Datenschutzerklärung

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Mit dieser Datenschutzerklärung informieren wir Sie transparent über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Zusammenhang mit der Website polyflow-ehs.de sowie der Software-as-a-Service-Plattform „PolyFlow EHS“ (nachfolgend „Plattform“).

Wir richten uns bei der Verarbeitung personenbezogener Daten nach der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) sowie — soweit einschlägig — dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) für den Zugriff auf Endeinrichtungen (z. B. Cookies). Unser Ziel ist eine vollständig DSGVO-konforme Bereitstellung nach deutschem und europäischem Recht.

PolyFlow EHS richtet sich an Unternehmen (insbesondere produzierende Betriebe) und deren autorisierte Mitarbeiter. Die Erklärung gilt für Besucher der Website, für Ansprechpersonen im Rahmen der Registrierung und Testphase sowie — soweit einschlägig — für die Nutzung der Plattform durch Kunden und deren Nutzer.

Sofern wir im Rahmen der Plattformnutzung personenbezogene Daten im Auftrag unserer Kunden verarbeiten, handeln wir als Auftragsverarbeiter. In diesem Fall richten sich die Rechte der betroffenen Personen ergänzend nach dem Vertrag zur Auftragsverarbeitung (AVV) zwischen uns und dem jeweiligen Kunden.

Verantwortlicher im Sinne der Art. 4 Nr. 7 DSGVO für die in dieser Erklärung beschriebenen Verarbeitungen — soweit nicht ausdrücklich als Auftragsverarbeitung gekennzeichnet — ist:

• PolyTALENT GmbH
• Falkenbergstraße 5, 49393 Lohne, Deutschland
• E-Mail: info@polytalent.de
• Telefon: +49 4442 8885790

Für Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder zu dieser Datenschutzerklärung wenden Sie sich bitte an:

PolyTALENT GmbH — Datenschutz, Falkenbergstraße 5, 49393 Lohne, Deutschland, E-Mail: info@polytalent.de (Betreff: „Datenschutz PolyFlow EHS“).

Ein Datenschutzbeauftragter ist nach derzeitiger gesetzlicher Beurteilung nicht bestellt. Anfragen zum Datenschutz werden intern durch die Geschäftsführung bearbeitet.

Im Wesentlichen verarbeiten wir personenbezogene Daten in folgenden Kontexten:

• Bereitstellung und Sicherheit der Website (Server-Logdaten)
• Technisch notwendige Cookies bzw. Session-Informationen
• Registrierung, Onboarding und Einrichtung einer Testumgebung
• Vertrags- und Kundenverwaltung im Rahmen der Plattformnutzung
• Betrieb der EHS-Funktionen (z. B. Vorfallmeldungen, Dokumentation)
• KI-gestützte Funktionen (Google Cloud Vertex AI / Gemini, EU) einschließlich Voice Mode
• Kommunikation mit Ihnen (Support, Vertragsangelegenheiten)

Beim Aufruf unserer Website werden durch den Browser automatisch Informationen an den Server übermittelt. Diese werden temporär in Logfiles gespeichert.

• IP-Adresse (gekürzt bzw. nur soweit für Betrieb/Sicherheit erforderlich)
• Datum und Uhrzeit der Anfrage
• aufgerufene URL und Referrer-URL
• Browsertyp und -version, Betriebssystem
• HTTP-Statuscode und übertragene Datenmenge

Wir verwenden Cookies und vergleichbare Technologien, soweit dies für den Betrieb der Website und der Plattform technisch erforderlich ist.

• Session-Cookies zur Aufrechterhaltung von Anmelde- bzw. Sitzungszuständen (z. B. im Rahmen der Authentifizierung über Supabase)
• Sicherheitsrelevante Cookies zum Schutz vor unbefugtem Zugriff

Wenn Sie unsere Plattform testen oder ein Konto einrichten, erheben wir die von Ihnen im Onboarding-Wizard angegebenen Daten, insbesondere:

• Unternehmensname
• Vor- und Nachname der Ansprechperson
• E-Mail-Adresse (Kontakt und ggf. Administrator)
• Angaben zum Werk (Name, Mitarbeiterzahl, Anzahl Produktionsterminals)
• Gesamtzahl der Mitarbeiter im Unternehmen
• Konfiguration von Bereichen, Schichten und aktivierten Modulen
• Branding-Informationen (Logo, Farben, Dateiname des Logos)
• Auswahl der Datenhaltung (Cloud / Sync)

Im Rahmen der Plattformnutzung können — abhängig von der Konfiguration durch den Kunden — insbesondere folgende Daten verarbeitet werden:

• Benutzer- und Rolleninformationen autorisierter Mitarbeiter des Kunden
• EHS-bezogene Inhalte (z. B. Vorfallmeldungen, Beobachtungen, Maßnahmen, Audits, Risiken)
• Standort-, Bereichs- und Schichtzuordnungen
• Zeitstempel, Statusinformationen und Protokolldaten (Audit Trail)
• Hochgeladene Dateien und Dokumente im EHS-Kontext
• Sprachaufnahmen und transkribierte Texte im Rahmen des Voice Mode (soweit genutzt)

Verarbeiten wir personenbezogene Daten im Auftrag unserer Kunden, erfolgt dies auf Grundlage eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Wir verarbeiten die Daten ausschließlich nach Weisung des Kunden, stellen geeignete technische und organisatorische Maßnahmen bereit und unterstützen den Kunden — im Rahmen des Vertrags und der gesetzlichen Vorgaben — bei der Erfüllung von Betroffenenrechten.

Der Kunde ist für die Rechtmäßigkeit der Datenverarbeitung gegenüber seinen Beschäftigten und sonstigen betroffenen Personen verantwortlich, einschließlich der erforderlichen Informationen, Einwilligungen oder betrieblichen Vereinbarungen.

PolyFlow EHS setzt für KI-gestützte Funktionen — insbesondere Voice Mode, Transkription, Textstrukturierung, Kategorisierung von Vorfällen und Vorschläge für die EHS-Dokumentation — den Dienst Google Cloud Vertex AI ein (Gemini-Modelle sowie ggf. Google Cloud Speech-to-Text).

Die Nutzung erfolgt ausschließlich über DSGVO-konform konfigurierte Google-Cloud-Infrastruktur in der Europäischen Union. Personenbezogene Inhalte werden nicht über globale Google-Endpunkte verarbeitet, die keine Datenresidenz in der EU gewährleisten.

• Verarbeitete Daten: Sprachaufnahmen, transkribierte Texte, Meldungsinhalte, Kontext (z. B. Bereich, Schicht, Modul)
• Zweck: Erstellung vollständiger, revisionssicherer EHS-Meldungen und Entlastung der Anwender
• Kein Zweck: Leistungsüberwachung, verdeckte Personalbewertung, Werbeprofilbildung oder Training allgemeiner Google-KI-Modelle mit Kundendaten

PolyFlow EHS dient der Anlagen- und Arbeitssicherheit, der Dokumentation von Vorfällen und EHS-Prozessen. Die Plattform ist nicht zur Leistungskontrolle, Zeiterfassung, verdeckten Überwachung oder arbeitsrechtlichen Bewertung einzelner Beschäftigter bestimmt.

Der Kunde ist dafür verantwortlich, die Plattform im Einklang mit dem Betriebsverfassungsgesetz, arbeitsrechtlichen Vorgaben und ggf. bestehenden Betriebsvereinbarungen einzusetzen.

