FAZ Rhön-Grabfeld

Feuerwehr-Ausbildungszentrum Rhön-Grabfeld

Anmelden

Datenschutzerklärung

Wir freuen uns sehr über Ihr Interesse an unserem Dienst. Datenschutz hat einen besonders hohen Stellenwert für die Leitung des Feuerwehr-Ausbildungszentrums Rhön-Grabfeld (im Folgenden FAZ Rhön-Grabfeld), betrieben vom Kreisfeuerwehrverband Rhön-Grabfeld e. V. Eine Nutzung der Internetseiten des FAZ Rhön-Grabfeld ist grundsätzlich ohne jede Angabe personenbezogener Daten möglich. Sofern eine betroffene Person besondere Services unseres Dienstes über unsere Internetseite in Anspruch nehmen möchte, könnte jedoch eine Verarbeitung personenbezogener Daten erforderlich werden. Ist die Verarbeitung personenbezogener Daten erforderlich und besteht für eine solche Verarbeitung keine gesetzliche Grundlage, holen wir generell eine Einwilligung der betroffenen Person ein.

Das FAZ Rhön-Grabfeld hat als für die Verarbeitung Verantwortlicher zahlreiche technische und organisatorische Maßnahmen umgesetzt, um einen möglichst lückenlosen Schutz der über diese Internetseite verarbeiteten personenbezogenen Daten sicherzustellen. Dennoch können internetbasierte Datenübertragungen grundsätzlich Sicherheitslücken aufweisen, sodass ein absoluter Schutz nicht gewährleistet werden kann. Aus diesem Grund steht es jeder betroffenen Person frei, personenbezogene Daten auch auf alternativen Wegen, beispielsweise telefonisch, an uns zu übermitteln.

Allgemeine Informationen

Name und Kontaktdaten des Verantwortlichen:

Kreisfeuerwehrverband Rhön-Grabfeld e. V.
Kreisbrandrat Stefan Schmöger
Otto-Hahn-Straße 13
97616 Bad Neustadt a.d. Saale
Deutschland
E-Mail: faz@kfvrg.de

Ansprechpartner Feuerwehr-Ausbildungszentrum:

FAZ Rhön-Grabfeld
Christian Stubenrauch
Am Fronhof 9
97616 Salz
Deutschland
E-Mail: faz@kfvrg.de

Ansprechpartner in Datenschutzfragen:

Kreisfeuerwehrverband Rhön-Grabfeld e. V.
Kreisbrandrat Stefan Schmöger
Otto-Hahn-Straße 13
97616 Bad Neustadt a.d. Saale
Deutschland
E-Mail: faz@kfvrg.de

Zweck und Rechtsgrundlage der Verarbeitung

Zweck der Verarbeitung ist die Erfüllung der uns vom Gesetzgeber zugewiesenen öffentlichen Aufgabe zur Sicherstellung des Brandschutzes, insbesondere die Aus- und Fortbildung von Feuerwehrdienstleistenden. Die Rechtsgrundlage für die Verarbeitung Ihrer Daten ergibt sich aus Art. 6 Abs. 1 UAbs. 1 Buchst. c und e der Datenschutz-Grundverordnung (DSGVO) i. V. m. Art. 2 Bayerisches Feuerwehrgesetz (BayFwG).

Quellen und Kategorien verarbeiteter Daten

Wir verarbeiten personenbezogene Daten in folgenden Zusammenhängen:

