Vertrag zur Verarbeitung vun Donnéeën #
Gëlleg vum: 22. Abrëll 2026
Dëse Vertrag zur Verarbeitung vun Donnéeën („DPA") ass Bestanddeel vun der Vereinbarung tëschent dem Client („Verantwortlechen") an EthicsPortal („Auftragsverschaffer").
Braucht Dir eng ënnerschriwwen Kopie? Kontaktéiert legal@ethicsportal.eu .
1. Parteien #
Verantwortlechen: D’Organisatioun, déi EthicsPortal abonnéiert.
Auftragsverschaffer: EthicsPortal, bedriwwen vum Yaroslav Shmarov, mat agetragener Adress ul. Obrzeżna 1A, 02-691 Warschau, Polen. Kontakt: legal@ethicsportal.eu .
2. Ulengesberäich an Zweck #
D’Auftragsverschaffer verschafft perséinlech Donnéeën am Optrag vum Verantwortleche fir d’Erbrengung vum Service:
- Empfang an Späicherung vun Hiweisgeeber-Meldungen
- séchere Kommunikatioun
- Fallverwaltung
- Audit-Protokoller
- transaktionell E-Mailen
- Bezueelungen
3. Aart vun den Donnéeën #
| Kategorie | Beispiller | Verschlësselt |
|---|---|---|
| Identitéit vum Hiweisgeeber (fräiwëlleg) | Numm, E-Mail, Telefon | Jo |
| Meldungsinhalt | Beschreiwung | Jo |
| Kommunikatioun | Messagen | Jo |
| Dateianhäng | Dokumenter | Mat Metadaten-Entfernung |
| Zougangscoden | Eenegaarteg Coden | Jo |
| Bearbeechter- an Admindaten | Numm, E-Mail, Roll | Nee (Betribsdonnéeën) |
| Audit-Protokoller | Zäitstempel, Akteur | Nee |
| Technesch Donnéeën | Einweg-gehashte IP (net ëmkehrbar) | N. z. |
4. Kategorië vun Betraffenen #
- Hiweisgeeber — Persounen, déi Meldunge maachen
- Bearbeechter — benannt Persoune vum Verantwortleche
- Administrateuren — verwalten d’Kont
5. Dauer #
D’Verschaffung leeft fir d’Dauer vum Abonnement. No der Beendegung kënne Meldungsdonnéeë nach no der konfiguréierter Späicherdauer behalen ginn (12, 24, 36 oder 60 Méint).
6. Flichten vum Auftragsverschaffer #
6.1 Weisungsbindung #
D’Verschaffung geschitt ausschliesslech op dokumentéiert Weisung.
6.2 Vertraulechkeet #
All befugten Persoune sinn zur Vertraulechkeet verpflicht.
6.3 Sécherheetsmoossnamen #
- Net-deterministesch Verschlësselung
- Keng IP-Späicherung (Einweg-Hashen)
- Entfernung vu Metadaten (EXIF, GPS, Auteur)
- Rollebaséiert Zougangskontroll
- Revisiounsséchert Audit-Protokoll
- HTTPS/TLS
- CSRF-Schutz
Sécherheetsschwachstellen an Tëschefall-Meldunge kënnen un security@ethicsportal.eu geschéckt ginn. Ufroe vu Betraffenen an DPO-aart Ufroe kënnen un privacy@ethicsportal.eu oder dpo@ethicsportal.eu geschéckt ginn.
6.4 Ënnerauftragsverschaffer #
Siehe Abschnitt 8. Aviséierung mindestens 30 Deeg am Viraus.
6.5 Rechter vu Betraffenen #
Ënnerstëtzung bei Ufroen no RGPD.
6.6 Meldung vu Datenpannen #
Benoachrichtegung vum Verantwortleche bannent 72 Stonnen.
6.7 DSFA #
Ënnerstëtzung bei Dateschutz-Folgenofschätzungen.
6.8 Läschung oder Réckgab #
No der Beendegung: Réckgab an de Formater, déi am Service disponibel sinn zum Zäitpunkt vun der Beendegung, inklusiv PDF-Fallexport an déi zougehéiereg Unhäng, oder Läschung.
Wann de Verantwortleche begrënnt e weidert Portabilitéitsformat fir Migratioun oder regulatorësche Review brauch, bewäert den Auftragsverschaffer d’Ufro no guddem Glawen an stellt et, wann technesch machbar, op gesonderte schrëftlecher Ufro zur Verfügung.
6.9 Auditrechter #
Informatioun fir den Nowäis vun Art. 28 RGPD; Audits mat 30-Deeg-Ukündegung.
6.10 Keng KI- oder LLM-Verschaffung vu perséinlechen Donnéeën #
Den Auftragsverschaffer verflicht sech, datt perséinlech Donnéeën, déi am Kader vun dësem AVV verschafft ginn — abegraff Meldungsinhalter, Identitéit vun Hiweisgeeber, Noriichten vun de Bearbechtenden, Dateiunhang an Audit-Protokoll-Andéigt — un keen grousst Sproochemodell, keen generative KI-Déngscht an un keen KI-baséierten Klassifikator iwwerdroe ginn, weder duerch den Auftragsverschaffer selwer nach duerch Drëtter (abegraff, awer net beschränkt op OpenAI, Anthropic, Google a Mistral). Den Déngscht féiert keng KI-baséiert Kategoriséierung, Triage, Zesummefaassung, Iwwersetzung oder Äntwertvirschléi op perséinleche Donnéeën aus. De Verantwortleche kann sech op dës Verflichtung berufen, bei der Bewäertung vu Flichten zur automatiséierter Entscheedungsfindung gemäß Art. 22 DSGVO an der Festleeung vum Ëmfang vun der Ënnerauftragsverschaffer-Verëffentlechung an de eegene Datenschutzhiweis an DSFAen. All Ännerung un dëser Verflichtung wier eng wesentlech Ännerung vum Déngscht a géif dem Verantwortleche gemäß Sektioun 6.4 (Ënnerauftragsverschaffer) a Sektioun 11 (Dauer a Beendegung) matgedeelt ginn.
Lokal gehostet statistesch maschinell Iwwersetzung, déi ganz op enger Infrastruktur leeft, déi vum Auftragsverschaffer kontrolléiert ass (keng Donnéeë verloossen dës Infrastruktur, keen externen Inferenzopruff), fält net ënner dës Beschränkung a kann fir d’Iwwersetzung vun Hiweisgeeber- oder Bearbechtungsnoriichten benotzt ginn, wann de Verantwortleche se aktivéiert huet.
Dës Verflichtung gëtt jäerlech iwwerpréift. D’Datum „Stand" am Ufank vun dësem AVV reflektéiert déi lescht Bestätegung. Sollt den Auftragsverschaffer zu engem Zäitpunkt eng KI- oder LLM-Verschaffung vu perséinlechen Donnéeën aféieren, déi an de Geltungsberäich vun dësem AVV falen, deelt hien dat dem Verantwortleche no Sektioun 6.4 mat; d’Ännerung gëtt fréiestens nom dorop genannten Avis-Period wierksam.
6.11 Vum Client verwalt Chifféierungsschlësselen (BYOK) #
Den Déngscht ënnerstëtzt keng vum Client verwalt Chifféierungsschlësselen — egal ob als bring-your-own-key (BYOK), hold-your-own-key (HYOK) oder als Integratioun mat engem externen Schlësselverwaltungs-Déngscht (KMS) bezeechent. Dëst ass eng bewosst architektonesch Entscheedung an keng operationell Aschränkung, a baséiert op zwou Vertraulechkeets- a Liewenszykluss-Garantien, déi den Auftragsverschaffer un anere Plazen an dësem AVV iwwerhëlt:
- Schlëssel-Grenz tëscht Hiweisgeeber a Bearbechter. Perséinlech Donnéeën, déi vun dësem AVV ofgedeckt sinn, ginn am Rouzoustand mat Schlësselen verschlësselt, déi vum Auftragsverschaffer verwalt a bannent dem Déngscht gehale ginn. D’Verschlësselungsgrenz, déi d’Identitéit vum Hiweisgeeber an den Inhalt vun der Meldung géint extern Parteien schützt, ass déiselwecht Grenz, déi se géint déi eege IT-Administrateuren vum Verantwortlechen schützt. D’Iwwerdroe vum Schlësselgewuelt un de Verantwortleche géif dës Grenz an säi Ëmfeld verréckelen, wou Administrateuren op der Säit vum Verantwortlechen am Prinzip fäeg ginn, d’Identitéit vum Hiweisgeeber ze entschlësselen — a géif dat Vertraulechkeetsmodell, dat duerch Art. 16 vun der Direktiv 2019/1937 gefuerdert ass, ëmdréinen.
- End-to-End Läschungs-Garantie. Läschung op Basis vun der Späicherdauer (Art. 5(1)(e) RGPD) a vertraglech Läschung bei der Beendegung (Sektioun 6.8 uewen) baséieren op der Fäegkeet vum Auftragsverschaffer, mat Schlësselen geséchert Donnéeën kryptographesch a physesch onofhängeg vum Verantwortleche ze zerstéieren. E vum Verantwortleche gehalene Schlëssel géif eng Klass vu Feeler erstellen, an där den Auftragsverschaffer aleng net méi eng komplett Läschung bannent dem vertragleche Fënster garantéiere kann.
