Auftragsverarbeitungsvertrag #
Gültig ab: 22. April 2026
Dieser Auftragsverarbeitungsvertrag („AVV") ist Bestandteil der Vereinbarung zwischen dem Kunden („Verantwortlicher") und EthicsPortal („Auftragsverarbeiter") über die Bereitstellung der EthicsPortal-Hinweisgeberplattform („Dienst").
Benötigen Sie eine unterzeichnete Fassung? Kontaktieren Sie legal@ethicsportal.eu für eine gegengezeichnete PDF-Ausfertigung für Ihre Unterlagen.
1. Parteien #
Verantwortlicher: Die Organisation, die EthicsPortal abonniert und die Zwecke und Mittel der Verarbeitung personenbezogener Daten über den Dienst festlegt.
Auftragsverarbeiter: EthicsPortal, betrieben von Yaroslav Shmarov, mit Sitz in ul. Obrzeżna 1A, 02-691 Warschau, Polen. Kontakt: legal@ethicsportal.eu .
2. Geltungsbereich und Zweck der Verarbeitung #
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zur Bereitstellung des Dienstes. Dies umfasst:
- Entgegennahme und Speicherung von Hinweisgebermeldungen
- sichere Kommunikation zwischen hinweisgebenden Personen und Fallbearbeitung
- Verwaltung von Fall-Workflows (Zuweisung, Statusverfolgung, Abschluss)
- Erstellung von Audit-Protokollen und Compliance-Nachweisen
- Zustellung transaktionaler E-Mail-Benachrichtigungen an Fallbearbeitung und Admins
- Zahlungsabwicklung für den Dienst
Der Auftragsverarbeiter verarbeitet personenbezogene Daten zu keinem anderen Zweck als zur Erbringung des Dienstes nach Weisung des Verantwortlichen.
3. Arten der verarbeiteten personenbezogenen Daten #
| Datenkategorie | Beispiele | Verschlüsselte Speicherung |
|---|---|---|
| Identität der hinweisgebenden Person (freiwillig) | Name, E-Mail-Adresse, Telefonnummer | Ja (nicht-deterministisch) |
| Meldungsinhalt | Beschreibung des Hinweises | Ja (nicht-deterministisch) |
| Kommunikationsinhalt | Nachrichten zwischen hinweisgebender Person und Fallbearbeitung | Ja (nicht-deterministisch) |
| Datei-Anhänge | Dokumente, Bilder, Audio, Video | Gespeichert mit entfernten Metadaten |
| Zugangscodes | Eindeutige Codes zum Zugriff auf Meldungen | Ja |
| Daten von Fallbearbeitung und Admins | Name, E-Mail-Adresse, Rolle, Organisationszugehörigkeit | Nein (Betriebsdaten) |
| Audit-Protokolleinträge | Zeitstempel, ausführende Person, Aktionstyp | Nein (integritätskritisch) |
| Technische Daten | Einweg-gehashte IP-Adressen (nicht umkehrbar) nur für Rate-Limiting | Nicht anwendbar (Hash, kein personenbezogenes Datum) |
4. Kategorien betroffener Personen #
- Hinweisgebende Personen — Personen, die über das Portal Meldungen abgeben (ggf. anonym)
- Fallbearbeitende — vom Verantwortlichen benannte Personen, die Meldungen entgegennehmen und bearbeiten
- Administratoren — Personen, die das EthicsPortal-Konto und die Einstellungen des Verantwortlichen verwalten
5. Dauer der Verarbeitung #
Der Auftragsverarbeiter verarbeitet personenbezogene Daten für die Dauer des Abonnements des Verantwortlichen. Nach Beendigung:
- Der Verantwortliche kann seine Daten vor Ende des Abonnements exportieren.
- Meldungsdaten werden entsprechend der vom Verantwortlichen gewählten Aufbewahrungsdauer (12, 24, 36 oder 60 Monate nach Abschluss der Meldung) gespeichert und anschließend dauerhaft gelöscht.
- Auf schriftlichen Wunsch löscht der Auftragsverarbeiter alle verbleibenden Daten des Verantwortlichen innerhalb von 30 Tagen nach Beendigung des Abonnements, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
6. Pflichten des Auftragsverarbeiters #
6.1 Weisungsbindung #
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der EU oder eines Mitgliedstaats zur Verarbeitung verpflichtet ist. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung, es sei denn, die gesetzliche Grundlage verbietet diese Mitteilung.
6.2 Vertraulichkeit #
Alle Personen, die befugt sind, personenbezogene Daten zu verarbeiten, haben sich zur Vertraulichkeit verpflichtet oder unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht.
