Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Verantwortliche Stelle

Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Impressum entnehmen.

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen — beispielsweise bei der Registrierung (E-Mail-Adresse, Firmenname, Passwort). Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst (technische Daten wie Browsertyp, Betriebssystem, Uhrzeit des Seitenaufrufs).

2. Hosting & Infrastruktur

Diese Website und die Plattform werden auf Servern innerhalb der Europäischen Union betrieben. Die Datenbank (PostgreSQL) befindet sich ebenfalls in der EU. Es findet keine Datenübermittlung in Drittländer statt.

3. Datenverarbeitung auf der Plattform

Registrierung & Benutzerkonto

Bei der Registrierung erfassen wir:

• E-Mail-Adresse
• Firmenname
• Passwort (bcrypt-gehasht, wird nicht im Klartext gespeichert)

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Meldungen (Whistleblowing)

Hinweisgeber können anonym Meldungen einreichen. Dabei werden keine personenbezogenen Daten des Hinweisgebers erfasst. Der Zugangsschlüssel wird mit bcrypt gehasht und nicht im Klartext gespeichert. Der Inhalt der Meldung wird mit AES-256-GCM verschlüsselt gespeichert.

Optional können Hinweisgeber die Ende-zu-Ende-Verschlüsselung nutzen, wenn der Mandant einen öffentlichen Schlüssel hinterlegt hat. In diesem Fall kann auch Hinweisly den Inhalt der Meldung nicht lesen.

Nachrichten & Kommunikation

Nachrichten zwischen Hinweisgeber und Sachbearbeiter werden AES-256-GCM-verschlüsselt gespeichert. Die Kommunikation erfolgt anonym über den Zugangsschlüssel.

Dateianhänge

Hochgeladene Dateien werden AES-256-GCM-verschlüsselt gespeichert. Es werden nur Bilddateien (JPEG, PNG, GIF) mit einer maximalen Größe von 5 MB akzeptiert. EXIF-Metadaten (z. B. GPS-Koordinaten) werden vor der Speicherung serverseitig entfernt.

Hinweis zur Ende-zu-Ende-Verschlüsselung: Bilddateianhänge werden auch im E2E-Modus serverseitig verarbeitet (zur Validierung und EXIF-Entfernung). Nur der Meldungstext ist E2E-verschlüsselt.

Audit-Trail

Alle Statusänderungen an Meldungen werden in einem unveränderlichen Audit-Trail protokolliert. Dieser enthält keine personenbezogenen Daten des Hinweisgebers.

4. Abrechnung & Zahlungen

Die Zahlungsabwicklung erfolgt über Mollie B.V. (Keizersgracht 126, 1015 CW Amsterdam, Niederlande). Mollie verarbeitet Zahlungsdaten gemäß der Mollie-Datenschutzerklärung. Wir speichern keine Kreditkartendaten.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

5. E-Mail-Benachrichtigungen

Wir versenden E-Mails ausschließlich in folgenden Fällen:

• E-Mail-Verifizierung bei der Registrierung
• Passwort-Zurücksetzung
• Benachrichtigung bei neuen Meldungen
• Fristwarnungen (7-Tage-Bestätigung, 3-Monats-Bearbeitung)
• Einladung neuer Teammitglieder (Pro-Tarif)

Es werden keine Marketing-E-Mails ohne ausdrückliche Einwilligung versendet.

6. Cookies

Diese Website verwendet ein technisch notwendiges Session-Cookie (hinweisly_session) für die Authentifizierung angemeldeter Benutzer. Dieses Cookie enthält eine zufällige Sitzungs-ID und wird mit den Flags HttpOnly, Secure (in Produktion) und SameSite=Lax gesetzt.

Es werden keine Tracking-Cookies, keine Analyse-Software (kein Google Analytics, kein Matomo) und keine Werbe-Cookies eingesetzt.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch unbedingt erforderlich) sowie Art. 6 Abs. 1 lit. f DSGVO.

6a. Server-Logs & Sicherheitsmaßnahmen

Aus Sicherheitsgründen verarbeiten wir folgende technische Daten für maximal 30 Tage:

• IP-Adresse des Anfragenden — zur Drosselung (Rate Limiting) öffentlicher Endpunkte und zur Abwehr von Brute-Force-Angriffen.
• Fehlgeschlagene Anmeldeversuche pro E-Mail-Adresse — zur temporären Account-Sperre nach 5 Fehlversuchen (15 Minuten).
• Zeitpunkt, Pfad und HTTP-Statuscode für Diagnose- und Compliance-Zwecke.

Rechtsgrundlage: Berechtigtes Interesse an Systemsicherheit (Art. 6 Abs. 1 lit. f DSGVO).

7. Datenlöschung & Aufbewahrungsfristen

Abgeschlossene Meldungen werden gemäß § 11 Abs. 5 HinSchG bzw. § 15 HSchG für drei Jahre nach Abschluss aufbewahrt. Nach Ablauf dieser Frist wird der Meldungsinhalt automatisch anonymisiert; der Audit-Trail bleibt zu Nachweiszwecken erhalten.

Hinweisgeber können jederzeit nach Art. 17 DSGVO eine Löschung anstoßen. Aus dem Meldungsinhalt werden dann personenbezogene Bestandteile entfernt; die Falldokumentation und der Audit-Trail bleiben gemäß HinSchG/HSchG erhalten.

Sie können jederzeit die Schließung Ihres Benutzerkontos verlangen — entweder über die Einstellungsseite („Konto schließen") oder per E-Mail an info@hinweisly.com.

7a. Auftragsverarbeitung (Art. 28 DSGVO)

Wenn Sie Hinweisly als Unternehmen für Ihren internen Meldekanal nutzen, sind Sie datenschutzrechtlich Verantwortlicher für die im Meldekanal verarbeiteten Daten Ihrer Hinweisgeber, und Hinweisly handelt als Auftragsverarbeiter. Auf Anforderung schließen wir mit Ihnen einen Auftragsverarbeitungsvertrag (AVV) ab. Anfragen unter info@hinweisly.com.

7b. Subprozessoren

Wir setzen folgende Subprozessoren ein:

• Mollie B.V. (NL) — Zahlungsabwicklung. Datenschutzerklärung.
• SMTP-Provider für transaktionale E-Mails (E-Mail-Verifikation, Passwort-Reset, Fristbenachrichtigungen). Aktueller Provider auf Anfrage.
• Hosting-Provider für Anwendungs- und Datenbankserver. Standort: Europäische Union.

Eine Übermittlung in Drittländer außerhalb des EWR findet nicht statt.

8. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

Darüber hinaus haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

9. Sicherheitsmaßnahmen

• AES-256-GCM-Verschlüsselung aller Meldungsinhalte, Nachrichten und Anhänge
• bcrypt-Hashing von Zugangsschlüsseln und Passwörtern
• HTTPS-Verschlüsselung aller Verbindungen (HSTS)
• Rate Limiting auf öffentliche Endpunkte
• Account-Sperrung nach 5 fehlgeschlagenen Anmeldeversuchen
• Security-Header: CSP, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy

Stand: April 2026