Novartis - Allgemeine Datenschutzerklärung für Geschäftspartner

Mai 2018


Diese Datenschutzerklärung richtet sich an:

• die medizinischen Fachkräfte, mit denen wir eine Beziehung aufbauen oder pflegen;
• unsere Kunden oder Interessenten, die natürliche Personen sind (z. B. selbstständige Apotheker);
• die Vertreter oder Ansprechpartner unserer Kunden oder Interessenten, die juristische Personen sind (z. B. Großapotheker).

Sie erhalten diese Datenschutzerklärung, weil Novartis Informationen über Sie verarbeitet, die „personenbezogene Daten“ darstellen und Novartis den Schutz Ihrer personenbezogenen Daten und Ihrer Privatsphäre als sehr wichtig betrachtet.

Novartis ist für die Verarbeitung Ihrer personenbezogenen Daten verantwortlich, da es entscheidet, warum und wie diese verarbeitet werden und daher als „Datenverantwortlicher“ auftritt. In dieser Datenschutzerklärung beziehen sich „wir“ oder „uns“ auf Novartis.

Wir laden Sie dazu ein, sich diese Datenschutzerklärung sorgfältig durchzulesen, denn hier legen wir dar, in welchem Zusammenhang wir Ihre personenbezogenen Daten verarbeiten und welche Rechte und Pflichten wir dabei haben.

Wenn Sie weitere Fragen zur Verarbeitung Ihrer personenbezogenen Daten haben, schicken Sie uns bitte eine E-Mail an datenschutz@novartis.com


1. Welche Informationen besitzen wir über Sie?


Diese Informationen können entweder direkt von Ihnen, von unseren Geschäftspartnern (d. h. der juristischen Person, für die Sie arbeiten), von Dritten (z. B. medizinischen Einrichtungen) oder aus vertrauenswürdigen öffentlich zugänglichen Quellen stammen (z. B. PubMed, Clinical Trials.gov, Kongress- oder Universitäts-Websites), die gegebenenfalls nach geltendem Recht Ihre Zustimmung eingeholt haben, diese personenbezogenen Daten an uns weitergeben zu dürfen. Wir erfassen verschiedene Arten von personenbezogenen Daten über Sie, beispielsweise:

- Ihre allgemeinen Informationen und Personendaten (z. B. Name, Vorname, Nachname, Geschlecht, E-Mail-Adresse und/oder Postanschrift, Festnetz- und/oder Handynummer);
- Ihre Funktion (z. B. Titel, Position, Name des Unternehmens, sowie für Angehörige der Gesundheitsberufe erstes Fachgebiet, zweites Fachgebiet, Abschlussjahr an der medizinischen Fakultät, Publikationen, Kongressaktivitäten, Auszeichnungen, Biographie, Ausbildung, Links zu Universitäten, Expertise und Mitarbeit an/Beiträge zu klinischen Studien, Richtlinien, Redaktionen und Organisationen);
- Zahlungsinformationen (z. B. Kreditkartendaten, Bankverbindung, Umsatzsteuer- oder andere Steuernummern);
- Novartis’ eindeutige Geschäftspartner-ID und ein Profil;
- Ihre elektronischen Identifikationsdaten, soweit sie für die Lieferung von Produkten oder Dienstleistungen an unser Unternehmen erforderlich sind (z. B. Login, Zugriffsrecht, Passwörter, Ausweisnummer, IP-Adresse, Online-Identifikatoren/Cookies, Protokolle, Zugriffs- und Verbindungszeiten, Bild- oder Tonaufzeichnungen wie Ausweisbilder, Videoüberwachungsbilder oder Sprachaufzeichnungen);
- Informationen über Ihre Präferenzen, einschließlich der Kommunikationskanäle und -häufigkeit;
- Daten, die Sie uns zum Beispiel beim Ausfüllen von Formularen oder bei Veranstaltungen, an denen Sie teilnehmen, oder bei der Beantwortung von Fragen in einer Umfrage zur Verfügung stellen;
- Daten, die sich auf unsere Produkte und Dienstleistungen beziehen; und
- Informationen über Ihre wissenschaftliche und medizinische Tätigkeit/Zusammenarbeit mit uns, einschließlich einer möglichen zukünftigen Zusammenarbeit.
Wenn Sie uns personenbezogene Daten über andere Personen (z. B. Ihre Kollegen) zur Verfügung stellen wollen, müssen Sie den entsprechenden Personen ein Exemplar dieser Datenschutzerklärung entweder direkt oder über ihren Arbeitgeber zukommen lassen.


