1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Hannes Kugas
KUGIS
Erhard-Zethner-Weg 5
95336 Mainleus
Deutschland
Telefon: +49 162 1075324
E-Mail: info@kugis.io
2. Überblick
ARES ist eine Plattform zur digitalen Einsatzführung und Einsatzprotokollierung für Organisationen der Gefahrenabwehr. Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten auf dieser Website (ares-bos.de) und in der ARES-Anwendung (app.ares-bos.de sowie als App). Wir verarbeiten personenbezogene Daten nur, soweit dies für die Bereitstellung unserer Leistungen erforderlich ist.
3. Hosting und Server-Logfiles
Website, Anwendung und Datenbank (PostgreSQL) werden auf einem dedizierten Server der Hostinger International Ltd. in einem Rechenzentrum in Frankfurt am Main betrieben. Eine Verarbeitung von Einsatz- und Patientendaten außerhalb des Europäischen Wirtschaftsraums findet nicht statt.
Beim Aufruf unserer Seiten erhebt der Server automatisch Informationen in sogenannten Server-Logfiles: Browsertyp und -version, verwendetes Betriebssystem, Referrer-URL, Hostname des zugreifenden Rechners, IP-Adresse und Uhrzeit der Serveranfrage. Diese Daten dienen der Sicherstellung eines störungsfreien Betriebs und der Sicherheit unserer Systeme. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Server-Logs werden nach 7 Tagen gelöscht.
4. Cookies
Diese Website setzt keine Cookies. Die ARES-Anwendung verwendet ausschließlich technisch notwendige Speicherzugriffe für die Anmeldung und den Betrieb (siehe Abschnitt „Lokaler Speicher“). Wir verwenden keine Tracking- oder Marketing-Cookies.
5. Keine Tracking- oder Analyse-Dienste
Diese Website bindet keine Tracking-, Analyse- oder Werbedienste ein. Es werden keine externen Scripts, Fonts oder Ressourcen von Drittanbietern geladen und keine Nutzungsprofile erstellt.
6. Demo-Anfragen über das Demo-Formular
Wenn Sie über das Formular auf der Seite „Demo anfragen“ Kontakt mit uns aufnehmen, verarbeiten wir die von Ihnen angegebenen Daten: Name, E-Mail-Adresse, optional Organisationsname und Nachricht sowie den Zeitpunkt der Anfrage und — sofern Sie über eine Kampagne auf unsere Website gelangt sind — Kampagnenparameter (UTM). Die Verarbeitung erfolgt zur Bearbeitung Ihrer Anfrage und zur Anbahnung eines Vertragsverhältnisses (Art. 6 Abs. 1 lit. b DSGVO).
Ihre Angaben werden nicht für Werbezwecke verwendet, es sei denn, Sie willigen gesondert ein. Demo-Anfragen werden spätestens 12 Monate nach Abschluss des Kontakts gelöscht.
7. Produkt-Benachrichtigungen (Vormerkung)
Für Produkte, die sich noch in Entwicklung befinden, können Sie sich mit Ihrer E-Mail-Adresse vormerken lassen. Wir speichern in diesem Fall Ihre E-Mail-Adresse, das gewählte Produkt und den Zeitpunkt der Vormerkung, um Sie einmalig über die Verfügbarkeit des Produkts zu informieren. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können die Vormerkung jederzeit per E-Mail an info@kugis.io widerrufen; Ihre E-Mail-Adresse wird dann gelöscht.
8. Blog
Unser Blog dient ausschließlich der Information. Es gibt keine Kommentarfunktion und keine Registrierung; beim Lesen von Blog-Beiträgen werden über die unter „Server-Logfiles“ beschriebenen Daten hinaus keine personenbezogenen Daten verarbeitet.
9. Benutzerkonten in der ARES-Anwendung
Bei der Registrierung in der ARES-Anwendung verarbeiten wir Name, E-Mail-Adresse, Passwort (gespeichert als bcrypt-Hash), Account-Typ, Organisationszugehörigkeit und den Registrierungszeitpunkt. Bei Abschluss eines Bezahltarifs kommen die für die Vertragsabwicklung erforderlichen Daten hinzu (Stripe-Kundenreferenz, Abonnementstatus, Tarif und Abrechnungsintervall). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
10. Einsatz- und Patientendaten
In der ARES-Anwendung werden im Auftrag der jeweiligen Organisation Einsatzdaten verarbeitet: Einsatzdetails, Einsatzmittel, Lagekarten- und Standortdaten sowie pseudonymisierte Patientendaten (z. B. Alter, Geschlecht, Verletzungsmuster, Sichtungskategorie, Patientennummer). Die Erfassung erfolgt ohne Namen und Geburtsdaten der Patienten.
Datenschutzrechtlich Verantwortlicher für diese Daten ist die jeweilige Organisation; wir werden als Auftragsverarbeiter tätig (siehe Auftragsverarbeitungsvertrag). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO; soweit im Einzelfall Gesundheitsdaten im Sinne von Art. 9 DSGVO betroffen sind, stützt sich die Verarbeitung zusätzlich auf Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit dem jeweiligen Landesrecht.
11. Kartendienste in der Anwendung
Für die Lagekarte in der ARES-Anwendung werden Kartenkacheln und Geokodierungsdienste europäischer Anbieter geladen (standardmäßig basemap.de des Bundesamts für Kartographie und Geodäsie sowie der Photon-Geocoder). Dabei wird Ihre IP-Adresse an den jeweiligen Kartendienst übermittelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Kartenfunktion als Vertragsbestandteil).
12. Zahlungsabwicklung (Stripe)
Für kostenpflichtige Tarife nutzen wir den Zahlungsdienstleister Stripe Payments Europe Ltd., Dublin, Irland. An Stripe übermittelt werden Name, E-Mail-Adresse, Rechnungsadresse und — direkt im Stripe-Checkout — Ihre Zahlungsdaten, bei Organisationen zusätzlich die Umsatzsteuer-Identifikationsnummer sowie IP-Adresse und Browser-/Geräteinformationen zur Betrugsprävention und Steuerberechnung. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten, § 14 UStG, § 147 AO).
Soweit Stripe Daten in die USA übermittelt, erfolgt dies auf Grundlage des EU-US Data Privacy Framework sowie von Standardvertragsklauseln. Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe unter stripe.com/de/privacy.
13. Lokaler Speicher (Offline-Modus)
Die ARES-Anwendung ist offline-fähig. Dazu werden auf Ihrem Endgerät Daten im lokalen Speicher abgelegt (IndexedDB bzw. lokale Datenbank: Einsätze, Patientendaten, Stammdaten, Anmelde-Token, Kartenkacheln; localStorage: Darstellungs- und UI-Einstellungen). Diese Daten verbleiben auf Ihrem Endgerät und werden beim Abmelden gelöscht. Rechtsgrundlage für den Zugriff auf den Endgerätespeicher ist § 25 Abs. 2 Nr. 2 TDDDG (technische Erforderlichkeit).
14. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen: TLS-Verschlüsselung für alle Verbindungen, Passwort-Hashing mit bcrypt, rollenbasierte Zugriffskontrolle mit logischer Mandantentrennung sowie regelmäßige Sicherheitsupdates.
15. Speicherdauer
Kontodaten speichern wir bis zur Löschung des Kontos zuzüglich 30 Tagen (Wiederherstellbarkeit). Einsatzprotokolle unterliegen den medizinischen Aufbewahrungsfristen (je nach Landesrecht 10 bis 30 Jahre); hierfür ist die jeweilige Organisation verantwortlich. Rechnungsdaten bewahren wir 10 Jahre auf (§ 147 AO, § 14b UStG), sonstige Vertragsdaten 3 Jahre (§ 195 BGB). Demo-Anfragen werden nach spätestens 12 Monaten, Server-Logs nach 7 Tagen gelöscht.
16. Ihre Rechte
Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO). Wenden Sie sich dazu an info@kugis.io.
17. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für uns ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, www.lda.bayern.de.
18. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage oder unsere Leistungen ändern. Ergänzende Regelungen finden Sie in unseren AGB und der Widerrufsbelehrung.