Datenschutzerklärung aSuite-Online

1 Überblick

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Mit dieser Datenschutzerklärung informieren wir, welche personenbezogenen Daten auf aSuite-Online und in der aSuite-App erhoben und verarbeitet werden.

1.1 Was ist aSuite-Online?

aSuite-Online („aSuite-Online“) ist ein Online-Dienst der aSuite Software GmbH, 65428 Rüsselsheim am Main („Wir“) zur Erweiterung der Apothekensoftware „aSuite“ („aSuite-Software“) der NOVENTI Health SE, Bietigheim-Bissingen („awinta“). Die aSuite Software GmbH ist ein Tochterunternehmen der NOVENTI Health SE.

1.2 An wen richtet sich aSuite-Online?

Das Angebot von aSuite-Online richtet sich ausschließlich an Unternehmen im Sinne des § 14 BGB. aSuite-Online kann nur von Unternehmen genutzt werden, die das Modul Personal-Manager der aSuite-Software einsetzen.

1.3 Was macht aSuite-Online?

aSuite-Online ermöglicht Nutzern des Moduls Personal-Manager der aSuite-Software („Planer“), Auszüge der Personaleinsatzplanung aus der aSuite-Software heraus auf einen Server von aSuite-Online zu transferieren und von dort aus Mitarbeitern („Mitarbeiter“) zum Abruf bereitzustellen. Optional besteht für Mitarbeiter die Möglichkeit, Anträge für Abwesenheiten über aSuite-Online zu erfassen, damit diese an den Planer weitergeleitet werden.

1.4 Was sind „personenbezogene Daten“?

Der Begriff "personenbezogene Daten" meint alle Einzelangaben über eine bestimmte oder bestimmbare natürliche Person, z.B. eine E-Mail-Adresse.

1.5 Kontakt

Wenn Sie Fragen zum Datenschutz unseres Angebotes haben, dann wenden Sie sich bitte an:

NOVENTI Health SE
Robert-Bosch-Straße 7-9
74321 Bietigheim-Bissingen
Telefon: +49 71 42 / 5 88-0
Telefax: +49 71 42 / 5 88-5 99
E-Mail: info@awinta.de

Unseren Datenschutzbeauftragten erreichen Sie wie folgt:

intersoft consulting services AG
- zuständiger Datenschutzbeauftragter der NOVENTI Health SE –

Hauptsitz:
Beim Strohhause 17
20097 Hamburg
Telefon: +49 40 / 790 235 - 0

Der Ansprechpartner für awinta ist direkt erreichbar per Mail:

datenschutz@awinta.de

2 Pflichtangaben und Allgemeine Datenschutzhinweise

2.1 Rechtsrahmen und Speicherort

Soweit wir personenbezogene Daten erheben, verarbeiten oder nutzen, beachten wir die anwendbaren gesetzlichen Vorschriften, insbesondere die Datenschutzgrundverordnung (EU-DSGVO) und das Bundesdatenschutzgesetz (BDSG-neu).

Zur Bereitstellung unserer Dienste können wir auf die Hosting- und Software-Leistungen Dritter (sog. Cloud-Provider) zurückgreifen. Der Speicherort der Daten beim Cloud-Provider liegt in der Europäischen Union (EU) oder dem Europäischen Wirtschaftsraum (EWR).

2.2 Verantwortliche Stelle

Das Unternehmen, das die aSuite-Software nutzt.

2.3 Verarbeitete Daten

  • Unternehmensstammdaten
  • Personalstammdaten
  • Beschäftigtendaten im Rahmen der Administration

2.4 Rechtsgrundlage

Rechtsgrundlagen für die Verarbeitung personenbezogener Daten sind die Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen gemäß Art. 6 Abs. 1 lit. b. DSGVO sowie ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO.

2.5 Betroffene Personen

Mitarbeiter des Unternehmens, das die aSuite-Software nutzt.

2.6 Verwendungszweck und Speicherdauer

Wir verarbeiten die Daten ausschließlich zur Bereitstellung des Dienstes. Daten von Benutzerkonten und mit dem Konto verbundene Daten werden mit Löschung des entsprechenden Benutzerkontos vom Server entfernt. Die Löschung kann jederzeit durch den Benutzer selbst unter „Mein Konto“ durchgeführt werden. Eine automatische Datenlöschung erfolgt für Daten, die vom Planer bereitgestellt wurden, wenn sie mehr als vier Wochen in der Vergangenheit liegen. Vom Mitarbeiter selbst erfasste Abwesenheitsanträge werden für die Dauer der gesetzlichen Aufbewahrungsfristen gespeichert.

