Datum der Dokumentaktualisierung: Dezember 2023
1. Einleitung
Reply S.p.A. und die Unternehmen der Reply-Gruppe ("Reply", "wir" oder "uns") respektieren Ihre Privatsphäre und verpflichten sich, diese durch die Einhaltung dieser Datenschutzerklärung für Lieferanten ("Datenschutzerklärung") und unserer Datenschutz- und Cookie-Richtlinie zu schützen, die in der Fußzeile der Reply-Website verfügbar ist.
Dieser Datenschutzhinweis bezieht sich auf die Verarbeitung personenbezogener(1) Daten in Bezug auf alle:
- derzeitigen und ehemaligen Lieferanten, einschließlich einzelner Berater, im Rahmen ihrer vertraglichen Beziehung zu den Unternehmen der Reply-Gruppe (im Folgenden "Lieferant/en");
- potenziellen Lieferanten, die an einer Zusammenarbeit mit der Reply-Gruppe interessiert sind (im Folgenden "potenzielle Lieferanten").
Dieser Datenschutzhinweis beschreibt auch die gesetzlichen Rechte in Bezug auf diese Aktivitäten.
2. Identität des Verantwortlichen und Kontaktdaten
Der für die Verarbeitung Verantwortliche bzgl. der Lieferanten ist die jeweilige Gesellschaft der Reply Gruppe, die die Vertragsbeziehung, vertreten durch ihren gesetzlichen Vertreter pro tempore, mit dem Dienstleistungserbringer abgeschlossen hat (im Folgenden die „Gesellschaft“).
Verantwortlich für die Verarbeitung der Daten von potenziellen Lieferanten für die vorläufige Bewertung der von ihnen angebotenen Dienstleistungen ist Reply S.p.A. mit Sitz in Corso Francia Nr. 110, Turin, Italien, vertreten durch den gesetzlichen Vertreter pro tempore.
3. Kontaktdaten des DSB
Kontaktdaten des Datenschutzbeauftragten:
DPO Deutschland: dpo.de@reply.de
DPO Italien: dpo.it@reply.it
DPO Vereinigtes Königreich, Frankreich: dpo.uk@reply.com
4. Kategorien und Herkunft der Verarbeiteten Daten
Gemäß Artikel 4 Absatz 1 DSGVO bezeichnet der Ausdruck „personenbezogene Daten“ „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚Betroffene Personen‘) beziehen“. Daher bezeichnet im Sinne dieser Datenschutzerklärung der Ausdruck „Daten“ die personenbezogenen Daten und Kontaktdaten natürlicher Personen, die i. für die vorläufige Bewertung der von den potenziellen Lieferanten vorgeschlagenen Dienstleistungen und ii. von der Gesellschaft für den Abschluss und die Ausführung der Vertragsbeziehung mit Dienstleistungserbringern verarbeitet werden, darunter jene von Dienstleistungserbringern, die natürliche Personen sind, jene ihres gesetzlichen Vertreters (der den Vertrag im Namen und im Auftrag des Dienstleistungserbringers unterzeichnet) sowie jene von Mitarbeitern/Beratern des Dienstleistungserbringers, die sich an den im Vertrag festgelegten Tätigkeiten beteiligen. Darüber hinaus könnten personenbezogene Daten von Personen, die an der Vertragsausführung beteiligt sind, verarbeitet werden und sich auf i) dieselbe Vertragsbeziehung ii) das Mobilgerät der Mitarbeiter/Berater des Lieferanten beziehen, das von den Mitarbeitern des Lieferanten verwendet wird, um die Reply-App zu installieren und zu verwenden, die den starken Authentifizierungs-Mechanismus auf Reply-Diensten umsetzt. In diesem letzten Fall ist der Ursprung der verarbeiteten Daten der Lieferant oder der Mitarbeiter des Lieferanten, der die Reply-App zur starken Authentifizierung installiert und nutzt.
5. Zwecke und Rechtsgrundlage der Datenverarbeitung
5.1 Daten von potenziellen Lieferanten können von Reply S.p.A. für eine vorläufige Prüfung ihrer Dienstleistungen, die über Kontaktformulare oder per E-Mail oder über andere Kommunikationswege angeboten werden, verarbeitet werden. Wenn potenzielle Lieferanten ein Reply-Kontaktformular verwenden, können ihre personenbezogenen Daten im Reply-Ticketing-System zum Zweck der Datensicherung und der Verwaltung von Anfragen gespeichert werden. In diesem Fall ist die Rechtsgrundlage für die Verarbeitung durch Reply S.p.A. die Durchführung der vorvertraglichen Aktivitäten.
5.2 Mit ausdrücklicher Zustimmung können Daten von potenziellen Lieferanten aus der EU/dem Vereinigten Königreich für vorvertragliche Aktivitäten von Reply S.p.A. an Unternehmen der Reply-Gruppe außerhalb der EU/des Vereinigten Königreichs übermittelt werden. In diesem Fall ist die Rechtsgrundlage für die Verarbeitung der Daten die vom potenziellen Lieferanten erteilte Zustimmung, die jederzeit widerrufen werden kann. Weitere Informationen über diese Datenübertragungen finden Sie im nachstehenden Abschnitt 8.
5.3 Die Daten können von der Gesellschaft außerdem zu Zwecken verarbeitet werden, die sich aus dem Abschluss und der Ausführung des Vertrags zwischen dem Dienstleistungserbringer und der Gesellschaft ergeben.
Die Rechtsgrundlage für die Verarbeitung von Daten über den gesetzlichen Vertreter des Dienstleistungserbringers (juristische Person) oder den Dienstleistungserbringer (natürliche Person) durch die Gesellschaft ist die Ausführung des Vertrags; die Rechtsgrundlage für die Verarbeitung der Daten von Mitarbeitern/Beratern des Lieferanten, die an den im Vertrag genannten Tätigkeiten beteiligt sind, ist die Ausführung des Vertrags, an dessen Tätigkeiten die Mitarbeiter/Berater des Lieferanten beteiligt sind.
5.4 Die Daten können außerdem im Einklang mit geltendem Recht für die Erfüllung verwaltungs- und buchhaltungstechnischer Verpflichtungen, darunter die Buchführung und Finanzmitteldisposition sowie die Rechnungslegung (beispielsweise Überprüfung und Erfassung der Rechnungen), oder für die Ausführung der sonstigen, durch Gesetze, Verordnungen und anwendbarem Recht auferlegten Verpflichtungen verarbeitet.
In diesem Fall ist die Rechtsgrundlage für die Verarbeitung durch die Gesellschaft die Notwendigkeit, einer rechtlichen Verpflichtung nachzukommen, der die Gesellschaft unterliegt.
5.5 Die Daten können von der Gesellschaft sowie Reply S.p.A., Reply Ltd, Reply SE und Reply France Sas ferner (soweit erforderlich) als gemeinsame Verantwortliche für die Durchsetzung/Verteidigung der Rechte der Gesellschaft vor Gericht verarbeitet werden. In diesem Fall ist die Rechtsgrundlage für die Verarbeitung das berechtigte Interesse des Verantwortlichen.
5.6 Ihre Daten können von der Gesellschaft sowieReply S.p.A., Reply Ltd, Reply SE und Reply France Sas, die als gemeinsame Verantwortliche handeln, verarbeitet werden. Zudem können die Daten im erforderlichen Maß für die Verwaltung des Verfahrens, das zur Überprüfung der Einhaltung der Unternehmensrichtlinien durch den Dienstleistungserbringer dient, verarbeitet werden.
In diesem Fall ist die Rechtsgrundlage für die Verarbeitung die Durchführung der vorvertraglichen Aktivitäten.
5.7 Die Bereitstellung der Daten ist für die Erfüllung der oben genannten Zwecke erforderlich; ihre fehlende, teilweise oder ungenaue Bereitstellung könnte daher zur Folge haben, dass es der Gesellschaft objektiv unmöglich ist, die Vertragsbeziehung einzugehen oder regelmäßig fortzusetzen oder die vom potenziellen Lieferanten angebotenen Dienstleistungen zu bewerten.
6. Aufbewahrungsfrist
6.1 Die für die in Artikel 5 genannten Vertragszwecke erhobenen Daten des Lieferanten werden für die gesamte Dauer des Vertrags und nicht länger als 10 Jahre nach dessen Beendigung gespeichert. Im Falle eines Rechtsstreits werden die Daten für die gesamte Dauer des Rechtsstreits und bis zum Ablauf der Geltungsdauer des Rechtsmittels aufbewahrt.
6.2 Die Daten der Mitarbeiter/Berater des Lieferanten, die erhoben und verwendet werden, um den Mechanismus der starken Authentifizierung für die Reply-Dienste durchzusetzen, werden für 6 Monate gespeichert, nachdem die mobile App für starke Authentifizierung und der Benutzer vom Reply-Dienst für starke Authentifizierung abgemeldet wurden.
6.3 Die personenbezogenen Daten potenzieller Lieferanten werden nach Eingang ihrer Anfrage sechs Monate lang gespeichert, es sei denn, sie werden in der Zwischenzeit Lieferant; in diesem Fall gelten die in den vorstehenden Punkten 6.1 und 6.2 genannten Aufbewahrungsfristen.
6.4 Nach Ablauf der vorstehenden Aufbewahrungsfristen werden die Daten im Einklang mit den technischen Löschungsverfahren und Sicherheitskopieverfahren vernichtet oder anonymisiert.
7. Datenempfänger
7.1 Die Daten können an Personen weitergegeben werden, die als Verantwortliche handeln, oder im Auftrag der Gesellschaft durch externe Personen verarbeitet werden, die zu Auftragsverarbeitern ernannt und denen angemessene, das Vorgehen betreffende Anweisungen erteilt wurden. Diese Personen lassen sich grundsätzlich einer der folgenden Kategorien zuordnen:
a) Kunden
b) Versicherungsgesellschaften
c) Freiberufler
d) Bank- und Kreditinstitute
e) Personen, deren Zugriffsrecht auf die Daten in einem Gesetz, einer Verordnung oder anwendbarem Recht verankert ist
f) Personen, an die die Übermittlung personenbezogener Daten für die Verwaltung der Vertragsbeziehung mit den Kunden notwendig oder zumindest zweckdienlich ist
g) Die jeweilige Holdinggesellschaft von Reply(2), die im Sinne der vorstehenden Punkte 5.3 und 5.4 als Auftragsverarbeiter gilt
h) Lieferanten, die von Reply beauftragt wurden, das Management und den Betrieb von Reply-Diensten zu unterstützen, die von den Mitarbeitern/Beratern des Lieferanten genutzt werden.
8. Datenübermittlung Ausserhalb der EU
8.1 Personenbezogene Daten potenzieller Lieferanten aus der EU/dem Vereinigten Königreich können mit deren ausdrücklicher Zustimmung von Reply S.p.A. für vorvertragliche Aktivitäten im Ausland auch in Länder außerhalb der EU/des Vereinigten Königreichs in Länder übertragen werden, in denen Unternehmen der Reply-Gruppe ihren Sitz haben (siehe "Bürostandorte" unter www.reply.com).
8.2 In Ermangelung eines Angemessenheitsbeschlusses der Europäischen Kommission bezüglich des Schutzniveaus, das diese Länder den betroffenen Personen gemäß Art. 45 der Datenschutz-Grundverordnung, stellt Reply sicher, dass die Übermittlung in Übereinstimmung mit den geltenden Anforderungen durchgeführt wird, um ein angemessenes Datenschutzniveau zu gewährleisten.
8.3 Wenn die betroffenen Personen mit einer solchen Datenübermittlung nicht mehr einverstanden sind oder weitere Informationen benötigen, können sie sich jederzeit per E-Mail an supplier.privacy@reply.com wenden.8.1 Die Daten können ins Ausland, sprich an Länder außerhalb der EU, übermittelt werden.
9. Rechte Betroffener Personen
9.1 Betroffene Personen können vom Verantwortlichen Auskunft über die ihre Person betreffenden Daten, die Berichtigung ungenauer Daten oder die Vervollständigung unvollständiger Daten, die Löschung der Daten, die Einschränkung der Verarbeitung in den in Artikel 18 DSGVO vorgesehenen Fällen sowie den Erhalt der Daten in einem strukturierten, gängigen, maschinenlesbaren Format verlangen sowie, soweit technisch möglich, die Übertragung der Daten an einen anderen Verantwortlichen ohne Behinderung des ursprünglichen Verantwortlichen in den Fällen fordern, in denen die Umstände für die Ausübung des Rechts auf Datenübertragbarkeit gemäß Artikel 20 DSGVO gegeben sind (die Verarbeitung erfolgt auf der Grundlage der Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf der Grundlage eines Vertrags gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO oder sie erfolgt durch automatisierte Mittel).
Betroffene Personen haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, Widerspruch gegen die Verarbeitung zur Erfüllung der Zwecke einzulegen, soweit die Verarbeitung auf dem berechtigten Interesse der Gesellschaft beruht.
Betroffene Personen haben jederzeit das Recht, ihre Einwilligung für die Zwecke zu widerrufen, die auf der Einwilligung nach 5.2 beruhen.
9.2 Diese Rechte können durch ein Schreiben per Postsendung an die Gesellschaft, um genau zu sein, den Sitz des Verantwortlichen, oder per E-Mail an supplier.privacy@reply.com ausgeübt werden.
9.3 Betroffene Personen haben zudem das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde gemäß Artikel 77 DSGVO einzulegen (im Konkreten in dem Mitgliedstaat, in dem sie ihren gewöhnlichen Aufenthalt haben oder in dem sich ihr Arbeitsplatz befindet, bzw. an dem Ort, an dem die mutmaßliche Verletzung stattfand).
(1) - Gemäß Artikel 4 DSGVO bezeichnet „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang bzw. jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
(2) - Reply S.p.A. für Italien, Reply SE für Deutschland und Reply LTD für das Vereinigte Königreich und Reply France Sas für Frankreich.