Datenschutz ist ein wesentlicher Bestandteil der Unternehmensphilosophie von SYNTAX. Denn das gesamte Geschäftsmodell von SYNTAX wird vom Datenaustausch zwischen Kunden als Daten-Verantwortlichen und SYNTAX als Service-Provider dominiert.

Die Datenschutz-Grund-Verordnung (DSGVO) adressiert dabei zahlreiche rechtliche Pflichten an unsere Kunden und SYNTAX, denen beide begegnen müssen.

Im Rahmen unseres breiten Dienstleistungsportfolios ist es SYNTAX als Service Provider daher ein großes Anliegen, die personenbezogenen Daten der Kunden während der gesamten Geschäftsbeziehung entsprechend der beauftragten Leistung weisungsgetreu zu verarbeiten und technisch bestmöglich zu schützen.

Die vertraglichen Anforderungen stellt SYNTAX durch folgende Maßnahmen sicher:

• Abschluss eines Auftragsverarbeitungsvertrages auf Basis der EU-Standardvertragsklauseln
• Implementierung von technische und organisatorische Maßnahmen (TOMs) entsprechend dem Stand der Technik
• ISO-Zertifizierungen
• Bereitstellung der auf den Service zugeschnittene Unterauftragsnehmerliste

Alle wesentlichen Verarbeitungsprozesse von personenbezogenen Daten unterliegen dabei einem Überprüfungs- und Freigabeprozess, um zu gewährleisten, dass die Kundendaten gemäß den internen und gesetzlichen Datenschutzregelungen verarbeitet werden.

Daher stellen Transparenz und Integrität hinsichtlich der von unseren Kunden an Syntax übergebenen Daten die Grundpfeiler für eine vertrauensvolle Zusammenarbeit und Geschäftsbeziehung dar.

Haben Sie weitere Fragen zu unserem Datenschutzmanagement? Unter folgender E-Mail-Adresse stehen wir Ihnen gerne zur Verfügung: [email protected].

Herunterladen

Seit Januar 2023 nutzt SYNTAX die Standardvertragsklauseln der Europäischen Kommission für den Europäischen Wirtschaftsraum als Auftragsverarbeitungsvertrag gemäß Art. 28 Absatz 7 DSGVO. Dieser wird für Kunden und Lieferanten gleichsam verwendet.

Damit gewährleistet SYNTAX einen Vertragsstandard, der der einheitlichen Auslegung der Aufsichtsbehörden entspricht und gleichzeitig einen Mehrwert für beide Parteien bietet.

Unser externer Datenschutzbeauftragter ist Herr Dr. Stefan Baum, M.A.E.S., Rechtsanwalt und Fachanwalt für Informationstechnologierecht.
Er berät zahlreiche große und mittelständische Unternehmen und greift dabei auf eine über  20-jährige Berufserfahrung zurück.

Als unabhängige Instanz überwacht Herr Dr. Baum das gesamte Datenschutzmanagement von SYNTAX und seiner verbundenen Unternehmen und berichtet dabei unmittelbar an das Management.

Seine Expertise und Beratungstätigkeiten tragen wesentlich dazu bei, Verarbeitungsprozesse von personenbezogenen Daten im Alltagsgeschäft zu optimieren, praxisnahe Lösungen für datenschutzrechtliche Fragestellungen zu finden und neue Gesetzesanforderungen schnellstmöglich im Unternehmen umzusetzen.

Hierfür arbeitet Herr Dr. Baum mit internen Datenschutzkoordinatoren zusammen, die die datenschutzrechtlichen Anforderungen und Prozesse entsprechend initiieren. Alle Mitarbeiter und Verantwortliche können sich bei Fragen jederzeit vertraulich an den Datenschutzbeauftragten wenden.

Haben Sie Fragen an unseren Datenschutzbeauftragten? Kontaktieren Sie Herrn Dr. Baum gerne persönlich unter:

BHK Datenschutz und Compliance GmbH

Humboldtstr. 3

79539 Lörrach

Tel.: +49 (0)7621 5705398

E-Mail: [email protected]

Sitz: Lörrach, Registergericht Amtsgericht Freiburg HRB 718081

Geschäftsführer: Dr. Stefan Baum

Syntax ist ein global agierender IT-Service- und Managed Cloud-Provider mit 2096 Mitarbeitern, der insbesondere Unternehmen aus dem industriellen Mittelstand bei ihren vielfältigen IT-Herausforderungen unterstützt.

I. Überblick

In diesem Abschnitt der Datenschutzerklärung finden Sie im Überblick Informationen zum Verantwortlichen für die Datenverarbeitung, dessen Datenschutzbeauftragten, zu Zwecken und Rechtsgrundlagen der Verarbeitung Ihrer Daten sowie Ihre Rechte.

1. Wer ist für die Datenverarbeitung verantwortlich?

a) Verantwortlich i.S.v. von Art. 4 Nr. 7 DSGVO (Datenschutz Grundverordnung) ist:

Syntax Systems GmbH & Co. KG, Höhnerweg 2-4, 69469 Weinheim, Deutschland

Tel. +49 6201 808008
https://www.syntax.com/de-de/

nachfolgend „SYNTAX“; „wir“ oder „uns“ genannt.

2. Datenschutzbeauftragter

Sie erreichen unseren Datenschutzbeauftragten Dr. Stefan Baum telefonisch +49 7621 – 5705398, per Mail: [email protected] oder postalisch unter vorgenannter Adresse mit dem Zusatz „z.Hd. Datenschutzbeauftragter“.

3. Zwecke und Rechtsgrundlagen der Verarbeitung im Überblick

Wir verwenden Ihre Daten zur Geschäftsanbahnung, zur Erfüllung vertraglicher und gesetzlicher Pflichten, zur Durchführung des Vertragsverhältnisses, zum Anbieten von Produkten und Dienstleistungen sowie zur Stärkung der Kundenbeziehung, was auch Analysen zu Marketingzwecken, Kundenzufriedenheitsbefragungen und Direktwerbung beinhalten kann. Sofern Ihre personenbezogenen Daten zur Durchführung vorvertraglicher Maßnahmen (z.B. zur Erstellung von Angeboten für Produkte oder Dienstleistungen) und zur Erfüllung vertraglicher Pflichten (z.B. zur Durchführung unserer Dienstleistung oder zur Bestell-/Auftrags-/Zahlungsabwicklung), verarbeitet ist Art. 6 Abs. 1 S. 1 lit. b) DSGVO) bzw. wenn eine rechtliche Verpflichtung zur Verarbeitung (z.B. aufgrund steuerrechtlicher Vorgaben) besteht Art. 6 Abs. 1 S. 1 lit. c) DSGVO Rechtsgrundlage.