Gespeicherte Daten werden nach Maßgabe der Art. 17 und 18 DSGVO gelöscht oder in ihrer Verarbeitung eingeschränkt. Sofern nicht im Rahmen dieser Datenschutzerklärung ausdrücklich angegeben, erfolgt die Löschung, sobald die Daten für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind (z. B. aus handels- oder steuerrechtlichen Gründen), wird die Verarbeitung eingeschränkt. Die Daten werden dann gesperrt und nicht für andere Zwecke verarbeitet. Daten, deren längere Aufbewahrung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen.

2.7 TLS-Verschlüsselung

aSuite-Online nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte bei der Übermittlung personenbezogener Daten eine TLS-Verschlüsselung (https://).

2.8 Cookies

aSuite-Online verwendet so genannte Cookies. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren. Cookies dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert.

Die meisten der von uns verwendeten Cookies sind so genannte “Session-Cookies”. Sie werden nach Ende Ihres Besuchs automatisch gelöscht. Andere Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese löschen. Diese Cookies ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.

Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität von aSuite-Online eingeschränkt sein.

Cookies werden auf Grundlage unseres berechtigten Interesses zur technisch fehlerfreien und optimierten Bereitstellung unserer Dienste gespeichert.

2.9 Passwörter

Passwörter werden von den Benutzern von aSuite-Online (Planer und Mitarbeiter) selbst festgelegt. Sie sind nur dem Benutzer bekannt. Sie werden auf aSuite-Online nicht im Original, sondern als verschlüsselter Hash-Wert gespeichert und sind unter normalen Umständen nicht rekonstruierbar.

Passwörter müssen bestimmten Sicherheitsanforderungen entsprechen, indem sie eine bestimmte Mindestlänge haben und verschiedene Arten von Zeichen enthalten. Die Prüfung der Einhaltung dieser Anforderungen erfolgt systemseitig bei der Festlegung des Passworts durch Planer bzw. Mitarbeiter.

2.10 Plugins und Tools / Google Web Fonts

aSuite-Online nutzt zur einheitlichen Darstellung von Schriftarten so genannte Web Fonts, die von Google bereitgestellt werden. Beim Aufruf einer Seite lädt Ihr Browser die benötigten Web Fonts in ihren Browsercache, um Texte und Schriftarten korrekt anzuzeigen.

Zu diesem Zweck muss der von Ihnen verwendete Browser Verbindung zu den Servern von Google aufnehmen. Hierdurch erlangt Google Kenntnis darüber, dass über Ihre IP-Adresse unsere Website aufgerufen wurde. Die Nutzung von Google Web Fonts erfolgt auf Basis unseres berechtigten Interesses zur technisch fehlerfreien und optimierten Bereitstellung unserer Dienste.

Wenn Ihr Browser Web Fonts nicht unterstützt, wird eine Standardschrift von Ihrem Computer genutzt. Weitere Informationen zu Google Web Fonts finden Sie unter https://developers.google.com/fonts/faq und in der Datenschutzerklärung von Google: https://www.google.com/policies/privacy .

2.11 Betroffenenrechte

Betroffene haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck ihrer gespeicherten personenbezogenen Daten zu erhalten. Betroffene haben außerdem ein Recht, die Berichtigung, Löschung bzw. Sperrung bzw. Einschränkung der Verarbeitung dieser Daten zu verlangen. Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können sich Betroffene jederzeit an uns wenden. Des Weiteren steht Betroffenen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.

2.12 Widerruf

Viele Datenverarbeitungsvorgänge sind nur mit ausdrücklichen Einwilligung der Betroffenen möglich. Diese können eine bereits erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

3 Ergänzungen für die Nutzung durch Planer

3.1 Bereitstellung von Dienstplänen

Um aSuite-Online nutzen zu können, muss der Planer ein Administrations-Konto bei aSuite-Online einrichten und das Anlegen des Kontos per „Double-Opt-In“ bestätigen. Im Anschluss können über die aSuite-Software Auszüge der Personaleinsatzplanung auf den aSuite-Online-Server übermittelt werden.

