurteilen;
- um gesellschaftsrechtliche Transaktionen vorzubereiten und abzuwickeln, z.B. Unternehmenskäufe, -verkäufe und -zusammenschlüsse;
- um Rechtsansprüche aus Verträgen durchzusetzen (Inkasso, Gerichtsverfahren etc.);
- um unsere IT- und andere Ressourcen zu verwalten und zu bewirtschaften;
- um Daten im Rahmen von Aufbewahrungspflichten zu speichern;
- um Verträge zu kündigen und zu beenden.
6.3. Qualitätsverbesserung, Produktentwicklung und Marktforschung
Wir möchten die Qualität unserer Angebote laufend verbessern und für Sie attraktiver machen. Wir bearbeiten Personendaten deshalb im Zusammenhang mit wissenschaftlichen Studien und für die Verbesserung der medizinischen Qualität. Dazu bearbeiten wir insbesondere Stamm-, Gesundheits-, Verhaltens-, Transaktions- und Präferenzdaten sowie Bild- und Tonaufnahmen, aber auch Kommunikationsdaten und Angaben aus Kundenbefragungen, Umfragen und Studien und weitere Angaben z.B. aus den Medien, aus dem Internet und aus anderen öffentlichen Quellen. Soweit möglich, verwenden wir für diese Zwecke pseudonymisierte oder anonymisierte Angaben.
Zur Qualitätsverbesserung, Produktentwicklung und Marktforschung gehören insbesondere:
- die Auswertung von pseudonymisierten oder anonymisierten Gesundheitsdaten (d.h. ohne dass Rückschlüsse auf Ihre Person möglich sind);
- die Durchführung von Kundenbefragungen, Umfragen und Studien;
- die Weiterentwicklung unserer Angebote (z.B. Gestaltung des Angebots, Standortwahl, Preisgestaltung und Aktionsplanung etc.);
- die Beurteilung und Verbesserung der Akzeptanz unserer Angebote und unsere Kommunikation im Zusammenhang mit Angeboten;
- die Optimierung und Verbesserung der Nutzerfreundlichkeit von Webseiten und Apps;
- die Entwicklung und den Test neuer Angebote;
- die Prüfung und Verbesserung unserer internen Abläufe;
- die Aus- und Weiterbildung sowie Schulung unserer Mitarbeitenden;
- statistische Auswertungen, z.B. um auf nicht-personenbezogener Basis Informationen über Interaktionen unserer Kundinnen und Kunden mit uns auszuwerten;
- die Einschätzung der Angebotssituation auf einem bestimmten Markt und das Verhalten unserer Mitbewerber;
- die Marktbeobachtung, z.B., um aktuelle Entwicklungen und Trends zu verstehen und auf solche zu reagieren.
6.4. Einhaltung rechtlicher Anforderungen
Wir möchten die Voraussetzungen zur Einhaltung rechtlicher Anforderungen schaffen. Wir bearbeiten Personendaten deshalb auch, um rechtliche Pflichten einzuhalten und Verstösse zu verhindern und aufzudecken. Dazu gehören z.B. die Entgegennahme und Bearbeitung von Beschwerden und anderen Meldungen, die Einhaltung von Anordnungen eines Gerichts oder einer Behörde sowie Massnahmen zur Aufdeckung und Abklärung von Missbräuchen. Dies kann alle in Ziffer 4 genannten Personendatenkategorien betreffen.
Zur Einhaltung rechtlicher Anforderungen gehören insbesondere:
- die Administration und Aufbewahrung von Patientendossiers;
- die persönliche Aufklärung über Risiken und Nebenwirkungen von Heilmitteln und gesundheitlichen Eingriffen;
- die Vornahme gesetzlich vorgeschriebener Behördenmeldungen (z.B. von bestimmten Krankheiten);
- die Durchführung von Gesundheits- und Schutzkonzepten;
- die Abklärungen über Geschäftspartner;
- die Entgegennahme und Bearbeitung von Beschwerden und anderen Meldungen;
- die Durchführung interner Untersuchungen;
- die Sicherstellung der Compliance und das Risikomanagement;
- die Offenlegung von Informationen und Unterlagen an Behörden, wenn wir dazu rechtlich berechtigt oder verpflichtet sind;
- die Mitwirkung bei externen Untersuchungen z.B. durch eine Strafverfolgungs- oder Aufsichtsbehörde;
- die Gewährleistung der rechtlich gebotenen Datensicherheit;
- die Betreuung unserer Aktionärinnen bzw. Aktionäre und sonstiger Anleger zur Erfüllung unserer diesbezüglichen Pflichten;
- die Erfüllung von Auskunfts-, Informations- oder Meldepflichten z.B. im Zusammenhang mit aufsichts- und steuerrechtlichen Pflichten, z.B. bei Archivierungspflichten und zur Verhinderung, Aufdeckung und Abklärung von Straftaten und anderen Verstössen.
In allen Fällen kann es sich um Schweizer Recht, aber auch ausländische Bestimmungen handeln, denen wir unterstehen, ebenso Selbstregulierungen, Branchen- und andere Standards, die eigene «Corporate Governance» oder behördliche Anweisungen.
6.5. Sicherheit und Prävention
Wir möchten Ihre und unsere Sicherheit gewährleisten und Missbräuchen vorbeugen. Wir bearbeiten Personendaten deshalb auch zu Sicherheitszwecken, zur Gewährleistung der IT-Sicherheit, zur Diebstahls-, Betrugs- und Missbrauchsprävention und zu Beweiszwecken. Dies kann alle in Ziffer 4 genannten Personendatenkategorien betreffen, insbesondere auch Verhaltens- und Transaktionsdaten sowie Bild- und Tonaufnahmen (dazu Ziffer 11). Diese Daten können wir für die genannten Zwecke erfassen, auswerten und speichern.
