Informationen des Pharmapools zum Datenschutz

Mit diesen Hinweisen informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten durch den Pharmapool und die Ihnen nach dem Datenschutzrecht zustehenden Rechte.

Der Pharmapool ist ein Zusammenschluss von Erst- und Rückversicherungsunternehmen (nachfolgend jeweils als „Mitglied“ und gemeinsam als die „Mitglieder“ bezeichnet; eine Liste der Mitglieder finden Sie hier), wobei die Münchener Rückversicherungs-Gesellschaft (Munich Re) als Geschäftsführendes Mitglied die zentrale Anlaufstelle des Pharmapools für Datenschutzanfragen ist.

Pharmazeutische Unternehmer sind nach § 94 Arzneimittelgesetz (AMG) verpflichtet, eine Deckungsvorsorge im Hinblick auf potenzielle Personenschäden sicherzustellen, welche durch von ihnen in den Verkehr gebrachte Arzneimittel verursacht werden könnten. Dieser Pflicht kommen sie regelmäßig durch den Abschluss einer Haftpflichtversicherung bei einem Erstversicherer nach. Der Zweck des Pharmapools besteht in erster Linie darin, die Rückversicherung dieser Haftpflichtversicherungen gegenüber den Erstversicherern zu übernehmen.

Wer ist für die Datenverarbeitung verantwortlich und was haben die Mitglieder hinsichtlich der Erfüllung datenschutzrechtlicher Pflichten vereinbart?

Die Mitglieder des Pharmapools haben gemeinsam die Zwecke und Mittel der Verarbeitung festgelegt. Sie sind daher im Hinblick auf die nachfolgend beschriebene Datenverarbeitung nach Art. 26 EU‑Datenschutz-Grundverordnung (DSGVO) gemeinsam für den Schutz Ihrer personenbezogenen Daten verantwortlich. Hierbei haben die Mitglieder bestimmt, dass Munich Re als das Geschäftsführende Mitglied grundsätzlich zentral die erforderlichen Daten für den Pharmapool verarbeitet. Dies betrifft auch die nachfolgend beschriebene Verarbeitung Ihrer personenbezogenen Daten.

Im Rahmen ihrer gemeinsamen datenschutzrechtlichen Verantwortlichkeit haben die Mitglieder auch vereinbart, dass Munich Re im wesentlichen die Pflichten nach der DSGVO für den Pharmapool erfüllt und Ihnen die erforderlichen Datenschutzinformationen insbesondere hiermit unentgeltlich zugänglich macht.

Die Kontaktinformationen des Geschäftsführenden Mitglieds des Pharmapools sind:

Münchener Rückversicherungs-Gesellschaft
Aktiengesellschaft in München
Königinstr. 107
80802 München

Telefon: +49 (89) 38 91-0
Telefax: +49 (89) 39 90 56
E-Mail: contact@munichre.com

Bei Fragen zu diesen Hinweisen können Sie sich auch an den Datenschutzbeauftragten von Munich Re wenden. Er ist per Post unter der o.g. Adresse mit dem Zusatz Data Protection Officer oder per E‑Mail an datenschutz@munichre.com zu erreichen.

Welche Daten werden für welche Zwecke und auf Basis von welchen Rechtsgrundlagen verarbeitet? Woher stammen die Daten und an wen können Daten weitergegeben werden?

Wir verarbeiten Ihre personenbezogenen Daten unter Beachtung der EU-Datenschutz-Grundverord-nung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie aller weiteren nationalen relevanten Rechtsvorschriften.

