Auftragsverarbeitungsvertrag #
Gültig ab: 22. April 2026
Dieser Auftragsverarbeitungsvertrag („AVV") ist Bestandteil der Vereinbarung zwischen dem Kunden („Verantwortlicher") und EthicsPortal („Auftragsverarbeiter") über die Bereitstellung der EthicsPortal-Hinweisgeberplattform („Dienst").
Benötigen Sie eine unterzeichnete Fassung? Kontaktieren Sie support@ethicsportal.eu für eine gegengezeichnete PDF-Ausfertigung für Ihre Unterlagen.
1. Parteien #
Verantwortlicher: Die Organisation, die EthicsPortal abonniert und die Zwecke und Mittel der Verarbeitung personenbezogener Daten über den Dienst festlegt.
Auftragsverarbeiter: EthicsPortal, betrieben von Yaroslav Shmarov als Einzelunternehmer registriert in Polen, ul. Obrzeżna 1A, 02-691 Warschau, Polen. Kontakt: support@ethicsportal.eu.
2. Geltungsbereich und Zweck der Verarbeitung #
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zur Bereitstellung des Dienstes. Dies umfasst:
- Entgegennahme und Speicherung von Hinweisgebermeldungen
- sichere Kommunikation zwischen hinweisgebenden Personen und Fallbearbeitung
- Verwaltung von Fall-Workflows (Zuweisung, Statusverfolgung, Abschluss)
- Erstellung von Audit-Protokollen und Compliance-Nachweisen
- Zustellung transaktionaler E-Mail-Benachrichtigungen an Fallbearbeitung und Admins
- Zahlungsabwicklung für den Dienst
Der Auftragsverarbeiter verarbeitet personenbezogene Daten zu keinem anderen Zweck als zur Erbringung des Dienstes nach Weisung des Verantwortlichen.
3. Arten der verarbeiteten personenbezogenen Daten #
| Datenkategorie | Beispiele | Verschlüsselte Speicherung |
|---|---|---|
| Identität der hinweisgebenden Person (freiwillig) | Name, E-Mail-Adresse, Telefonnummer | Ja (nicht-deterministisch) |
| Meldungsinhalt | Beschreibung des Hinweises | Ja (nicht-deterministisch) |
| Kommunikationsinhalt | Nachrichten zwischen hinweisgebender Person und Fallbearbeitung | Ja (nicht-deterministisch) |
| Datei-Anhänge | Dokumente, Bilder, Audio, Video | Gespeichert mit entfernten Metadaten |
| Zugangscodes | Eindeutige Codes zum Zugriff auf Meldungen | Ja |
| Daten von Fallbearbeitung und Admins | Name, E-Mail-Adresse, Rolle, Organisationszugehörigkeit | Nein (Betriebsdaten) |
| Audit-Protokolleinträge | Zeitstempel, ausführende Person, Aktionstyp | Nein (integritätskritisch) |
| Technische Daten | Einweg-gehashte IP-Adressen (nicht umkehrbar) nur für Rate-Limiting | Nicht anwendbar (Hash, kein personenbezogenes Datum) |
4. Kategorien betroffener Personen #
- Hinweisgebende Personen — Personen, die über das Portal Meldungen abgeben (ggf. anonym)
- Fallbearbeitende — vom Verantwortlichen benannte Personen, die Meldungen entgegennehmen und bearbeiten
- Administratoren — Personen, die das EthicsPortal-Konto und die Einstellungen des Verantwortlichen verwalten
5. Dauer der Verarbeitung #
Der Auftragsverarbeiter verarbeitet personenbezogene Daten für die Dauer des Abonnements des Verantwortlichen. Nach Beendigung:
- Der Verantwortliche kann seine Daten vor Ende des Abonnements exportieren.
- Meldungsdaten werden entsprechend der vom Verantwortlichen gewählten Aufbewahrungsdauer (12, 24, 36 oder 60 Monate nach Abschluss der Meldung) gespeichert und anschließend dauerhaft gelöscht.
