Datenschutzerklärung

für das Hinweisgebersystem von HinSchG-Portal

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:
Angus Uelsmann (Einzelunternehmer)
E-Mail: info@hinschg-portal.de

2. Zweck der Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zum Zweck des Betriebs eines internen Hinweisgebersystems gemäß dem Hinweisgeberschutzgesetz (HinSchG). Das System ermöglicht es Beschäftigten und Dritten, Hinweise zu möglichen Verstößen vertraulich oder anonym abzugeben.

3. Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von:

  • Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung (§ 12 HinSchG, Pflicht zur Einrichtung interner Meldestellen)
  • Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen (Aufklärung von Compliance-Verstößen)
  • § 10 HinSchG – Vertraulichkeitsgebot für Meldestellen

4. Erhobene Daten

4.1 Bei anonymer Meldung

Bei einer anonymen Meldung werden folgende Daten verarbeitet:

  • Kategorie des Verstoßes
  • Beschreibung des Sachverhalts
  • Datum und Ort des Vorfalls (optional)
  • Hochgeladene Dateien / Beweismittel (optional)
  • Nachrichten im anonymen Kommunikationskanal

Es werden keine IP-Adressen, Browser-Fingerprints oder sonstige identifizierende technische Daten gespeichert. Die IP-Adresse wird vor der Verarbeitung durch das System anonymisiert (auf 0.0.0.0 gesetzt).

4.2 Bei freiwilliger Kontaktangabe

Sofern die hinweisgebende Person freiwillig eine E-Mail-Adresse angibt, wird diese ausschließlich für die Kommunikation im Zusammenhang mit der Meldung verwendet.

4.3 Administratorkonto

Bei der Registrierung als Meldestellen-Bearbeiter werden Name, E-Mail-Adresse und ggf. Unternehmensdaten verarbeitet. Diese Daten dienen der Authentifizierung und der Zuordnung zu Meldungen.

5. Verschlüsselung & Sicherheit

Alle Meldungsdaten werden mit AES-256-GCM verschlüsselt gespeichert (Encryption at rest). Der Transportweg ist durch TLS (HTTPS) geschützt.

Hochgeladene Bilddateien werden automatisch von EXIF-Metadaten bereinigt, um eine versehentliche Preisgabe von Standortdaten oder Geräteinformationen zu verhindern. Es werden ausschließlich auditierte Open-Source-Kryptografiebibliotheken eingesetzt.

6. Fallnummer-System

Jeder Meldung wird eine zufällig generierte 16-stellige Fallnummer zugewiesen. Diese dient als einziger Zugangscode zum Abruf des Bearbeitungsstatus und zur anonymen Kommunikation mit der Meldestelle. Die Fallnummer wird nicht mit personenbezogenen Daten verknüpft.

7. Speicherdauer

Meldungen und zugehörige Daten werden gemäß § 11 Abs. 5 HinSchG nach Abschluss des Verfahrens für die Dauer von 3 Jahren aufbewahrt und anschließend automatisch gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

8. Empfänger der Daten

Zugang zu den Meldungen haben ausschließlich:

  • Die beauftragte(n) Person(en) der internen Meldestelle (§ 14 HinSchG)
  • Ggf. externe Ombudspersonen / Rechtsanwälte bei beauftragter Fallbearbeitung

Eine Weitergabe an Dritte erfolgt nur, wenn dies gesetzlich vorgeschrieben ist (z.B. an Strafverfolgungsbehörden) oder die hinweisgebende Person eingewilligt hat.

9. Hosting & Auftragsverarbeitung

Das System wird auf Servern am Standort Frankfurt am Main (Deutschland) betrieben. Als Hosting-Anbieter wird Hostinger International Ltd. eingesetzt. Mit dem Hosting-Anbieter besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Sämtliche Datenverarbeitung findet ausschließlich innerhalb der Europäischen Union statt. Es erfolgt keine Datenübermittlung in Drittstaaten.

10. Betroffenenrechte

Im Rahmen der DSGVO stehen Ihnen folgende Rechte zu:

  • Auskunft (Art. 15 DSGVO) – Welche Daten verarbeiten wir?
  • Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO) – Recht auf Vergessenwerden
  • Einschränkung (Art. 18 DSGVO) – Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20 DSGVO) – Export Ihrer Daten
  • Widerspruch (Art. 21 DSGVO) – Widerspruch gegen Verarbeitung

Bei anonymen Meldungen können diese Rechte nur ausgeübt werden, soweit die Person sich gegenüber der Meldestelle identifiziert. Sie haben zudem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO).

11. Cookies & Tracking

Das Hinweisgebersystem verwendet keine Tracking-Cookies, keine Analyse-Tools und kein Webtracking. Es werden ausschließlich technisch notwendige Session-Cookies verwendet, die nach Beendigung der Sitzung automatisch gelöscht werden. Ein Cookie-Consent-Banner ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG).

12. Kontakt Datenschutz

Bei Fragen zum Datenschutz wenden Sie sich an:
info@hinschg-portal.de

Stand: Februar 2026