Ihre Einwilligung stellt ebenfalls eine datenschutzrechtliche Erlaubnisvorschrift dar (Art. 6 Abs. 1 S. 1 lit. a) DSGVO). Hierbei klären wir Sie über die Zwecke der Datenverarbeitung und über Ihr Widerrufsrecht auf. Sollte sich die Einwilligung auch auf die Verarbeitung besonderer Kategorien von personenbezogenen Daten beziehen, werden wir Sie in der Einwilligung ausdrücklich darauf hinweisen.

4. Verpflichtung zur Bereitstellung

Diverse personenbezogene Daten sind für die Begründung, Durchführung und Beendigung des Schuldverhältnisses und der Erfüllung der damit verbundenen vertraglichen und gesetzlichen Pflichten notwendig. Gleiches gilt für die Nutzung unserer Webseite und der verschiedenen Funktionen, die diese zur Verfügung stellt. In bestimmten Fällen müssen Daten auch aufgrund gesetzlicher Bestimmungen erhoben bzw. zur Verfügung gestellt werden. Bitte beachten Sie, dass eine Bearbeitung Ihrer Anfrage oder die Durchführung des zugrundeliegenden Schuldverhältnisses ohne Bereitstellung dieser Daten nicht möglich ist.

5. Ihre Rechte im Überblick

Wir möchten Sie an dieser Stelle über Ihre Rechte als betroffene Person informieren. Diese Rechte sind in den Art. 15 – 22 DSGVO normiert. Dies umfasst:

• Das Recht auf Auskunft (Art. 15 DSGVO),
• Das Recht auf Löschung (Art. 17 DSGVO),
• Das Recht auf Berichtigung (Art. 16 DSGVO),
• Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
• Das Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO),
• Das Widerspruchsrecht gegen die Datenverarbeitung (Art. 21 DSGVO).

Um diese Rechte geltend zu machen, wenden Sie sich bitte an uns oder den Datenschutzbeauftragten. Gleiches gilt, wenn Sie Fragen zur Datenverarbeitung in unserem Unternehmen haben. Ihnen steht zudem ein Beschwerderecht an eine Datenschutzaufsichtsbehörde zu.

II. Datenverarbeitungen im Einzelnen

In diesem Abschnitt der Datenschutzerklärung informieren wir Sie im Detail über die Verarbeitung personenbezogener Daten im Rahmen unserer Services.

1. Welche Datenkategorien verarbeiten wir, Betroffene und aus welchen Quellen stammen die personenbezogenen Daten?

Welche Daten wir verarbeiten bestimmen der jeweilige Kontext und die verfolgten Zwecke der Verarbeitung.

a) Zu den verarbeiteten Kategorien personenbezogener Daten gehören:

• Accountdaten: Login-/Benutzerkennung und Passwort;
• Protokolldaten über die Nutzung der IT-Systeme (Diagnosedaten);
• Stammdaten (Anrede, Vor- und Zunamen, Titel, Unternehmen, Anschrift);
• Berufsbezogene Daten (z.B. Funktion im Unternehmen, Abteilung);
• Kontaktinformationen (Telefonnummer, Mobilfunknummer, Faxnummer und E-Mailadresse, ggf. Social Media Accounts);
• notwendige Daten zur Bearbeitung einer Anfrage, gegebenenfalls auch Bonitätsdaten;
• CRM Daten, insbesondere Kundenhistorie, Kundenstatistik;
• Personenbezogene Daten, welche im Rahmen von Projekten und Besprechungen verarbeitet werden, insbesondere Termine, Zeiten, Teilnehmer, Besprechungsinhalte, Protokolle, Reisen, Bewirtung und Unterkunft;
• Zeiterfassung, insbesondere Projektdokumentation und -abrechnung;
• Werbe- und Vertriebsdaten und sonstige Daten aus vergleichbaren Kategorien;
• Tracking-, Analyse- und Nutzungsdaten unserer Webseiten (vgl. gesonderte Datenschutzerklärung);
• Daten im Rahmen von Supportanfragen, Trouble Shooting;
• Sonstige Informationen die zur Abwicklung unserer Vertragsbeziehung oder eines Projekts mit unseren Kunden oder Vertriebspartnern erforderlich sind (wie z.B. Zahlungsdaten, Bestelldaten, etc.);
• Besuchermanagement am Standort, u.a. Stammdaten und Kontaktinformation, Grund des Besuchs, Syntax Ansprechpartner, Datum, Uhrzeit.

b) Betroffene

Wir verarbeiten zu den vorgenannten Zwecken Daten folgender Personen:

• Kunden, Lieferanten und Geschäftspartner
• Beschäftigte von Kunden, Lieferanten und Geschäftspartnern;
• Beschäftigte verbundener Unternehmen von Kunden, Lieferanten und Geschäftspartnern;
• Rechtsanwälte, Wirtschaftsprüfer, Berater, Datenschutzbeauftragte und ext. Dienstleister der vorgenannten Personen;

c) Wir verarbeiten personenbezogene Daten, welche wir aus Geschäftsbeziehungen (etwa mit Kunden oder Lieferanten) oder Anfragen erlangt haben. Diese Daten erhalten wir in der Regel direkt vom Vertragspartner oder einer anfragenden Person. Personenbezogene Daten können aber auch aus öffentlichen Quellen (z.B. Handelsregister) stammen, sofern die Verarbeitung dieser Daten zulässig ist. Erforderliche Daten können uns auch Drittanbietern und Geschäftspartnern zur Verfügung gestellt, soweit diese in die Leistungserbringungen eingebunden oder von uns beauftragten sind. Auch können uns Daten von anderen Unternehmen, wie auch verbundenen Unternehmen, berechtigt übermittelt worden sein. Je nach Einzelfall speichern wir zu diesen Daten auch eigene Informationen (z.B. im Rahmen einer laufenden Geschäftsbeziehung).

2. Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten wir personenbezogene Daten?

Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der DSGVO und den nationalen Datenschutzvorschriften:

a) Im Rahmen der Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO)

Wir verarbeiten personenbezogene Daten in erster Linie zur Erfüllung vertraglicher Verpflichtungen und der Erbringung der damit zusammenhängenden Leistungen oder im Rahmen einer entsprechenden Vertragsanbahnung (z.B. Vertragsverhandlungen, Angebotserstellung). Die konkreten Zwecke richten sich hierbei nach der jeweiligen Leistung oder dem Produkt, auf welches sich die Geschäftsbeziehung oder die Vertragsanbahnung bezieht, insbesondere im Zusammenhang mit Aufträgen von Kunden und Bestellungen bei Lieferanten, Servicepartnern. Weiter verarbeiten wir Ihre Daten in Abwicklung der erbrachten Leistungen, insbesondere Faktura, Debitorenmanagement, Mahnwesen und Inkasso.

Die Datenverarbeitung dient insbesondere folgenden Zwecken:

• Anbahnung, Durchführung und Abwicklung von Bestellungen;
• Planung, Entwicklung, Migration und Betrieb von IT-Services, insbesondere Industrial IoT, SaaS, Managed Services;
• Cloud Computing, Application Management Services, Digital Manufacturing und Modern Workplace;
• SAP: Von der Beratung und Planung, über die Implementierung bis hin zum Betrieb regionaler und global verteilter hybrider SAP-Landschaften;
• IT-Security Services;
• Lizenzmanagement und -abrechnung;
• IT-Consulting;
• Verwaltung von Kundendaten, zur Abwicklung von Zahlungen und ggf. zur Bonitätsprüfung verwendet;
• Kommunikation mit Kunden, Dienstleistern, Unterauftragnehmern, Geschäftspartnern sowie Behörden;
• Support, insbesondere der Beantwortung von Anfragen unserer Ansprechpartner, Interessenten, Kunden oder Partner;
• Organisation und Durchführung von Schulungen, Workshops und Zertifizierungen;
• Durchführung von internen und externen Audits in unserem Auftrag;
• Organisation und Planung, Durchführung und Verwaltung der Geschäftsbeziehung zwischen uns und unseren Kunden und Partnern sowie unseren verbundenen Unternehmen:

b) Zur Wahrung berechtigter Interessen (Artikel 6 Abs. 1 S. 1 lit. f) DSGVO)

Soweit erforderlich, verarbeiten wir Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten, namentlich:

• Datenverarbeitung zur Sicherheit, Qualitätssicherung und Prozessoptimierung: wir verarbeiten im gesetzlich zulässigen Rahmen die im Zuge der Vertragsdurchführung erfassten Daten zu (Daten-)Sicherheitszwecken (z.B. zwecks Aufdeckung von Straftaten oder Missbrauch), zur Erstellung von Statistiken sowie zur Qualitätssicherung, Prozessoptimierung und Planungssicherheit. Für diese Verarbeitung besteht seitens der Verantwortlichen ein berechtigtes Interesse in Bezug auf der Sicherstellung eines reibungslosen Ablaufs sowie der kontinuierlichen Verbesserung der jeweiligen Produkte und Services. Ein überwiegend schutzwürdiges Interesse der Betroffenen liegt nach Einschätzung der Verantwortlichen nicht vor, da die Verarbeitungen von ihrer Eingriffsintensität zu gering wie möglich durchgeführt werden, z.B. mittels Verwendung von Pseudonymen. Die Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs.1 lit. f) DSGVO.
• Bonitätsprüfung und Betrugsprävention;
• Terrorlisten- und Sanktionslisten-Screening;
• Beilegen von Rechtsstreitigkeiten, Durchsetzen bestehender Verträge und zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen;
• Aufrechterhalten und Schutz der Sicherheit unserer Systeme und des IT-Betriebs der Gesellschaft;
• Maßnahmen zur Gebäude- und Anlagensicherheit (z.B. Zugangskontrolle oder Videoüberwachung);
• Austausch von Steuerungs- und Planungsdaten, Kennzahlen mit verbundenen Syntax Unternehmen und deren Berater und Dienstleister;
• Bonitätsüberprüfung:

c) Aufgrund gesetzlicher Pflichten (Art. 6 Abs. 1 S. 1 lit c) DSGVO)

Zu den Zwecken der Verarbeitung gehört u.a. die Erfüllung steuer- und sozialrechtlicher Kontroll- und Meldepflichten. Hierzu gehören auch gesetzliche Meldepflichten bei der Erbringung von Dienstleistungen und der Entsendung nach A1 Verfahren, siehe auch Ziff. 5. Ebenso die Verarbeitung personenbezogener Daten soweit dies zur Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO erforderlich ist.

d) Aufgrund Ihrer Einwilligung (Artikel 6 Abs. 1 S. 1 lit. a) DSGVO)

Soweit Sie uns im Einzelfall eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke (z. B. Film- und Fotoaufnahmen, Newsletter Abonnement, Einwilligung in Direktmarketing und elektronische Werbung oder Einwilligung bspw. Kundenzufriedenheitsumfragen) erteilt haben, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben.

3. Postalische Werbung

Wir erheben und verarbeiten Ihre Adress- und Kommunikationsdaten und das Kundensegment für eigene Marketingzwecke und Marketingzwecke unserer verbundenen Unternehmen. Ferner sind wir dazu berechtigt, unter Einhaltung der gesetzlichen Bestimmungen weitere Informationen, bspw. aus Ihren vorangegangenen Bestellungen, hinzu zu speichern und zu nutzen, um Ihnen möglichst bedarfs- und interessengerechte Werbung zukommen zu lassen. Eine Weitergabe vorhergehend nicht genannter hinzugespeicherter Daten erfolgt nicht. Die Verarbeitung der Daten erfolgt auf Grundlage von Artikel 6 Abs. 1 S. 1 lit. f) DSGVO. Sie können der Nutzung und Weitergabe Ihrer Daten zu Werbezwecken jederzeit widersprechen.

4. Wer bekommt meine Daten?

Innerhalb SYNTAX erhalten diejenigen Personen Zugriff auf Ihre personenbezogenen Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten oder diese zur Wahrung berechtigter Interessen brauchen.

Wir übermitteln gegebenenfalls personenbezogene Daten an Gerichte, Aufsichtsbehörden oder Anwaltskanzleien soweit dies rechtlich zulässig und erforderlich ist, um geltendes Recht einzuhalten oder Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.

Weiter können von uns eingesetzte Dienstleister und Erfüllungsgehilfen zu diesen Zwecken Daten erhalten. Informationen über Sie dürfen wir nur weitergeben, wenn gesetzliche Bestimmungen dies verlangen, Sie eingewilligt haben, wir zur Erteilung einer Auskunft oder Weitergabe gesetzlich befugt sind und/oder von uns beauftragte Auftragsverarbeiter gleichermaßen die Einhaltung der Vertraulichkeit sowie den Vorgaben der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes garantieren.

Unter diesen Voraussetzungen können folgende Empfänger dabei Daten erhalten

• Verbundene Unternehmen im Rahmen der Steuerung, des Finanzcontrolling und Berichtswesens oder der Verarbeitung von Daten als Auftragsverarbeiter;
• Verbundene Unternehmen im Rahmen globaler Aufgabenerfüllung und Reporting;
• Verbundene Unternehmen im Rahmen der Intercompany Auftragsverarbeitung;
• Zu Zwecken der Vertragsabwicklung, Rechnungsstellung und Archivierung werden Ihre Daten bei SAP Deutschland SE & Co. KG, Hasso-Plattner-Ring 7, 69190 Walldorf, gespeichert;
• Kunden, Lieferanten und Geschäftspartner sowie Behörden im Rahmen der Auftragsabwicklung;
• Auftragsverarbeiter, insbesondere Clouddienste, u.a. Salesforce, SAP, Microsoft;
• Auftragsverarbeiter, der Dienste, welche wir Ihnen im Rahmen des Cloud Computing, Application Management Services, Digital Manufacturing und Modern Workplace bereitstellen;
• IT-Security Dienstleister;
• IT-Dienstleister im Rahmen der (Fern-)Wartung der IT-Systeme;
• Subunternehmer zur Auftragserfüllung,
• Kunden und Lieferanten im Rahmen der Geschäftskorrespondenz und Auftragsdokumentation;
• Auditoren;
• Bonitätsprüfungs-Dienstleister;
• Datenvernichtungs-Dienstleister;
• Gerichte und Schiedsgerichte bei Rechtstreitigkeiten;
• öffentliche Stellen zur Erfüllung gesetzlicher Mitteilungspflichten z.B. Finanzbehörden, zuständige Stellen in A1 Verfahren;
• Rechtsanwälte, Steuerberater und Wirtschaftsprüfer;
• Inkasso-Dienstleister;
• Banken, Zahlkartenabwickler (Kreditkarten) und Zahlungsdienstleister;
• Telefonie Anbieter;
• Anbieter digitaler Unterschriftslösungen;
• Pforte und Besuchermanagementservice am Standort;

5. Werden Ihre Daten in ein Drittland übermittelt?

Eine Datenübermittlung in Länder außerhalb der EU bzw. des EWR (sogenannte Drittstaaten) findet nur statt, soweit dies zur Ausführung Ihrer Aufträge (z.B. Materialbeschaffung, Fertigung, Lieferung, Logistik) erforderlich oder gesetzlich vorgeschrieben ist (z. B. steuerrechtliche Meldepflichten), Sie uns eine Einwilligung erteilt haben oder im Rahmen einer Auftragsverarbeitung. Weiter übermitteln wir Daten an verbunden Unternehmen zur Wahrung berechtigter Interessen. Im Falle der Übermittlung personenbezogener Daten an Drittländer stellen wir ein angemessenes Datenschutzniveau unter Beachtung der Grundsätze nach Art. 44 ff. DSGVO sicher. D.h. die Verarbeitung erfolgt z.B. auf Grundlage besonderer Garantien, wie der offiziell anerkannten Feststellung eines der EU entsprechenden Datenschutzniveaus (z.B. für Kanada oder USA aufgrund des Data Privacy Frameworks) oder Beachtung anerkannter spezieller vertraglicher Verpflichtungen (sogenannte „EU-Standardvertragsklauseln“).

Bei der Erbringung von Dienstleistungen und der Entsendung von Beschäftigten (A1 Verfahren) kann es sein, dass wir gem. den gesetzlichen Meldepflichten personenbezogene Daten zu unseren Kunden und/oder Auftraggebern resp. der Arbeitsstätte den zuständigen Stellen übermitteln.

Datenverarbeitungssysteme in Drittländer:

a) Interessenten

Potenzielle Kunden werden in Salesforce angelegt. Darin werden Stammdaten wie Firma, Adresse, Ansprechpartner und weitere Kontaktedaten hinterlegt.

b) Lieferanten und Kunden

Auftragsverarbeiter in Drittländern nach Ziff. 4.

Ihre Stammdaten (Firma, Adresse, Ansprechpartner, Telefonnummer oder E-Mail) werden in ServiceNow, Inc. zum Zwecke der Abrechnung und Leistungserbringung angelegt. Für die allgemeine Kommunikation (insbesondere E-Mail, Telefon, Teams) und M365-Dienste nutzen wir von Microsoft Corp. den globalen Tenant der Syntax Gruppe.

Datenaustausch erfolgt mit verbundenen Syntax Unternehmen im Rahmen globaler Aufgabenerfüllung und Reporting insbesondere mit USA und Kanada.

c) Auftragsverarbeiter in Drittländern

Wir nutzen Auftragsverarbeiter in Drittländern, insbesondere SaaS, Cloud und IT-Security Dienste. Im Regelfall haben wir hierzu EU-Standardvertragsklauseln mit der Syntax Inc., USA geschlossen, über welche wir die Leistungen der diversen Drittanbieter beziehen. In einzelnen Fällen haben wir Drittanbietern unmittelbar entsprechende vertragliche Vereinbarungen auf Grundlage der EU-Standardvertragsklauseln getroffen. Auf Anfrage erteilen wir Ihnen gerne Auskunft.

6. Wie lange werden meine Daten gespeichert?

Wir verarbeiten und speichern Ihre personenbezogenen Daten, solange es für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Wir löschen Ihre personenbezogenen Daten, sobald sie für die oben genannten Zwecke nicht mehr erforderlich sind. Dabei kann es vorkommen, dass personenbezogene Daten für die Zeit aufbewahrt werden, in der Ansprüche gegen unsere Gesellschaften geltend gemacht werden können (gesetzliche Verjährungsfristen von drei oder bis zu dreißig Jahren). Zudem speichern wir Ihre personenbezogenen Daten, soweit wir dazu gesetzlich verpflichtet sind. Entsprechende Nachweis- und Aufbewahrungspflichten ergeben sich aus handels-, steuer- und sozialversicherungsrechtlichen Vorschriften. Weiter speichern wir geschäftsrelevante Unterlagen und E-Mails zum Zwecke der rechtssicheren Archivierung zu Steuerzwecken und Dokumentation zur Abwehr unberechtigter Ansprüche und Durchsetzung von Forderungen. Die Speicherdauer für steuer- und handelsrechtliche beträgt gem. § 147 AO, § 257 HGB in der Regel 6 bzw. 10 Jahre zum Ende eines Geschäftsjahres.

7. Verpflichtung zur Bereitstellung von Daten

Wir verarbeiten Ihre personenbezogenen Daten, soweit es für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten sowie zur Wahrung unserer berechtigten Interessen erforderlich ist oder Sie uns eine Einwilligung erteilt haben. Sie müssen im Rahmen der Durchführung oder Anbahnung eines Vertrages diejenigen personenbezogenen Daten bereitstellen, die zur Erfüllung des Vertrages oder der Durchführung von vorvertraglichen Maßnahmen und der damit verbundenen Pflichten erforderlich sind. Ferner müssen Sie diejenigen personenbezogenen Daten bereitstellen, zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne Bereitstellung dieser Daten werden wir einen Vertrag mit Ihnen nicht schließen oder erfüllen können.

In Fällen einer Datenerhebung aufgrund einer Einwilligung erfolgt die Bereitstellung von Daten durch Sie freiwillig und ist nicht verpflichtend.

8. Inwieweit gibt es eine automatisierte Entscheidungsfindung (einschließlich Profiling)?

Zur Begründung und Durchführung der Geschäftsbeziehung nutzen wir grundsätzlich keine vollautomatisierte Entscheidungsfindung gemäß Artikel 22 DSGVO. Ein Profiling findet nicht statt. Für die Nutzung der Webseiten gelten gesonderte Datenschutzerklärungen.

9. Welche Datenschutzrechte habe ich?

Ihnen stehen die nachfolgenden Rechte gegenüber uns als dem Verantwortlichen zu. Falls Sie Ihre Rechte geltend machen möchten oder nähere Informationen wünschen, wenden Sie sich bitte an uns oder unseren Datenschutzbeauftragten:

a) Rechte nach Art. 15 ff. DSGVO

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 DSGVO im Einzelnen aufgeführten Informationen. Unter bestimmten gesetzlichen Voraussetzungen haben Sie das Recht auf Berichtigung nach Artikel 16 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO und das Recht auf Löschung („Recht auf Vergessenwerden“) nach Artikel 17 DSGVO. Zudem haben Sie das Recht auf Herausgabe der von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format (Recht auf Datenübertragbarkeit) nach Artikel 20 DSGVO, sofern die Verarbeitung mithilfe automatisierter Verfahren erfolgt und auf einer Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) oder Art. 9 Abs. 2 lit. a) oder auf einem Vertrag gem. Art. 6 Abs. 1 S. 1 lit. b) DSGVO beruht. Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG.

b) Widerruf einer Einwilligung

Beruht die Verarbeitung auf einer uns erteilten Einwilligung, z.B. für Film- und Fotoaufnahmen, können Sie die erteilte Einwilligung in die Verarbeitung personenbezogener Daten jederzeit uns gegenüber widerrufen (Art. 7 Abs. 3 DSGVO). Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt.

c) Beschwerderecht

Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs die Möglichkeit, sich mit einer Beschwerde an uns oder an eine zuständige Datenschutzaufsichtsbehörde zu wenden (Artikel 77 DSGVO i.V.m. § 19 BDSG).

Widerspruchsrecht nach Artikel 21 DSGVO

Zusätzlich zu den vorgenannten Rechten steht Ihnen ein Widerspruchsrecht wie folgt zu:

Einzelfallbezogenes Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Abs. 1 S. 1 lit. f) DSGVO (Datenverarbeitung auf der Grundlage berechtigter Interessen) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Artikel 4 Abs. 4 DSGVO, soweit zutreffend. Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Widerspruchsrecht gegen die Verarbeitung von Daten zu Werbezwecken

In Einzelfällen verarbeiten wir Ihre personenbezogenen Daten, um Direktwerbung zu betreiben. Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten. Der Widerspruch kann formfrei an die unter Ziffer I Nr. 1 angegebene Stelle erfolgen.

Data protection is an essential part of SYNTAX’s corporate philosophy. This is because SYNTAX’s entire business model is dominated by the exchange of data between customers as Controller and SYNTAX as Processor.

The General Data Protection Regulation (GDPR) addresses numerous legal obligations for our customers and SYNTAX, which both have to meet.

As part of our broad service portfolio, SYNTAX as a service provider is therefore very concerned to process the personal data of customers during the entire business relationship in accordance with the commissioned service and to protect it in the best possible way from a technical point of view.

SYNTAX ensures the contractual requirements through the following measures:

• Conclusion of a data protection agreement on the basis of the EU standard contractual clauses
• Implementation of technical and organizational measures (TOMs) according to the state of the art
• ISO certifications
• Provision of the subcontractor list according to the services provided

All essential processing of personal data is subject to a review and approval process to ensure that customer data is processed in accordance with internal and statutory data protection regulations.

Therefore, transparency and integrity with regard to the data provided by our customers to Syntax represent the key aspects for a trusting cooperation and business relationship.

Do you have any further questions about our data protection management? Please do not hesitate to contact us at the following e-mail address: [email protected].

Download

Since January 2023 SYNTAX uses the standard contractual clauses of the European Commission for the European Economic Area as data protection agreement according to Art. 28 (7) DSGVO. This is used for customers and suppliers alike.

In this way, SYNTAX ensures a contractual standard that complies with the uniform interpretation of the regulatory authorities and at the same time offers added value for both parties.

Our external data protection officer is Dr. Stefan Baum, M.A.E.S., attorney and specialist attorney for information technology law. He advises numerous large and medium-sized companies and draws on over 20 years of professional experience.

As an independent authority, Dr. Baum oversees the overall data protection management of SYNTAX and its affiliates, reporting directly to management.

His expertise and consulting activities make a significant contribution to optimizing the processing of personal data in day-to-day business, finding practical solutions to data protection issues and implementing new legal requirements in the company as quickly as possible.

For this purpose, Dr. Baum works with internal data protection coordinators who initiate the data protection requirements and processes accordingly. All employees and persons responsible can contact the data protection officer confidentially at any time if they have any questions.

Do you have any questions for our data protection officer? Please feel free to contact Dr. Baum personally at:

BHK Data Protection and Compliance GmbH

Humboldtstr. 3

79539 Lörrach

Phone: +49 (0)7621 5705398

Email: [email protected]

Registered office: Lörrach, Register Court Freiburg HRB 718081

Managing Director: Dr. Stefan Baum

Syntax is a global IT service and managed cloud provider with 2096 employees that supports companies from the industrial SME sector in particular with their diverse IT challenges.

I. Overview

In this section of the privacy policy, you will find an overview of information on the data controller, its data protection officer, the purposes and legal bases of the processing of your data, and your rights.

1. Who is responsible for data processing?

a) Responsible in the sense of Art. 4 No. 7 GDPR (General Data Protection Regulation) is:

Syntax Systems GmbH & Co. KG, Höhnerweg 2-4, 69469 Weinheim, Germany

Tel. +49 6201 808008
https://syntaxtest.wpengine.com/de-de/

hereinafter referred to as “SYNTAX”; “we” or “us”.

2. Data Protection Officer

You can reach our data protection officer Dr. Stefan Baum by telephone +49 7621 – 5705398, by e-mail: [email protected] or by post at the above address with the addition “attn. data protection officer”.

3. Purposes and legal bases of processing at a glance

We use your data to initiate business, to fulfill contractual and legal obligations, to carry out the contractual relationship, to offer products and services and to strengthen the customer relationship, which may also include analyses for marketing purposes, customer satisfaction surveys and direct advertising. If your personal data is processed for the implementation of pre-contractual measures (e.g. for the creation of offers for products or services) and for the fulfillment of contractual obligations (e.g. for the implementation of our service or for order/order/payment processing), Art. 6 para. 1 p. 1 lit. b) GDPR) or if there is a legal obligation to process (e.g. due to tax law requirements), Art. 6 para. 1 p. 1 lit. c) GDPR is the legal basis.

Your consent also constitutes a permission requirement under data protection law (Art. 6 para. 1 p. 1 lit. a) GDPR). Here, we will inform you about the purposes of the data processing and about your right of revocation. If the consent also refers to the processing of special categories of personal data, we will expressly point this out to you in the consent.

4. Obligation to provide

Various personal data are necessary for the establishment, implementation and termination of the debt relationship and the fulfillment of the associated contractual and legal obligations. The same applies to the use of our website and the various functions it provides. In certain cases, data must also be collected or made available due to legal requirements. Please note that it is not possible to process your request or carry out the underlying contractual obligation without providing this data.

5. Your rights at a glance

We would like to inform you about your rights as a data subject. These rights are standardized in Art. 15 – 22 GDPR. This includes:

• The right to information (Art. 15 GDPR),
• The right to erasure (Art. 17 GDPR),
• The right to rectification (Art. 16 GDPR),
• The right to data portability (Art. 20 EU GDPR),
• The right to restriction of data processing (Art. 18 GDPR),
• The right to object to data processing (Art. 21 GDPR).

To assert these rights, please contact us or the data protection officer. The same applies if you have questions about data processing in our company. You also have the right to lodge a complaint with a data protection supervisory authority.

II. Data processing in detail

In this section of the Privacy Policy, we inform you in detail about the processing of personal data within the scope of our services.

1. What categories of data do we process, data subjects and from what sources do the personal data originate?

Which data we process is determined by the respective context and the purposes pursued by the processing.

a) The categories of personal data processed include:

• Account data: Login/user ID and password
• Log data about the use of the IT systems (diagnostic data)
• Master data (title, first and last name, title, company, address)
• Job-related data (e.g. function in the company, department)
• Contact information (phone number, mobile number, fax number and email address, social media accounts if applicable);
• Data necessary for processing an inquiry, if necessary also creditworthiness data
• CRM data, especially customer history, customer statistics
• Personal data processed in the context of projects and meetings, in particular dates, times, participants, meeting content, minutes, travel, hospitality and accommodation
• Time recording, especially project documentation and accounting
• Advertising and sales data and other data from similar categories,
• Tracking, analysis and usage data of our websites (cf. separate privacy policy)
• Data in the context of support requests, trouble shooting
• Other information that is required to process our contractual relationship or a project with our customers or sales partners (such as payment data, order data, etc.)
• Visitor management at the site, including master data and contact information, reason for visit, syntax contact person, date, time.

b) Affected persons

We process data of the following persons for the aforementioned purposes:

• Customers, suppliers and business partners
• Employees of customers, suppliers and business partners
• Employees of affiliated companies of customers, suppliers and business partners
• Lawyers, auditors, consultants, data protection officers and ext. service providers of the aforementioned persons,
• Interested parties.

c) We process personal data that we have obtained from business relationships (such as with customers or suppliers) or inquiries. As a rule, we receive this data directly from the contractual partner or a person making an inquiry. However, personal data may also originate from public sources (e.g. commercial register), provided that the processing of such data is permitted. Required data may also be made available to us by third-party providers and business partners, insofar as these are involved in the provision of services or are commissioned by us. Data may also have been legitimately provided to us by other companies, as well as affiliated companies. Depending on the individual case, we also store our own information on this data (e.g. as part of an ongoing business relationship).

