1) Am 25. Mai 2018 trat die VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (im Folgenden kurz „Verordnung” oder „DSGVO” genannt)

2) Artikel 4 Absatz 1 Nummer 7 der DSGVO definiert den Verantwortlichen als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet”;

3) Gemäß Artikel 26 Absatz 1 DSGVO „sind zwei oder mehr Verantwortliche gemeinsam die Verantwortlichen, wenn sie gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Sie legen in einer internen Vereinbarung auf transparente Weise ihre jeweiligen Verantwortlichkeiten für die Einhaltung der Verpflichtungen aus dieser Verordnung, insbesondere hinsichtlich der Ausübung der Rechte der betroffenen Person, und ihre jeweiligen Aufgaben bei der Bereitstellung der Informationen gemäß den Artikeln 13 und 14 fest, es sei denn, ihre jeweiligen Verantwortlichkeiten sind durch das Unionsrecht oder das Recht des Mitgliedstaats, dem die Verantwortlichen unterliegen, festgelegt. In dieser Vereinbarung kann eine Kontaktstelle für die betroffenen Personen benannt werden.“

4) Gemäß Art. 13 Absatz 5 des GESETZESDEKRETS Nr. 24 vom 10. März 2023 legen die Akteure des privaten Sektors, die Ressourcen für die Entgegennahme und Bearbeitung von Meldungen gemäß Artikel 4 Absatz 4 gemeinsam nutzen, in einer internen Vereinbarung auf transparente Weise ihre jeweiligen Verantwortlichkeiten hinsichtlich der Einhaltung der Verpflichtungen zum Schutz personenbezogener Daten gemäß Artikel 26 der Verordnung (EU) 2016/679 oder Artikel 23 des Gesetzesdekrets Nr. 51 von 2018 fest.

5) Die Vertragsparteien beabsichtigen, die gegenseitigen Rechte und Pflichten, die sich aus der strikten Einhaltung der in der DSGVO enthaltenen Vorschriften und Grundsätze ergeben, insbesondere hinsichtlich der Ausübung der Rechte der betroffenen Person sowie ihrer jeweiligen Rolle bei der Übermittlung von Informationen an die betroffenen Personen, durch die Unterzeichnung dieser Vereinbarung transparent zu regeln.

6) Die Parteien beabsichtigen, eine Informationsplattform zum Schutz von Personen zu nutzen, die Verstöße gegen das Unionsrecht melden, und Bestimmungen zum Schutz von Personen zu erlassen, die Verstöße gegen nationale Rechtsvorschriften melden (Whistleblowing-Regelung).

7) Mit der Unterzeichnung dieser Vereinbarung beabsichtigen die Parteien, die Beziehung der gemeinsamen Verantwortlichkeit bei der Verarbeitung personenbezogener Daten, die im Folgenden näher beschrieben wird, und insbesondere ihre jeweiligen Rollen und Verantwortlichkeiten gegenüber den betroffenen Personen zu regeln.

Artikel 1 – Vorläufige Vereinbarungen

1. Im Rahmen ihrer jeweiligen Verantwortlichkeiten, wie sie in dieser Vereinbarung festgelegt sind, müssen die gemeinsamen Verantwortlichen jederzeit ihren Verpflichtungen gemäß dieser Vereinbarung nachkommen und die Daten so verarbeiten, dass sie nicht gegen geltende gesetzliche Bestimmungen verstoßen und die jeweils von der Aufsichtsbehörde genehmigten Leitlinien und Verhaltenskodizes vollständig einhalten.

2. Zwischen den Parteien besteht gemäß den Bestimmungen von Art. 26 Abs. 3 der Verordnung und unabhängig von den Bestimmungen dieser Vereinbarung Einvernehmen darüber, dass die betroffene Person ihre Rechte gegenüber jedem Mitverantwortlichen für die Verarbeitung ausüben kann.