- Auf schriftlichen Wunsch löscht der Auftragsverarbeiter alle verbleibenden Daten des Verantwortlichen innerhalb von 30 Tagen nach Beendigung des Abonnements, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
6. Pflichten des Auftragsverarbeiters #
6.1 Weisungsbindung #
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der EU oder eines Mitgliedstaats zur Verarbeitung verpflichtet ist. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung, es sei denn, die gesetzliche Grundlage verbietet diese Mitteilung.
6.2 Vertraulichkeit #
Alle Personen, die befugt sind, personenbezogene Daten zu verarbeiten, haben sich zur Vertraulichkeit verpflichtet oder unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht.
6.3 Sicherheitsmaßnahmen #
Der Auftragsverarbeiter setzt die auf der Seite Sicherheit beschriebenen technischen und organisatorischen Maßnahmen um, insbesondere:
- Nicht-deterministische Verschlüsselung aller sensiblen Meldungsdaten
- keine Speicherung von IP-Adressen (Einweg-Hashing ausschließlich für Rate-Limiting)
- automatische Entfernung von Dateimetadaten (EXIF, GPS, Autor)
- rollenbasierte Zugriffskontrolle mit Pundit-Autorisierungsrichtlinien
- revisionssicheres Audit-Protokoll für alle Aktionen
- Rate-Limiting auf allen öffentlichen Portal-Endpunkten
- HTTPS/TLS für alle Verbindungen
- CSRF-Schutz
6.4 Unterauftragsverarbeiter #
Der Auftragsverarbeiter setzt die in Abschnitt 8 aufgeführten Unterauftragsverarbeiter ein. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor Hinzunahme oder Austausch eines Unterauftragsverarbeiters. Der Verantwortliche kann widersprechen; wird keine Einigung erzielt, kann der Verantwortliche den Vertrag beenden.
6.5 Rechte der betroffenen Personen #
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen nach der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch), indem er die erforderlichen technischen Fähigkeiten im Dienst bereitstellt.
6.6 Meldung von Datenpannen #
Im Fall einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich, in jedem Fall innerhalb von 72 Stunden nach Kenntnisnahme. Die Benachrichtigung enthält:
- Beschreibung der Art der Verletzung
- Kategorien und ungefähre Anzahl der betroffenen Personen
- wahrscheinliche Folgen der Verletzung
- ergriffene oder vorgeschlagene Gegenmaßnahmen
6.7 Datenschutz-Folgenabschätzungen #
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden, soweit die Verarbeitungstätigkeiten des Auftragsverarbeiters dies erfordern.
6.8 Löschung und Rückgabe von Daten #
Nach Beendigung des Dienstes wird der Auftragsverarbeiter nach Wahl des Verantwortlichen:
- alle personenbezogenen Daten in den zum Zeitpunkt der Beendigung im Dienst verfügbaren Exportformaten an den Verantwortlichen zurückgeben, einschließlich PDF-Fallakten und zugehöriger Anhänge, oder
- alle personenbezogenen Daten löschen und die Löschung schriftlich bestätigen,
sofern EU- oder mitgliedstaatliches Recht keine weitere Speicherung erfordert.
Benötigt der Verantwortliche aus nachvollziehbaren Gründen ein zusätzliches Portabilitätsformat für Migration oder regulatorische Prüfung, bewertet der Auftragsverarbeiter die Anfrage nach Treu und Glauben und stellt es, soweit technisch möglich, auf gesonderte schriftliche Anfrage bereit.
6.9 Auditrechte #
Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind. Der Verantwortliche kann Audits, einschließlich Inspektionen, selbst oder durch einen beauftragten Prüfer durchführen, nach angemessener vorheriger Ankündigung (mindestens 30 Tage) und während der üblichen Geschäftszeiten. Der Auftragsverarbeiter wirkt bei solchen Audits mit.