Um einen Mitarbeiter den Abruf der Dienstpläne zu ermöglichen, muss der Planer diesen in der aSuite-Software anlegen und zur Nutzung von aSuite-Online per E-Mail einladen. Hierzu werden aus der aSuite-Software der hinterlegte Name und die E-Mail-Adresse des Mitarbeiters verwendet. Das Mitarbeiterkonto wird erst aktiv, wenn es vom Mitarbeiter per Klick auf den in der E-Mail enthaltenen Bestätigungslink bestätigt wird.

3.2 Teampläne

aSuite-Online bietet die Möglichkeit, Mitarbeitern Pläne des gesamten Teams zur Verfügung zu stellen. Diese Funktion ist standardmäßig deaktiviert und kann vom Planer in dessen Benutzerkonto aktiviert werden.

3.3 API-Key (Services)

aSuite-Online bietet die Möglichkeit, Teampläne mithilfe eines individuellen Links in Drittanwendungen zu integrieren, z. B. zur Anzeige im Warenwirtschaftssystem der Apotheke. Diese Funktion ist standardmäßig deaktiviert und muss vom Planer in seinem Benutzerkonto auf aSuite-Online aktiviert werden. Sie kann jederzeit deaktiviert werden. Der individuelle Link zum Abruf der Daten ist vertraulich zu behandeln, da er technisch bedingt ohne weitere Authentifizierung den Abruf der Teampläne ermöglicht.

3.4 Internet-Kalender (iCal)

Zusätzlich besteht die Möglichkeit, Team-Einsatzpläne als Internet-Kalender (iCal) zu abonnieren. Diese Funktion muss durch den Planer und zusätzlich durch die Mitarbeiter in den Einstellungen des Internet Kalenders aktiviert werden. Die Funktion kann jederzeit deaktiviert werden.

4 Ergänzungen für die Nutzung durch Mitarbeiter

Um Daten abrufen zu können, muss der Mitarbeiter in der vom Planer versendeten Einladungs-Mail einen individuellen Link anklicken und so seine E-Mail-Adresse bestätigen (sog. „Double-Opt-In“) und anschließend sein persönliches Passwort festlegen.

4.1 Browser-Zugang

Mitarbeiter können per Internet-Browser über eine verschlüsselte Verbindung auf Dienstpläne zugreifen. Dazu ist die Anmeldung mit E-Mail-Adresse und individuellem Passwort erforderlich.

4.2 aSuite Dienstplan App

Mitarbeiter können auf Endgeräten mit den Betriebssystemen „iOS“ und „Android“ eine kostenlose mobile Anwendung („App“) aus dem Apple App Store bzw. Google Play Store laden. Die App kann über den Suchbegriff „aSuite Dienstplan“ gefunden werden. Die Nutzung der App als solche unterliegt den Bedingungen, die beim Download separat mit dem Dritten vereinbart werden.

Über die aSuite-Dienstplan-App haben Mitarbeiter Zugriff auf die vom Planer veröffentlichen Daten. Die Kommunikation zwischen App und Server von aSuite-Online läuft über eine verschlüsselte Verbindung. Eine Kopie der Daten wird zwecks Offline-Fähigkeit auf dem Endgerät gespeichert. Diese Datenkopie wird bei Deinstallation der App gelöscht.

Automatische Anmeldung

Die Anmeldung in der App erfolgt mit E-Mail-Adresse und individuellem Passwort. Auf Wunsch können die Anmeldedaten auf dem Gerät gespeichert werden, um eine erneute Eingabe zu vermeiden („Automatische Anmeldung“). Dabei wird statt Benutzernamen und Passwort ein sogenannter „Anmelde-Token“ erstellt. Der Anmelde-Token wird in einem geschützten Bereich des Smartphones abgelegt. Aus Sicherheitsgründen läuft der Anmelde-Token ab, wenn die App länger als 30 Tage nicht genutzt bzw. nicht mit dem Server verbunden wird. Die automatische Anmeldung steht nur zur Verfügung, wenn das Smartphone mit einem Geräte-PIN geschützt ist.

