# Datenschutzerklärung ## 1. Datenschutz auf einen Blick ### Allgemeine Hinweise Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen oder die Plattform Hinweisly nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. ### Verantwortliche Stelle Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber: **rapid watermarks e.U.** Inhaber: Benedikt Gansinger Hofmark 34, 4742 Pram, Österreich E-Mail: info@hinweisly.com ### Wie erfassen wir Ihre Daten? Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen — beispielsweise bei der Registrierung (E-Mail-Adresse, Firmenname, Passwort). Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst (technische Daten wie Browsertyp, Betriebssystem, Uhrzeit des Seitenaufrufs). ### Wofür nutzen wir Ihre Daten? - Bereitstellung und Betrieb der Plattform - Vertragserfüllung (Hinweisgebersystem, Abonnementverwaltung) - Technische Sicherstellung des fehlerfreien Betriebs - E-Mail-Benachrichtigungen im Rahmen der Leistungserbringung ### Welche Rechte haben Sie bezüglich Ihrer Daten? Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit an uns wenden. ## 2. Hosting & Infrastruktur Diese Website und die Plattform werden auf Servern innerhalb der Europäischen Union betrieben. Die Datenbank (PostgreSQL) befindet sich ebenfalls in der EU. Es findet keine Datenübermittlung in Drittländer statt, sofern dies nicht ausdrücklich angegeben ist (z. B. bei Einsatz bestimmter Unterauftragsverarbeiter). ## 3. Datenverarbeitung auf der Plattform ### Registrierung & Benutzerkonto Bei der Registrierung erfassen wir: - E-Mail-Adresse - Firmenname - Passwort (bcrypt-gehasht, wird nicht im Klartext gespeichert) Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). ### Meldungen (Whistleblowing) Hinweisgeber können anonym Meldungen einreichen. Dabei werden **keine personenbezogenen Daten des Hinweisgebers** erfasst. Der Zugangsschlüssel wird mit bcrypt gehasht und nicht im Klartext gespeichert. Der Inhalt der Meldung wird mit AES-256-GCM verschlüsselt gespeichert. Optional können Hinweisgeber die Ende-zu-Ende-Verschlüsselung nutzen, wenn der Mandant einen öffentlichen Schlüssel hinterlegt hat. In diesem Fall kann auch Hinweisly den Inhalt der Meldung nicht lesen. ### Nachrichten & Kommunikation Nachrichten zwischen Hinweisgeber und Sachbearbeiter werden AES-256-GCM-verschlüsselt gespeichert. Die Kommunikation erfolgt anonym über den Zugangsschlüssel. ### Dateianhänge Hochgeladene Dateien werden AES-256-GCM-verschlüsselt gespeichert. Es werden nur Bilddateien (JPEG, PNG, GIF, WebP) mit einer maximalen Größe von 5 MB akzeptiert. ### Audit-Trail Alle Statusänderungen an Meldungen werden in einem unveränderlichen Audit-Trail protokolliert. Dieser enthält keine personenbezogenen Daten des Hinweisgebers. ## 4. Abrechnung & Zahlungen Die Zahlungsabwicklung erfolgt über **Mollie B.V.** (Keizersgracht 126, 1015 CW Amsterdam, Niederlande). Mollie verarbeitet Zahlungsdaten gemäß der [Mollie-Datenschutzerklärung](https://www.mollie.com/privacy). Wir speichern keine Kreditkartendaten. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). ## 5. E-Mail-Benachrichtigungen Wir versenden E-Mails ausschließlich in folgenden Fällen: - E-Mail-Verifizierung bei der Registrierung - Passwort-Zurücksetzung - Benachrichtigung bei neuen Meldungen - Fristwarnungen (7-Tage-Bestätigung, 3-Monats-Bearbeitung) - Einladung neuer Teammitglieder (Pro-Tarif) Es werden keine Marketing-E-Mails ohne ausdrückliche Einwilligung versendet. ## 6. Cookies Diese Website verwendet ein **technisch notwendiges Session-Cookie** (`hinweisly_session`) für die Authentifizierung angemeldeter Benutzer. Dieses Cookie enthält eine zufällige Sitzungs-ID und wird mit den Flags `HttpOnly` und `SameSite=Lax` gesetzt. Es werden **keine Tracking-Cookies**, keine Analyse-Software (kein Google Analytics, kein Matomo) und keine Werbe-Cookies eingesetzt. Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — das Cookie ist für den Betrieb der Anwendung technisch notwendig. ## 7. Datenlöschung & Aufbewahrungsfristen Abgeschlossene Meldungen werden nach Ablauf der konfigurierbaren Aufbewahrungsfrist (Standard: 365 Tage) automatisch gelöscht. Dies umfasst den Meldungsinhalt, alle Nachrichten, Notizen, Anhänge und Audit-Logs. Sie können jederzeit die Löschung Ihres Benutzerkontos und aller zugehörigen Daten verlangen, indem Sie eine E-Mail an info@hinweisly.com senden. ## 8. Ihre Rechte Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten: - **Recht auf Auskunft** (Art. 15 DSGVO) - **Recht auf Berichtigung** (Art. 16 DSGVO) - **Recht auf Löschung** (Art. 17 DSGVO) - **Recht auf Einschränkung der Verarbeitung** (Art. 18 DSGVO) - **Recht auf Datenübertragbarkeit** (Art. 20 DSGVO) - **Widerspruchsrecht** (Art. 21 DSGVO) Darüber hinaus haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist die Österreichische Datenschutzbehörde, Barichgasse 40–42, 1030 Wien. ## 9. Sicherheitsmaßnahmen - AES-256-GCM-Verschlüsselung aller Meldungsinhalte, Nachrichten und Anhänge - bcrypt-Hashing von Zugangsschlüsseln und Passwörtern - HTTPS-Verschlüsselung aller Verbindungen (HSTS) - Rate Limiting auf öffentliche Endpunkte - Account-Sperrung nach 5 fehlgeschlagenen Anmeldeversuchen - Security-Header: CSP, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy *Stand: April 2026*