Datenschutzerklärung

für das Hinweisgebersystem von HinSchG-Portal

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:
HinSchG-Portal
E-Mail: info@hinschg-portal.de

2. Zweck der Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zum Zweck des Betriebs eines internen Hinweisgebersystems gemäß dem Hinweisgeberschutzgesetz (HinSchG). Das System ermöglicht es Beschäftigten und Dritten, Hinweise zu möglichen Verstößen vertraulich oder anonym abzugeben.

3. Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von:

Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung (§ 12 HinSchG, Pflicht zur Einrichtung interner Meldestellen)
Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen (Aufklärung von Compliance-Verstößen)
§ 10 HinSchG – Vertraulichkeitsgebot für Meldestellen

4. Erhobene Daten

4.1 Bei anonymer Meldung

Bei einer anonymen Meldung werden folgende Daten verarbeitet:

Kategorie des Verstoßes
Beschreibung des Sachverhalts
Datum und Ort des Vorfalls (optional)
Hochgeladene Dateien/Beweismittel (optional)
Nachrichten im anonymen Kommunikationskanal

Es werden keine IP-Adressen, Browser-Fingerprints oder sonstige identifizierende technische Daten gespeichert. Die IP-Adresse wird vor der Verarbeitung durch das System anonymisiert (auf 0.0.0.0 gesetzt).

4.2 Bei freiwilliger Kontaktangabe

Sofern die hinweisgebende Person freiwillig eine E-Mail-Adresse angibt, wird diese ausschließlich für die Kommunikation im Zusammenhang mit der Meldung verwendet.

5. Verschlüsselung

Alle Meldungsdaten werden mit AES-256-GCM verschlüsselt gespeichert (Verschlüsselung at rest). Der Transportweg ist durch TLS/SSL (HTTPS) geschützt. Hochgeladene Bilddateien werden automatisch von EXIF-Metadaten bereinigt, um eine versehentliche Preisgabe von Standortdaten oder Geräteinformationen zu verhindern.

6. Fallnummer-System

Jeder Meldung wird eine zufällig generierte 16-stellige Fallnummer zugewiesen. Diese dient als einziger Zugangscode zum Abruf des Bearbeitungsstatus und zur anonymen Kommunikation mit der Meldestelle. Die Fallnummer wird nicht mit personenbezogenen Daten verknüpft.

7. Speicherdauer

Meldungen und zugehörige Daten werden gemäß § 11 Abs. 5 HinSchG nach Abschluss des Verfahrens für die Dauer von 3 Jahren aufbewahrt und anschließend automatisch gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

8. Empfänger der Daten

Zugang zu den Meldungen haben ausschließlich:

Die beauftragte(n) Person(en) der internen Meldestelle (§ 14 HinSchG)
Ggf. externe Ombudspersonen/Rechtsanwälte bei beauftragter Fallbearbeitung

Eine Weitergabe an Dritte erfolgt nur, wenn dies gesetzlich vorgeschrieben ist (z. B. an Strafverfolgungsbehörden) oder die hinweisgebende Person eingewilligt hat.

9. Hosting und Auftragsverarbeitung

Das System wird auf Servern innerhalb der Europäischen Union betrieben. Mit dem Hosting-Anbieter besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Es findet keine Datenübermittlung in Drittstaaten statt.

10. Betroffenenrechte

Im Rahmen der DSGVO stehen Ihnen folgende Rechte zu:

Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch (Art. 21 DSGVO)

Bei anonymen Meldungen können diese Rechte nur ausgeübt werden, soweit die Person sich gegenüber der Meldestelle identifiziert.

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO).

11. Cookies & Tracking

Das Hinweisgebersystem verwendet keine Tracking-Cookies, keine Analyse-Tools und kein Webtracking. Es werden ausschließlich technisch notwendige Session-Cookies verwendet, die nach Beendigung der Sitzung automatisch gelöscht werden. Ein Cookie-Consent-Banner ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG).

12. Kontakt Datenschutz

Bei Fragen zum Datenschutz wenden Sie sich an:
info@hinschg-portal.de
oder an den betrieblichen Datenschutzbeauftragten (sofern bestellt).