Stand: 27.04.2026
1. Verantwortlicher
Bollin Consulting GmbH
Sebaldstraße 23, 73525 Schwäbisch Gmünd, Deutschland
Telefon: 07171 – 99 810 31
E-Mail: info@bos-akademie.de
2. Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist derzeit nicht benannt. Nach unserer aktuellen Einschätzung besteht hierfür keine gesetzliche Pflicht. Datenschutzanfragen können an info@bos-akademie.de gerichtet werden. Sollte sich die rechtliche oder tatsächliche Bewertung ändern, wird diese Erklärung entsprechend aktualisiert.
3. Kurzüberblick
Die App „Feuerwehrhelfer“ unterstützt Feuerwehren und andere BOS bei der Alarmierung und Koordination ehrenamtlicher Einsatzkräfte. Anmeldung über Firebase Authentication (E-Mail/Passwort), Datenhaltung in Cloud Firestore (EU-Region), Datei-Speicher (Bilder, Videos, Anhänge) derzeit in einer Region in den USA.
Wir verarbeiten unter anderem Stamm- und Kontaktdaten, Rolle innerhalb der Organisation, Verfügbarkeitsstatus, Alarmierungs- und Quittierungsdaten, Push-Token sowie Inhalte aus Nachrichten und Dateianhängen.
Wir protokollieren die Akzeptanz von Nutzungsbedingungen und Datenschutzerklärung (Version + Zeitstempel).
Rechtsseiten öffnen sich im Browser:
- Nutzungsbedingungen: www.bos-akademie.de/nutzungsbedingungen-feuerwehrhelfer
- Datenschutzerklärung (Web): www.bos-akademie.de/datenschutzerklaerung-feuerwehrhelfer
Kein Tracking, keine Werbung und kein Zugriff auf den GPS- oder Gerätestandort des Nutzers. Ortsbezogene Angaben (z. B. Treffpunkte, Einsatzorte) werden nur als organisatorische Texteingaben innerhalb der App verarbeitet, sofern diese von berechtigten Nutzern eingegeben werden.
4. Verarbeitete Datenkategorien
Konto- und Stammdaten (Nutzerkonto):
E-Mail-Adresse, Name, optional Telefonnummer, Rolle und Rechte innerhalb der Organisation, System-Zeitstempel (Anlage/Änderung).
Organisations- und Verwaltungsdaten:
Organisationsname und -ID, Gruppen und Einheiten, Einladungen, Mitgliedschaftsstatus, Rollenvergabe sowie administrative Änderungen innerhalb einer Organisation.
Verfügbarkeits- und Statusdaten:
Aktueller Verfügbarkeitsstatus (z. B. einsatzbereit/nicht verfügbar) sowie zugehörige Zeitstempel.
Alarmierungs- und Einsatzdaten:
Empfangene Alarmierungen, Quittierungen, Rückmeldungen sowie zugeordnete Zeitstempel und User-IDs. Soweit von der Organisation eingegeben: Alarmierungsstichwort, Alarmtext, Treffpunkt/Einsatzort und benötigte Kräfteanzahl.
Nachrichten- und Dateiinhalte:
Inhalte aus In-App-Nachrichten/Chat sowie hochgeladene Bilder, Videos und Dateianhänge — soweit Nutzer diese aktiv übermitteln.
Push-Benachrichtigungen:
FCM/APNs-Push-Token, Plattform (iOS/Android), Versanddaten von Push-Nachrichten. Auf Apple-Geräten kann die Funktion „Critical Alerts“ genutzt werden, sofern Nutzer dem zustimmen.
Geräte- und Diagnosedaten:
Geräte-/Systeminformationen sowie Fehler-, Absturz- und Diagnosedaten (über Firebase Crashlytics), soweit für Betrieb, Sicherheit und Störungsbehebung erforderlich.
Technische Verbindungsdaten (bei Nutzung von Firebase/Google):
IP-Adresse, Zeitstempel, App-Version, Betriebssystemversion.
Rechtliche Protokolle (Nachweis):
Akzeptierte Versionen der Nutzungsbedingungen und Datenschutzerklärung inkl. Zeitstempel.
Es werden keine besonderen Kategorien personenbezogener Daten i. S. d. Art. 9 DSGVO bewusst erhoben. Insbesondere dürfen keine Patientendaten, Gesundheitsdaten, Bilder oder Videos von Verletzten, Patienten oder unbeteiligten Personen an Einsatzstellen sowie sonstige besonders schutzwürdige personenbezogene Daten Dritter über die App übermittelt werden, sofern hierfür keine ausdrückliche Rechtsgrundlage und organisatorische Freigabe besteht. Verstöße können zur Sperrung des Kontos führen.
5. Zwecke und Rechtsgrundlagen (Art. 6 DSGVO)
Bereitstellung der App und Authentifizierung (Login, Passwort-Reset, Kontoführung):
Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vertragsähnliches Verhältnis).
Alarmierung und Koordination ehrenamtlicher Einsatzkräfte (Empfang/Quittierung von Alarmen, Verfügbarkeitsanzeige, Nachrichten- und Datei-Austausch):
Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an wirksamer Einsatzkoordination innerhalb der Organisation).
Push-Benachrichtigungen für Alarmierungen und einsatzrelevante Mitteilungen:
Der Versand normaler Push-Benachrichtigungen erfolgt zur Bereitstellung der Alarmierungs- und Kommunikationsfunktionen auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Soweit Push-Benachrichtigungen für organisatorische Mitteilungen oder Sicherheitsinformationen genutzt werden, erfolgt die Verarbeitung ergänzend auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
Die Aktivierung von „Critical Alerts“ auf Apple-Geräten erfolgt nur nach ausdrücklicher Zustimmung des Nutzers im Betriebssystem (Art. 6 Abs. 1 lit. a DSGVO) und kann dort jederzeit widerrufen werden.
Nachweis von Einwilligungen und AGB-Akzeptanz (Version & Zeitstempel):
Art. 6 Abs. 1 lit. c DSGVO und/oder Art. 6 Abs. 1 lit. f DSGVO.
Betrieb, Sicherheit und Fehlerbehebung (Protokolle, Crashlytics-Diagnose):
Art. 6 Abs. 1 lit. f DSGVO (Betriebssicherheit, Störungsabwehr, Stabilität der App).
6. Empfänger / Auftragsverarbeitung / Drittlandtransfer
Datenweitergabe innerhalb der Organisation:
Innerhalb einer Organisation werden personenbezogene Daten an andere berechtigte Mitglieder weitergegeben, soweit dies für die Funktion der App erforderlich ist (z. B. Anzeige des Verfügbarkeitsstatus für berechtigte Nutzer, Empfang von Alarmierungen durch alle adressierten Mitglieder, Sichtbarkeit von Chat-Nachrichten innerhalb von Gruppen). Die jeweiligen Sichtbarkeiten richten sich nach den durch die Organisation vergebenen Rollen und Rechten.
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland — Dienste: Firebase Authentication, Cloud Firestore, Firebase Cloud Messaging (FCM), Firebase Crashlytics, Cloud Functions als Auftragsverarbeiter (Art. 28 DSGVO).
Rechenzentrumsstandorte:
- Firestore-Datenbank: EU-Region (eur3, Frankfurt/Niederlande)
- Cloud Functions / Authentifizierung: EU-Region
- Datei-Speicher (Cloud Storage) für Bilder, Videos und Anhänge: USA (us-east)
- Crashlytics: USA
Drittlandtransfer in die USA:
Bei der Speicherung von hochgeladenen Dateien sowie bei der Verarbeitung von Crash- und Diagnosedaten findet ein regelmäßiger Transfer personenbezogener Daten in die USA statt. Rechtsgrundlage hierfür sind die EU-Standardvertragsklauseln (SCC) im Rahmen des Google Cloud Data Processing Addendum sowie die Zertifizierung von Google nach dem EU-US Data Privacy Framework (DPF). Eine Migration des Datei-Speichers in eine EU-Region ist geplant; der Zeitpunkt richtet sich nach technischer und wirtschaftlicher Machbarkeit. Eine Kopie der Standardvertragsklauseln ist auf Anfrage erhältlich.
Apple Inc., Cupertino, USA — Versand von Push-Benachrichtigungen über das Apple Push Notification Service (APNs) bei Nutzung auf iOS-Geräten. Rechtsgrundlage: SCC, soweit ein Transfer in die USA erfolgt.
Weitere Empfänger nur, soweit gesetzlich vorgeschrieben (z. B. Behörden) oder zur Erfüllung vertraglicher/technischer Leistungen erforderlich.
7. Speicherdauer
Personenbezogene Daten werden grundsätzlich solange gespeichert, wie das Konto besteht und die Nutzungsbeziehung andauert. Konkret gelten folgende Kriterien:
- Konto- und Stammdaten: bis zur Löschung des Kontos durch den Nutzer oder einen Administrator der Organisation
- Organisations- und Mitgliedschaftsdaten: solange die Mitgliedschaft besteht
- Verfügbarkeits- und Statusdaten: bis zur Aktualisierung durch den Nutzer; historische Statuswerte werden nur in dem für den Betrieb erforderlichen Umfang aufbewahrt
- Alarmierungs- und Einsatzdaten: für die Dauer ihrer organisatorischen Relevanz; eine feste Aufbewahrungsfrist ist in Planung
- Nachrichten und Dateianhänge: bis zur Löschung durch Nutzer, Administrator oder mit Beendigung der Nutzungsbeziehung
- Crash- und Diagnosedaten (Crashlytics): gemäß Standardfristen von Firebase, in der Regel bis zu 90 Tage
- Technische Logfiles: kurzfristig, in der Regel bis zu 90 Tage
- Rechtliche Protokolle (Akzeptanz von Nutzungsbedingungen/Datenschutzerklärung): bis zum Ende möglicher Verjährungs- und Nachweispflichten
Mit Löschung des Kontos werden zugeordnete personenbezogene Daten gelöscht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen. Soweit eine Verarbeitung auf einer Einwilligung beruht, löschen wir die Daten bei Widerruf der Einwilligung, sofern keine gesetzlichen Pflichten oder berechtigten Interessen (z. B. zur Abwehr oder Durchsetzung von Ansprüchen) eine längere Speicherung erfordern.
8. Pflicht zur Bereitstellung
Für die Nutzung der App sind E-Mail-Adresse, Passwort sowie die Zuordnung zu einer Organisation erforderlich. Ohne diese Angaben ist eine Nutzung nicht möglich. Die Angabe einer Telefonnummer ist freiwillig.
9. Keine automatisierten Einzelentscheidungen
Es findet keine automatisierte Entscheidung inkl. Profiling nach Art. 22 DSGVO statt.
10. Organisationen und Administratoren
Die jeweilige Organisation verwaltet ihre Mitglieder, Rollen, Gruppen, Alarmierungen, Nachrichten und hochgeladenen Inhalte innerhalb der App eigenverantwortlich. Administratoren der Organisation können — entsprechend ihrer Rolle — personenbezogene Daten von Mitgliedern einsehen, ändern oder löschen. Bollin Consulting GmbH stellt die technische Plattform bereit und verarbeitet personenbezogene Daten im Rahmen des Betriebs der App.
Soweit Organisationen eigene Inhalte, Mitgliederlisten oder Einsatzinformationen in der App verwalten und dabei personenbezogene Daten Dritter eingeben (z. B. einsatzbezogene Angaben, Treffpunkte, Mitgliederlisten), sind sie dafür verantwortlich, dass hierfür eine geeignete Rechtsgrundlage besteht und nur erforderliche Daten eingegeben werden.