Der Zweck der Sicherheit und Prävention umfasst z.B.:
- die Anfertigung und Auswertung (manuell und automatisch) von Videoaufzeichnungen zur Erkennung und Verfolgung von strafbaren Handlungen;
- das Aussprechen von Hausverboten und die Administration von Hausverbotslisten;
- die Analyse von Verhaltens- und Transaktionsdaten zwecks Erkennung von verdächtigen Verhaltensmustern und betrügerischen Aktivitäten;
- die Auswertung von systemseitigen Aufzeichnungen der Nutzung unserer Systeme (Log-Daten);
- das Vorbeugen, Abwehren und Aufklären von Cyberangriffen und Malware-Attacken;
- Analysen und Tests unserer Netzwerke und IT-Infrastrukturen sowie System- und Fehlerprüfungen;
- Kontrolle der Zugänge zu elektronischen Systemen (z.B. Logins bei Benutzerkonten);
- physische Zugangskontrollen (z.B. Zutritte zu Büroräumlichkeiten);
- Dokumentationszwecke und Anlegen von Sicherheitskopien.
6.6. Rechtswahrung
Wir möchten in der Lage sein, unsere Ansprüche durchzusetzen und uns gegen Ansprüche anderer zu verteidigen. Wir bearbeiten Personendaten deshalb auch zur Rechtswahrung, z.B., um Ansprüche gerichtlich, vor- oder aussergerichtlich und vor Behörden im In- und Ausland durchzusetzen oder uns gegen Ansprüche zu verteidigen. Dabei bearbeiten wir je nach Konstellation unterschiedliche Personendaten, z.B. Kontaktdaten sowie Angaben über Abläufe, die zu einer Auseinandersetzung Anlass gegeben haben oder geben könnten, in Einzelfällen bearbeiten wir dabei auch Gesundheitsdaten (unter Wahrung des Berufsgeheimnisses, wo dieses gilt, siehe auch Ziffer 8).
Zum Zweck der Rechtswahrung gehört insbesondere:
- die Abklärung und Durchsetzung unserer Ansprüche, wozu auch Ansprüche mit uns verbundener Unternehmen und unserer Vertrags- und Geschäftspartner gehören können;
- die Abwehr von Ansprüchen gegen uns, unsere Mitarbeitenden, mit uns verbundene Unternehmen und gegen unsere Vertrags- und Geschäftspartner;
- die Abklärung von Prozessaussichten und anderer rechtlicher, wirtschaftlicher und sonstiger Fragen;
- die Teilnahme an Verfahren vor Gerichten und Behörden im In- und Ausland. Beispielsweise können wir Beweise sichern, Prozessaussichten abklären lassen oder bei einer Behörde Unterlagen einreichen. Es kann auch sein, dass Behörden uns auffordern, Unterlagen und Datenträger offenzulegen, die Personendaten enthalten.
6.7. Information und Marketing
Wir möchten Ihnen attraktive Angebote unterbreiten. Wir bearbeiten Personendaten deshalb zur Beziehungspflege und für Marketingzwecke, z.B. um Ihnen schriftliche und elektronische Mitteilungen und Angebote zuzustellen und um Marketingaktionen durchzuführen. Dabei kann es sich um unsere eigenen Angebote handeln oder um Angebote anderer Unternehmen der Medbase Gruppe oder um solche von Werbepartnern. Mitteilungen und Angebote können jeweils auch personalisiert werden, um Ihnen möglichst nur Informationen zu übermitteln, die für Sie voraussichtlich interessant sind. Hierzu verwenden wir insbesondere Stamm-, Vertrags-, Kommunikations-, Verhaltens- und Transaktionsdaten sowie Präferenzdaten.
Dabei kann es sich z.B. um folgende Mitteilungen und Angebote handeln:
- Newsletter, Werbe-E-Mails, In-App-Nachrichten und andere elektronische Nachrichten;
- Banneranzeigen und andere Formen der Onlinewerbung;
- Werbebroschüren, Magazine und andere Drucksachen;
- Zustellung von Gutscheinen und Treuebons;
- Anzeige von für Sie vermutlich relevanten Fachartikeln;
- Einladungen zu Anlässen, Gewinnspielen und Wettbewerben.
Soweit wir nicht separat um Ihre Einwilligung bitten, um Sie für Marketingzwecke zu kontaktieren, können Sie solche Kontakte jederzeit ablehnen (siehe Ziffer 15). Bei Newslettern und anderen elektronischen Mitteilungen können Sie sich meist über einen in der Mitteilung integrierten Abmeldelink vom entsprechenden Service abmelden.
Die Personalisierung unserer Mitteilungen ermöglicht es uns, Informationen auf Ihre individuellen Bedürfnisse und Interessen auszurichten und Ihnen möglichst nur Angebote zu unterbreiten, die für Sie relevant sind. Zum Beispiel stellen wir Ihnen im Rahmen des Medbase Apotheken Club Card Programms eine individuelle Auswahl für Sie relevanter Vorteilcoupons zu oder zeigen Ihnen auf Sie zugeschnittene Online-Inhalte. Zum Profiling in diesem Zusammenhang finden Sie in Ziffer 11 weitere Informationen.
Gruppeninterne Administration
6.8. Gruppeninterne Administration und Unterstützung
Wir möchten unsere internen Abläufe effizient gestalten. Wir bearbeiten Personendaten deshalb für unsere gruppeninterne Administration. Dazu bearbeiten wir insbesondere Stammdaten, Vertragsdaten und technische Daten, aber auch Gesundheitsdaten (unter Wahrung des Berufsgeheimnisses, wo dieses gilt; siehe auch Ziffer 8), Verhaltens- und Transaktionsdaten sowie Kommunikationsdaten.
Zur gruppeninternen Administration und Unterstützung gehört insbesondere:
- die Verwaltung der IT und von Immobilien;
- die Buchhaltung;
- die Archivierung von Daten und die Bewirtschaftung unserer Archive;
- die Schulung und Ausbildung, z.B., wenn wir Aufnahmen von Telefon-, Video- oder sonstigen Kommunikationen auswerten;
- die zentrale Speicherung und Bewirtschaftung von Daten, die von mehreren Unternehmen der Medbase Gruppe verwendet werden;
- die Prüfung oder Durchführung von gesellschaftsrechtlichen Transaktionen wie z.B. Unternehmenskäufe, -verkäufe und -zusammenschlüsse;
- die Weiterleitung von Anfragen an die zuständigen Stellen, z.B., wenn Sie eine Anfrage an eine Medbase-Gesellschaft richten, die eine andere Gesellschaft betreffen;
- der Verkauf von Forderungen, bei dem wir dem Erwerber z.B. Informationen über Grund und Höhe der Forderung und ggf. Bonität und Verhalten des Schuldners übermitteln;
- generell die Prüfung und Verbesserung interner Abläufe;
die Unterstützung in rechtlichen Angelegenheiten (vgl. auch Ziffer 6.4 und 6.6).
Wir können Personendaten anderen Gesellschaften der Medbase Gruppe auch bekanntgeben, um ihre eigenen Bearbeitungszwecke nach dieser Datenschutzerklärung im Gesamtinteresse der Medbase Gruppe zu unterstützen. Dazu finden Sie weitere Angaben unter Ziffer 8.
7. Gestützt auf welche Rechtsgrundlagen bearbeiten wir Personendaten?
Je nach Zweck der Datenbearbeitung stützt sich unsere Bearbeitung von Personendaten auf unterschiedliche Rechtsgrundlagen. Wir können Personendaten insbesondere dann bearbeiten, wenn die Bearbeitung:
- für die Erfüllung eines Vertrags mit der betroffenen Person oder für vorvertragliche Massnahmen (z.B. die Prüfung eines Vertragsantrags) erforderlich ist;
- für die Wahrnehmung berechtigter Interessen erforderlich ist;
Ein berechtigtes Interesse haben wir insbesondere an der Bearbeitung zu den vorstehend in Ziffer 6 beschriebenen Zwecken und an der Bekanntgabe von Daten nach Ziffer 8 und den damit jeweils verbundenen Zielen. Zu den berechtigten Interessen gehören jeweils unsere eigenen Interessen und Interessen Dritter.
Diese berechtigten Interessen umfassen z.B. das Interesse
- Produkte und Dienstleistungen zu verbessern und neue zu entwickeln;
- Produkte und Dienstleistungen an Dritte zu liefern (z.B. an beschenkte Personen);
- an einer guten Kundenbetreuung, der Kontaktpflege und der Kommunikation mit Kundinnen und Kunden auch ausserhalb eines Vertrags;
- an Werbe- und Marketingaktivitäten;
- an der gruppeninternen Verwaltung und dem gruppeninternen Verkehr, der bei einem Konzern mit arbeitsteiliger Zusammenarbeit notwendig ist;
- an der gegenseitigen Unterstützung der Gruppenunternehmen in ihren Tätigkeiten und Zielen;
- an der Betrugsbekämpfung und der Verhinderung und Untersuchung von Delikten;
- am Schutz von Kundinnen und Kunden, Mitarbeitenden und anderen Personen und Daten, Geheimnisse und Vermögenswerte der Medbase Gruppe;
- an der Gewährleistung der IT-Sicherheit, besonders im Zusammenhang mit der Verwendung von Webseiten, Apps und anderer IT-Infrastruktur;
- an der Gewährleistung und Organisation des Geschäftsbetriebs, einschliesslich des Betriebs und der Weiterentwicklung von Webseiten und anderer Systeme;
- an der Unternehmensführung und -entwicklung;
- am Verkauf oder Kauf von Unternehmen, Unternehmensteilen und anderen Vermögenswerten;
- an der Durchsetzung oder Verteidigung von Rechtsansprüchen;
- an der Einhaltung des schweizerischen und ausländischen Rechts sowie interner Regeln.
- auf einer Einwilligung beruht;
Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmässigkeit der bis zum Widerruf erfolgten Datenbearbeitung wird dadurch jedoch nicht berührt.
- zur Einhaltung von in- oder ausländischen Rechtsvorschriften erforderlich ist.
8. Wem geben wir Personendaten weiter?
Wir gewähren unseren Mitarbeitenden nur Zugriff auf Ihre Personendaten, wenn dies für die Tätigkeit der betreffenden Mitarbeitenden erforderlich ist. Dazu können auch Mitarbeitende in anderen Abteilungen und in Supportbereichen wie z.B. der IT oder der Rechtsabteilung gehören. Sie sind dabei an unsere Weisungen gebunden und im Umgang mit Ihren Personendaten zu Vertraulichkeit verpflichtet.
Wir können Personendaten, die wir von Ihnen oder aus Drittquellen erhalten, an andere Unternehmen der Medbase Gruppe weitergeben. Eine Weitergabe kann der gruppeninternen Administration und Unterstützung oder der Unterstützung der betreffenden Medbase-Unternehmen und ihrer eigenen Bearbeitungszwecke dienen, etwa dann, wenn eine bereits bestehende Kundenbeziehung auf weitere Unternehmen der Medbase Gruppe ausgeweitet wird. Dadurch wird beispielsweise ermöglicht, dass Ihre Krankengeschichte, die in einem unserer Medical Center erfasst worden ist, im Rahmen Ihrer Behandlung auch dann sofort zur Verfügung steht, wenn Sie sich von einem Arzt in einem anderen Medical Center behandeln lassen. Selbstverständlich bedarf dies Ihrer ausdrücklichen Zustimmung. Gruppenintern können Ihre Daten zudem weitergegeben werden, um die Entwicklung und Verbesserung von Produkten und Dienstleistungen, die Personalisierung von Marketingaktivitäten, die Durchführung von Bonitätsprüfungen oder Bemühungen zur Diebstahls-, Betrugs- und Missbrauchsprävention unterstützen.
Wie jeder Verbund von Unternehmen hat auch die Medbase Gruppe ein Gesamtinteresse an der erfolgreichen Geschäftstätigkeit der Gruppenunternehmen, und unsere Gruppenunternehmen haben ihrerseits ein Interesse an der eigenen Tätigkeit und den eigenen Bearbeitungszwecken (Ziffer 66). Um diese Tätigkeiten und Zwecke zu unterstützen, können die dafür erforderlichen Personendaten an Gruppenunternehmen bekanntgegeben und von diesen ggf. ergänzt oder mit vorhandenen Personendaten abgeglichen und verknüpft werden.
