Datenschutzerklärung

Einleitung

Der Systemanbieter ZeuSWarE GmbH erkennt folgende Datenschutzrichtlinie als Bestandteil des anonymen Hinweisgebersystems zur Korruptionsbekämpfung verbindlich an:

Rechtsgrundlage

Die Grundlage dieser Richtlinie ist das Bundesdatenschutzgesetz (BDSG) sowie das Berliner Datenschutzgesetz (BlnDSG) in der jeweils aktuellen Fassung.
Vom Gesetz abweichende Ziele oder Richtlinien innerhalb des Dokuments sind nichtig, die restlichen Ziele und/oder Richtlinien bleiben davon unberührt. Wir bitten darum, entsprechende Verstöße dem Berliner Datenschutzbeauftragten umgehend zu melden.

Zielsetzung

Ziel ist es, datenschutzkonform die Daten der Hinweisgeber zu verarbeiten. Dabei steht die vollständige Anonymisierung der Hinweisgeber im Vordergrund.

Das anonyme Hinweisgebersystem erhebt Daten über die Art der Nutzung. Diese umfassen unter anderem die Häufigkeit der Zugriffe, die Anzahl der Hinweise, die Anzahl der Dialoge sowie die Anzahl der Meldungen, die an andere Dienststellen weitergeleitet wurden.

Das Hinweisgebersystem sorgt entsprechend dafür, dass keine statistischen Daten verwendet werden können, welche Rückschlüsse auf einen einzelnen Benutzer zulassen.

Anwendung

Einrichten eines Postfaches

Grundsätzlich gibt der Nutzer keine personenbezogenen Daten [1] von sich in das System ein, sondern erhält systembedingt die Möglichkeit, ein Pseudonym [2] als Benutzernamen für einen Account zu verwenden.

Der Einrichtung eines virtuellen Postfaches (Account) mit den verbundenen Daten beinhaltet das Einverständnis des Nutzers, die eingegebenen Daten in der Datenbank zu hinterlegen.

Erfasste Daten zur Speicherung

Es gibt zwei Arten von möglichen Nutzern: Nutzer mit virtuellem Postfach (Account) und Nutzer ohne dieses. In beiden Fällen wird das Nutzerverhalten anonymisiert erfasst.

IP Erfassung in der Anwendung (Protokollierung)

Die IP wird zur weiteren Verarbeitung innerhalb der Anwendung nicht gespeichert. Sollten sich aus der IP andere Daten ergeben, so werden diese hier nachfolgend gesondert behandelt.

IP-Erfassung durch den Server

Zur Wahrung der Verfügbarkeit, Vertraulichkeit und Integrität des Servers und der mit dem Server verbundenen Anwendungen und Schnittstellen, werden Zugriffe auf dem Server protokolliert, um potentielle Sicherheitsverstöße aufzunehmen.

Zugriffe, die mit keinem Sicherheitsverstoß in Verbindung gebracht werden können, werden wartungsintervallbedingt spätestens nach einem Kalendermonat gelöscht.

Geolocation durch IP (Protokollierung)

Sollte eine Erfassung von Geolocation-Daten durchgeführt werden, so wird die IP maximal auf eine Postleitzahl aufgelöst. Die IP wird nicht gespeichert. Es wird auch kein Zusammenhang zwischen Nutzer und Standort gespeichert, sondern nur die Anzahl der Mitteilungen von dem entsprechenden Standort.

Geolocation durch Mobilgeräteschnittstellen

Sollte eine Erfassung von Geolocation-Daten durchgeführt werden, so werden die vom Mobilgerät übertragenen Standortdaten maximal auf eine Postleitzahl aufgelöst.Die IP wird nicht gespeichert. Es wird auch kein Zusammenhang zwischen Nutzer und Standort gespeichert, sondern nur die Anzahl der Mitteilungen von dem entsprechenden Standort.

Nutzerverhalten (Protokollierung)

Von Nutzern mit und ohne virtuellem Postfach wird das Nutzerverhalten erfasst. Der Nutzer wird durch ein Session-Token (das ist ein eineindeutiger Identifizierer, wie z.B. Hashwert des aktuellen Zeitstempels in Millisekunden plus Zufallszahl) eindeutig markiert.
Dieser Session-Token soll Nutzer bei der Protokollierung nicht identifizieren, sondern voneinander unterscheiden.
Ermittelt werden der Verlauf der Aufrufe und Links der Unterseiten und deren Häufigkeit, mit dem Ziel, das Hinweisgebersystem an das Nutzerverhalten anzupassen.

Da die Erhebung anonym ist, bedarf es keines Einverständnisses.

Benutzername

Ein Benutzername muss bei der Einrichtung eines virtuellen Postfaches angegeben werden. Der Benutzername ist nur für den Benutzer sichtbar.

Passwort

Es wird das Passwort mittels einer Hashfunktion in der Webapplikation und Datenbank unkenntlich gemacht.

Email (optional)

Das Hinterlegen der privaten Email-Adresse ist optional und nicht verpflichtend.

Telefonnummer (optional)

Das Hinterlegen der privaten Telefonnummer ist optional und nicht verpflichtend zur Eröffnung eines Accounts oder für dessen Nutzung.

Anschrift (optional)

Das Hinterlegen der privaten Anschrift ist optional und nicht verpflichtend zur Eröffnung eines Accounts oder für dessen Nutzung.

Sonstige zusätzliche personenbezogene Daten

Alle sonstigen optionalen personenbezogenen Daten sind nicht verpflichtend zur Eröffnung eines Accounts oder für dessen Nutzung.

Speicherung der Daten

Die eingegebenen Daten des Nutzers werden individuell verschlüsselt in einer Datenbank gespeichert. [3] Weder Bearbeiter, Administratoren, Webseitenbetreiber oder sonstige Personen haben die Möglichkeit Zugriff auf den Inhalt der vom Nutzer hinterlegten, personenbezogenen Daten zu erlangen.

Selbstauskunft

Ein Nutzer mit einem virtuellen Briefkasten hat jederzeit und kostenlos die Möglichkeit, seine freiwillig mitgeteilten personenbezogenen Daten einzusehen. Eine Auskunft der im Hinweissystem gespeicherten personenbezogener Daten durch den Systemanbieter ist technisch nicht möglich, sondern kann nur durch den Onlinezugang des jeweiligen Nutzers selbst erfolgen.

Die durch den Dialog mit einem Hinweisbearbeiter weitergegebenen persönlichen Daten müssen separat erfragt werden, da diese Daten nicht im Hinweissystem gespeichert sind. [4]

Übermittlung personenbezogener Daten

Freiwillig übermittelte personenbezogene Daten werden an den Hinweisbearbeiter des LKA Berlins weitergegeben und zweckbestimmt verarbeitet.

Übermittlung personenbezogener Daten als Meldung in einem Verdachtsfall

Mitteilungen von Hinweisgebern werden auschließlich im Rahmen der gesetzlichen Befugnisse verwendet.

Weitere Anonymisierung des Nutzers während des Dialogs

Hat ein Nutzer einen virtuelles Postfach eingerichtet, hat er die Option mit den Hinweisbearbeitern zu kommunizieren. Dabei ist sichergestellt, dass der im Dialog befindliche Nutzer-Account nicht identifiziert werden kann. Der Dialog erfolgt über eine Proxyemailadresse. Jede Kommunikationsseite erhält eine virtuelle Alias-Email-Adresse, welche per Zufallsgenerator erzeugt wird. Die jeweilige Zuordnung der Email-Adresse zu einem Bearbeiter-Account oder Nutzer-Account wird verschlüsselt in einer Datenbank hinterlegt.

Löschung

Ein Nutzer kann seinen Account inklusive seinen hinterlegten Daten komplett löschen. Die Löschung wird direkt in die Datenbank übernommen. An die Hinweisbearbeiter übermittelte Nachrichten werden dadurch nicht gelöscht.

Eine Löschung kann nicht im Datenarchiv durchgeführt werden oder in den vorher angelegten Datensicherungen. Hier gelten die gesetzlichen Löschfristen für Datenarchive und Datensicherungen.

Löschungen durch die Hinweisbearbeiter erfolgen nach dem Vieraugenprinzip.

Automatische Löschung

Wird ein Nutzer-Account länger als 6 Monate nicht genutzt, wird dieser automatisch gelöscht.

Eine Löschung kann nicht im Datenarchiv durchgeführt werden oder in den vorher angelegten Datensicherungen. Hier gelten die gesetzlichen Löschfristen für Datenarchive und Datensicherungen.

 

Sonstige Bestimmungen

Meldepflicht über die Erhebung personenbezogener Daten

Entsprechend BDSG §4d.2 entfällt die Meldepflicht, da die verantwortliche Stelle, LKA Berlin, einen Datenschutzbeauftragten stellt.

Löschfristen

Löschfristen für die Datenbank

Hinweise werden nach der ersten Bearbeitung durch das Hinweisgebersystem spätestens nach einem Monat automatisiert einer Löschung zugeführt. Im Einzelfall sind längere Speicherzeiten nach dem Vieraugenprinzip zu begründen.

Inaktive Nutzer des Hinweisgebersystems werden nach Ablauf von 6 Monaten durchgehender Inaktivität automatisch gelöscht. Den Nutzern steht es frei, erneut ein virtuelles Postfach zu eröffnen.

Löschfristen für die Datensicherung

Zur Wahrung der Integrität der Daten werden von der Anwendung und der Datenbank regelmäßig Sicherungen durchgeführt. Die Aufbewahrungszeit einer Sicherung beträgt maximal einen Kalendermonat. Ältere Sicherungen sowie alle entsprechenden Kopien werden automatisch gelöscht.

Löschfristen für die Datenarchive

Es findet keine separate Datenarchivierung statt.

 



[1] Im Sinne BDSG §3.1

[2] Im Sinne BDSG §3.6a

[3] Siehe Kryptografiekonzept

[4] Evtl. ein „Anfrage-Button“, um die Auskunft zu erleichtern.

[5] Im Sinne BDSG §4c.1.1

Achtung!

Sollten Sie eine Anmerkung, eine Frage oder einen Fehler gefunden haben, so kontaktieren Sie bitte das LKA 34.
Die Kontaktdaten finden Sie im Reiter "Kontakt".