Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

zwischen

dem Kunden (nachfolgend „Auftraggeber" oder „Verantwortlicher")

und

BG Online Media UG (haftungsbeschränkt) Grünwiesenstraße 33, 74321 Bietigheim-Bissingen Geschäftsführer: Bernd Galter E-Mail: datenschutz@sicherio.de (nachfolgend „Auftragnehmer" oder „Auftragsverarbeiter")

Stand: April 2026

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer betreibt die Compliance-Plattform „Sicherio" (sicherio.de) und verarbeitet im Auftrag des Auftraggebers personenbezogene Daten im Rahmen der Nutzung der Plattform.

(2) Die Verarbeitung umfasst folgende Module und Funktionen:

• Arbeitsschutz: Verwaltung von Betriebsmitteln, Prüffristen, Gefährdungsbeurteilungen, Unterweisungen, Verbandbuch
• Datenschutz (DSGVO): Verzeichnis der Verarbeitungstätigkeiten (VVT), Technische und organisatorische Maßnahmen (TOMs), Auftragsverarbeiter-Verwaltung, Löschkonzept, Datenschutzvorfälle
• KI-Compliance (EU AI Act): KI-Inventar, Risikoklassifizierung, Dokumentation
• Hinweisgeberschutz: Anonyme und nicht-anonyme Meldungen gemäß HinSchG, Fallbearbeitung

(3) Die Dauer der Verarbeitung entspricht der Vertragslaufzeit des SaaS-Nutzungsvertrags zwischen Auftraggeber und Auftragnehmer. Die Verarbeitung beginnt mit der Registrierung und endet mit der Kündigung des Vertrags und der vollständigen Löschung der Daten gemäß § 10 dieses Vertrags.

§ 2 Art und Zweck der Verarbeitung

(1) Die Verarbeitung erfolgt ausschließlich zum Zweck der Bereitstellung der Sicherio-Plattform und ihrer Funktionen gemäß dem Nutzungsvertrag.

(2) Die Art der Verarbeitung umfasst: Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Anpassung, Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung an Unterauftragsverarbeiter gemäß § 7, Abgleich, Verknüpfung, Einschränkung, Löschen und Vernichtung von personenbezogenen Daten.

§ 3 Kategorien betroffener Personen

Folgende Kategorien betroffener Personen können von der Verarbeitung betroffen sein:

• Mitarbeiter und Beschäftigte des Auftraggebers
• Geschäftsführung und Führungskräfte des Auftraggebers
• Externe Dienstleister und Auftragsverarbeiter des Auftraggebers (soweit im VVT erfasst)
• Hinweisgeber und in Meldungen genannte Personen (Hinweisgeberschutz-Modul)
• Verletzte Personen und Ersthelfer (Verbandbuch)
• Teilnehmer an Unterweisungen und Schulungen

§ 4 Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

Stammdaten: Name, Vorname, E-Mail-Adresse, Abteilung, Position, Unternehmenszugehörigkeit

Arbeitsschutz-Daten: Prüfprotokolle (Prüfer, Datum, Ergebnis), Gefährdungsbeurteilungen, Unterweisungsteilnahmen und -bestätigungen, Verbandbucheinträge (Name des Verletzten, Art der Verletzung, Unfallhergang, Ersthelfer, Behandlung)

Datenschutz-Daten: Verarbeitungstätigkeiten, Verantwortlichkeiten, Auftragsverarbeiter-Listen

KI-Compliance-Daten: Inventar der vom Auftraggeber eingesetzten KI-Systeme, Risikoklassifizierung, Kompetenz-Nachweise (Name, Schulungsdatum)

Hinweisgeberschutz-Daten: Meldungsinhalte, ggf. Identität des Hinweisgebers (sofern nicht anonym), in Meldungen genannte Personen, Bearbeitungsvermerke

Nutzungsdaten: IP-Adresse, Zeitpunkt des Zugriffs, Browser-Informationen

Besondere Kategorien (Art. 9 DSGVO): Gesundheitsdaten können im Verbandbuch enthalten sein (Art der Verletzung, betroffenes Körperteil, Behandlung). Der Auftraggeber ist dafür verantwortlich, dass eine geeignete Rechtsgrundlage für deren Verarbeitung vorliegt (z.B. § 26 Abs. 3 BDSG i.V.m. arbeitsrechtlichen Pflichten).

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach EU-Recht oder dem Recht des Mitgliedstaats dazu verpflichtet.

(2) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragnehmer ergreift alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 1).

(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten, insbesondere bei Datenschutz-Folgenabschätzungen und bei der vorherigen Konsultation der Aufsichtsbehörde.

(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) durch geeignete technische und organisatorische Maßnahmen, insbesondere durch Export- und Löschfunktionen in der Plattform.

(6) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt.

§ 6 Weisungsrecht

(1) Der Auftraggeber hat das Recht, dem Auftragnehmer Weisungen bezüglich der Art, des Umfangs und des Verfahrens der Datenverarbeitung zu erteilen.

(2) Weisungen sind in der Regel schriftlich oder in Textform (E-Mail) zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

(3) Ansprechpartner für Weisungen:

• Beim Auftragnehmer: Bernd Galter, datenschutz@sicherio.de
• Beim Auftraggeber: Die bei der Registrierung angegebene Kontaktperson

(4) Der Auftraggeber bestätigt bei der Registrierung, dass er über die erforderliche Weisungsbefugnis verfügt, um diesen Vertrag für sein Unternehmen abzuschließen.

§ 7 Unterauftragsverarbeiter

(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Auftraggeber die Möglichkeit, gegen diese Änderungen Einspruch zu erheben.

(2) Aktuelle Unterauftragsverarbeiter:

(3) Der Auftragnehmer stellt sicher, dass mit jedem Unterauftragsverarbeiter ein Vertrag gemäß Art. 28 Abs. 4 DSGVO geschlossen ist, der mindestens die gleichen Datenschutzpflichten enthält wie dieser Vertrag.

(4) Besondere Hinweise zu Vercel Analytics:

• Vercel Analytics erhebt anonymisierte Nutzungsdaten (Seitenaufrufe, Ladezeiten).
• Es werden keine Cookies gesetzt. Die IP-Adresse wird anonymisiert.

§ 8 Datenschutzverletzungen

(1) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten.

(2) Die Meldung enthält mindestens:

• Art der Verletzung
• Betroffene Datenkategorien und ungefähre Anzahl betroffener Personen
• Wahrscheinliche Folgen
• Ergriffene und vorgeschlagene Maßnahmen

(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Meldepflichten gemäß Art. 33 und 34 DSGVO.

§ 9 Kontrollrechte

(1) Der Auftraggeber hat das Recht, die Einhaltung der Bestimmungen dieses Vertrags und der DSGVO zu überprüfen, einschließlich Inspektionen und Audits.

(2) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung.

(3) Inspektionen und Audits sind mit einer angemessenen Frist (mindestens 14 Tage) anzukündigen und dürfen den Geschäftsbetrieb des Auftragnehmers nicht unangemessen stören.

(4) Der Auftragnehmer kann den Nachweis der Einhaltung auch durch Vorlage geeigneter Zertifizierungen oder Berichte unabhängiger Prüfer erbringen.

§ 10 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Vertrags löscht der Auftragnehmer sämtliche im Auftrag verarbeiteten personenbezogenen Daten, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.

(2) Vor der Löschung hat der Auftraggeber die Möglichkeit, seine Daten über die Export-Funktionen der Plattform herunterzuladen (PDF-Exporte, CSV-Exporte).

(3) Die Löschung erfolgt spätestens 90 Tage nach Vertragsende. Der Auftragnehmer bestätigt dem Auftraggeber die vollständige Löschung auf Anfrage schriftlich.

(4) Backups, die personenbezogene Daten des Auftraggebers enthalten, werden spätestens 30 Tage nach der regulären Löschung vernichtet.

(5) Verbandbuch-Einträge unterliegen einer gesetzlichen Aufbewahrungsfrist von 5 Jahren (§ 24 DGUV Vorschrift 1). Diese Einträge werden automatisch nach Ablauf der 5-Jahres-Frist gelöscht, unabhängig von der Vertragslaufzeit.

§ 11 Haftung

(1) Die Haftung richtet sich nach Art. 82 DSGVO.

(2) Der Auftragnehmer haftet dem Auftraggeber für Schäden, die durch eine nicht der DSGVO entsprechende Verarbeitung oder durch Handeln gegen die Weisungen des Auftraggebers entstanden sind.

§ 12 Schlussbestimmungen

(1) Dieser AVV ist Bestandteil des Nutzungsvertrags für die Sicherio-Plattform. Mit der Registrierung und Bestätigung der Nutzungsbedingungen wird dieser AVV wirksam.

(2) Änderungen dieses Vertrags bedürfen der Textform. Der Auftragnehmer informiert den Auftraggeber über wesentliche Änderungen per E-Mail.

(3) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(4) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Stuttgart.

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle:

• Rechenzentren der Unterauftragsverarbeiter (Supabase/AWS Frankfurt) sind ISO 27001 zertifiziert und verfügen über physische Zugangskontrollen.

Zugangskontrolle:

• Authentifizierung über Supabase Auth mit bcrypt-gehashten Passwörtern
• E-Mail-Verifizierung bei Registrierung
• Passwort-Richtlinie: Mindestlänge 8 Zeichen
• Einladungs-basierter Zugang für Mitarbeiter (kein öffentlicher Self-Service für Mitarbeiter-Accounts)
• Token-basierter Zugang für Unterweisungsbestätigungen und Verbandbuch (kein Login erforderlich, zeitlich begrenzt)

Zugriffskontrolle:

• Row-Level Security (RLS) in Supabase: Jeder Nutzer sieht ausschließlich Daten seiner eigenen Firma
• Rollenbasiertes Berechtigungskonzept: Owner, Admin, Mitarbeiter, Readonly
• Modul-basierte Zugriffskontrolle: Admins sehen nur die ihnen zugewiesenen Module

Trennungskontrolle:

• Mandantentrennung über company_id auf Datenbankebene
• RLS-Policies verhindern mandantenübergreifenden Datenzugriff
• Separater Supabase-Storage-Bucket pro Dokumententyp

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle:

• Verschlüsselung aller Daten während der Übertragung (TLS 1.2+, HTTPS)
• Verschlüsselung ruhender Daten (AES-256 bei Supabase/AWS)
• Auth-E-Mails-Versand über Supabase mit DKIM, SPF und DMARC-Authentifizierung

Eingabekontrolle:

• Aktivitätenprotokoll für Änderungen an Compliance-relevanten Daten
• Zeitstempel und Benutzer-ID bei allen Datenbankeinträgen (created_at, updated_at)

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

Verfügbarkeitskontrolle:

• Hosting bei Supabase (AWS Frankfurt): 99,9% SLA
• Hosting bei Vercel: Global Edge Network mit automatischem Failover
• Automatische Datenbank-Backups (Supabase Point-in-Time Recovery)
• Redundante Datenspeicherung

Wiederherstellbarkeit:

• Point-in-Time Recovery der Supabase-Datenbank
• Backups werden verschlüsselt gespeichert
• Wiederherstellung innerhalb von 24 Stunden

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
• Monitoring der Unterauftragsverarbeiter auf Einhaltung ihrer Sicherheitsstandards
• Automatische Sicherheitsupdates der eingesetzten Softwarekomponenten
• Überwachung der Supabase-Datenbank auf ungewöhnliche Zugriffsausmuster

Anlage 2: Genehmigte Unterauftragsverarbeiter

Dieser AVV tritt mit Registrierung auf der Sicherio-Plattform in Kraft.

BG Online Media UG (haftungsbeschränkt) · Grünwiesenstraße 33 · 74321 Bietigheim-Bissingen · AG Stuttgart HRB 774462