Dabei kann es sich z.B. um folgende Datenbekanntgaben handeln:
- Alle in Ziffer 4 genannten Personendatenkategorien für die Verwaltung und Abwicklung von Vertragsbeziehungen, insbesondere im Zusammenhang mit Produkten und Dienstleistungen, die die Leistung mehrerer Gruppenunternehmen umfassen (z.B. im Zuge der Ergänzung der zentral geführten Krankengeschichte mit relevanten Angaben aus anderen Medical Centern oder Apotheken);
- Stammdaten, Vertragsdaten, Gesundheitsdaten, Kommunikationsdaten, Verhaltens- und Transaktionsdaten sowie Präferenzdaten, ebenso wie Erkenntnisse aus Kundenbefragungen, Umfragen, Studien sowie Bild- und Tonaufnahmen für die Produktentwicklung und Marktforschung, soweit ein Personenbezug solcher Daten erforderlich ist;
- Stammdaten, Vertragsdaten, Kommunikationsdaten, technische Daten, Verhaltens- und Transaktionsdaten, Präferenzdaten sowie Bild- und Tonaufnahmen für die Zustellung und Personalisierung von Angeboten, Kommunikation und Marketingaktivitäten;
- Stammdaten, Vertragsdaten, Kommunikationsdaten, technische Daten, Verhaltens- und Transaktionsdaten sowie Präferenzdaten für die Betrugs- und Missbrauchsprävention sowie für Bonitätsprüfungen (z.B. im Zusammenhang mit Erbringung einer Dienstleistung auf Rechnung);
- Stammdaten, Vertragsdaten, Kommunikationsdaten, technische Daten, Verhaltens- und Transaktionsdaten sowie Bild- und Tonaufnahmen für die Diebstahlsprävention und für Beweiszwecke;
- Sicherheitsrelevante Angaben für Sicherheitszwecke und die Einhaltung rechtlicher Anforderungen;
- Angaben zur Unterstützung bei der Rechtswahrung.
Wenn Sie uns z.B. mit einem Anliegen zu einer Dienstleistung kontaktieren, geben wir diese Informationen möglicherweise zwecks Dienstleistungs- und Qualitätsverbesserung an das leistungserbringende Medbase-Unternehmen weiter. Auch wenn Sie am Medbase Apotheken Club Card Programm teilnehmen, geben wir z.B. Verhaltens-, Transaktions- und Präferenzdaten im Zusammenhang mit Ihren Apothekeneinkäufen an die Medbase-Gesellschaften weiter, etwa damit diese Ihnen ihre Dienstleistungen anbieten können, die für Sie aufgrund der von Ihnen gekauften Produkte interessant sein könnten.
Wir können Ihre Personendaten ferner an Unternehmen innerhalb und ausserhalb der Medbase Gruppe weitergeben, wenn wir deren Dienstleistungen in Anspruch nehmen. In der Regel bearbeiten diese Dienstleister Personendaten in unserem Auftrag als sog. «Auftragsbearbeiter». Unsere Auftragsbearbeiter sind verpflichtet, Personendaten ausschliesslich nach unseren Instruktionen zu bearbeiten sowie geeignete Massnahmen zur Datensicherheit zu treffen. Bestimmte Dienstleister sind auch gemeinsam mit uns oder selbständig verantwortlich (z.B. Inkassounternehmen, Wirtschaftsauskunfteien, Beratungsunternehmen). Wir stellen durch die Auswahl der Dienstleister und durch geeignete vertragliche Vereinbarungen sicher, dass der Datenschutz während der gesamten Bearbeitung Ihrer Personendaten sichergestellt ist.
Dabei geht es z.B. um Dienstleistungen in folgenden Bereichen:
- Medizinische Dienstleistungen, z.B. Laboranalysen
- Werbe- und Marketingdienstleistungen, z.B. für den Versand von Mitteilungen und Informationen;
- Unternehmensverwaltung, z.B. Buchhaltung oder Bewirtschaftung von Vermögenswerten;
- Zahlungsdienste;
- Spedition und Logistik, z.B. für den Versand bestellter Waren;
- Bonitätsinformationsdienste, z.B. um zu entscheiden, ob wir einen Kauf auf Rechnung anbieten wollen;
- Inkassodienstleistungen, z.B. für die Mahnung ausstehender Forderungen und ihre Durchsetzung;
- IT-Dienstleistungen, z.B. Leistungen in den Bereichen Datenspeicherung (Hosting), Cloud-Dienste, Versand von E-Mail-Newslettern, Datenanalyse und -veredelung etc.;
- Beratungsdienstleistungen, z.B. Leistungen von Steuerberaterinnen bzw. Steuerberater, Rechtsanwältinnen bzw. Rechtsanwälten, Unternehmensberaterinnen bzw. Unternehmensberater oder Beraterinnen bzw. Berater im Bereich der Personalgewinnung und -vermittlung.
In Einzelfällen ist es zudem möglich, dass wir Dritten Personendaten auch zur Verwendung für ihre eigenen Zwecke weitergeben, z.B. wenn Sie uns dafür Ihre Einwilligung gegeben haben oder wenn wir zu einer Weitergabe gesetzlich verpflichtet oder berechtigt sind oder wenn wir überwiegende Interessen an einer Weitergabe haben. In diesen Fällen ist der Empfänger der Daten datenschutzrechtlich ein eigener Verantwortlicher.
Dazu gehören z.B. die folgenden Fälle:
- die Überweisung an Spitäler oder andere Spezialisten;
- die Mitteilung von Angaben über Ihren Gesundheitszustand an Ihre Angehörigen, unter Vorbehalt des Berufsgeheimnisses;
- die Mitteilungen an Krankenkassen zur Evaluierung von Kostengutsprachen;
- die Übertragung von Forderungen an andere Unternehmen wie z.B. Inkassounternehmen;
- die Weitergabe von Informationen zum Zahlungsverhalten an Wirtschaftsauskunfteien, die für uns und andere Kunden z.B. Bonitätsprüfungen durchführen oder Kreditauskünfte erteilen;
- die Nutzung von Personendaten zur Weiterentwicklung von Produkten und das Training von Modellen und Algorithmen durch Technologieanbieter, deren IT-Lösungen wir nutzen;
- die Weitergabe von Personendaten für die wissenschaftliche Forschung, für Studienzwecke sowie im Rahmen von Hackathons und ähnlichen Veranstaltungen zur Ideenentwicklung;
- die Prüfung oder Durchführung von gesellschaftsrechtlichen Transaktionen wie z.B. Unternehmenskäufe, -verkäufe und -zusammenschlüsse;
- die Offenlegung von Personendaten an Gerichte und Behörden in der Schweiz und im Ausland, z.B. an Strafverfolgungsbehörden bei Verdacht auf strafbare Handlungen oder im Zusammenhang mit gesundheitlichen Schutzkonzepten;
- die Bearbeitung von Personendaten, um einer gerichtlichen Verfügung nachzukommen oder Rechtsansprüche geltend zu machen bzw. abzuwehren oder, wenn wir es aus anderen rechtlichen Gründen für notwendig halten. Dabei können wir Personendaten auch anderen Verfahrensbeteiligten bekanntgeben.
