Datenschutzerklärung – Grifols Ethics Line

Datenschutzhinweis in anderen Sprachen verfügbar.

Grifols ist ein weltweit tätiger Gesundheitskonzern, der 1909 in Barcelona gegründet wurde, um die Gesundheit und das Wohlbefinden von Menschen auf der ganzen Welt zu verbessern. Die drei Hauptgeschäftsbereiche Biopharma, Diagnostic und Bio Supplies entwickeln, produzieren und vermarkten innovative Lösungen und Dienstleistungen in mehr als 100 Ländern.

Grifols respektiert die Datenschutzrechte aller betroffenen Personen, die Grifols ihre personenbezogenen Daten anvertrauen, und verpflichtet sich zur Einhaltung der in jedem Land geltenden Datenschutzvorschriften.

Diese Datenschutzerklärung wurde in Übereinstimmung mit der Europäischen Datenschutz-Grundverordnung (die „DSGVO“) und den geltenden Datenschutzgesetzen erstellt; für spezifische Vorschriften siehe Abschnitt 7. Sie beschreibt die Datenerhebungspraktiken von Grifols und die Rechte der betroffenen Personen im Zusammenhang mit der Erhebung, Nutzung und Weitergabe ihrer personenbezogenen Daten durch Grifols.

Diese Datenschutzerklärung gilt für die Verarbeitung personenbezogener Daten von (a) Personen, die Fragen, Zweifel oder potenzielle Verstöße gegen Gesetze, Regeln und Vorschriften sowie interne Richtlinien und Verfahren melden, (b) den gemeldeten Personen und (c) anderen Dritten, die an dieser Meldung beteiligt sind.

1. Identifizierung des/der für die Verarbeitung Verantwortlichen/Verantwortlichen/Inhabers der personenbezogenen Daten

Die gemeinsam für die Verarbeitung Verantwortlichen/Eigentümer sind Grifols, S.A. mit dem Unternehmen der Grifols-Gruppe mit Sitz in dem jeweiligen Land, aus dem die Meldung eingegangen ist oder auf das sie sich bezieht.

Die Angaben und Kontaktdaten der Unternehmen der Grifols-Gruppe finden Sie hier. Das/die Unternehmen der Grifols-Gruppe, das/die als gemeinsame Verantwortliche fungiert/n, wird/werden als „Grifols“ bezeichnet.

2. Identifizierung des Datenschutzbeauftragten

Der Datenschutzbeauftragte fungiert als Zwischenglied zwischen Grifols und Ihnen, um die Einhaltung der Datenschutzgesetze durch Grifols sicherzustellen und Ihre Rechte im Rahmen dieser Gesetze bestmöglich zu schützen. Sie können sich an den Datenschutzbeauftragten unter dpo@grifols.com wenden, es sei denn, die für die Verarbeitung Verantwortlichen sind die Grifols Deutschland GmbH oder die Haema AG. In diesem Fall können Sie sich an den jeweiligen Datenschutzbeauftragten dieser Unternehmen unter dsb@grifols.com bzw. dsb@haema.de wenden.

Die betroffenen Personen können, wenn sie dies wünschen, den Datenschutzbeauftragten um weitere Informationen über die wesentlichen Aspekte der gemeinsamen Kontrollvereinbarung bitten, die sich aus dem ergeben, was in Abschnitt 1 dargelegt ist.

3. Zwecke und gesetzliche Grundlage für die Verarbeitung, Kategorien und Empfänger personenbezogener Daten

Zweck

Verwaltung und Dokumentieren von Berichten von Einzelpersonen, die Fragen, Zweifel oder potenzielle Verstöße gegen Gesetze, Regeln und Vorschriften sowie interne Richtlinien und Verfahren behandeln, einschließlich der relevanten Beurteilung der gemeldeten Tatsachen und der Annahme entsprechender Disziplinarmaßnahmen und geeigneter rechtlicher Schritte gegen die Täter.

Kategorien personenbezogener Daten und Empfänger

Kategorien personenbezogener Daten:

Identifikationsdaten und persönliche Merkmale¹.
Private Kontaktdaten².
Berufliche Daten³.
Sonderkategorien von personenbezogenen Daten⁴.
Strafrechtliche Daten (mögliche Verstöße gegen Gesetze, Regeln und Vorschriften sowie interne Richtlinien und Verfahren)

Empfänger:

Unternehmen der Grifols-Gruppe.
Produkt- und Dienstleistungsanbieter.
ÖffentlicheEinrichtungen.

Gesetzliche Grundlage

Gesetzliche Verpflichtung

Öffentliches Interesse: Wenn Grifols (a) nicht gesetzlich verpflichtet ist, ein Whistleblowing-System zu haben, und (b) die Ergebnisse seiner eigenen Untersuchungen an öffentliche Organisationen oder andere öffentlich befugte Organisationen weitergibt.

Berechtigtes Interesse: bei der Weitergabe an die Unternehmen der Grifols-Gruppe zu internen Verwaltungszwecken.

Einwilligung: zur Dokumentation mündlicher Berichte.

¹Zum Beispiel Name, Nachname und persönliche Merkmale in der sachlichen Beschreibung des Problems.

²Zum Beispiel private Telefonnummer, E-Mail-Adresse und Adresse.

³ Zum Beispiel der Status Mitarbeiter oder nicht, Titel/Position und Arbeitsort.

⁴ Zum Beispiel Gesundheitsdaten, Sexualleben und sexuelle Orientierung oder ethnische Herkunft, politische Meinungen, Gewerkschaftsmitgliedschaft, genetische Daten, biometrische Daten und religiöse oder weltanschauliche Überzeugungen.

¹Zum Beispiel Name, Nachname und persönliche Merkmale in der sachlichen Beschreibung des Problems.

²Zum Beispiel private Telefonnummer, E-Mail-Adresse und Adresse.

³ Zum Beispiel der Status Mitarbeiter oder nicht, Titel/Position und Arbeitsort.

⁴ Zum Beispiel Gesundheitsdaten, Sexualleben und sexuelle Orientierung oder ethnische Herkunft, politische Meinungen, Gewerkschaftsmitgliedschaft, genetische Daten, biometrische Daten und religiöse oder weltanschauliche Überzeugungen.
Zweck	Kategorien personenbezogener Daten und Empfänger	Gesetzliche Grundlage
Verwaltung und Dokumentieren von Berichten von Einzelpersonen, die Fragen, Zweifel oder potenzielle Verstöße gegen Gesetze, Regeln und Vorschriften sowie interne Richtlinien und Verfahren behandeln, einschließlich der relevanten Beurteilung der gemeldeten Tatsachen und der Annahme entsprechender Disziplinarmaßnahmen und geeigneter rechtlicher Schritte gegen die Täter.	Kategorien personenbezogener Daten: Identifikationsdaten und persönliche Merkmale¹. Private Kontaktdaten². Berufliche Daten³. Sonderkategorien von personenbezogenen Daten⁴. Strafrechtliche Daten (mögliche Verstöße gegen Gesetze, Regeln und Vorschriften sowie interne Richtlinien und Verfahren) Empfänger: Unternehmen der Grifols-Gruppe. Produkt- und Dienstleistungsanbieter. ÖffentlicheEinrichtungen.	Gesetzliche Verpflichtung Öffentliches Interesse: Wenn Grifols (a) nicht gesetzlich verpflichtet ist, ein Whistleblowing-System zu haben, und (b) die Ergebnisse seiner eigenen Untersuchungen an öffentliche Organisationen oder andere öffentlich befugte Organisationen weitergibt. Berechtigtes Interesse: bei der Weitergabe an die Unternehmen der Grifols-Gruppe zu internen Verwaltungszwecken. Einwilligung: zur Dokumentation mündlicher Berichte.

Unbeschadet der in der obigen Tabelle aufgeführten Kategorien personenbezogener Daten möchten wir Sie darauf hinweisen, dass die Kategorien personenbezogener Daten, die zur Einhaltung gesetzlicher Verpflichtungen verarbeitet werden, je nach Gerichtsbarkeit des jeweiligen Datenverantwortlichen unterschiedlich sein können.

