Datenschutzerklärung (Lieferanten und Dienstleister)
Letzte Aktualisierung: Juli 2023
Liebe Lieferanten und Dienstleister,
mit der vorliegenden Datenschutzerklärung möchten wir Sie darüber informieren,
- welche personenbezogenen Daten wir erheben, speichern, verarbeiten, sperren und löschen (zusammen als „Verarbeitung“ bezeichnet),
- wofür wir sie nutzen,
- wie Sie der Nutzung widersprechen bzw. Einwilligungen widerrufen können und
- welche sonstigen Rechte Sie als Betroffene haben und wie Sie diese wahrnehmen können.
1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Verantwortliche Stelle für die Datenverarbeitung im Sinne der DS-GVO ist
Lomapharm GmbH
Langes Feld 5
31860 Emmerthal
Telefon: +49 (0) 5155 2791-0
Telefax: +49 (0) 5155 2791-219
E-Mail: service@lomapharm.de
Sie erreichen unseren betrieblichen Datenschutzbeauftragten per Mail unter datenschutz@lomapharm.de oder postalisch unter der obigen Adresse mit dem Vermerk „der Datenschutzbeauftragte.“
Als Tochterunternehmen der Bionorica-Gruppe erhalten wir im Rahmen einer einheitlichen Konzernsteuerung auch unterschiedliche Dienstleistungen von unserer Muttergesellschaft (z.B. gesellschaftsübergreifende IT-, Kommunikations- und Datenbanksysteme, zentrale HR- oder Finanzbuchhaltungsdienstleistungen etc.) und verarbeiten in diesem Zusammenhang auch personenbezogene Daten.
Datenschutzrechtlich erfolgen diese Verarbeitungen unter der gemeinsamen Verantwortung der Lomapharm GmbH und der Bionorica SE nach Art 26 DS-GVO. Im Rahmen der gemeinsamen Verarbeitung gelten folgende wesentliche Eckpunkte:
- Die Lomapharm GmbH und die Bionorica SE sind gleichermaßen für die Rechtmäßigkeit der gemeinsamen Verarbeitungen verantwortlich und ergreifen angemessene technische und organisatorische Maßnahmen, damit die Rechte der betroffenen Personen jederzeit gewährleistet werden.
- Lomapharm GmbH verpflichtet sich, die gemäß Art. 13 und 14 DS-GVO verpflichtenden Informationen auch bezüglich der gemeinsamen Verarbeitung öffentlich zugänglich zu machen.
- Um eine angemessene Transparenz und zuverlässige Geltendmachung von Betroffenenrechten sicherzustellen, können alle Betroffenenrechte bei gemeinsamen Verarbeitungen grundsätzlich auch stets gegenüber der Bionorica SE als Konzernmutter geltend gemacht werden.
- Der Lomapharm GmbH und der Bionorica SE obliegen die aus Art. 33, 34 DS-GVO resultierenden Informationspflichten gegenüber der Aufsichtsbehörde bzw. den von einer Verletzung des Schutzes personenbezogener Daten Betroffenen gleichermaßen.
- Beide Parteien haften für den Schaden, der durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wird im Außenverhältnis gemeinsam gegenüber der jeweiligen betroffenen Person.
Gerne stellen wir Ihnen einen Auszug unserer „Vereinbarung über die gemeinsame Verarbeitung von personenbezogenen Daten nach Art. 26 DS-GVO“ zur Verfügung. Wenden Sie sich hierfür bitte einfach an den oben genannten Kontakt.
2. Besteht eine Pflicht zur Bereitstellung von Daten?
Im Rahmen unserer Geschäftsbeziehung müssen Sie ausschließlich diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme und Durchführung einer Geschäftsbeziehung und der Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten werden wir in der Regel nicht in der Lage sein, den Vertrag mit Ihnen zu schließen oder diesen auszuführen.
3. Welche Quellen und Daten nutzt die Lomapharm GmbH?
Wir verarbeiten personenbezogene Daten, die wir im Rahmen unserer Geschäftsbeziehung von unseren Lieferanten und Dienstleistern erhalten. Zudem verarbeiten wir – soweit für die Durchführung unserer Zusammenarbeit erforderlich – personenbezogene Daten, die wir aus öffentlich zugänglichen Quellen (z.B. Handelsregister, Presse, Internet) zulässigerweise gewinnen oder die uns von anderen Unternehmen oder sonstigen Dritten (z. B. von Auskunfteien) berechtigt übermittelt werden.
Die von uns verarbeitenden personenbezogenen Daten umfassen insbesondere:
- Personalien (Name, Adresse und andere betriebliche Kontaktdaten)
- Auftragsdaten und Daten aus der Vertragsdurchführung (z.B. Informationen zu ausgeführten Lieferungen und Dienstleistungen)
- Daten aus der Durchführung von Audits (z.B. Ansprechpartnerdaten)
- Daten aus der Durchführung von Ausschreibungen (z.B. Lebensläufe, Zertifikate)
- sowie andere mit den genannten Kategorien vergleichbare Daten
4. Verarbeitungszwecke und Rechtsgrundlage
Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der Europäischen Datenschutz-Grundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) auf folgenden Rechtsgrundlagen:
4.1 Zur Erfüllung von vertraglichen Pflichten (Art. 6 Abs. 1 S. 1 b DS-GVO)
Die Verarbeitung von Daten erfolgt zur Erbringung der mit unseren Lieferanten und Dienstleistern geschlossenen Verträgen, zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage unserer Lieferanten und Dienstleister hin erfolgen oder zur Durchführung aller zum Betrieb und/oder der Verwaltung eines pharmazeutischen Unternehmens erforderlichen Tätigkeiten.