2. Für welche Zwecke verwenden wir Ihre personenbezogenen Daten und warum ist dies gerechtfertigt?


2.1 Rechtsgrundlage für die Datenverarbeitung


Wir werden Ihre personenbezogenen Daten nicht verarbeiten, wenn wir keine angemessene gesetzlich vorgesehene Begründung für den jeweiligen Verwendungszweck haben. Daher verarbeiten wir Ihre personenbezogenen Daten nur dann, wenn:
- wir Ihre vorherige Zustimmung eingeholt haben;
- die Verarbeitung erforderlich ist, um unsere vertraglichen Verpflichtungen Ihnen gegenüber zu erfüllen oder um auf Ihren Wunsch hin vorvertragliche Schritte zu unternehmen;
- die Verarbeitung erforderlich ist, um unseren gesetzlichen und behördlichen Verpflichtungen nachzukommen; oder
- die Verarbeitung aufgrund unserer berechtigten Interessen notwendig ist und Ihre Interessen oder Grundrechte und -freiheiten nicht unangemessen beeinträchtigt werden.

Bitte beachten Sie, dass wir bei der Verarbeitung Ihrer personenbezogenen Daten auf letzterer Grundlage immer versuchen, eine Balance zwischen unserer berechtigten Interessen und Ihrer Privatsphäre zu wahren. Beispiele für solche „berechtigten Interessen“ ist die Datenverarbeitung zu folgenden Zwecken:
• um von kostengünstigen Dienstleistungen zu profitieren (z. B. können wir bestimmte Plattformen von Lieferanten für die Datenverarbeitung nutzen);
• um unseren Kunden unsere Produkte und Dienstleistungen anzubieten;
• zur Verhinderung von Betrug oder kriminellen Aktivitäten, Missbrauch unserer Produkte oder Dienstleistungen sowie zur Sicherheit unserer IT-Systeme, -architektur und -netzwerke;
• um einen Teil unseres Unternehmens oder seiner Vermögenswerte zu veräußern oder um den vollständigen oder teilweisen Erwerb unseres Unternehmens oder unserer Vermögenswerte durch einen Dritten zu ermöglichen; und
• um die Ziele im Rahmen unserer unternehmerischen und sozialen Verantwortung zu erreichen.