Wir können ausserdem statistische Auswertungen an Dritte weitergeben. Dabei handelt es sich um nicht-personenbezogene Informationen, die keine Rückschlüsse auf eine bestimmte Person zulassen. Wir können z.B. auf Basis von Transaktionsdaten auswerten, bei welchen Kundensegmenten ein bestimmtes Produkt besonders beliebt ist, und diese Auswertung dem Lieferanten des betreffenden Produkts zur Verfügung stellen.
Bitte beachten Sie auch unsere Cookie-Informationen zur selbständigen Datenerhebung durch Drittanbieter, deren Tools wir auf unseren Webseiten und Apps eingebunden haben.
Selbstverständlich befolgen wir die Vorschriften der besonderen Berufsgeheimnisse (Arztgeheimnis, Apothekergeheimnis), welchen wir in bestimmten Fällen unterstehen. In solchen Fällen geben wir die betreffenden Daten (z.B. Ihre Gesundheitsdaten) auch innerhalb der Medbase-Gruppe nur entsprechend den Vorgaben des Berufsgeheimnisses weiter (z.B. wo für Ihre Behandlung nötig). Darüber hinaus behalten wir uns eine Weitergabe Ihrer Daten im Sinne dieser Ziffer 8 vor. Falls Sie uns im Rahmen unserer beruflichen Tätigkeiten Informationen über sich oder andere anvertrauen wollen, welche wir anders als in Ziffer 8 aufgeführt behandeln oder einer besonderen Vertraulichkeit unterliegen sollten und welche nicht schon unter das Arzt- oder Apothekergeheimnis fallen, so sagen Sie uns das bitte vorgängig, damit wir dieses Anliegen prüfen und ggf. die nötigen Sicherheitsmassnahmen treffen können.
9. Wie geben wir Personendaten ins Ausland bekannt?
Die in Ziffer 8 genannten Empfänger Ihrer Personendaten können sich jeweils unter Umständen auch im Ausland befinden, auch ausserhalb des Europäischen Wirtschaftsraumes (EWR), in Ausnahmefällen in jedem Land der Welt. Die betreffenden Länder verfügen möglicherweise nicht über Gesetze, die Ihre Personendaten im gleichen Umfang wie in der Schweiz oder im EWR schützen. Sofern wir Ihre Personendaten in einen solchen Staat übermitteln, stellen wir den Schutz Ihrer Personendaten in angemessener Weise sicher.
Ein Mittel zur Sicherstellung eines angemessenen Datenschutzes ist z.B. der Abschluss von Datenübermittlungsverträgen mit den Empfängern Ihrer Personendaten in Drittstaaten, die den erforderlichen Datenschutz sicherstellen. Dazu gehören Verträge, die von der Europäischen Kommission und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten genehmigt, ausgestellt oder anerkannt wurden, sogenannte Standardvertragsklauseln. Ein Beispiel der von uns in der Regel verwendeten Datenübermittlungsverträgen finden Sie hier. Bitte beachten Sie, dass solche vertraglichen Vorkehrungen einen schwächeren oder fehlenden gesetzlichen Schutz teilweise ausgleichen, aber nicht alle Risiken vollständig ausschliessen können (z.B. von staatlichen Zugriffen im Ausland). In Ausnahmefällen kann die Übermittlung in Länder ohne angemessenen Schutz auch in anderen Fällen zulässig sein, namentlich gestützt auf eine Einwilligung, im Zusammenhang mit einem Rechtsverfahren im Ausland, wenn die Übermittlung für die Abwicklung eines Vertrags erforderlich ist, in Fällen überwiegender öffentlicher Interessen oder wenn es sich um von Ihnen allgemein zugänglich gemachte Daten handelt, deren Bearbeitung Sie nicht widersprochen haben.
10. Wie bearbeiten wir besonders schützenswerte Personendaten?
Bestimmte Arten von Personendaten gelten datenschutzrechtlich als «besonders schützenswert», z.B. Gesundheitsdaten gemäss Ziffer 4.3 und biometrische Merkmale. Je nach Konstellation können auch weitere in Ziffer 4 genannte Kategorien von Personendaten solche besonders schützenswerten Personendaten umfassen (z.B. Angaben über die Religionszugehörigkeit in den Stammdaten, die im Zusammenhang mit Bluttransfusionen von Bedeutung sein können). Wir bearbeiten besonders schützenswerte Personendaten in der Regel aber nur, wenn es für die Erbringung einer Leistung erforderlich ist, Sie uns diese Daten von sich aus bekannt gegeben haben oder Sie in die Bearbeitung eingewilligt haben. Wir können besonders schützenswerte Personendaten ausserdem bearbeiten, wenn dies zur Rechtswahrung oder Einhaltung von in- oder ausländischen Rechtsvorschriften erforderlich ist, die entsprechenden Daten von der betroffenen Person offensichtlich öffentlich bekanntgegeben wurden oder das anwendbare Recht ihre Bearbeitung sonst zulässt.
Wir können besonders schützenswerte Personendaten z.B. in folgenden Fällen bearbeiten:
- Sie loggen sich in eine App von Medbase ein und machen Angaben zu Ihren körperlichen Beschwerden oder tragen Ihre Trainingsdaten ein;
- Sie melden uns gesundheitliche Beschwerden nach der Einnahme oder dem Gebrauch bzw. der Anwendung eines Produktes;
- Sie kaufen bei uns ein von der Krankenversicherung übernommenes medizinisches Hilfsmittel oder nehmen eine solche Dienstleistung in Anspruch und fordern einen Rückerstattungsbeleg an;
- Sie nehmen eine unserer Dienstleistungen in Anspruch und machen auf dem Patientenformular Angaben zur Krankheitshistorie, Unverträglichkeiten, Allergien etc.;
- Sie bewerben sich auf eine offene Stelle und machen dabei Angaben zu Ihrer Gesundheit, über eine Gewerkschaftszugehörigkeit oder zu Vorstrafen und strafrechtlichen Massnahmen
- Sie gelangen mit einer Beschwerde oder einer Forderung im Zusammenhang mit einer medizinischen Behandlung oder Beratung an uns.
