Zum Inhalt springen
Versandkostenfrei ab 50 €  ·  Diskreter Versand
Novaleaf

Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Delphin-Apotheke, Apothekerin Maryam Eftekhar e.K.

Handelsmarke: Novaleaf

Luegallee 126

40545 Düsseldorf

Telefon: 0211 551009

E-Mail: info@delphinapo.de

Datenschutz-Anfragen: datenschutz@novaleaf.de

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

2. Datenschutzbeauftragter

Krause Sicherheitstechnik & Datenschutz GmbH

Lindenstr. 25

58089 Hagen

E-Mail: info@dk-buero.de

3. Datenerfassung auf unserer Website

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen – z. B. bei der Registrierung eines Kundenkontos, dem Einreichen eines Rezepts oder einer Bestellung. Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst (Internetbrowser, Betriebssystem, IP-Adresse, Uhrzeit des Seitenaufrufs).

Wofür nutzen wir Ihre Daten?

Wir verarbeiten Ihre Daten zur Abwicklung von Bestellungen, zur Prüfung und Bearbeitung von Rezepten, zur Erfüllung gesetzlicher Aufbewahrungspflichten gemäß Apothekenbetriebsordnung sowie zur Bereitstellung und Verbesserung der Website. Mit Ihrer Einwilligung verwenden wir zudem Analyse- und Marketing-Cookies (siehe Abschnitt 5).

4. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften (DSGVO, BDSG) sowie dieser Datenschutzerklärung.

Widerruf Ihrer Einwilligung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen – per E-Mail an datenschutz@novaleaf.de oder durch erneutes Aufrufen des Cookie-Banners. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

5. Cookies und Einwilligungs-Banner

Beim ersten Besuch zeigen wir einen Cookie-Banner mit zwei Optionen: „Nur notwendige“ oder „Alle akzeptieren“. Ihre Entscheidung wird im Browser unter dem Schlüssel novaleaf-consent gespeichert.

Technisch notwendige Cookies (immer aktiv)

Erforderlich für Betrieb der Website: Sitzungs-Cookie der Authentifizierung (NextAuth), Warenkorb-Zustand, CSRF-Schutz. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb der Website).

Analyse & Marketing (nur mit Einwilligung)

Nach Auswahl „Alle akzeptieren“ werden zusätzlich Google Analytics und Meta Pixel geladen (siehe Abschnitt 6). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

6. Eingesetzte Analyse- und Marketing-Tools

Nach erteilter Einwilligung über den Cookie-Banner setzen wir folgende Tools ein:

Google Analytics 4

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Zweck: anonymisierte Reichweitenmessung und Nutzungsanalyse zur Verbesserung der Website. Speicherdauer: bis zu 14 Monate. IP-Anonymisierung ist aktiv.

Datenübermittlung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln und des EU-US Data Privacy Framework. Datenschutzerklärung Google

Meta Pixel (Facebook/Instagram)

Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland. Zweck: Reichweiten- und Conversion-Messung von Werbeanzeigen auf Facebook/Instagram, Erstellung von Custom Audiences.

Datenübermittlung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln und des EU-US Data Privacy Framework. Datenschutzerklärung Meta

7. Auftragsverarbeiter und Drittanbieter

Für den Betrieb der Website und die Abwicklung Ihrer Bestellungen setzen wir folgende Auftragsverarbeiter ein, mit denen Auftragsverarbeitungsverträge nach Art. 28 DSGVO bestehen:

  • Vercel Inc. (USA) – Hosting der Website. Datenübermittlung in die USA auf Basis der EU-Standardvertragsklauseln und des EU-US Data Privacy Framework.
  • Supabase Inc. (EU, Frankfurt) – Datenbank, Authentifizierung, Speicherung von Kunden-, Bestell- und Rezeptdaten.
  • Mollie B.V. (Niederlande) – Abwicklung von Online-Zahlungen (iDEAL, SOFORT, PayPal, Kreditkarte).
  • Micropayment GmbH (Deutschland) – Abwicklung von Kreditkartenzahlungen (Visa, Mastercard, AmEx) inkl. 3D-Secure-Authentifizierung. Die Kartendaten werden direkt im iFrame von Micropayment erfasst und nicht an Novaleaf übermittelt (PCI-DSS SAQ A).
  • Docreza GmbH (Deutschland) – Telemedizinische Rezeptausstellung bei Nutzung des integrierten Rezeptangebots.
  • DHL Deutsche Post AG (Deutschland) – Versand von Bestellungen.
  • Urbify GmbH (Deutschland) – Same-Day-Botenlieferungen in ausgewählten Regionen.
  • HubSpot Ireland Limited (Irland) – CRM und Kundenkommunikation. Die übertragenen Daten beschränken sich auf Kontaktdaten und Kommunikationsverlauf.

Daten werden nur an die genannten Dienste übermittelt, soweit dies für die jeweilige Funktion erforderlich ist.

8. SSL- bzw. TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an „https://“ in der Adresszeile und am Schloss-Symbol. Insbesondere bei der Übermittlung von Gesundheitsdaten und Rezeptinformationen ist diese Verschlüsselung aktiv.

9. Ihre Rechte

Sie haben jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung.

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO) – soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)
  • Widerrufsrecht für Einwilligungen (Art. 7 DSGVO)

10. Verarbeitung von Gesundheitsdaten (Rezeptabwicklung)

Als Apotheke verarbeiten wir besondere Kategorien personenbezogener Daten (Gesundheitsdaten) gemäß Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit § 22 BDSG ausschließlich zum Zweck der Gesundheitsversorgung und der Erbringung apothekerlicher Leistungen.

Konkreter Prozess der Rezeptabwicklung

  1. Übermittlung: Sie laden ein Rezept als PDF/Bild über das Kunden-Portal hoch oder erhalten ein E-Rezept aus unserer Telemedizin-Integration (Docreza). Die Übertragung ist TLS-verschlüsselt.
  2. Speicherung: Rezepte werden in unserer EU-gehosteten Supabase-Datenbank (Frankfurt) gespeichert. Rezeptbilder liegen in einem nicht-öffentlichen Storage-Bucket mit Zugriffsbegrenzung.
  3. Prüfung: Ein/e approbierte/r Apotheker/in prüft das Rezept manuell auf Plausibilität, Gültigkeit und korrekte Verschreibung gemäß BtMG/BtMVV.
  4. Abgabe und Versand: Bei Freigabe wird die Bestellung kommissioniert. Versandinformationen (Name, Adresse) werden an DHL bzw. Urbify übermittelt – ohne Diagnose oder Wirkstoffangabe.
  5. Archivierung: BtM-Rezepte werden gemäß § 22 Abs. 2 BtMVV mindestens 3 Jahre aufbewahrt, sonstige Geschäftsunterlagen 6–10 Jahre gemäß HGB/AO. Nach Ablauf werden die Daten gelöscht oder anonymisiert.

11. Zugriff auf Ihre Gesundheitsdaten

Innerhalb der Apotheke ist der inhaltliche Zugriff auf Rezept- und Gesundheitsdaten auf folgende Personen beschränkt:

  • Approbierte Apotheker/innen und pharmazeutisch-technische Assistenten/innen (PTA) im Rahmen der Bestell- und Rezeptbearbeitung
  • Die Inhaberin der Apotheke (gesetzliche Aufsichtspflicht)

Alle genannten Personen unterliegen der berufsrechtlichen Verschwiegenheitspflicht nach § 203 StGB.

Technischer Hinweis: Unsere IT-Dienstleister (insbesondere Hosting bei Vercel und Datenbankbetrieb bei Supabase) haben zur Erfüllung ihrer technischen Pflichten (Betrieb, Backup, Wartung) grundsätzlich technisch die Möglichkeit eines Zugriffs auf gespeicherte Daten. Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO inklusive Verschwiegenheits- und Zweckbindungsverpflichtung; tatsächliche Einsichtnahme erfolgt ausschließlich auf konkrete Anweisung und ist auf das technisch Notwendige beschränkt.

12. Aufbewahrungsfristen

Wir speichern personenbezogene Daten nur so lange, wie es für die Erfüllung des jeweiligen Zwecks erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben – insbesondere Apothekenbetriebsordnung (ApBetrO), BtMVV (3 Jahre für BtM-Rezepte), HGB und AO (6–10 Jahre für Geschäftsunterlagen).

13. Beschwerderecht bei der Aufsichtsbehörde

Sofern Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie gemäß Art. 77 DSGVO das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestr. 2–4, 40213 Düsseldorf.

Hinweis: Diese Datenschutzerklärung wird regelmäßig überprüft und bei Bedarf aktualisiert. Bei Fragen zum Datenschutz wenden Sie sich bitte an datenschutz@novaleaf.de oder direkt an unseren externen Datenschutzbeauftragten (siehe Abschnitt 2).