2.2 Zwecke der Datenverarbeitung


Wir verarbeiten Ihre personenbezogenen Daten immer zu einem bestimmten Zweck, und zwar immer nur die Daten, die zur Erreichung des jeweiligen Zwecks erforderlich sind. Insbesondere können wir Ihre personenbezogenen Daten zu folgenden Zwecken verarbeiten:
- um unsere Beziehung mit Ihnen zu pflegen (z. B. über unsere Datenbanken);
- um Aufgaben zur Vorbereitung oder Erfüllung bestehender Verträge durchzuführen;
- um den Nachweis über Transaktionen zu führen;
- um Sie mit geeigneten und aktuellen Informationen über Krankheiten, Medikamente sowie unsere Produkte und Dienstleistungen zu versorgen;
- um die Qualität unserer Dienstleistungen zu verbessern, indem wir unser Angebot an Ihre spezifischen Bedürfnisse anpassen;
- um Ihre Anfragen zu beantworten und Ihnen effizienten Support zu bieten;
- um Ihnen Umfragen zuzuschicken (z. B., um Ihre zukünftige Zusammenarbeit mit uns zu verbessern);
- um Ihnen Mitteilungen über Produkte oder Dienstleistungen zukommen zu lassen, die wir bewerben;
- um die Kommunikation und Zusammenarbeit mit Ihnen zu verwalten (z. B. durch den Betrieb einer Datenbank, in der die Zusammenarbeit mit medizinischen Fachkräften erfasst werden, oder durch die Verwaltung der Anrufplanung und des Anrufberichtswesens);
- um unsere Aktivitäten nachzuverfolgen (z. B. Messung von Zusammenarbeit oder Verkäufen, Anzahl der Termine/Anrufe);
- um Sie zu von uns gesponserten Veranstaltungen oder Werbetreffen einzuladen (z. B. medizinische Veranstaltungen, Vorträge, Konferenzen);
- um Ihnen Zugang zu unseren Schulungsmodulen zu gewähren, damit Sie uns bestimmte Dienstleistungen anbieten können;
- zur Verwaltung unserer IT-Ressourcen, einschließlich Infrastrukturmanagement und Geschäftskontinuität;
- zur Wahrung der wirtschaftlichen Interessen des Unternehmens und zur Sicherstellung der Compliance und Berichterstattung (z. B. Einhaltung unserer Richtlinien und lokaler gesetzlicher Bestimmungen, Steuern und Abzüge, Verwaltung angeblicher Fälle von Fehlverhalten oder Betrug, Durchführung von Prüfungen und Verteidigung in Rechtsstreitigkeiten);
- zur Bewältigung von Fusionen und Übernahmen, an denen unser Unternehmen beteiligt ist;
- für Archivierung und Protokollierung;
- für Fakturierung und Rechnungslegung sowie
- andere Zwecke, die gesetzlich und behördlich vorgeschrieben sind.


3. Wer hat Zugang zu Ihren personenbezogenen Daten und an wen werden diese übermittelt?


Wir werden Ihre personenbezogenen Daten nicht an Dritte verkaufen, weitergeben oder anderweitig weitergeben, außer an den in dieser Datenschutzerklärung genannten Personenkreis.

Im Rahmen unserer Aktivitäten und zu den in dieser Datenschutzerklärung genannten Zwecken können Ihre personenbezogenen Daten von den folgenden Empfängerkategorien abgerufen oder an diese weitergegeben werden, sofern dies zur Erreichung der jeweiligen Zwecke erforderlich ist:
• unser Personal (einschließlich Personal, Abteilungen oder andere Unternehmen des Novartis-Konzerns);
• unsere unabhängigen Agenten oder Makler (falls vorhanden);
• unsere Lieferanten und Dienstleister, die uns Dienstleistungen und Produkte anbieten;
• unsere IT-Systemanbieter, Cloud-Service-Provider, Datenbank-Anbieter und Berater;
• unsere Geschäftspartner, die gemeinsam mit uns oder mit unseren Tochter- oder Beteiligungsgesellschaften Produkte oder Dienstleistungen anbieten;
• Dritte, denen wir unsere Rechte und Pflichten abtreten oder übertragen sowie
• unsere Berater und externen Rechtsanwälte im Zusammenhang mit der Veräußerung oder Übertragung eines Teils unseres Geschäfts oder seiner Vermögenswerte.

Die oben genannten Dritten sind vertraglich verpflichtet, die Vertraulichkeit und Sicherheit Ihrer personenbezogenen Daten in Übereinstimmung mit dem geltenden Recht zu wahren.

Ihre personenbezogenen Daten können auch von nationalen und/oder internationalen Behörden, Vollstreckungsbehörden, öffentlichen Stellen oder Gerichten eingesehen oder an diese übermittelt werden, wenn wir durch geltende Gesetze oder Vorschriften dazu verpflichtet sind, bzw. auf deren Anfrage hin.

Die personenbezogenen Daten, die wir über Sie erfassen, können gegebenenfalls auch außerhalb des Landes, in dem Novartis seinen Sitz hat, verarbeitet, zugänglich gemacht oder gespeichert werden, wo möglicherweise nicht dasselbe Schutzniveau für personenbezogene Daten geboten wird.

Wenn wir Ihre personenbezogenen Daten an externe Unternehmen in anderen Ländern übermitteln, stellen wir sicher, dass Ihre Daten geschützt sind, indem wir (i) das Schutzniveau anwenden, das gemäß den lokalen Datenschutzgesetzen für Novartis gilt, (ii) in Übereinstimmung mit unseren Richtlinien und Standards vorgehen und (iii) für Novartis im Europäischen Wirtschaftsraum (also den EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen, dem „EWR“), sofern nicht anders angegeben, Ihre personenbezogenen Daten nur auf der Grundlage von Standardvertragsklauseln übermitteln, die von der Europäischen Kommission genehmigt wurden. Sie können zusätzliche Informationen in Bezug auf die internationale Übermittlung personenbezogener Daten anfordern und ein Exemplar der entsprechenden Schutzmaßnahmen erhalten, indem Sie Ihre Rechte gemäß Abschnitt 6 unten ausüben.

Für die konzerninterne Übermittlung personenbezogener Daten an unsere Konzerngesellschaften (die Sie ermitteln können, indem Sie auf diesen Link klicken https://www.novartis.com/our-company/contact-us/office-locations?tid=All&name_list=DE hat der Novartis-Konzern im Bemühen um ein wirksames Datenschutzniveau bei der Übermittlung personenbezogener Daten außerhalb des EWR und der Schweiz verbindliche unternehmensinterne Vorschriften in Form eines vom europäischen Datenschutzrecht vorgegebenen Systems aus Prinzipien, Regeln und Instrumenten umgesetzt. Lesen Sie mehr über die verbindlichen unternehmensinternen Regeln von Novartis, indem Sie hier klicken: https://www.novartis.com/sites/www.novartis.com/files/bcr-individual-rights-2012.pdf.


4. Wie schützen wir Ihre personenbezogenen Daten?


Wir haben geeignete technische und organisatorische Maßnahmen ergriffen, um ein angemessenes Niveau der Sicherheit und Vertraulichkeit Ihrer personenbezogenen Daten zu gewährleisten.

Diese Maßnahmen berücksichtigen Folgendes:
(i) den Stand der Technik in der Technologie;
(ii) die Kosten ihrer Umsetzung;
(iii) die Art der Daten sowie
(iv) das Risiko bei der Verarbeitung.
Sie dienen dem Schutz vor unbeabsichtigter oder unrechtmäßiger Zerstörung oder Veränderung, vor unbeabsichtigtem Verlust, unberechtigter Offenlegung oder unberechtigtem Zugriff und vor anderen unrechtmäßigen Formen der Verarbeitung.

Außerdem halten wir uns beim Umgang mit Ihren personenbezogenen Daten an folgende Regeln:
- wir erheben und verarbeiten nur solche personenbezogenen Daten, die zur Erfüllung obiger Zwecke angemessen, relevant und nicht zu umfangreich sind, und
- wir stellen sicher, dass Ihre personenbezogenen Daten auf dem neuesten Stand sind und korrekt bleiben.
Zu letzterem Zweck können wir Sie bitten, die über Sie gespeicherten personenbezogenen Daten zu bestätigen. Sie sind auch eingeladen, uns spontan zu informieren, wenn sich Ihre persönlichen Verhältnisse ändern, damit wir Ihre personenbezogenen Daten auf dem neuesten Stand halten können.


5. Wie lange speichern wir Ihre personenbezogenen Daten?


Wir speichern Ihre personenbezogenen Daten nur so lange, wie dies zur Erfüllung des Zwecks, für den sie erhoben wurden, oder zur Erfüllung gesetzlicher, behördlicher oder interner Vorschriften erforderlich ist.

Personenbezogene Daten, die wir über Sie in unserer Datenbank speichern und die nicht auf einen bestimmten Vertrag bezogen sind, werden für 24 Monate nach Ihrer letzten Kontaktaufnahme mit uns gespeichert.

Für Verträge ist die Speicherdauer gleich der Laufzeit Ihres Vertrags (oder dem Ihres Unternehmens) mit uns, plus dem Zeitraum, bis die gesetzlichen Ansprüche aus diesem Vertrag verjähren, sofern nicht zwingende gesetzliche oder regulatorische Zeitvorgaben eine längere oder kürzere Speicherdauer erfordern. Nach Ablauf dieser Frist werden Ihre personenbezogenen Daten aus unseren aktiven Systemen entfernt.

Personenbezogene Daten, die im Rahmen einer Streitigkeit erhoben und verarbeitet werden, werden gelöscht oder archiviert, (i) sobald eine gütliche Einigung erzielt wurde, (ii) sobald eine Entscheidung in letzter Instanz getroffen wurde oder (iii) sobald die Forderung verjährt ist.


6. Welche Rechte haben Sie und wie können Sie diese ausüben?


Sie können die folgenden Rechte unter den folgenden Bedingungen und in den gesetzlich festgelegten Grenzen ausüben:
- das Recht, auf Ihre von uns verarbeiteten personenbezogenen Daten zuzugreifen und, falls Sie der Meinung sind, dass die Sie betreffenden Informationen unrichtig, veraltet oder unvollständig sind, deren Korrektur oder Aktualisierung zu verlangen;
- das Recht, die Löschung Ihrer personenbezogenen Daten oder deren Beschränkung auf bestimmte Verarbeitungskategorien zu verlangen;
- das Recht, Ihre Einwilligung jederzeit zu widerrufen, wobei die Rechtmäßigkeit der Verarbeitung vor diesem Widerruf nicht betroffen ist;
- das Recht, der Verarbeitung Ihrer personenbezogenen Daten ganz oder teilweise zu widersprechen;
- das Recht, einen für Direktmarketingzwecke genutzten Kommunikationskanal abzulehnen; und
- das Recht, die Portabilität Ihrer Daten zu verlangen, d. h. dass die von Ihnen zur Verfügung gestellten personenbezogenen Daten in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format ungehindert von uns und unter Einhaltung Ihrer Vertraulichkeitsverpflichtungen an Sie zurückgegeben oder an die Person Ihrer Wahl übermittelt werden.

Wenn Sie eine Frage haben oder die oben genannten Rechte ausüben möchten, schicken Sie eine E-Mail an datenschutz@novartis.com. Fügen Sie Ihrer Mitteilung einen Scan Ihres Personalausweises zur Identifikation bei. Selbstverständlich werden wir diese Daten ausschließlich zur Überprüfung Ihrer Identität nutzen und den Scan nach der Überprüfung nicht aufbewahren. Wenn Sie uns einen solchen Scan zuschicken, achten Sie darauf, Ihr Bild und die Ausweisnummer oder die vergleichbare nationale Registriernummer zu schwärzen.

Wenn Sie mit unserer Verarbeitung Ihrer personenbezogenen Daten unzufrieden sind, richten Sie Ihre Anfrage bitte an unseren Datenschutzbeauftragten, der Ihr Anliegen prüfen wird. Hierzu können Sie uns eine E-Mail an datenschutz@novartis.com senden oder einen Brief an Novartis Business Services GmbH, Datenschutzbeauftragter, Industriestraße 25, 83607 Holzkirchen schreiben.

In jedem Fall haben Sie das Recht, zusätzlich zu den oben genannten Rechten eine Beschwerde bei den zuständigen Datenschutzbehörden einzureichen.


7. Wie werden Sie über die Änderungen unserer Datenschutzerklärung informiert?


Zukünftige Änderungen und Ergänzungen zur Verarbeitung Ihrer personenbezogenen Daten gemäß dieser Datenschutzerklärung werden Ihnen vorab durch eine individuelle Benachrichtigung über unsere üblichen Kommunikationswege (z. B. per E-Mail oder über unsere Internetseiten) mitgeteilt.