Datenschutzerklärung

Das Unternehmen, das den Signeur-Dienst bereitstellt, fungiert als Verantwortlicher für personenbezogene Daten, die der Dienst zu eigenen Zwecken verarbeitet (z. B. Statistik, technischer Betrieb).

Wenn der Dienst als Integration aus dem System einer anderen Organisation genutzt wird (z. B. über einen API-Schlüssel), fungiert diese Organisation als Verantwortlicher und Signeur als Auftragsverarbeiter gemäß Artikel 28.

Kontakt: support@signeur.eu.

• E-Mail-Adresse und Name des Unterzeichners
• E-Mail-Adresse des Absenders (Webformular)
• IP-Adresse und User-Agent des Unterzeichners
• Inhalt des signierten Dokuments (PDF) — kann weitere personenbezogene Daten enthalten, für die der Absender verantwortlich ist
• Zeitstempel (Erstellung, Öffnung, OTP-Bestätigung, Signatur)
• Kryptografischer Audit-Hash (SHA-256)

Zweck: Durchführung elektronischer Signaturen und Sicherstellung ihrer Beweiskraft gemäß eIDAS-Verordnung (EU 910/2014), SES-Niveau.

Rechtsgrundlagen (DSGVO Art. 6):

• 6(1)(b) — Erfüllung eines Vertrags (Unterzeichner selbst) oder dessen Anbahnung
• 6(1)(f) — berechtigtes Interesse: Der Audit-Trail ermöglicht den späteren Nachweis der Signatur

• Nicht signierte Anfragen verfallen 30 Tage nach Erstellung und können danach gelöscht werden
• Signierte Dokumente und ihr Audit-Trail werden so lange aufbewahrt, wie das Dokument Beweiswert hat — in der Regel über seinen gesamten Lebenszyklus
• OTP-Codes werden nach Verwendung oder 10 Minuten nach Erstellung gelöscht (gehasht gespeichert, niemals im Klartext)

Wir nutzen folgende Auftragsverarbeiter für die Verarbeitung personenbezogener Daten:

• Vercel Inc. — Hosting der Anwendungsplattform und cookielose Seitenaufruf-Metriken (Vercel Web Analytics)
• Supabase Inc. — Datenbank- und Dateispeicherdienst
• DNScale OÜ (Postscale, Estland, Registriernummer 16776331) — Versand transaktionaler E-Mails auf EU-Infrastruktur
• Ahrefs Pte Ltd — SEO-Messung und Besucherstatistiken. Keine personenbezogenen Daten, keine Cookies.

Wir teilen keine personenbezogenen Daten zu Marketing- oder Analysezwecken mit Dritten.

Der E-Mail-Versand (DNScale OÜ / Postscale) erfolgt vollständig auf EU-Infrastruktur — keine Übermittlung außerhalb des EWR.

Vercel und Supabase sind US-Unternehmen, bieten aber Infrastruktur in der EU. Wir streben an, die Verarbeitung in der EU zu halten, indem wir die EU-Region für beide Dienste wählen.

Übermittlungen außerhalb des EWR beruhen auf den Standardvertragsklauseln der EU-Kommission (SCC, EU 2021/914).

Gemäß DSGVO haben Sie das Recht:

• Zu prüfen, welche Daten wir über Sie verarbeiten
• Die Berichtigung unrichtiger Daten zu verlangen
• Die Löschung zu verlangen (Hinweis: Einschränkungen bei signierten Dokumenten mit Beweiswert)
• Die Einschränkung der Verarbeitung zu verlangen
• Der Verarbeitung auf Basis berechtigten Interesses zu widersprechen
• Die Datenübertragbarkeit zu einem anderen System zu verlangen

Anfragen: support@signeur.eu. Wir antworten innerhalb eines Monats.

• TLS-1.3-Verschlüsselung für alle Daten in Transit
• AES-256-Verschlüsselung für Dateispeicher (ruhend)
• Signaturlinks verwenden 256-Bit kryptografisch zufällige Tokens
• E-Mail-Verifizierung über 6-stelligen OTP, nur als Hash gespeichert, läuft in 10 Minuten ab
• API-Zugang über Bearer-Tokens; Tokens nur als SHA-256-Hashes gespeichert
• Audit-Trail pro Ereignis als JSONB-Einträge gespeichert

Sie haben das Recht, eine Beschwerde bei der Aufsichtsbehörde einzureichen, wenn Sie der Ansicht sind, dass die Verarbeitung gegen die DSGVO verstößt. In Deutschland sind die jeweiligen Landesbeauftragten für Datenschutz zuständig. Siehe Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI).

Wir aktualisieren diese Erklärung, wenn sich Umfang der Verarbeitung, Auftragsverarbeiter oder Rechtsgrundlagen ändern. Die vorherige Version ist auf Anfrage verfügbar. Wesentliche Änderungen kündigen wir im Dienst an.

Wenn Sie ein Signeur-Konto mit Ihrer E-Mail registrieren, erstellen wir ein Benutzerprofil (Name, Land, bevorzugte Sprache). Sie können Organisationen erstellen und andere Benutzer einladen; jede Organisation hat eigene Einstellungen, Abrechnungsguthaben, API-Schlüssel und Webhook-Endpunkte.

Jede Anfrage, jeder API-Schlüssel und jedes Abonnement gehört entweder Ihrem persönlichen Konto oder einer Organisation. Organisationsadmins steuern deren Einstellungen und können Mitglieder einladen/entfernen; Mitglieder können lesen und handeln, aber nicht die Abrechnung oder Mitgliedschaft ändern.

Wenn Sie eine Signaturanfrage ohne Anmeldung senden, bestätigen wir den Besitz Ihrer E-Mail-Adresse mit einem 6-stelligen OTP-Code. Nach der Bestätigung erstellen wir automatisch ein leichtgewichtiges Signeur-Konto für Ihre E-Mail-Adresse. Sie können sich später mit derselben E-Mail per Magic-Link anmelden und alle Ihre vorherigen Sendungen sofort im Dashboard sehen.

Das automatisch erstellte Konto enthält keinen Namen, kein Land oder andere persönliche Informationen, bis Sie das Onboarding-Formular nach der Anmeldung ausfüllen. Wenn Sie sich nie anmelden, bleibt das Konto passiv. Um das Konto zu löschen (und die Möglichkeit zu verlieren, Ihre vorherigen Sendungen an einem Ort zu sehen), melden Sie sich an und nutzen Sie die Kontolöschungsfunktion in den Einstellungen. Signierte PDFs werden 10 Jahre per Gesetz aufbewahrt, unabhängig von der Kontolöschung.

Sie können Ihr Konto in den Einstellungen dauerhaft löschen. Wir kündigen aktive Stripe-Abonnements, entfernen Ihr Benutzerprofil und persönliche API-Schlüssel und widerrufen Ihre Mitgliedschaften in Organisationen. Audit-Protokolle und signierte Dokumente werden anonymisiert für gesetzliche Aufbewahrungspflichten aufbewahrt (10 Jahre nach finnischem Recht).

Organisationsadmins können eine Organisation löschen, wenn sie keine weiteren Mitglieder und keine Signaturanfragen mehr hat. Stripe-Abonnements werden gekündigt und der Stripe-Kunde wird geschlossen.