Der Systemanbieter ZeuSWarE GmbH erkennt
folgende Datenschutzrichtlinie als Bestandteil des anonymen Hinweisgebersystems zur Korruptionsbekämpfung verbindlich an:
Die Grundlage dieser Richtlinie ist das
Bundesdatenschutzgesetz (BDSG) sowie das Berliner Datenschutzgesetz (BlnDSG) in der jeweils aktuellen Fassung.
Vom Gesetz abweichende Ziele oder Richtlinien innerhalb des Dokuments sind
nichtig, die restlichen Ziele und/oder Richtlinien bleiben davon unberührt. Wir
bitten darum, entsprechende Verstöße dem Berliner Datenschutzbeauftragten umgehend zu
melden.
Ziel ist es, datenschutzkonform die Daten der Hinweisgeber zu
verarbeiten. Dabei steht die vollständige Anonymisierung der Hinweisgeber im
Vordergrund.
Das anonyme Hinweisgebersystem erhebt Daten über die Art der Nutzung.
Diese umfassen unter anderem die Häufigkeit der Zugriffe, die Anzahl der Hinweise,
die Anzahl der Dialoge sowie die Anzahl der Meldungen, die an andere Dienststellen weitergeleitet wurden.
Das Hinweisgebersystem sorgt entsprechend dafür, dass keine
statistischen Daten verwendet werden können, welche Rückschlüsse auf einen
einzelnen Benutzer zulassen.
Grundsätzlich gibt der Nutzer keine personenbezogenen Daten
[1]
von sich in das System
ein, sondern erhält systembedingt die Möglichkeit, ein Pseudonym
[2]
als Benutzernamen für
einen Account zu verwenden.
Der Einrichtung eines virtuellen Postfaches (Account) mit
den verbundenen Daten beinhaltet das Einverständnis des Nutzers, die
eingegebenen Daten in der Datenbank zu hinterlegen.
Es gibt zwei Arten von möglichen Nutzern: Nutzer mit
virtuellem Postfach (Account) und Nutzer ohne dieses. In beiden Fällen wird das
Nutzerverhalten anonymisiert erfasst.
Die IP wird zur weiteren Verarbeitung innerhalb der
Anwendung nicht gespeichert. Sollten sich aus der IP andere Daten
ergeben, so werden diese hier nachfolgend gesondert behandelt.
Zur Wahrung der Verfügbarkeit, Vertraulichkeit und
Integrität des Servers und der mit dem Server verbundenen Anwendungen und Schnittstellen,
werden Zugriffe auf dem Server protokolliert, um potentielle
Sicherheitsverstöße aufzunehmen.
Zugriffe, die mit keinem Sicherheitsverstoß in Verbindung
gebracht werden können, werden wartungsintervallbedingt spätestens nach einem
Kalendermonat gelöscht.
Sollte eine Erfassung von Geolocation-Daten
durchgeführt werden, so wird die IP maximal auf eine Postleitzahl aufgelöst.
Die IP wird nicht gespeichert. Es wird auch kein Zusammenhang zwischen Nutzer und
Standort gespeichert, sondern nur die Anzahl der Mitteilungen von dem entsprechenden Standort.
Sollte eine Erfassung von Geolocation-Daten
durchgeführt werden, so werden die vom Mobilgerät übertragenen Standortdaten
maximal auf eine Postleitzahl aufgelöst.Die IP wird nicht gespeichert. Es wird auch kein Zusammenhang zwischen Nutzer und
Standort gespeichert, sondern nur die Anzahl der Mitteilungen von dem entsprechenden Standort.
Von Nutzern mit und ohne virtuellem Postfach wird das
Nutzerverhalten erfasst. Der Nutzer wird durch ein Session-Token (das ist ein
eineindeutiger Identifizierer, wie z.B. Hashwert des
aktuellen Zeitstempels in Millisekunden plus Zufallszahl) eindeutig markiert.
Dieser Session-Token soll Nutzer bei der Protokollierung nicht
identifizieren, sondern voneinander unterscheiden.
Ermittelt werden der Verlauf der Aufrufe und Links der Unterseiten und deren
Häufigkeit, mit dem Ziel, das Hinweisgebersystem an das Nutzerverhalten anzupassen.
Da die Erhebung anonym ist, bedarf es keines Einverständnisses.
Ein Benutzername muss bei der Einrichtung eines
virtuellen Postfaches angegeben werden. Der Benutzername ist nur für den Benutzer sichtbar.
Es wird das Passwort mittels einer Hashfunktion in der
Webapplikation und Datenbank unkenntlich gemacht.
Das Hinterlegen der privaten Email-Adresse ist optional
und nicht verpflichtend.
Das Hinterlegen der privaten Telefonnummer ist optional
und nicht verpflichtend zur Eröffnung eines Accounts oder für dessen Nutzung.
Das Hinterlegen der privaten Anschrift ist optional und
nicht verpflichtend zur Eröffnung eines Accounts oder für dessen Nutzung.
Alle sonstigen optionalen personenbezogenen Daten sind
nicht verpflichtend zur Eröffnung eines Accounts oder für dessen Nutzung.
Die eingegebenen Daten des Nutzers werden
individuell verschlüsselt in einer Datenbank gespeichert.
[3]
Weder Bearbeiter,
Administratoren, Webseitenbetreiber oder sonstige Personen haben die Möglichkeit Zugriff auf den Inhalt der vom Nutzer
hinterlegten, personenbezogenen Daten zu erlangen.
Ein Nutzer mit einem virtuellen Briefkasten hat jederzeit
und kostenlos die Möglichkeit, seine freiwillig mitgeteilten personenbezogenen Daten einzusehen. Eine
Auskunft der im Hinweissystem gespeicherten personenbezogener Daten durch den
Systemanbieter ist technisch nicht möglich, sondern kann nur durch den Onlinezugang des jeweiligen Nutzers selbst erfolgen.
Die durch den Dialog mit einem Hinweisbearbeiter
weitergegebenen persönlichen Daten müssen separat erfragt werden, da diese
Daten nicht im Hinweissystem gespeichert sind.
[4]
Freiwillig übermittelte personenbezogene Daten werden an den
Hinweisbearbeiter des LKA Berlins weitergegeben und zweckbestimmt verarbeitet.
Mitteilungen von Hinweisgebern werden auschließlich im Rahmen der gesetzlichen Befugnisse verwendet.
Hat ein Nutzer einen virtuelles Postfach eingerichtet,
hat er die Option mit den Hinweisbearbeitern zu kommunizieren.
Dabei ist sichergestellt, dass der im Dialog befindliche Nutzer-Account nicht
identifiziert werden kann. Der Dialog erfolgt über eine Proxyemailadresse. Jede Kommunikationsseite erhält eine virtuelle Alias-Email-Adresse, welche per Zufallsgenerator erzeugt wird. Die jeweilige Zuordnung
der Email-Adresse zu einem Bearbeiter-Account oder Nutzer-Account wird
verschlüsselt in einer Datenbank hinterlegt.
Ein Nutzer kann seinen Account inklusive seinen hinterlegten
Daten komplett löschen. Die Löschung wird direkt in die Datenbank übernommen.
An die Hinweisbearbeiter übermittelte Nachrichten werden dadurch nicht gelöscht.
Eine Löschung kann nicht im Datenarchiv durchgeführt werden
oder in den vorher angelegten Datensicherungen. Hier gelten die gesetzlichen
Löschfristen für Datenarchive und Datensicherungen.
Löschungen durch die Hinweisbearbeiter erfolgen nach dem Vieraugenprinzip.
Wird ein Nutzer-Account länger als 6 Monate nicht genutzt,
wird dieser automatisch gelöscht.
Eine Löschung kann nicht im Datenarchiv durchgeführt werden
oder in den vorher angelegten Datensicherungen. Hier gelten die gesetzlichen
Löschfristen für Datenarchive und Datensicherungen.
Entsprechend BDSG §4d.2 entfällt die Meldepflicht, da die
verantwortliche Stelle, LKA Berlin, einen Datenschutzbeauftragten stellt.
Hinweise werden nach der ersten Bearbeitung durch das Hinweisgebersystem spätestens nach einem Monat automatisiert einer Löschung zugeführt. Im Einzelfall sind längere Speicherzeiten nach dem Vieraugenprinzip zu begründen.
Inaktive Nutzer des Hinweisgebersystems werden nach Ablauf von 6 Monaten durchgehender Inaktivität automatisch gelöscht.
Den Nutzern steht es frei, erneut ein virtuelles Postfach zu eröffnen.
Zur Wahrung der Integrität der Daten werden von der Anwendung und der Datenbank regelmäßig Sicherungen durchgeführt.
Die Aufbewahrungszeit einer Sicherung beträgt maximal einen Kalendermonat.
Ältere Sicherungen sowie alle entsprechenden Kopien werden automatisch gelöscht.
Es findet keine separate Datenarchivierung statt.
[1]
Im Sinne BDSG §3.1
[2]
Im Sinne BDSG §3.6a
[3]
Siehe Kryptografiekonzept
[4]
Evtl. ein „Anfrage-Button“, um die Auskunft zu erleichtern.
[5]
Im Sinne BDSG §4c.1.1