Datenschutzerklärung

Informationen über die Erhebung und Verarbeitung personenbezogener Daten nach Art. 13, 14 DSGVO bei Nutzung der Website safemploy.de und der Schulungsplattform Briefly (app.safemploy.de).

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Aleksandar Barisic
Bellealliancestraße 54
20259 Hamburg
E-Mail: hallo@safemploy.de
Persönlich: aleksandar.barisic@blomoo.de

Ein Datenschutzbeauftragter muss gemäß §38 BDSG nicht benannt werden (Einzelunternehmen mit weniger als 20 Mitarbeitern, die ständig mit der Verarbeitung personenbezogener Daten befasst sind).

2. Begriffsbestimmungen

Diese Datenschutzerklärung verwendet die Begriffe der DSGVO (Art. 4). Insbesondere:

• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten.
• Verantwortlicher: Die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet.
• Auftragsverarbeiter: Eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten nur, wenn mindestens eine der folgenden Rechtsgrundlagen vorliegt:

• Art. 6 Abs. 1 lit. a DSGVO: Einwilligung der betroffenen Person.
• Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen.
• Art. 6 Abs. 1 lit. c DSGVO: Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung.
• Art. 6 Abs. 1 lit. f DSGVO: Verarbeitung auf Grundlage eines berechtigten Interesses (insb. IT-Sicherheit, Betrieb der Plattform).

4. Erhebung und Verarbeitung im Einzelnen

4.1 Bereitstellung der Website und Server-Logfiles

Bei jedem Aufruf der Website safemploy.de werden durch den Webserver automatisch technische Zugriffsdaten erfasst. Dies umfasst:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Übertragene Datenmenge
• HTTP-Statuscode
• Browsertyp und -version, Betriebssystem
• Referrer-URL (zuvor besuchte Seite)

Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Grundlage des berechtigten Interesses an der Sicherstellung des Betriebs, der Erkennung und Abwehr von Angriffen sowie der technischen Fehleranalyse. Die Daten werden nach 14 Tagen automatisch gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht oder ein konkreter Sicherheitsvorfall eine längere Speicherung erforderlich macht.

4.2 Kontaktaufnahme und Demo-Anfragen

Wenn Sie uns per E-Mail kontaktieren, werden die von Ihnen übermittelten Daten (Name, E-Mail-Adresse, ggf. Unternehmen, Telefonnummer, Nachricht) ausschließlich zur Bearbeitung Ihrer Anfrage gespeichert und genutzt. Eine Weitergabe an Dritte erfolgt nicht ohne Ihre Einwilligung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation mit Interessenten).
Löschung: Nach abschließender Bearbeitung Ihrer Anfrage, es sei denn, gesetzliche Aufbewahrungsfristen stehen entgegen. Im Falle eines Vertragsschlusses gelten die handels- und steuerrechtlichen Aufbewahrungsfristen.

4.3 Nutzung der Briefly-Schulungsplattform (app.safemploy.de)

Die Plattform Briefly dient Unternehmen zur Erfüllung ihrer gesetzlichen Pflicht zur Durchführung von DGUV-Unterweisungen (§12 Arbeitsschutzgesetz, DGUV Vorschrift 1). Im Rahmen der Nutzung werden folgende Daten verarbeitet:

• Stammdaten des Kundenunternehmens (Firmenname, Ansprechpartner, E-Mail, Adresse)
• Stammdaten der Mitarbeiter des Kunden (Name, E-Mail-Adresse, Abteilung)
• Schulungsdaten (zugewiesene Unterweisungen, Bearbeitungsstatus, Prüfungsergebnisse)
• Protokolldaten (Login-Zeitpunkte, durchgeführte Aktionen)

Der Kunde (Arbeitgeber) ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Verarbeitung seiner Mitarbeiterdaten. Wir (Aleksandar Barisic) handeln als Auftragsverarbeiter gemäß Art. 28 DSGVO. Ein entsprechender Auftragsverarbeitungsvertrag wird mit dem Kunden geschlossen.
Rechtsgrundlage für die Verarbeitung durch uns: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.4 Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen setzen wir Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland („Stripe") ein. Im Rahmen des Checkout-Vorgangs werden folgende Daten an Stripe übermittelt:

• Name und E-Mail-Adresse des zahlenden Kunden
• Kreditkartendaten (werden direkt von Stripe erfasst – wir haben keinen Zugriff auf vollständige Kartendaten)
• Rechnungsadresse (sofern angegeben)
• Informationen zum gebuchten Tarif (Plan, Laufzeit)

Stripe ist nach PCI DSS Level 1 zertifiziert. Stripe kann die Daten an die Stripe Inc. in den USA übermitteln. Die Übermittlung in ein Drittland erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO sowie des Data Privacy Frameworks (DPF).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Nähere Informationen: https://stripe.com/privacy

4.5 KI-Content-Generierung (DeepSeek / Claude)

Zur Erstellung von Schulungsinhalten (Quizfragen, Zusammenfassungen, leichte Sprache) nutzen wir KI-APIs von DeepSeek (Hangzhou DeepSeek AI Co., Ltd.) und Anthropic (Claude). Hierbei werden keine personenbezogenen Daten an die KI-API übermittelt – ausschließlich Texte aus DGUV-Verordnungen, Vorschriften und technischen Regeln. Die KI-Anbieter speichern die übermittelten Daten nicht und verwenden sie nicht zum Training ihrer Modelle.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Hinweis zur Datenverarbeitung in Drittländern: DeepSeek verarbeitet Daten in der VR China. Die Übermittlung erfolgt aufgrund Ihrer Einwilligung (Art. 49 Abs. 1 lit. a DSGVO) oder zur Erfüllung des Vertrags (Art. 49 Abs. 1 lit. b DSGVO). Sie können die KI-Funktion jederzeit deaktivieren – wenden Sie sich hierzu an hallo@safemploy.de.

4.6 E-Mail-Versand (SMTP)

Für den Versand von Transaktions-E-Mails (Willkommens-Mail, Passwort-Reset, Benachrichtigungen) nutzen wir Blomoo GmbH mit Sitz in Deutschland. Es werden ausschließlich die für den E-Mail-Versand erforderlichen Daten (E-Mail-Adresse, Name) verarbeitet. Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO liegt vor.

4.7 Hosting

Die Infrastruktur wird bei der Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland betrieben. Hetzner ist nach ISO 27001 zertifiziert. Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO liegt vor. Die Serverstandorte befinden sich in Deutschland (Nürnberg) und Finnland (Helsinki).

5. Cookies

Marketing-Website (safemploy.de): Diese Website verwendet keine Tracking-, Analyse- oder Marketing-Cookies. Es werden ausschließlich technisch notwendige Sitzungsdaten auf Serverseite verarbeitet (siehe Punkt 4.1). Eine Einwilligung nach §25 Abs. 1 TDDDG ist für diesen rein technischen Betrieb nicht erforderlich.

Briefly-App (app.safemploy.de): Die Anwendung setzt einen technisch notwendigen Cookie für die Authentifizierung (ASP.NET Identity Cookie). Dieser Cookie ist für den Betrieb der Plattform zwingend erforderlich (§25 Abs. 2 Nr. 2 TDDDG – unbedingt erforderlich). Er wird nach 7 Tagen Inaktivität automatisch gelöscht.

Stripe-Checkout (safemploy.de/checkout): Stripe setzt eigene technische Cookies für die Zahlungsabwicklung. Diese Cookies sind für die Durchführung des Zahlungsvorgangs erforderlich (§25 Abs. 2 Nr. 2 TDDDG). Wir haben keinen Zugriff auf diese Cookies. Weitere Informationen: https://stripe.com/privacy

6. Empfänger personenbezogener Daten

Eine Übermittlung Ihrer Daten an Dritte erfolgt nur, wenn:

• Sie Ihre ausdrückliche Einwilligung erteilt haben (Art. 6 Abs. 1 lit. a DSGVO),
• dies zur Vertragserfüllung erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO) – insbesondere an Stripe für Zahlungen,
• eine rechtliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO), oder
• ein berechtigtes Interesse besteht und keine überwiegenden schutzwürdigen Interessen Ihrerseits entgegenstehen (Art. 6 Abs. 1 lit. f DSGVO).

