In der heutigen schnelllebigen und zunehmend digitalen Welt, sind personenbezogene Daten eine wichtige Ressource. Ihre Daten sind wertvoll und müssen daher mit der durch diverse Gesetze und Vorschriften (DSGVO, TDDDG, ...) gebotenen Sorgfalt behandelt werden.
-Als Anbieter von lokalen Lösungen (OnPremise) setzt der Hersteller des signFLOWs, die Digital Data GmbH, einen klaren Schwerpunkt auf Datenschutz und Datensicherheit. Für Sie bedeutet dies, dass nur die nötigsten Daten erhoben und gespeichert werden (Datensparsamkeit bzw. Datenminimierung). Außerdem kommen bei der Verarbeitung aktuelle und als sicher geltende Technologien zum Einsatz.
+In der heutigen schnelllebigen und zunehmend digitalen Welt, sind personenbezogene Daten eine wichtige + Ressource. Ihre Daten sind wertvoll und müssen daher mit der durch diverse Gesetze und Vorschriften (DSGVO, + TDDDG, ...) gebotenen Sorgfalt behandelt werden.
+Als Anbieter von lokalen Lösungen (OnPremise) setzt der Hersteller des signFLOWs, die Digital Data GmbH, + einen klaren Schwerpunkt auf Datenschutz und Datensicherheit. Für Sie bedeutet dies, dass nur die nötigsten + Daten erhoben und gespeichert werden (Datensparsamkeit bzw. Datenminimierung). Außerdem kommen bei der + Verarbeitung aktuelle und als sicher geltende Technologien zum Einsatz.
Kontaktdaten des Herstellers:
Digital Data GmbHKontakt zum Datenschutzbeauftragten: privacy-flow@digitaldata.works
+Kontakt zum Datenschutzbeauftragten: privacy-flow@digitaldata.works
Kontakt zu unserer Datenschutzbeauftragten: privacy-flow@digitaldata.works
+Kontakt zu unserer Datenschutzbeauftragten: privacy-flow@digitaldata.works
Sie haben die unter 3.1 stehenden Daten vorab an Ihren Geschäftspartner (die verantwortliche Stelle) übermittelt. Diese Übermittlung kann mündlich per Telefon, im persönlichen Kontakt, per E-Mail oder per Kontaktformular geschehen sein.
+Sie haben die unter 3.1 stehenden Daten vorab an Ihren Geschäftspartner (die verantwortliche Stelle) + übermittelt. Diese Übermittlung kann mündlich per Telefon, im persönlichen Kontakt, per E-Mail oder per + Kontaktformular geschehen sein.
Ihre digitale Signatur übermitteln Sie eigenständig, bei der Unterzeichnung eines Dokuments.
Ihre personenbezogenen Daten werden aber grundsätzlich anonymisiert, wenn:
+ Abhängig von der spezifischen Dokumentart, kann die Aufbewahrungsfrist variieren. Außerdem können sich + Zeiten + verlängern, falls Unregelmäßigkeiten auftreten. Z.B.: eine rechtliche Auseinandersetzung droht oder aktuell + läuft. +
Die unter 3.1 definierten personenbezogenen Daten werden verarbeitet, um den technisch notwendigen Prozess abzubilden bzw. anbieten zu können. Dies umfasst die Feststellung der Identität, Antragsprüfung, Abrechnung und Dokumentationspflichten.
+Die unter 3.1 definierten personenbezogenen Daten werden verarbeitet um:
+In Einzelfällen werden Daten zur Fehlerbehebung insbesondere bei Supportanfragen von der IT-Abteilung + gesondert behandelt oder ggf. an den Hersteller weitergegeben.
+Im Zuge der Maßnahmen zur Sicherstellung der Informationssicherheit, insbesondere zur Identifizierung und + Abwehr von Angriffen, sowie zur Durchführung interner und externer Audits, der Exportkontrolle und der + Prüfung von Sanktionslisten, erfolgt ebenfalls eine Datenverarbeitung. Bei Anfragen gemäß §8 Abs. 2 VDG + werden die entsprechenden Informationen an die zuständigen Stellen übermittelt.
Ihre Daten werden auf Grundlage einer sich anbahnenden oder bereits vorhandenen Geschäftsbeziehung erhoben.
