Vertrauen #
Alles, was eine Beschaffungsstelle, ein Datenschutzbeauftragter oder ein Rechtsteam zur Bewertung von EthicsPortal benötigt.
Stand: 2026-05-17.
Vertragspartner #
- Name des Dienstes: EthicsPortal
- Betreiber: Yaroslav Shmarov
- Eingetragene Anschrift: ul. Obrzeżna 1A, 02-691 Warschau, Polen
- Steueridentifikationsnummer (NIP): 5272755790
- Zeichnungsberechtigt für Handelsverträge, AVV und Sicherheitsfragebögen: Yaroslav Shmarov
- Kaufmännischer Kontakt: support@ethicsportal.eu
- Sicherheitskontakt: security@ethicsportal.eu
- Datenschutzkontakt: privacy@ethicsportal.eu
Aktuelle Registerunterlagen und gegengezeichnete Vertragsdokumente stellen wir im Beschaffungsprozess auf Anfrage bereit.
Datenresidenz und Verarbeiterverhältnis #
Im Standard-Subscription-Modell ist der Kunde Verantwortlicher und EthicsPortal Auftragsverarbeiter für Meldedaten.
Kerndaten von Hinweisgebermeldungen — Anwendung, Datenbank, Dateispeicher — werden in Nürnberg, Deutschland bei Hetzner gehostet. Transaktions-E-Mails laufen über Mailjet (Frankreich). Die Marketing-Website nutzt einen benannten Unterauftragsverarbeiter außerhalb der EU, Cloudflare (CDN), vollständig aufgeführt auf der Seite Unterauftragsverarbeiter . Das Berichtsportal und das Bearbeiter-Portal laden Cloudflare nicht.
Personal und Geschäftsfortführung des Anbieters #
Personal. EthicsPortal hat keine Beschäftigten oder Auftragnehmer. Alle Kundendaten werden ausschließlich durch den benannten Betreiber verarbeitet. Anbieterseitige Personalkontrollen — Background-Screening, Sicherheitsschulungen, Onboarding-/Offboarding-Prozess — reduzieren sich daher auf die dokumentierte Zusammenfassung des privilegierten Zugangs, die im Beschaffungsreview verfügbar ist.
Geschäftsfortführung. Im Falle einer Handlungsunfähigkeit des Betreibers oder einer Geschäftsaufgabe haben Kundenorganisationen Anspruch auf einen vollständigen maschinenlesbaren Export ihrer Daten sowie eine definierte Übergangsfrist, um zu einem alternativen Anbieter zu migrieren. Konkrete Regelungen sind im Auftragsverarbeitungsvertrag festgelegt und in den im Beschaffungsreview verfügbaren Unterlagen näher ausgeführt.
Zertifizierungsstatus #
EthicsPortal beansprucht auf dieser Website derzeit weder ISO 27001 noch SOC 2 oder eine gleichwertige Zertifizierung. Ein unabhängiger externer Penetrationstest liegt derzeit ebenfalls nicht vor. Sobald sich eines davon ändert, werden Name der Zertifizierung (oder Umfang, Datum und Zusammenfassung der Nachbesserungen des Tests) hier veröffentlicht.