2. For what purposes and on what legal basis do we process personal data?

We process personal data in accordance with the provisions of the GDPR and national data protection legislation:

a) In the context of the performance of a contract or for the execution of pre-contractual measures (Art. 6 para. 1 p. 1 lit. b) GDPR)

We process personal data primarily for the fulfillment of contractual obligations and the provision of related services or in the context of a corresponding contract initiation (e.g. contract negotiations, preparation of offers). The specific purposes here depend on the respective service or product to which the business relationship or contract initiation relates, in particular in connection with orders from customers and orders placed with suppliers, service partners. Furthermore, we process your data in processing the services provided, in particular invoicing, accounts receivable management, dunning and collection.

The data processing serves the following purposes in particular:

• Initiation, execution and processing of orders
• Planning, development, migration and operation of IT services, in particular Industrial IoT, SaaS, managed services
• Cloud Computing, Application Management Services, Digital Manufacturing and Modern Workplace
• SAP: From consulting and planning to implementation and operation of regional and globally distributed hybrid SAP landscapes
• IT Security Services
• License management and billing
• IT Consulting
• administration of customer data, for the processing of payments and, if necessary, for credit checks.
• Communication with customers, service providers, subcontractors, business partners as well as authorities
• Support, in particular answering inquiries from our contact persons, interested parties, customers or partners
• Organization and implementation of trainings, workshops and certifications
• Conducting internal and external audits on our behalf
• Organization and planning, implementation and management of the business relationship between us and our customers and partners as well as our affiliated companies

b) For the protection of legitimate interests (Article 6 para. 1 p. 1 lit. f) GDPR)

To the extent necessary, we process your data beyond the actual performance of the contract to protect legitimate interests of us or third parties, namely:

• Data processing for security, quality assurance and process optimization: to the extent permitted by law, we process the data collected in the course of contract performance for (data) security purposes (e.g. for the purpose of detecting criminal acts or misuse), for compiling statistics, and for quality assurance, process optimization and planning security. For this processing, there is a legitimate interest on the part of the responsible parties with regard to ensuring a smooth process as well as the continuous improvement of the respective products and services. In the opinion of the data controller, there is no predominant interest of the data subjects that is worthy of protection, since the intensity of the processing is kept as low as possible, e.g. by using pseudonyms. The legal basis for this data processing is Art. 6 para.1 lit. f) GDPR.
• Credit assessment and fraud prevention
• Terrorist List and Sanctions List Screening
• Settling legal disputes, enforcing existing contracts, and asserting, exercising, and defending legal claims.
• Maintaining and protecting the security of our systems and the Company’s IT operations.
• Measures for building and facility security (e.g. access control or video surveillance)
• Exchange of control and planning data, key figures with affiliated Syntax companies and their consultants and service providers.
• Credit check

c) Due to legal obligations (Art. 6 para. 1 p. 1 lit c) GDPR)

The purposes of the processing include, among other things, the fulfillment of tax and social law control and reporting obligations. This also includes legal reporting obligations for the provision of services and the posting according to A1 procedures, see also item 5. Likewise, the processing of personal data insofar as this is necessary for the implementation of technical and organizational measures according to Art. 32 GDPR.

d) Based on your consent (Article 6 para. 1 p. 1 lit. a) GDPR)

Insofar as you have given us consent in individual cases to process personal data for specific purposes (e.g. filming and photographing, newsletter subscription, consent to direct marketing and electronic advertising or consent to e.g. customer satisfaction surveys), the lawfulness of this processing is based on your consent.

3. Postal advertising

We collect and process your address and communication data and the customer segment for our own marketing purposes and the marketing purposes of our affiliated companies. Furthermore, we are entitled to store and use additional information, e.g. from your previous orders, in compliance with the statutory provisions, in order to send you advertising that is as tailored to your needs and interests as possible. A transfer of previously not mentioned additional stored data does not take place. The processing of the data is based on Article 6 para. 1 p. 1 lit. f) GDPR. You can object to the use and disclosure of your data for advertising purposes at any time.

4. Who receives my data?

Within SYNTAX, access to your personal data is granted to those persons who need it to fulfill our contractual and legal obligations or to protect legitimate interests.

We may disclose personal data to courts, regulatory authorities or law firms to the extent legally permissible and necessary to comply with applicable law or to assert, exercise or defend legal claims.

Furthermore, service providers and vicarious agents employed by us may receive data for these purposes. We may only disclose information about you if required by law, if you have consented, if we are legally authorized to provide information or to disclose information and/or if processors commissioned by us equally guarantee compliance with confidentiality and the requirements of the General Data Protection Regulation and the Federal Data Protection Act.

Under these conditions, the following recipients may receive data in the process:

• Affiliated companies in the context of controlling, financial controlling and reporting or processing of data as a processor
• Affiliated companies in the context of global task fulfillment and reporting
• Affiliated companies within the scope of intercompany order processing
• For the purposes of contract processing, invoicing and archiving, your data will be stored at SAP Deutschland SE & Co. KG, Hasso-Plattner-Ring 7, 69190 Walldorf.
• Customers, suppliers and business partners as well as authorities within the scope of order processing
• Processors, in particular cloud services, including Salesforce, SAP, Microsoft
• Processor, the services we provide to you as part of Cloud Computing, Application Management Services, Digital Manufacturing and Modern Workplace.
• IT security service provider
• IT service provider within the scope of (remote) maintenance of IT systems
• Subcontractors to fulfill the order,
• Customers and suppliers within the framework of business correspondence and order documentation
• Auditors
• Credit assessment service provider
• Data destruction service provider
• Courts and arbitration tribunals for legal disputes
• Public bodies for the fulfillment of statutory notification obligations e.g. tax authorities, competent bodies in A1 proceedings
• Lawyers, tax consultants and auditors
• Collection service provider
• Banks, payment card processors (credit cards) and payment service providers
• Telephony provider
• Digital signature solution provider
• Gate and visitor management service at the site
• Insurances

