Datenschutzrichtlinie

a) Kundendaten (die Organisation)

• Kontodaten — die E-Mail-Adresse der benannten Person, der Name der Organisation.
• Öffentlicher Verschlüsselungsschlüssel — generiert und gespeichert für die E2E-Verschlüsselung der Meldungen.
• Kommunikation — Inhalt der an uns gesendeten E-Mails, Supportanfragen.

b) Daten des Hinweisgebers

c) Automatisch erhobene Daten (nur Dashboard)

• Technische Daten — IP-Adresse, Browsertyp (nur für authentifizierte Nutzer im Dashboard).
• Sitzungs-Cookies — gemäß der Cookie-Richtlinie.

• Bereitstellung der Dienste — Kontoerstellung und -verwaltung, Betrieb des Meldekanals, Verschlüsselung und Speicherung der Meldungen.
• Dienstbezogene Kommunikation — Benachrichtigungen über neue Meldungen, ablaufende gesetzliche Fristen, Plattform-Updates.
• Sicherheit — Schutz der Infrastruktur, Erkennung missbräuchlicher Nutzung, Verhinderung unbefugten Zugriffs.
• Gesetzliche Konformität — Erfüllung gesetzlicher Pflichten (Richtlinie (EU) 2019/1937, GDPR, Steuergesetzgebung).

Wir verkaufen, vermieten oder teilen die personenbezogenen Daten der Nutzer nicht mit Dritten zu Marketingzwecken.

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen (Art. 6 GDPR):

• Kontodaten — für die Dauer des Kontobestehens und bis zu 30 Tage nach Löschungsanfrage.
• Verschlüsselte Meldungen — gemäß der Aufbewahrungsrichtlinie des Kunden und den Verpflichtungen aus der Richtlinie (EU) 2019/1937 (mindestens 5 Jahre ab Datum der Meldung).
• Technische Daten (Dashboard) — maximal 12 Monate ab Erhebung.
• Kommunikation und Supportanfragen — maximal 3 Jahre ab der letzten Kommunikation.
• Rechnungsdaten — 10 Jahre gemäß der rumänischen Steuergesetzgebung (Gesetz Nr. 82/1991).

Personenbezogene Daten können von folgenden Unterauftragsverarbeitern eingesehen oder verarbeitet werden:

Für Datenübermittlungen außerhalb des EWR stützen wir uns auf von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs).

Wichtig: Meldungsinhalte sind E2E-verschlüsselt und für keinen Unterauftragsverarbeiter zugänglich.

Gemäß der GDPR stehen Ihnen folgende Rechte zu:

• Auskunftsrecht (Art. 15) — Erhalt einer Kopie der verarbeiteten personenbezogenen Daten.
• Recht auf Berichtigung (Art. 16) — Korrektur unrichtiger oder unvollständiger Daten.
• Recht auf Löschung (Art. 17) — Löschung der Daten unter den gesetzlichen Voraussetzungen.
• Recht auf Einschränkung der Verarbeitung (Art. 18) — Einschränkung der Verarbeitung in bestimmten Situationen.
• Recht auf Datenübertragbarkeit (Art. 20) — Erhalt der Daten in einem strukturierten Format (JSON/CSV).
• Widerspruchsrecht (Art. 21) — Widerspruch gegen die auf berechtigtem Interesse basierende Verarbeitung.
• Recht auf Widerruf der Einwilligung (Art. 7) — jederzeitiger Widerruf.
• Recht, keiner automatisierten Entscheidung unterworfen zu werden (Art. 22) — einschließlich Profiling.

Zur Ausübung Ihrer Rechte senden Sie eine E-Mail an contact@whistle-box.eu mit dem Betreff „GDPR-Anfrage WhistleBox”.

Wir setzen angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten um:

• End-to-End-Verschlüsselung (E2E) der Meldungsinhalte.
• Verschlüsselung bei der Übertragung (TLS 1.2+) für sämtliche Kommunikation mit dem Server.
• Passwörter werden mit sicheren Hash-Algorithmen gespeichert (bcrypt mit Salt).
• Eingeschränkter Zugang zu Datenbanken und Infrastruktur nach dem Prinzip der geringsten Berechtigung.
• Server in der Europäischen Union (Hetzner Online GmbH, Deutschland).
• Regelmäßige verschlüsselte Backups.
• Kontinuierliche Überwachung von Zugriffen und Anomalien.
• Authentifizierung über zeitlich begrenzte JWT-Token.
• Meldeseiten (/r/) setzen keine Cookies und erfassen keine Identifikationsdaten.

Der Betreiber kann diese Richtlinie regelmäßig aktualisieren. Die Nutzer werden per E-Mail und/oder durch eine Ankündigung auf der Plattform mindestens 15 Tage vor Inkrafttreten wesentlicher Änderungen benachrichtigt.