Konto erstellen
Konto erstellen

Auftragsverarbeitungsvertrag

ReportSecurely
Skiwo AS · Pilestredet 17, 0164 Oslo · privacy@reportsecurely.com
Effective date: 23 January 2026

Dieses Dokument wurde zu Ihrer Information übersetzt. Im Falle von Abweichungen ist die englische Version maßgeblich.

Dieser Auftragsverarbeitungsvertrag ("AVV") ist Bestandteil der Vereinbarung zwischen dem Kunden ("Verantwortlicher") und Skiwo AS, Betreiber der Report Securely Plattform ("Auftragsverarbeiter"), zur Bereitstellung von Hinweisgebersystem- und sicheren Meldediensten (der "Dienst").

Dieser AVV wird gemäß den Anforderungen von Artikel 28 der Datenschutz-Grundverordnung (EU) 2016/679 ("DSGVO") geschlossen und regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.

1. Definitionen

In diesem AVV verwendete Begriffe haben dieselbe Bedeutung wie in der DSGVO, sofern nicht anders definiert. "Personenbezogene Daten" bezeichnet alle personenbezogenen Daten, die vom Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit dem Dienst verarbeitet werden. "Unterauftragsverarbeiter" bezeichnet jeden Dritten, den der Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt.

2. Umfang und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung des Dienstes für den Verantwortlichen, wie im Hauptdienstleistungsvertrag und diesem AVV beschrieben.

Zu den Kategorien betroffener Personen gehören: Hinweisgeber, in Meldungen genannte Personen, Fallbearbeiter und autorisierte Nutzer innerhalb der Organisation des Verantwortlichen. Zu den Arten der verarbeiteten personenbezogenen Daten können gehören: Namen, Kontaktdaten, Meldungsinhalte, Kommunikation zwischen Hinweisgebern und Fallbearbeitern, Fallmetadaten und Audit-Protokolle.

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptdienstleistungsvertrags zuzüglich einer nach geltendem Recht erforderlichen oder zwischen den Parteien vereinbarten Aufbewahrungsfrist.

3. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, dies ist nach geltendem Recht erforderlich
  • Sicherzustellen, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet sind
  • Geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten
  • Keinen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) ohne vorherige schriftliche Genehmigung des Verantwortlichen einzusetzen
  • Den Verantwortlichen bei der Beantwortung von Betroffenenanfragen gemäß DSGVO Artikel 15–22 zu unterstützen
  • Den Verantwortlichen bei der Einhaltung der DSGVO Artikel 32–36 (Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen) zu unterstützen
  • Nach Wahl des Verantwortlichen alle personenbezogenen Daten bei Beendigung des Dienstes zu löschen oder zurückzugeben, sofern nicht eine Aufbewahrung nach geltendem Recht erforderlich ist
  • Dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung der in diesem AVV und DSGVO Artikel 28 festgelegten Pflichten erforderlich sind

4. Sicherheitsmaßnahmen

Der Auftragsverarbeiter implementiert und unterhält die folgenden technischen und organisatorischen Sicherheitsmaßnahmen:

  • Verschlüsselung von Daten bei der Übertragung (TLS 1.2 oder höher) und im Ruhezustand (AES-256)
  • Rollenbasierte Zugriffskontrolle nach dem Prinzip der geringsten Rechte
  • Audit-Protokollierung aller wesentlichen Aktionen innerhalb der Plattform
  • Regelmäßige Sicherheitstests und Schwachstellenbewertungen
  • Sichere Softwareentwicklungspraktiken nach OWASP-Richtlinien
  • Automatisierte Backups mit verschlüsselter Speicherung
  • Strenge Sicherheits-Header (HSTS, CSP, X-Frame-Options)

Der Auftragsverarbeiter überprüft und aktualisiert diese Maßnahmen regelmäßig, um dem aktuellen Stand der Technik sowie Art, Umfang und Zweck der Verarbeitung Rechnung zu tragen.

5. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern, vorbehaltlich der Bedingungen in diesem Abschnitt.

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzunahme oder den Austausch von Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, gegen solche Änderungen Einspruch zu erheben.

Wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter beauftragt, verpflichtet er diesen vertraglich zu denselben Datenschutzpflichten wie in dieser AVV festgelegt und stellt sicher, dass der Unterauftragsverarbeiter ausreichende Garantien für die Umsetzung angemessener technischer und organisatorischer Maßnahmen bietet.

Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen vollständig für die Erfüllung der Pflichten des Unterauftragsverarbeiters haftbar.

6. Datenübermittlungen

Alle personenbezogenen Daten werden innerhalb des Europäischen Wirtschaftsraums (EWR) gespeichert und verarbeitet.

Der Auftragsverarbeiter darf personenbezogene Daten nicht in ein Land außerhalb des EWR oder an eine internationale Organisation übermitteln, es sei denn: (a) der Verantwortliche hat eine vorherige schriftliche Genehmigung erteilt und (b) geeignete Garantien gemäß DSGVO Kapitel V sind vorhanden, wie z. B. EU-Standardvertragsklauseln oder ein Angemessenheitsbeschluss der Europäischen Kommission.

7. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, nachdem er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat, die im Rahmen dieser AVV verarbeitete personenbezogene Daten betrifft.

Die Meldung umfasst: eine Beschreibung der Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen, die voraussichtlichen Folgen der Verletzung sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung.

8. Prüfungsrechte

Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in DSGVO Artikel 28 und dieser AVV festgelegten Pflichten erforderlich sind, und ermöglicht Überprüfungen – einschließlich Inspektionen – durch den Verantwortlichen oder einen vom Verantwortlichen beauftragten Prüfer und wirkt daran mit.

Überprüfungen erfolgen mit angemessener Vorankündigung und während der üblichen Geschäftszeiten und dürfen den Betrieb des Auftragsverarbeiters nicht unangemessen stören.

9. Löschung und Rückgabe von Daten

Nach Beendigung des Dienstes löscht oder gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten an den Verantwortlichen zurück und löscht vorhandene Kopien, sofern nicht geltendes Recht eine weitere Speicherung erfordert.

Der Verantwortliche kann vor Beendigung einen Datenexport in einem gängigen, maschinenlesbaren Format anfordern.

10. Haftung

Die Haftung jeder Partei im Rahmen dieser AVV unterliegt den Beschränkungen und Ausschlüssen, die in der Hauptvereinbarung zwischen den Parteien festgelegt sind.

Nichts in dieser AVV beschränkt die Haftung einer Partei für Verstöße gegen das Datenschutzrecht, soweit eine solche Haftung nach geltendem Recht nicht beschränkt werden kann.

11. Anwendbares Recht

Diese AVV unterliegt norwegischem Recht. Alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser AVV ergeben, unterliegen der ausschließlichen Zuständigkeit des Bezirksgerichts Oslo, sofern zwingendes Recht nichts anderes vorsieht.

12. Kontakt

Bei Fragen zu dieser AVV oder zu Datenschutzangelegenheiten wenden Sie sich bitte an:
Skiwo AS
Pilestredet 17, 0164 Oslo, Norway
Email: privacy@reportsecurely.com