From 140d271b280c495e34491e3c37cd76e7e6a4435e Mon Sep 17 00:00:00 2001 From: TekH Date: Thu, 20 Nov 2025 16:46:31 +0100 Subject: [PATCH] refactor(privacy-policy): remove 6. Hinweisgebersystem --- .../wwwroot/privacy-policy.de-DE.html | 132 ------------------ .../wwwroot/privacy-policy.en-US.html | 127 ----------------- 2 files changed, 259 deletions(-) diff --git a/EnvelopeGenerator.Web/wwwroot/privacy-policy.de-DE.html b/EnvelopeGenerator.Web/wwwroot/privacy-policy.de-DE.html index 4de3b264..230aebdb 100644 --- a/EnvelopeGenerator.Web/wwwroot/privacy-policy.de-DE.html +++ b/EnvelopeGenerator.Web/wwwroot/privacy-policy.de-DE.html @@ -162,138 +162,6 @@ Laender-node.html

- -
-

6. Hinweisgebersystem

-

- Die Einhaltung gesetzlicher Vorschriften und interner Richtlinien, einschließlich unseres Verhaltenskodexes - sowie des Verhaltenskodexes für Geschäftspartner, hat für uns (die verarbeitende Stelle) oberste Priorität. - Dies gilt sowohl für unseren eigenen Geschäftsbereich als auch für unsere Lieferketten. -

-

- Es ist uns wichtig, Risiken frühzeitig zu identifizieren und Verstöße zu vermeiden. Wir möchten rechtzeitig - geeignete Maßnahmen ergreifen, um mögliche Schäden für Betroffene, Kunden, Mitarbeiter, Geschäftspartner und - unsere Unternehmensgruppe zu verhindern. -

-

- Aus diesem Grund haben wir ein unabhängiges, neutrales und vertrauliches Hinweisgebersystem eingerichtet, - das es internen und externen Hinweisgebenden ermöglicht, auch anonym Meldungen abzugeben. Durch unser - transparentes Beschwerdeverfahren bieten wir insbesondere den Betroffenen, den Hinweisgebenden und den - Mitarbeitenden, die an der Aufklärung der gemeldeten Vorfälle mitwirken, den größtmöglichen Schutz. -

-

- Im Rahmen dieses Verfahrens können alle tatsächlichen und vermeintlichen Verstöße gegen gesetzliche - Vorgaben, unseren Verhaltenskodex sowie den Verhaltenskodex für Geschäftspartner gemeldet werden. Auch - menschenrechtliche oder umweltbezogene Risiken sowie Pflichtverletzungen entlang der gesamten Lieferkette - unserer Konzernunternehmen und in unserem eigenen Geschäftsbereich können Gegenstand einer Meldung sein. -

-

- Einheitliche und zügige Prozesse sowie eine vertrauliche und professionelle Bearbeitung der Hinweise durch - interne Experten bilden die Grundlage dieses fairen Verfahrens. Benachteiligungen oder Bestrafungen von - Hinweisgebenden sowie von Personen, die mit der Bearbeitung von Beschwerden und Hinweisen betraut sind, - werden nicht toleriert. -

- -

6.1 Zweck und Rechtsgrundlage der Datenverarbeitung

-

- Der Zweck der Verarbeitung personenbezogener Daten besteht in der Verwaltung des Hinweisgebersystems, das - auch die Aufdeckung schwerwiegender Verstöße oder potenzieller Verstöße gegen geltendes Recht sowie anderer - ernsthafter Angelegenheiten umfasst. Die Verarbeitung dieser Daten ist notwendig, um rechtlichen - Verpflichtungen nachzukommen, die uns auferlegt sind, gemäß Art. 6 Abs. 1 S. 1 lit. c) DSGVO. Dies - bezieht - sich auf das Gesetz, das den Schutz von Hinweisgebern verbessert (Hinweisgeberschutzgesetz - HinSchG). -

-

- Zudem dient die Verarbeitung dem berechtigten Interesse, schwerwiegende Verstöße oder mögliche Verstöße - gegen geltendes Recht sowie andere ernsthafte Angelegenheiten aufzudecken, gemäß Art. 6 Abs. 1 S. 1 lit. - f) - DSGVO. -

