Datenschutzerklärung

1 Vorwort

Unabhängig davon, ob Sie Kunde oder anderweitig Nutzer der Plattform www.clinical.empowerdx.de sind: Wir, die Eurofins Laborbetriebsgesellschaft Gelsenkirchen GmbH, (im Folgenden Laborbetriebsgesellschaft“, „wir“) nehmen den Schutz Ihrer personenbezogenen Daten sehr wichtig.

Doch was bedeutet dies konkret?

Im Folgenden ermöglichen wir Ihnen, sich einen Einblick darüber zu verschaffen, welche personenbezogenen Daten wir von Ihnen erheben und in welcher Form wir sie verarbeiten. Des Weiteren erhalten Sie eine Übersicht über die Ihnen zustehenden Rechte nach geltendem Datenschutzrecht. Zudem nennen wir Ihnen Ihre Ansprechpartner, falls Sie noch Fragen haben sollten.

1.1 Wer sind wir?<br> Die Eurofins Laborbetriebsgesellschaft Gelsenkirchen GmbH ist seit dem 01.06.2019 die Rechtsnachfolgerin Eurofins Laborbetriebsgesellschaft Dr. Dirkes-Kersting und Dr. Kirchner mbH. Ihre Filialen befinden sich an den Standorten Gelsenkirchen, Iserlohn, Siegen und Dortmund; diesen sind teilweise Außenstellen angeschlossen. Zu uns gehört auch die Safer@Work, die überörtlich tätig ist. Zusammen nennen wir uns Eurofins GeLaMed. Zusätzlich kooperiert die Laborbetriebsgesellschaft mit dem Eurofins MVZ Medizinisches Labor Gelsenkirchen GmbH, Mitglied der Eurofins Scientific SE.

Alle Laboratorien der Standorte sind miteinander vernetzt und bearbeiten verschiedene Schwerpunkte der laboratoriumsmedizinischen Diagnostik. Sie versorgen so die umliegenden Regionen mit dem gesamten Spektrum an labor- und labormedizinischen Leistungen. Sie sind in der Lage, effiziente Diagnostik nach neuesten wissenschaftlichen Erkenntnissen patienten- und kundengerecht sowie zeitnah zu erbringen.

Die nunmehr über hundertjährige Erfahrung im vorbeugenden Gesundheitsschutz wie in der Diagnostik bildet auch die Basis für die Beurteilung neuer Untersuchungsverfahren unter Berücksichtigung der sich daraus ergebenden Möglichkeiten. Dies gilt auch für die Anpassung an die jeweils gültigen sozialpolitischen Rahmenbedingungen.

Als Verantwortlicher im Sinne der geltenden Datenschutzgesetze ergreifen wir, die Eurofins Laborbetriebsgesellschaft Gelsenkirchen GmbH

Geschäftsführer: Marcus Cholewa (Vorsitzender & Sprecher der Geschäftsführung )<br> COO: Johannes von Dewitz<br> Tel.: (0209) 15 86-0<br> Fax: (0209) 15 86-106<br> E-Mail: gelsenkirchen@gelamed.de

alle nach geltendem Datenschutzrecht erforderlichen Maßnahmen, um den Schutz Ihrer personenbezogenen Daten zu gewährleisten.

Bei allen Fragen bezüglich dieser Datenschutzerklärung bitten wir Sie, sich an unsere Datenschutzbeauftragte zu wenden.<br> Matthias Stumpf<br> Eurofins Finance Transactions Germany GmbH<br> Am Neuländer Gewerbepark 1<br> 21079 Hamburg<br> +491606265698<br> Matthias.stumpf@sc.eurofinseu.com

Zur Wahrung der Vertraulichkeit bei Anfragen per Post, bitte bei der Adressierung darauf achten, dass entweder der Name oder die Bezeichnung "Datenschutzbeauftragter" oberhalb des Firmennamens angeführt werden.

1.2 Anwendungsbereich der Datenschutzerklärung<br> Unter der Verarbeitung personenbezogener Daten versteht der Gesetzgeber Tätigkeiten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. In dieser Datenschutzerklärung geht es um die personenbezogenen Daten von Nutzern unseres eCommerce-Angebots auf www.clinical.empowerdx.de. Das sind i.d.R. Personen, die die auf der Webisteerstandenen Gesundheitstests über die angegebene Seite aktivieren und ihre Ergebnisse abfragen.

