Datenschutzerklärung

See English version below. In case of conflicting interpretations, the German version prevails.

OAISIS ist ein Projekt des Whistleblower-Netzwerk e.V. deren Datenschutzerklärung finden Sie unter https://whistleblower-net.de/datenschutzerklaerung/.

Zusätzlich der Datenschutzerklärung des WBN e.V. unterrichten wir die Besucher*innen unserer Internetseite, Spender*innen, Zuwender*innen, Abonnent*innen, Bewerber*innen, sowie wie alle Personen, die sich mit Ihren Anliegen an uns wenden über den Umgang personenbezogenen Daten bei „OAISIS“, ein Projekt des Whistleblower-Netzwerk e.V. Personenbezogene Daten sind solche Daten, die direkt oder indirekt Rückschlüsse auf Ihre Identität zulassen. Damit erfüllen wir die Informationspflicht nach Art. 13 der Datenschutz-Grundverordnung (DSGVO).

1. Verantwortlicher
2. Zwecke und Rechtsgrundlagen der Verarbeitung
3. Empfänger von Daten
4. Cookies und Webanalyse
5. Drittlandtransfer
6. Rechte der Betroffenen
7. Abschlusserklärung
8. Verantwortlicher

Für die Datenverarbeitung verantwortlich im Sinne des Art. 13 Abs. 1 lit. a DSGVO ist OAISIS ein Projekt des Whistleblower-Netzwerk e.V., Markgrafenstr. 15, 10969 Berlin, vertreten durch den geschäftsführenden Vorstand: Dipl.-Pol. Annegret Falter, OStA a.D. Robert Bungart, Dr. Detlev Böttcher, RA Klaus Bergmann.

Bei Fragen zum Datenschutz stehen wir Ihnen per Email (info@whistleblower-net.de), telefonisch (0176 84915150) oder unter der oben angegebenen postalischen Anschrift zur Verfügung. Ansprechpartner für Fragen des Datenschutzes sind Kosmas Zittel (Geschäftsführer) und Dr. Detlev Böttcher (Schatzmeister).

Zwecke und Rechtsgrundlagen der Verarbeitung

OAISIS verarbeitet für folgende Zwecke untenstehende personenbezogene Daten:

1. Betrieb der Internetseite https://www.third-opinion.org/: Auf der Internetseite nutzen wir die Plugins von Substack und Brevo. Deren Datenschutzerklärung finden Sie hier: https://substack.com/privacy. und https://www.brevo.com/legal/privacypolicy/. Automatisch erhobene Daten wie Cookies, finden Sie unter 4. Cookies und Webanalyse.
2. Versand von Newsletter und Pressemitteilungen: Zur Erstellung und Verbreitung des Newsletters nutzen wir Brevo und Substack. Die Datenschutzerklärung von Brevo finden Sie unter https://www.brevo.com/legal/privacypolicy/. Die Datenschutzerklärung finden Sie unter https://substack.com/privacy. Für die Nutzung der Verteiler wird die von Ihnen genannte E-Mail-Adresse verarbeitet. Sie können sich selbst aus dem jeweiligen Verteiler austragen, damit wird Ihre E-Mail-Adresse umgehend gelöscht. Sie können uns auch per E-Mail den Widerruf der Einwilligung zur Nutzung der E-Mail-Adresse unter info@whistleblower-net.de zusenden. Dann wird ihre E-Mail-Adresse umgehend gelöscht.
3. Individuelle Kommunikation (Email, Telefon, Post, Messenger-Dienste, Video-Calls): Alle uns freiwillig übermittelten und im Zuge der Bearbeitung Ihres Anliegens entstehenden Daten und Unterlagen wie etwa Name, Vorname, E-Mail-Adresse und etwaige weitere angegebene personenbezogene Daten oder besondere Kategorien personenbezogener Daten, soweit dies zur Bearbeitung Ihres Anliegens erforderlich ist. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 Satz 1 lit. a DSGVO. Die Daten werden innerhalb von 24 Monaten nach Beendigung der jeweiligen Kommunikationsform bzw., wenn die Daten Bestandteil laufender Verfahren sind, 24 Monate nach Abschluss des Verfahrens gelöscht.
4. Anonymes Submission Tool: Wir verwenden für unser „Anonymes Submission Tool“ eine in Deutschland gehostete Version der Software „GlobaLeaks“. Wir erheben keine personenbezogenen Daten im Rahmen der Kontaktaufnahme und speichern auch keine personenbezogenen Daten automatisch. Einzig IP Adressdaten werden automatisch zwecks Abwehr von DoS Attacken gespeichert, jedoch separiert von den Anfragen der Nutzer. Sie finden Details zu den durch GlobaLekas erhobenen Daten hier: https://docs.globaleaks.org/en/stable/index.html. Kommunikations- und Formulardaten, die über die GlobaLeaks Instanz ausgetauscht werden, löschen wir 21 Tage nach Beendigung der Kommunikation. Wir behalten uns vor, Daten früher zu löschen. Als Nutzer haben Sie zu jedem Zeitpunkt, soweit rechtlich zulässig, das Recht, eine umgehende Löschung der Daten anzufordern. Alle Mitarbeiter mit Zugriff auf Fragen durch das „Anyonyme Submission Tool“ haben eine Verschwiegenheits- und DSGVO-Compliance-Erklärung unterschrieben.

Empfänger von Daten

Wir übermitteln ohne Ihre ausdrückliche Zustimmung (Art. 6 Abs. 1 Satz 1 lit. a DSGVO) keine Daten an Dritte. Wenn dies geboten oder notwendig ist, geschieht dies im Rahmen einer Auftragsdatenverarbeitung.

Wir verwenden keine Social Media-Plug-Ins. Stattdessen stellen die an zwei Stellen der Website vorhandenen Subscription Forms eine Möglichkeit der Anmeldung zu unserem Newsletter oder Blog dar und verlinken unsere Social Media Accounts (in unserem Fall Twitter, Threads, LinkedIn, Bluesky). Allein durch die vorhandenen Buttons findet noch keine Erhebung und Übermittlung von Daten an diese Dienste statt. Erst beim Anklicken eines Buttons oder Links werden Sie auf die Seite des jeweiligen Anbieters geleitet.

Für die Durchführung von Online-Veranstaltungen und Video-Calls verwenden wir GoogleMeet und dem anonymen Video-Call Dienst Jitsi. Wenn Sie bei „Google Meets“ als Benutzer*in registriert sind, dann können Berichte über Online-Meetings (Meeting-Metadaten, Daten zur Telefoneinwahl, Fragen und Antworten in Webinaren, Umfragefunktion in Webinaren) bei „Google Meets“ gespeichert werden. Deren Datenschutzerklärung finden Sie unter https://cloud.google.com/privacy/gdpr/ und https://jitsi.org/security/.

Tracking-Technologien und Datenerfassung

Wir nutzen für unsere Homepage https://super.so, sowie Plugins von Substack und Brevo. Angaben zur Nutzung von Tracking Daten finden Sie in der Datenschutzerklärung unter https://super.so/privacy.

Im Folgenden informieren wir Sie transparent über weitere eingesetzte Tools:

Google Tag Manager

Wir nutzen ueber unser eingebundenes Substack Plugin den Google Tag Manager (GTM), einen Dienst der Google Ireland Limited. Der Google Tag Manager selbst speichert keine personenbezogenen Daten, ermöglicht aber die Implementierung verschiedener Tracking-Codes auf unserer Website. Die Datenschutzerklärung von Google finden Sie unter: https://policies.google.com/privacy

Cloudflare Insights

Wir nutzen über unser eingebundenes Substack Plugin Cloudflare Insights zur Performance-Analyse ein. Dieser Dienst sammelt technische Daten über die Leistung unserer Website, einschließlich:

• Ladezeiten der Seite
• Technische Performance-Metriken
• Anonymisierte Nutzungsstatistiken Diese Daten werden verwendet, um die Leistung und Verfügbarkeit unserer Website zu optimieren.

Datadog

Wir nutzen über unser eingebundenes Substack Plugin Datadog zur Überwachung und Analyse unserer Anwendungsleistung. Dabei werden folgende Daten erfasst:

• Technische Performance-Daten
• Anwendungsfehler und -status
• Anonymisierte Nutzungsmetriken Diese Informationen helfen uns, technische Probleme frühzeitig zu erkennen und zu beheben.

Elastic APM

Wir nutzen über unser eingebundenes Brevo Plugin zur technischen Performance-Überwachung Elastic APM. Das Tool erfasst:

• Anwendungsleistungsdaten
• Technische Fehlerinformationen
• Metriken zur Benutzerinteraktion Diese Daten dienen der technischen Optimierung unserer Services.

Sentry

Für die Fehlererkennung und -behebung setzen wir über unser eingebundenes Substack Plugin Sentry ein. Dabei werden folgende Daten verarbeitet:

• Technische Fehlerprotokolle
• Diagnostische Informationen
• Umgebungsvariablen zum Zeitpunkt eines Fehlers Diese Daten ermöglichen uns eine schnelle Identifikation und Behebung technischer Probleme.