3.1. Zusätzliche Informationen über die gesetzliche Grundlage für die Verarbeitung personenbezogener Daten

Die obige Tabelle zeigt die anwendbare gesetzliche Grundlage für die Verarbeitung der personenbezogenen Daten nach Zweck. In diesem Abschnitt finden Sie weitere Einzelheiten zur Rechtmäßigkeit der Verarbeitung:

Rechtliche Verpflichtung: gilt, wenn die Verarbeitung personenbezogener Daten erforderlich ist, um den für Grifols geltenden rechtlichen Verpflichtungen nachzukommen. Abschnitt 7 enthält nähere Einzelheiten zu den spezifischen Vorschriften, die für Grifols gelten und die Verarbeitung personenbezogener Daten erfordern. Die Nichtbereitstellung der angeforderten personenbezogenen Daten könnte dazu führen, dass Grifols nicht in der Lage ist, diesen rechtlichen Verpflichtungen nachzukommen.
Öffentliches Interesse: Grifols muss die personenbezogenen Daten für die Erfüllung einer Aufgabe verarbeiten, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgt.
Berechtigtes Interesse (von Grifols und/oder Dritten): Grifols muss Verstöße gegen geltende Gesetze, Vorschriften und interne Richtlinien und Verfahren im Einklang mit seinen Unternehmensgrundsätzen und -werten aufdecken, bewerten und verhindern. Daher verfolgt Grifols die folgenden berechtigten Interessen, die den Grundrechten und Freiheiten der betroffenen Personen überwiegen, da die Verarbeitung im Rahmen der vernünftigen Erwartungen der betroffenen Personen aufgrund ihrer Beziehung zu Grifols erfolgt:
- Betrugsprävention und
- Tägliches Management einer multinationalen Unternehmensgruppe und interne Verwaltung, d. h. der Austausch von Informationen mit den Unternehmen der Grifols-Gruppe.

In jedem Fall können betroffene Personen weitere Informationen über das berechtigte Interesse anfordern oder ihr Recht auf Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten aufgrund des berechtigten Interesses ausüben, indem sie ihre Anfrage an privacy@grifols.com richten.

Einwilligung: Sie muss durch eine eindeutige bestätigende Handlung eingeholt werden, z. B. durch Anklicken von Zustimmungsschaltflächen oder Ähnlichem und für einen bestimmten Zweck. Die betroffenen Personen können ihre Zustimmung jederzeit widerrufen, wie in Abschnitt 6 beschrieben. Die Verweigerung der Zustimmung durch die betroffene Person hat keine negativen Auswirkungen auf ihr Vertragsverhältnis mit Grifols.

Die Verarbeitung besonderer Kategorien personenbezogener Daten und von Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten ist nur gemäß den Vorschriften des jeweiligen Landes zulässig. Siehe Abschnitt 7 für weitere Einzelheiten.

3.2. Empfänger personenbezogener Daten

Die obige Tabelle zeigt Kategorien von Empfängern, mit denen Grifols personenbezogene Daten teilen kann, nach Zweck. Dieser Abschnitt enthält ggf. zusätzliche Informationen zu diesen Empfängern:

Unternehmen der Grifols-Gruppe: Die Liste finden Sie hier.
Produkt- und Dienstleistungsanbieter: zum Beispiel Anbieter von Informationstechnologie und Rechtsanwälte.
Öffentliche Einrichtungen: zum Beispiel Regierungsorganisationen, Polizei- oder Justizbehörden.

Grifols wird sich bemühen, dass die personenbezogenen Daten nur in Länder übermittelt werden, die ein angemessenes Datenschutzniveau bieten. Wenn die personenbezogenen Daten in Ländern verarbeitet werden, die dieses Schutzniveau nicht bieten, werden Grifols und/oder die Anbieter (je nach Fall) bei Bedarf geeignete Vorkehrungen treffen, (z. B. die Standardvertragsklauseln des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021), um derartige internationale Datenübermittlungen gemäß den geltenden Datenschutzgesetzen durchzuführen. Spezifische Informationen über angemessene Sicherheitsvorkehrungen, die für alle internationalen Datenübertragungen gelten, erhalten Sie bei Grifols unter privacy@grifols.com.