Sie können als Kunde einzelne oder einen umfangreichen Test erstehen, diesen auf unserer Plattform aktivieren, dann die selbst entnommene Probe in unser Labor schicken und erhalten nach Abschluss der Untersuchung ein genetisches Profil zu der ausgewählten Analyse.

Die Eurofins Genomics Europe Genotypisierung A/S erstellt das genetische Profil aus der Probe. OverGenes erstellt daraus die Auswertung des genetischen Profils. Der Zugriff kann nur über das von der Laborbetriebsgesellschaft bereitgestellten eCommerce-Angebot www.clinical.empowerdx.de erfolgen.

Diese Datenschutzerklärung bezieht sich auf die Nutzung der Plattform www.clinical.empowerdx.de und die hierbei erfolgende Verarbeitung von Nutzer- und Nutzungsdaten. Sollten sich Erklärungen nur auf einen Bereich beziehen, wird dieser ausdrücklich genannt. Darüber hinaus erfolgen Informationen über die Datenverarbeitung und Zugriffsrechte.

2 Welche personenbezogenen Daten verarbeiten wir?

P = Pflichtfelder<br> 2.1 Kontoerstellung ohne Testkit-Bestellung bzw. -Aktivierung<br> • Name, Vorname P<br> • Mail-Adresse P<br> • Kundennummer -> wird automatisch generiert<br> • Geburtsdatum<br> • Adresse (Straße, Stadt, Land, Postleitzahl)<br> • Geschlecht<br>

2.2 Kontoerstellung mit Testkit-Bestellung bzw. -Aktivierung (inkl. Aktivierung „geschenktes Kit")<br> • Name, Vorname P<br> • Geb. Datum P<br> • Geschlecht P<br> • Mail-Adresse P<br> • Größe<br> • Gewicht<br> • Test-Kit-ID P -> nur bei Aktivierungen<br> • Region der ethnischen Abstammung P

Diese Daten werden, wenn ein Test-Kit aktiviert wird, für die weiteren Abläufe (z.B. Übermittlung der Ergebnisse) weiterverarbeitet.

2.3 Verarbeitung von Untersuchungsergebnissen<br> Die Ergebnisse, der über die www.clinical.empowerdx.de beauftragten Aufträge, werden auf die Plattform www.clinical.empowerdx.de geladen und können dort, von autorisierten Nutzern, in deren Benutzerprofil heruntergeladen werden. Dort sind sie für 3 Jahre abrufbar. Die Plattform informiert den Nutzer per Mail über vorliegende Ergebnisse.

2.4 Datenquellen<br> Wir erheben die auftragsrelevanten personenbezogenen Daten bei Ihnen direkt.

2.5 Übertragungssicherheit<br> Sobald eine Verbindung zu unserer Plattform www.clinical.empowerdx.de aufgebaut wird und Daten bei der der Kontoerstellung/Aktivierung/Bestellung eingefügt und übermittelt werden, wird sämtlicher Datenverkehr mit dem gewählten Endgerät und unserem Server verschlüsselt.

Der Serverstandort befindet sich innerhalb der EU (Niederlande).

Die www.clinical.empowerdx.de und die dazugehörige Datenbank haben geeignete Datensicherheitsmaßnahmen (Technische und organisatorische Maßnahmen nach Art. 32 DSGVO) eingerichtet, die sie vor unbefugten Zugriffen schützt.

Für die Untersuchung der eingesandten Proben findet eine Datenübertragung an unsere Partnerlabore in Dänemark (Eurofins Genomics Europe Genotypisierung A/S), sowie der Firma (Overgenes) in Spanien statt.

Die Daten werden mittels einer automatisierten CSV-Datei in einem sogenannten Blob-Storage von Microsoft Azure abgelegt. Das Blob-Storage ist über einen sogenannten SAS-Key verschlüsselt.

2.6 Sensible Daten<br> Über unsere Seite www.clinical.empowerdx.de werden sensiblen Daten, also besondere Kategorien personenbezogener Daten verarbeitet. Wir benötigen Ihre ethnische Abstammung für die Auswertung des genetischen Profils.

3 Nutzung von Cookies

Was sind Cookies?<br> Cookies sind Informationen, die im Textformat auf Ihrem Endgerät abgelegt werden, während Sie die unsere Seite nutzen. Diese Textinformationen gestalten Ihre Nutzung der App effektiver. Man unterscheidet zwischen Session-Cookies, die wieder gelöscht werden, sobald Sie Ihren Browser schließen und permanenten Cookies, die über die einzelne Sitzung hinaus gespeichert werden. Cookies können Daten enthalten, die eine Wiedererkennung des genutzten Geräts möglich machen. Teilweise enthalten Cookies aber auch lediglich Informationen zu bestimmten Einstellungen, die nicht personenbeziehbar sind.

Wir verwenden keine Webanalysedienste, sondern ausschließlich funktionale Cookies, ohne die unsere Plattform nicht korrekt dargestellt und benutzt werden könnte. Dementsprechend verwendet unserer Seite keine Cookies von Drittanbietern zu Werbezwecken und Analysedienstleistungen.

4 Wofür verarbeiten wir Ihre personenbezogenen Daten und aufgrund welcher Rechtsgrundlage?

Der Zweck der Verarbeitung Ihrer Daten ist die Analyse von Gesundheitstests für Kunden. Ferner ist der Zweck der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der www.clinical.empowerdx.de-Plattform die Bereitstellung des genetischen Sportprofis über die Plattform. Ihre Daten als Nutzer der www.clinical.empowerdx.de, werden zum Schutz der Untersuchungsergebnisse vor unbefugtem Zugriff und zur Gewährleistung eines störungsfreien Betriebs erfasst und verarbeitet.

Rechtsgrundlage ist ausschließlich Ihre Einwilligung (Art. 6 Abs. 1 lit. a der Datenschutzgrundverordnung -DSGVO).

5 Wohin wir Daten übermitteln und warum

Wichtig: Auf keinen Fall verkaufen wir oder übergeben wir Ihre personenbezogenen Daten an Dritte die nicht in dieser Datenschutzerklärung genannt sind!

5.1 Datennutzung innerhalb der Eurofins Laborbetriebsgesellschaft Gelsenkirchen GmbH und der Eurofins MVZ Medizinisches Labor Gelsenkirchen GmbH<br> Innerhalb der Eurofins Laborbetriebsgesellschaft Gelsenkirchen GmbH und der Eurofins MVZ Medizinisches Labor Gelsenkirchen GmbH erhalten nur die Stellen Zugriff auf Ihre personenbezogenen Daten, die diese benötigen, um unsere vertraglichen oder gesetzlichen Verpflichtungen zu erfüllen, oder um unsere berechtigten Interessen zu wahren.

5.2 Datennutzung außerhalb der Eurofins Laborbetriebsgesellschaft Gelsenkirchen GmbH und der Eurofins MVZ Medizinisches Labor Gelsenkirchen GmbH<br> Wir achten den Schutz Ihrer personenbezogenen Daten und geben Informationen über Sie nur dann weiter, wenn gesetzliche Bestimmungen dies gebieten, Sie eingewilligt haben, oder zur Erfüllung vertraglicher Verpflichtungen.

Folgende gesetzliche Verpflichtungen zur Weitergabe Ihrer personenbezogenen Daten kommen beispielsweise darüber hinaus in Betracht: Gesundheitsamt, im Rahmen der Meldepflicht gemäß Infektionsschutzgesetz-IfSG Justiz- und Strafverfolgungsbehörden, z.B. Polizei, Gerichte, Staatsanwaltschaft; Anwälte, z.B. in Rechtsstreitigkeiten;

5.2.1 Partnerlabore<br> Für die Untersuchung der eingesandten Proben findet eine Datenübertragung an unsere Partnerlabore in Dänemark (Eurofins Genomics Europe Genotypisierung A/S), sowie der Firma (Overgenes) in Spanien statt.

Eurofins Genomics Europe Genotypisierung A/S<br> Smedeskovvej 38<br> 8464 Galten<br> Dänemark<br> salessupport-eu@eurofins.com<br>

OverGenes info@overgenes.com<br> Calle Agustín Escardino 9<br> Edificio 3<br> Parque Científico<br> 46980 Paterna<br> (Valencia) Spanien<br>

Folgende Daten werden übertragen:<br> • Test Kit ID -> zur Identifizierung des Auftrages<br> • Geschlecht -> zur Verfeinerung der Analyse<br> • Test Type<br> • Vorname -> zur Anrede auf dem Befund<br> • Geb. Datum *<br> • Geschlecht *<br> • Region der ethnischen Abstammung *<br> • Gewicht *<br> • Größe *<br> • OverGenes-Kundennummer -> wird automatisch generiert und zur internen Identifikation weitergeführt<br> • Bestätigung über vorliegende Einwilligung zur Datenverarbeitung -> rechtliche Absicherung<br>

*die Daten werden zur Auswertung benötigt.

5.2.2 Internationale Datentransfers / Datentransfer in Drittländer<br> In Ländern außerhalb der Europäischen Union (und des Europäischen Wirtschaftsraums „EWR“) herrscht unter Umständen kein vergleichbares Datenschutzniveau. Im Zusammenhang mit der Weiterentwicklung der Plattform und ihres Supports setzen wir Dienstleister ein, die sich in Drittländern außerhalb der Europäischen Union befinden (z. B. Indien). Auch diesem möglichen Datentransfer stimmen Sie mit Ihrer Einwilligung bei der Registrierung zu (Art. 49 Abs. 1 a DSGVO).

Für die Weiterentwicklung unserer IT-Systeme und Anwendungen und Verbesserung unseres Kundenservices kann ein Datenzugriff durch Eurofins IT Solutions India Pvt Ltd. stattfinden.

Eurofins IT Solutions India Pvt Ltd.<br> Maruti Platinum Campus<br> Kundalahalli Main Rd<br> Opp HDFC Bank<br> AECS Layout<br> Bengaluru, Karnataka 560037<br> India<br> Telefon: +91 80 61177600<br> eitsi_careers@eurofins.com<br>

Betroffene Daten und Datenkategorien: Namen, Adressen, IDs, Geburtsdatum, Geschlecht, Ethnie. Mit den Dienstleistern in Drittländern schließen wir zum Schutz Ihrer Daten einen Vertrag über eine Auftragsverarbeitung und die von der EU-Kommission bereitgestellten Standardvertragsklauseln ab. Wenn Sie Einsicht in die bestehenden Garantien für die Datenübermittlung nehmen wollen, können Sie uns unter datenschutz@gelamed.de kontaktieren.

6 Löschfristen

6.1 Kontoerstellungsdaten /Benutzerkontodaten<br> Die personenbezogenen Daten, die für die Erstellung eines Benutzerkontos notwendig sind, werden ohne die Aktivierung von Testkits für 3 Jahre gespeichert und dann gelöscht. Die personenbezogenen Daten, die für die Erstellung eines Benutzerkontos notwendig sind, werden mit Aktivierung von Testkits, mindestens so lange gespeichert, wie Ergebnisse vorliegen (mindestens 3 Jahre). Nach Löschung aller Ergebnisse wird das Benutzerkonto nach weiteren 3 Jahren ohne Aktivität gelöscht.

6.2 Auftragsdaten und Untersuchungsergebnisse - Partnerlabore<br> Die Auftragsdaten und Untersuchungsergebnisse (Rohdaten) zu den durchgeführten Untersuchungen werden von Eurofins Genomics Europe Genotypisierung A/S an OverGenes übermittelt, anschließend für 3 Jahre gespeichert und dann gelöscht. Die übermittelten Rohdaten zu den durchgeführten Untersuchungen werden bei OverGenes für 3 Jahre gespeichert und anschließend gelöscht. In dieser Zeit sind aus diesen Rohdaten neue Auswertungen mit anderen Fragestellungen möglich, ohne dass eine neue Probenennahme notwendig wird. Die Auswertungen werden von Genomics an www.clinical.empowerdx.de übermittelt, anschließend für 3 Jahre gespeichert und dann gelöscht.

7 Automatisierte Entscheidungen

Es finden keine automatisierten Entscheidungen statt.

8 Hilfe

Unsere GeLaMed-Support ist bei Rückfragen unter shop@clinical.empowerdx.de erreichbar.

9 Ihre Rechte

Im Rahmen der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen auch bestimmte Rechte zu. Genaueres ergibt sich aus den entsprechenden Regelungen der Datenschutz-Grundverordnung (dort in den Artikeln 15 bis 21).

Eventuelle Auskunfts-, Berichtigungs-Anfragen, Aufforderungen zur Löschung, zur Einschränkung, zur Datenübertragung und Widersprüche sind in Textform an:<br> Eurofins Laborbetriebsgesellschaft Gelsenkirchen GmbH<br> Geschäftsführung<br> Rotthauser Straße 19<br> 45879 Gelsenkirchen<br> datenschutz@GeLaMed.de<br>

zu richten.

9.1 Recht auf Auskunft und Berichtigung<br> Sie haben das Recht, von uns darüber Auskunft zu erhalten, welche Ihrer personenbezogenen Daten wir verarbeiten. Sofern diese Informationen nicht (mehr) stimmen sollten, können Sie von uns die Berichtigung der Daten verlangen, bei unvollständigen Angaben deren Ergänzung. Sofern wir Ihre Daten an Dritte weitergegeben haben, informieren wir die entsprechenden Dritten bei entsprechender Rechtslage.