Besonderen Schutz verdienen auch Personendaten von Kindern. Wir bitten in der Regel die Eltern bzw. die gesetzlichen Vertreter um ihre Zustimmung, wenn wir bewusst Personendaten von urteilsunfähigen Kindern gestützt auf eine Einwilligung bearbeiten. Wurde eine Zustimmung für ein Kind durch seine Eltern oder gesetzlichen Vertreter gegeben, steht es dem Kind bei Erreichen der Urteilsfähigkeit bezüglich der Konsequenzen der Einwilligung oder bei Erreichen der Volljährigkeit frei, diese Einwilligung für die Zukunft zu widerrufen. In Bezug auf den konkreten Fall urteilsfähige Kinder lassen wir in Fragen zum Umgang mit ihren Daten in der Regel selbst entscheiden; das Gesetz sieht dies so vor.
In folgenden Situationen können wir z.B. Personendaten von Kindern bearbeiten:
- Sie melden Ihr Kind für eine Therapiestunde oder eine andere Dienstleistung an und füllen das Patientenformular für Ihr Kind aus;
- Ein Jugendlicher meldet sich zu für eine medizinische Dienstleistung an, über deren Erbringung er selber entscheiden kann (z.B. Blutdruckmessung, Impfung, Verhütung);
- Ihr Kind füllt einen Wettbewerbstalon in eigenem Namen aus.
11. Wie setzen wir Videoüberwachung ein?
In unseren Verkaufsstellen und weiteren Räumlichkeiten setzen wir in örtlich begrenzten und gekennzeichneten Bereichen möglicherweise Videoüberwachung ein. Dabei bearbeiten wir die von den eingesetzten Videokameras und Bildsensoren angefertigten Aufzeichnungen, insbesondere Bild- und Videoaufnahmen (Ziffer 4.9), und erhalten darüber gegebenenfalls Angaben über Ihr Verhalten in diesen Bereichen. Videoüberwachung dient in erster Linie Sicherheits- und Präventionszwecken wie der Sicherung von Verkaufsprodukten und dem Schutz unserer Kundinnen und Kunden, der Einhaltung rechtlicher Anforderungen und der Rechtswahrung.
In der Regel sind die Aufzeichnungen der Videokameras und Bildsensoren nicht personenbezogen, d.h. wir wissen nicht, wer die aufgezeichneten Personen sind. Wenn es für den betreffenden Zweck erforderlich ist, können wir einen Personenbezug aber herstellen, z.B. wenn wir eine Person identifizieren möchten, die in unseren Räumlichkeiten eine deliktische Handlung wie einen Diebstahl oder eine Sachbeschädigung begangen hat. Dabei können wir Aufzeichnungen auch automatisiert auswerten und sie mit weiteren Daten verknüpfen oder abgleichen, z.B. mit Daten von Kassensystemen.
Die Art und Weise der Videoüberwachung, die dabei eingesetzten Technologien und die verfolgten Zwecke unterscheiden sich je nach Standort. Wir können Videokameras und Bildsensoren z.B. wie folgt einsetzen:
- zur Erkennung von Verstössen gegen die Hausordnung und von deliktischen Handlungen (wie Diebstahl, Sachbeschädigung oder Körperverletzung), der Identifikation der Täterschaft sowie für Beweiszwecke und die Durchsetzung von Hausverboten, wozu wir Aufzeichnungen auch automatisiert auswerten und mit weiteren Daten verknüpfen oder abgleichen können;
- um in vorhandenen Videoaufzeichnungen eines bestimmten Zeitraums automatisiert nach einer definierten Kombination von Merkmalen (wie Bekleidung oder Körpergrösse) zu suchen und so in einem konkreten Verdachtsfall Aufzeichnungen zielgerichtet auswerten zu können und die Wahrscheinlichkeit zur Aufklärung deliktischer Handlungen zu erhöhen;
- zur Erkennung von Gefahrensituationen und Zwischenfällen sowie zur automatisierten Alarmauslösung in solchen Fällen (z.B. wenn sich eine Person längere Zeit nicht bewegt oder auf dem Boden liegt).
12. Wie setzen wir Profiling ein?
«Profiling» meint die automatisierte Bearbeitung von Personendaten, um persönliche Aspekte zu analysieren oder Prognosen zu treffen, z.B. die Analyse persönlicher Interessen, Präferenzen, Affinitäten und Gewohnheiten oder die Prognose eines voraussichtlichen Verhaltens. Mittels Profiling können insbesondere Präferenzdaten abgeleitet werden (dazu finden Sie weitere Angaben in Ziff. 4.6).
Profiling ist ein häufiger Vorgang, z.B. bei der automatisierten Bearbeitung
- von Verhaltens- und Transaktionsdaten sowie technischen Daten im Zusammenhang mit unseren Webseiten und Apps;
- von Angaben im Zusammenhang mit dem Besuch von Events, der Teilnahme an Wettbewerben, Gewinnspielen und ähnlichen Veranstaltungen;
- von Kommunikationsdaten, z.B. Ihrer Reaktion auf Werbe- und andere Mitteilungen;
- von anderen Verhaltens- und Transaktionsdaten.
Profiling hilft uns z.B. dabei,
- unsere Angebote laufend zu verbessern und besser auf individuelle Bedürfnisse auszurichten;
- eine medizinische Diagnose computergestützt zuverlässiger durchzuführen;
- Ihnen unsere Inhalte und Angebote bedarfsgerecht zu präsentieren;
- Ihnen möglichst nur Werbung und Angebote zu unterbreiten, die für Sie wahrscheinlich relevant sind;
- Sie beim Kundendienst besser zu unterstützen;
- um auf Basis einer Bonitätsprüfung zu entscheiden, welche Zahlungsmöglichkeiten verfügbar sind.
Wir führen Profiling z.B. im Zusammenhang mit dem Medbase Apotheken Club Card Programm durch, indem wir Ihr Einkaufsverhalten auswerten und Sie gestützt darauf bestimmten Kundensegmenten zuordnen. Das sind Gruppen von Personen, die mit Bezug auf bestimmte Eigenschaften Ähnlichkeiten aufweisen. Solche Kundensegmente können dauerhaft oder einzelfallbezogen gebildet werden und können sich z.B. auf die Lebensphase oder das Kaufmotiv beziehen. Dieses Profiling ermöglicht uns z.B., Ihnen für Sie relevante Vorteilcoupons zuzustellen. Wenn Sie etwa häufig Pflanzenheilmittel bei uns einkaufen, erhalten Sie vermehrt Vorteilcoupons und Angebote für andere pflanzenbasierte Produkte. Ebenso können wir Sie auf Angebote Ihres Stammstandorts aufmerksam machen, wenn wir Ihren bevorzugten Standort kennen. Oder wir können verhindern, dass Sie Vorteilcoupons für Baby-Bedarf erhalten, wenn wir davon ausgehen können, dass Sie keine Kinder haben.
Profiling erfolgt z.B. auch im Zusammenhang mit Ihrem Account, wenn wir Ihr Nutzungsverhalten in unseren Apps auswerten, etwa um Ihnen einen individuellen Trainingsplan zu bieten und Ihnen auf Ihre Interessen und Vorlieben zugeschnittene Angebote zu unterbreiten.
Um die Qualität unserer Analysen und Prognosen zu verbessern, können wir als Grundlage des Profilings auch Personendaten aus unterschiedlichen Quellen miteinander verknüpfen, z.B. offline und online erhobene Daten sowie Daten, die über verschiedene unserer Services erhoben wurden oder die wir von anderen Unternehmen der Medbase-Gruppe erhalten (aber: mit Patientendossiers tun wir das nicht).
Falls Sie nicht möchten, dass wir im Rahmen des Medbase Apotheken Club Card Programm persönliche Aspekte analysieren oder Prognosen treffen, können und sollten Sie auf die Teilnahme am Medbase Apotheken Club Card Programm verzichten bzw. Ihre Einkäufe ohne Verwendung der Medbase Apotheken Club Card tätigen und von einer Registrierung für die Medbase Apps und andere Services absehen. Sie können Profiling in bestimmten Fällen zudem wie in Ziffer 17 beschrieben widersprechen.
13. Treffen wir automatisierte Einzelentscheidungen?
Als «automatisierte Einzelentscheidung» gelten Entscheidungen, die vollständig automatisiert erfolgen, d.h. ohne menschlichen Einfluss, und die rechtlichen Konsequenzen für die betroffene Person haben oder sie in anderer Weise erheblich beeinträchtigen. Das tun wir in der Regel nicht, werden Sie aber gesondert informieren, sollten wir in Einzelfällen automatisierte Einzelentscheidungen einsetzen. Sie haben dann die Möglichkeit, die Entscheidung durch einen Menschen überprüfen zu lassen, wenn Sie mit ihr nicht einverstanden sind.
14. Wie nutzen wir künstliche Intelligenz?
Neue Technologien wie künstliche Intelligenz und maschinelles Lernen haben grosses Potential, bspw. um unser Fachpersonal bei diagnostischen Tätigkeiten zu unterstützen oder Ihr Erlebnis bei der Nutzung unserer Angebote und Dienstleistungen zu verbessern. Aufgrund ihrer Neuartigkeit bringen sie aber auch Herausforderungen mit sich. Wir achten darauf, dass wir neue Technologien stets im Einklang mit unseren Werten einsetzen, und wägen Chancen und Risiken im Einzelfall sorgfältig ab. Für die von einer künstlichen Intelligenz für uns generierten Inhalte oder getroffenen Entscheidungen übernehmen wir die Verantwortung, und wenn es sich um eine Entscheidung mit erheblichen Auswirkungen für die betroffene Person handelt, stellen wir sicher, dass sie von einem Menschen überprüft werden kann (siehe Ziffer 13). Ausserdem teilen wir Ihnen mit, sollte eine von uns eingesetzte künstliche Intelligenz direkt mit Ihnen interagieren, soweit dies nicht schon offenkundig ist.
Wir können künstliche Intelligenz z.B. einsetzen, um unsere Angebote und Dienstleistungen zu verbessern, unsere internen Abläufe effizienter zu gestalten, um die Sicherheit zu erhöhen und Missbräuchen vorzubeugen oder für einen anderen der in Ziffer 6 beschriebenen Zwecke. Solche Anwendungen künstlicher Intelligenz können die Bearbeitung von Personendaten einschliessen, häufig werden aber keine Personendaten bearbeitet.
Mögliche Anwendungsgebiete für künstliche Intelligenz sind z.B.:
- Unterstützung unseres Fachpersonals bei diagnostischen Tätigkeiten;
- Die Erstellung und das einfachere Zugänglichmachen von Informationen zu unseren Produkten und Dienstleistungen;
- die Unterstützung bei der Erstellung von vielseitig einsetzbaren Bildern (sog. «Stockbildern»), einfachen Produkttexten, Produktverpackungen und ähnlichen, nicht personenbezogenen Inhalten;
- die bedürfnisgerechte Bearbeitung von Kundenanliegen und die automatisierte Auswertung von Kundenrückmeldungen;
- generell die Verbesserung des Kundenerlebnisses bei der Nutzung unserer Angebote und Dienstleistungen, z.B. durch zielgerichtete Beratung und adressatengerechte Informationsaufbereitung;
- die Unterstützung bei der Erstellung von Programmcode.
15. Wie schützen wir Personendaten?
Wir treffen angemessene Sicherheitsmassnahmen technischer und organisatorischer Natur, um die Sicherheit Ihrer Personendaten zu wahren, um sie gegen unberechtigte oder unrechtmässige Bearbeitungen zu schützen und der Gefahr des Verlusts, einer unbeabsichtigten Veränderung, einer ungewollten Offenlegung oder eines unberechtigten Zugriffs entgegenzuwirken. Wie alle Unternehmen können wir Datensicherheitsverletzungen aber nicht mit letzter Sicherheit ausschliessen; gewisse Restrisiken sind unvermeidbar.
Zu den Sicherheitsmassnahmen technischer Natur gehören z.B. die Verschlüsselung und Pseudonymisierung von Daten, Protokollierungen, Zugriffsbeschränkungen und die Speicherung von Sicherheitskopien. Sicherheitsmassnahmen organisatorischer Natur umfassen z.B. Weisungen an unsere Mitarbeitenden, Vertraulichkeitsvereinbarungen und Kontrollen. Wir verpflichten auch unsere Auftragsbearbeiter dazu, angemessene technische und organisatorische Sicherheitsmassnahmen zu treffen.
16. Wie lange bearbeiten wir Personendaten?
Wir bearbeiten und speichern Ihre Personendaten,
- solange es für den Zweck der Bearbeitung bzw. damit vereinbare Zwecke erforderlich ist, bei Verträgen in der Regel zumindest für die Dauer der Vertragsbeziehung;
- solange wir ein berechtigtes Interesse an der Speicherung haben. Das kann insbesondere dann der Fall sein, wenn wir Personendaten benötigen, um Ansprüche durchzusetzen oder abzuwehren, zu Archivierungszwecken und zur Gewährleistung der IT-Sicherheit;
- solange sie einer gesetzlichen Aufbewahrungspflicht unterliegen. Für bestimmte Daten gelten zehnjährige oder längere Aufbewahrungsfristen. Für andere Daten gelten jeweils kürzere Aufbewahrungsfristen, z.B. bei Aufnahmen aus einer Videoüberwachung oder für Aufzeichnungen bestimmter Vorgänge im Internet (Log-Daten).
In bestimmten Fällen bitten wir Sie zudem um Ihre Einwilligung, wenn wir Personendaten länger speichern wollen (z.B. bei Stellenbewerbungen, die wir pendent halten möchten).
Nach Ablauf der genannten Fristen löschen oder anonymisieren wir grundsätzlich Ihre Personendaten.
17. Welche Rechte haben Sie?
Das anwendbare Datenschutzrecht gewährt Ihnen unter bestimmten Umständen das Recht, der Bearbeitung Ihrer Daten zu widersprechen, insbesondere jener für Zwecke des Direktmarketings (z.B. Werbe-E-Mails), des für Direktwerbung betriebenen Profilings und weiterer berechtigter Interessen an der Bearbeitung.
Soweit die jeweils anwendbaren Voraussetzungen erfüllt und keine gesetzlichen Ausnahmen anwendbar sind, haben Sie zudem folgende Rechte:
- das Recht, von uns Auskunft zu verlangen, ob und welche Daten wir von Ihnen bearbeiten;
- das Recht, unrichtige Personendaten korrigieren zu lassen;
- das Recht, die Löschung Ihrer Personendaten zu verlangen;
- das Recht, von uns die Herausgabe bestimmter Personendaten in einem gängigen elektronischen Format oder ihre Übertragung an einen anderen Verantwortlichen zu verlangen;
- das Recht, eine Einwilligung mit Wirkung für die Zukunft zu widerrufen, soweit eine Bearbeitung auf einer Einwilligung beruht;
- das Recht, bei automatisierten Einzelentscheidungen (Ziffer 13) Ihren Standpunkt darzulegen und zu verlangen, dass die Entscheidung von einer natürlichen Person überprüft wird;
- das Recht, auf Nachfrage weitere Informationen zu erhalten, die für die Ausübung dieser Rechte hilfreich sind.
Bitte beachten Sie, dass diese Rechte im Einzelfall ggf. eingeschränkt oder ausgeschlossen sein können, z.B. wenn Zweifel an der Identität bestehen oder dies zum Schutz anderer Personen, zur Wahrung von schutzwürdigen Interessen oder zur Einhaltung gesetzlicher Verpflichtungen erforderlich ist.
Über unser Webformular können Sie die wichtigsten der oben genannten Rechte mit Bezug auf bestimmte Datenbearbeitungen ausüben. Zudem können Sie Newsletter und andere Werbe-E-Mails durch Klick auf den entsprechenden Link am Ende der E-Mail abbestellen. Sie können uns auch gemäss Ziffer 18 kontaktieren, wenn Sie eines Ihrer Rechte ausüben wollen oder wenn Sie Fragen zur Bearbeitung Ihrer Personendaten haben.
Es steht Ihnen auch frei, bei einer zuständigen Aufsichtsbehörde Beschwerde einzureichen, wenn Sie Bedenken haben, ob die Bearbeitung Ihrer Personendaten rechtskonform ist.
Sie können die wichtigsten der oben genannten Rechte über unser Webformular ausüben. Zudem können Sie Newsletter und andere Werbe-E-Mails durch Auswählen der Checkbox im Webformular abbestellen. Sie können uns auch gemäss Ziffer 16 kontaktieren, wenn Sie eines Ihrer Rechte ausüben wollen oder wenn Sie Fragen zur Bearbeitung Ihrer Personendaten haben.
Es steht Ihnen auch frei, bei einer zuständigen Aufsichtsbehörde Beschwerde einzureichen, wenn Sie Bedenken haben, ob die Bearbeitung Ihrer Personendaten rechtskonform ist.
- Zuständige Aufsichtsbehörde in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).
- Zuständige Aufsichtsbehörde im Fürstentum Liechtenstein ist die Datenschutzstelle des Fürstentums Liechtenstein.
18. Wie können Sie uns kontaktieren?
Bei Fragen zu dieser Datenschutzerklärung oder zur Bearbeitung Ihrer Personendaten können Sie das jeweils verantwortliche Unternehmen unter den auf seiner Webseite aufgeführten Kontaktangaben kontaktieren.
Sie können uns jeweils auch gerne wie folgt kontaktieren:
Medbase AG
Schützenstrasse 3
CH-8400 Winterthur
datenschutz@medbase.ch
052 260 29 29
Sie können sich ausserdem auch an unseren Vertreter in der Europäischen Union bzw. im Europäischen Wirtschaftsraum wenden:
VGS Datenschutzpartner UG
Am Kaiserkai 69
20457 Hamburg
Deutschland
19. Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung kann im Lauf der Zeit angepasst werden, insbesondere, wenn wir unsere Datenbearbeitungen ändern oder wenn neue Rechtsvorschriften anwendbar werden. Wir informieren Personen, deren Kontaktangaben bei uns registriert sind, bei erheblichen Änderungen aktiv über solche Änderungen, wenn das ohne unverhältnismässigen Aufwand möglich ist. Generell gilt für Datenbearbeitungen jeweils die Datenschutzerklärung in der bei Beginn der betreffenden Bearbeitung aktuellen Fassung.
Version 3.2