DATENSCHUTZRICHTLINIE

Letzte Aktualisierung:  08.10.2025

ARTIKEL 1. PRÄAMBEL

Diese Richtlinie zum Schutz personenbezogener Daten („Datenschutzrichtlinie“, nachfolgend die „Richtlinie“) gilt für Daten, die im Zusammenhang mit der Anwendung „Staying Alive LU“ (die „Anwendung“) erhoben und verarbeitet werden.

Die Anwendung wird von FDBS‑STAYING ALIVE, einer französischen Einpersonengesellschaft mit beschränkter Haftung, entwickelt. Sitz: 57, rue du Docteur Blanche, F‑75016 Paris (Frankreich), eingetragen im französischen Unternehmensregister unter der Nummer 840 498 406.

Die Anwendung wird vom öffentlichen Betrieb Corps grand‑ducal d’incendie et de secours („CGDIS“) gefördert, mit Sitz in 3, boulevard de Kockelscheuer, L‑1821 Luxemburg, eingetragen im luxemburgischen Handels‑ und Gesellschaftsregister unter der Nummer J64, vertreten durch den derzeit amtierenden Verwaltungsrat.

ARTIKEL 2. DEFINITIONEN

ALARM: die Nachricht, mit der ein Nutzer über die Notwendigkeit einer Intervention in der Nähe im Rahmen eines Vorfalls informiert wird, bevor die öffentlichen Rettungsdienste eintreffen.

ANWENDUNG: die von FDBS‑Staying Alive entwickelte Software mit dem Namen Staying Alive LU, verfügbar im Apple App Store und im Google Play Store.

CARDIAC FIRST RESPONDER (CFR): Nutzer, die als ehrenamtliche mitwirkende Ersthelfer registriert sind – mit oder ohne besondere Qualifikationen – und von der Anwendung zur Hilfeleistung in Notfällen alarmiert werden.

NICHT AUSGEBILDETER CFR: registrierte Nutzer, die per minutengenauer Route zum nächstgelegenen Defibrillator geführt werden, um ihn zum Opfer zu bringen.

AUSGEBILDETER CFR: registrierte Nutzer, die in Erster Hilfe geschult sind, alarmiert werden und Herzdruckmassage bis zum Eintreffen der öffentlichen Rettungsdienste durchführen.

CGDIS: Corps grand‑ducal d’incendie et de secours, eine öffentliche Einrichtung mit Sitz in 3, boulevard de Kockelscheuer, L‑1821 Luxemburg, eingetragen im luxemburgischen Handels‑ und Gesellschaftsregister unter der Nummer J64.

CNPD: die luxemburgische unabhängige Aufsichtsbehörde Commission nationale pour la protection des données (Nationale Datenschutzkommission).

KONTO: das persönliche Konto jedes Nutzers, das die Anmeldung, die Änderung von Informationen und den Zugang zu den Diensten ermöglicht.

EINWILLIGUNG DER BETROFFENEN PERSON: eine freiwillige, spezifische, informierte und unmissverständliche Willensbekundung, mit der die betroffene Person in die Verarbeitung einwilligt.

MITWIRKENDER (CONTRIBUTOR): Nutzer der Anwendung, die zur Kartierung von AEDs beitragen.

CSU bzw. CSU‑112: die Notruf‑Leitstelle 112.

AED (DAE): automatisierte externe Defibrillatoren, die bei Herzstillstand eingesetzt werden.

PERSONENBEZOGENE DATEN: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

FDBS‑STAYING ALIVE: die französische Einpersonengesellschaft mit beschränkter Haftung FDBS‑STAYING ALIVE.

ZUGANGSDATEN: persönliche Zugangscodes, mit denen sich der Nutzer in der Anwendung authentifiziert.

VORFALL: beim CSU gemeldeter Herzstillstand, der zur Aussendung eines Alarms führt.

EINSCHRÄNKUNG DER VERARBEITUNG: Kennzeichnung gespeicherter Daten, um deren künftige Verarbeitung zu begrenzen.

PROFILING: eine automatisierte Verarbeitung zur Bewertung bestimmter persönlicher Aspekte.

VERORDNUNG bzw. DSGVO: Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.

VERANTWORTLICHER (CONTROLLER): die Person oder Stelle, die die Zwecke und Mittel der Verarbeitung festlegt.

ÖFFENTLICHE RETTUNGSDIENSTE: CSU / Ambulanz / SAMU / Polizei / Feuerwehr.

DIENSTE: die Gesamtheit der von der Anwendung angebotenen Funktionen.

AUFTRAGSVERARBEITER (PROCESSOR): eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

DRITTE: jede Person oder Stelle außer der betroffenen Person, dem Verantwortlichen und dem Auftragsverarbeiter.

VERARBEITUNG: jeder mit personenbezogenen Daten ausgeführte Vorgang.

NUTZER / BETROFFENE PERSON: jede Person, die auf die Anwendung zugreift und deren Daten verarbeitet werden.

VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN: eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt.

ARTIKEL 3. ROLLEN UND VERANTWORTLICHKEITEN

Verantwortlicher für die im Rahmen des Besuchs und der Nutzung der Dienste der Anwendung erhobenen personenbezogenen Daten ist FDBS‑Staying Alive.

Ziel der Anwendung ist es, die Mortalität im Zusammenhang mit Herzstillstand zu senken, indem ein rasches Eingreifen der Rettungsdienste erleichtert, Cardiac First Responder mit den öffentlichen Rettungsdiensten vernetzt, der Zugang zu AEDs verbessert und die Nutzer für Erste‑Hilfe‑Maßnahmen sensibilisiert werden.

ARTIKEL 4. INFORMATIONEN ÜBER VERARBEITETE PERSONENBEZOGENE DATEN

Vom Nutzer bereitgestellte personenbezogene Daten

Alle Daten über betroffene Personen werden direkt bei ihnen über Registrierungsformulare in der Anwendung erhoben, gemäß dem in den Nutzungsbedingungen der Anwendung beschriebenen Registrierungsverfahren.

FDBS‑Staying Alive verpflichtet sich, jeden Nutzer über die Modalitäten der Verarbeitung seiner personenbezogenen Daten und über seine diesbezüglichen Rechte zu informieren.

Automatisch erhobene personenbezogene Daten

Technische Informationen: Gerätemodell, Betriebssystem, IP‑Adresse, Systemsprache, Service‑/Diagnose‑/Performance‑Daten, Nutzerkennung.

Standortinformationen: GPS‑Daten, wenn die Standortfreigabe aktiviert ist (Einstellungen über Android/Apple).

Zwecke der Verarbeitung personenbezogener Daten

Die erhobenen personenbezogenen Daten werden ausschließlich zur Erbringung der Dienste verwendet, insbesondere um den Einsatz der Cardiac First Responder (CFR) bei medizinischen Notfällen zu ermöglichen.

FDBS‑Staying Alive erhebt und verarbeitet nur die unbedingt erforderlichen Daten (Grundsatz der Datenminimierung, Art. 5 Abs. 1 Buchst. c DSGVO).

Durchgeführte Verarbeitungsvorgänge

Rechtsgrundlagen

Arten verarbeiteter personenbezogener Daten

Mitwirkender: Vorname, E‑Mail‑Adresse — Löschung bei Schließung des Kontos oder nach 18 Monaten Inaktivität.

Cardiac First Responder: Identität (Familienname, Vorname(n)), Geburtsdatum, E‑Mail, Postleitzahl, Telefonnummer, Kompetenzen/Ausbildung (für ausgebildete CFR) — Löschung bei Schließung des Kontos oder nach 18 Monaten Inaktivität.

Geolokalisierung: es wird nur die letzte Position gespeichert; Löschung nach 15 Tagen ohne neue Übermittlung.

Protokolle (Logs): IP‑Adresse, Gerätemarke, OS‑Version, Anwendungskonfiguration, Datum/Uhrzeit — Aufbewahrung höchstens 24 Monate.

BEDINGUNGEN UND DAUER DER SPEICHERUNG PERSONENBEZOGENER DATEN

Hosting

Alle in der Anwendung erhobenen personenbezogenen Daten werden in Europa von Amazon Web Services EMEA S.à r.l. gehostet.

Aufbewahrungsfristen

ARTIKEL 5. WEITERGABE UND OFFENLEGUNG PERSONENBEZOGENER DATEN

Hauptempfänger sind die Mitarbeiter und Dienstleister von FDBS‑Staying Alive sowie der CGDIS. Die Daten können in dem streng erforderlichen Umfang an Berufs‑ und freiwillige Feuerwehrleute, befugtes Personal und Auftragsverarbeiter innerhalb ihres Zuständigkeitsbereichs weitergegeben werden.

Keine Weitergabe an kommerzielle oder werbliche Akteure.

Mögliche Weitergaben: öffentliche Behörden (sofern gesetzlich vorgesehen), Übermittlung von Einsatzberichten an den CGDIS und Behörden, Erfüllung gesetzlicher Pflichten / Verteidigung von Rechten / Sicherheit, verbundene Einrichtungen, Drittanbieter (technischer Support, QA, E‑Mail‑Versand, Reichweiten‑/Nutzungsanalyse) mit DSGVO‑konformen vertraglichen Garantien.

Datenschutzbeauftragter (DSB): der amtierende Geschäftsführer von FDBS‑Staying Alive.

ARTIKEL 6. TECHNISCHE UND ORGANISATORISCHE SICHERHEITSMASSNAHMEN

Ergriffene Maßnahmen: striktes Zugriffsmanagement, Hosting in Europa (AWS), systematische Verschlüsselung der Verbindungen zwischen der Anwendung und den Servern.

Grenzen: ein absoluter Schutz kann nicht gewährleistet werden. Keine Haftung bei Nutzerfehlverhalten, Ausfall des Hosting‑Anbieters oder Vorfällen, die einem Auftragsverarbeiter zuzurechnen sind.

ARTIKEL 7. RECHTE DER NUTZER

Recht auf Widerruf der Einwilligung

Kann jederzeit ausgeübt werden, ohne die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung zu berühren.

Auskunftsrecht

Auskunft über Daten und die in Art. 15 DSGVO aufgeführten Informationen.

Recht auf Berichtigung

Berichtigung unrichtiger Daten und Vervollständigung unvollständiger Daten (Art. 16 DSGVO).

Recht auf Löschung

Löschung gemäß Art. 17 DSGVO, vorbehaltlich gesetzlicher Ausnahmen (Meinungs‑ und Informationsfreiheit, rechtliche Verpflichtungen, öffentliche Gesundheit, Forschung, Justiz).

Recht auf Einschränkung

Einschränkung in den in Art. 18 DSGVO vorgesehenen Fällen.

Recht auf Datenübertragbarkeit

Erhalt/Übermittlung der Daten in einem strukturierten, gängigen und maschinenlesbaren Format, sofern anwendbar.

Widerspruchsrecht

Widerspruch gegen eine Verarbeitung nach Art. 6 Abs. 1 Buchst. e oder f, es sei denn, es liegen zwingende schutzwürdige Gründe vor oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Automatisierte Entscheidungen einschließlich Profiling

Recht auf menschliches Eingreifen, Darlegung des eigenen Standpunkts und Anfechtung einer Entscheidung (Art. 22 DSGVO), sofern anwendbar.

Schicksal der Daten nach dem Tod

Möglichkeit, Verfügungen zu treffen; andernfalls Löschung, es sei denn, es besteht ein Beweisbedarf oder eine gesetzliche Verpflichtung.

ARTIKEL 8. UNTERSTÜTZUNG UND KONTAKT

Für Fragen oder Beschwerden zu dieser Richtlinie oder zu den Verarbeitungspraktiken oder zur Meldung einer Sicherheitsverletzung:

Antwort in der Regel innerhalb eines Monats.

Beschwerde bei der CNPD: 15, Boulevard du Jazz L‑4370 Belvaux — Online‑Formular: cnpd.public.lu