Zusätzlich zur automatischen Anmeldung kann die Anmeldung per „FaceID“ oder „TouchID“ (unter iOS) bzw. „Smartlock“ (unter Android) aktiviert werden, um den Anmeldeprozess darüber durchzuführen. Dazu ist zunächst die Vergabe einer individuellen PIN in der aSuite-Dienstplan-App erforderlich. Diese PIN muss eingegeben werden, wenn die Anmeldung fehlschlägt.

Benachrichtigung per Push-Nachrichten

Die aSuite-Dienstplan-App unterstützt die Benachrichtigung per „Push-Nachricht“ bei Datenänderungen durch den Planer. Für die technische Umsetzung nutzt die aSuite-Dienstplan-App den Dienst „Firebase“ der Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Detaillierte Informationen zum Umgang mit personenbezogenen Daten in Firebase sind in der Datenschutzerklärung von Firebase beschrieben unter https://firebase.google.com/support/privacy.

Um Push-Benachrichtigungen an Endgeräte schicken zu können, verwaltet Firebase für jedes Endgerät eine sogenannte „Instance ID“. Beim Versand einer Push-Nachricht werden der Nachrichtentext sowie die Instance ID an Firebase übergeben, das wiederum den Nachrichtentext an die Server von Apple- bzw. Google für den Versand an das Endgerät weiterleitet.

Die mit der „Instance ID“ bei Firebase gespeicherten Daten können vom Mitarbeiter gelöscht werden, indem in der aSuite-Dienstplan-App die Funktion „Abmelden“ ausgeführt wird. Anschließend können über die aSuite-Dienstplan-App keine Daten mehr von aSuite-Online abgerufen werden.

Endgeräteliste

In den Kontoeinstellungen auf aSuite-Online kann die Liste der mit dem Benutzerkonto verbundenen Endgeräte verwaltet werden. Damit die Endgeräte dort aufgelistet werden können, übermittelt die aSuite-Dienstplan-App für jedes Gerät eine eindeutige ID (UUID) an aSuite-Online. Vor dem Löschen eines Endgerätes sollte in der aSuite Dienstplan App eine Abmeldung durchgeführt werden, damit die mit dem Endgerät verbundene „Instance ID“ bei Firebase gelöscht wird.

Zugriffsberechtigungen

Die aSuite-Dienstplan-App verwendet die nachfolgenden Zugriffsberechtigungen auf das Endgerät, um die Funktionsfähigkeit der aSuite-Dienstplan-App zu gewährleisten:

  • Internet: Kommunikation mit dem aSuite Online Server
  • Netzwerk: Erkennung einer vorhandenen Internetverbindung
  • Dateien: Laden und Speichern von abgerufenen Daten für die Offline-Kopie
  • Kamera : Einscannen von QR-Codes (optional für den Anmeldeprozess)
  • FaceID/TouchID (iOS) bzw. Smartlock (Android): Optional für den Anmeldeprozess
  • Taptic Engine: Vibration bei falscher PIN-Eingabe
  • Push Notifications: Benachrichtigung bei Datenänderungen

4.3 Internet Kalender (iCal)

Zusätzlich besteht die Möglichkeit, eigene Einsatzplan als Internet-Kalender (iCal) zu abonnieren. Diese Funktion muss durch den Mitarbeiter in seinem Benutzerkonto auf aSuite-Online aktiviert und ein individueller Link erzeugt werden. Der Link ist vertraulich zu behandeln, da er technisch bedingt ohne weitere Authentifizierung den Abruf der Daten des Internet-Kalenders ermöglicht. Die Funktion „Internet-Kalender“ kann jederzeit deaktiviert werden.

4.4 Online-Antragswesen

Mitarbeiter haben über den Browser-Zugang die Möglichkeit, Abwesenheiten online an den Planer zu übermitteln. Voraussetzung dafür ist, dass der Planer die entsprechende Funktion für die Mitarbeiter freigeschaltet hat.

5 Schlussbestimmungen

5.1 Änderungen

Wir behalten uns vor, diese Datenschutzhinweise von Zeit zu Zeit im Rahmen des rechtlich Zulässigen mit Wirkung für die Zukunft zu ändern. Einmal erhobene personenbezogene Daten werden wir aber ohne Ihre Zustimmung nicht nachträglich für andere, mit dem ursprünglichen Zweck inkompatible Zwecke, verwenden.



Stand: 08.03.2019