11. Betroffenenrechte
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen Verarbeitungen nach Art. 6 Abs. 1 lit. f DSGVO (Art. 21).
Sie können erteilte Einwilligungen (z. B. Critical Alerts) jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).
Zur Ausübung Ihrer Rechte genügt eine E-Mail an info@bos-akademie.de. Wir prüfen Identität und Anliegen gemäß den gesetzlichen Vorgaben.
12. Beschwerderecht
Sie können sich bei einer Aufsichtsbehörde beschweren (Art. 77 DSGVO). Zuständig am Sitz des Verantwortlichen ist insbesondere:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), Königstraße 10a, 70173 Stuttgart, Deutschland — www.baden-wuerttemberg.datenschutz.de
13. Externe Links
Beim Tippen auf „Nutzungsbedingungen“, „Datenschutzerklärung“ oder „Impressum“ öffnet sich der externe Browser. Dabei verarbeitet der Webserver (bos-akademie.de) u. a. IP-Adresse, Zeitstempel und User-Agent zu Sicherheits- und Bereitstellungszwecken (Art. 6 Abs. 1 lit. f DSGVO).
14. Push-Benachrichtigungen
Die App nutzt Push-Benachrichtigungen zur zeitnahen Übermittlung von Alarmen und einsatzrelevanten Mitteilungen. Versand erfolgt über Firebase Cloud Messaging (FCM) und auf iOS-Geräten zusätzlich über das Apple Push Notification Service (APNs).
Auf Apple-Geräten kann mit Einwilligung des Nutzers die Funktion „Critical Alerts“ verwendet werden, durch die Alarmierungs-Benachrichtigungen auch im Modus „Nicht stören“ und unabhängig vom Stummschalter zugestellt werden. Die Einwilligung kann jederzeit über die Geräteeinstellungen widerrufen werden.
15. Cookies/SDKs (Web-App) & Lokaler Speicher (App)
In der mobilen App verwenden wir keine Cookies; Einstellungen werden im lokalen Speicher (Secure Storage/Shared Preferences) abgelegt.
Bei Nutzung der Web-App können technisch notwendige Cookies bzw. Web-Storage (z. B. für Login-Sitzungen) eingesetzt werden. Es erfolgt kein Einsatz von Werbe- oder Tracking-Cookies.
16. Sicherheit
Transportverschlüsselung (TLS), serverseitige Verschlüsselung bei Firebase, Zugriffsschutz über Firebase Auth und Firestore Security Rules, technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Zugriff auf Daten innerhalb einer Organisation ist auf Mitglieder der jeweiligen Organisation und deren Rolle beschränkt. Berechtigungen werden nach dem Need-to-know-Prinzip vergeben.
17. Konto-Löschung & Passwort
Passwort ändern/zurücksetzen: über die „Passwort vergessen“-Funktion (E-Mail-Reset-Link) oder via Support.
Konto löschen: über die App-Einstellungen („Konto löschen“) oder per E-Mail an info@bos-akademie.de bzw. über das Online-Formular unter www.bos-akademie.de/feuerwehrhelfer-konto-loeschen. Wir löschen das Konto und zugehörige personenbezogene Daten, soweit keine gesetzlichen Pflichten entgegenstehen.
Wichtiger Hinweis: Die reine Deinstallation der App führt nicht automatisch zur Löschung des Nutzerkontos. Zur vollständigen Löschung Ihrer Daten nutzen Sie bitte einen der oben genannten Wege.
18. Änderungen dieser Erklärung
Wir können diese Datenschutzerklärung anpassen, wenn sich Rechtslage, Dienste oder Verarbeitungen ändern. Es gilt die jeweils aktuelle in der App/auf der Website verlinkte Fassung.
