Datenschutzerklärung
Freiwillige Feuerwehr Schwalmtal
1. Verantwortlicher (Art. 13 Abs. 1 DSGVO)
Verantwortlich für die Verarbeitung personenbezogener Daten in dieser Feuerwehr-Manager-Instanz ist:
Freiwillige Feuerwehr Schwalmtal
Kontakt: Daniel Leuchtenberg
E-Mail: dleuchtenberg89@gmail.com
2. Verarbeitete Daten und Zweck
Feuerwehr-Manager verarbeitet folgende personenbezogene Daten zur digitalen Verwaltung des Feuerwehrdienstes:
| Datenkategorie | Felder | Zweck |
|---|---|---|
| Zugangsdaten | Benutzername, Passwort-Hash | Authentifizierung |
| Stammdaten | Anzeigename, Personalnummer, Eintrittsdatum | Mitgliederverwaltung |
| Kontaktdaten (verschlüsselt) | Telefon, private E-Mail, Anschrift | Erreichbarkeit im Einsatzfall |
| Gesundheitsdaten (Art. 9 DSGVO) | Qualifikationen mit medizinischem Bezug (z. B. Atemschutz G26/3) | Eignungsnachweis für Atemschutzgeräteträger |
| Notfallkontakte (verschlüsselt) | Name, Telefon der Notfallkontaktperson | Benachrichtigung bei Unfall |
| Zeiterfassung | Stempelzeiten, Dienstart, Terminbezug | Stundennachweis, Fördermittel |
| Ausrüstung | Pager, Schlüssel, Ausweise | Inventarverwaltung |
| Qualifikationen & Ehrungen | Aus-/Weiterbildungen, Auszeichnungen | Qualifikationsnachweis |
| Anwesenheit | Teilnahme an Übungen und Einsätzen | Leistungsnachweis |
| Audit-Protokoll | Datenzugriffe, Änderungen an Personaldaten | Nachvollziehbarkeit (Art. 5 Abs. 2 DSGVO) |
3. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. c DSGVO — Erfüllung gesetzlicher Pflichten (Brandschutzgesetze des jeweiligen Bundeslandes)
- Art. 6 Abs. 1 lit. e DSGVO — Aufgabe im öffentlichen Interesse (für Feuerwehren als Teil der öffentlichen Gefahrenabwehr)
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung / Vereinsmitgliedschaft (für eingetragene Vereine)
- Art. 9 Abs. 2 lit. b DSGVO — Verarbeitung von Gesundheitsdaten im Beschäftigungs- und Sozialschutzkontext (Atemschutzeignung)
4. Technische und organisatorische Schutzmaßnahmen (Art. 32 DSGVO)
- Kontaktdaten werden mit AES-256-GCM verschlüsselt in der Datenbank gespeichert
- Passwörter werden mit bcrypt gehasht — nie im Klartext gespeichert
- Optionale Zwei-Faktor-Authentifizierung (TOTP)
- Zugriff auf Gesundheitsdaten (Art. 9) auf Admins und die betreffende Person beschränkt
- Vollständiges Audit-Logging aller Zugriffe auf personenbezogene Daten
- Kommunikation ausschließlich über HTTPS
- Rate-Limiting auf allen Authentifizierungsendpunkten
5. Datenweitergabe und Auftragsverarbeitung
Personenbezogene Daten werden nicht an Dritte weitergegeben, soweit dies nicht gesetzlich vorgeschrieben ist (z. B. Weitergabe von Einsatzdaten an Leitstellen).
Server-/Datenbankbetrieb: Eigener Server
Sofern ein externer Hoster eingesetzt wird, besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.
6. Speicherdauer und Löschfristen
| Datenkategorie | Frist |
|---|---|
| Aktive Mitglieder | Löschung auf Antrag (Art. 17 DSGVO) oder bei Austritt nach Ablauf gesetzlicher Aufbewahrungsfristen |
| Zeiterfassungsdaten | 10 Jahre (steuer- und handelsrechtliche Aufbewahrungspflichten) |
| Audit-Protokoll | 3 Jahre |
| Passworte (Hashes) | Bis zur Accountlöschung |
7. Ihre Rechte als betroffene Person
Sie haben nach der DSGVO folgende Rechte gegenüber dem Verantwortlichen:
- Auskunft (Art. 15 DSGVO): Vollständiger Datenexport als JSON-Datei unter Mein Bereich → Datenschutz → Meine Daten exportieren
- Berichtigung (Art. 16 DSGVO): Änderung eigener Daten unter Mein Bereich → Profil
- Löschung (Art. 17 DSGVO): Antrag direkt beim oben genannten Datenschutzkontakt
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO): JSON-Export verfügbar (s. Art. 15)
- Widerspruch (Art. 21 DSGVO)
8. Beschwerderecht
Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde Ihres Bundeslandes zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.
Eine Liste der Landesbehörden finden Sie auf der Website der Bundesbeauftragten für den Datenschutz: www.bfdi.bund.de