Rechtliches

Allgemeine Geschäftsbedingungen

Hugger Risk Consulting – Tobias Hugger · Stand: April 2026 · Diese AGB gelten für alle digitalen Produkte und Dienstleistungen unter hurico.de und beinhalten als Anlage A den Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

§ 1 Geltungsbereich und Vertragspartner

Diese Allgemeinen Geschäftsbedingungen (AGB) regeln die Nutzung der digitalen Produkte und Softwaredienstleistungen von:

Tobias Hugger – Hugger Risk Consulting
Lauterbachstraße 1a, 78586 Deilingen
E-Mail: info@hurico.de
Telefon: +49 1525 913 0773
(nachfolgend „Anbieter")

Diese AGB gelten ausschließlich gegenüber Unternehmern im Sinne des § 14 BGB sowie Gewerbetreibenden und Freiberuflern. Der Abschluss von Verträgen mit Verbrauchern im Sinne des § 13 BGB ist ausgeschlossen. Mit dem Erwerb eines Zugangs oder der Registrierung erkennt der Nutzer diese AGB verbindlich an.

Abweichende, entgegenstehende oder ergänzende Allgemeine Geschäftsbedingungen des Nutzers werden nicht Vertragsbestandteil, es sei denn, der Anbieter stimmt ihrer Geltung ausdrücklich schriftlich zu.

§ 2 Leistungsbeschreibung

Der Anbieter stellt folgende webbasierte Softwareanwendungen (SaaS) als Dienstleistung bereit:

VigilOS Begehung

Digitale Dokumentation von Brandschutzbegehungen: Erstellung und Verwaltung von Prüfchecklisten, Erfassung von Mängeln mit Foto und Bewertung, Generierung von Begehungsprotokollen als PDF-Datei. Preis: ab 9,99 € netto/Monat.

VigilOS TRACK

Digitale Verwaltung von Maßnahmen und Prüffristen im Brandschutz: Maßnahmenliste mit Priorität, Verantwortlichem und Frist, Prüfkataster für 17 Anlagentypen mit automatischer Fristberechnung, Dashboard-Übersicht, Excel-Export. Preis: ab 19,99 € netto/Monat.

Die Anwendungen sind webbasiert und erfordern eine aktive Internetverbindung sowie einen aktuellen Webbrowser. Ein Offline-Betrieb ist nicht vorgesehen und wird nicht garantiert. Der Anbieter stellt die Software als Dienst bereit und ist nicht verpflichtet, den Quellcode herauszugeben.

§ 3 Vertragsschluss und Zugangsberechtigung

Der Vertrag kommt durch den Kauf eines Zugangs über die Zahlungsplattform Digistore24 GmbH zustande. Mit Abschluss des Bestellvorgangs und Akzeptanz dieser AGB wird ein Nutzungsvertrag begründet.

Der Zugang zur Software erfolgt über einen persönlichen Zugangscode oder Zugangsdaten, die dem Nutzer nach Kaufabschluss übermittelt werden. Der Zugangscode ist streng vertraulich zu behandeln. Eine Weitergabe an Dritte – auch innerhalb derselben Organisation – ist ohne ausdrückliche schriftliche Genehmigung des Anbieters untersagt. Für jeden zusätzlichen Nutzer ist ein gesonderter Zugang zu erwerben.

Der Anbieter behält sich vor, die Zugangsberechtigung bei Verstößen gegen diese AGB ohne Vorankündigung zu sperren.

§ 4 Nutzungsrechte und -beschränkungen

Der Anbieter räumt dem Nutzer für die Dauer des Vertrages ein einfaches, nicht übertragbares Recht zur Nutzung der Software ein. Alle Rechte an der Software, den Algorithmen, dem Design und den Inhalten verbleiben beim Anbieter.

Dem Nutzer ist insbesondere untersagt:

• die Software zu kopieren, zu dekompilieren, zu disassemblieren oder den Quellcode abzuleiten
• die Software zu vermieten, zu verleasen, zu verteilen oder Unterlizenzen zu erteilen
• die Software für rechtswidrige Zwecke zu nutzen
• automatisierte Abfragen oder Scraping-Verfahren gegen die Software einzusetzen
• Zugangsdaten oder Zugangscodes an Dritte weiterzugeben oder zu verkaufen
• die Sicherheitsmechanismen der Software zu umgehen oder zu manipulieren

§ 5 Preise, Zahlung und Abrechnung

Alle Preise verstehen sich zuzüglich der gesetzlichen Umsatzsteuer, sofern nicht ausdrücklich anders angegeben. Die Abrechnung und Zahlungsabwicklung erfolgt über Digistore24 GmbH, deren eigene Zahlungsbedingungen ergänzend gelten.

Die Vergütung ist jeweils im Voraus fällig. Bei Zahlungsverzug ist der Anbieter berechtigt, den Zugang zur Software bis zum Ausgleich der ausstehenden Beträge zu sperren.

Preisänderungen werden dem Nutzer mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt. Der Nutzer hat das Recht, den Vertrag zum Zeitpunkt des Inkrafttretens der Preisänderung zu kündigen.

§ 6 Vertragslaufzeit und Kündigung

Der Vertrag wird auf unbestimmte Zeit mit einer monatlichen Mindestlaufzeit geschlossen. Die Kündigung ist jederzeit zum Ende des jeweiligen Abrechnungsmonats möglich. Eine Kündigung ist in Textform (E-Mail an info@hurico.de) zu erklären.

Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund liegt für den Anbieter insbesondere vor bei einem schwerwiegenden Verstoß des Nutzers gegen diese AGB, bei Zahlungsverzug von mehr als 30 Tagen oder bei Missbrauch des Zugangs.

Nach Beendigung des Vertrages wird der Zugang innerhalb von 24 Stunden gesperrt. Gespeicherte Daten des Nutzers werden nach einer Übergangsfrist von 30 Tagen unwiderruflich gelöscht. Der Nutzer ist selbst dafür verantwortlich, vor Vertragsende einen Export seiner Daten vorzunehmen.

§ 7 Verfügbarkeit und Wartung

Der Anbieter strebt eine Verfügbarkeit der Software von 99 % im Jahresmittel an, gemessen außerhalb angekündigter Wartungsfenster. Eine Garantie für ununterbrochene Verfügbarkeit wird nicht übernommen. Geplante Wartungsarbeiten werden nach Möglichkeit vorab angekündigt.

Der Anbieter weist ausdrücklich darauf hin, dass die Software auf Infrastruktur von Drittanbietern (Supabase, Netlify) basiert. Ausfälle, die durch diese Anbieter verursacht werden, liegen außerhalb des Einflussbereichs des Anbieters.

Der Anbieter ist berechtigt, die Software jederzeit weiterzuentwickeln, zu ändern oder einzelne Funktionen anzupassen. Wesentliche Funktionseinschränkungen werden dem Nutzer vorab mitgeteilt.

§ 8 Pflichten und Verantwortlichkeit des Nutzers

Der Nutzer ist allein verantwortlich für:

• die Richtigkeit und Vollständigkeit aller in die Software eingetragenen Daten
• die fachgerechte Durchführung von Begehungen und Prüfungen sowie die Einhaltung brandschutzrechtlicher Vorschriften
• die sichere Aufbewahrung seiner Zugangsdaten und die unverzügliche Meldung bei Verdacht auf unbefugte Nutzung
• die regelmäßige Sicherung und den Export seiner Daten
• die Einhaltung datenschutzrechtlicher Vorschriften beim Eintragen personenbezogener Daten Dritter (z.B. Namen von Mitarbeitern, Verantwortlichen, Prüfern)
• die Prüfung der Aktualität von in der Software hinterlegten Normen, Prüfintervallen und Checklisten gegenüber dem jeweils gültigen Regelwerk

Der Nutzer verpflichtet sich, die Software nicht für rechtswidrige Zwecke einzusetzen und keine unrichtigen oder irreführenden Daten einzutragen. Bei Verstößen haftet der Nutzer dem Anbieter gegenüber für alle daraus entstehenden Schäden.

§ 9 Haftung und Haftungsbeschränkung

Der Anbieter haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie für vorsätzlich oder grob fahrlässig verursachte Schäden.

Im Übrigen ist die Haftung des Anbieters auf den typischerweise vorhersehbaren Schaden beschränkt und auf den zwölffachen Betrag des vom Nutzer im Jahr des schadenstiftenden Ereignisses gezahlten Entgelts begrenzt.

Der Anbieter übernimmt keine Haftung für:

• Schäden, die daraus entstehen, dass der Nutzer die Software als Ersatz für Sachverständigenleistungen, fachkundige Prüfungen oder behördlich vorgeschriebene Kontrollen einsetzt
• die Vollständigkeit, Richtigkeit oder Aktualität der in der Software enthaltenen Checklisten, Normbezüge und Prüfintervalle
• Datenverluste, die durch den Nutzer, durch Dritte oder durch Ausfälle der eingesetzten Drittanbieter (Supabase, Netlify) entstehen
• mittelbare Schäden, entgangenen Gewinn oder Folgeschäden
• Schäden durch unsachgemäße Nutzung, Bedienungsfehler oder mangelhafte technische Ausstattung des Nutzers
• Schäden aus dem vorübergehenden Ausfall der Software außerhalb der in § 7 genannten Grenzen

Eine Haftung für behördliche Beanstandungen, Bußgelder oder sonstige Sanktionen, die dem Nutzer aufgrund mangelhafter oder unvollständiger Brandschutzdokumentation entstehen, ist vollständig ausgeschlossen.

§ 10 Datenschutz

Die Verarbeitung personenbezogener Daten des Nutzers erfolgt gemäß der Datenschutzerklärung des Anbieters. Soweit der Nutzer im Rahmen der Software personenbezogene Daten Dritter (insbesondere Mitarbeiter, Verantwortliche, Prüfer) einträgt und verarbeitet, gilt der als Anlage A beigefügte Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

Der Nutzer bestätigt mit Vertragsschluss, dass er für die von ihm eingetragenen personenbezogenen Daten Dritter eine ausreichende Rechtsgrundlage besitzt.

§ 11 Änderungen der AGB und Preise

Der Anbieter behält sich vor, diese AGB mit einer Ankündigungsfrist von mindestens 30 Tagen zu ändern. Die geänderten AGB werden dem Nutzer per E-Mail mitgeteilt. Widerspricht der Nutzer den geänderten AGB nicht innerhalb von 30 Tagen nach Mitteilung, gelten sie als angenommen. Auf dieses Widerspruchsrecht und die Folgen des Schweigens wird der Nutzer in der Änderungsmitteilung ausdrücklich hingewiesen.

§ 12 Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland. Die Anwendung des UN-Kaufrechts (CISG) ist ausgeschlossen.

Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist – soweit gesetzlich zulässig – Rottweil.

Sollten einzelne Bestimmungen dieser AGB unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die unwirksame Bestimmung ist durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform. Dies gilt auch für die Aufhebung dieser Klausel.

Anlage A

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) – zwischen dem Nutzer der Software als Verantwortlichem und Hugger Risk Consulting / Tobias Hugger als Auftragsverarbeiter

Dieser AVV wird mit Abschluss des Nutzungsvertrages und Akzeptanz der AGB verbindlich vereinbart und gilt für die gesamte Dauer der Nutzung der unter § 2 der AGB beschriebenen Softwareanwendungen.

Art. 1 Gegenstand und Dauer

Der Auftragsverarbeiter (Tobias Hugger – Hugger Risk Consulting) erbringt für den Verantwortlichen (Nutzer) Datenverarbeitungsleistungen im Rahmen der Bereitstellung und des Betriebs der webbasierten Softwareanwendungen VigilOS Begehung und VigilOS TRACK. Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen.

Dieser AVV gilt für die Dauer des Hauptvertrages. Er endet automatisch mit Beendigung des Nutzungsvertrages.

Art. 2 Art, Umfang und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zu folgenden Zwecken:

• Speicherung und Darstellung von Brandschutz-Begehungsdaten, Mängeleinträgen, Maßnahmen und Prüfnachweisen
• Verwaltung von Zugangsdaten zur Nutzung der Softwareanwendungen
• Generierung von Berichten und Protokollen im Auftrag des Verantwortlichen
• technischer Betrieb, Wartung und Weiterentwicklung der Anwendungen

Eine Verarbeitung der Daten zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.

Art. 3 Kategorien personenbezogener Daten

Im Rahmen der Nutzung können folgende Kategorien personenbezogener Daten verarbeitet werden:

• Kontodaten: E-Mail-Adresse, Passwort-Hash, Registrierungsdatum des Nutzers
• Organisationsdaten: Firmenname, Standortbezeichnungen, Objekt- und Bereichsbezeichnungen
• Personendaten von Mitarbeitern und Beauftragten: Namen, Funktionsbezeichnungen, E-Mail-Adressen von als Verantwortliche, Prüfer oder Maßnahmenverantwortliche eingetragenen Personen
• Dokumentationsdaten: Begehungsergebnisse, Mängelnotizen, Fotos von Mängeln oder Anlagen (können Personen zeigen), Prüfergebnisse, Fristen, Statusinformationen
• Technische Daten: Session-Tokens, Zeitstempel, IP-Adressen (soweit durch Supabase/Netlify erfasst)

Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO sind nicht Gegenstand der Auftragsverarbeitung. Der Verantwortliche ist gehalten sicherzustellen, dass keine solchen Daten eingetragen werden.

Art. 4 Kategorien betroffener Personen

Von der Verarbeitung betroffene Personengruppen sind insbesondere: Mitarbeiter des Verantwortlichen, externe Dienstleister und Prüfer, Brandschutzbeauftragte sowie weitere im Rahmen der Brandschutzdokumentation erfasste Personen.

Art. 5 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
• Vertraulichkeit der Daten zu gewährleisten und nur Personen Zugang zu gewähren, die einer Vertraulichkeitspflicht unterliegen
• den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung nach Einschätzung des Auftragsverarbeiters gegen geltendes Datenschutzrecht verstößt
• den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung) sowie bei der Meldung von Datenschutzverletzungen nach Art. 33, 34 DSGVO zu unterstützen
• eine Datenschutzverletzung, die Daten des Verantwortlichen betrifft, unverzüglich – spätestens innerhalb von 72 Stunden nach Kenntnisnahme – dem Verantwortlichen mitzuteilen

Art. 6 Unterauftragnehmer

Der Verantwortliche erteilt seine generelle Genehmigung zum Einsatz folgender Unterauftragnehmer. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen beim Einsatz von Unterauftragnehmern mit einer Ankündigungsfrist von mindestens 30 Tagen:

• Supabase, Inc. – Authentifizierung und Datenbankbetrieb
  970 Toa Payoh North, Singapur / Infrastruktur: Amazon Web Services, Region eu-central-1 (Frankfurt, Deutschland)
  DPA vorhanden; Daten verbleiben in der EU/EWR.
• Netlify, Inc. – Website- und Anwendungs-Hosting
  44 Montgomery Street, Suite 300, San Francisco, CA 94104, USA
  DPA auf Basis der EU-Standardvertragsklauseln (SCCs) vorhanden.

Der Auftragsverarbeiter stellt sicher, dass Unterauftragnehmer vergleichbare datenschutzrechtliche Verpflichtungen eingehen wie dieser AVV sie vorsieht.

Art. 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten getroffen:

Zutrittskontrolle

Physischer Zugang zu Serverinfrastrukturen wird durch die Rechenzentren der Unterauftragnehmer (AWS Frankfurt) gesichert, die nach ISO 27001 zertifiziert sind.

Zugangskontrolle

Zugang zur Anwendung ausschließlich über authentifizierte Benutzerkonten (E-Mail/Passwort, Passwort-Hashing durch Supabase Auth). Passwörter werden nicht im Klartext gespeichert.

Zugriffskontrolle (Datentrennung)

Mandantentrennung durch Row Level Security (RLS) in der Supabase-Datenbank: Jeder Nutzer hat ausschließlich Zugriff auf seine eigenen Daten.

Übertragungssicherheit

Alle Datenübertragungen erfolgen ausschließlich verschlüsselt über HTTPS/TLS.

Verfügbarkeit

Automatisierte Datenbankbackups durch Supabase, redundante Infrastruktur bei AWS.

Datensparsamkeit

Es werden nur Daten erhoben und verarbeitet, die zur Erfüllung des Vertragszwecks erforderlich sind.

Auf begründeten Antrag des Verantwortlichen stellt der Auftragsverarbeiter eine aktualisierte Übersicht der TOMs zur Verfügung.

Art. 8 Löschung und Rückgabe von Daten

Nach Beendigung des Nutzungsvertrages werden alle personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen unwiderruflich gelöscht. Der Verantwortliche ist selbst verantwortlich, vor Vertragsende einen Export seiner Daten über die in der Anwendung bereitgestellten Exportfunktionen vorzunehmen. Eine Rückgabe von Rohdaten in Datenbankformaten kann nur gegen gesondertes Entgelt und nach individueller Vereinbarung erfolgen.

Daten, die einer gesetzlichen Aufbewahrungspflicht unterliegen, werden entsprechend den gesetzlichen Fristen aufbewahrt und danach gelöscht.

Art. 9 Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Vorschriften und der Bestimmungen dieses AVV durch den Auftragsverarbeiter zu kontrollieren. Die Kontrolle kann durch schriftliche Anfragen, Einsicht in vorzulegende Unterlagen (Nachweise, Zertifikate der Unterauftragnehmer, TOM-Übersicht) oder – nach vorheriger Ankündigung mit einer Frist von mindestens 14 Tagen – durch eine Vor-Ort-Prüfung in den Geschäftsräumen des Auftragsverarbeiters erfolgen. Die Kosten einer Vor-Ort-Prüfung trägt der Verantwortliche.

Art. 10 Haftung

Für Datenschutzverletzungen, die durch einen Verstoß des Auftragsverarbeiters gegen die Bestimmungen dieses AVV oder die Bestimmungen der DSGVO verursacht werden, haftet der Auftragsverarbeiter gemäß den Regelungen der DSGVO sowie nach Maßgabe der Haftungsbeschränkungen in § 9 der AGB.

Wenn der Verantwortliche den Auftragsverarbeiter anweist, personenbezogene Daten auf eine Art zu verarbeiten, die gegen die DSGVO verstößt, und der Auftragsverarbeiter dieser Weisung widerspricht, aber dennoch ausgeführt wird, trägt der Verantwortliche die alleinige Verantwortung für daraus entstehende Schäden.

Stand: April 2026 · Hugger Risk Consulting – Tobias Hugger, Deilingen · Impressum · Datenschutz