-

- Im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten ist diese auf Grundlage des - Hinweisgeberschutzgesetzes aus Gründen eines erheblichen öffentlichen Interesses erforderlich, gemäß Art. 9 - Abs. 2 lit. g) DSGVO. Die Verarbeitung dieser besonderen Daten erfolgt gemäß Art. 9 Abs. 2 lit. f) - DSGVO in - Verbindung mit Art. 6 Abs. 1 S. 1 lit. f) DSGVO, um Rechtsansprüche festzustellen, auszuüben oder zu - verteidigen. -

-

- Betroffene Personen sind diejenigen, über die eine Meldung gemacht wird. Dies können Mitarbeiter, - Vertragspartner oder andere Personen sein, die in beruflicher Verbindung zu der verarbeitenden Stelle - stehen. Darüber hinaus verarbeiten wir personenbezogene Daten der hinweisgebenden Person, wenn diese ihre - Kontaktinformationen oder andere identifizierende Informationen übermittelt. Hinweisgebende Personen sollten - sich daher bewusst sein, dass wir im Rahmen der Bearbeitung des gemeldeten Falls personenbezogene Daten über - sie verarbeiten können. -

- -

6.2 Kategorien personenbezogener Daten

-

- Die Meldung kann anonym erfolgen, wodurch keine personenbezogenen Daten der meldenden Person verarbeitet - werden. Die Art der personenbezogenen Daten, die verarbeitet werden, hängt von den übermittelten - Informationen ab. Wenn die meldende Person personenbezogene Daten über eine andere Person, einschließlich - der gemeldeten Person oder Personen, angibt, werden auch diese Daten verarbeitet. Folgende Kategorien von - personenbezogenen Daten können verarbeitet werden: -

- -

- Wir bitten die meldende Person, ausschließlich Informationen zu übermitteln, die für den jeweiligen Fall von - Bedeutung sind, und insbesondere keine sensiblen Informationen zu melden, es sei denn, diese sind für die - Bearbeitung des gemeldeten Falls von zentraler Relevanz. -

- -

6.3 Verpflichtung zur Bereitstellung personenbezogener Daten

-

- Es ist nicht erforderlich, die im Abschnitt 6.2 genannten personenbezogenen Daten bereitzustellen, da auch - eine anonyme Meldung möglich ist. Bitte beachte jedoch, dass wir möglicherweise nicht in der Lage sind, die - Meldung zu bearbeiten, wenn keine personenbezogenen Daten angegeben werden. -

- -

6.4 Empfänger personenbezogener Daten

-

Die Meldungen werden bei der verarbeitenden Stelle im System als Vorgänge erfasst. Nach einer Bewertung - werden diese Vorgänge intern an die zuständigen Fachabteilungen weitergeleitet, und gegebenenfalls werden - Folgemaßnahmen eingeleitet. Sollte eine Meldung eine der Konzerngesellschaften der verarbeitenden Stelle - betreffen, werden die relevanten Vorgänge an die zuständigen Personen der jeweiligen Gesellschaft - weitergegeben, die dann intern eine Bewertung vornehmen und gegebenenfalls Maßnahmen ergreifen. Bei der - Weitergabe personenbezogener Daten wird der Grundsatz der Datenminimierung beachtet, was bedeutet, dass nur - die unbedingt notwendigen Daten zur Bearbeitung der Meldung weitergegeben werden.

-

Personenbezogene Daten der hinweisgebenden Person werden an Behörden weitergeleitet, wenn dies erforderlich - ist, um schwerwiegende Verstöße oder Angelegenheiten zu behandeln oder das Recht auf Verteidigung der - betroffenen Personen zu sichern. In anderen Fällen erfolgt die Weitergabe personenbezogener Daten der - hinweisgebenden Person nur mit deren Zustimmung. Daten über andere Personen als die hinweisgebende Person - werden nur im Rahmen der Nachverfolgung eines gemeldeten Falls oder zur Bearbeitung schwerwiegender Verstöße - oder Angelegenheiten weitergegeben.