7. Pflichten des Verantwortlichen #
Der Verantwortliche ist verantwortlich für:
- die Sicherstellung einer Rechtsgrundlage für die Verarbeitung über den Dienst
- die Bereitstellung erforderlicher Datenschutzhinweise an betroffene Personen (EthicsPortal zeigt einen Datenschutzhinweis im Meldeformular an)
- die Konfiguration geeigneter Aufbewahrungsfristen im Dienst
- die Benennung berechtigter Fallbearbeitender und Administratoren
- die Beantwortung von Anträgen betroffener Personen, mit Unterstützung des Auftragsverarbeiters wie oben beschrieben
8. Unterauftragsverarbeiter #
Die folgenden Unterauftragsverarbeiter sind zum Zeitpunkt des Inkrafttretens dieses AVV autorisiert:
| Unterauftragsverarbeiter | Zweck | Standort | Schutzmaßnahmen |
|---|---|---|---|
| Hetzner Online GmbH | Hosting der Anwendung, Datenbank und Speicherung von Dateianhängen | Nürnberg, Deutschland (EU) | Verarbeitung vollständig innerhalb der EU |
| Stripe Payments Europe, Ltd | Zahlungsabwicklung | Irland (EU) | Keine Zahlungsdaten beim Auftragsverarbeiter; Stripe ist PCI-DSS-Level-1-zertifiziert |
| Mailjet (Sinch) | Zustellung transaktionaler E-Mails | Frankreich (EU) | Verarbeitung vollständig innerhalb der EU |
| Cloudflare, Inc. | CDN und Edge-Auslieferung für die Marketing-Website | USA | Übermittlungen, soweit personenbezogene Daten betroffen sind, beruhen auf Standardvertragsklauseln und ergänzenden Schutzmaßnahmen |
| Honeybadger Industries, LLC | Fehlerüberwachung für Admin- und Bearbeitungsoberflächen | USA | IP-Adressen hinweisgebender Personen werden nie protokolliert; Übermittlungen beruhen auf Standardvertragsklauseln und ergänzenden Schutzmaßnahmen |
| Crisp IM SARL | Kundenchat für bearbeitende Organisationen und Unterstützung bei Identitätsprüfung | Frankreich (EU) | Nicht auf Hinweisgeber-Seiten geladen; kein Crisp-Skript, -Cookie oder -Identifier erreicht das Meldeportal |
Marketing-Analytik (Cloudflare Web Analytics) ist cookielos und verarbeitet keine personenbezogenen Daten.
9. Internationale Datenübermittlungen #
Die zentrale Verarbeitung von Hinweisgeberdaten, einschließlich Meldungsinhalten und der Speicherung von Dateianhängen, erfolgt innerhalb der Europäischen Union (Hetzner, Deutschland). Die Zahlungsabwicklung erfolgt in der EU (Stripe), und transaktionale E-Mails werden aus der EU zugestellt (Mailjet, Frankreich).
Begrenzte personenbezogene Daten im Zusammenhang mit der Marketing-Website sowie Admin-/Bearbeitungsoberflächen können über Cloudflare und Honeybadger außerhalb der EU/des EWR verarbeitet werden. Soweit solche Übermittlungen stattfinden, beruhen sie auf Standardvertragsklauseln und ergänzenden Schutzmaßnahmen. Crisp hat seinen Sitz in Frankreich und wird nicht auf Hinweisgeber-Seiten geladen.
10. Haftung #
Die Haftung jeder Partei nach diesem AVV unterliegt den im Hauptdienstvertrag festgelegten Haftungsbeschränkungen. Soweit gesetzlich zulässig, fallen Ansprüche aus oder im Zusammenhang mit diesem AVV unter dieselbe aggregierte Haftungsobergrenze, die für den Dienst gilt.
11. Laufzeit und Beendigung #
Dieser AVV tritt in Kraft, sobald der Verantwortliche den Dienst nutzt, und bleibt wirksam, solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Die Verpflichtungen aus diesem AVV gelten über die Beendigung hinaus, soweit dies zur Löschung oder Rückgabe personenbezogener Daten erforderlich ist.
12. Anwendbares Recht #
Dieser AVV unterliegt dem Recht der Republik Polen unter Ausschluss der Kollisionsnormen. Die zuständigen Gerichte in Warschau, Polen, haben ausschließliche Zuständigkeit für Streitigkeiten aus diesem AVV.
Kontakt #
Bei Fragen zu diesem AVV oder für eine unterzeichnete Fassung:
EthicsPortal Yaroslav Shmarov ul. Obrzeżna 1A, 02-691 Warschau, Polen support@ethicsportal.eu
Zuletzt aktualisiert: