Zurück zur Startseite
SchockSchutz Wappen SchockSchutz

Datenschutzerklärung

Stand: 13. Mai 2026 · Version 1.0

01Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

TK Handels GmbH
Usinger Weg 1a
61350 Bad Homburg
Deutschland

Vertreten durch: Ulrike Kaulfuß, Sven Kaulfuß (Geschäftsführer)
Handelsregister: HRB 14384, Amtsgericht Bad Homburg v. d. Höhe
USt-IdNr.: DE320531552

E-Mail: info@schockschutz.app
Telefon: +49 6172 9180138

Datenschutzbeauftragter

Die TK Handels GmbH ist nach § 38 BDSG nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Anfragen zum Datenschutz richten Sie bitte unmittelbar an die oben genannte E-Mail-Adresse.

02Datenschutz auf einen Blick

SchockSchutz ist eine Präventions-App, die Familien dabei unterstützt, sich gemeinsam auf Schockanrufe vorzubereiten und im Anrufmoment schnell zu kommunizieren. Wir verarbeiten dafür nur jene personenbezogenen Daten, die für den Betrieb der App technisch erforderlich sind.

Kurz gefasst:

  • Wir erheben E-Mail-Adresse, Name und Familiengruppen-Informationen, um die App zu betreiben.
  • Wir verwenden Push-Token, um Benachrichtigungen an Ihre Familie zu senden.
  • Optional aufgenommene Selfie-Fotos zur Identitätsbestätigung im Alarmfall werden nach 24 Stunden automatisch gelöscht.
  • Wir nutzen kein Telefonbuch, keinen Standort, kein Tracking, keine Werbung, kein Crash-Reporting.
  • Daten werden über Auftragsverarbeiter in den USA gespeichert (Google Firebase, Expo, Resend) — auf Grundlage von EU-Standardvertragsklauseln.

03Welche Daten wir verarbeiten

3.1 Account-Daten

Bei der Registrierung in der App erheben wir:

  • E-Mail-Adresse (zur Authentifizierung und Kommunikation)
  • Passwort (wird ausschließlich verschlüsselt bei Firebase Authentication gespeichert; wir selbst haben keinen Zugriff auf das Klartextpasswort)
  • Vorname / Anzeigename (zur Identifikation innerhalb Ihrer Familiengruppe)
  • Rolle in der Familiengruppe (z.B. Senior, Familienmitglied, Administrator)

3.2 Familiengruppen-Informationen

  • Gruppenname
  • Einladungscode (sechsstellig, zur Aufnahme weiterer Mitglieder)
  • Mitglieder-Kennungen (interne, anonymisierte Firebase-IDs)
  • Optional: Tages-Codewort, das die Familie miteinander vereinbart
  • Optional: Überweisungslimit, das im Familienkonsens festgelegt wird

3.3 Alarm- und Kommunikationsdaten

  • Zeitpunkt eines Alarms, Sender-Kennung, Empfänger-Kennungen, Status (wartend, bestätigt, unbeantwortet)
  • Art des Alarms (z.B. Schockanruf-Alarm, Falsche-Polizei-Alarm)
  • Antworten der Familienmitglieder auf einen Alarm
  • Optional: Selfie-Foto bei Alarmantwort (siehe Abschnitt 3.5)

3.4 Geräte- und Push-Token-Daten

  • Push-Token (technische Adresse zur Zustellung von Benachrichtigungen)
  • Plattform (iOS oder Android)
  • Zeitpunkt der Registrierung

3.5 Selfie-Fotos (optional)

Wenn ein Familienmitglied auf einen Alarm antwortet, kann es zusätzlich ein Selfie aufnehmen, um sich gegenüber dem Senior eindeutig zu identifizieren. Die Nutzung der Kamera ist freiwillig – jede Alarmantwort kann auch ohne Selfie gesendet werden.

Wenn ein Selfie aufgenommen wird:

  • Speicherung in verschlüsselter Form bei Google Firebase Storage (Server-Standort: EU)
  • Zugriff nur durch die Mitglieder der jeweiligen Familiengruppe
  • Automatische Löschung nach 24 Stunden durch einen täglich laufenden Server-Prozess

3.6 Tagescheck-Daten (optional)

  • Zeitpunkt der täglichen Lebenszeichen-Meldung des Seniors
  • Erledigung optionaler Missions-Aufgaben (z.B. „Heute schon einen Spaziergang gemacht?")

3.7 Eingeladene Personen

Wenn ein Administrator weitere Familienmitglieder einlädt, speichern wir die E-Mail-Adresse der eingeladenen Person zusammen mit dem Status der Einladung. Diese Daten werden ausschließlich zum Zweck der Einladung verarbeitet und können auf Wunsch durch den Administrator entfernt werden.

3.8 Aktivitätsprotokoll

Zur Nachvollziehbarkeit innerhalb der Familiengruppe werden bestimmte Ereignisse in einem internen Aktivitätsprotokoll festgehalten. Erfasst werden:

  • Ereignistyp (z.B. Tagesmeldung, ausgelöster Alarm, dokumentierte Überweisung)
  • Zeitpunkt
  • Name und Kennung der auslösenden Person
  • Beschreibender Text (z.B. „Mama hat heute eingecheckt")

Das Protokoll ist ausschließlich den Mitgliedern der jeweiligen Familiengruppe zugänglich und dient der Transparenz innerhalb der Familie. Es wird nicht für Analyse- oder Werbezwecke ausgewertet.

04Zwecke und Rechtsgrundlagen

Datenkategorie Zweck Rechtsgrundlage
Account-Daten Bereitstellung der App, Authentifizierung Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Familiengruppen-Daten Familiengruppen-Funktion, Schutzkommunikation Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Alarm- und Antwortdaten Kernfunktion: Alarmierung der Familienmitglieder Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Push-Token Zustellung von Benachrichtigungen Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Selfie-Fotos (optional) Identitätsbestätigung bei Alarmantwort Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Tagescheck-Daten (optional) Routinekontakt zwischen Senior und Familie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Eingeladene Personen Versand von Einladungs-E-Mails Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Aufnahme in eine Familiengruppe auf Wunsch des Administrators)
Aktivitätsprotokoll Transparenz und Nachvollziehbarkeit innerhalb der Familiengruppe Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Die Einwilligung in optionale Funktionen (Selfie, Tagescheck) kann jederzeit für die Zukunft widerrufen werden. Der Widerruf erfolgt durch Nichtnutzung der jeweiligen Funktion oder durch eine entsprechende Mitteilung an info@schockschutz.app.

05Speicherdauer

Datenkategorie Speicherdauer
Account-Daten Solange das Nutzerkonto besteht. Löschung auf Wunsch innerhalb von 30 Tagen.
Familiengruppen-Daten Solange die Gruppe besteht; bei Auflösung Löschung innerhalb von 30 Tagen.
Alarm- und Antwortdaten (ohne Selfie) Bis zur Löschung des Nutzerkontos oder auf Wunsch.
Selfie-Fotos 24 Stunden nach Aufnahme, automatische Löschung.
Push-Token Solange das Gerät aktiv mit dem Nutzerkonto verbunden ist.
Eingeladene Personen (offene Einladungen) Bis zur Annahme oder Zurückziehung der Einladung.
Aktivitätsprotokoll Bis zur Löschung des Nutzerkontos oder der Familiengruppe.

06Dienstleister und Datenempfänger

Wir setzen sorgfältig ausgewählte Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein. Mit allen Anbietern haben wir Auftragsverarbeitungsverträge geschlossen.

Google Firebase USA / EU-Region

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Vertragspartner für europäische Nutzer); Google LLC, USA (technische Verarbeitung).

Genutzte Dienste: Firebase Authentication (Login), Cloud Firestore (Datenbank), Firebase Storage (Selfie-Speicherung), Cloud Functions (Server-Logik), Firebase Cloud Messaging (Push-Versand).

Server-Region: Firestore und Cloud Functions in eur3 (Frankfurt, Deutschland).

Firebase Datenschutzhinweise

Expo (650 Industries, Inc.) USA

Anbieter: 650 Industries, Inc., 1390 Market Street #200, San Francisco, CA 94102, USA.

Genutzte Dienste: Expo Push API (Versand von Push-Benachrichtigungen), Expo Updates (Auslieferung von App-Updates).

Verarbeitete Daten: Push-Token, Geräteplattform, App-Versions-Informationen.

Expo Datenschutzerklärung

Resend (Resend, Inc.) USA

Anbieter: Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA.

Genutzter Dienst: Transaktionaler E-Mail-Versand (Einladungs-E-Mails an neue Familienmitglieder).

Verarbeitete Daten: E-Mail-Adresse des Empfängers, Absender-Name, Einladungscode.

Resend Datenschutzerklärung

Apple Push Notification Service USA / EU

Anbieter: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA.

Zweck: Zustellung von Push-Benachrichtigungen an iOS-Geräte.

Apple Datenschutzrichtlinie

Google Firebase Cloud Messaging USA / EU

Zustellung von Push-Benachrichtigungen an Android-Geräte. Anbieter und Datenschutzhinweise siehe „Google Firebase" oben.

07Datentransfer in Drittländer

Einige der oben genannten Dienstleister haben ihren Hauptsitz in den USA. Eine Verarbeitung personenbezogener Daten in den USA wird durch folgende Mechanismen abgesichert:

  • EU-US Data Privacy Framework: Google LLC und Apple Inc. sind unter dem EU-US Data Privacy Framework zertifiziert. Ein Angemessenheitsbeschluss der EU-Kommission liegt vor (Art. 45 DSGVO).
  • EU-Standardvertragsklauseln (SCCs): Mit allen US-Auftragsverarbeitern sind die EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.
  • Technische Maßnahmen: Datenübertragung erfolgt verschlüsselt (TLS); ruhende Daten werden in den Server-Datenbanken verschlüsselt gespeichert.

Trotz dieser Maßnahmen kann ein durchsetzbares Schutzniveau wie in der EU nicht vollständig gewährleistet werden. Insbesondere bestehen in den USA Zugriffsmöglichkeiten staatlicher Stellen, die nach europäischem Maßstab problematisch sind. Wir minimieren dieses Risiko durch strikte Datensparsamkeit und die Wahl von EU-Server-Standorten wo möglich (Firestore: Frankfurt).

08Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO) — Sie können Auskunft darüber verlangen, welche Daten wir über Sie verarbeiten.
  • Recht auf Berichtigung (Art. 16 DSGVO) — Sie können unrichtige Daten korrigieren lassen.
  • Recht auf Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten.
  • Recht auf Widerspruch (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf einem berechtigten Interesse beruht.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Eine erteilte Einwilligung können Sie jederzeit für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an info@schockschutz.app. Wir bearbeiten Anfragen unverzüglich, spätestens innerhalb eines Monats nach Eingang.

09Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen geltendes Datenschutzrecht verstößt (Art. 77 DSGVO).

Zuständige Aufsichtsbehörde für unser Unternehmen ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Deutschland

Telefon: +49 611 1408-0
E-Mail: poststelle@datenschutz.hessen.de
Web: datenschutz.hessen.de

10Was wir nicht erheben

Zur Transparenz: Folgende Daten erhebt SchockSchutz ausdrücklich nicht:

  • Kein Zugriff auf das Telefonbuch oder die Kontakte Ihres Geräts
  • Keine Standortdaten (GPS, Funkzelle, WLAN-Position)
  • Keine echte Telefonnummer der Nutzer
  • Keine Nutzungsanalyse / Tracking (kein Google Analytics, kein Firebase Analytics)
  • Keine Crash-Reports mit personenbezogenen Daten (kein Sentry, kein Crashlytics)
  • Keine Werbe-IDs (IDFA, AAID) und keine Auslieferung von Werbung
  • Keine Profilbildung oder automatisierte Entscheidungen mit Rechtswirkung
  • Keine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO

11Hinweise zu Minderjährigen

SchockSchutz richtet sich an erwachsene Personen, die sich gemeinsam mit anderen Familienmitgliedern auf Schockanrufe vorbereiten möchten. Die Nutzung der App durch Minderjährige unter 16 Jahren ist nur mit Einwilligung der Erziehungsberechtigten zulässig (Art. 8 DSGVO).

12Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Rahmenbedingungen oder die App-Funktionalität ändern. Die jeweils aktuelle Fassung ist unter schockschutz.app/datenschutz abrufbar.

Bei wesentlichen Änderungen informieren wir Sie zusätzlich in der App.