Vercel Speed Insights

Wir nutzen über unseren Website Provide Superzur Analyse der Website-Performance Vercel Speed Insights. Dabei werden erfasst:

• Seitenladezeiten
• Performance-Metriken
• Anonymisierte Nutzererfahrungsdaten Diese Daten helfen uns, die Geschwindigkeit und Nutzererfahrung unserer Website kontinuierlich zu verbessern.

Drittlandtransfer

OAISIS übermittelt keine Daten außerhalb des Anwendungsbereichs der DSGVO. Ausnahme ist die Kommunikation via GoogleMeet, unserem Newsletter Provider Brevo, Substack, und soziale Medien mit Sitz in den USA (Privacy Shield), beispielsweise X und Threads, wobei personenbezogene Daten hier nur von solchen Dritten verarbeitet werden, die ihrerseits Kund*innen dieser Netzwerke sind.

Rechte der betroffenen Person

Wenn wir personenbezogene Daten von Ihnen verarbeiten, haben Sie folgende Betroffenenrechte:

• ein Recht auf Auskunft über die verarbeiteten Daten und auf Kopie,
• ein Berichtigungsrecht, wenn wir falsche Daten über Sie verarbeiten,
• ein Recht auf Löschung, es sei denn, dass noch Ausnahmen greifen, warum wir die Daten noch speichern, also zum Beispiel Aufbewahrungspflichten oder Verjährungsfristen
• ein Recht auf Einschränkung der Verarbeitung,
• ein jederzeitiges Recht, Einwilligungen in die Datenverarbeitung zu widerrufen,
• ein Widerspruchsrecht gegen eine Verarbeitung im öffentlichen oder bei berechtigtem Interesse,
• ein Recht auf Datenübertragbarkeit,
• ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde, wenn Sie finden, dass wir Ihre Daten nicht ordnungsgemäß verarbeiten. Für unseren Verein ist der Berliner Beauftragte für Datenschutz und Informationsfreiheit (An der Urania 4-10; 10787 Berlin; mailbox@datenschutz-berlin.de) zuständig. Wenn Sie sich in einem anderen Bundesland oder nicht in Deutschland aufhalten, können Sie sich aber auch an die dortige Datenschutzbehörde wenden.

US-Datenschutzrechte und -Offenlegungen

Datenschutzrechte in Kalifornien (CCPA/CPRA)

Wenn Sie in Kalifornien ansässig sind, haben Sie gemäß dem California Consumer Privacy Act (CCPA) und dem California Privacy Rights Act (CPRA) besondere Rechte:

• Recht zu erfahren, welche personenbezogenen Daten wir erheben und wie wir sie nutzen
• Recht auf Löschung Ihrer personenbezogenen Daten
• Recht auf Berichtigung ungenauer personenbezogener Daten
• Recht auf Widerspruch gegen den Verkauf oder die Weitergabe personenbezogener Daten
• Recht auf Einschränkung der Nutzung sensibler personenbezogener Daten
• Recht auf Datenübertragbarkeit
• Recht auf Nichtdiskriminierung bei der Ausübung Ihrer Rechte

Um diese Rechte auszuüben, kontaktieren Sie uns unter [Kontaktinformationen]. Wir werden auf verifizierbare Verbraucheranfragen innerhalb von 45 Tagen antworten.

In den letzten 12 Monaten haben wir:

• Keine personenbezogenen Daten verkauft
• Keine personenbezogenen Daten für kontextübergreifende Verhaltenswerbung weitergegeben
• Keine sensiblen personenbezogenen Daten für andere als die in CPRA Abschnitt 7027(m) festgelegten Zwecke verwendet oder offengelegt

Bundesstaatenspezifische Datenschutzrechte

Einwohner von Virginia, Colorado, Connecticut, Utah und anderen Bundesstaaten mit umfassenden Datenschutzgesetzen haben ähnliche Rechte bezüglich ihrer personenbezogenen Daten. Diese können umfassen:

• Recht auf Bestätigung, ob wir Ihre personenbezogenen Daten verarbeiten
• Recht auf Zugang zu Ihren personenbezogenen Daten
• Recht auf Berichtigung von Ungenauigkeiten
• Recht auf Löschung personenbezogener Daten
• Recht auf Erhalt einer Kopie Ihrer personenbezogenen Daten
• Recht auf Widerspruch gegen zielgerichtete Werbung, Verkäufe oder Profiling

Kontaktieren Sie uns, um eines dieser Rechte auszuüben.

Benachrichtigung bei Datenschutzverletzungen

Im Falle einer Datenschutzverletzung, die Ihre personenbezogenen Daten betrifft, werden wir:

1. Betroffene Personen ohne unangemessene Verzögerung, in der Regel innerhalb von 30-60 Tagen, benachrichtigen
2. Spezifische Informationen über den Vorfall und die betroffenen Daten bereitstellen
3. Identitätsschutzdienstleistungen anbieten, wenn dies gesetzlich vorgeschrieben ist
4. Relevante Behörden gemäß bundes- und einzelstaatlicher Gesetze benachrichtigen

Abschlusserklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit mit Wirkung für die Zukunft zu ändern. Eine jeweils aktuelle Version ist an dieser Stelle verfügbar. Bitte suchen Sie die Website regelmäßig auf und informieren sich über die geltende Datenschutzerklärung.

English Version

OAISIS is a project of Whistleblower-Netzwerk e.V. Their privacy policy can be found at https://whistleblower-net.de/datenschutzerklaerung/.

In addition to the privacy policy of WBN e.V., we inform visitors to our website, donors, contributors, subscribers, applicants, and all persons who contact us about the handling of personal data at "OAISIS," a project of Whistleblower-Netzwerk e.V. Personal data is data that directly or indirectly allows conclusions about your identity. This fulfills the information obligation under Article 13 of the General Data Protection Regulation (GDPR).

1. Controller
2. Purposes and Legal Bases of Processing
3. Recipients of Data
4. Cookies and Web Analytics
5. Third Country Transfer
6. Rights of Data Subjects
7. Final Declaration

Controller

The controller responsible for data processing within the meaning of Art. 13(1)(a) GDPR is OAISIS, a project of Whistleblower-Netzwerk e.V., Markgrafenstr. 15, 10969 Berlin, represented by the executive board: Dipl.-Pol. Annegret Falter, OStA a.D. Robert Bungart, Dr. Detlev Böttcher, RA Klaus Bergmann.

For questions about data protection, you can contact us via email (info@whistleblower-net.de), phone (0176 84915150), or at the postal address listed above. The contacts for data protection questions are Kosmas Zittel (Managing Director) and Dr. Detlev Böttcher (Treasurer).

Purposes and Legal Bases of Processing

OAISIS processes personal data for the following purposes:

1. Operation of the website https://www.third-opinion.org/: We use plugins from Substack and Brevo on the website. Their privacy policies can be found at: https://substack.com/privacy and https://www.brevo.com/legal/privacypolicy/. For automatically collected data such as cookies, see section 4. Cookies and Web Analytics.
2. Sending newsletters and press releases: We use Brevo and Substack for creating and distributing newsletters. Brevo's privacy policy can be found at https://www.brevo.com/legal/privacypolicy/. Substack's privacy policy can be found at https://substack.com/privacy. For mailing list use, we process the email address you provide. You can unsubscribe yourself from the respective mailing list, after which your email address will be deleted immediately. You can also send us a withdrawal of consent for email address use at info@whistleblower-net.de, after which your email address will be deleted immediately.
3. Individual communication (Email, Phone, Mail, Messenger Services, Video Calls): All voluntarily submitted data and documents arising during the processing of your request, such as name, first name, email address, and any other provided personal data or special categories of personal data, as far as necessary for processing your request. The legal basis for this is Art. 6(1)(a) GDPR. The data will be deleted within 24 months after the end of the respective form of communication or, if the data is part of ongoing proceedings, 24 months after the conclusion of the proceedings.
4. Anonymous Submission Tool: We use a German-hosted version of the "GlobaLeaks" software for our "Anonymous Submission Tool." We do not collect personal data during contact and do not automatically store any personal data. Only IP address data is automatically stored for DoS attack prevention, but separated from user requests. You can find details about the data collected by GlobaLeaks here: https://docs.globaleaks.org/en/stable/index.html. Communication and form data exchanged via the GlobaLeaks instance are deleted 21 days after the end of communication. We reserve the right to delete data earlier. As a user, you have the right to request immediate deletion of data at any time, as far as legally permissible. All employees with access to questions through the "Anonymous Submission Tool" have signed a confidentiality and GDPR compliance declaration.

Recipients of Data

We do not transmit data to third parties without your express consent (Art. 6(1)(a) GDPR). When required or necessary, this occurs within the framework of data processing agreements.

We do not use social media plug-ins. Instead, the subscription forms present at two locations on the website provide an opportunity to sign up for our newsletter or blog and link to our social media accounts (in our case Twitter, Threads, LinkedIn, Bluesky). The mere presence of these buttons does not result in any collection or transmission of data to these services. Only when clicking a button or link will you be directed to the respective provider's page.

For conducting online events and video calls, we use Google Meet and the anonymous video call service Jitsi. If you are registered as a user with "Google Meets," reports about online meetings (meeting metadata, telephone dial-in data, questions and answers in webinars, survey function in webinars) can be stored at "Google Meets." Their privacy policies can be found at https://cloud.google.com/privacy/gdpr/ and https://jitsi.org/security/.

Tracking Technologies and Data Collection

We use https://super.so for our homepage, as well as plugins from Substack and Brevo. Information about the use of tracking data can be found in the privacy policy at https://super.so/privacy.

We inform you transparently about other tools used:

Google Tag Manager

We use Google Tag Manager (GTM) through our embedded Substack plugin, a service of Google Ireland Limited. The Google Tag Manager itself does not store personal data but enables the implementation of various tracking codes on our website. Google's privacy policy can be found at: https://policies.google.com/privacy

Cloudflare Insights

Through our embedded Substack plugin, we use Cloudflare Insights for performance analysis. This service collects technical data about our website's performance, including:

• Page load times
• Technical performance metrics
• Anonymized usage statistics These data are used to optimize our website's performance and availability.

Datadog

Through our embedded Substack plugin, we use Datadog to monitor and analyze our application performance. The following data is collected:

• Technical performance data
• Application errors and status
• Anonymized usage metrics This information helps us identify and fix technical issues early.

Elastic APM

We use Elastic APM through our embedded Brevo plugin for technical performance monitoring. The tool collects:

• Application performance data
• Technical error information
• User interaction metrics This data is used for technical optimization of our services.

Sentry

For error detection and resolution, we use Sentry through our embedded Substack plugin. The following data is processed:

• Technical error logs
• Diagnostic information
• Environment variables at the time of an error This data enables us to quickly identify and fix technical problems.

Vercel Speed Insights

We use Vercel Speed Insights through our website provider Super for website performance analysis. The following is collected:

• Page load times
• Performance metrics
• Anonymized user experience data This data helps us continuously improve our website's speed and user experience.

Third Country Transfer

OAISIS does not transfer data outside the scope of GDPR. Exceptions are communication via Google Meet, our newsletter provider Brevo, Substack, and social media based in the USA (Privacy Shield), such as X and Threads, where personal data is only processed by third parties who are themselves customers of these networks.

Rights of Data Subjects

If we process your personal data, you have the following rights:

• Right to information about processed data and to copy
• Right to rectification if we process incorrect data about you
• Right to erasure, unless exceptions still apply for why we need to store the data, such as retention obligations or limitation periods
• Right to restriction of processing
• Right to withdraw consent to data processing at any time
• Right to object to processing in the public interest or legitimate interest
• Right to data portability
• Right to complain to a data protection supervisory authority if you believe we are not processing your data properly. For our association, the Berlin Commissioner for Data Protection and Freedom of Information (An der Urania 4-10; 10787 Berlin; mailbox@datenschutz-berlin.de) is responsible. If you are in another federal state or not in Germany, you can also contact the local data protection authority.

US Privacy Rights and Disclosures

California Privacy Rights (CCPA/CPRA)

If you are a California resident, you have specific rights under the California Consumer Privacy Act (CCPA) and the California Privacy Rights Act (CPRA):

• Right to know what personal information we collect and how we use it
• Right to delete your personal information
• Right to correct inaccurate personal information
• Right to opt-out of the sale or sharing of personal information
• Right to limit the use of sensitive personal information
• Right to data portability
• Right to non-discrimination for exercising your rights

To exercise these rights, contact us at [contact information]. We will respond to verifiable consumer requests within 45 days.

In the last 12 months, we have:

• Not sold any personal information
• Not shared personal information for cross-context behavioral advertising
• Not used or disclosed sensitive personal information for purposes other than those specified in CPRA Section 7027(m)

State-Specific Privacy Rights

Residents of Virginia, Colorado, Connecticut, Utah, and other states with comprehensive privacy laws have similar rights regarding their personal information. These may include:

• Right to confirm whether we are processing your personal information
• Right to access your personal information
• Right to correct inaccuracies
• Right to delete personal information
• Right to obtain a copy of your personal information
• Right to opt out of targeted advertising, sales, or profiling

Contact us to exercise any of these rights.

Data Breach Notification

In the event of a data breach affecting your personal information, we will:

1. Notify affected individuals without unreasonable delay, typically within 30-60 days
2. Provide specific information about what occurred and what data was affected
3. Offer identity theft protection services when required by law
4. Notify relevant authorities as required by state and federal laws

Final Declaration

We reserve the right to change this privacy policy at any time with effect for the future. A current version is available at this location. Please visit the website regularly and inform yourself about the applicable privacy policy.