Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

Version v1.0 — gültig ab 14.04.2026

Diese Vereinbarung ergänzt die Allgemeinen Geschäftsbedingungen (AGB) zwischen dem Auftraggeber (Kunde von Checker) und der SEEL OG als Auftragnehmer und regelt die datenschutzrechtlichen Pflichten gemäß Art. 28 DSGVO. Sie kommt zur Anwendung, sobald und soweit der Auftragnehmer im Rahmen der Bereitstellung von Checker personenbezogene Daten im Auftrag des Auftraggebers verarbeitet.

Vertragsparteien

Auftraggeber (im Folgenden „Auftraggeber“):
Der bei Checker registrierte Unternehmer i.S.d. § 1 UGB, identifiziert über seinen Account und die im Profil hinterlegten Stammdaten (Firma, Anschrift, UID).

Auftragnehmer (im Folgenden „Auftragnehmer“):
SEEL OG
Möwenstraße 6, 5201 Seekirchen am Wallersee, Österreich
Firmenbuch: FN 497958t, UID: ATU74856729
Kontakt: office@seel-digital.com

1. Gegenstand der Vereinbarung

1.1 Gegenstand dieses Auftrages ist die Bereitstellung der Software-as-a-Service-Plattform „Checker“ durch den Auftragnehmer und die damit verbundene KI-gestützte Compliance-Prüfung von Verpackungsdesigns, Etiketten und Markenrichtlinien des Auftraggebers nach EU-Vorgaben (u. a. Health Claims, Zusatzstoffe, Novel Food). Diese Vereinbarung ist als Ergänzung zu den jeweils gültigen AGB zu verstehen.

1.2 Datenkategorien. Im Rahmen der Auftragsverarbeitung werden folgende Datenkategorien verarbeitet:

  • Account-Daten (E-Mail-Adresse, Passwort-Hash, Profilangaben: Vor-/Nachname, Avatar)
  • Stammdaten der Firma des Auftraggebers (Firmenname, Anschrift, UID/Gewerbe-Kennzeichnung)
  • Vom Auftraggeber hochgeladene Inhalte (Etiketten, Designs, PDF-Dokumente, Markenrichtlinien)
  • Aus der KI-Analyse generierte Findings, Scores, Kommentare und Aktivitätsprotokolle
  • Server-Logs (IP-Adresse, User-Agent, Zeitstempel, aufgerufene URL) zur Betriebssicherheit und Missbrauchserkennung
  • Consent-Nachweis (IP, User-Agent, Zeitstempel der Vertragsannahmen)

1.3 Kategorien betroffener Personen. Der Verarbeitung unterliegen ausschließlich Beschäftigte des Auftraggebers, die als Account-Inhaber oder Team-Mitglied auf Checker zugreifen. Die hochgeladenen Inhalte selbst (Etiketten, Designs) sind in der Regel produkt- und nicht personenbezogen. Sollten in den hochgeladenen Inhalten dennoch personenbezogene Daten enthalten sein (z. B. Hersteller-Adressen), verantwortet der Auftraggeber die Rechtmäßigkeit dieser Verarbeitung.

2. Dauer der Vereinbarung

Die Vereinbarung ist auf unbestimmte Zeit geschlossen und an die Laufzeit des SaaS-Vertrages (AGB) gebunden. Sie endet automatisch mit Beendigung des SaaS-Vertrages, etwa durch ordentliche Kündigung des Auftraggebers oder durch Löschung des Accounts. Die Möglichkeit zur außerordentlichen Beendigung aus wichtigem Grund bleibt unberührt.

3. Pflichten des Auftragnehmers

3.1 Weisungsbindung. Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der Aufträge des Auftraggebers zu verarbeiten. Als Aufträge im Sinne dieser Vereinbarung gelten insbesondere die Nutzungshandlungen des Auftraggebers in der Checker-Plattform (z. B. Upload von Designs, Auslösen einer Analyse, Anlegen von Team-Mitgliedern) sowie schriftliche Zusatzaufträge per E-Mail. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er — sofern gesetzlich zulässig — den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen.

3.2 Vertraulichkeit. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Die Verschwiegenheitsverpflichtung bleibt auch nach Beendigung der Tätigkeit aufrecht.

3.3 Sicherheit der Verarbeitung. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art. 32 DSGVO ergriffen hat. Einzelheiten sind der Anlage 1 zu entnehmen.

3.4 Betroffenenrechte. Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Personen nach Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) innerhalb der gesetzlichen Fristen erfüllen kann. Checker stellt hierfür Self-Service Funktionen für Datenexport und Account-Löschung bereit. Wird ein entsprechender Antrag fälschlich an den Auftragnehmer gerichtet, leitet dieser ihn unverzüglich an den Auftraggeber weiter.

3.5 Unterstützung. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der betroffenen Personen, Datenschutz-Folgenabschätzung, vorherige Konsultation).

3.6 Verarbeitungsverzeichnis. Der Auftraggeber wird darauf hingewiesen, dass er für die Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art. 30 DSGVO zu führen hat. Der Auftragnehmer stellt die hierfür notwendigen Informationen (insbesondere diese AVV inkl. Anlage 1, die jeweils aktuelle Datenschutzerklärung sowie die Liste der Sub-Auftragsverarbeiter) auf der Checker-Website bereit.

3.7 Kontrollrecht. Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch von ihm beauftragte Dritte, eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Vor Ort-Kontrollen sind mit angemessener Vorlaufzeit (mindestens 14 Tage) anzukündigen und dürfen den Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen.

3.8 Rückgabe und Löschung. Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten des Auftraggebers enthalten, dem Auftraggeber zu übergeben oder in dessen Auftrag zu vernichten. Der Auftraggeber kann seine Daten vor Beendigung über die Self-Service-Exportfunktion in einem gängigen, maschinenlesbaren Format (ZIP mit JSON-Dateien und Original-Designs) abrufen. Nach Account-Löschung werden die Account-Daten und Domain-Daten innerhalb von 30 Tagen final aus den Produktivsystemen entfernt; Backups werden nach maximal 35 Tagen rotiert. Der Consent-Nachweis bleibt — anonymisiert über einen E-Mail-Hash — gemäß Punkt 4 der Datenschutzerklärung 3 Jahre erhalten.

3.9 Hinweispflicht. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

4. Ort der Durchführung der Datenverarbeitung

Die Datenverarbeitung erfolgt ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EU/EWR). Eine aktive Übermittlung personenbezogener Daten in Drittländer findet nicht statt. Die konkrete Verteilung der Verarbeitung auf EU-Regionen ergibt sich aus der Liste der Sub-Auftragsverarbeiter (Punkt 5).

Hinweis: Die Muttergesellschaften einiger der unter Punkt 5 gelisteten Sub-Auftragsverarbeiter haben ihren Sitz in den USA; die Verarbeitung der Daten des Auftraggebers erfolgt jedoch ausschließlich in EU-Regionen. Für den Fall eines unvorhergesehenen Zugriffs aus einem Drittland bestehen Standardvertragsklauseln (SCCs) im Rahmen der jeweiligen Auftragsverarbeitungsverträge des Auftragnehmers mit seinen Sub-Auftragsverarbeitern.

5. Sub-Auftragsverarbeiter

Der Auftraggeber erteilt dem Auftragnehmer hiermit die generelle schriftliche Genehmigung im Sinne von Art. 28 Abs. 2 DSGVO, die nachstehend gelisteten Unternehmen als Sub-Auftragsverarbeiter heranzuziehen:

Sub-AuftragsverarbeiterZweckRegion
Supabase (Supabase EU Ltd.)Datenbank, Authentifizierung, Datei-Speicher, Edge FunctionsEU, Frankfurt (eu-central-1)
Vercel Inc.Hosting der Web-AnwendungEU, Frankfurt (fra1)
Google Cloud (Vertex AI, Gemini)KI-gestützte Analyse hochgeladener DesignsEU, Eemshaven (europe-west4)
Hetzner Online GmbHSMTP-Versand transaktionaler E-MailsDeutschland

Beabsichtigte Änderungen oder Erweiterungen der Liste der Sub-Auftragsverarbeiter werden dem Auftraggeber so rechtzeitig bekannt gegeben (mindestens 30 Tage im Voraus per E-Mail an die im Account hinterlegte Adresse oder per In-Product-Benachrichtigung), dass er einer Änderung widersprechen kann. Im Fall eines berechtigten Widerspruchs steht dem Auftraggeber ein Sonderkündigungsrecht des SaaS-Vertrages zu.

Der Auftragnehmer schließt mit jedem Sub-Auftragsverarbeiter die erforderlichen Vereinbarungen im Sinne des Art. 28 Abs. 4 DSGVO ab und stellt sicher, dass diese dieselben Datenschutzpflichten eingehen, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt ein Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragnehmer dem Auftraggeber gegenüber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

6. Schlussbestimmungen

6.1 Vertragsannahme. Diese Vereinbarung wird vom Auftraggeber durch elektronische Bestätigung (Click-Wrap) im Rahmen der Registrierung bzw. der Aktualisierung der Rechtsdokumente angenommen. Der Auftragnehmer dokumentiert die Annahme revisionssicher mit Versionsstand, Zeitstempel, IP-Adresse und User-Agent.

6.2 Änderungen. Änderungen dieser Vereinbarung werden dem Auftraggeber per E-Mail oder in der Anwendung bekannt gegeben und gelten als vereinbart, wenn der Auftraggeber ihnen nicht binnen zwei Wochen widerspricht. Bei wesentlichen Änderungen wird der Auftraggeber ausdrücklich erneut um Zustimmung gebeten.

6.3 Anwendbares Recht und Gerichtsstand. Es gilt österreichisches Recht. Gerichtsstand für alle Streitigkeiten ist das sachlich zuständige Gericht in Salzburg.

6.4 Salvatorische Klausel. Sollte eine Bestimmung dieser Vereinbarung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die unwirksame Bestimmung wird durch eine wirksame ersetzt, die dem wirtschaftlichen Zweck am nächsten kommt.

Anlage 1 — Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)

Stand der Maßnahmen: 14.04.2026. Der Auftragnehmer ergreift laufend die nachstehend dokumentierten technischen und organisatorischen Maßnahmen.

A. Vertraulichkeit

Zutrittskontrolle. Checker betreibt keine eigenen Rechenzentren. Die physische Zutrittskontrolle wird von den Sub-Auftragsverarbeitern (Supabase, Vercel, Google Cloud, Hetzner) in deren ISO/IEC 27001-zertifizierten Rechenzentren gewährleistet.

Zugangskontrolle. Schutz vor unbefugter Systembenutzung durch:

  • Kennwörter inkl. Mindestlänge gem. Supabase-Auth-Policy
  • Passwort-Hashing serverseitig (bcrypt via Supabase Auth, keine Klartext-Speicherung)
  • HttpOnly-Session-Cookies mit serverseitiger JWT-Validierung
  • Automatische Sitzungs-Refresh-Mechanik mit zeitlich begrenzten Tokens
  • Zwei-Faktor-Authentifizierung für Administrator-Zugänge

Zugriffskontrolle. Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems durch:

  • Strikte mandantenbasierte Zugriffstrennung über Row-Level-Security (RLS) in der Datenbank — Daten anderer Auftraggeber sind selbst bei Bug im Anwendungscode nicht erreichbar
  • Standard-Berechtigungsprofile auf „need-to-know“-Basis (Owner / Admin / Member)
  • Standardprozess für Berechtigungsvergabe innerhalb des Teams
  • Hochgeladene Dateien werden in einem privaten Storage-Bucket abgelegt und ausschließlich über zeitlich befristete Signed URLs ausgeliefert (Standard-TTL 1 Stunde)
  • Datenbank-Trigger pinnen den User-Bezug von Findings, sodass auch durch fehlerhafte Server-Logik keine Cross-User-Schreibvorgänge möglich sind

Pseudonymisierung. Account-Bezüge in Consent-Nachweisen werden bei Account-Löschung anonymisiert (E-Mail-Adresse durch SHA-256-Hash ersetzt) und nur 3 Jahre aufbewahrt.

B. Datenintegrität

Weitergabekontrolle. Kein unbefugtes Lesen oder Verändern bei elektronischer Übertragung durch:

  • TLS-Verschlüsselung (mindestens TLS 1.2) für alle Verbindungen zwischen Browser, Checker-Servern und Sub-Auftragsverarbeitern
  • AES-256-Verschlüsselung der Datenbank- und Storage-Inhalte at rest (Supabase-Standard)
  • Service-Account-Authentifizierung (kein API-Key) gegenüber Google Vertex AI, Tokens kurzlebig (1 Stunde)
  • Prefix-Allowlist für externe URL-Dereferenzierungen in Edge Functions (SSRF-Schutz)

Eingabekontrolle. Feststellung, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden, durch:

  • Append-only Aktivitäts-Log pro Produkt (Versionsuploads, Status-Änderungen, Kommentare, Zuweisungen, Share-Links, manuelle Findings)
  • Server-Logs der Plattform-Zugriffe inkl. Zeitstempel, IP-Adresse und User-Agent (Aufbewahrung max. 30 Tage)

C. Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle. Schutz gegen Verlust durch:

  • Tägliche automatische Datenbank-Backups (Supabase, Frankfurt) mit dokumentierter Aufbewahrungsdauer gemäß Supabase-Plan
  • Redundante Bereitstellung in ISO/IEC 27001-zertifizierten Rechenzentren
  • Plattform-Monitoring für Edge Functions, Datenbank, Storage und Auth-Latenz mit Alarmierung
  • Geplante Wartungen werden im Voraus bekannt gegeben; bei sicherheitsrelevanten Vorfällen (z. B. Patching) erfolgt Wartung auch ungeplant

Rasche Wiederherstellbarkeit. Wiederherstellung aus Backup über Supabase Point-in-Time-Recovery (Plan-abhängig) oder Daily-Snapshot. Datenexport im strukturierten ZIP-Format ist jederzeit als Self-Service durch den Auftraggeber möglich.

D. Verfahren zur regelmäßigen Überprüfung

  • Datenschutz-Management. Schriftlich dokumentierte Datenschutzhinweise und Sicherheitsregeln; Schulung neuer Mitarbeiter:innen vor Aufnahme der Tätigkeit.
  • Incident-Response. Definierter interner Meldeprozess bei Verdacht auf Datenschutzverletzung; Meldung an den Auftraggeber unverzüglich nach Kenntnis, spätestens innerhalb von 72 Stunden, an die im Account hinterlegte E-Mail-Adresse oder per In-Product-Benachrichtigung.
  • Datenschutzfreundliche Voreinstellungen. Standardmäßig privates Speicher-Bucket, RLS auf allen mandantenbezogenen Tabellen, ausschließlich technisch notwendige Cookies, kein Tracking, kein Analytics-Drittanbieter.
  • Auftragskontrolle. Eindeutige Vertragsgestaltung mit allen Sub-Auftragsverarbeitern, dokumentierte AVVs, regelmäßige Überprüfung der Konfiguration.
  • Interne Sicherheits-Audits. Letzter dokumentierter interner Audit: Mai 2026 (19 identifizierte und behobene Befunde).