TSA im VfL Lüneburg e. V.
Tanz im VfL Lüneburg e. V.
Wir verarbeiten personenbezogene Daten im Rahmen der Unfall- und Verletzungsdokumentation, um sicherheitsrelevante Ereignisse strukturiert zu erfassen, angemessen zu bearbeiten und die erforderlichen Folgeprozesse sicherzustellen. Die Verarbeitung erfolgt insbesondere für folgende Zwecke:
Unfallaufnahme und Ereignisdokumentation (Erfassung von Unfallhergang, Ort/Zeit, Beteiligten, Zeugen, getroffenen Sofortmaßnahmen).
Erste-Hilfe- und Notfallmanagement (Organisation und Nachweis von Erste-Hilfe-Leistungen, ggf. Rettungsdienst-/Notarztkoordination).
Arbeits- und Gesundheitsschutz / Präventionsmanagement (Ursachenanalyse, Ableitung und Umsetzung von Schutzmaßnahmen, Unterweisungen, Gefährdungsbeurteilung/Wirksamkeitskontrolle).
Erfüllung gesetzlicher Melde-, Anzeige- und Nachweispflichten (z.B. gegenüber Unfallversicherungsträgern, Aufsichtsbehörden, internen Arbeitsschutzgremien), soweit einschlägig.
Abwicklung von Versicherungs-, Haftungs- und Regressfällen (Kommunikation mit Versicherern, Sachverhaltsaufklärung, Beweissicherung).
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (z.B. zivilrechtliche Haftungsfragen, arbeitsrechtliche/organisationsrechtliche Sachverhaltsaufklärung).
Im Rahmen der Unfall- und Verletzungsdokumentation verarbeiten wir – abhängig vom Einzelfall und dem betroffenen Personenkreis – insbesondere folgende Datenkategorien:
Identifikations- und Kontaktdaten
Name, Vorname
Kontaktdaten (z.B. Telefonnummer, E‑Mail), ggf. Anschrift
Rolle/Bezug zur Organisation (z.B. Beschäftigte, Besucher, Dienstleister, Teilnehmende)
Ereignis- und Sachverhaltsdaten
Datum, Uhrzeit, Ort des Ereignisses
Unfallhergang, Beschreibung des Vorfalls, Umstände/Umgebungseinflüsse
Angaben zu beteiligten Personen und Zeugen (inkl. Kontaktdaten, Aussagen/Beobachtungen)
Angaben zu eingesetzten Arbeitsmitteln/Anlagen/Gefahrstoffen, soweit relevant
Gesundheitsdaten (besondere Kategorien personenbezogener Daten)
Art der Verletzung, Symptome, Beschwerden, Erstdiagnose-/Behandlungsinformationen, soweit dokumentiert
Erste-Hilfe-Maßnahmen, ggf. Transport/Einweisung, behandelnde Stelle (z.B. Durchgangsarzt), soweit erforderlich
ggf. Angaben zu Einschränkungen/Arbeitsfähigkeit im Rahmen des notwendigen Follow-ups
Dokumentations- und Nachweisdaten
Unfallmeldungen/Unfallanzeigen, interne Formulare (z.B. Verbandbuch-/Erste-Hilfe-Dokumentation)
Fotodokumentation, Skizzen, sonstige Belege, soweit im Einzelfall erforderlich und zulässig
Bearbeitungsstatus, interne Maßnahmenpläne, Follow-up und Wirksamkeitskontrollen
Technische/Organisationsdaten
ggf. Zutritts-/Schicht-/Dienstplandaten, soweit für die Sachverhaltsaufklärung erforderlich
ggf. Kommunikationsdaten (z.B. E‑Mails, Telefonnotizen) im Rahmen der Bearbeitung
Die Rechtsgrundlagen hängen vom Kontext (z.B. Beschäftigte, Besucher/Teilnehmende, öffentliche Aufgabe) und vom Datenumfang (insb. Gesundheitsdaten) ab. Typischerweise kommen folgende Rechtsgrundlagen in Betracht:
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)soweit Unfall- und Verletzungsdokumentation zur Erfüllung gesetzlicher Pflichten erforderlich ist (z.B. Vorgaben aus dem Arbeits- und Gesundheitsschutz, Melde-/Anzeigepflichten, Nachweispflichten).
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)für Prävention, IT-/Betriebssicherheit im Arbeitsschutzkontext, interne Aufklärung, Qualitätssicherung, Beweissicherung sowie zur Geltendmachung/Ausübung/Verteidigung von Rechtsansprüchen.
Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vorvertragliche Maßnahmen), soweit einschlägigz.B. wenn die Dokumentation zur Abwicklung eines vertraglichen Leistungs-/Teilnahmeverhältnisses oder zur Durchführung daraus resultierender Pflichten erforderlich ist (z.B. Veranstaltungsteilnahme mit Ticketing/Serviceleistungen).
Art. 6 Abs. 1 lit. e DSGVO (öffentliche Aufgabe), nur soweit einschlägigbei öffentlichen Stellen, sofern die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse/ausgeübter öffentlicher Gewalt erforderlich ist; flankierend sind landesrechtliche Regelungen (z.B. NDSG) sowie kommunale Governance-Vorgaben (z.B. NKomVG) zu berücksichtigen.
Zusätzliche Anforderungen für Gesundheitsdaten (Art. 9 DSGVO):Soweit im Rahmen der Unfall-/Verletzungsdokumentation Gesundheitsdaten verarbeitet werden, erfolgt dies nur bei Vorliegen einer zusätzlichen Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO, insbesondere:
Art. 9 Abs. 2 lit. b DSGVO i.V.m. nationalen Vorschriften (z.B. § 26 Abs. 3 BDSG bei Beschäftigten) für arbeitsrechtliche/sozialschutzrechtliche Pflichten und Rechte,
Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsvorsorge/Arbeitsmedizin, Beurteilung der Arbeitsfähigkeit) soweit im konkreten Prozess erforderlich,
Art. 9 Abs. 2 lit. f DSGVO (Rechtsansprüche/Rechtsverteidigung) im Streit-/Haftungsfall,
Art. 9 Abs. 2 lit. g DSGVO i.V.m. nationalen Regelungen (z.B. § 22 BDSG) soweit ein erhebliches öffentliches Interesse einschlägig ist (insb. im öffentlichen Sektor/Schutz der Allgemeinheit).
Spezialkontext Sozialdaten (nur soweit einschlägig):Soweit in Einzelfällen Sozialdaten betroffen sind (z.B. Verfahren im Kontext gesetzlicher Unfallversicherung/Sozialleistungsträger), sind ergänzend die spezialgesetzlichen Vorgaben des SGB (insb. Sozialdatenschutz) zu beachten.
Im typischen Regelfall betrifft die Unfall- und Verletzungsdokumentation Beschäftigte, Besucher, Dienstleister oder Teilnehmende, die in einem sicherheitsrelevanten Ereignis involviert sind oder als Zeugen auftreten.
Für Beschäftigte ist die Verarbeitung regelmäßig durch Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten im Arbeitsschutz) und/oder Art. 6 Abs. 1 lit. f DSGVO (Prävention, Aufklärung, Rechtsverteidigung) gerechtfertigt; Beschäftigtendaten werden zusätzlich unter Beachtung von § 26 BDSG verarbeitet.
Für Gesundheitsdaten gilt ergänzend Art. 9 DSGVO (insb. Art. 9 Abs. 2 lit. b/h/f DSGVO) i.V.m. den einschlägigen nationalen Normen (u.a. § 26 Abs. 3 BDSG, ggf. § 22 BDSG).
Für Besucher/Teilnehmende erfolgt die Verarbeitung in der Regel auf Basis von Art. 6 Abs. 1 lit. f DSGVO (Sicherheits- und Präventionsinteressen, Haftungs-/Rechtsverteidigung) und ggf. Art. 6 Abs. 1 lit. b DSGVO (Vertragsbezug). Gesundheitsdaten werden auch hier nur auf Grundlage von Art. 9 Abs. 2 DSGVO verarbeitet.
Soweit wir Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, liegen unsere berechtigten Interessen insbesondere in:
Schutz von Leben und Gesundheit sowie Prävention weiterer Unfälle (Schutzpflichten, Safety-by-Design im operativen Betrieb),
Sicherstellung eines ordnungsgemäßen Arbeits- und Organisationsbetriebs (Risikosteuerung, Compliance),
Aufklärung von Vorfällen inkl. Ursachenanalyse und Wirksamkeitskontrolle von Maßnahmen,
Beweissicherung und rechtliche Absicherung (Haftungsmanagement, Regress/Versicherung, Rechtsverteidigung),
Qualitäts- und Auditfähigkeit der Arbeitsschutzprozesse (Nachvollziehbarkeit, Dokumentationsintegrität).
Die Interessenabwägung wird durch geeignete technische und organisatorische Maßnahmen (z.B. Zugriffsbeschränkungen, Rollen- und Berechtigungskonzepte, Vertraulichkeitsvorgaben, Minimierung der Dokumentationstiefe) abgesichert.
Personenbezogene Daten aus der Unfall- und Verletzungsdokumentation können – jeweils zweckgebunden und nach dem Need-to-know-Prinzip – an folgende Empfänger/Kategorien übermittelt werden:
Interne Empfänger
Arbeitsschutz/HSSE, Sicherheitsfachkraft, Ersthelferkoordination
HR/Personalabteilung (soweit erforderlich, z.B. bei Beschäftigtenunfällen)
Management/Verantwortliche Führungskräfte, Compliance/Revision (anlassbezogen)
Betriebsarzt/arbeitsmedizinischer Dienst (soweit eingebunden)
ggf. Betriebsrat/Personalrat nach Maßgabe der jeweiligen Mitbestimmungs-/Beteiligungsrechte
Externe Empfänger
Gesetzliche Unfallversicherungsträger (z.B. Berufsgenossenschaft/Unfallkasse) und ggf. sonstige zuständige Stellen, soweit melde-/anzeigepflichtig oder für Leistungs-/Fallbearbeitung erforderlich
Versicherer (z.B. Haftpflicht, Unfallversicherung), soweit erforderlich
Ärztliche Stellen/medizinische Dienstleister (z.B. Durchgangsarzt, Kliniken), soweit erforderlich und rechtlich zulässig
Behörden (z.B. Aufsichtsbehörden im Arbeitsschutz) und Gerichte/Strafverfolgungsbehörden, soweit eine rechtliche Verpflichtung besteht oder dies zur Rechtsverfolgung erforderlich ist
Rechtsberater/Sachverständige, sofern zur Sachverhaltsaufklärung oder Rechtsverteidigung erforderlich
Eine Übermittlung in Drittländer (außerhalb des EWR) ist im Rahmen der Unfall- und Verletzungsdokumentation grundsätzlich nicht beabsichtigt. Sie kann jedoch nicht ausgeschlossen werden, wenn hierfür eingesetzte IT‑Dienstleister oder Kommunikations-/Cloud‑Dienste Daten in Drittländern verarbeiten oder darauf zugreifen.
Soweit Drittlandübermittlungen stattfinden, erfolgen diese nach Maßgabe der Art. 44 ff. DSGVO, insbesondere auf Grundlage eines Angemessenheitsbeschlusses oder geeigneter Garantien (z.B. Standardvertragsklauseln) sowie ggf. ergänzender technischer und organisatorischer Maßnahmen (z.B. Verschlüsselung, Zugriffsbeschränkungen, Mandantentrennung, Protokollierung).
Wir speichern Daten aus der Unfall- und Verletzungsdokumentation nur so lange, wie dies zur Erreichung der oben genannten Zwecke erforderlich ist, und unter Beachtung gesetzlicher Aufbewahrungs- und Verjährungsfristen. Typischerweise gilt:
Erste-Hilfe-/Unfalldokumentation im Regelbetrieb (z.B. Verbandbuch/Erste-Hilfe-Nachweis): Aufbewahrung für 3 Jahre nach dem Ereignis (häufig werden hierfür mehrjährige Retentionsfristen angesetzt, um Spätfolgen/Leistungsfälle nachvollziehbar zu halten).
Melde-/anzeigepflichtige Unfälle und Fallbearbeitung (z.B. gegenüber Unfallversicherung/Versicherer): Speicherung mindestens bis zur Abschlussbearbeitung und darüber hinaus gemäß gesetzlichen Nachweis- und Verjährungsfristen.
Streit-/Haftungsfälle: längere Aufbewahrung, soweit zur Geltendmachung/Ausübung/Verteidigung von Rechtsansprüchen erforderlich (Art. 17 Abs. 3 lit. e DSGVO), mit restriktiver Zugriffskontrolle.
Backup-/Archivsysteme: Soweit Dokumente in Backups enthalten sind, erfolgt die Löschung nach den jeweils implementierten Backup- und Löschkonzepten; eine sofortige selektive Löschung ist technisch nicht immer möglich, wird aber durch Retention‑Management und Zugriffsbeschränkungen kompensiert.
Die konkreten Löschfristen sind Teil unseres Lösch- und Berechtigungskonzepts und werden risikobasiert (Schutzbedarf/Regulierungskontext) festgelegt.
Die Bereitstellung der Daten ist grundsätzlich nicht gesetzlich allgemein vorgeschrieben; sie kann jedoch im Einzelfall erforderlich sein, um:
gesetzliche Pflichten im Arbeits- und Gesundheitsschutz zu erfüllen (z.B. Dokumentations-/Meldepflichten),
eine sachgerechte Unfallbearbeitung, Präventionsmaßnahmen und ggf. Leistungs-/Versicherungsprozesse zu ermöglichen,
Rechtsansprüche zu prüfen und zu sichern.
Ohne die Bereitstellung bestimmter Angaben (z.B. Identifikation der betroffenen Person, Grunddaten zum Ereignis) kann eine ordnungsgemäße Bearbeitung, inklusive Sicherheits- und Präventionsmaßnahmen, nicht oder nur eingeschränkt erfolgen.
Im Rahmen der Unfall- und Verletzungsdokumentation erfolgt grundsätzlich keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO (keine Entscheidung mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung).
Es können jedoch automatisierte Verarbeitungsschritte im organisatorischen Sinne eingesetzt werden, z.B.:
Ticket-/Vorgangssteuerung (Routing an zuständige Stellen),
Fristen- und Erinnerungsfunktionen,
statistische Auswertungen zur Prävention (z.B. Häufigkeiten nach Unfallart), soweit datenschutzkonform und möglichst aggregiert.
Sofern im Einzelfall KI‑gestützte Systeme zur Klassifikation, Priorisierung oder Mustererkennung in Arbeitsschutzprozessen eingesetzt werden, erfolgt eine separate, kontextbezogene Bewertung der Transparenz-, Rechtsgrundlagen- und Governanceanforderungen (einschließlich Anforderungen der KI‑VO, soweit anwendbar).