D’Verschlësselungs-am-Rouzoustand-Schema, déi net-deterministesch Verschlësselungs-Eegenschaften an d’Schlësselisolatioun vum Auftragsverschaffer sinn op der Säit Sécherheet dokumentéiert. Eng Ännerung un dëser Positioun wier eng wesentlech Ännerung vum Déngscht a géif dem Verantwortleche no Sektioun 6.4 (Ënnerauftragsverschaffer) a Sektioun 11 (Dauer a Beendegung) matgedeelt ginn.
7. Flichten vum Verantwortleche #
- Rechtsgrondlag fir d’Verschaffung
- Dateschutzhiweiser un d’Betraffenen
- Konfiguratioun vun der Späicherdauer
- Benennung vu Bearbeechter
8. Ënnerauftragsverschaffer #
| Ënnerauftragsverschaffer | Zweck | Standuert | Garantien |
|---|---|---|---|
| Hetzner Online GmbH | Hosting a Dateispäicherung | Nürnberg, Däitschland (EU) | Verschaffung bannent der EU |
| Stripe Payments Europe, Ltd | Bezueelung | Irland (EU) | Keng Bezuelungsdaten gi vum Auftragsverschaffer gespäichert |
| Mailjet (Sinch) | Transaktionell E-Mailen | Frankräich (EU) | Verschaffung bannent der EU |
| Cloudflare, Inc. | CDN fir d’Marketing-Site | USA | Iwwerdroungen, wann perséinlech Donnéeë betraff sinn, baséieren op Standardvertragsklauselen an zousätzleche Schutzmoossnamen |
| AppSignal B.V. | Feeler-Iwwerwaachung an Applikatiouns-Performance-Iwwerwaachung fir Admin- a Bearbechtungsoberflächen | Holland (EU) | Verschaffung bannent der EU; IPe vun Hiweisgeeber ginn ni protokolléiert |
| Crisp IM SARL | In-App-Chat fir Bearbechter an Identitéitsverifikatioun | Frankräich (EU) | Just am Bearbechtungsportal gelueden; weder op der Marketing-Site nach op Hiweisgeeber-Säite |
Marketing-Analytik (Cloudflare Web Analytics) ass cookielos a verschafft keng perséinlech Donnéeën.
Keen KI- oder LLM-Ënnerauftragsverschaffer. Keen grousst Sproochemodell, keen generative KI-Déngscht a keen KI-baséierten Klassifikator ass Ënnerauftragsverschaffer vum Auftragsverschaffer. Perséinlech Donnéeën, déi am Kader vun dësem AVV verschafft ginn, ginn net un OpenAI, Anthropic, Google, Mistral oder un en anere KI-Inferenzubidder iwwerdroen. Kuckt Sektioun 6.10.
9. Internationaal Datenübermëttlung #
Kärdaten aus Meldungen, inklusiv Falldonnéeën an Dateianhäng, ginn an der EU gehost (Hetzner, Däitschland). Bezuelunge ginn an der EU verschafft (Stripe), an transaktionell E-Maile ginn aus der EU geschéckt (Mailjet, Frankräich).
Ufroen un d’Marketing-Site ginn iwwer Cloudflare (CDN, USA) geleet, dat Netzwierk-Metadaten (Besucher-IP-Adressen a Request-Header) fir d’Auslieferung vun Inhalter an de Schutz géint DDoS verschafft. Et ginn weder Meldungen, Handler-Donnéeën nach Kontodaten un Cloudflare iwwerdroen. D’Iwwerdroungen baséieren op Standardvertragsklauselen an zousätzleche Schutzmoossnamen. D’Hiweisgeber-Portal an d’Handler-Portal lueden d’Cloudflare net. AppSignal (Holland) a Crisp (Frankräich) sëtzen an der EU; Crisp gëtt just am Bearbechtungsportal gelueden.
10. Haftung #
Ënnert de Beschränkunge vum Haaptvertrag. Sou wäit gesetzlech zulässeg, fale Fuerderungen aus oder am Zesummenhang mat dësem DPA ënner déiselwecht aggregéiert Haftungsplafong, déi fir de Service gëllt.
11. Dauer a Beendegung #
Dëst DPA gëllt fir d’Dauer vun der Verschaffung.
12. Uwendbares Recht #
Polnescht Recht. Gerichtsstand: Warschau, Polen.
Kontakt #
EthicsPortal Yaroslav Shmarov ul. Obrzeżna 1A, 02-691 Warschau, Polen legal@ethicsportal.eu
Zulescht aktualiséiert: