DATENVERARBEITUNGSVERTRAG

1.    Verantwortlichkeiten und Weisungen

1.1 Die Art der Daten und die Kategorien von betroffenen Personen, die laut diesem Datenverarbeitungsvertrag durch den Auftragsverarbeiter im Zusammenhang mit der Bereitstellung von Whistlelink verarbeitet werden, sowie Zweck, Wesen, Dauer und Gegenstand der Verarbeitung, werden in Abschnitt 5 beschrieben. Der Kunde stellt sicher, dass der Auftragsverarbeiter keine anderen Datenkategorien als die in Abschnitt 5 genannten verarbeitet.

1.2 Dem Kunden ist bekannt, dass es sich bei Whistlelink um eine Plattform handelt, die von einer Vielzahl von Kunden in Anspruch genommen wird, und dass wir aus diesem Grund nicht zwangsläufig in der Lage sind Weisungen einzuhalten, die sich nicht als direkte Folge aus der Notwendigkeit zur Einhaltung der Datenschutzbestimmungen durch den Kunden ergeben. Sollten wir vom Kunden Weisungen erhalten, zu deren Einhaltung wir nicht in der Lage sind, verpflichtet sich der Kunde die Eingabe und den Export von Kundendaten, auf die sich die betreffende Weisung bezieht, zu beenden. Das Vorstehende stellt keinen Vertragsbruch und keine Beeinträchtigung der Verfügbarkeit von Whistlelink dar.

1.3 Der Kunde ist Verantwortlicher in Bezug auf alle personenbezogenen Daten, die der Auftragsverarbeiter im Namen des Kunden in Einklang mit diesem Datenverarbeitungsvertrag verarbeitet. Somit ist der Kunde verantwortlich für die Einhaltung der geltenden Datenschutzbestimmungen. Er verpflichtet sich, die Richtlinien für die Verwendung von Whistlelink, die zum jeweiligen Zeitpunkt gelten, sowie die Gesetze zum Umgang mit Hinweisgebern, einzuhalten.

1.4 Durch Abschluss dieses Vertrages bestätigt der Kunde, dass die nachfolgend in den aktuellen organisatorischen und technischen Maßnahmen von Whistlelink dargelegten Sicherheitsmaßnahmen für die vom Kunden beabsichtigte Verwendung von Whistlelink angemessen sind.

2.    Verpflichtung des Auftragsverarbeiters

2.1 Der Auftragsverarbeiter verpflichtet sich zu Folgendem:

1. Es wurden geeignete technische und organisatorische Sicherheitsmaßnahmen eingerichtet und die in den aktuellen organisatorischen und technischen Maßnahmen von Whistlelink und in Artikel 32 der DSGVO dargelegten Sicherheitsmaßnahmen zum Schutz der vertragsgemäß verarbeiteten Daten ergriffen. Dies betrifft auch die Verschwiegenheitspflicht, zu welcher Mitarbeiter des Auftragsverarbeiters mit Datenverarbeitungsbefugnis verpflichtet werden.
2. Er unterstützt den Kunden bei der Erfüllung der Sicherheitsanforderungen, die in Art. 32–36 der DSGVO ausgeführt sind (beispielsweise technische und organisatorische Maßnahmen, unverzügliche Benachrichtigung und Information des Kunden im Fall der Verletzung des Schutzes personenbezogener Daten, Folgenabschätzung und vorherige Konsultation); außerdem unterstützt er den Kunden bei der Erfüllung seiner Verpflichtungen in Bezug auf die in Kapitel 3 der DSGVO dargelegten Rechte betroffener Personen (beispielsweise das Recht auf Zugriff, Berichtigung und Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruchsrecht gegen automatisierte Entscheidungsfindung).
3. Er gewährt dem Kunden das Recht auf Zugang zu Informationen des Auftragsverarbeiters zur Kontrolle und Verifizierung der Maßnahmen, die der Auftragsverarbeiter vertragsgemäß ergriffen hat. Der Auftragsverarbeiter ermöglicht Untersuchungen (wie Inspektionen), die entweder durch den Kunden oder durch einen Auditor im Namen des Kunden durchgeführt werden, und bietet ggf. seine Unterstützung an. Der Auftragsverarbeiter verweist im Übrigen die Aufsichtsbehörde oder eine andere Drittpartei, die Informationen vom Auftragsverarbeiter über die Verarbeitung personenbezogener Daten anfordert, an den Kunden, dessen personenbezogene Daten verarbeitet werden. Der Auftragsverarbeiter informiert den Kunden unverzüglich über Anfragen seitens Überwachungsbehörden, die die Datenverarbeitung betreffen oder möglicherweise für die Datenverarbeitung von Bedeutung sind.
4. Nach Wahl des Kunden Löschung, Anonymisierung oder Rückgabe aller personenbezogenen Daten an den Kunden nach Vertragsende, gleichgültig aus welchem Grund der Vertrag beendet wurde, einschließlich Löschung aller Kopien, für die gemäß Datenschutz-Grundverordnung keine Speicherung erforderlich ist.
5. Andernfalls wird dem Kunden Zugriff auf diese Daten gewährt, soweit dies für den Kunden erforderlich ist, um seinen Verpflichtungen als Verantwortlicher gegenüber Aufsichtsbehörden und/oder Einzelpersonen nachzukommen.
6. Keine Übertragung von Daten in Drittländer oder an eine internationale Organisation, es sei denn, dies ist aufgrund der Datenschutz-Grundverordnung erforderlich. In diesem Fall muss der Auftragsverarbeiter den Kunden unverzüglich darüber unterrichten, sofern eine solche Unterrichtung nicht verboten ist.

2.2 Der Auftragsverarbeiter verpflichtet sich weiter, Daten stets in Einklang mit den Datenschutzbestimmungen zu verarbeiten. Hierzu zählt unter anderem das Führen eines Registers über alle Kategorien von durchgeführten Verarbeitungsvorgängen, Bereitstellung eines Registerauszugs über abgeschlossene Verarbeitungsvorgänge auf Verlangen des Kunden und sofortige Unterrichtung des Kunden, wenn der Verdacht einer Verletzung der Freiheiten und Rechte von Einzelpersonen besteht.

3.    Unterauftragsverarbeiter und Übertragung in Drittländer

3.1 Sofern der Auftragsverarbeiter (i) den Verantwortlichen in angemessener Zeit im Voraus über seine Pläne informiert, mit Widerspruchsrecht für den Verantwortlichen, Der Auftragsverarbeiter ist allgemein berechtigt, Unterauftragsverarbeiter mit der Verarbeitung von Daten im Namen des Kunden zu beauftragen. In diesem Fall trägt der Auftragsverarbeiter gegenüber dem Kunden die volle Verantwortung.

3.2 Vorausgesetzt, dass der Auftragsverarbeiter (i) den Verantwortlichen mindestens 30 Tage im Voraus über seine Pläne informiert, wobei der Verantwortliche das Recht hat, Widerspruch einzulegen, und (ii) angemessene und in Übereinstimmung mit den Datenschutzbestimmungen genehmigte Sicherheitsmechanismen anwendet, kann der Auftragsverarbeiter Übertragung personenbezogener Daten außerhalb der EU/des EWR.

3.3 Mit Abschluss dieses Vertrags bewilligt der Kunde die Unterauftragsverarbeiter wie in Abschnitt 5 beschrieben. Derzeit ist und ist der Auftragsverarbeiter nicht berechtigt, personenbezogene Daten in ein Drittland zu übertragen.   

4.    Verschiedenes

4.1 Die Bestimmungen des Vertrags gelten auch für diesen Datenverarbeitungsvertrag. Im Fall eines Konflikts zwischen dem Vertrag und diesem Datenverarbeitungsvertrag hat dieser Datenverarbeitungsvertrag Vorrang.

5.     Weisungen

5.1 Abschnitt 5 umfasst die ersten Weisungen des Kunden an den Auftragsverarbeiter. Sie könnten unter Berücksichtigung von Abschnitt 1.2 zu einem späteren Datum ergänzt werden.

5.2 Kategorien von betroffenen Personen. Jeder, der im Rahmen einer Meldung auf Whistlelink genannt wird, einschließlich dem Hinweisgeber, sofern dieser nicht anonym bleiben möchte, und eine gemeldete Person.

5.3 Zweck, Wesen und Gegenstand der Datenverarbeitung und Kategorien von personenbezogenen Daten. Aufgrund der hauptsächlichen Funktion des Auftragsverarbeiters und dem Zweck der Bereitstellung von Whistlelink kommt dem Auftragsverarbeiter insbesondere die Aufgabe der Speicherung von Kundendaten zu. Diese Kundendaten können personenbezogene Daten enthalten. Die Kategorien personenbezogener Daten umfassen alle Datenkategorien, die im Zusammenhang mit einer Meldung denkbar sind, unter anderem sensible Daten und die Unterstellung von Rechtsverletzungen.

5.4 Datenspeicherung. Der Auftragsverarbeiter bewahrt die Falldaten aller Berichte während der vom Kunden im System festgelegten Aufbewahrungszeit auf.

5.5 Unterauftragsverarbeiter. Zum Zeitpunkt des Vertragsabschlusses hat der Auftragsverarbeiter folgende Unterauftragsverarbeiter  (vorbehaltlich Änderungen in Einklang mit Abschnitt 3):

• Unterauftragsverarbeiter: Swerolab AB (Schweden), Interactive Security (Schweden), SMSAPI (Polen), Brevo (Frankreich), OPSWAT (Deutschland), Glesys (Schweden), T-Systems International (Deutschland), Friendly Captcha (Deutschland), DeepL (Deutschland), Mistral AI (Frankreich).

5.6 Drittlandtransfers. Zum Zeitpunkt des Abschlusses dieser Vereinbarung hat der Auftragsverarbeiter keine Übertragungen außerhalb der EU/des EWR, die jedoch gemäß Abschnitt 3 geändert werden kann:

• Datentransfers in Länder außerhalb der EU/des EWR: keine.