3. Im Einklang mit ihrer Mission und ihren Werten verpflichten sich die gemeinsamen Verantwortlichen gegenseitig, die personenbezogenen Daten jeder natürlichen Person, die mit ihnen in Kontakt steht oder mit ihnen arbeitet, unter Achtung der Identität, der Würde jedes Menschen und der verfassungsmäßig garantierten Grundfreiheiten zu schützen, unter Einhaltung der Bestimmungen der DSGVO und der Bestimmungen des Gesetzesdekrets Nr. 24 vom 10. März 2023 in Bezug auf die Verarbeitung personenbezogener Daten sowie deren freien Verkehr und unter Einhaltung aller weiteren geltenden nationalen oder europäischen Rechtsvorschriften.

4. Auslassung.

5. Auslassung.

6. Auslassung.

7. Ein Auszug aus dieser Vereinbarung wird den betroffenen Personen auf der Website jedes einzelnen Mitverantwortlichen im entsprechenden Abschnitt zum Whistleblowing zur Verfügung gestellt.

Artikel 2 – Gegenstand der Vereinbarung.

1) Mit diesem Dokument werden die jeweiligen Verantwortlichkeiten der Parteien hinsichtlich der Einhaltung der Verpflichtungen aus der Verordnung sowie aus den jeweils geltenden gesetzlichen Bestimmungen zur Verarbeitung personenbezogener Daten festgelegt. Mit diesem Dokument werden auch die jeweiligen Verpflichtungen hinsichtlich der Ausübung der Rechte der betroffenen Personen und die jeweiligen Rollen für jede geltende gesetzliche Verpflichtung festgelegt.

2) Mit dieser Vereinbarung vereinbaren die gemeinsamen Verantwortlichen, dass die Verarbeitung personenbezogener Daten gemäß Art. 4.2 der Verordnung durch die gemeinsame Nutzung der Anwendung erfolgt, wie im Gesetzesdekret 24/23, dem sogenannten Whistleblowing-Dekret, vorgesehen.

3) Die dieser Vereinbarung zugrunde liegenden Tätigkeiten umfassen die Verarbeitung der folgenden Kategorien personenbezogener Daten: Allgemeine personenbezogene Daten (z. B. Vorname, Nachname, Art der Beziehung zum Unternehmen, Einstufung, Funktion, Qualifikation, Telefonnummer, E-Mail-Adresse usw.), besondere personenbezogene Daten (ehemals „sensible Daten” Art. 9 der DSGVO) und gerichtliche Daten (wie strafrechtliche Verurteilungen und Straftaten, Art. 10 DSGVO), die gegebenenfalls in der Meldung und den ihr beigefügten Unterlagen und Dokumenten enthalten sind und sich auf alle identifizierten oder identifizierbaren natürlichen Personen beziehen, die in unterschiedlicher Weise an den gemeldeten Vorfällen beteiligt sind (Meldender, Gemeldeter, Vermittler, eventuelle andere Dritte), die sogenannten betroffenen Personen.

Artikel 3 – Dauer und Auswirkungen der Auflösung des Vertrags

1. Die vorliegende Vereinbarung, die durch Beschluss der jeweiligen Verwaltungsräte ...omissis... angenommen wurde, gilt auf unbestimmte Zeit, wobei die Parteien das Recht haben, mit einer Frist von 6 (sechs) Monaten per Einschreiben mit Rückschein oder zertifizierter E-Mail an die anderen Mitinhaber zu kündigen.

2. Omissis.

3. Omissis.

Artikel 4 – Verpflichtungen zwischen den Parteien

1. Der Schutz personenbezogener Daten basiert auf der Einhaltung der in diesem Dokument dargelegten Grundsätze, zu deren Verbreitung, Einhaltung und Durchsetzung sich die gemeinsamen Verantwortlichen gegenüber ihren Verwaltungsratsmitgliedern, Mitarbeitern und Mitarbeitern sowie gegenüber Dritten, mit denen sie bei der Ausübung ihrer Tätigkeit zusammenarbeiten, verpflichten. Insbesondere verpflichten sich die gemeinsamen Verantwortlichen, dafür zu sorgen, dass die Vorschriften zum Schutz personenbezogener Daten und die sich daraus ergebenden Konsequenzen von allen internen und externen Personen, die an den Tätigkeiten der gemeinsamen Verantwortlichen beteiligt sind, unter Berücksichtigung ihrer konkreten Situation, ihrer Möglichkeiten, auch wirtschaftlicher Art, und ihrer Werte verstanden, umgesetzt und unterstützt werden.