Im Einzelnen kann die Verarbeitung von personenbezogenen Daten des Pharmapools insbesondere Folgendes umfassen und zu folgenden Zwecken sowie auf Basis der folgenden berechtigten Interessen erfolgen:

  • Abfrage von (potenziellen) Schadensfällen bei den Erstversicherern sowie Verarbeitung inklusive statistischen Auswertungen der gemeldeten Schadensfälle insbesondere zum Zweck des Risikomanagements;
  • (i) Leistungs- und Risikoprüfung (im Einzelfall), (ii) Unterstützung der Erstversicherer bei der Risiko- und Schadenbeurteilung sowie bei der Bewertung von Verfahrensabläufen, (iii) Bestimmung des Umfangs der Rückversicherung einschließlich der Prüfung, ob und in welcher Höhe die Mitglieder an ein und demselben Risiko beteiligt sind (Kumulkontrolle) sowie zu Abrechnungszwecken durch Erhalt von Listen über den Bestand der unter die Rückversicherung fallenden Versicherungsverträge und (iv) Kontrolle der Risiko- und Leistungsprüfung durch die Erstversicherer (zur Prüfung der Leistungspflicht der Mitglieder gegenüber den Erstversicherern).
  • Dies kann insbesondere (i) eine Korrespondenz mit Erstversicherern inklusive der Erhebung und Speicherung von deren Dokumentationen zu Schäden (wie z.B. Expertengutachten), (ii) eine Hinzuziehung von Spezialisten aus dem Konzern des Geschäftsführenden Mitglieds, ggf. der anderen Mitglieder sowie von externen Experten (wie zum Beispiel Rechtsanwälten oder Sachverständigen) inklusive der Erhebung und Speicherung ihrer Arbeitsprodukte und (iii) von öffentlich über den Schadensfall verfügbaren (personenbezogenen) Daten sowie (iv) eine Weitergabe von (eigenen) Informationen und Arbeitsprodukten an die Erstversicherer und die weiteren vorgenannten Personen beinhalten;
  • die Verarbeitung der erhobenen Daten, um die Abschreibeversicherungs-Summen pro gleichem Arzneimittel bzw. die Ausschöpfung der in der jeweils gültigen Fassung des § 88 AMG genannten Haftungshöchstbeträge zu kontrollieren und zu erfassen;
  • die Verarbeitung von Daten zur Erfüllung allgemeiner Verwaltungsaufgaben des Pharmapools (wie zum Beispiel zur Berechnung und Abrechnung der Ansprüche der Erstversicherer, ehemaliger sowie aktueller Mitglieder und Retrozessionäre (d.h. weitere Rückversicherer) sowie Makler; dem Aushandeln und der Abwicklung von Verträgen; dem generellen Informationsaustausch mit Ertsversicherern, Retrozessionären, Maklern und pharmazeutischen Unternehmen oder dem Betreiben der IT-Infrastruktur);
  • die Offenlegung von (personenbezogenen) Daten an ehemalige und aktuelle Mitglieder sowie Retrozessionäre in rechtlich gebotenen Fällen, um es ihnen zu ermöglichen, eine eigene (Kontrolle der) Leistungs- und Risikoprüfung (der Erstversicherer und/oder des Geschäftsführenden Mitglieds) von (potenziellen) Schadensfällen durchzuführen;
  • die Verarbeitung der erhobenen Daten, um die Mitglieder und den Vorstand des Pharmapools (welcher sich aus fünf Mitgliedern inklusive des Geschäftsführenden Mitglieds zusammensetzt) über den Pharmapool betreffende Umstände zu informieren (insbesondere durch Erstellung des Rechenschaftsberichts), es ihnen zu ermöglichen, ihre Rechte und Aufgaben wahrzunehmen, die Mitgliederversammlungen und Vorstandssitzungen sowie deren Beschlussfassungen vorzubereiten und durchzuführen, den Vorsitz der Mitgliederversammlung zu führen sowie Beschlüsse und beschlossene Maßnahmen des Vorstands und/oder der Mitgliederversammlung umzusetzen;
  • die Verarbeitung der erhobenen Daten (i) zur Geltendmachung, Ausübung oder Verteidigung mit dem Pharmapool im Zusammenhang stehenden Rechtsansprüchen sowie die Beantwortung von behördlichen Anfragen, (ii) zur Gewährleistung der IT-Sicherheit und des IT-Betriebs und (iii) zur Erfüllung gesetzlicher Verpflichtungen wie zum Beispiel aufsichtsrechtliche Vorgaben, handels- und steuerrechtliche Aufbewahrungspflichten oder den Abgleich Ihrer Daten mit sog. Sanktionslisten um Rechtsvorschriften zur Terrorismusbekämpfung (zum Beispiel EU-Verordnung 2580/2001) zu genügen; sowie
  • die Verarbeitung der erhobenen Daten zur Erstellung von Statistiken (zum Beispiel für die Entwicklung der Tarife oder zur Erfüllung aufsichtsrechtlicher Vorgaben) und ggf. deren Offenlegung gegenüber sowie diesbezügliche Besprechung bzw. Korrespondenz mit insbesondere ehemaligen und aktuellen Mitgliedern, Retrozessionären und Maklern sowie pharmazeutischen Unternehmen.

Im Rahmen der vorstehend beschriebenen gemeinsamen Verantwortlichkeit können insbesondere die folgenden Datenarten und Betroffenenkategorien auf Basis folgender Rechtsgrundlagen verarbeitet werden:

  1. Name des Anspruchsstellers, des Geschädigten sowie des Begünstigten und ggf. deren Kontaktdaten (Adresse, Telefonnummern, E-Mail-Adresse); Versicherungsschein-Nr., die Schaden-Nr. des Erstversicherers und des Pharmapools, Schadenzeitpunkt, Schließung des Schadens, angeblich schadensursächliches Arzneimittel, Art und Auswirkung der angeblichen Schädigung, Höhe und Art der geltend gemachten Ansprüche, bisherige Zahlungen, aktuelle Reserve, bisher durchgeführte und/oder geplante Regulierung oder Abwehr der Ansprüche; ggf. bekannte Auslandsschäden aus diesem Arzneimittel; sonstige Bemerkungen zu dem Schadensfall, welche ggf. auch weitere Informationen zu dem Anspruchssteller bzw. Geschädigten wie etwa dessen Krankheitsbild und -symptome, etwaige Vorerkrankungen, Umstände des/r Schadenseintritts/-meldung oder Beschreibungen der Kommunikation zwischen Erstversicherer und dem Anspruchsteller enthalten können.

    Allerdings erhalten wir insoweit teilweise nur anonymisierte Daten. Soweit anonyme Daten für die vorgenannten Zwecke nicht ausreichend sind, erhalten wir die Daten in pseudonymisierter Form oder ggf. auch mit Nennung Ihres Namens.

    Diese Daten würden wir in der Regel von Ihnen, dem Anspruchsteller oder dem Erstversicherer erhalten. In Ausnahmefällen könnten wir derartige Daten auch aus öffentlichen Quellen oder im Zuge eines Gerichtsverfahrens erhalten.

    Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist in der Regel Art. 6 Absatz 1 f) DSGVO, wobei die Verarbeitung hierbei zur Wahrung der vorstehend genannten berechtigten Interessen von uns oder von Dritten erfolgt.

    Soweit besondere Kategorien personenbezogener Daten (z.B. Ihre Gesundheitsdaten) erforderlich sind, holt der Erstversicherer regelmäßig Ihre Einwilligung nach Art. 9 Abs. 2 a) i. V. m. Art. 7 DSGVO auch zugunsten (der Mitglieder) des Pharmapools ein, sofern eine Weitergabe der Daten an und die Verarbeitung durch den Pharmapool nicht aufgrund anwendbarer Regelungen ohne eine solche Einwilligung zulässig ist. Davon abgesehen würden wir diese Datenkategorien in erster Linie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen auf Basis von Art. 9 Abs. 2 f) DSGVO verarbeiten. Erstellen wir Statistiken mit diesen Datenkategorien, erfolgt dies auf Grundlage von Art. 9 Abs. 2 j) DSGVO i. V. m. § 27 BDSG oder Art. 5 Abs. 1 b) i.V.m. Art. 6 Abs. 4 DSGVO.

  2. Namen, Kontaktdaten (berufliche Adresse, Telefonnummern, E-Mail-Adresse) und Funktionsbezeichnungen von Mitarbeitern der Erstversicherer, der aktuellen oder ehemaligen Mitglieder des Pharmapools inklusive des Geschäftsführenden Mitglieds, der Retrozessionäre, der Makler, der versicherten pharmazeutischen Unternehmen und der Krankenversicherung der Geschädigten sowie die Inhalte der schriftlichen Korrespondenz und von den Arbeitsprodukten der vorgenannten Personen.

    Diese Daten würden wir in der Regel von Ihnen, Ihrem Arbeitgeber oder den in den vorstehenden Absätzen genannten Personen oder Unternehmen erhalten.

    Wir verarbeiten Ihre personenbezogenen Daten (vor allem Ihre beruflichen Kontaktdaten), insbesondere um mit Ihnen in Verbindung zu treten und zur Kommunikation mit Ihnen bzw. Ihrem Unternehmen.

    Rechtsgrundlage für die Verarbeitung ist § 26 BDSG bzw. Art. 6 Abs. 1 b) DSGVO, soweit die Verarbeitung auf Basis der Durchführung Ihres Beschäftigungsverhältnisses erfolgt.

    Im Rahmen der weiteren, vorstehend beschriebenen Verarbeitungstätigkeiten würden wir Ihre Daten in der Regel zur Wahrung der dort genannten berechtigten Interessen von uns oder von Dritten verarbeiten (Art. 6 Abs. 1 f) DSGVO).

  3. Namen, Kontaktdaten (berufliche Adresse, Telefonnummern, E-Mail-Adresse) und Funktionsbezeichnungen von ggf. durch Erstversicherer oder den Pharmapool bzw. dessen Mitglieder hinzugezogenen externen Experten (wie Anwälten, Steuerberatern, Wirtschaftsprüfern oder Sachverständigen) und (sonstigen) Dienstleistern einschließlich derer Mitarbeiter sowie die Inhalte der schriftlichen Korrespondenz und ihrer Arbeitsprodukten (wie etwa Gutachten).

    Diese Daten würden wir in der Regel von Ihnen, Ihrem Arbeitgeber oder den in den vorstehenden Absätzen genannten Personen oder Unternehmen erhalten.

  4. Wir verarbeiten Ihre personenbezogenen Daten (vor allem Ihre beruflichen Kontaktdaten), insbesondere um mit Ihnen in Verbindung zu treten und zur Kommunikation mit Ihnen bzw. Ihrem Unternehmen.

    Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 b) DSGVO, soweit die Verarbeitung im Zuge der Inanspruchnahme von (Ihren) Dienstleistungen erfolgt.

    Im Rahmen der weiteren, vorstehend beschriebenen Verarbeitungstätigkeiten würden wir Ihre Daten in der Regel zur Wahrung der dort genannten berechtigten Interessen von uns oder von Dritten verarbeiten (Art. 6 Abs. 1 f) DSGVO).

Zusätzlich verarbeiten wir Ihre personenbezogenen Daten zur Erfüllung gesetzlicher Verpflichtungen wie insbesondere aufsichtsrechtliche Vorgaben, handels- und steuerrechtliche Aufbewahrungspflichten auf Basis von Art. 6 Abs. 1 c) DSGVO in Verbindung mit der jeweiligen gesetzlichen Regelungen.

Soweit wir personenbezogenen Daten direkt von Ihnen erhalten, ist deren Bereitstellung in der Regel erforderlich für die Zusammenarbeit bzw. die Erfüllung unserer vorgannnten Aufgaben.

An welche weiteren Kategorien von Empfängern geben wir Ihre Daten ggf. weiter?

Wir nutzen zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten zum Teil IT‑Dienstleister.

Darüber hinaus können wir Ihre personenbezogenen Daten in Einzelfällen an weitere Empfänger übermitteln, wie etwa an Behörden zur Erfüllung gesetzlicher Mitteilungspflichten oder Gericht im Zuge von Rechtsstreitigkeiten.

Wie lange speichern wir Ihre Daten?

Wir löschen Ihre personenbezogenen Daten sobald sie für die oben genannten Zwecke nicht mehr erforderlich sind. Dabei kann es vorkommen, dass personenbezogene Daten für die Zeit aufbewahrt werden, in der Ansprüche gegen den Pharmapool geltend gemacht werden können (gesetzliche Verjährungsfrist von drei oder bis zu dreißig Jahren). Zudem speichern wir Ihre personenbezogenen Daten, soweit wir dazu gesetzlich verpflichtet sind. Entsprechende Nachweis- und Aufbewahrungspflichten ergeben sich unter anderem aus den nationalen relevanten Rechtsvorschriften (z.B. in Deutschland dem Handelsgesetzbuch, der Abgabenordnung und dem Geldwäschegesetz. Die Speicherfristen betragen danach bis zu zehn Jahren.).

Wie übermitteln wir Daten ins außereuropäische Ausland?

Sollten wir personenbezogene Daten an Enpfänger außerhalb des Europäischen Wirtschaftsraums (EWR) weitergeben, erfolgt die Weitergabe regelmäßig nur, soweit dem Drittland durch die EU-Kommission ein angemessenes Datenschutzniveau bestätigt wurde oder andere angemessene Datenschutzgarantien (z. B. verbindliche unternehmensinterne Datenschutzvorschriften oder Vereinbarung der Standardvertragsklauseln der EU-Kommission) vorhanden sind. In seltenen Ausnahmefällen kann zudem ein angemessenes Datenschutzniveau entbehrlich sein, wenn die DSGVO insoweit eine Ausnahmeregelung enthält.

Welche Datenschutzrechte haben Sie?

Sie haben neben dem Widerspruchsrecht ein Recht auf Auskunft und unter bestimmten Voraussetzungen auf Berichtigung oder auf Löschung Ihrer Daten sowie ein Recht auf Einschränkung der Verarbeitung. Von Ihnen bereit gestellte Daten stellen wir auf Wunsch in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung. Eine von Ihnen erteilte Einwilligung können Sie jederzeit widerrufen, die Rechtmäßigkeit der auf Grundlage der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.

Widerspruchsrecht
Verarbeiten wir Ihre Daten zur Wahrung berechtigter Interessen nach Art. 6 Abs. 1 f) DSGVO, können Sie dieser Verarbeitung widersprechen, wenn sich aus Ihrer besonderen Situation Gründe ergeben, die gegen die Datenverarbeitung sprechen. Wir verarbeiten Ihre personenbezogenen Daten dann nicht mehr, es sei denn, es bestehen zwingende schutzwürdige Gründe für die Verarbeitung, die Ihren Interessen, Rechten und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Zur Wahrnehmung dieser Rechte können Sie sich an Munich Re als die zentrale Anlaufstelle des Pharmapools für die Wahrnehmung von Datenschutzrechten unter den oben genannten Kontaktdaten wenden.

Möchten Sie sich über den Umgang mit Ihren Daten beschweren?

Sie haben die Möglichkeit, sich an den oben genannten Datenschutzbeauftragten von Munich Re oder an eine Datenschutzaufsichtsbehörde zu wenden. Die für Munich Re als das Geschäftsführende Mitglied des Pharmapools zuständige Datenschutzaufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht
Promenade 27
91522 Ansbach

Telefon: +49 (0) 981 53 1300
E-Mail: poststelle@lda.bayern.de oder
https://www.lda.bayern.de/de/kontakt.html

Stand dieser Information: Januar 2021