Zur Erbringung unserer Leistungen setzen wir sorgfältig ausgewählte Dienstleister ein, die personenbezogene Daten ggf. als Auftragsverarbeiter verarbeiten:

• Supabase Inc. — Datenbank- und Authentifizierungsdienste; Speicherung in der EU (Region Frankfurt / eu-central-1)
• Vercel Inc. — Hosting und Auslieferung der Webanwendung
• Google Ireland Limited (Google Cloud) — KI-Dienste (Vertex AI / Gemini, ggf. Speech-to-Text) mit EU-Datenresidenz
• Interne bzw. selbst betriebene Automatisierungsdienste (z. B. n8n-Workflows) zur Systembereitstellung und Integration
• Weitere Subdienstleister nur nach vorheriger Prüfung und Abschluss von AV-Verträgen gemäß Art. 28 DSGVO

Grundsätzlich verarbeiten und speichern wir personenbezogene Daten in der Europäischen Union bzw. im Europäischen Wirtschaftsraum (EWR). Dies gilt insbesondere für Kundendaten in Supabase (Frankfurt) und für KI-Verarbeitungen über Google Cloud Vertex AI mit EU-Datenresidenz.

Für KI-Funktionen verwenden wir ausdrücklich keine globalen Google-Cloud-Endpunkte, bei denen die Verarbeitungsregion nicht kontrollierbar ist und keine EU-Datenresidenz gewährleistet wird.

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

• Website-Logdaten: in der Regel bis zu 30 Tage
• Onboarding- und Testdaten: für die Dauer der Testphase und anschließend gemäß Vertrag bzw. bis zur Löschung nach Beendigung
• Vertrags- und Abrechnungsdaten: gemäß handels- und steuerrechtlichen Fristen (in der Regel bis zu 10 Jahre)
• Plattformdaten des Kunden: für die Vertragslaufzeit; nach Vertragsende Löschung oder Rückgabe gemäß AVV und vertraglicher Vereinbarung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen

Soweit nicht in den vorstehenden Abschnitten bereits genannt, stützen wir Verarbeitungen insbesondere auf:

• Art. 6 Abs. 1 lit. b DSGVO — Vertragsanbahnung und -erfüllung
• Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung (z. B. handels- und steuerrechtliche Aufbewahrung)
• Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (z. B. IT-Sicherheit, Betrugsprävention), unter Beachtung des § 26 BDSG soweit einschlägig
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung, soweit wir diese gesondert einholen
• § 25 TDDDG — Zugriff auf Endeinrichtungen (Cookies), soweit technisch erforderlich

Sie haben — im Rahmen der gesetzlichen Vorgaben — folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Zuständige Aufsichtsbehörde für uns ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen), Prinzenstraße 5, 30159 Hannover, Deutschland, https://lfd.niedersachsen.de

Wir treffen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:

• Verschlüsselte Datenübertragung (TLS/HTTPS)
• Rollen- und mandantenbezogene Zugriffskontrollen
• Row Level Security (RLS) auf Datenbankebene, soweit technisch umgesetzt
• Protokollierung sicherheitsrelevanter Vorgänge (Audit Trails im EHS-Kontext)
• Regelmäßige Überprüfung und Weiterentwicklung der Sicherheitsmaßnahmen
• Vertraulichkeitsverpflichtungen für Mitarbeiter und Dienstleister

Die Bereitstellung personenbezogener Daten ist für die bloße Informationsnutzung der Website nicht erforderlich. Für Registrierung, Testphase und Vertragsnutzung der Plattform ist die Angabe der jeweils erforderlichen Daten jedoch notwendig, da wir diese zur Einrichtung und Bereitstellung der Leistung benötigen.

Es findet keine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

KI-Funktionen (Google Cloud Vertex AI) dienen ausschließlich der Unterstützung bei der EHS-Dokumentation. Sie ersetzen keine fachliche oder arbeitsrechtliche Bewertung. Verantwortung für arbeitsrechtlich relevante Entscheidungen verbleibt beim Kunden bzw. den dafür zuständigen Personen.

Unsere Leistungen richten sich an Unternehmen und deren autorisierte Nutzer. Die Plattform ist nicht für Personen unter 18 Jahren bestimmt. Wir verarbeiten wissentlich keine Daten von Kindern.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich Rechtslage, unsere Leistungen oder eingesetzte Technologien ändern. Die jeweils aktuelle Fassung ist unter polyflow-ehs.de/datenschutz abrufbar.

Bei wesentlichen Änderungen, die Ihre Rechte betreffen, informieren wir registrierte Kunden und Ansprechpersonen in geeigneter Form, soweit erforderlich.