-Die rechtliche Grundlage für die Übermittlung an zuständige Stellen bildet §8 Abs. 2 VDG.
+Ihre Daten werden auf Grundlage einer sich anbahnenden oder bereits vorhandenen Geschäftsbeziehung erhoben. +
+Die rechtliche Grundlage für die Übermittlung an zuständige Stellen bildet §8 Abs. 2 VDG. Anfragen von + Betroffenen werden gemäß den Artikeln 12 bis 23 der DSGVO sowie den Paragraphen 32 bis 37 des BDSG + bearbeitet.
Es besteht ein berechtigtes Interesse der verantwortlichen Stelle gemäß Art. 6 Abs. 1 lit. f DSGVO, insbesondere in der Informationssicherheit und zur Vermeidung von Schäden.
+Ein berechtigtes Interesse der verantwortlichen Stelle gemäß Art. 6 Abs. 1 lit. f DSGVO besteht in den + folgenden Fällen:
+Es werden Maßnahmen zur Informationssicherheit ergriffen, die sowohl präventive technische als auch + organisatorische Maßnahmen sowie die Behandlung von Vorfällen umfassen. Ziel ist es, potenzielle Schäden für + das Unternehmen, die von der Datenverarbeitung betroffenen Personen und die Nutzer der Vertrauensdienste zu + bewerten und zu vermeiden.
Die erhobenen Daten stellen das Minimum der nötigen Daten zwecks digitaler Unterschrift dar.
+Die erhobenen Daten stellen das Minimum der nötigen Daten zwecks digitaler Unterschrift dar. Ohne die unter + 3.1 genannten Daten, kann der Dienst nicht betrieben werden.
+Besonders wichtig ist die Angabe einer Mobilfunknummer oder einer deutschen Festnetznummer, da diese für die + Authentifizierung und die Signaturauslösung als zweiter Faktor verwendet wird. Ohne diesen + Sicherheitsmechanismus kann der Dienst leider nicht bereitgestellt werden.
Daten werden nur in Ausnahmefällen zwecks Supportleistungen an den Hersteller weitergegeben.
+Eine systemische Übermittlung von Daten findet nicht statt.
+Daten werden nur in Ausnahmefällen, zwecks Supportleistungen, an den Hersteller weitergegeben. Mit der + Hersteller besteht ein gültiger Auftragsdatenverarbeitungsvertrag (AVV), welcher die Sicherheit und + Integrität des Umgangs mit Ihren Daten gewährleistet.
Beim Besuch bestimmter Seiten kommen temporäre Cookies zum Einsatz, die für die technische Bereitstellung der Dienste notwendig sind.
++ Beim Besuch bestimmter Seiten kommen temporäre Cookies zum Einsatz, die für die technische Bereitstellung + der Dienste notwendig sind. Diese sogenannten Session-Cookies enthalten keine personenbezogenen Daten und + werden nach Beendigung der Sitzung automatisch gelöscht. Methoden wie Java-Applets oder Active-X-Controls, + die das Nutzerverhalten nachvollziehbar machen könnten, werden nicht verwendet. +
Wenn Sie Fragen zu Ihren Daten haben oder eine Berichtigung, Löschung oder Einschränkung der Verarbeitung wünschen, senden Sie bitte Ihre Anfrage per Post oder E-Mail an die oben angegebene Adresse. Sie können auch gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung einlegen.
++ Wenn Sie Fragen zu Ihren Daten haben oder eine Berichtigung, Löschung oder Einschränkung der Verarbeitung + wünschen, senden Sie bitte Ihre Anfrage per Post oder E-Mail an die oben angegebene Adresse. Dies gilt auch, + wenn Sie gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung einlegen möchten oder eine Anfrage zur + Datenübertragbarkeit haben. +
++ Bei Fragen oder Beschwerden zu einem Verfahren können Sie sich ebenfalls über die genannten + Kontaktmöglichkeiten an uns wenden. Sollten Sie darüber hinaus einen Grund zur Beschwerde haben, haben Sie + die Möglichkeit, sich an unsere Aufsichtsbehörde zu wenden. Welche Aufsichtsbehörde für Sie zuständig ist, + erfahren Sie hier: + Laender-node.html +
Wir haben ein unabhängiges, neutrales und vertrauliches Hinweisgebersystem eingerichtet, das es internen und externen Hinweisgebenden ermöglicht, anonym Meldungen abzugeben. Dieses Verfahren dient der Aufdeckung von schwerwiegenden Verstößen gegen geltendes Recht sowie anderen ernsthaften Angelegenheiten.
++ Die Einhaltung gesetzlicher Vorschriften und interner Richtlinien, einschließlich unseres Verhaltenskodexes + sowie des Verhaltenskodexes für Geschäftspartner, hat für uns (die verarbeitende Stelle) oberste Priorität. + Dies gilt sowohl für unseren eigenen Geschäftsbereich als auch für unsere Lieferketten. +
++ Es ist uns wichtig, Risiken frühzeitig zu identifizieren und Verstöße zu vermeiden. Wir möchten rechtzeitig + geeignete Maßnahmen ergreifen, um mögliche Schäden für Betroffene, Kunden, Mitarbeiter, Geschäftspartner und + unsere Unternehmensgruppe zu verhindern. +
++ Aus diesem Grund haben wir ein unabhängiges, neutrales und vertrauliches Hinweisgebersystem eingerichtet, + das es internen und externen Hinweisgebenden ermöglicht, auch anonym Meldungen abzugeben. Durch unser + transparentes Beschwerdeverfahren bieten wir insbesondere den Betroffenen, den Hinweisgebenden und den + Mitarbeitenden, die an der Aufklärung der gemeldeten Vorfälle mitwirken, den größtmöglichen Schutz. +
++ Im Rahmen dieses Verfahrens können alle tatsächlichen und vermeintlichen Verstöße gegen gesetzliche + Vorgaben, unseren Verhaltenskodex sowie den Verhaltenskodex für Geschäftspartner gemeldet werden. Auch + menschenrechtliche oder umweltbezogene Risiken sowie Pflichtverletzungen entlang der gesamten Lieferkette + unserer Konzernunternehmen und in unserem eigenen Geschäftsbereich können Gegenstand einer Meldung sein. +
++ Einheitliche und zügige Prozesse sowie eine vertrauliche und professionelle Bearbeitung der Hinweise durch + interne Experten bilden die Grundlage dieses fairen Verfahrens. Benachteiligungen oder Bestrafungen von + Hinweisgebenden sowie von Personen, die mit der Bearbeitung von Beschwerden und Hinweisen betraut sind, + werden nicht toleriert. +
Der Zweck der Verarbeitung besteht in der Verwaltung des Hinweisgebersystems, welches rechtliche Verpflichtungen gemäß Art. 6 Abs. 1 lit. c DSGVO erfüllt.
++ Der Zweck der Verarbeitung personenbezogener Daten besteht in der Verwaltung des Hinweisgebersystems, das + auch die Aufdeckung schwerwiegender Verstöße oder potenzieller Verstöße gegen geltendes Recht sowie anderer + ernsthafter Angelegenheiten umfasst. Die Verarbeitung dieser Daten ist notwendig, um rechtlichen + Verpflichtungen nachzukommen, die uns auferlegt sind, gemäß Art. 6 Abs. 1 S. 1 lit. c) DSGVO. Dies + bezieht + sich auf das Gesetz, das den Schutz von Hinweisgebern verbessert (Hinweisgeberschutzgesetz - HinSchG). +
++ Zudem dient die Verarbeitung dem berechtigten Interesse, schwerwiegende Verstöße oder mögliche Verstöße + gegen geltendes Recht sowie andere ernsthafte Angelegenheiten aufzudecken, gemäß Art. 6 Abs. 1 S. 1 lit. + f) + DSGVO. +
++ Im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten ist diese auf Grundlage des + Hinweisgeberschutzgesetzes aus Gründen eines erheblichen öffentlichen Interesses erforderlich, gemäß Art. 9 + Abs. 2 lit. g) DSGVO. Die Verarbeitung dieser besonderen Daten erfolgt gemäß Art. 9 Abs. 2 lit. f) + DSGVO in + Verbindung mit Art. 6 Abs. 1 S. 1 lit. f) DSGVO, um Rechtsansprüche festzustellen, auszuüben oder zu + verteidigen. +
++ Betroffene Personen sind diejenigen, über die eine Meldung gemacht wird. Dies können Mitarbeiter, + Vertragspartner oder andere Personen sein, die in beruflicher Verbindung zu der verarbeitenden Stelle + stehen. Darüber hinaus verarbeiten wir personenbezogene Daten der hinweisgebenden Person, wenn diese ihre + Kontaktinformationen oder andere identifizierende Informationen übermittelt. Hinweisgebende Personen sollten + sich daher bewusst sein, dass wir im Rahmen der Bearbeitung des gemeldeten Falls personenbezogene Daten über + sie verarbeiten können. +
Es können allgemeine personenbezogene Daten, Daten zu strafrechtlichen Verurteilungen sowie besondere Kategorien personenbezogener Daten verarbeitet werden.
++ Die Meldung kann anonym erfolgen, wodurch keine personenbezogenen Daten der meldenden Person verarbeitet + werden. Die Art der personenbezogenen Daten, die verarbeitet werden, hängt von den übermittelten + Informationen ab. Wenn die meldende Person personenbezogene Daten über eine andere Person, einschließlich + der gemeldeten Person oder Personen, angibt, werden auch diese Daten verarbeitet. Folgende Kategorien von + personenbezogenen Daten können verarbeitet werden: +
++ Wir bitten die meldende Person, ausschließlich Informationen zu übermitteln, die für den jeweiligen Fall von + Bedeutung sind, und insbesondere keine sensiblen Informationen zu melden, es sei denn, diese sind für die + Bearbeitung des gemeldeten Falls von zentraler Relevanz. +
Die Bereitstellung personenbezogener Daten ist nicht zwingend erforderlich, da auch eine anonyme Meldung möglich ist.
++ Es ist nicht erforderlich, die im Abschnitt 6.2 genannten personenbezogenen Daten bereitzustellen, da auch + eine anonyme Meldung möglich ist. Bitte beachte jedoch, dass wir möglicherweise nicht in der Lage sind, die + Meldung zu bearbeiten, wenn keine personenbezogenen Daten angegeben werden. +
Die Meldungen werden bei der verarbeitenden Stelle erfasst und an zuständige Fachabteilungen weitergeleitet. Eine Weitergabe erfolgt nur bei rechtlicher Notwendigkeit oder mit Zustimmung der hinweisgebenden Person.
+Die Meldungen werden bei der verarbeitenden Stelle im System als Vorgänge erfasst. Nach einer Bewertung + werden diese Vorgänge intern an die zuständigen Fachabteilungen weitergeleitet, und gegebenenfalls werden + Folgemaßnahmen eingeleitet. Sollte eine Meldung eine der Konzerngesellschaften der verarbeitenden Stelle + betreffen, werden die relevanten Vorgänge an die zuständigen Personen der jeweiligen Gesellschaft + weitergegeben, die dann intern eine Bewertung vornehmen und gegebenenfalls Maßnahmen ergreifen. Bei der + Weitergabe personenbezogener Daten wird der Grundsatz der Datenminimierung beachtet, was bedeutet, dass nur + die unbedingt notwendigen Daten zur Bearbeitung der Meldung weitergegeben werden.
+Personenbezogene Daten der hinweisgebenden Person werden an Behörden weitergeleitet, wenn dies erforderlich + ist, um schwerwiegende Verstöße oder Angelegenheiten zu behandeln oder das Recht auf Verteidigung der + betroffenen Personen zu sichern. In anderen Fällen erfolgt die Weitergabe personenbezogener Daten der + hinweisgebenden Person nur mit deren Zustimmung. Daten über andere Personen als die hinweisgebende Person + werden nur im Rahmen der Nachverfolgung eines gemeldeten Falls oder zur Bearbeitung schwerwiegender Verstöße + oder Angelegenheiten weitergegeben.
+Die Meldeplattform wird von dem Auftragsverarbeiter WhistleB Whistleblowing Centre AB mit Sitz in Stockholm, + Schweden, bereitgestellt. Weitere Informationen zu WhistleB und den entsprechenden Nutzungsbedingungen sind + dort einsehbar. + whistleb_terms_of_use.pdf +
Personenbezogene Daten, die sich als nicht relevant erweisen, werden anonymisiert oder gelöscht. Archivierte Meldungen werden nach Abschluss des Verfahrens und Erfüllung der Dokumentationspflichten nach 3 Jahren gelöscht.
+Personenbezogene Daten, die sich als nicht relevant für die Bearbeitung eines gemeldeten Falls herausstellen, + sowie Meldungen, die wir als unbegründet ansehen, werden umgehend als "nicht relevant" eingestuft. In diesem + Fall wird der Personenbezug entfernt, es sei denn, es handelt sich bereits um eine anonyme Meldung. Um die + gesetzlich vorgeschriebene Dokumentationspflicht und die Löschfristen gemäß § 11 Abs. 1 und Abs. 5 HinSchG + zu erfüllen, wird die Meldung zunächst ohne Personenbezug archiviert, jedoch noch nicht gelöscht. + Archivierte Fälle dienen ausschließlich der Erfüllung dieser Dokumentationspflichten und können danach nicht + mehr zur Bearbeitung herangezogen werden.
+Die Meldungen und personenbezogenen Daten, die im Zuge der Bearbeitung einer Meldung erfasst werden, bilden + die Grundlage für die weitere Bearbeitung und werden so schnell wie möglich anonymisiert. Sollte es + notwendig sein, Folgemaßnahmen gemäß §§ 3 Abs. 8 und 18 HinSchG zu ergreifen, kann es jedoch erforderlich + sein, von der Anonymisierung abzuweichen, sei es aufgrund behördlicher Anordnungen oder zur Wahrung von + Rechtsansprüchen. In solchen Fällen wird in der Regel eine Pseudonymisierung angestrebt, es sei denn, es + gibt andere Vorgaben, wie etwa eine richterliche Anordnung. Die Dokumentation wird drei Jahre nach Abschluss + des Verfahrens gelöscht. Sie kann jedoch länger aufbewahrt werden, um den Anforderungen dieses Gesetzes oder + anderer Rechtsvorschriften gerecht zu werden, solange dies notwendig und angemessen ist.
Last updated: 19.09.2024
+As of: 19.09.2024
In today’s fast-paced and increasingly digital world, personal data is a valuable resource. Your data is important and must be handled with care as mandated by various laws and regulations (GDPR, TDDDG, ...).
-As a provider of on-premise solutions, the manufacturer of signFLOW, Digital Data GmbH, places a clear emphasis on data protection and data security. For you, this means that only the necessary data is collected and stored (data minimization). Additionally, the processing is done using the latest and considered secure technologies.
-Manufacturer's Contact Information:
+In today's fast-paced and increasingly digital world, personal data is an important resource. Your data is + valuable and must therefore be handled with the care required by various laws and regulations (GDPR, TDDDG, + ...).
+As a provider of local solutions (OnPremise), the manufacturer of signFLOW, Digital Data GmbH, places a clear + focus on data protection and data security. For you, this means that only the necessary data is collected + and stored (data minimization). Furthermore, current and secure technologies are used in processing.
+Contact details of the manufacturer:
Digital Data GmbHContact for Data Protection: privacy-flow@digitaldata.works
+Contact the Data Protection Officer: privacy-flow@digitaldata.works
Your data will be processed confidentially by:
+Your data is processed with confidence by:
Digital Data GmbHContact our Data Protection Officer: privacy-flow@digitaldata.works
+Contact our Data Protection Officer: privacy-flow@digitaldata.works
You have previously provided the data listed in 3.1 to your business partner (the responsible party). This submission may have occurred orally by phone, in person, via email, or through a contact form.
-You submit your digital signature independently when signing a document.
+You have previously provided the data mentioned under 3.1 to your business partner (the responsible entity). + This transmission may have occurred verbally over the phone, in personal contact, via email, or via a + contact form.
+You transmit your digital signature independently when signing a document.
-Your personal data will generally be anonymized when:
The legal bases for these retention periods include:
+The legal basis for these retention periods includes:
+ Depending on the specific type of document, the retention period may vary. Additionally, the periods may be + extended in case of irregularities, such as a pending or ongoing legal dispute. +
The personal data defined in 3.1 is processed to enable the technically necessary process. This includes identity verification, application review, billing, and documentation obligations.
+The personal data defined under 3.1 is processed to:
+In individual cases, data is processed separately by the IT department, particularly in response to support + requests, or possibly forwarded to the manufacturer for further processing.
+Data processing also occurs to ensure information security, especially for the identification and prevention + of attacks, and for conducting internal and external audits, export controls, and sanctions list checks. + Information may also be transmitted to the relevant authorities in accordance with Section 8 (2) VDG.
-Your data is collected based on a developing or existing business relationship.
-The legal basis for transferring data to responsible authorities is §8 para. 2 VDG.
+Your data is collected based on an impending or already existing business relationship.
+The legal basis for the transmission to competent authorities is Section 8 (2) VDG. Requests from data + subjects are processed in accordance with Articles 12 to 23 of the GDPR and Sections 32 to 37 of the Federal + Data Protection Act (BDSG).
There is a legitimate interest of the responsible party according to Art. 6 para. 1 lit. f GDPR, especially in information security and damage prevention.
+A legitimate interest of the responsible entity in accordance with Article 6 (1) (f) GDPR exists in the + following cases:
+Measures are taken for information security, which include both preventive technical and organizational + measures as well as incident handling. The aim is to assess and avoid potential harm to the company, the + individuals affected by data processing, and the users of trust services.
-The data collected represents the minimum necessary for the purpose of a digital signature.
+The collected data represents the minimum necessary for the digital signature. Without the data mentioned + under 3.1, the service cannot be operated.
+It is particularly important to provide a mobile number or a German landline number, as this is used for + authentication and signature triggering as a second factor. Without this security mechanism, the service + cannot be provided.
-Data is only shared with the manufacturer in exceptional cases for support services.
+Systematic data transmission does not take place.
+Data is only forwarded to the manufacturer for support services in exceptional cases. A valid data processing + agreement (DPA) exists with the manufacturer, which ensures the security and integrity of the handling of + your data.
Temporary cookies are used when visiting certain pages, which are necessary for the technical provision of the services.
++ When visiting certain pages, temporary cookies are used, which are necessary for the technical provision of + the services. These so-called session cookies do not contain any personal data and are automatically deleted + after the session ends. Methods such as Java applets or Active-X controls that could track user behavior are + not used. +
If you have questions about your data or wish to request rectification, deletion, or restriction of processing, please send your inquiry by post or email to the address listed above. You can also object to the processing under Art. 21 GDPR.
++ If you have questions about your data or wish to request correction, deletion, or restriction of processing, + please send your request by mail or email to the address provided above. This also applies if you wish to + object to the processing in accordance with Article 21 GDPR or request data portability. +
++ If you have questions or complaints about a procedure, you can also contact us using the contact details + provided. If you have further grounds for complaint, you can contact our supervisory authority. You can find + out which supervisory authority is responsible for you here: + Laender-node.html +
We have established an independent, neutral, and confidential whistleblower system that allows internal and external whistleblowers to submit reports anonymously. This system serves to uncover serious violations of applicable law and other significant matters.
++ Compliance with legal regulations and internal guidelines, including our Code of Conduct and the Code of + Conduct for Business Partners, is our (the data processing entity's) top priority. This applies both to our + own business operations and to our supply chains. +
++ It is important to us to identify risks early and avoid violations. We aim to take appropriate measures in a + timely manner to prevent potential harm to affected persons, customers, employees, business partners, and + our corporate group. +
++ For this reason, we have established an independent, neutral, and confidential whistleblower system that + enables internal and external whistleblowers to submit reports, including anonymously. Through our + transparent complaint procedure, we offer the greatest possible protection, especially to the affected + persons, whistleblowers, and employees involved in investigating reported incidents. +
++ Under this procedure, any actual or alleged violations of legal requirements, our Code of Conduct, or the + Code of Conduct for Business Partners may be reported. Human rights or environmental risks, as well as + breaches of duty along the entire supply chain of our group companies and in our own business operations, + can also be the subject of a report. +
++ Standardized and swift processes, as well as confidential and professional handling of the reports by + internal experts, form the basis of this fair procedure. Discrimination or punishment of whistleblowers and + individuals responsible for handling complaints and reports will not be tolerated. +
-The purpose of the processing is to manage the whistleblower system, which fulfills legal obligations under Art. 6 para. 1 lit. c GDPR.
++ The purpose of processing personal data is to manage the whistleblower system, which also includes + identifying serious violations or potential violations of applicable law and other serious matters. The + processing of this data is necessary to comply with legal obligations imposed on us, in accordance with Art. + 6 para. 1 sentence 1 lit. c) GDPR. This refers to the law that enhances the protection of whistleblowers + (Whistleblower Protection Act - HinSchG). +
++ Additionally, the processing serves the legitimate interest of identifying serious violations or potential + violations of applicable law and other serious matters, in accordance with Art. 6 para. 1 sentence 1 lit. f) + GDPR. +
++ Regarding the processing of special categories of personal data, this is necessary based on the + Whistleblower Protection Act for reasons of significant public interest, in accordance with Art. 9 para. 2 + lit. g) GDPR. The processing of such special data is carried out in accordance with Art. 9 para. 2 lit. f) + GDPR in conjunction with Art. 6 para. 1 sentence 1 lit. f) GDPR to establish, exercise, or defend legal + claims. +
++ Affected persons are those about whom a report is made. These can be employees, contractors, or other + individuals in a business relationship with the data processing entity. Furthermore, we process personal + data of the whistleblower if they provide their contact details or other identifying information. + Whistleblowers should be aware that we may process personal data about them during the handling of the + reported case. +
-General personal data, data related to criminal convictions, and special categories of personal data may be processed.
++ Reports can be made anonymously, in which case no personal data of the reporting person will be processed. + The type of personal data processed depends on the information provided. If the reporting person provides + personal data about another individual, including the reported individual or persons, that data will also be + processed. The following categories of personal data may be processed: +
++ We ask the reporting person to only provide information relevant to the case and to avoid reporting + sensitive information unless it is essential for handling the reported case. +
-Providing personal data is not mandatory, as anonymous reporting is also possible.
++ It is not mandatory to provide the personal data mentioned in section 6.2, as anonymous reporting is also + possible. However, please note that we may be unable to process the report if no personal data is provided. +
-Reports are processed by the relevant department and forwarded to the appropriate divisions. Data is only shared when legally required or with the consent of the whistleblower.
++ Reports are logged in the system of the data processing entity as cases. After evaluation, these cases are + forwarded internally to the relevant departments, and follow-up actions may be initiated. If a report + involves one of the group companies of the data processing entity, the relevant cases are forwarded to the + responsible individuals at the respective company, who will then conduct an internal evaluation and take + action if necessary. When transferring personal data, the principle of data minimization is observed, + meaning only the data strictly necessary for handling the report is shared. +
++ Personal data of the whistleblower will be shared with authorities when necessary to address serious + violations or issues, or to safeguard the right to defense of the affected persons. In other cases, personal + data of the whistleblower will only be shared with their consent. Data about persons other than the + whistleblower will only be shared in connection with the investigation of a reported case or to address + serious violations or issues. +
++ The reporting platform is provided by the processor WhistleB Whistleblowing Centre AB, based in Stockholm, + Sweden. Further information about WhistleB and the corresponding terms of use can be found at: + whistleb_terms_of_use.pdf +
-Personal data that proves irrelevant will be anonymized or deleted. Archived reports are deleted after 3 years following the conclusion of the process and documentation obligations.
++ Personal data that is found to be irrelevant to the processing of a reported case, as well as reports deemed + unfounded, will be immediately classified as "not relevant." In this case, the personal reference is removed + unless the report was anonymous from the outset. To meet the legally required documentation obligations and + deletion periods pursuant to § 11 para. 1 and para. 5 HinSchG, the report is initially archived without + personal reference but is not yet deleted. Archived cases serve solely to fulfill these documentation + obligations and can no longer be used for further processing. +
++ Reports and personal data collected during the processing of a report form the basis for further handling + and are anonymized as soon as possible. However, if it is necessary to take follow-up actions pursuant to §§ + 3 para. 8 and 18 HinSchG, it may be necessary to deviate from anonymization, whether due to official orders + or to protect legal claims. In such cases, pseudonymization is generally sought, unless other directives + apply, such as a court order. Documentation is deleted three years after the conclusion of the process, but + it may be retained longer if required to meet the requirements of this law or other legal provisions, as + long as it remains necessary and appropriate. +