  • Benutzerkonten: Name, dienstliche E-Mail-Adresse, ggf. Telefonnummer, Rolle und Bezirkszugehörigkeit (Inspektionsbereich), Status (aktiv/gesperrt/bestätigt), Passwort-Hash sowie technische Anmelde-Faktoren (TOTP-Geheimnis für die Zwei-Faktor-Authentisierung, registrierte Passkeys/WebAuthn-Geräte).
  • Organisations-Stammdaten: Name, Kategorie, Gemeinde, Inspektionsbereich, Status und Berechtigungen der Trägerorganisation.
  • Teilnehmende der entsendenden Organisationen: Name, Geburtsdatum, ggf. E-Mail-Adresse, zugehörige Organisation und Status (aktiv/inaktiv).
  • Veranstaltungs-Anmeldungen: Anmeldungen zu Ausbildungen, Lehrgängen und Besprechungen inklusive Anwesenheitsstatus je Lehrgangstag (anwesend, entschuldigt, unentschuldigt), Teilnahmeergebnis (bestanden / nicht bestanden), Wartelisten-Status sowie optionale Zusatzangaben.
  • Veranstaltungs-Einladungen: an Organisationen ausgesprochene Einladungen (Organisations-Freischaltung) sowie deren etwaige Zu- oder Absagen.
  • Ausbildungs-Historie der Teilnehmenden: Nachweise bestandener Ausbildungen (Teilnehmende:r, Ausbildungs-Kategorie, Datum).
  • Benachrichtigungen: Versand- und Zustellprotokolle aller systemseitig versendeten E-Mails (Empfänger-Adresse, Zustellstatus, Zeitpunkt) sowie persönliche Einstellungen wie der Schalter für Benachrichtigungen.
  • Technische Audit-Spalten: zu jedem Datensatz wird festgehalten, wann und durch welche angemeldete Person er erstellt oder zuletzt geändert wurde.

Quellen dieser Daten sind ausschließlich (1) die Registrierung der entsendenden Organisationen, (2) Eingaben der Organisations- und FAZ-Benutzerinnen und -Benutzer im Portal selbst sowie (3) automatisch erzeugte technische Protokolle (Zustell- und Server-Logs).

Empfänger der Daten

Folgende Stellen erhalten Ihre Daten:

  • Übungs-/Ausbildungs- & Schulungspersonal zur Planung und Durchführung der Aus-/Weiterbildungen
  • zuständige Stellen der Organisation des Teilnehmers
  • Bereich Brandschutz, Öffentliche Sicherheit und Ordnung, Landratsamt Rhön-Grabfeld
  • zuständige Stellen des Kreisfeuerwehrverbands Rhön-Grabfeld

Mit dem technischen Betrieb des Portals hat der Kreisfeuerwehrverband Rhön-Grabfeld e. V. das Einzelunternehmen HvO Intern – Fabian Witt, Görleinsweg 9, 97522 Sand am Main, Deutschland, als Auftragsverarbeiter im Sinne des Art. 28 DSGVO beauftragt; die Einzelheiten regelt ein entsprechender Auftragsverarbeitungsvertrag. HvO Intern verarbeitet Ihre Daten ausschließlich weisungsgebunden zum Zweck des technischen Betriebs und setzt hierfür – mit Genehmigung des Verantwortlichen – folgende Sub-Auftragsverarbeiter ein: die lowcloud UG (haftungsbeschränkt) (Kubernetes-Plattform inklusive Datenbank, Hintergrund-Diensten und Anwendungs-Betrieb in deutschen Rechenzentren), die Hetzner Online GmbH (Infrastruktur-Unterbau der lowcloud-Plattform), die OhMySMTP Ltd („MailPace“, E-Mail-Versand; Hosting nach Anbieterangaben in der EU/Frankreich, Anbietersitz im Vereinigten Königreich auf Grundlage des EU-Angemessenheitsbeschlusses) sowie die Bugsink B. V. („Bugsink“, technisches Fehler-Monitoring, Hosting innerhalb der EU). Gegebenenfalls werden Ihre Daten an die zuständigen Aufsichts- und Rechnungsprüfungsbehörden zur Wahrnehmung der jeweiligen Kontrollrechte übermittelt.

Speicherdauer

Ihre Daten werden nur so lange gespeichert, wie dies unter Beachtung gesetzlicher Aufbewahrungsfristen zur Aufgabenerfüllung erforderlich ist. Folgende Regelfristen kommen zur Anwendung:

  • Anmeldedaten zu Veranstaltungen werden spätestens zwei Jahre nach dem jeweiligen Termin automatisch anonymisiert (der Personenbezug der Teilnehmenden wird entfernt); die statistischen Kennzahlen (Anwesenheit, bestanden / nicht bestanden, Kategorie, Datum) bleiben in pseudonymisierter Form bestehen.
  • Benutzer- und Organisations-Konten können auf Antrag über eine Lösch-Warteschlange entfernt werden; nach Ablauf einer regelmäßig siebentägigen Abbruchfrist werden die Datensätze endgültig gelöscht.
  • E-Mail-Zustellprotokolle und Benachrichtigungs-Historien werden zur Zustellbarkeits-Analyse und Betriebssicherung vorgehalten und regelmäßig gelöscht.
  • Sitzungs- und Login-Schutz-Daten (Sitzungs-Cookies, IP-bezogene Anti-Brute-Force-Zähler im Zwischenspeicher) werden nur kurzfristig vorgehalten und spätestens nach Beendigung der Sitzung gelöscht.
  • Server-Log-Dateien werden zur Gefahrenabwehr und Fehleranalyse vorgehalten und nach spätestens 30 Tagen automatisch gelöscht, soweit nicht zur Verfolgung eines konkreten sicherheitsrelevanten Vorfalls eine längere Aufbewahrung erforderlich ist.

Ihre Rechte

Soweit wir von Ihnen personenbezogene Daten verarbeiten, stehen Ihnen als Betroffener nachfolgende Rechte zu:

  • Sie haben das Recht auf Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO).
  • Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO).
  • Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen (Art. 17 und 18 DSGVO).
  • Wenn Sie in die Verarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).
  • Falls Sie in die Verarbeitung eingewilligt haben und die Verarbeitung auf dieser Einwilligung beruht, können Sie die Einwilligung jederzeit für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung wird durch diesen nicht berührt.

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen, wenn die Verarbeitung ausschließlich auf Grundlage des Art. 6 Abs. 1 Buchst. e oder f DSGVO erfolgt (Art. 21 Abs. 1 Satz 1 DSGVO).

Beschwerderecht bei der Aufsichtsbehörde

Weiterhin besteht ein Beschwerderecht beim Bayerischen Landesbeauftragten für den Datenschutz.

Postanschrift:
Postfach 22 12 19
80502 München
Deutschland

Adresse:
Wagmüllerstraße 18
80538 München
Deutschland
Tel.: +49 (0)89 / 212 672 0
Fax.: +49 (0)89 / 212 672 50
E-Mail: poststelle@datenschutz-bayern.de
Internet: https://www.datenschutz-bayern.de

Technische Umsetzung

Das Portal des FAZ Rhön-Grabfeld wird im Auftrag des Kreisfeuerwehrverbands Rhön-Grabfeld e. V. durch den Auftragsverarbeiter HvO Intern – Fabian Witt (Einzelunternehmen, Görleinsweg 9, 97522 Sand am Main) technisch betrieben. HvO Intern betreibt die Anwendung in eigener Verantwortung gegenüber dem Verantwortlichen auf einer Kubernetes-Plattform der lowcloud UG (haftungsbeschränkt) in deutschen Rechenzentren; Anwendung, Datenbank, Hintergrund-Dienste und der für die Anmelde-Schutz-Maßnahmen eingesetzte Zwischenspeicher (Valkey) laufen ausschließlich innerhalb dieser Plattform. Lowcloud setzt ihrerseits auf der Infrastruktur der Hetzner Online GmbH auf (weitere Sub-Auftragsverarbeitung). Eine Übermittlung Ihrer Anwendungsdaten in Drittländer findet nicht statt.

SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Anmeldungen oder Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

Cookies

Die Internetseiten des FAZ Rhön-Grabfeld verwenden ausschließlich technisch notwendige First-Party-Cookies. Eingesetzt werden insbesondere:

  • ein Sitzungs-Cookie nach erfolgreicher Anmeldung, damit Sie für die Dauer Ihrer Sitzung wiedererkannt werden;
  • ein Schutz-Cookie gegen Cross-Site-Request-Forgery, das Formular-Übermittlungen einer Sitzung zuordnet;
  • ein Komfort-Cookie für die Darstellungs-Einstellungen (z. B. heller/dunkler Modus, Zustand der Seitenleiste); Inhalt ist ausschließlich Ihre Auswahl.

Es werden keine Tracking-Cookies, Werbe-Cookies oder andere Cookies zur Nachverfolgung Ihres Verhaltens auf dieser oder anderen Internetseiten eingesetzt. Eine Einwilligung nach § 25 Abs. 1 TDDDG ist daher nicht erforderlich (technisch notwendige Cookies, § 25 Abs. 2 TDDDG).

Server-Log-Dateien

Die Internetseite des FAZ Rhön-Grabfeld erfasst mit jedem Aufruf der Internetseite durch eine betroffene Person oder ein automatisiertes System eine Reihe von allgemeinen Daten und Informationen. Diese allgemeinen Daten und Informationen werden in den Logfiles des Servers gespeichert. Erfasst werden können:

  • die verwendeten Browsertypen und Versionen
  • das vom zugreifenden System verwendete Betriebssystem
  • die Internetseite, von der die Anfrage ausgelöst wurde (sogenannte Referrer)
  • die Unterwebseiten, welche über ein zugreifendes System auf unserer Internetseite angesteuert werden
  • das Datum und die Uhrzeit eines Zugriffs auf die Internetseite
  • eine Internet-Protokoll-Adresse (IP-Adresse)
  • der Internet-Service-Provider des zugreifenden Systems
  • sonstige ähnliche Daten und Informationen, die der Gefahrenabwehr im Falle von Angriffen auf unsere informationstechnologischen Systeme dienen

Schutz vor missbräuchlichen Anmeldeversuchen

Zur Abwehr automatisierter Angriffe gegen die Anmelde-, Zwei-Faktor- und Passwort-Zurücksetzen-Funktionen begrenzen wir die Zahl zulässiger Versuche pro IP-Adresse in einem gleitenden Zeitfenster (sogenanntes Rate-Limiting). Hierzu werden Ihre IP-Adresse und die Art des Versuchs in einem flüchtigen Zwischenspeicher (Valkey) auf unserer Plattform vorgehalten. Die Einträge verfallen automatisch nach wenigen Minuten und werden nicht zu anderen Zwecken ausgewertet.

Kontaktmöglichkeit über die Internetseite

Die Internetseite des FAZ Rhön-Grabfeld enthält aufgrund von gesetzlichen Vorschriften Angaben, die eine schnelle elektronische Kontaktaufnahme sowie eine unmittelbare Kommunikation mit uns ermöglichen, was ebenfalls eine allgemeine Adresse der sogenannten elektronischen Post (E-Mail-Adresse) umfasst. Sofern eine betroffene Person per E-Mail den Kontakt mit dem für die Verarbeitung Verantwortlichen aufnimmt, werden die von der betroffenen Person übermittelten personenbezogenen Daten automatisch gespeichert. Solche auf freiwilliger Basis übermittelten personenbezogenen Daten werden für Zwecke der Bearbeitung oder der Kontaktaufnahme gespeichert. Es erfolgt keine Weitergabe dieser Daten an Dritte.

HvO Intern (Auftragsverarbeitung / technischer Betrieb)

Der Kreisfeuerwehrverband Rhön-Grabfeld e. V. hat HvO Intern – Fabian Witt, Görleinsweg 9, 97522 Sand am Main, Deutschland (Einzelunternehmen), mit dem technischen Betrieb des Portals beauftragt. Zwischen dem Verantwortlichen und HvO Intern besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. HvO Intern verarbeitet Ihre Daten ausschließlich weisungsgebunden für den Verantwortlichen und ist nicht berechtigt, sie für eigene Zwecke zu nutzen. Sämtliche nachfolgend genannten Anbieter (lowcloud, Hetzner, MailPace, Bugsink) werden von HvO Intern mit vorheriger Genehmigung des Verantwortlichen als Sub-Auftragsverarbeiter eingebunden; die entsprechenden Auftragsverarbeitungsverträge wurden jeweils zwischen HvO Intern und dem jeweiligen Anbieter abgeschlossen.

