Sicherheit & Transparenz

Dieses Dokument fasst die organisatorischen und technischen Maßnahmen (TOMs) zusammen, um die Einhaltung der DSGVO
zu gewährleisten und juristische Bedenken proaktiv zu entkräften.

Juristische Abgrenzung

Dieses Dokument enthält keine vertraglichen Vereinbarungen, die über die AGB und die Datenschutzerklärung hinausgehen. Es dient der Aufklärung und Bestätigung der internen Sicherheitsstandards.

Visualisierung des Datenflusses und der Schutzmechanismen

--- [Notfallereignis: Alarm/Notruf]
        | (Nur bei aktivem Ereignis)
        v
[Datenerhebung: Standort, Zeitstempel, Alarmtyp]
        |
        v
[Temporäre Speicherung (Server DE)] 
        | (Zweck: Alarmierungs- & Beweiskette)
        +----------------------------------------> Automatische Löschung der Rohdaten (spätestens nach 72h)
        |
        v
[Verarbeitung & Schutzmechanismen]
    |-----> [1. Pseudonymisierung & Hashing]
    |           (Schlüssel getrennt gespeichert)
    |-----> [2. GINA Matching-Algorithmus]
                (Zweck: Logistik/Matching - Zugriff nur auf pseudonyme Daten)
    |-----> [3. Anonymisierung]
                (Für statistische Auswertung/IP-Scrubbing)
        |
        v
[Weitergabe nur der notwendigen Daten]
    |
    +-----> A. An Helfer (2km Radius): Standort & Alarmtyp (KEINE Namen/Telefon)
    +-----> B. An Behörden: Nur mit richterlichem Beschluss (strikte Prüfung)
        |
        v
[Haftungsabgrenzung]
    |-----> [FAHNDUNGX]: Haftet nicht (nur technischer Vermittler)
    |-----> [Helfer]: Haftet selbst (Handeln im Nothilferecht)
        |
        v
[Compliance & Auditierbarkeit]
    (DSGVO, TOMs, Log-Retention Policy, EU-Speicherung)

Detaillierte Stellungnahmen (TOMs)

Beweisbarkeit der Datenschutz-Folgenabschätzung (DSFA/DPIA)

Die DSFA gemäß Art. 35 DSGVO ist aufgrund der Verarbeitung sensibler Daten obligatorisch und als interner Compliance-Nachweis dokumentiert.

Nachweis: Die DSFA wird der zuständigen Datenschutz-Aufsichtsbehörde auf Anfrage zur Verfügung gestellt.
Zukunftssicherheit: FAHNDUNGX verpflichtet sich, in den nächsten 18 Monaten ein externes Audit durch eine BSI-zertifizierte Stelle durchführen zu lassen und die Zusammenfassung der Risikobewertung zu veröffentlichen.
TOMs: Alle technischen und organisatorischen Maßnahmen (TOMs) werden in einer separaten Dokumentation geführt.

Erläuterung der ereignisbasierten Ortung und Log-Retention

Die Ortung erfolgt ereignisbasiert, Profilbildung wird durch technische Maßnahmen ausgeschlossen.

Protokoll: Die Metadaten werden nur nach einem Notfall-Ereignis erfasst. Metadaten werden automatisiert gelöscht, spätestens nach 72 Stunden.
Pseudonymisierung: Standortdaten werden vor der Analyse-Pipeline pseudonymisiert.
Helfer (Geofencing): Die Standort-Historie von Helfern wird nicht gespeichert.

Schutzmaßnahmen gegen Re-Identifikation der KI-Daten (GINA).

Die Verarbeitung erfolgt pseudonymisiert; GINA dient der Logistikoptimierung.

Pseudonymisierung: Identifizierende Daten werden durch starke, gesalzene Hashing-Verfahren ersetzt.
Anonymisierung: Für statistische Zwecke werden Daten vollständig und irreversibel anonymisiert (z. B. IP-Scrubbing).
KI GINA: GINA ist ein Matching-Algorithmus, dessen Zweck auf die Optimierung der Alarmierungslogistik begrenzt ist.

Juristische Stellungnahme zum US CLOUD Act.

Die Speicherung der EU-Daten erfolgt ausschließlich in Deutschland.

Schutz: Die Speicherung erfolgt ausschließlich in Deutschland.
Rechtsstreit: Unsere Rechtsabteilung wird jedem Versuch einer Datenherausgabe durch US-Behörden unter Verweis auf die DSGVO formal Widerspruch einlegen.
Ansprechpartner: Die Einhaltung der DSGVO wird durch den EU-Vertreter (Art. 27 DSGVO) überwacht.

Erläuterung zur Haftungsablehnung für Helferhandlungen.

Die Haftungsablehnung erfolgt, weil Helfer keine Erfüllungsgehilfen der Plattform sind, sondern im Rahmen der zivilgesellschaftlichen Nothilfe handeln.

Juristische Abgrenzung: Die Haftung für Schäden liegt kraft AGB und gesetzlicher Regelungen allein beim Helfer (siehe AGB IV, §3).
Risikominimierung: Die Helfer-Instruktion verpflichtet zur Passivität (Präsenz, Beobachtung) und verbietet gefährliche Eingriffe, um zivilrechtliche Haftungsfälle zu minimieren.

Kontrolle der Datenweitergabe an Behörden und Medien.

Weitergabe erfolgt nur im minimal notwendigen Umfang und unter strikter Prüfung.

Behördenzugriff: Daten werden nur nach Vorlage eines gültigen, gerichtlich anordnungsfähigen Beschlusses übermittelt. Wir vermeiden die Weitergabe bei breiten, nicht zielgerichteten Anfragen.
Verbreitungsrechte: Die eingeräumten Rechte dienen ausschließlich der Erhöhung der Fahndungsreichweite. Die kommerzielle Nutzung ist vertraglich untersagt.

Führt das Punktesystem nicht zu unzuverlässigen Hinweisen?

Das Punktesystem ist ein Anreiz zur Förderung der Bürgerbeteiligung und unterliegt klaren Regeln.

Qualitätssicherung: Punkte werden nur für qualifizierte, verifizierte Hinweise vergeben.
Sanktionen: Die Veröffentlichung unwahrer Meldungen ist untersagt und führt zum unwiderruflichen Ausschluss vom Portal sowie zu rechtlichen Schritten.

Priorisierte Maßnahmen und Ausblick

Zur Eliminierung der identifizierten Schwachstellen und zur Erreichung der höchsten Compliance-Stufe werden folgende Handlungsprioritäten gesetzt:

1. EXTERNE VALIDIERUNG (Audit): Die externe BSI-Auditierung der TOMs und DSFA wird sofort beauftragt. Die Veröffentlichung der Ergebnisse dient dem Nachweis der Rechtssicherheit.
2. TECHNISCHE NACHWEISFÜHRUNG: Dokumentation der technischen Kontrollen (Verschlüsselung, Zugriffskontrollen, Schutz vor Insider-Bedrohungen) wird vertieft, um den Nachweis interner Prozesse zu stärken.
3. MANIPULATIONS-SCHUTZ: Die Mechanismen des Punktesystems werden technisch gesichert und manipulationssicher gestaltet.
4. JURISTISCHE ABGRENZUNG: Die Haftungs-AGB und Helfer-Instruktionen werden jährlich juristisch auditiert, um die Risikoabgrenzung zu den freiwilligen Helfern fortlaufend zu sichern.