Datenschutzerklärung

1. Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist ALEXSOFT Alexander Kolesnikov, Einzelunternehmen mit Sitz in 55-100 Brochocin 16/2, Polen, eingetragen im polnischen Unternehmensregister CEIDG, polnische Steuernummer (NIP) 9521934827, polnische Betriebskennziffer (REGON) 526448288 (nachfolgend: „Verantwortlicher“).
2. Den Verantwortlichen erreichen Sie:
   1. per E-Mail – contact@sanqto.com,
   2. in Angelegenheiten des Datenschutzes – privacy@sanqto.com,
   3. telefonisch – +48 881 658 757, Mo–Fr 9:00–17:00 Uhr,
   4. auf dem Postweg – an die in Abs. 1 angegebene Sitzanschrift.
3. Soweit gesetzlich vorgeschrieben (Art. 37 DSGVO), wird ein/eine Datenschutzbeauftragte/r benannt. Eine entsprechende Mitteilung erfolgt rechtzeitig.

Die Anwendung Sanqto läuft vollständig lokal beim Kunden. Das bedeutet:

1. Der Kunde installiert die Anwendung auf eigener Hardware (Arbeitsplatz, Workstation, Server am Kundenstandort);
2. Daten der in der Anwendung geprüften natürlichen Personen (Vor- und Nachname, USt-IdNr, Geburtsdatum, wirtschaftlich Berechtigte usw.) werden ausschließlich lokal beim Kunden verarbeitet;
3. Diese Daten werden nicht kopiert, übertragen oder in irgendeiner Weise an Sanqto übermittelt – es existiert keinerlei „Sanqto-Cloud“, in die diese Daten gelangen würden;
4. Die Kommunikation der Anwendung mit den Servern von Sanqto ist unidirektional: Sanqto-Server → Kunden-Anwendung. Abgerufen werden ausschließlich Aktualisierungen der Anwendung sowie der Referenzlisten (öffentliche Sanktionslisten) in Form digital signierter Dateien.

Folgerichtig gilt in Bezug auf die in der Anwendung geprüften Kundendaten:

1. Verantwortlicher im Sinne der DSGVO ist der Kunde (das Unternehmen, das die Anwendung installiert) – er entscheidet über Zwecke und Mittel der Verarbeitung;
2. Sanqto ist kein Auftragsverarbeiter im Sinne von Art. 28 DSGVO – wir haben keinen Zugriff auf diese Daten und erbringen keine Auftragsverarbeitungsleistung;
3. Ein Auftragsverarbeitungsvertrag zwischen dem Kunden und Sanqto ist insoweit nicht erforderlich;
4. Eine Drittlandübermittlung im Sinne von Art. 44 DSGVO findet nicht statt.

Diese Datenschutzerklärung betrifft ausschließlich die personenbezogenen Daten, die Sanqto tatsächlich verarbeitet – beschrieben in den nachfolgenden Abschnitten.

Sanqto verarbeitet personenbezogene Daten zu folgenden Zwecken:

1. Abschluss und Durchführung des Vertrags mit dem Kunden (B2B).
   1. Datenkategorien: Vor- und Nachname der Ansprechperson, geschäftliche E-Mail-Adresse, geschäftliche Telefonnummer, Position, Unternehmensdaten (Firma, USt-IdNr, Sitzanschrift).
   2. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) – gegenüber natürlichen Personen, die ein Unternehmen führen; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – Kontakt mit den Vertreterinnen und Vertretern eines Kunden, der eine juristische Person ist).
   3. Speicherdauer: Dauer des Vertrags sowie der gesetzliche Verjährungszeitraum für Ansprüche (regelmäßige Verjährungsfrist von 3 Jahren, § 195 BGB; abweichende Fristen nach §§ 196 ff. BGB bleiben unberührt).
2. Rechnungstellung und Archivierung.
   1. Datenkategorien: Unternehmensdaten, USt-IdNr, Geschäftsanschrift, Beträge.
   2. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung – steuerrechtliche und handelsrechtliche Aufbewahrungspflichten, insbesondere § 147 AO, § 257 HGB).
   3. Speicherdauer: 10 Jahre, gerechnet ab dem Ende des Kalenderjahres, in dem die Rechnung ausgestellt wurde (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB).
3. Bearbeitung von Anfragen über das Kontaktformular sowie E-Mail-Korrespondenz.
   1. Datenkategorien: Vor- und Nachname, E-Mail-Adresse, USt-IdNr des Unternehmens, Branche, Inhalt der Anfrage.
   2. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – Beantwortung der Anfrage); soweit auf Vertragsanbahnung gerichtet: Art. 6 Abs. 1 lit. b DSGVO.
   3. Speicherdauer: 12 Monate ab dem letzten Kontakt, sofern die Anfrage nicht zu einem Vertragsabschluss führt.
4. Direktwerbung für eigene Dienstleistungen (Newsletter, Informationen über neue Funktionen der Anwendung).
   1. Datenkategorien: E-Mail-Adresse, Vorname.
   2. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. § 7 UWG; bei Bestandskunden ggf. § 7 Abs. 3 UWG.
   3. Speicherdauer: bis zum Widerruf der Einwilligung bzw. zum Widerspruch.
5. Bearbeitung von Beanstandungen sowie Geltendmachung und Abwehr von Ansprüchen.
   1. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.
   2. Speicherdauer: bis zum Ablauf der einschlägigen Verjährungsfristen.
6. Webanalyse und Monitoring des Anwendungsbetriebs beim Kunden (technische Telemetrie – ausschließlich im in § 4 sowie in der Cookie-Richtlinie genannten Umfang).
   1. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – Aufrechterhaltung und Verbesserung der Produktqualität) sowie – hinsichtlich der Cookies – Einwilligung des Nutzers gemäß § 25 Abs. 1 TDDDG.
   2. Speicherdauer: gemäß Cookie-Konfiguration (siehe Cookie-Richtlinie).

Die Anwendung Sanqto übermittelt an die Server von Sanqto ausschließlich nicht-personenbezogene technische Daten, die zur Aufrechterhaltung der Lizenz und der Produktqualität erforderlich sind:

1. Lizenz-Kennung (UUID, enthält keine personenbezogenen Daten);
2. Version der Anwendung sowie Betriebssystem (z. B. „Windows 11“, „macOS 14“);
3. Aktualisierungsstand der Referenzlisten (Datum der letzten Synchronisation);
4. aggregierte Nutzungsstatistiken (Anzahl der Prüfungen pro Tag/Woche – ohne Inhalt der geprüften Daten).

Die Telemetrie umfasst nicht die Daten der in der Anwendung geprüften natürlichen Personen – kein Vorname, kein Nachname, keine USt-IdNr eines Kunden, kein Inhalt eines Berichts und keine Kennung eines geprüften Subjekts verlassen das Netzwerk des Kunden.

Die Telemetrie kann in der Enterprise-Variante in den Anwendungseinstellungen deaktiviert werden.

Personenbezogene Daten können an folgende Empfängerkategorien weitergegeben werden:

1. Anbieter von E-Mail-Diensten sowie IT-Infrastruktur-Dienstleister, die die Sanqto-Server betreiben (Hosting in der EU/im EWR; die einzelnen Auftragsverarbeiter werden im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) ausführlich aufgeführt);
2. Anbieter von Zahlungsdienstleistungen (sofern der Kunde online bezahlt);
3. Steuerberatung / Buchhaltung, die Sanqto betreut;
4. Rechtsanwaltskanzleien und Berater von Sanqto – im Rahmen der Geltendmachung oder Abwehr von Ansprüchen;
5. befugte staatliche Stellen – ausschließlich in den gesetzlich vorgesehenen Fällen.

Sanqto verkauft personenbezogene Daten nicht an Dritte und gibt sie auch nicht zu Marketingzwecken an Dritte weiter.