Anfragen zur Auftragsverarbeitung können Sie unter info@hvointern.de richten; Anfragen zu Ihren Betroffenenrechten beantwortet weiterhin der Kreisfeuerwehrverband Rhön-Grabfeld e. V. bzw. der Ansprechpartner in Datenschutzfragen (Kontaktdaten oben).

lowcloud (Kubernetes-Plattform und Anwendungs-Betrieb)

Anwendung, Datenbank und Hintergrund-Dienste des Portals werden in unserem Auftrag durch die lowcloud UG (haftungsbeschränkt), Obernstraße 50, 33602 Bielefeld, Deutschland (Amtsgericht Bielefeld, HRB 46637), auf einer Kubernetes-Plattform in deutschen Rechenzentren betrieben. Lowcloud setzt ihrerseits auf der Infrastruktur der Hetzner Online GmbH (siehe nachfolgender Abschnitt) auf, die insoweit als Sub-Auftragsverarbeiter eingebunden ist. Eine Übermittlung der bei uns verarbeiteten Anwendungsdaten in Drittländer findet nicht statt.

Näheres entnehmen Sie den Datenschutzbestimmungen von lowcloud unter: https://lowcloud.io/de/privacy-policy.

Hetzner (Plattform-Infrastruktur)

Die Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, liefert die Infrastruktur, auf der die unter dem vorstehenden Abschnitt beschriebene Kubernetes-Plattform der lowcloud UG aufsetzt (Sub-Auftragsverarbeitung). Sämtliche Daten werden ausschließlich in deutschen Rechenzentren gespeichert; eine Übermittlung in Drittländer findet nicht statt.

Näheres entnehmen Sie den Datenschutzbestimmungen von Hetzner unter: https://www.hetzner.com/de/rechtliches/datenschutz/.

MailPace (E-Mail-Versand)

Für den Versand von E-Mails nutzen wir den Dienst MailPace. Betreiber ist die OhMySMTP Ltd (Handelsname „MailPace“), eingetragen in England und Wales unter der Company No. 13200428, Vereinigtes Königreich.

Nach Angaben des Anbieters werden die zur Verarbeitung der E-Mails gespeicherten Daten verschlüsselt in der Europäischen Union (Frankreich) gehostet. Da der Anbieter seinen Sitz im Vereinigten Königreich hat, kann im Rahmen von Administration und Support ein Zugriff aus einem Drittland erfolgen. Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO; dadurch ist ein angemessenes Datenschutzniveau für die Übermittlung gewährleistet.

Wenn Sie sich für Dienste des FAZ Rhön-Grabfeld anmelden, werden Ihre E-Mail-Adresse und der Inhalt der an Sie versendeten E-Mails zur Zustellung an MailPace übergeben. Zur Analyse der Zustellbarkeit übermittelt uns MailPace Zustell-Ereignisse (z. B. erfolgreiche Zustellung, Bounce, Spam-Einstufung) über eine signierte Schnittstelle zurück; wir speichern diese in einem internen Zustellprotokoll (Empfänger-Adresse, Status, Zeitpunkt).

Näheres entnehmen Sie den Datenschutzbestimmungen von MailPace unter: https://mailpace.com/privacy.

Bugsink (Fehler-Monitoring)

Zur Sicherstellung des stabilen Betriebs werden technische Fehlerprotokolle an Bugsink übermittelt. Anbieter ist die Bugsink B. V., Peter Schathof 41, 3533HZ Utrecht, Niederlande (eingetragen bei der niederländischen Handelskammer [KvK] unter der Nr. 93064993). Wir nutzen die gehostete Cloud-Version von Bugsink, die vollständig innerhalb der Europäischen Union betrieben wird; die Verarbeitung und Speicherung der Fehlerprotokolle erfolgt in Rechenzentren innerhalb der EU.

Verarbeitet werden überwiegend technische Daten (z. B. Stack-Traces, Browser- und Betriebssystem-Version, URL des aufgerufenen Endpunkts, Zeitpunkt des Fehlers). Im Rahmen eines Fehlers kann zusätzlich Ihre IP-Adresse und – sofern Sie angemeldet sind – Ihre Benutzer-Kennung übermittelt werden, um den Fehler einer Sitzung zuordnen zu können. Eine weitergehende Profilbildung findet nicht statt; Performance-Tracing und Session-Replay sind deaktiviert.

Näheres entnehmen Sie den Datenschutzbestimmungen von Bugsink unter: https://www.bugsink.com/privacy-policy/.