2. Die gemeinsamen Verantwortlichen verpflichten sich, die Vertraulichkeit und den Schutz der personenbezogenen Daten, die aufgrund der gemeinsamen Verantwortung erhoben, verarbeitet und genutzt werden, zu wahren und zu gewährleisten. Insbesondere verpflichten sie sich, auch getrennt voneinander, zu Folgendem: a) personenbezogene Daten auf rechtmäßige, korrekte und transparente Weise in Übereinstimmung mit den Verfassungsgrundsätzen und den geltenden Rechtsvorschriften, insbesondere der DSGVO, und nur für den Zeitraum zu verarbeiten, der für die vorgesehenen Zwecke, einschließlich derjenigen zur Erfüllung gesetzlicher Verpflichtungen, unbedingt erforderlich ist; b) personenbezogene Daten nur in dem Umfang zu erheben, der für die Durchführung der Tätigkeiten des gemeinsamen Projekts unerlässlich ist (relevante und begrenzte personenbezogene Daten); c) personenbezogene Daten nur für die in ihren Datenschutzerklärungen angegebenen spezifischen Zwecke zu verarbeiten; d) Verfahren zur Aktualisierung und Berichtigung der verarbeiteten personenbezogenen Daten einzuführen, um sicherzustellen, dass die personenbezogenen Daten so weit wie möglich korrekt und aktuell sind; e) die in ihrem Besitz befindlichen personenbezogenen Daten mit den besten verfügbaren Aufbewahrungstechniken zu speichern und zu schützen; f) die kontinuierliche Aktualisierung der Maßnahmen zum Schutz personenbezogener Daten zu gewährleisten. Diese Verpflichtung wird im Rahmen des Grundsatzes der Rechenschaftspflicht kontinuierlich verfolgt, indem stets geeignete technische und organisatorische Maßnahmen sowie geeignete Richtlinien umgesetzt werden, um sicherzustellen und nachweisen zu können, dass die Verarbeitung unter Berücksichtigung des Stands der Technik, der Art der gespeicherten personenbezogenen Daten und der Risiken, denen sie ausgesetzt sind, in Übereinstimmung mit der DSGVO erfolgt. Jeder Mitverantwortliche führt eine regelmäßige Überwachung des erreichten Sicherheitsniveaus durch, um sicherzustellen, dass es stets dem Risiko angemessen ist; g) die rechtzeitige Wiederherstellung der Verfügbarkeit personenbezogener Daten im Falle eines physischen oder technischen Vorfalls zu gewährleisten h) die Modalitäten der Verarbeitung personenbezogener Daten und deren Speicherung klar, transparent und relevant zu gestalten, um eine angemessene Sicherheit zu gewährleisten; i) Förderung der Entwicklung eines Verantwortungsbewusstseins und eines Bewusstseins für personenbezogene Daten in der gesamten Organisation; l) Vorbeugung und Minimierung der Auswirkungen potenzieller Verstöße oder unrechtmäßiger und/oder schädlicher Verarbeitungen personenbezogener Daten im Rahmen der verfügbaren Ressourcen; m) seinen Mitarbeitern eine angemessene Schulung zu den Whistleblowing-Vorschriften und zum Konzept der „Meldung”, zur korrekten Nutzung des Kanals und zu den Sanktionen im Falle eines Verstoßes zu gewährleisten; n) die Aufnahme des Schutzes personenbezogener Daten in den Plan zur kontinuierlichen Verbesserung zu fördern, den der Mitverantwortliche mit seinen Managementsystemen verfolgt.