1. Die von Sanqto verarbeiteten personenbezogenen Daten werden auf Servern gespeichert, die sich im Europäischen Wirtschaftsraum (EWR) befinden.
2. Soweit Sanqto IT-Dienstleister einsetzt, deren Sitz außerhalb des EWR liegen kann (z. B. ein CDN-Anbieter), werden geeignete Garantien sichergestellt – insbesondere die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) oder der Angemessenheitsbeschluss der Europäischen Kommission vom 10.07.2023 zum EU-US Data Privacy Framework für Übermittlungen in die USA an zertifizierte Empfänger.
3. In Bezug auf die in der Anwendung geprüften Kundendaten findet – aufgrund des On-Premise-Modells – Art. 44 DSGVO keine Anwendung, da diese Daten das Netzwerk des Kunden nicht verlassen.

Jeder betroffenen Person, deren Daten Sanqto verarbeitet, stehen folgende Rechte zu:

1. Recht auf Auskunft (Art. 15 DSGVO);
2. Recht auf Berichtigung (Art. 16 DSGVO);
3. Recht auf Löschung – „Recht auf Vergessenwerden“ (Art. 17 DSGVO);
4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO);
5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO);
6. Widerspruchsrecht gegen eine auf einem berechtigten Interesse beruhende Verarbeitung (Art. 21 DSGVO);
7. Recht auf jederzeitigen Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) – in Bezug auf die einwilligungsbasierte Verarbeitung, ohne Berührung der Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung;
8. Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO), insbesondere bei der für den Sitz des Verantwortlichen zuständigen Landesdatenschutzbehörde sowie bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Graurheindorfer Str. 153, 53117 Bonn, bfdi.bund.de.

Zur Ausübung der vorstehenden Rechte richten Sie bitte eine Nachricht an privacy@sanqto.com. Sanqto antwortet innerhalb eines Monats nach Eingang des Antrags (mit der Möglichkeit der Verlängerung um weitere zwei Monate bei komplexen Anträgen – Art. 12 Abs. 3 DSGVO).

1. Sanqto trifft technische und organisatorische Maßnahmen (TOM) im Sinne von Art. 32 DSGVO, die dem Risiko angemessen sind, insbesondere:
   1. Verschlüsselung der Übertragung (TLS 1.3) sowie Verschlüsselung ruhender Daten (Encryption at Rest);
   2. digitale Signatur der Aktualisierungspakete der Anwendung sowie der Referenzlisten;
   3. Zugriffskontrolle nach dem Grundsatz der geringsten Rechte (Least Privilege);
   4. regelmäßige Datensicherungen sowie Wiederherstellungstests;
   5. Schulung des Teams im Bereich Datenschutz und Cybersicherheit;
   6. periodische Sicherheitsaudits.
2. Sanqto führt ein Verzeichnis von Sicherheitsvorfällen gemäß interner Reaktionsverfahren. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, benachrichtigt Sanqto die zuständige Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO) sowie die betroffenen Personen (Art. 34 DSGVO).

1. Sanqto trifft keine Entscheidungen, die gegenüber den betroffenen Personen rechtliche Wirkung entfalten oder sie in ähnlich erheblicher Weise beeinträchtigen und ausschließlich auf einer automatisierten Verarbeitung beruhen (Art. 22 DSGVO).
2. Insbesondere ist das Ergebnis einer Prüfung in der Anwendung (z. B. „Treffer“ oder „kein Treffer“) ein Werkzeug zur Unterstützung der Entscheidung des Kunden – die abschließende Bewertung, ob ein bestimmtes Subjekt auf einer Sanktionsliste steht und ob eine Leistung verweigert werden muss, obliegt stets dem Kunden und wird unter Einbeziehung eines Menschen getroffen.

Die Website sanqto.com verwendet Cookies. Einzelheiten regelt die gesonderte Cookie-Richtlinie.

1. Sanqto kann die Datenschutzerklärung ändern, wenn sich die Rechtslage ändert, sich die Art der Datenverarbeitung ändert oder neue Funktionen in der Anwendung oder auf der Website eingeführt werden.
2. Über wesentliche Änderungen der Erklärung informiert Sanqto per E-Mail an die Ansprechperson beim Kunden sowie durch eine hervorgehobene Mitteilung auf der Website, und zwar mit einem Vorlauf von mindestens 14 Tagen vor Inkrafttreten der Änderungen.
3. Die aktuelle Fassung der Datenschutzerklärung gilt ab dem 3. Mai 2026.