4.2 Im Rahmen der Interessenabwägung (Art. 6 Abs. 1 S. 1 f DS-GVO)
Soweit erforderlich verarbeiten wir personenbezogene Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung unserer berechtigten Interessen.
Dies umfasst insbesondere folgende Tätigkeiten und Prozesse:
- Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten,
Gewährleistung der IT-Sicherheit und des IT-Betriebs unseres Unternehmens, - Abgleich mit über das gesetzlich vorgeschriebene hinausgehenden aber üblichen Sanktionslisten.
4.3 Aufgrund Ihrer Einwilligung (Art. 6 Abs. 1 S. 1 a DSGVO)
Soweit Sie uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke erteilt haben, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben.
Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO uns gegenüber erteilt worden sind. Bitte beachten Sie, dass der Widerruf der Einwilligung nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt.
Der Widerruf einer Einwilligung kann kostenlos und formlos an unsere unter Ziff. 1 genannten Kontaktdaten erfolgen. Bei einem telefonischen Widerruf bitten wir Sie ggf. um einen ergänzenden Nachweis Ihrer Identität auf einem anderen Weg.
4.4 Aufgrund gesetzlicher Vorgaben (Art. 6 Abs.1 S. 1 c DSGVO) oder im öffentlichen Interesse (Art. 6 Abs. 1 S. 1 e DSGVO)
Wie jedes Unternehmen unterliegt auch die Lomapharm GmbH zahlreichen rechtlichen Verpflichtungen, die eine Verarbeitung von personenbezogenen Daten notwendig machen. Als Beispiel können hier z.B. Identifizierungspflichten zur Geldwäscheprävention, Lieferantenqualifizierungen, der Abgleich mit gesetzlich vorgeschriebenen Sanktionslisten oder die Einhaltung steuerlicher Dokumentationspflichten genannt werden.
5. Inwieweit gibt es eine automatisierte Entscheidungsfindung im Einzelfall?
Zur Begründung und Durchführung der Geschäftsbeziehung nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich vorgegeben ist.
6. Wer bekommt meine Daten?
Innerhalb der Lomapharm GmbH erhalten diejenigen Stellen und Abteilungen Zugriff auf Ihre Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten benötigen. Auch von uns eingesetzte und sorgfältig ausgewählte und kontrollierte Dienstleister können zu diesen Zwecken Daten erhalten, werden hierbei jedoch im Rahmen einer sog. Auftragsverarbeitung auf die auch für uns geltenden datenschutzrechtlichen Anforderungen verpflichtet. Dies können z.B. Unternehmen in den Bereichen IT-Dienstleistungen, Logistik, Print-Dienstleistungen, Telekommunikation, Beratungs- sowie Marketingagenturen sein.
Eine Weitergabe an Empfänger außerhalb der Lomapharm GmbH erfolgt nur bei Vorliegen einer Rechtsgrundlage (z.B. gesetzliche Verpflichtung, Einwilligung).
7. Werden Daten an Unternehmen in Drittländern oder an eine internationale Organisation übermittelt?
Eine Datenübermittlung an Stellen in Staaten außerhalb der Europäischen Union (sogenannte Drittstaaten) findet nur statt, soweit neben allgemeinen Voraussetzungen zur Datenübermittlung zusätzlich ein Angemessenheitsbeschluss (Art. 45 DS-GVO) oder geeignete Garantien (Art. 46 DS-GVO) und ggf. zusätzliche Maßnahmen bestehen oder die Anforderungen des Art. 49 erfüllt sind (z.B. Vorliegen einer entsprechenden Einwilligung).
8. Wie lange werden meine Daten gespeichert?
Wir verarbeiten Ihre personenbezogenen Daten nur solange es für die Erfüllung der oben beschriebenen Verarbeitungszwecke erforderlich ist. Sind die Daten für die Erfüllung der oben beschriebenen Verarbeitungszwecke nicht mehr erforderlich, werden diese gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist zu folgenden Zwecken erforderlich:
- Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten: Zu nennen sind das Handelsgesetzbuch (HGB) und das Geldwäschegesetz (GwG). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen bis zu zehn Jahre.
- Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den §§ 195ff. des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.
9. Welche Rechte habe ich als Betroffener?
Als Betroffener haben Sie das Recht auf Auskunft nach Artikel 15 DS-GVO. Bei einer Anfrage, die nicht schriftlich erfolgt, bitten wir Sie ggf. um einen ergänzenden Nachweis Ihrer Identität auf einem
anderen Weg. Ferner haben Sie das Recht auf Berichtigung nach Artikel 16 DS-GVO, das Recht auf Löschung nach Artikel 17 DS-GVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DS-GVO sowie das Recht auf Datenübertragbarkeit aus Artikel 20 DS-GVO. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Artikel 77 DS-GVO i.V.m. § 19 BDSG).
Weiterhin steht Ihnen das Recht auf Widerspruch aus Artikel 21 DS-GVO zu und Sie können einer Verarbeitung von personenbezogenen Daten auf Grundlage der Artikel 6 Abs. 1 e oder f DSGVO jederzeit ohne Angabe von Gründen widersprechen.
Geschlechtsneutrale Formulierung: Aus Gründen der besseren Lesbarkeit verwenden wir in unseren Texten das generische Maskulinum. Es sind jedoch immer alle Geschlechter angesprochen.