Datenschutzerklärung

sicherio.de

Verantwortlicher: BG Online Media UG (haftungsbeschränkt) Grünwiesenstraße 33, 74321 Bietigheim-Bissingen Geschäftsführer: Bernd Galter E-Mail: datenschutz@sicherio.de

Stand: April 2026

1. Überblick

Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten bei der Nutzung unserer Website sicherio.de und der Sicherio-Plattform. Wir nehmen den Schutz Ihrer Daten ernst und verarbeiten personenbezogene Daten ausschließlich im Einklang mit der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und anderen anwendbaren Datenschutzvorschriften.

2. Hosting und Infrastruktur

2.1 Vercel (Website-Hosting)

Unsere Website und Plattform wird bei Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Bei jedem Zugriff auf unsere Website werden automatisch folgende Daten erhoben:

• IP-Adresse (anonymisiert)
• Datum und Uhrzeit des Zugriffs
• Angeforderte Seite / URL
• Browser-Typ und -Version
• Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Bereitstellung der Website).

Datentransfer: Vercel setzt Server im EU-Raum ein. Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln und des EU-US Data Privacy Framework.

2.2 Vercel Analytics

Wir nutzen Vercel Analytics zur anonymisierten Analyse der Website-Nutzung. Vercel Analytics ist datenschutzfreundlich konzipiert:

• Es werden keine Cookies gesetzt
• IP-Adressen werden anonymisiert
• Es werden keine personenbezogenen Profile erstellt
• Die Daten werden aggregiert verarbeitet

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse und Optimierung unserer Website).

3. Datenbank und Authentifizierung

3.1 Supabase

Für die Speicherung Ihrer Daten, die Benutzer-Authentifizierung sowie den Versand von Auth-E-Mails (Registrierungsbestätigung, Passwort-Reset, Magic Links) nutzen wir Supabase Inc. (970 Toa Payoh North #07-04, Singapore 318992). Die Datenbank wird im EU-Rechenzentrum AWS Frankfurt (eu-central-1), Deutschland betrieben.

Verarbeitete Daten:

• Registrierungsdaten (Name, E-Mail, Passwort als bcrypt-Hash)
• Alle in der Plattform eingegebenen Daten (Betriebsmittel, Prüfprotokolle, Mitarbeiter, Dokumente etc.)
• Session-Daten zur Authentifizierung
• E-Mail-Adressen und Versandzeitpunkte für Auth-E-Mails

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherort: Alle Daten werden ausschließlich in Deutschland (Frankfurt) gespeichert.

Auftragsverarbeitung: Mit Supabase besteht ein Data Processing Addendum (DPA, abrufbar unter https://supabase.com/privacy), welches Standardvertragsklauseln gemäß Art. 46 DSGVO und ergänzende Garantien umfasst.

Hinweis zum Drittlandtransfer: Supabase Inc. hat ihren Hauptsitz in Singapur. Auch wenn die Speicherung Ihrer Daten ausschließlich im EU-Rechenzentrum (Frankfurt) erfolgt, kann technisch nicht ausgeschlossen werden, dass im Rahmen des Betriebs (z. B. Support, Wartung) im Einzelfall ein Zugriff aus Singapur erfolgt. Hierfür sind die o. g. Standardvertragsklauseln einschlägig.

4. Registrierung und Nutzerkonto

Bei der Registrierung auf unserer Plattform verarbeiten wir:

• Vor- und Nachname
• E-Mail-Adresse
• Firmenname
• Passwort (nur als kryptografischer Hash gespeichert)

Diese Daten sind zur Vertragserfüllung erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Bis zur Löschung des Kontos, danach 90 Tage gemäß unseren AGB. Rechnungsdaten werden gemäß steuerrechtlichen Aufbewahrungsfristen (10 Jahre) aufbewahrt.

5. Verarbeitung in den Plattform-Modulen

5.1 Arbeitsschutz-Modul

Im Arbeitsschutz-Modul können folgende personenbezogene Daten verarbeitet werden:

• Mitarbeiterdaten: Name, Abteilung, Position, Ersthelfer-/SiBe-Status
• Prüfprotokolle: Prüfername, Prüfdaten
• Unterweisungen: Teilnehmername, Bestätigungszeitpunkt
• Verbandbuch: Name des Verletzten, Art der Verletzung, Körperteil, Unfallhergang, Ersthelfer, Behandlung

Besondere Datenkategorien: Verbandbuch-Einträge können Gesundheitsdaten gemäß Art. 9 DSGVO enthalten. Die Verarbeitung erfolgt auf Grundlage von Art. 9 Abs. 2 lit. b DSGVO i.V.m. § 26 Abs. 3 BDSG (arbeitsrechtliche Pflichten).

Speicherdauer Verbandbuch: 5 Jahre ab Eintragsdatum (§ 24 Abs. 6 DGUV Vorschrift 1). Die Löschung erfolgt automatisch.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung des Kunden).

5.2 Datenschutz-Modul (DSGVO)

Im Datenschutz-Modul können folgende Daten verarbeitet werden:

• Verarbeitungstätigkeiten mit Verantwortlichkeiten
• Technische und organisatorische Maßnahmen
• Auftragsverarbeiter-Listen
• Datenschutzvorfälle

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.3 KI-Compliance-Modul (EU AI Act)

Im KI-Compliance-Modul werden Daten zu KI-Systemen des Kunden verarbeitet (keine personenbezogenen Daten natürlicher Personen, sondern Systeminformationen wie KI-Inventar, Risikoklassifizierung, Kompetenznachweise).

5.4 Hinweisgeberschutz-Modul

Im Hinweisgeberschutz-Modul können folgende Daten verarbeitet werden:

• Meldungen: Inhalt der Meldung, ggf. Identität des Hinweisgebers (sofern nicht anonym), in der Meldung genannte Personen
• Bearbeitungsvermerke: Bearbeitungsstatus, Kommentare

Besonderer Schutz: Die Identität des Hinweisgebers unterliegt dem besonderen Schutz des Hinweisgeberschutzgesetzes (HinSchG). Der Zugang zu Meldungen ist auf autorisierte Personen beschränkt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung nach HinSchG).

6. Unterweisungen und QR-Code-Funktionen

6.1 Unterweisungsbestätigung per Email-Link

Mitarbeiter erhalten vom Arbeitsschutz-Koordinator des Kunden eine Email mit einem personalisierten Bestätigungs-Link. Über diesen Link können sie ohne Login die Teilnahme an der Unterweisung bestätigen. Dabei werden verarbeitet:

• Name des Mitarbeiters (Anzeige auf der Bestätigungsseite)
• Email-Adresse des Mitarbeiters (für den Versand der Einladung)
• Zeitpunkt der Bestätigung
• IP-Adresse (gespeichert ausschließlich als SHA-256-Hash zur Missbrauchs-Prävention; eine Re-Identifikation der IP ist nicht möglich)
• Token (kryptografisch generierter UUID, gültig bis zum Fälligkeitsdatum der jeweiligen Unterweisung)

Es wird kein Nutzerkonto erstellt. Der Token ist ausschließlich für die eine spezifische Unterweisung gültig und wird nach Bestätigung oder Ablauf der Fälligkeit funktionslos. Die Bestätigung über den Link gilt als revisionssicherer Teilnahme-Nachweis im Sinne der DGUV Vorschrift 1, ersetzt jedoch keine handschriftliche Unterschrift.

6.2 Verbandbuch per QR-Code

Mitarbeiter können Verbandbuch-Einträge ohne Login über einen QR-Code erfassen. Es werden die in § 5.1 genannten Daten verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (arbeitsrechtliche Dokumentationspflicht des Kunden).

7. E-Mail-Kommunikation

7.1 Auth-E-Mails (Supabase)

Auth-bezogene System-E-Mails (Registrierungsbestätigung, Passwort-Reset, Einladungs-Links) werden über den E-Mail-Versand von Supabase Inc. zugestellt (siehe Abschnitt 3.1). Es werden ausschließlich E-Mail-Adresse, Name und Versandzeitpunkt verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.2 Support-Anfragen

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir Ihre E-Mail-Adresse, Ihren Namen und den Inhalt Ihrer Nachricht zur Bearbeitung Ihrer Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen / Vertragserfüllung).

Speicherdauer: Support-Anfragen werden 2 Jahre nach Abschluss der Anfrage gelöscht.

7.3 Mailjet (Transaktionale E-Mails)

Für den Versand transaktionaler E-Mails außerhalb der Authentifizierung (z. B. Trial-Reminder, Plan-Wechsel-Bestätigungen, System-Benachrichtigungen, Erinnerungs-Mails der Plattform-Module) nutzen wir den Dienstleister Sinch Email (Mailjet), betrieben durch die Sinch Email GmbH (vormals Mailjet), 4 Rue Jules Lefebvre, 75009 Paris, Frankreich.

Verarbeitete Daten:

• E-Mail-Adresse des Empfängers
• Name des Empfängers
• Inhalt der E-Mail
• Versandzeitpunkt
• Zustellstatus

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger Mail-Zustellung).

Datentransfer: Mailjet betreibt Server innerhalb der Europäischen Union. Es findet kein Drittlandtransfer statt.

Auftragsverarbeitung: Mit Mailjet besteht ein Data Processing Addendum (DPA, abrufbar unter https://www.mailjet.com/legal/privacy-policy/).

8. Zahlungsabwicklung

8.1 Stripe

Die Zahlungsabwicklung erfolgt über Stripe Inc. (354 Oyster Point Blvd, South San Francisco, CA 94080, USA). Bei der Bezahlung werden folgende Daten an Stripe übermittelt:

• Zahlungsdaten (Kreditkarte, SEPA-Lastschrift)
• Rechnungsadresse
• E-Mail-Adresse
• Firmenname, ggf. USt-IdNr.

Wir selbst speichern keine vollständigen Zahlungsdaten. Diese werden ausschließlich von Stripe verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datentransfer: Stripe verarbeitet Zahlungsdaten innerhalb der EU (Stripe Technology Europe Ltd., Irland). Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage des EU-US Data Privacy Framework.

9. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten Daten verlangen.
• Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten. Die Plattform bietet hierfür Export-Funktionen (PDF, CSV).
• Widerspruch (Art. 21 DSGVO): Sie können gegen die Verarbeitung Ihrer Daten Widerspruch einlegen, sofern diese auf berechtigtem Interesse basiert.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@sicherio.de

10. Auftragsverarbeitung

Soweit wir personenbezogene Daten im Auftrag unserer Kunden verarbeiten (z.B. Mitarbeiterdaten, Unterweisungsdaten, Verbandbucheinträge), geschieht dies auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO. Der AVV ist unter sicherio.de/avv einsehbar.

11. Drittlandtransfer

Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EWR) erfolgt nur, wenn geeignete Garantien gemäß Art. 44 ff. DSGVO vorliegen:

12. Speicherdauer

12a. Externe Beauftragte (DSB / SiFa / IT-Sicherheit) — Multi-Mandant-Funktion

Die Sicherio-Plattform erlaubt es Kundenfirmen, externen Beauftragten (z. B. externe Datenschutzbeauftragte gemäß Art. 37 DSGVO, externe Sicherheitsfachkräfte nach § 5 ASiG, externe IT-Sicherheitsbeauftragte) den Zugriff auf einzelne Module ihres Mandanten zu erlauben.

Rechtliche Einordnung: Diese Beauftragten handeln als Beauftragte der jeweiligen Kundenfirma, nicht als Auftragsverarbeiter der Sicherio-Plattform und nicht als Sicherio-Subprocessor. Eine separate AVV zwischen Sicherio und dem Beauftragten ist nicht erforderlich; es genügt die bestehende AVV zwischen Sicherio und der Kundenfirma sowie die Bestellung bzw. der Berater-Vertrag zwischen Kundenfirma und Beauftragtem.

Verschwiegenheit: Jeder Beauftragte muss bei Annahme der Einladung die Verschwiegenheitspflicht nach Art. 38 Abs. 5 DSGVO bzw. § 38 BDSG bestätigen. Sicherio dokumentiert diese Bestätigung mit Zeitstempel, IP-Adresse und User-Agent.

Audit-Log: Sämtliche Aktionen externer Beauftragter im Mandanten-Dashboard werden im Audit-Log protokolliert (Zeitstempel, Account, Aktion, ggf. alter und neuer Wert). Die Kundenfirma kann diese Einträge jederzeit einsehen.

Widerruf: Die Kundenfirma kann den Zugriff jederzeit über das Sicherio-Dashboard widerrufen. Der Widerruf ist sofort wirksam.

Detail-Bedingungen: Partner-Nutzungsbedingungen.

13. Cookies

Sicherio verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung und Session-Verwaltung. Es werden keine Tracking-Cookies, Marketing-Cookies oder Cookies von Drittanbietern gesetzt.

Ein Cookie-Banner ist daher nicht erforderlich, da ausschließlich technisch notwendige Cookies gemäß § 25 Abs. 2 Nr. 2 TDDDG verwendet werden.

14. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein, darunter:

• Verschlüsselung aller Datenübertragungen (TLS 1.2+)
• Verschlüsselung ruhender Daten (AES-256)
• Row-Level Security auf Datenbankebene (Mandantentrennung)
• Regelmäßige Sicherheitsupdates
• Automatische Datenbank-Backups

Details finden Sie in den Technischen und Organisatorischen Maßnahmen (TOMs) in Anlage 1 unseres AVV (sicherio.de/avv).

15. Aufsichtsbehörde

Sie haben das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzureichen. Die für uns zuständige Aufsichtsbehörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Lautenschlagerstraße 20 70173 Stuttgart Telefon: 0711/615541-0 E-Mail: poststelle@lfdi.bwl.de Web: https://www.baden-wuerttemberg.datenschutz.de

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder Änderungen der Plattform anzupassen. Die aktuelle Version ist stets unter sicherio.de/datenschutz abrufbar.

BG Online Media UG (haftungsbeschränkt) · Grünwiesenstraße 33 · 74321 Bietigheim-Bissingen · AG Stuttgart HRB 774462 · USt-IdNr. DE331972080