6.3 Sicherheitsmaßnahmen #
Der Auftragsverarbeiter setzt die auf der Seite Sicherheit beschriebenen technischen und organisatorischen Maßnahmen um, insbesondere:
- Nicht-deterministische Verschlüsselung aller sensiblen Meldungsdaten
- keine Speicherung von IP-Adressen (Einweg-Hashing ausschließlich für Rate-Limiting)
- automatische Entfernung von Dateimetadaten (EXIF, GPS, Autor)
- rollenbasierte Zugriffskontrolle mit Pundit-Autorisierungsrichtlinien
- revisionssicheres Audit-Protokoll für alle Aktionen
- Rate-Limiting auf allen öffentlichen Portal-Endpunkten
- HTTPS/TLS für alle Verbindungen
- CSRF-Schutz
Sicherheitslücken und Vorfälle können an security@ethicsportal.eu gemeldet werden. Anfragen zu Betroffenenrechten und Datenschutzbeauftragten können an privacy@ethicsportal.eu oder dpo@ethicsportal.eu gerichtet werden.
6.4 Unterauftragsverarbeiter #
Der Auftragsverarbeiter setzt die in Abschnitt 8 aufgeführten Unterauftragsverarbeiter ein. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor Hinzunahme oder Austausch eines Unterauftragsverarbeiters. Der Verantwortliche kann widersprechen; wird keine Einigung erzielt, kann der Verantwortliche den Vertrag beenden.
6.5 Rechte der betroffenen Personen #
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen nach der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch), indem er die erforderlichen technischen Fähigkeiten im Dienst bereitstellt.
6.6 Meldung von Datenpannen #
Im Fall einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich, in jedem Fall innerhalb von 72 Stunden nach Kenntnisnahme. Die Benachrichtigung enthält:
- Beschreibung der Art der Verletzung
- Kategorien und ungefähre Anzahl der betroffenen Personen
- wahrscheinliche Folgen der Verletzung
- ergriffene oder vorgeschlagene Gegenmaßnahmen
6.7 Datenschutz-Folgenabschätzungen #
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden, soweit die Verarbeitungstätigkeiten des Auftragsverarbeiters dies erfordern.
6.8 Löschung und Rückgabe von Daten #
Nach Beendigung des Dienstes wird der Auftragsverarbeiter nach Wahl des Verantwortlichen:
- alle personenbezogenen Daten in den zum Zeitpunkt der Beendigung im Dienst verfügbaren Exportformaten an den Verantwortlichen zurückgeben, einschließlich PDF-Fallakten und zugehöriger Anhänge, oder
- alle personenbezogenen Daten löschen und die Löschung schriftlich bestätigen,
sofern EU- oder mitgliedstaatliches Recht keine weitere Speicherung erfordert.
Benötigt der Verantwortliche aus nachvollziehbaren Gründen ein zusätzliches Portabilitätsformat für Migration oder regulatorische Prüfung, bewertet der Auftragsverarbeiter die Anfrage nach Treu und Glauben und stellt es, soweit technisch möglich, auf gesonderte schriftliche Anfrage bereit.
6.9 Auditrechte #
Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind. Der Verantwortliche kann Audits, einschließlich Inspektionen, selbst oder durch einen beauftragten Prüfer durchführen, nach angemessener vorheriger Ankündigung (mindestens 30 Tage) und während der üblichen Geschäftszeiten. Der Auftragsverarbeiter wirkt bei solchen Audits mit.
6.10 Keine KI- oder LLM-Verarbeitung von Meldungsinhalten #
Der Auftragsverarbeiter verpflichtet sich, dass personenbezogene Daten, die unter diesem AVV verarbeitet werden — einschließlich Meldungsinhalte, Identität hinweisgebender Personen, Bearbeiter-Nachrichten, Dateianhänge und Audit-Protokolleinträge — an kein großes Sprachmodell, keinen generativen KI-Dienst und an keinen KI-basierten Klassifikator übermittelt werden, weder durch den Auftragsverarbeiter selbst noch durch Dritte (einschließlich, aber nicht beschränkt auf OpenAI, Anthropic, Google und Mistral). Der Dienst führt keine KI-gestützte Kategorisierung, Triage, Zusammenfassung, Übersetzung oder Antwortvorschläge auf personenbezogenen Daten aus. Der Verantwortliche kann sich auf diese Verpflichtung bei der Bewertung von Pflichten zur automatisierten Entscheidungsfindung nach Art. 22 DSGVO sowie bei der Festlegung des Umfangs der Unterauftragsverarbeiter-Offenlegung in eigenen Datenschutzhinweisen und Datenschutz-Folgenabschätzungen berufen. Jede Änderung dieser Verpflichtung wäre eine wesentliche Änderung des Dienstes und würde dem Verantwortlichen nach Abschnitt 6.4 (Unterauftragsverarbeiter) und Abschnitt 11 (Laufzeit und Beendigung) mitgeteilt.