-

Die Meldeplattform wird von dem Auftragsverarbeiter WhistleB Whistleblowing Centre AB mit Sitz in Stockholm, - Schweden, bereitgestellt. Weitere Informationen zu WhistleB und den entsprechenden Nutzungsbedingungen sind - dort einsehbar. - whistleb_terms_of_use.pdf -

- -

6.5 Speicherdauer

-

Personenbezogene Daten, die sich als nicht relevant für die Bearbeitung eines gemeldeten Falls herausstellen, - sowie Meldungen, die wir als unbegründet ansehen, werden umgehend als "nicht relevant" eingestuft. In diesem - Fall wird der Personenbezug entfernt, es sei denn, es handelt sich bereits um eine anonyme Meldung. Um die - gesetzlich vorgeschriebene Dokumentationspflicht und die Löschfristen gemäß § 11 Abs. 1 und Abs. 5 HinSchG - zu erfüllen, wird die Meldung zunächst ohne Personenbezug archiviert, jedoch noch nicht gelöscht. - Archivierte Fälle dienen ausschließlich der Erfüllung dieser Dokumentationspflichten und können danach nicht - mehr zur Bearbeitung herangezogen werden.

-

Die Meldungen und personenbezogenen Daten, die im Zuge der Bearbeitung einer Meldung erfasst werden, bilden - die Grundlage für die weitere Bearbeitung und werden so schnell wie möglich anonymisiert. Sollte es - notwendig sein, Folgemaßnahmen gemäß §§ 3 Abs. 8 und 18 HinSchG zu ergreifen, kann es jedoch erforderlich - sein, von der Anonymisierung abzuweichen, sei es aufgrund behördlicher Anordnungen oder zur Wahrung von - Rechtsansprüchen. In solchen Fällen wird in der Regel eine Pseudonymisierung angestrebt, es sei denn, es - gibt andere Vorgaben, wie etwa eine richterliche Anordnung. Die Dokumentation wird drei Jahre nach Abschluss - des Verfahrens gelöscht. Sie kann jedoch länger aufbewahrt werden, um den Anforderungen dieses Gesetzes oder - anderer Rechtsvorschriften gerecht zu werden, solange dies notwendig und angemessen ist.

-
\ No newline at end of file diff --git a/EnvelopeGenerator.Web/wwwroot/privacy-policy.en-US.html b/EnvelopeGenerator.Web/wwwroot/privacy-policy.en-US.html index 794778f9..8117bfe5 100644 --- a/EnvelopeGenerator.Web/wwwroot/privacy-policy.en-US.html +++ b/EnvelopeGenerator.Web/wwwroot/privacy-policy.en-US.html @@ -153,133 +153,6 @@ Laender-node.html

- -
-

6. Whistleblower System

-

- Compliance with legal regulations and internal guidelines, including our Code of Conduct and the Code of - Conduct for Business Partners, is our (the data processing entity's) top priority. This applies both to our - own business operations and to our supply chains. -

-

- It is important to us to identify risks early and avoid violations. We aim to take appropriate measures in a - timely manner to prevent potential harm to affected persons, customers, employees, business partners, and - our corporate group. -

-

- For this reason, we have established an independent, neutral, and confidential whistleblower system that - enables internal and external whistleblowers to submit reports, including anonymously. Through our - transparent complaint procedure, we offer the greatest possible protection, especially to the affected - persons, whistleblowers, and employees involved in investigating reported incidents. -

-

- Under this procedure, any actual or alleged violations of legal requirements, our Code of Conduct, or the - Code of Conduct for Business Partners may be reported. Human rights or environmental risks, as well as - breaches of duty along the entire supply chain of our group companies and in our own business operations, - can also be the subject of a report. -

-

- Standardized and swift processes, as well as confidential and professional handling of the reports by - internal experts, form the basis of this fair procedure. Discrimination or punishment of whistleblowers and - individuals responsible for handling complaints and reports will not be tolerated. -

- -

6.1 Purpose and Legal Basis of Data Processing

-

- The purpose of processing personal data is to manage the whistleblower system, which also includes - identifying serious violations or potential violations of applicable law and other serious matters. The - processing of this data is necessary to comply with legal obligations imposed on us, in accordance with Art. - 6 para. 1 sentence 1 lit. c) GDPR. This refers to the law that enhances the protection of whistleblowers - (Whistleblower Protection Act - HinSchG). -

-

- Additionally, the processing serves the legitimate interest of identifying serious violations or potential - violations of applicable law and other serious matters, in accordance with Art. 6 para. 1 sentence 1 lit. f) - GDPR. -

-

- Regarding the processing of special categories of personal data, this is necessary based on the - Whistleblower Protection Act for reasons of significant public interest, in accordance with Art. 9 para. 2 - lit. g) GDPR. The processing of such special data is carried out in accordance with Art. 9 para. 2 lit. f) - GDPR in conjunction with Art. 6 para. 1 sentence 1 lit. f) GDPR to establish, exercise, or defend legal - claims. -

-

- Affected persons are those about whom a report is made. These can be employees, contractors, or other - individuals in a business relationship with the data processing entity. Furthermore, we process personal - data of the whistleblower if they provide their contact details or other identifying information. - Whistleblowers should be aware that we may process personal data about them during the handling of the - reported case. -

- -

6.2 Categories of Personal Data

-

- Reports can be made anonymously, in which case no personal data of the reporting person will be processed. - The type of personal data processed depends on the information provided. If the reporting person provides - personal data about another individual, including the reported individual or persons, that data will also be - processed. The following categories of personal data may be processed: -

- -

- We ask the reporting person to only provide information relevant to the case and to avoid reporting - sensitive information unless it is essential for handling the reported case. -

- -

6.3 Obligation to Provide Personal Data

-

- It is not mandatory to provide the personal data mentioned in section 6.2, as anonymous reporting is also - possible. However, please note that we may be unable to process the report if no personal data is provided. -

- -

6.4 Recipients of Personal Data

-

- Reports are logged in the system of the data processing entity as cases. After evaluation, these cases are - forwarded internally to the relevant departments, and follow-up actions may be initiated. If a report - involves one of the group companies of the data processing entity, the relevant cases are forwarded to the - responsible individuals at the respective company, who will then conduct an internal evaluation and take - action if necessary. When transferring personal data, the principle of data minimization is observed, - meaning only the data strictly necessary for handling the report is shared. -

-

- Personal data of the whistleblower will be shared with authorities when necessary to address serious - violations or issues, or to safeguard the right to defense of the affected persons. In other cases, personal - data of the whistleblower will only be shared with their consent. Data about persons other than the - whistleblower will only be shared in connection with the investigation of a reported case or to address - serious violations or issues. -

-

- The reporting platform is provided by the processor WhistleB Whistleblowing Centre AB, based in Stockholm, - Sweden. Further information about WhistleB and the corresponding terms of use can be found at: - whistleb_terms_of_use.pdf -

- -

6.5 Retention Period

-

- Personal data that is found to be irrelevant to the processing of a reported case, as well as reports deemed - unfounded, will be immediately classified as "not relevant." In this case, the personal reference is removed - unless the report was anonymous from the outset. To meet the legally required documentation obligations and - deletion periods pursuant to § 11 para. 1 and para. 5 HinSchG, the report is initially archived without - personal reference but is not yet deleted. Archived cases serve solely to fulfill these documentation - obligations and can no longer be used for further processing. -

-

- Reports and personal data collected during the processing of a report form the basis for further handling - and are anonymized as soon as possible. However, if it is necessary to take follow-up actions pursuant to §§ - 3 para. 8 and 18 HinSchG, it may be necessary to deviate from anonymization, whether due to official orders - or to protect legal claims. In such cases, pseudonymization is generally sought, unless other directives - apply, such as a court order. Documentation is deleted three years after the conclusion of the process, but - it may be retained longer if required to meet the requirements of this law or other legal provisions, as - long as it remains necessary and appropriate. -

-
- \ No newline at end of file