Folgende Auftragsverarbeiter (Art. 28 DSGVO) werden eingesetzt:

• Hetzner Online GmbH (Deutschland) – Hosting, ISO 27001
• Stripe Payments Europe Ltd. (Irland) – Zahlungsabwicklung, PCI-DSS Level 1
• Blomoo GmbH (Deutschland) – E-Mail-Versand (SMTP)
• DeepSeek / Anthropic – KI-API (kein Personenbezug im Datensatz)

7. Drittlandtransfers

Eine Datenübermittlung in Drittstaaten (außerhalb des EWR) findet statt:

• Stripe (USA): EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO + Data Privacy Framework (DPF)
• DeepSeek (VR China): Art. 49 Abs. 1 lit. b DSGVO (Vertragserfüllung – keine Personenbezüge im KI-Input)
• Anthropic (USA): Keine Speicherung von API-Daten durch Anthropic (nur Request/Response)
• Let's Encrypt (USA): Keine Personenbezüge – reine Domain-Validierung für TLS-Zertifikate

8. Speicherdauer und Löschung

Wir speichern Ihre Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:

• Server-Logfiles: 14 Tage
• Kontaktanfragen: Bis zur abschließenden Bearbeitung, maximal 2 Jahre
• Kunden- und Mitarbeiterdaten (Briefly-Plattform): 3 Jahre nach Vertragsende (§147 AO), es sei denn, der Kunde fordert vorherige Löschung
• Zahlungsdaten: 10 Jahre (gesetzliche Aufbewahrungsfrist nach §147 AO)
• Backups: 30 Tage (automatische Rotation)
• K8s-Audit-Logs: 365 Tage

9. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Art. 15 DSGVO – Auskunftsrecht: Sie können Auskunft über Ihre gespeicherten Daten verlangen.
• Art. 16 DSGVO – Recht auf Berichtigung: Sie können die Berichtigung unrichtiger Daten verlangen.
• Art. 17 DSGVO – Recht auf Löschung: Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Art. 18 DSGVO – Recht auf Einschränkung der Verarbeitung: Sie können die Einschränkung der Verarbeitung verlangen.
• Art. 20 DSGVO – Recht auf Datenübertragbarkeit: Sie können die Herausgabe Ihrer Daten in einem maschinenlesbaren Format verlangen.
• Art. 21 DSGVO – Widerspruchsrecht: Sie können der Verarbeitung Ihrer Daten widersprechen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.
• Art. 7 Abs. 3 DSGVO – Widerruf von Einwilligungen: Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
• Art. 77 DSGVO – Beschwerderecht: Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Ludwig-Erhard-Str. 22, 20459 Hamburg, https://datenschutz-hamburg.de.

Zur Ausübung Ihrer Rechte genügt eine formlose E-Mail an hallo@safemploy.de. Wir werden Ihre Anfrage innerhalb von 30 Tagen beantworten.

Hinweis für Mitarbeitende eines Briefly-Kunden: Bitte wenden Sie sich primär an Ihren Arbeitgeber (Verantwortlicher). Wir verarbeiten Ihre Daten als Auftragsverarbeiter – der Arbeitgeber ist die verantwortliche Stelle im Sinne der DSGVO.

10. Technisch-organisatorische Maßnahmen (TOM)

Wir treffen folgende Maßnahmen zum Schutz Ihrer Daten:

• Verschlüsselung in Transit: TLS 1.3 für alle Domains (Let's Encrypt)
• Verschlüsselung at Rest: PostgreSQL-Datenbankverschlüsselung
• Zugangskontrolle: Authentifizierung über gesicherte Verfahren, Rollenkonzept (RBAC) im Backend
• Netzwerksicherheit: Firewall (nur Ports 22, 80, 443), Fail2ban (Intrusion Prevention), NetworkPolicies
• Backup: Tägliche Datenbank-Dumps, 30 Tage Aufbewahrung
• Monitoring: Laufende Systemüberwachung, Alarmierung bei Anomalien
• Regelmäßige Sicherheitsupdates: Automatisierte Patches der Betriebssysteme und Docker-Images

11. Aktualität und Änderungen

Diese Datenschutzerklärung ist aktuell gültig (Stand: 2026). Aufgrund rechtlicher oder technischer Änderungen kann eine Anpassung erforderlich werden. Die jeweils aktuelle Fassung finden Sie unter safemploy.de/datenschutz.html. Wir empfehlen, die Datenschutzerklärung in regelmäßigen Abständen zu lesen.

12. Auftragsverarbeitungsvertrag (AVV)

Kunden der Briefly-Plattform erhalten vor Freischaltung einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Dieser regelt die Rechte und Pflichten zwischen Verantwortlichem (Kunde) und Auftragsverarbeiter (Aleksandar Barisic). Bei Fragen zum AVV wenden Sie sich an hallo@safemploy.de.