Lokal betriebene statistische maschinelle Übersetzung, die vollständig auf vom Auftragsverarbeiter kontrollierter Infrastruktur läuft (keine Daten verlassen die Infrastruktur, kein externer Inferenz-Aufruf), fällt nicht unter diese Einschränkung und kann zur Übersetzung von Hinweisgeber- oder Bearbeiter-Nachrichten verwendet werden, sofern der Verantwortliche dies aktiviert hat.
Diese Verpflichtung wird jährlich überprüft. Das Datum „Stand" am Anfang dieses AVV gibt die letzte Bestätigung wieder. Beabsichtigt der Auftragsverarbeiter zu irgendeinem Zeitpunkt, eine KI- oder LLM-Verarbeitung personenbezogener Daten im Anwendungsbereich dieses AVV einzuführen, teilt er dies dem Verantwortlichen gemäß Abschnitt 6.4 mit; die Änderung wird frühestens nach Ablauf der dort genannten Ankündigungsfrist wirksam.
6.11 Vom Kunden verwaltete Verschlüsselungsschlüssel (BYOK) #
Der Dienst unterstützt keine vom Kunden verwalteten Verschlüsselungsschlüssel — weder beschrieben als Bring-Your-Own-Key (BYOK), Hold-Your-Own-Key (HYOK) noch als Integration eines externen Key-Management-Service (KMS). Dies ist eine bewusste architektonische Entscheidung und keine betriebliche Einschränkung; sie stützt sich auf zwei Vertraulichkeits- und Lebenszyklusgarantien, die der Auftragsverarbeiter an anderer Stelle in diesem AVV übernimmt:
- Schlüsselgrenze zwischen Hinweisgeber und Bearbeiter. Die unter diesem AVV erfassten personenbezogenen Daten werden im Ruhezustand mit vom Auftragsverarbeiter verwalteten Schlüsseln verschlüsselt, die innerhalb des Dienstes vorgehalten werden. Die Verschlüsselungsgrenze, die die Identität der hinweisgebenden Person und den Inhalt der Meldung vor externen Parteien schützt, ist dieselbe Grenze, die sie vor den eigenen IT-Administratoren des Verantwortlichen schützt. Würde die Schlüsselverwahrung an den Verantwortlichen übertragen, verlagerte sich diese Grenze in dessen Umgebung, wo Administratoren auf Seiten des Verantwortlichen grundsätzlich in die Lage versetzt würden, die Identität der hinweisgebenden Person zu entschlüsseln — damit würde das von Art. 16 der Richtlinie 2019/1937 geforderte Vertraulichkeitsmodell umgekehrt.
- End-to-End-Löschgarantie. Die fristbasierte Löschung (Art. 5(1)(e) DSGVO) und die vertragliche Löschung bei Beendigung (Abschnitt 6.8 oben) setzen voraus, dass der Auftragsverarbeiter verschlüsselte Daten unabhängig vom Verantwortlichen kryptografisch und physisch vernichten kann. Ein vom Verantwortlichen gehaltener Schlüssel würde eine Klasse von Fehlerfällen schaffen, in denen der Auftragsverarbeiter eine vollständige Löschung innerhalb des vertraglichen Zeitfensters nicht aus eigener Kraft garantieren kann.
Das Verfahren der Verschlüsselung im Ruhezustand, die nicht-deterministischen Verschlüsselungseigenschaften und die Schlüsselisolation des Auftragsverarbeiters sind auf der Seite Sicherheit dokumentiert. Eine Änderung dieser Position wäre eine wesentliche Änderung des Dienstes und würde dem Verantwortlichen nach Abschnitt 6.4 (Unterauftragsverarbeiter) und Abschnitt 11 (Laufzeit und Beendigung) mitgeteilt.
