Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung in dieser Anwendung im Sinne der DSGVO ist:
Lichtmannegger GmbH, Gewerbering 7, 83549 Eiselfing, vertreten durch den Geschäftsführer Georg Lichtmannegger, E-Mail info@lme-sachverstaendige.de.

Datenschutzbeauftragter: Sandro Lichtmannegger, erreichbar unter den oben genannten Kontaktdaten (info@lme-sachverstaendige.de).

Hinweis zur Rollenverteilung: Soweit der Betreiber diese Anwendung für Kundenunternehmen (Mandanten) betreibt und deren Beschäftigtendaten in deren Auftrag verarbeitet, handelt der Betreiber insoweit als Auftragsverarbeiter des jeweiligen Mandanten. Grundlage ist ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) zwischen Betreiber und Mandant.

2. Zweck der Anwendung

„Safety Manager" ist eine interne Plattform zur Verwaltung des Arbeits- und Gesundheitsschutzes (u. a. Gefährdungsbeurteilungen, Unterweisungen, Arbeitsmittel-/UVV-Prüfungen, Gefahrstoffe, Betriebsanweisungen, Begehungen, Unfälle/Beinaheunfälle, Maßnahmen, Dokumente). Der Zugang ist ausschließlich berechtigten, angemeldeten Nutzern vorbehalten.

3. Verarbeitete Datenkategorien

• Benutzer-/Anmeldedaten (E-Mail, verschlüsseltes Passwort, Rolle, Mandantenzuordnung).
• Mitarbeiter-Stammdaten (Name, Funktion, Abteilung, Personalnummer, ggf. E-Mail).
• Unterweisungs-Nachweise inkl. Teilnahmebestätigung und digitaler Unterschrift.
• Begehungs- und Maßnahmendaten, hochgeladene Fotos und Dokumente.
• Daten zu Unfällen/Beinaheunfällen – diese können Gesundheitsdaten (besondere Kategorien nach Art. 9 DSGVO) enthalten (z. B. Verletzungsart, Ausfalltage, Hergang).
• Technische Protokolldaten (z. B. Server-Logfiles, Änderungsverlauf).

4. Zwecke und Rechtsgrundlagen

• Erfüllung gesetzlicher Arbeitsschutzpflichten (ArbSchG, DGUV-Vorschriften) – Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).
• Verarbeitung von Beschäftigtendaten zur Durchführung des Beschäftigungsverhältnisses – § 26 BDSG i. V. m. Art. 88 DSGVO.
• Gesundheitsdaten bei Unfällen – Art. 9 Abs. 2 lit. b DSGVO (Pflichten aus dem Arbeitsrecht/Sozialrecht) sowie ggf. § 26 Abs. 3 BDSG.
• Berechtigtes Interesse an einem sicheren, nachvollziehbaren Betrieb (z. B. Änderungsverlauf) – Art. 6 Abs. 1 lit. f DSGVO.

5. Empfänger / Auftragsverarbeiter

Zur Bereitstellung der Anwendung werden Dienstleister eingesetzt, mit denen jeweils ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) besteht:

• Datenbank, Authentifizierung & Dateispeicher: Supabase – Hosting in der EU (Region Frankfurt, Deutschland).
• Anwendungs-Hosting: Hostinger – Serverstandort Deutschland (EU), Backup-Speicherung in Frankreich (EU).

6. Drittlandübermittlung

Die Datenverarbeitung (Datenbank, Authentifizierung, Dateispeicher) erfolgt innerhalb der Europäischen Union. Eine Übermittlung personenbezogener Daten in ein Drittland findet nicht statt.

7. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen oder berufsgenossenschaftlichen Aufbewahrungspflichten entgegenstehen. Als Orientierung gelten folgende Richtwerte:

• Unterweisungsnachweise: für die Dauer der Beschäftigung sowie i. d. R. noch einige Jahre als Nachweis gegenüber der Berufsgenossenschaft.
• Dokumentation von Arbeitsunfällen / Erste-Hilfe-Leistungen: mindestens 5 Jahre.
• Prüfdokumentationen für Arbeitsmittel (UVV): über die Nutzungsdauer des Arbeitsmittels, mindestens bis zur übernächsten Prüfung.
• Gefährdungsbeurteilungen / Betriebsanweisungen: solange die Tätigkeit bzw. der Gefahrstoff besteht und die Beurteilung aktuell ist.
• Mitarbeiter-Stammdaten: Löschung nach Ende der Tätigkeit/Beschäftigung und Ablauf etwaiger Aufbewahrungsfristen.

Die konkreten Fristen legt der Verantwortliche bzw. der jeweilige Mandant (Arbeitgeber) fest.

8. Hosting & Server-Logfiles

Beim Aufruf der Anwendung werden technisch notwendige Daten (z. B. IP-Adresse, Zeitpunkt, abgerufene Ressource) durch den Hosting-Dienstleister verarbeitet, um den sicheren Betrieb zu gewährleisten (Art. 6 Abs. 1 lit. f DSGVO).

9. Cookies

Es werden ausschließlich technisch notwendige Cookies für die Anmeldung/Sitzung gesetzt (kein Tracking, keine Werbung). Diese sind für den Betrieb erforderlich und bedürfen keiner Einwilligung.

10. Datensicherheit (technische & organisatorische Maßnahmen)

• Verschlüsselte Übertragung (TLS/HTTPS) und verschlüsselte Speicherung der Daten.
• Strikte Mandantentrennung und rollenbasierte Zugriffskontrolle auf Datenbank- und Speicherebene (Row-Level-Security).
• Passwörter werden nur als sicherer Hash gespeichert; erzwungene Erstanmeldung-Änderung.
• Regelmäßige Backups; Protokollierung sicherheitsrelevanter Änderungen.

11. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21 DSGVO). Wenden Sie sich hierzu an den oben genannten Verantwortlichen. Beschäftigte richten Anfragen zu ihren im Auftrag eines Mandanten verarbeiteten Daten in der Regel an ihren Arbeitgeber (Mandant).

12. Beschwerderecht

Ihnen steht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu. Die für den Sitz des Verantwortlichen (Bayern) zuständige Behörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.