# Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

## Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird geschlossen zwischen:

**Auftraggeber:** Der Kunde (nachfolgend „Verantwortlicher"), der sich auf der Plattform Hinweisly registriert hat.

**Auftragnehmer:** rapid watermarks e.U., Hofmark 34, 4742 Pram, Österreich (nachfolgend „Auftragsverarbeiter").

Der Auftragsverarbeiter verarbeitet im Rahmen der Bereitstellung der Plattform Hinweisly personenbezogene Daten im Auftrag des Verantwortlichen. Dieser AVV konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien gemäß Art. 28 DSGVO.

## § 1 Gegenstand und Dauer der Verarbeitung

1. **Gegenstand:** Der Auftragsverarbeiter stellt dem Verantwortlichen eine webbasierte Plattform zur Einrichtung und zum Betrieb eines internen Hinweisgebersystems gemäß dem deutschen Hinweisgeberschutzgesetz (HinSchG) und dem österreichischen HSchG bereit.
2. **Dauer:** Die Verarbeitung erfolgt für die Dauer des Vertragsverhältnisses zwischen den Parteien. Nach Beendigung des Vertrags werden die Daten gemäß § 10 dieses AVV gelöscht.

## § 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst:

- Speicherung und verschlüsselte Aufbewahrung von Meldungen (Whistleblowing-Reports)
- Speicherung und verschlüsselte Aufbewahrung von Nachrichten zwischen Hinweisgeber und Sachbearbeiter
- Speicherung und verschlüsselte Aufbewahrung von Dateianhängen
- Verwaltung von Benutzerkonten (Sachbearbeiter des Verantwortlichen)
- Protokollierung von Statusänderungen (Audit-Trail)
- Fristenverwaltung und Benachrichtigungen

## § 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

- E-Mail-Adressen der Sachbearbeiter (Benutzer des Verantwortlichen)
- Firmennamen
- Meldungsinhalte (verschlüsselt mit AES-256-GCM)
- Nachrichten (verschlüsselt mit AES-256-GCM)
- Dateianhänge (verschlüsselt mit AES-256-GCM)
- Audit-Trail-Einträge (Statusänderungen mit Zeitstempel)
- Technische Zugriffsdaten (IP-Adressen, Browser-Informationen)

**Hinweis:** Meldungsinhalte, Nachrichten und Anhänge werden ausschließlich in verschlüsselter Form gespeichert. Der Auftragsverarbeiter hat keinen Zugriff auf den Klartext, sofern der Verantwortliche die Ende-zu-Ende-Verschlüsselung aktiviert hat.

## § 4 Kategorien betroffener Personen

- Sachbearbeiter und Administratoren des Verantwortlichen
- Hinweisgeber (anonym, keine personenbezogenen Daten werden erfasst)
- In Meldungen genannte Personen (verschlüsselt gespeichert)

## § 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

1. Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaates hierzu verpflichtet.
2. Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
3. Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe Anlage: TOM).
4. Den Verantwortlichen bei der Einhaltung seiner Pflichten gemäß Art. 32–36 DSGVO zu unterstützen.
5. Nach Beendigung der Verarbeitung alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben.
6. Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen und Überprüfungen (Audits) zu ermöglichen.

## § 6 Unterauftragsverarbeitung

1. Der Auftragsverarbeiter setzt die im Verzeichnis der Unterauftragsverarbeiter genannten Unterauftragnehmer ein. Das aktuelle Verzeichnis ist als separates Dokument verfügbar.
2. Der Auftragsverarbeiter informiert den Verantwortlichen vorab über jede beabsichtigte Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, Einspruch zu erheben.
3. Der Auftragsverarbeiter stellt durch vertragliche Vereinbarungen mit den Unterauftragsverarbeitern sicher, dass diese mindestens gleichwertige Datenschutzpflichten einhalten.

## § 7 Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung:

1. Bei der Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß Kapitel III DSGVO.
2. Bei der Einhaltung der Pflichten gemäß Art. 32–36 DSGVO (Sicherheit, Datenschutz-Folgenabschätzung, vorherige Konsultation).

## § 8 Meldung von Datenschutzverletzungen

1. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.
2. Die Meldung enthält mindestens:
   - Beschreibung der Art der Verletzung
   - Kategorien und ungefähre Anzahl betroffener Personen
   - Wahrscheinliche Folgen der Verletzung
   - Ergriffene oder vorgeschlagene Maßnahmen zur Behebung

## § 9 Audits und Kontrollen

1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind.
2. Der Auftragsverarbeiter ermöglicht und unterstützt Überprüfungen durch den Verantwortlichen oder einen von diesem beauftragten Prüfer, sofern diese mit einer angemessenen Frist von mindestens 14 Tagen angekündigt werden.

## § 10 Löschung und Rückgabe von Daten

1. Nach Beendigung des Vertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.
2. Abgeschlossene Meldungen werden nach Ablauf der vom Verantwortlichen konfigurierten Aufbewahrungsfrist (Standard: 365 Tage) automatisch gelöscht.
3. Der Verantwortliche kann vor Vertragsende einen Export aller Daten über die Exportfunktion der Plattform anfordern.

## § 11 Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Im Übrigen gelten die Haftungsregelungen der Allgemeinen Geschäftsbedingungen.

## § 12 Schlussbestimmungen

1. Dieser AVV ist Bestandteil des Hauptvertrags (AGB).
2. Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV vor, soweit sie den Datenschutz betreffen.
3. Änderungen dieses AVV bedürfen der Schriftform.
4. Es gilt österreichisches Recht. Gerichtsstand ist Wels, Österreich.

## Anlagen

- Anlage 1: Technische und organisatorische Maßnahmen (TOM)
- Anlage 2: Verzeichnis der Unterauftragsverarbeiter

*Stand: April 2026*