7. Pflichten des Verantwortlichen #
Der Verantwortliche ist verantwortlich für:
- die Sicherstellung einer Rechtsgrundlage für die Verarbeitung über den Dienst
- die Bereitstellung erforderlicher Datenschutzhinweise an betroffene Personen (EthicsPortal zeigt einen Datenschutzhinweis im Meldeformular an)
- die Konfiguration geeigneter Aufbewahrungsfristen im Dienst
- die Benennung berechtigter Fallbearbeitender und Administratoren
- die Beantwortung von Anträgen betroffener Personen, mit Unterstützung des Auftragsverarbeiters wie oben beschrieben
8. Unterauftragsverarbeiter #
Die folgenden Unterauftragsverarbeiter sind zum Zeitpunkt des Inkrafttretens dieses AVV autorisiert:
| Unterauftragsverarbeiter | Zweck | Standort | Schutzmaßnahmen |
|---|---|---|---|
| Hetzner Online GmbH | Hosting der Anwendung, Datenbank und Speicherung von Dateianhängen | Nürnberg, Deutschland (EU) | Verarbeitung vollständig innerhalb der EU |
| Stripe Payments Europe, Ltd | Zahlungsabwicklung | Irland (EU) | Keine Zahlungsdaten beim Auftragsverarbeiter; Stripe ist PCI-DSS-Level-1-zertifiziert |
| Mailjet (Sinch) | Zustellung transaktionaler E-Mails | Frankreich (EU) | Verarbeitung vollständig innerhalb der EU |
| Cloudflare, Inc. | CDN und Edge-Auslieferung für die Marketing-Website | USA | Übermittlungen, soweit personenbezogene Daten betroffen sind, beruhen auf Standardvertragsklauseln und ergänzenden Schutzmaßnahmen |
| AppSignal B.V. | Fehlerüberwachung und Anwendungs-Performance-Monitoring für Admin- und Bearbeitungsoberflächen | Niederlande (EU) | Verarbeitung vollständig innerhalb der EU; IP-Adressen hinweisgebender Personen werden nie protokolliert |
| Crisp IM SARL | In-App-Chat für Bearbeiter und Unterstützung bei Identitätsprüfung | Frankreich (EU) | Wird ausschließlich im Bearbeitungsportal geladen; weder auf der Marketing-Website noch auf Hinweisgeber-Seiten |
Marketing-Analytik (Cloudflare Web Analytics) ist cookielos und verarbeitet keine personenbezogenen Daten.
Kein KI- oder LLM-Unterauftragsverarbeiter. Kein großes Sprachmodell, kein generativer KI-Dienst und kein KI-basierter Klassifikator ist Unterauftragsverarbeiter des Auftragsverarbeiters. Unter diesem AVV verarbeitete personenbezogene Daten werden nicht an OpenAI, Anthropic, Google, Mistral oder andere KI-Inferenzanbieter übermittelt. Siehe Abschnitt 6.10.
9. Internationale Datenübermittlungen #
Die zentrale Verarbeitung von Hinweisgeberdaten, einschließlich Meldungsinhalten und der Speicherung von Dateianhängen, erfolgt innerhalb der Europäischen Union (Hetzner, Deutschland). Die Zahlungsabwicklung erfolgt in der EU (Stripe), und transaktionale E-Mails werden aus der EU zugestellt (Mailjet, Frankreich).
Anfragen an die Marketing-Website werden über Cloudflare (CDN, USA) geleitet, welches Netzwerk-Metadaten (Besucher-IP-Adressen und Request-Header) zur Auslieferung von Inhalten und zum DDoS-Schutz verarbeitet. Keine Meldungen, Bearbeiter-Daten oder Kontodaten werden an Cloudflare übertragen. Übermittlungen beruhen auf Standardvertragsklauseln und ergänzenden Schutzmaßnahmen. Das Berichtsportal und das Bearbeiter-Portal laden Cloudflare nicht. AppSignal (Niederlande) und Crisp (Frankreich) haben ihren Sitz in der EU; Crisp wird ausschließlich im Bearbeitungsportal geladen.
10. Haftung #
Die Haftung jeder Partei nach diesem AVV unterliegt den im Hauptdienstvertrag festgelegten Haftungsbeschränkungen. Soweit gesetzlich zulässig, fallen Ansprüche aus oder im Zusammenhang mit diesem AVV unter dieselbe aggregierte Haftungsobergrenze, die für den Dienst gilt.
11. Laufzeit und Beendigung #
Dieser AVV tritt in Kraft, sobald der Verantwortliche den Dienst nutzt, und bleibt wirksam, solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Die Verpflichtungen aus diesem AVV gelten über die Beendigung hinaus, soweit dies zur Löschung oder Rückgabe personenbezogener Daten erforderlich ist.
12. Anwendbares Recht #
Dieser AVV unterliegt dem Recht der Republik Polen unter Ausschluss der Kollisionsnormen. Die zuständigen Gerichte in Warschau, Polen, haben ausschließliche Zuständigkeit für Streitigkeiten aus diesem AVV.
Kontakt #
Bei Fragen zu diesem AVV oder für eine unterzeichnete Fassung:
EthicsPortal Yaroslav Shmarov ul. Obrzeżna 1A, 02-691 Warschau, Polen legal@ethicsportal.eu
Zuletzt aktualisiert: