1 Überblick
Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten
vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Mit
dieser Datenschutzerklärung informieren wir, welche personenbezogenen Daten auf aSuite-Online und in der
aSuite-App erhoben und verarbeitet werden.
1.1 Was ist aSuite-Online?
aSuite-Online („aSuite-Online“) ist ein Online-Dienst der aSuite Software GmbH, 65428 Rüsselsheim am Main
(„Wir“) zur Erweiterung der Apothekensoftware „aSuite“ („aSuite-Software“) der NOVENTI Health SE,
Bietigheim-Bissingen („awinta“). Die aSuite Software GmbH ist ein Tochterunternehmen der NOVENTI Health SE.
1.2 An wen richtet sich aSuite-Online?
Das Angebot von aSuite-Online richtet sich ausschließlich an Unternehmen im Sinne des § 14 BGB.
aSuite-Online kann nur von Unternehmen genutzt werden, die das Modul Personal-Manager der aSuite-Software
einsetzen.
1.3 Was macht aSuite-Online?
aSuite-Online ermöglicht Nutzern des Moduls Personal-Manager der aSuite-Software („Planer“), Auszüge der
Personaleinsatzplanung aus der aSuite-Software heraus auf einen Server von aSuite-Online zu transferieren
und von dort aus Mitarbeitern („Mitarbeiter“) zum Abruf bereitzustellen. Optional besteht für Mitarbeiter
die Möglichkeit, Anträge für Abwesenheiten über aSuite-Online zu erfassen, damit diese an den Planer
weitergeleitet werden.
1.4 Was sind „personenbezogene Daten“?
Der Begriff "personenbezogene Daten" meint alle Einzelangaben über eine bestimmte oder bestimmbare
natürliche Person, z.B. eine E-Mail-Adresse.
1.5 Kontakt
Wenn Sie Fragen zum Datenschutz unseres Angebotes haben, dann wenden Sie sich bitte an:
NOVENTI Health SE
Borsigstraße 8
74321 Bietigheim-Bissingen
Telefon: +49 71 42 / 5 88-0
Telefax: +49 71 42 / 5 88-5 99
E-Mail: info@awinta.de
Unseren Datenschutzbeauftragten erreichen Sie wie folgt:
intersoft consulting services AG
- zuständiger Datenschutzbeauftragter der NOVENTI Health SE –
Hauptsitz:
Beim Strohhause 17
20097 Hamburg
Telefon: +49 40 / 790 235 - 0
Der Ansprechpartner für awinta ist direkt erreichbar per Mail:
datenschutz@awinta.de
2 Pflichtangaben und Allgemeine Datenschutzhinweise
2.1 Rechtsrahmen und Speicherort
Soweit wir personenbezogene Daten erheben, verarbeiten oder nutzen, beachten wir die anwendbaren
gesetzlichen Vorschriften, insbesondere die Datenschutzgrundverordnung (EU-DSGVO) und das
Bundesdatenschutzgesetz (BDSG-neu).
Zur Bereitstellung unserer Dienste können wir auf die Hosting- und Software-Leistungen Dritter (sog.
Cloud-Provider) zurückgreifen. Der Speicherort der Daten beim Cloud-Provider liegt in der Europäischen Union
(EU) oder dem Europäischen Wirtschaftsraum (EWR).
2.2 Verantwortliche Stelle
Das Unternehmen, das die aSuite-Software nutzt.
2.3 Verarbeitete Daten
- Unternehmensstammdaten
- Personalstammdaten
- Beschäftigtendaten im Rahmen der Administration
2.4 Rechtsgrundlage
Rechtsgrundlagen für die Verarbeitung personenbezogener Daten sind die Erfüllung eines Vertrags oder
vorvertraglicher Maßnahmen gemäß Art. 6 Abs. 1 lit. b. DSGVO sowie ein berechtigtes Interesse gemäß Art. 6
Abs. 1 lit. f DSGVO.
2.5 Betroffene Personen
Mitarbeiter des Unternehmens, das die aSuite-Software nutzt.
2.6 Verwendungszweck und Speicherdauer
Wir verarbeiten die Daten ausschließlich zur Bereitstellung des Dienstes. Daten von Benutzerkonten und mit
dem Konto verbundene Daten werden mit Löschung des entsprechenden Benutzerkontos vom Server entfernt. Die
Löschung kann jederzeit durch den Benutzer selbst unter „Mein Konto“ durchgeführt werden. Eine automatische
Datenlöschung erfolgt für Daten, die vom Planer bereitgestellt wurden, wenn sie mehr als vier Wochen in der
Vergangenheit liegen. Vom Mitarbeiter selbst erfasste Abwesenheitsanträge werden für die Dauer der
gesetzlichen Aufbewahrungsfristen gespeichert.
Gespeicherte Daten werden nach Maßgabe der Art. 17 und 18 DSGVO gelöscht oder in ihrer Verarbeitung
eingeschränkt. Sofern nicht im Rahmen dieser Datenschutzerklärung ausdrücklich angegeben, erfolgt die
Löschung, sobald die Daten für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine
gesetzlichen Aufbewahrungspflichten entgegenstehen. Sofern die Daten nicht gelöscht werden, weil sie für
andere und gesetzlich zulässige Zwecke erforderlich sind (z. B. aus handels- oder steuerrechtlichen
Gründen), wird die Verarbeitung eingeschränkt. Die Daten werden dann gesperrt und nicht für andere Zwecke
verarbeitet. Daten, deren längere Aufbewahrung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen
Klärung des jeweiligen Vorfalls von der Löschung ausgenommen.
2.7 TLS-Verschlüsselung
aSuite-Online nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte bei der
Übermittlung personenbezogener Daten eine TLS-Verschlüsselung (https://).
2.8 Cookies
aSuite-Online verwendet so genannte Cookies. Cookies richten auf Ihrem Rechner keinen Schaden an und
enthalten keine Viren. Cookies dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu
machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser
speichert.
Die meisten der von uns verwendeten Cookies sind so genannte “Session-Cookies”. Sie werden nach Ende Ihres
Besuchs automatisch gelöscht. Andere Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese löschen.
Diese Cookies ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.
Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies
nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das
automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bei der Deaktivierung von Cookies
kann die Funktionalität von aSuite-Online eingeschränkt sein.
Cookies werden auf Grundlage unseres berechtigten Interesses zur technisch fehlerfreien und optimierten
Bereitstellung unserer Dienste gespeichert.
2.9 Passwörter
Passwörter werden von den Benutzern von aSuite-Online (Planer und Mitarbeiter) selbst festgelegt. Sie sind
nur dem Benutzer bekannt. Sie werden auf aSuite-Online nicht im Original, sondern als verschlüsselter
Hash-Wert gespeichert und sind unter normalen Umständen nicht rekonstruierbar.
Passwörter müssen bestimmten Sicherheitsanforderungen entsprechen, indem sie eine bestimmte Mindestlänge
haben und verschiedene Arten von Zeichen enthalten. Die Prüfung der Einhaltung dieser Anforderungen erfolgt
systemseitig bei der Festlegung des Passworts durch Planer bzw. Mitarbeiter.
2.10 Plugins und Tools / Google Web Fonts
aSuite-Online nutzt zur einheitlichen Darstellung von Schriftarten so genannte Web Fonts, die von Google
bereitgestellt werden. Beim Aufruf einer Seite lädt Ihr Browser die benötigten Web Fonts in ihren
Browsercache, um Texte und Schriftarten korrekt anzuzeigen.
Zu diesem Zweck muss der von Ihnen verwendete Browser Verbindung zu den Servern von Google aufnehmen.
Hierdurch erlangt Google Kenntnis darüber, dass über Ihre IP-Adresse unsere Website aufgerufen wurde. Die
Nutzung von Google Web Fonts erfolgt auf Basis unseres berechtigten Interesses zur technisch fehlerfreien
und optimierten Bereitstellung unserer Dienste.
Wenn Ihr Browser Web Fonts nicht unterstützt, wird eine Standardschrift von Ihrem Computer genutzt. Weitere
Informationen zu Google Web Fonts finden Sie unter
https://developers.google.com/fonts/faq
und in der Datenschutzerklärung von Google:
https://www.google.com/policies/privacy
.
2.11 Betroffenenrechte
Betroffene haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck ihrer
gespeicherten personenbezogenen Daten zu erhalten. Betroffene haben außerdem ein Recht, die Berichtigung,
Löschung bzw. Sperrung bzw. Einschränkung der Verarbeitung dieser Daten zu verlangen. Hierzu sowie zu
weiteren Fragen zum Thema Datenschutz können sich Betroffene jederzeit an uns wenden. Des Weiteren steht
Betroffenen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.
2.12 Widerruf
Viele Datenverarbeitungsvorgänge sind nur mit ausdrücklichen Einwilligung der Betroffenen möglich. Diese
können eine bereits erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per
E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf
unberührt.
3 Ergänzungen für die Nutzung durch Planer
3.1 Bereitstellung von Dienstplänen
Um aSuite-Online nutzen zu können, muss der Planer ein Administrations-Konto bei aSuite-Online einrichten
und das Anlegen des Kontos per „Double-Opt-In“ bestätigen. Im Anschluss können über die aSuite-Software
Auszüge der Personaleinsatzplanung auf den aSuite-Online-Server übermittelt werden.
Um einen Mitarbeiter den Abruf der Dienstpläne zu ermöglichen, muss der Planer diesen in der aSuite-Software
anlegen und zur Nutzung von aSuite-Online per E-Mail einladen. Hierzu werden aus der aSuite-Software der
hinterlegte Name und die E-Mail-Adresse des Mitarbeiters verwendet. Das Mitarbeiterkonto wird erst aktiv,
wenn es vom Mitarbeiter per Klick auf den in der E-Mail enthaltenen Bestätigungslink bestätigt wird.
3.2 Teampläne
aSuite-Online bietet die Möglichkeit, Mitarbeitern Pläne des gesamten Teams zur Verfügung zu stellen. Diese
Funktion ist standardmäßig deaktiviert und kann vom Planer in dessen Benutzerkonto aktiviert werden.
3.3 API-Key (Services)
aSuite-Online bietet die Möglichkeit, Teampläne mithilfe eines individuellen Links in Drittanwendungen zu
integrieren, z. B. zur Anzeige im Warenwirtschaftssystem der Apotheke. Diese Funktion ist standardmäßig
deaktiviert und muss vom Planer in seinem Benutzerkonto auf aSuite-Online aktiviert werden. Sie kann
jederzeit deaktiviert werden. Der individuelle Link zum Abruf der Daten ist vertraulich zu behandeln, da er
technisch bedingt ohne weitere Authentifizierung den Abruf der Teampläne ermöglicht.
3.4 Internet-Kalender (iCal)
Zusätzlich besteht die Möglichkeit, Team-Einsatzpläne als Internet-Kalender (iCal) zu abonnieren. Diese
Funktion muss durch den Planer und zusätzlich durch die Mitarbeiter in den Einstellungen des Internet
Kalenders aktiviert werden. Die Funktion kann jederzeit deaktiviert werden.
4 Ergänzungen für die Nutzung durch Mitarbeiter
Um Daten abrufen zu können, muss der Mitarbeiter in der vom Planer versendeten Einladungs-Mail einen
individuellen Link anklicken und so seine E-Mail-Adresse bestätigen (sog. „Double-Opt-In“) und anschließend
sein persönliches Passwort festlegen.
4.1 Browser-Zugang
Mitarbeiter können per Internet-Browser über eine verschlüsselte Verbindung auf Dienstpläne zugreifen. Dazu
ist die Anmeldung mit E-Mail-Adresse und individuellem Passwort erforderlich.
4.2 aSuite Dienstplan App
Mitarbeiter können auf Endgeräten mit den Betriebssystemen „iOS“ und „Android“ eine kostenlose mobile
Anwendung („App“) aus dem Apple App Store bzw. Google Play Store laden. Die App kann über den Suchbegriff
„aSuite Dienstplan“ gefunden werden. Die Nutzung der App als solche unterliegt den Bedingungen, die beim
Download separat mit dem Dritten vereinbart werden.
Über die aSuite-Dienstplan-App haben Mitarbeiter Zugriff auf die vom Planer veröffentlichen Daten. Die
Kommunikation zwischen App und Server von aSuite-Online läuft über eine verschlüsselte Verbindung. Eine
Kopie der Daten wird zwecks Offline-Fähigkeit auf dem Endgerät gespeichert. Diese Datenkopie wird bei
Deinstallation der App gelöscht.
Automatische Anmeldung
Die Anmeldung in der App erfolgt mit E-Mail-Adresse und individuellem Passwort. Auf Wunsch können die
Anmeldedaten auf dem Gerät gespeichert werden, um eine erneute Eingabe zu vermeiden („Automatische
Anmeldung“). Dabei wird statt Benutzernamen und Passwort ein sogenannter „Anmelde-Token“ erstellt. Der
Anmelde-Token wird in einem geschützten Bereich des Smartphones abgelegt. Aus Sicherheitsgründen läuft der
Anmelde-Token ab, wenn die App länger als 30 Tage nicht genutzt bzw. nicht mit dem Server verbunden wird.
Die automatische Anmeldung steht nur zur Verfügung, wenn das Smartphone mit einem Geräte-PIN geschützt ist.
Zusätzlich zur automatischen Anmeldung kann die Anmeldung per „FaceID“ oder „TouchID“ (unter iOS) bzw.
„Smartlock“ (unter Android) aktiviert werden, um den Anmeldeprozess darüber durchzuführen. Dazu ist zunächst
die Vergabe einer individuellen PIN in der aSuite-Dienstplan-App erforderlich. Diese PIN muss eingegeben
werden, wenn die Anmeldung fehlschlägt.
Benachrichtigung per Push-Nachrichten
Die aSuite-Dienstplan-App unterstützt die Benachrichtigung per „Push-Nachricht“ bei Datenänderungen durch
den Planer. Für die technische Umsetzung nutzt die aSuite-Dienstplan-App den Dienst „Firebase“ der Google
Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Detaillierte Informationen zum Umgang mit
personenbezogenen Daten in Firebase sind in der Datenschutzerklärung von Firebase beschrieben unter
https://firebase.google.com/support/privacy.
Um Push-Benachrichtigungen an Endgeräte schicken zu können, verwaltet Firebase für jedes Endgerät eine
sogenannte „Instance ID“. Beim Versand einer Push-Nachricht werden der Nachrichtentext sowie die Instance ID
an Firebase übergeben, das wiederum den Nachrichtentext an die Server von Apple- bzw. Google für den Versand
an das Endgerät weiterleitet.
Die mit der „Instance ID“ bei Firebase gespeicherten Daten können vom Mitarbeiter gelöscht werden, indem in
der aSuite-Dienstplan-App die Funktion „Abmelden“ ausgeführt wird. Anschließend können über die
aSuite-Dienstplan-App keine Daten mehr von aSuite-Online abgerufen werden.
Endgeräteliste
In den Kontoeinstellungen auf aSuite-Online kann die Liste der mit dem Benutzerkonto verbundenen Endgeräte
verwaltet werden. Damit die Endgeräte dort aufgelistet werden können, übermittelt die aSuite-Dienstplan-App
für jedes Gerät eine eindeutige ID (UUID) an aSuite-Online.
Vor dem Löschen eines Endgerätes sollte in der aSuite Dienstplan App eine Abmeldung durchgeführt werden,
damit die mit dem Endgerät verbundene „Instance ID“ bei Firebase gelöscht wird.
Zugriffsberechtigungen
Die aSuite-Dienstplan-App verwendet die nachfolgenden Zugriffsberechtigungen auf das Endgerät, um die
Funktionsfähigkeit der aSuite-Dienstplan-App zu gewährleisten:
- Internet: Kommunikation mit dem aSuite Online Server
- Netzwerk: Erkennung einer vorhandenen Internetverbindung
- Dateien: Laden und Speichern von abgerufenen Daten für die Offline-Kopie
- Kamera : Einscannen von QR-Codes (optional für den Anmeldeprozess)
- FaceID/TouchID (iOS) bzw. Smartlock (Android): Optional für den Anmeldeprozess
- Taptic Engine: Vibration bei falscher PIN-Eingabe
- Push Notifications: Benachrichtigung bei Datenänderungen
4.3 Internet Kalender (iCal)
Zusätzlich besteht die Möglichkeit, eigene Einsatzplan als Internet-Kalender (iCal) zu abonnieren. Diese
Funktion muss durch den Mitarbeiter in seinem Benutzerkonto auf aSuite-Online aktiviert und ein
individueller Link erzeugt werden. Der Link ist vertraulich zu behandeln, da er technisch bedingt ohne
weitere Authentifizierung den Abruf der Daten des Internet-Kalenders ermöglicht. Die Funktion
„Internet-Kalender“ kann jederzeit deaktiviert werden.
4.4 Online-Antragswesen
Mitarbeiter haben über den Browser-Zugang die Möglichkeit, Abwesenheiten online an den Planer zu
übermitteln. Voraussetzung dafür ist, dass der Planer die entsprechende Funktion für die Mitarbeiter
freigeschaltet hat.
5 Schlussbestimmungen
5.1 Änderungen
Wir behalten uns vor, diese Datenschutzhinweise von Zeit zu Zeit im Rahmen des rechtlich Zulässigen mit
Wirkung für die Zukunft zu ändern. Einmal erhobene personenbezogene Daten werden wir aber ohne Ihre
Zustimmung nicht nachträglich für andere, mit dem ursprünglichen Zweck inkompatible Zwecke, verwenden.
Stand: 08.03.2019