3. Auslassung.

Artikel 5 – Aufbewahrungsfrist der Daten

Interne Meldungen und die dazugehörigen Unterlagen werden so lange aufbewahrt, wie es für die Bearbeitung der Meldung zur Verfolgung der Zwecke, für die sie erhoben wurden, erforderlich ist, gemäß den gesetzlichen Bestimmungen oder in jedem Fall, um dem Unternehmen den Schutz seiner eigenen Rechte und Interessen oder der Rechte und Interessen Dritter zu ermöglichen (z. B. Verteidigung vor Gericht). Die Daten werden 5 Jahre nach Abschluss der Meldung von der Plattform gelöscht. Personenbezogene Daten, die offensichtlich für die Bearbeitung einer bestimmten Meldung nicht relevant sind, werden nicht erhoben oder, falls sie versehentlich erhoben wurden, unverzüglich gelöscht. Es bleibt jedoch dabei, dass, falls der Verantwortliche beschließt, ein Disziplinarverfahren einzuleiten oder ein Gerichts- oder Verwaltungsverfahren oder ein Schieds- oder Schlichtungsverfahren einzuleiten, die personenbezogenen Daten der betroffenen Personen für die Dauer des Verfahrens oder für die Verjährungsfrist der Rechte, für deren Feststellung, Ausübung oder Verteidigung die Verarbeitung erforderlich ist, aufbewahrt werden, auch wenn diese Zeiträume die oben angegebenen Aufbewahrungsfristen überschreiten.

Artikel 6 – Zur Verarbeitung befugte Personen (und Beauftragte)

1. Der Muttergesellschaft Gruppo Concorde S.p.A. wurde die Aufgabe übertragen, Meldungen bezüglich der anderen Mitverantwortlichen zu verwalten. Diese Unternehmen haben die Muttergesellschaft gemäß Art. 28 DSGVO zum Auftragsverarbeiter ernannt. Die Muttergesellschaft hat die Mitglieder des Whistleblowing-Ausschusses, bestehend aus dem Leiter der Personalabteilung, dem Leiter der IT-Abteilung und dem Finanzleiter der Gruppo Concorde, als zur Verarbeitung befugte Personen benannt. Darüber hinaus wurde der Geschäftsführer der Muttergesellschaft zum Verwalter der Meldungen der Mitglieder des Whistleblowing-Ausschusses ernannt, die speziell für diese Aufgabe befugt und geschult sind.

2. Auslassung.

3. Auslassung.

Artikel 7 – Verantwortliche für die Verarbeitung – Auslassung

Artikel 8 – Folgenabschätzung und Verletzungen des Schutzes personenbezogener Daten

1. In den in Art. 35 der DSGVO vorgesehenen Fällen obliegen die Datenschutz-Folgenabschätzung und ihre eventuelle Überprüfung sowie die vorherige Konsultation gemäß Art. 36 der DSGVO der Muttergesellschaft, die die anderen gemeinsam Verantwortlichen mit Unterzeichnung dieser Vereinbarung darüber informiert, dass sie diese Bewertung durchgeführt hat, die ein „geringes” Restrisiko ergeben hat.

2. Auslassung.

3. Auslassung.

4. Auslassung.

Artikel 9 – Entscheidungen über internationale Übermittlungen personenbezogener Daten

1. Diese Vereinbarung sieht vor, dass personenbezogene Daten innerhalb des Gebiets der Europäischen Union verarbeitet werden.

2. Auslassung.

Artikel 10 – Verfahren zur Ausübung der Rechte der betroffenen Person Anträge auf Ausübung der Rechte und etwaige Beschwerden der betroffenen Personen werden von der Muttergesellschaft bearbeitet, wobei in jedem Fall davon ausgegangen wird, dass die betroffenen Personen ihre Rechte gegenüber jedem Mitverantwortlichen ausüben können.

Artikel 11 – Überprüfung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten – Auslassung

Artikel 12 – Haftung für Verstöße gegen die Bestimmungen – Auslassung

Artikel 13 – Nichtige oder unwirksame Klauseln – Auslassung

Artikel 14 – Mitteilungen – Auslassung

Artikel 15 – Schlussbestimmungen Soweit in dieser Vereinbarung nicht ausdrücklich angegeben, wird auf die DSGVO, die geltenden gesetzlichen Bestimmungen sowie die Maßnahmen der Aufsichtsbehörde verwiesen.

Fiorano Modenese (MO), 23.12.2025