5. Will your data be transferred to a third country?

A data transfer to countries outside the EU or the EEA (so-called third countries) finds only if this is necessary for the execution of your orders (e.g. material procurement, manufacturing, delivery, logistics) or is required by law (e.g. tax reporting obligations), you have given us consent or within the framework of an order processing. Furthermore, we transmit data to affiliated companies for the protection of legitimate interests. In case of transfer of personal data to third countries, we ensure an adequate level of data protection in compliance with the principles according to Art. 44 et seq. GDPR. This means that processing is carried out, for example, on the basis of special guarantees, such as the officially recognized determination of a level of data protection corresponding to the EU (e.g. for Canada or USA according to the Data Privacy Framework) or compliance with recognized special contractual obligations (so-called “EU standard contractual clauses”).

When providing services and posting employees (A1 procedure), it may be that we transmit personal data about our customers and/or clients or the place of work to the competent authorities in accordance with the statutory reporting requirements.

Data processing systems to third countries:

a) Interested parties

Potential customers are created in Salesforce. Master data such as the company, address, contact person and other contact data are stored in this.

b) Suppliers and customers

Processors in third countries according to section 4.

Your master data (company, address, contact person, telephone number or e-mail) is created in ServiceNow, Inc. for the purpose of billing and service provision. For general communication (especially email, phone, teams) and M365 services, we use the global tenant of Syntax Group from Microsoft Corp.

Data exchange takes place with affiliated Syntax companies within the scope of global task fulfillment and reporting, in particular with the USA and Canada.

c) Processors in third countries

We use processors in third countries, in particular SaaS, cloud and IT security services. As a rule, we have concluded EU standard contractual clauses with Syntax Inc., USA, through which we procure the services of the various third-party providers. In individual cases, we have concluded corresponding contractual agreements directly with third-party providers on the basis of the EU standard contractual clauses. We will be happy to provide you with information upon request.

6. How long will my data be stored?

We process and store your personal data as long as it is necessary for the fulfillment of our contractual and legal obligations. We delete your personal data as soon as it is no longer required for the above-mentioned purposes. In this context, personal data may be retained for the period during which claims can be asserted against our companies (statutory limitation periods of three or up to thirty years). In addition, we store your personal data to the extent that we are required to do so by law. Corresponding obligations to provide proof and to store data result from commercial, tax and social security regulations. Furthermore, we store business-relevant documents and e-mails for the purpose of legally secure archiving for tax purposes and documentation for the defense against unjustified claims and enforcement of claims. The storage period for tax and commercial law is generally 6 or 10 years at the end of a fiscal year in accordance with § 147 AO, § 257 HGB.

7. Obligation to provide data

We process your personal data insofar as it is necessary for the fulfillment of our contractual and legal obligations and for the protection of our legitimate interests or you have given us your consent. In the context of the performance or initiation of a contract, you must provide those personal data that are necessary for the performance of the contract or the performance of pre-contractual measures and the associated obligations. Furthermore, you must provide those personal data that we are legally obligated to collect. Without providing this data, we will not be able to conclude or fulfill a contract with you.

In cases of data collection based on consent, the provision of data by you is voluntary and not mandatory.

8. To what extent is there automated decision making (including profiling)?

For the establishment and implementation of the business relationship, we generally do not use any fully automated decisionfindings pursuant to Article 22 GDPR. Profiling does not take place. Separate data protection declarations apply to the use of the websites.

9. What data protection rights do I have?

You are entitled to the following rights against us as the data controller. If you wish to exercise your rights or would like more information, please contact us or our data protection officer:

a) Rights according to Art. 15 ff. GDPR

The data subject has the right to obtain confirmation from the controller as to whether personal data concerning him or her are being processed. If this is the case, he or she has a right to information about this personal data and to the information listed in detail in Article 15 of the GDPR. Under certain legal conditions, you have the right to rectification under Article 16 GDPR, the right to restriction of processing under Article 18 GDPR and the right to erasure (“right to be forgotten”) under Article 17 GDPR. In addition, you have the right to receive the data you have provided in a structured, common and machine-readable format (right to data portability) pursuant to Article 20 GDPR, provided that the processing is carried out with the help of automated processes and is based on consent pursuant to Article 6 (1) sentence 1 a) or Article 9 (2) a) or on a contract pursuant to Article 6 (1) sentence 1 b) GDPR. The restrictions according to §§ 34 and 35 BDSG apply to the right to information and the right to deletion.

b) Revocation of consent

If the processing is based on consent given to us, e.g. for film and photo recordings, you can revoke the consent given for the processing of personal data at any time (Art. 7 (3) GDPR). The revocation of consent does not affect the lawfulness of the processing carried out on the basis of the consent until the revocation. The data subject will be informed of this before giving consent.

c) Right of appeal

Without prejudice to any other administrative or judicial remedy, you have the right to lodge a complaint with us or with a competent data protection supervisory authority (Article 77 GDPR in conjunction with Section 19 BDSG).

Right of objection according to Article 21 GDPR

In addition to the aforementioned rights, you have the right to object as follows:

Right to object on a case-by-case basis

You have the right to object at any time, on grounds relating to your particular situation, to the processing of personal data concerning you which is carried out on the basis of Article 6 (1) sentence 1 f) GDPR (data processing on the basis of legitimate interests); this also applies to a profiling based on this provision within the meaning of Article 4 (4) GDPR, where applicable. If you object, we will no longer process your personal data unless we can demonstrate compelling legitimate grounds for the processing which override your interests, rights and freedoms, or the processing serves to assert, exercise or defend legal claims.

Right to object to the processing of data for advertising purposes

In individual cases, we process your personal data for the purpose of direct advertising. You have the right to object at any time to the processing of personal data concerning you for the purpose of such advertising; this also applies to profiling insofar as it is related to such direct advertising. If you object to processing for direct marketing purposes, we will no longer process your personal data for these purposes. The objection can be made informally to the office indicated under Section I (1).