Die Datenschutzerklärung lässt sich auch als PDF herunterladen (PDF, 178 kB, barrierefrei) .
Diese Datenschutzerklärung informiert Sie über den Schutz Ihrer personenbezogenen Daten bei der Nutzung der Zentralen Expositionsdatenbank (ZED) der Deutschen Gesetzlichen Unfallversicherung e.V. (DGUV).
Die ZED ist eine Datenbank zur zentralen Erfassung gegenüber krebserzeugenden, keimzellmutagenen oder reproduktionstoxischen Stoffen exponierter Beschäftigter und dient der Unterstützung der Unternehmen bei der Erfüllung ihrer Pflichten nach der Gefahrstoffverordnung (GefStoffV). Die ZED bietet auch die Möglichkeit, dass Unternehmen gleichzeitig ihren Meldeverpflichtungen nach der Verordnung zur arbeitsmedizinischen Vorsorge (ArbMedVV) nachkommen.
Nach § 10a Abs. 1 GefStoffV obliegt es dem Unternehmen, ein aktualisiertes Verzeichnis über die gegenüber krebserzeugenden, keimzellmutagenen oder reproduktionstoxischen Gefahrstoffen der Kategorie 1A oder 1B exponierten Beschäftigten zu führen. Diese Expositionsdaten sind nach § 10a Abs. 2 für mindestens 40 Jahre nach Beendigung der Exposition bei Tätigkeiten mit krebserzeugende und keimzellmutagenen Gefahrstoffen und für mindestens fünf Jahre nach Beendigung der Exposition bei Tätigkeiten mit reproduktionstoxischen Gefahrstoffen aufzubewahren. Bei Beendigung von Beschäftigungsverhältnissen muss das Unternehmen nach § 10a Abs. 2 GefStoffV den Beschäftigten einen Auszug über die sie betreffenden Angaben des Verzeichnisses aushändigen.
Nach § 10a Abs. 3 GefStoffV kann das Unternehmen seiner Aufbewahrungs- und Aushändigungspflicht dadurch nachkommen, dass es die einschlägigen Daten an den zuständigen Unfallversicherungsträger oder einen Verband der Unfallversicherungsträger übermittelt.
Die Deutsche Gesetzliche Unfallversicherung e.V. ist der Spitzenverband der Unfallversicherungsträger in Deutschland und führt bestimmte Aufgaben der Unfallversicherungsträger aus. Aus diesem Grund ist die Aufgabe an die DGUV im Wege des gesetzlichen Auftrags nach § 88 SGB X übertragen worden.
Rechtsgrundlage für die Errichtung der Datenbank ist Art. 6 Abs. 1 lit. c und e DSGVO i.V.m. § 10a Abs. 3 GefStoffV i.V.m. §§ 204 Abs. 1 Nr. 2, 199 Abs. 1 Nr. 5, 14 Abs. 4 SGB VII (Errichtung einer Datei für mehrere Unfallversicherungsträger bei dem Verband).
Die ZED ist eine Dokumentations- und Hinweisdatei gemäß § 10a GefStoffV und Vorsorgedatei gemäß § 204 Abs. 1 Nr. 2 SGB VII. Die Errichtung eines Dateisystems für mehrere Unfallversicherungsträger bei einem Verband ist nach § 204 Abs. 1 Nr. 2 SGB VII zulässig.
Die Anzeige nach § 204 Abs. 6 SGB VII an die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit wurde mit Schreiben vom 3. November 2014 versandt.
Verantwortliche Stelle für dieses Angebot ist die
Deutsche Gesetzliche Unfallversicherung e.V.
Glinkastraße 40
10117 Berlin
E-Mail: info@dguv.de
Kontaktmöglichkeit zur ZED:
Deutsche Gesetzliche Unfallversicherung e.V.
Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (IFA)
Alte Heerstraße 111
53757 Sankt Augustin
Tel.: 030 13001 3107
E-Mail: zed@dguv.de
Zu unserem vollständigen Impressum
Die DGUV hat einen Datenschutzbeauftragten bestellt. Sie erreichen ihn über seine E-Mail-Adresse datenschutzbeauftragter@dguv.de oder über die oben genannte Postadresse.
Bei der Nutzung der ZED werden unterschiedliche Ereignisse in der Datenbank durch unsere Server in sogenannten Protokolldateien gespeichert. Die Ereignisse umfassen sowohl alle durch die Benutzer an den Server gesendeten Anfragen als auch die automatisch laufenden Jobs.
Die ZED zeichnet auftretende Ereignisse in fünf Protokolldateien auf:
In den Protokolldateien werden unterschiedliche Parameter gespeichert.
Im Request-Protokoll werden Angaben wie Zeitstempel (Datum, Uhrzeit), angefragte URL, Benutzer (bei Requests nach dem Login) und Dauer des Requests gespeichert. Im Error-Protokoll werden Angaben wie Zeitstempel, angefragte URL, technische ID des Fehlers und Stacktrace gespeichert. Ein Eintrag im Job-Protokoll besteht aus Angaben wie Zeitstempel, Bezeichnung des laufenden Jobs, Informationen zu laufenden Jobs einschließlich aufgetretener Fehler. Im allgemeinen Protokoll werden Informationen zu den Ereignissen wie Start der Anwendung, Benutzerlogins und Fehler protokolliert.
Die Protokolldateien ermöglichen eine Fehleranalyse und geben Auskunft über die Ereignisse der automatisch laufenden Jobs. Wir nutzen die im Rahmen der Protokolle erhobenen Daten nicht zur Identifizierung der betroffenen Personen. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.
Die Löschung erfolgt automatisch nach Ablauf der Aufbewahrungsfrist. Hierzu wurde in die ZED einen regelmäßigen Job implementiert, der automatisch alle 24 Stunden die Protokolldateien überprüft sowie gegebenenfalls löscht.
Die Aufbewahrungsfrist für die Protokolldateien beträgt:
Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Unsere berechtigten Interessen beruhen auf den Möglichkeiten, die uns die Protokolldateien zur Wartung und zur Fehlerkorrektur unserer Anwendung bieten.
Die ZED setzt ausschließlich ein Session-Cookie ein, welches zur Sicherung der Anmeldung und Arbeit der Anwendung genutzt wird. Mithin ist die Verarbeitung erforderlich für die störungsfreie Funktion der Anwendung. Hierbei werden grundsätzlich keine personenbezogenen Daten verarbeitet.
Soweit hier ein Personenbezug entsteht, liegt die Rechtsgrundlage in Art. 6 Abs. 1 lit. f DSGVO bzw. § 25 Abs. 2 Nr. 2 TDDDG.
Die ZED setzt keine Tracking-Verfahren ein.
Die ZED analysiert die Anzahl der Login-Vorgänge für jeden Nutzer. Dabei werden die Identifikationsdaten (E-Mail-Adressen) der betroffenen Personen einem Hash-Algorithmus unterzogen, sodass kein Rückschluss auf eine natürliche Person möglich ist.
Ferner werden allgemeine Datensätze innerhalb der ZED verarbeitet. Dies erfolgt ebenfalls grundsätzlich in anonymisierter Form bzw. ohne Personenbezug.
Diese Datenverarbeitung beruht auf Art. 6 Abs. 1 lit. f DSGVO. Unsere berechtigten Interessen beruhen auf der Optimierung und effektiven Gestaltung sowie Nachvollziehbarkeit der ZED.
Voraussetzung für die Nutzung der ZED ist die Registrierung über das ZED-Internetportal beim Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (IFA).
In diesem Zusammenhang erheben wir personenbezogene Daten.
Zum Unternehmen erheben wir folgende Registrierungsdaten:
Zum Benutzer erheben wir folgende Registrierungsdaten:
Das Unternehmen bestimmt, wer von seinen Beschäftigten zur Datenerfassung beziehungsweise zur Dateneinsicht befugt ist. Es besteht die Möglichkeit, den hierfür auserwählten Mitarbeitenden verschiedene Lese- und Schreibrechte zu gewähren.
Rechtsgrundlage für die Registrierung ist Art. 6 Abs. 1 lit. b DSGVO mit Bezug zu den AGB.
Nach Registrierung können die Daten in die ZED aufgenommen werden.
Für eine sichere Verbindung durch das Internet wird eine Ende-zu-Ende-Verschlüsselung eingesetzt.
Die Aufnahme der Daten in die Datenbank erfolgt entweder mittels Formularfeldern, Excel-Tabellen oder einer API-Schnittstelle. Nach erfolgtem Import über Excel-Tabellen bietet die ZED den Benutzern die Möglichkeit, ein Protokoll des Importes zu speichern und die Excel-Tabellen herunterzuladen.
Die Excel-Tabellen werden durch die Benutzer in der Datenbank gespeichert und können nur durch diese gelöscht werden. Die Benutzer können das Protokoll mit den Excel-Tabellen abgleichen und überprüfen, ob alle Daten erfolgreich aufgenommen worden sind.
Wenn der letzte zugehörige Benutzer eines Unternehmens in der ZED gelöscht wird, werden alle zugehörigen Dokumente, Dateien und Arbeitshilfen ebenfalls gelöscht. Die Angaben zu den Beschäftigten bleiben erhalten. Benutzer werden nach zweijähriger Inaktivität deaktiviert. An die zugehörige E-Mail-Adresse wird drei Monate vor Deaktivierung eine Benachrichtigung gesendet. Nach dreijähriger Inaktivität wird das Benutzerkonto unwiderruflich gelöscht.
In der ZED werden mindestens folgende Daten der gegenüber krebserzeugenden, keimzellmutagenen oder reproduktionstoxischen Stoffen gefährdeten Beschäftigten erfasst:
Bei den Daten handelt es sich um personen- und arbeitsplatzbezogenen Expositionsdaten. Die Daten sind auch Sozialdaten im Sinne von § 67 Abs. 2 SGB X und unterliegen dem Sozialgeheimnis nach § 35 SGB I. Betriebs- und Geschäftsgeheimnisse stehen nach § 35 Abs. 4 SGB I den Sozialdaten gleich. Die Abweichung von dem Direkterhebungsgrundsatz nach § 67a Abs. 2 Satz 1 SGB X wird durch § 67a Abs. 2 Nr. 2 lit. a SGB X in Verbindung mit § 10a Abs. 3 GefStoffV legitimiert.
Rechtsgrundlage für die Datenaufnahme in die ZED ist Art. 6 Abs. 1 lit. c und e DSGVO i.V.m. § 10a Abs. 3 GefStoffV i.V.m. §§ 204 Abs. 1 Nr. 2, 199 Abs. 1 Nr. 5, 14 Abs. 4 SGB VII.
Das Unternehmen hat die Beschäftigten nach § 204 Abs. 2 Satz 4 SGB VII vor der erstmaligen Speicherung der Daten in der ZED über die Art der gespeicherten Daten, die speichernde Stelle und den Zweck des Dateisystems schriftlich zu unterrichten und auf das Auskunftsrecht nach § 83 SGB X hinzuweisen.
Die Verantwortung für die Rechtmäßigkeit der Erhebung, die Zulässigkeit der Speicherung sowie die Richtigkeit, Aktualität oder Löschung der von dem Unternehmen dokumentierten Daten liegt bei dem Unternehmen.
Beim Vorliegen einer Berufskrankheiten-Anzeige kann der zuständige Unfallversicherungsträger mit Einwilligung des Versicherten die zur Feststellung des Versicherungsfalls erforderlichen Daten aus der ZED anfordern.
Dies betrifft insbesondere folgende Datenkategorien:
Die Unfallversicherungsträger sind nach § 199 Abs. 1 Nr. 2 SGB VII berechtigt, personenbezogene Daten von Versicherten zur Erbringung von Leistungen einschließlich Überprüfung der Leistungsvoraussetzungen und Abrechnung der Leistungen zu verarbeiten. Da Sozialdaten nach § 67a Abs. 2 Satz 1 SGB X grundsätzlich bei den betroffenen Personen oder mit ihrer Mitwirkung zu erheben sind, können die Unfallversicherungsträger die Daten bei der DGUV nur mit der Einwilligung der Beschäftigten anfordern.
Rechtsgrundlage für die Datenübermittlung ist Art. 6 Abs. 1 lit. c und e DSGVO i.V.m. §§ 204 Abs. 5 S. 2 SGB VII.
Alternativ können die Beschäftigten einen Antrag auf Aushändigung der sie betreffenden Daten bei der DGUV stellen und die Daten dem zuständigen Unfallversicherungsträger vorlegen.
Nach § 5 Abs. 3 ArbMedVV hat das Unternehmen Beschäftigten nach Beendigung der Tätigkeit, bei denen nach längeren Latenzzeiten Gesundheitsstörungen auftreten können, nachgehende Vorsorge anzubieten. Am Ende des Beschäftigungsverhältnisses überträgt das Unternehmen diese Verpflichtung auf den zuständigen gesetzlichen Unfallversicherungsträger und überlässt ihm die erforderlichen Unterlagen in Kopie, sofern der oder die Beschäftigte eingewilligt hat.
Die Daten können mit Einwilligung des Beschäftigten für das Angebot nachgehender Vorsorge über eine Anbindung an die DGUV Vorsorge (Zusammenschluss u.a. des Organisationsdienstes für nachgehende Untersuchungen der gesetzlichen Unfallversicherung (ODIN) und der Gesundheitsvorsorge (GVS)) verwendet werden.
Die Unfallversicherungsträger betreiben verschiedene Einrichtungen, um die arbeitsmedizinische Vorsorge von Beschäftigten auch nach Beendigung des Beschäftigungsverhältnisses sicherzustellen. Die Aufgaben der nachgehenden Vorsorge nehmen u. A. die zentralen Dienstleistungseinrichtungen ODIN und GVS wahr. Unter dem Dach der DGUV Vorsorge haben sich alle Vorsorgedienste und Einrichtungen der gesetzlichen Unfallversicherungsträger für die nachgehende Vorsorge zusammengeschlossen. ODIN hat seinen Sitz bei der Berufsgenossenschaft Rohstoffe und chemische Industrie (BG RCI) und die GVS ist bei der Berufsgenossenschaft Energie Textil Elektro Medienerzeugnisse (BG ETEM) eingerichtet. Die Vorsorgedienste werden als Auftragseinrichtungen nach § 88 SGB X geführt.
Die ZED bietet dem Unternehmen die Möglichkeit, die Beschäftigten an die genannten Vorsorgedienste über die DGUV Vorsorge zu melden.
Die Datenübermittlung an die Vorsorgedienste über die DGUV Vorsorge erfolgt nur mit Einwilligung der Beschäftigten. Die Einwilligung muss dem Unternehmen vor der Datenübermittlung vorliegen. Die Bereitstellung der Expositionsdaten wird innerhalb der ZED durch das Unternehmen im Einzelfall angestoßen, wobei dieses die Einwilligung des Beschäftigten bestätigt.
In diesem Zusammenhang werden personen- und arbeitsplatzbezogene Expositionsdaten über die ZED an die Vorsorgedienste übermittelt.
Zum Unternehmen übermitteln wir folgende Daten:
Zum Beschäftigten übermitteln wir folgende Daten:
Rechtsgrundlage für die Datenübermittlung ist Art. 6 Abs. 1 lit. c und e DSGVO i.V.m. § 5 Abs. 3 ArbMedVV i.V.m. der Einwilligung des Arbeitnehmers. Sozialdaten sind nach § 67a Abs. 2 Satz 1 SGB X bei der betroffenen Person zu erheben. Die Abweichung von dem Direkterhebungsgrundsatz nach § 67a Abs. 2 Satz 1 SGB X wird durch die Einwilligung des betroffenen Beschäftigten legitimiert. Die Einholung der Einwilligung wird durch das Unternehmen im Rahmen der Anfrage auf Datenübermittlung bestätigt.
Die Datenverarbeitung durch die Vorsorgedienste erfolgt innerhalb ihrer eigenen datenschutzrechtlichen Verantwortlichkeit und entsprechend den Datenschutzerklärungen des jeweiligen Vorsorgedienstes.
Im Rahmen des gesetzlichen Auftrags der Gesetzlichen Unfallversicherung können Daten der ZED nach § 204 Abs. 2 Nr. 2 SGB VII genutzt werden, um Erkenntnisse über arbeitsbedingte Gesundheitsgefahren und geeignete Maßnahmen der Prävention oder zur Teilhabe zu gewinnen. Es handelt sich um eine zulässige Zweckänderung nach Art. 6 Abs. 4 DSGVO. Voraussetzung hierfür ist ein entsprechender Beschluss im Beirat zur ZED. Die Daten dürfen nur dann verwendet werden, wenn sie anonymisiert oder pseudonymisiert sind. Vorrangig ist eine Anonymisierung der Daten. Eine Pseudonymisierung ist nur dann zulässig, wenn aus Forschungszwecken (z. B. zur Validierung) eine spätere Zuordnung unumgänglich ist.
Die Zugriffsrechte werden gemäß rechtlichen Bestimmungen vergeben (GefStoffV und SGB). Eine Übermittlung der Daten an Dritte ist nicht vorgesehen. Die Daten unterliegen der Zweckbindung nach Sozialgesetzbuch und Gefahrstoffverordnung.
Beschäftigte/ehemals Beschäftigte erhalten auf Anfrage Auskunft zu den sie persönlich betreffenden Angaben (§ 10a Abs. 2 und 4 Nr. 2 GefStoffV, Art. 15 DSGVO i.V.m. § 83 SGB X).
Jedes Unternehmen hat Zugriff und Nutzungsrecht auf die jeweils von ihm an die ZED übermittelten Daten. Ein Zugriff auf die von anderen Unternehmen gelieferten Daten ist ausgeschlossen.
Die Daten der ZED stehen der DGUV und ihren Einrichtungen sowie den Trägern der gesetzlichen Unfallversicherung im Rahmen ihrer gesetzlichen Aufgaben zur Verfügung. Im Falle einer Berufskrankheiten-Anzeige kann der zuständige Unfallversicherungsträger mit Einwilligung des/der Versicherten die erforderlichen Daten aus der ZED anfordern.
Soweit die Einwilligung der Versicherten vorliegt, können die Daten auch für das Angebot nachgehender Vorsorge genutzt und über eine Anbindung an die DGUV Vorsorge und an den Organisationsdienst für nachgehende Untersuchungen der gesetzlichen Unfallversicherung (ODIN) bei der Berufsgenossenschaft Rohstoffe und chemische Industrie (BG RCI) und die Gesundheitsvorsorge (GVS) bei der Berufsgenossenschaft Energie Textil Elektro Medienerzeugnisse (BGETEM) übermittelt werden.
Nach § 10a Abs. 2 Nr. 1 GefStoffV ist das Verzeichnis mindestens 40 Jahre nach Ende der Exposition für krebserzeugende und keimzellmutagene Gefahrstoffe und nach § 10a Abs. 2 Nr. 2 mindestens fünf Jahre nach Ende der Exposition für reproduktionstoxische Gefahrstoffe aufzubewahren.
Mit der Nutzung der ZED hat das Unternehmen die Aufbewahrungspflicht auf die DGUV übertragen. Die DGUV löscht die in der ZED gespeicherten Daten einheitlich für alle Stoffe nach Ablauf der in § 10a Abs. 2 Nr. 1 gesetzlich vorgeschriebenen Aufbewahrungsfrist von mindestens 40 Jahren nach Ende der Exposition.
Die gesetzliche Aufbewahrungsfrist von mindestens 40 Jahren ergibt sich aus der durchschnittlichen Latenzzeit von berufsbedingten Krebserkrankungen. Die Latenzzeit einzelner Krebserkrankungen kann aber deutlich länger ausfallen. Zusätzlich ist nicht sichergestellt, dass in jedem Fall ein Ende einer Tätigkeit eingetragen wird. Daher wird das gesetzliche Renteneintrittsalter von 67 Jahren zugrunde gelegt, womit sich eine Aufbewahrung bis mind. zum 107ten Lebensjahr der Beschäftigten ergäbe. Um eine Verfügbarkeit der Sachlage bis zu einem relevanten Alter und dem Auftreten einer Krebserkrankung nachkommen zu können, endet die Aufbewahrung der personenbezogenen Daten lebenszeitorientiert. Eine Löschung erfolgt automatisch mit Erreichen des 107ten Lebensjahres der Beschäftigten nach erfasstem Geburtsdatum.
Im Hinblick auf die Umsetzung der Löschpflichten gilt Folgendes:
Die Aufbewahrungsfrist für die von der ZED erstellten Protokolle entspricht 3 Monaten, da man mithilfe von Protokollen die Änderungen an den Datensätzen nachvollziehen kann.
Jedes Unternehmen hat Zugriff auf die vom ihm gelieferten Daten und kann die Datensätze, erfassen, berichtigen und löschen. Ein Zugriff auf die von anderen Unternehmen gelieferten Daten ist ausgeschlossen. Eine Löschung des gesamten Profils ist jedoch aus der Anwendung heraus nicht möglich und erfolgt über die DGUV.
Auf den Gesamtdatenbestand der ZED haben nur für die ZED zuständige Beschäftigte der DGUV sowie Beschäftigte der durch die DGUV beauftragten Dienstleister Zugriff. Die Dienstleiter erhalten Kenntnis von Daten nur, soweit dies in dem mit ihnen geschlossenen Auftragsverarbeitungsvertrag vorgesehen ist.
Die Daten werden ausschließlich auf den Servern in Deutschland verarbeitet.
Sie sind von der Datenverarbeitung durch die DGUV betroffen. Als von einer Verarbeitung betroffenen Person stehen Ihnen grundsätzlich folgende Rechte zu:
Sofern wir personenbezogene Daten von Ihnen als exponierte Beschäftigte verarbeiten, gelten hinsichtlich der Berichtigung, Löschung, Einschränkung der Verarbeitung und Sperrung von Daten die Art. 17, 18 DSGVO i.V.m. § 84 SGB X. Eine Änderung bei der ZED erfasster Daten in diesem Sinne kann grundsätzlich nur durch das Unternehmen, das die Daten erfasst hat, vorgenommen werden. Änderungen werden durch die ZED protokolliert. Sofern wir ihre Daten aufgrund ihrer Einwilligung gegenüber ihrem Arbeitgeber nach Art. 6 Abs. 1 a) DSGVO verarbeiten (bspw. nachgehende Vorsorge) können Sie diese jederzeit gegenüber ihrem Arbeitgeber widerrufen. Bis zum Zeitpunkt des Widerrufs bleibt die Verarbeitung rechtmäßig.
Wenn Sie der Auffassung sind, dass wir Sie durch Verarbeitung Ihrer Daten in Ihren Rechten verletzt haben, können Sie sich bei jeder Aufsichtsbehörde beschweren. Damit Sie nicht lange suchen müssen, haben wir die Kontaktdaten der für uns zuständigen Aufsichtsbehörde für Sie bereitgestellt:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Straße 153
53117 Bonn
Telefon: +49 (0)228 997799-0
Fax: +49 (0)228 997799-5550
E-Mail: poststelle@bfdi.bund.de
Haben Sie weitere Fragen zum Datenschutz, so können Sie sich jederzeit an unseren Datenschutzbeauftragten oder das Referat Datenschutzrecht der DGUV wenden. Telefonisch erreichen Sie uns unter Tel.: +49 30 13001-0 oder indem Sie uns eine E-Mail an folgende Adresse schicken: datenschutz@dguv.de.