Grifols gibt personenbezogene Daten nur dann an Dritte weiter, wenn dies von der betroffenen Person genehmigt oder gesetzlich vorgeschrieben ist.

4. Speicherfrist

Grifols bewahrt die personenbezogenen Daten so lange auf, wie dies für die Erfüllung der Zwecke, für die sie erhoben wurden, unbedingt erforderlich ist, oder, falls zutreffend, bis zum Ende der Verjährungsgesetze für etwaige Verbindlichkeiten bzw. während der Dauer, die erforderlich ist, um einer anwendbaren gesetzlichen Verpflichtung nachzukommen.

5. Quellen personenbezogener Daten

Wenn betroffene Personen Grifols ihre personenbezogenen Daten nicht direkt zur Verfügung stellen, kann Grifols die personenbezogenen Daten von der meldenden Person und von Dritten, die an der Meldung beteiligt sind (z. B. Manager/Vorgesetzte und Zeugen), beziehen.

Wenn die Person, die Meldung macht, personenbezogene Daten Dritter zur Verfügung stellt, wird Grifols diesen Dritten diese Datenschutzerklärung zur Verfügung stellen. Die Bereitstellung dieser Datenschutzerklärung an diese Dritten könnte sich verzögern, wenn Grifols nach einer Einzelfallanalyse der Ansicht ist, dass die frühzeitige Bereitstellung dieser Informationen die Untersuchung beeinträchtigen könnte.

6. Datenschutzrechte

Die folgenden Datenschutzrechte gelten gemäß der DSGVO. Grifols verpflichtet sich, andere Datenschutzrechte zu respektieren, die in Übereinstimmung mit den Datenschutzgesetzen des jeweiligen Landes gelten können.

Rechte

Zugang

Inhalt: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Ihre personenbezogenen Daten verarbeitet werden und, ist dies der Fall, Sie haben das Recht auf Auskunft über Ihre personenbezogenen Daten, die in Grifols Akten aufgeführt sind.

Berichtigung

Inhalt: Bei Unrichtigkeit können Sie die Berichtigung Ihrer personenbezogenen Daten verlangen.

Löschen

Inhalt: Sie können das Löschen Ihrer personenbezogenen Daten verlangen.

Einwände

Inhalt: Unter bestimmten Umständen können Sie verlangen, dass Ihre personenbezogenen Daten nicht verarbeitet werden.

Übertragbarkeit

Inhalt: Sie können den Erhalt der personenbezogenen Daten, die Sie Grifols zur Verfügung gestellt haben, in einer elektronischen Datei verlangen, und haben das Recht, diese an andere Parteien zu übermitteln.

Einschränkung der Verarbeitung

Inhalt

Sie können eine Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen, wenn:

die Richtigkeit der personenbezogenen Daten überprüft wird, nachdem Sie ihre Richtigkeit bestritten haben.
die Verarbeitung Ihrer personenbezogenen Daten rechtswidrig ist und Sie der Löschung widersprechen.
Grifols die personenbezogenen Daten nicht mehr für die Zwecke der Verarbeitung benötigt, Sie diese jedoch zur Vorbereitung, Ausübung oder Verteidigung eines Rechtsanspruchs benötigen.
Sie der Verarbeitung der personenbezogenen Daten zur Erfüllung einer Aufgabe widersprochen haben, die im öffentlichen Interesse liegt oder für die Zwecke eines berechtigten Interesses erforderlich ist, während Sie überprüfen, ob die berechtigten Gründe von Grifols Ihren überwiegen

Widerruf der Einwilligung

Inhalt: Sie können Ihre Einwilligung widerrufen, ohne dass die Rechtmäßigkeit der Verarbeitung, die auf der Einwilligung vor deren Widerruf beruht, berührt wird.

Rechte	Inhalt
Zugang	Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Ihre personenbezogenen Daten verarbeitet werden und, ist dies der Fall, Sie haben das Recht auf Auskunft über Ihre personenbezogenen Daten, die in Grifols Akten aufgeführt sind.
Berichtigung	Bei Unrichtigkeit können Sie die Berichtigung Ihrer personenbezogenen Daten verlangen.
Löschen	Sie können das Löschen Ihrer personenbezogenen Daten verlangen.
Einwände	Unter bestimmten Umständen können Sie verlangen, dass Ihre personenbezogenen Daten nicht verarbeitet werden.
Übertragbarkeit	Sie können den Erhalt der personenbezogenen Daten, die Sie Grifols zur Verfügung gestellt haben, in einer elektronischen Datei verlangen, und haben das Recht, diese an andere Parteien zu übermitteln.
Einschränkung der Verarbeitung	Sie können eine Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen, wenn: die Richtigkeit der personenbezogenen Daten überprüft wird, nachdem Sie ihre Richtigkeit bestritten haben. die Verarbeitung Ihrer personenbezogenen Daten rechtswidrig ist und Sie der Löschung widersprechen. Grifols die personenbezogenen Daten nicht mehr für die Zwecke der Verarbeitung benötigt, Sie diese jedoch zur Vorbereitung, Ausübung oder Verteidigung eines Rechtsanspruchs benötigen. Sie der Verarbeitung der personenbezogenen Daten zur Erfüllung einer Aufgabe widersprochen haben, die im öffentlichen Interesse liegt oder für die Zwecke eines berechtigten Interesses erforderlich ist, während Sie überprüfen, ob die berechtigten Gründe von Grifols Ihren überwiegen
Widerruf der Einwilligung	Sie können Ihre Einwilligung widerrufen, ohne dass die Rechtmäßigkeit der Verarbeitung, die auf der Einwilligung vor deren Widerruf beruht, berührt wird.

Sie können Ihre Datenschutzrechte gegebenenfalls ausüben, indem Sie beispielsweise eine schriftliche Mitteilung an Grifols unter privacy@grifols.com mit der Betreffzeile „Whistleblowing“ senden. Zu diesem Zweck kann Grifols weitere Informationen oder Dokumente anfordern, falls erforderlich und wie dies angemessen ist, um Ihre Personalien festzustellen.

Für Einwohner in den USA wenden Sie sich bitte an das Privacy Office unter US-PrivacyRights@Grifols.com.

Darüber hinaus können Sie eine Beschwerde bei einer Datenschutzbehörde einreichen, einschließlich der an Ihrem Wohnsitz, Arbeitsplatz oder dem Ort des mutmaßlichen Verstoßes.

7. Spezifische Vorschriften

Österreich

Die Rechte auf Auskunft, Zugang, Berichtigung, Löschung, Einschränkung der Verarbeitung und Meldung von Verletzungen des Schutzes personenbezogener Daten sind nicht anwendbar, wenn dies erforderlich ist, um die Identität einer Person zu schützen oder um zu verhindern, dass Folgemaßnahmen behindert oder untergraben werden, insbesondere während der Dauer von Ermittlungs-, Verwaltungs- oder Gerichtsverfahren.

Tschechische Republik

Die in Abschnitt 3 genannte gesetzliche Verpflichtung ist im Tschechischen Gesetz Nr. 171/2023 vom 2. Juni 2023 geregelt.

Europäische Union

Die rechtmäßige Grundlage für die Verarbeitung der in Abschnitt 3 genannten personenbezogenen Daten ist in den folgenden Bestimmungen der DSGVO geregelt:

Gesetzliche Verpflichtung: Artikel 6.1(c) der DSGVO
Öffentliches Interesse: Artikel 6.1 (e) der DSGVO
Berechtigtes Interesse (von Grifols und/oder einem Dritten): Artikel 6.1(f) der DSGVO
Einwilligung: Artikel 6.1(a) der DSGVO

Die Verarbeitung besonderer Kategorien personenbezogener Daten erfolgt zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Artikel 9.2(f) der DSGVO) oder aus Gründen eines wichtigen öffentlichen Interesses auf der Grundlage der Whistleblowing-Richtlinie und ihrer lokalen Durchführungsbestimmungen (Artikel 9.2(g) der DSGVO).

Die Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten ist nur unter der Kontrolle einer Behörde oder im Rahmen der Erfüllung gesetzlicher Verpflichtungen zulässig (Artikel 10 der DSGVO).

Die in Abschnitt 3 genannte gesetzliche Verpflichtung ist in der Richtlinie 2019/1937 zum Schutz von Hinweisgebern und in den umgesetzten nationalen Gesetzen der EU-Mitglieder geregelt.

Frankreich

Die in Abschnitt 3 genannte gesetzliche Verpflichtung ist im Gesetz Nr. 2022-401 vom 21. März 2022 geregelt.

Wenn Grifols France S.A.R.L. der für die Verarbeitung Verantwortliche ist, haben die betroffenen Personen das Recht, Unterstützung bei der Verwaltung ihrer Daten nach ihrem Tod zu geben.

Italien

Die Rechte der betroffenen Person werden möglicherweise nicht berücksichtigt, wenn eine tatsächliche und konkrete Beeinträchtigung der Vertraulichkeit der Identität des Hinweisgebers denkbar ist. Die gemeldete betroffene Person kann jedoch ihre Rechte über die Garante (italienische Datenschutzbehörde) gemäß Artikel 160 des italienischen Datenschutzgesetzes geltend machen, wie in Artikel 2 Absatz 3 des Datenschutzgesetzes vorgesehen.

Die in Abschnitt 3 genannte gesetzliche Verpflichtung ist im Hinweisgeberschutzgesetz (179/2017) geregelt.

Irland

Die in Abschnitt 3 genannte gesetzliche Verpflichtung ist im Protected Disclosure (Amendment) Act von 2022 geregelt.

Portugal

Die in Abschnitt 3 genannte gesetzliche Verpflichtung ist im Gesetz Nr. 93/2021 vom 20. Dezember geregelt.

Wenn Grifols Portugal – Produtos Farmacêuticos e Hospitalares, Lda. der für die Verarbeitung Verantwortliche ist, haben die betroffenen Personen das Recht, Unterstützung bei der Verwaltung ihrer Daten nach ihrem Tod zu geben. Wenn die verstorbenen betroffenen Personen keine Vorgabe zur Verwaltung ihrer Daten gemacht haben, kann die Ausübung ihrer in Abschnitt 6 definierten Datenschutzrechte durch ihre Erben erfolgen. Die betroffenen Personen können auch feststellen, ob die Ausübung dieser Rechte nach ihrem Tod nicht möglich sein soll.

Bei Vorliegen einer gesetzlichen Geheimhaltungspflicht können die Rechte der betroffenen Personen nicht ausgeübt werden.

Volksrepublik China

Festland-China: Wenn die personenbezogenen Daten der betroffenen Person von einem Unternehmen der Grifols-Gruppe auf dem Festland der Volksrepublik China verarbeitet werden, gilt der hier verfügbare Zusatz für die betroffene Person. Der Nachtrag wird zusätzlich zu dieser Datenschutzerklärung dargelegt und ist integraler Bestandteil dieser Datenschutzerklärung.

Spanien

Die in Abschnitt 3 genannte rechtliche Verpflichtung ist im Gesetz 2/2023 vom 20. Februar über den Schutz von Personen, die Verstöße gegen Rechtsvorschriften melden, und die Bekämpfung der Korruption geregelt.

Unbeschadet des Abschnitts 3.2 ist die Identität der Personen, die die Meldung machen, in jedem Fall vertraulich zu behandeln und darf weder den Personen, auf die sich die gemeldeten Tatsachen beziehen, noch Dritten mitgeteilt werden.

Macht die betroffene Person, auf die sich der gemeldete Sachverhalt bezieht, von ihrem Widerspruchsrecht Gebrauch, so wird bis zum Beweis des Gegenteils vermutet, dass zwingende schutzwürdige Gründe für die Verarbeitung ihrer personenbezogenen Daten vorliegen.

Schweden

Die in Abschnitt 3 genannte gesetzliche Verpflichtung ist im Whistleblowing-Gesetz (schwedisches Gesetz (2021:890) über den besonderen Schutz vor Repressalien für Arbeitnehmer, die Unregelmäßigkeiten melden) geregelt.

Vereinigtes Königreich

Alle Verweise auf die DSGVO im gesamten Dokument gelten gegebenenfalls auch für das Vereinigte Königreich, da die DSGVO Teil des Rechts von England und Wales, Schottland und Nordirland ist.