9.2 Recht auf Löschung<br> Unter folgenden Umständen können Sie die unverzügliche Löschung Ihrer personenbezogenen Daten verlangen:<br> Wenn Ihre personenbezogenen Daten nicht länger für die Zwecke, für die sie erhoben wurden, benötigt werden;<br> Wenn Sie Ihre Einwilligung widerrufen haben und es an einer sonstigen Rechtsgrundlage zur Datenverarbeitung fehlt;<br> Wenn Sie der Verarbeitung widersprechen und es keine vorrangigen berechtigten Gründe für eine Datenverarbeitung gibt;<br> Wenn Ihre Daten unrechtmäßig verarbeitet werden;<br> Wenn Ihre personenbezogenen Daten zur Erfüllung gesetzlicher Pflichten gelöscht werden müssen.<br> Beachten Sie bitte, dass wir vor der Löschung Ihrer Daten prüfen müssen, ob kein legitimer Grund zur Verarbeitung Ihrer personenbezogenen Daten vorliegt.

9.3 Recht auf Einschränkung der Verarbeitung<br> Aus einem der folgenden Gründe können Sie von uns die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen:<br> Wenn Sie die Richtigkeit der Daten bestreiten, bis wir die Gelegenheit hatten, uns von der Richtigkeit der Daten zu überzeugen;<br> Wenn die Daten unrechtmäßig verarbeitet werden, Sie aber anstelle der Löschung lediglich die Einschränkung der Nutzung der personenbezogenen Daten verlangen;<br> Wenn wir die personenbezogenen Daten zwar nicht mehr für die Zwecke der Verarbeitung benötigen, Sie diese aber noch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen;<br> Wenn Sie Widerspruch gegen die Verarbeitung eingelegt haben und noch nicht feststeht, ob Ihre berechtigen Interessen gegenüber unseren überwiegen.

9.4 Recht auf Widerspruch und Widerruf<br> Sie haben ein Recht auf Widerspruch und Widerruf gemäß Art. 21 DSGVO. Sie können Ihre Einwilligung zur Verarbeitung jederzeit ohne Angabe von Gründen, mit Blick auf die Zukunft widerrufen. Je nachdem in welchem Stadium sich die Bearbeitung Ihres Auftrags befindet, können Ihre personenbezogenen Daten direkt oder nach Ablauf der gesetzlichen Aufbewahrungspflichten gelöscht werden.

9.5 Recht auf Datenübertragbarkeit<br> Sie haben das Recht, personenbezogene Daten, die Sie uns zur Verarbeitung gegeben haben, auf Anfrage in einem übertragbaren und maschinenlesbaren Format zu erhalten.

9.6 Recht auf Beschwerde bei der Aufsichtsbehörde (gemäß Art. 77 DSGVO)<br> Wir versuchen, Ihre Anfragen und Ansprüche immer schnellstmöglich zu bearbeiten, um Ihre Rechte entsprechend zu wahren. Je nach Häufigkeit der Anfragen kann es jedoch sein, dass bis zu 30 Tage vergehen, ehe wir Sie über Ihr Anliegen weiter informieren können. Falls es länger dauern sollte, werden wir Sie zeitnah über die Gründe für die Verzögerung benachrichtigen und das weitere Verfahren mit Ihnen besprechen.

In einigen Fällen dürfen oder können wir Ihnen keine Auskunft geben. Sofern rechtlich zulässig, teilen wir Ihnen den Grund für die Verweigerung der Auskunft mit. Sofern Sie dennoch nicht mit unseren Antworten und Reaktionen zufrieden sind oder der Ansicht sind, dass wir gegen geltendes Datenschutzrecht verstoßen, steht es Ihnen frei, sowohl bei unserem Datenschutzbeauftragten als auch bei der zuständigen Aufsichtsbehörde Beschwerde einzureichen. Die für uns zuständige Aufsichtsbehörde ist:<br> Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen<br> Postfach 20 04 44<br> 40102 Düsseldorf<br> Telefon: 0211/38424-0<br> Fax: 0211/38424-10<br> E-Mail: poststelle@ldi.nrw.de<br>

10 Version

Diese Datenschutzerklärung (k.a.) ist ein Teil unseres Qualitätsmanagementsystems und unseres Datenschutzkonzept.