Operativer Lebenszyklus #
| Frage | Antwort |
|---|---|
| Live-Verfügbarkeit | Veröffentlicht unter secure.ethicsportal.eu/up für die abgedeckten Oberflächen. Messmethode und Ausnahmen siehe Service Level Agreement . |
| Sitzungs- und Zugriffslebenszyklus | Sitzungen verfallen automatisch nach 14 Tagen Inaktivität und werden nächtlich aufgeräumt. Nutzer können ihre eigenen Sitzungen jederzeit einsehen und widerrufen. Jede Sitzung erfasst last_seen_at, sodass veraltete Geräte erkennbar sind. Die Deaktivierung eines Mitglieds entzieht den Zugriff an der Anfragegrenze, hebt offene Meldungszuweisungen auf und entfernt Teilnehmerschaften, während die Audit-Historie erhalten bleibt. Siehe Sicherheit
. |
| Backup und Restore | Tägliche verschlüsselte PostgreSQL-Dumps in Hetzner Object Storage (EU, 7 Tage Aufbewahrung) sowie Hetzner-Server-Snapshots (7 Tage Aufbewahrung). RPO 24 Stunden, RTO 4 Stunden. Letzte Restore-Übung: 2026-05-14. Siehe Sicherheit . |
| Abhängigkeits- und Patch-Management | Kontinuierliches SCA in CI (Brakeman, bundler-audit, importmap audit) sowie wöchentliche Dependabot-Updates. Keine Komponenten ohne Upstream-Support im Einsatz. Siehe Sicherheit . |
| Export und Löschung | Der PDF-Fallexport steht in der Anwendung für jeden Fall zur Verfügung (Beschreibung, Nachrichten, Audit-Protokoll, Anhänge). Ein maschinenlesbarer Massenexport des gesamten Organisationsdatenbestands wird auf Anfrage beim Vertragsende bereitgestellt. Vertragliche Verpflichtungen sind im Auftragsverarbeitungsvertrag geregelt. |
| Recovery-Ziele | Siehe Service Level Agreement . |
Vertragspositionen #
Eine zentrale Quelle für die vertraglichen Fragen, die Beschaffungsstellen am häufigsten stellen. Jede Zeile verweist auf das maßgebliche Dokument.
| Punkt | Position von EthicsPortal |
|---|---|
| Aggregierte Haftungsobergrenze | Zwölf Monate Entgelte, die in den 12 Monaten vor dem anspruchsauslösenden Ereignis gezahlt wurden (AGB §11 ). Der Auftragsverarbeitungsvertrag, das Service Level Agreement und die Schutzrechtsfreistellung fallen alle unter dieselbe aggregierte Obergrenze. |
| Schutzrechtsfreistellung | Der Betreiber verteidigt den Verantwortlichen gegen Ansprüche Dritter wegen Urheberrechts-, Marken- oder Patentverletzungen, die aus der vertragsgemäßen Nutzung des Dienstes entstehen, vorbehaltlich üblicher Einschränkungen (Kundenänderungen, unbefugte Nutzung, nicht genehmigte Kombinationen) und der aggregierten Haftungsobergrenze. Siehe AGB §12 . |
| Meldefrist bei Verletzungen | Ohne unangemessene Verzögerung und in jedem Fall innerhalb von 72 Stunden nach Kenntniserlangung (AVV §6.6 ), in Übereinstimmung mit Art. 33 DSGVO. Eine kürzere Frist wird bei Self-Service-Plänen vertraglich nicht angeboten, da kürzere Fenster eine vorzeitige Meldung riskieren und mit der DSGVO-Forensikschwelle kollidieren. |
| Auditrechte | Gemäß Art. 28(3)(h) DSGVO, mit mindestens 30 Tagen Vorankündigung und zu üblichen Geschäftszeiten (AVV §6.9 ). Der Auftragsverarbeiter beantwortet schriftliche Sicherheitsfragebögen anstelle eines Vor-Ort-Audits, wenn die Prüfung des Verantwortlichen damit erfüllt werden kann. |
| Service-Gutschriften | Self-Service-Pläne enthalten keine monetären Service-Gutschriften. Rechtsbehelfe bei wesentlichen oder wiederholten Verfügbarkeitsausfällen unterliegen der aggregierten Haftungsobergrenze (SLA ). |
| Kundenverwaltete Verschlüsselungsschlüssel (BYOK / externes KMS) | Nicht unterstützt. Vom Verarbeiter verwaltete Schlüssel sind erforderlich, um die Schlüsseltrennung zwischen Hinweisgeber und Bearbeiter sowie die Ende-zu-Ende-Löschgarantie zu wahren. Siehe AVV §6.11 . |
| Quellcode-Hinterlegung | Wird nicht angeboten. Geschäftsfortführung wird über die Betreiber-Ausfall-Regelungen des Betriebsfortführungsplans und die Datenexport- und Löschrechte des Verantwortlichen nach AVV §6.8 abgedeckt. |
| Mitteilung zu Unterauftragsverarbeiter-Änderungen | Mindestens 30 Tage vor Hinzufügen oder Ersatz eines Unterauftragsverarbeiters; der Verantwortliche kann widersprechen und kündigen, wenn keine Einigung erzielt wird (AVV §6.4 ). |
| Datenexport und Löschung beim Vertragsende | Selbstbedienter PDF-Fallexport im Produkt, plus maschinenlesbarer Massenexport auf Anfrage beim Vertragsende, plus Löschung innerhalb von 30 Tagen nach Beendigung des Abonnements auf schriftliche Anfrage (AVV §6.8 ). |
| Cyber-Haftpflichtversicherung | In Prüfung. Deckungssumme und Versicherer werden hier veröffentlicht, sobald vorhanden. |
| Unabhängiger externer Penetrationstest | Derzeit nicht durchgeführt. Umfang, Datum und Zusammenfassung der Mängelbeseitigung werden hier veröffentlicht, sobald durchgeführt. |
| Anwendbares Recht und Gerichtsstand | Recht der Republik Polen; Gerichte in Warschau (AGB §13 ). EU-Verbraucher behalten das Recht auf Verfahren in ihrem Wohnsitzland. |
Diese Positionen sind in den veröffentlichten AGB , im Auftragsverarbeitungsvertrag und im Service Level Agreement abgebildet. Wesentliche Abweichungen werden bei Self-Service-Plänen nicht gewährt.
Öffentliche Dokumente #
Alles, was eine Beschaffungsstelle braucht, ist offen veröffentlicht. Gruppiert nach Funktion des Dokuments.
Vertraglich #
Was das Verhältnis zwischen EthicsPortal und dem Kunden regelt.
| Dokument | Zweck |
|---|---|
| Allgemeine Geschäftsbedingungen | Abonnementbedingungen, Kündigung, Erstattungen |
| Auftragsverarbeitungsvertrag | Auftragsverarbeitung nach Art. 28 DSGVO |
| Service Level Agreement | Verfügbarkeitsziel und Messung |
| Datenschutzerklärung | Umgang mit personenbezogenen Daten |
Betrieblich #
Wie der Dienst im Alltag betrieben wird und wer sonst beteiligt ist.
| Dokument | Zweck |
|---|---|
| Sicherheit | Technische und organisatorische Maßnahmen |
| Unterauftragsverarbeiter | Benannte Unterauftragsverarbeiter und ihr Umfang |
| Störungsregister | Wesentliche Störungen mit Bezug zu personenbezogenen Daten |
| Barrierefreiheit | EAA-Konformitätsstatus |
Richtlinien-Bezug #
Wie EthicsPortal die EU-Richtlinie 2019/1937 abbildet und auslegt.
| Dokument | Zweck |
|---|---|
| Abdeckung der Richtlinie 2019/1937 | Funktion-zu-Artikel-Mapping der Richtlinie 2019/1937 |
| Auslegungen der Richtlinie 2019/1937 | Auslegungspositionen zu unbestimmten Begriffen der Richtlinie |
| Hinweisgeberschutzgesetze nach Land | Nationale Umsetzungen und zuständige Behörden |
| Bußgelder nach Land | Geldbußen und strafrechtliche Haftung in den Mitgliedstaaten |
Im Beschaffungsreview verfügbar #
Folgende Unterlagen werden im Rahmen einer kontrollierten Offenlegung geteilt und nicht offen veröffentlicht:
- Gegengezeichneter AVV
- Registerauszug und NIP- / Steuernachweis
- Ausgefüllter Sicherheitsfragebogen
- Zusammenfassung des privilegierten Produktionszugangs
- Incident-Response-Zusammenfassung
- Antworten zu Business Continuity, Exit und Kunden-Export
- Zusammenfassung des externen Penetrationstests (sofern vorhanden)
Zur Anforderung schreiben Sie an support@ethicsportal.eu . Für Fragen im Sicherheitsreview schreiben Sie an security@ethicsportal.eu .
Zuletzt aktualisiert: