Zwischen:
Firma (1600 Holdings LLC) ("Verarbeiter" oder "Firma.dev")
Und:
Die Einheit, die den Allgemeinen Geschäftsbedingungen von Firma.dev zustimmt ("Verantwortlicher" oder "Kunde")
Datum des Inkrafttretens: Bei Annahme der Allgemeinen Geschäftsbedingungen von Firma.dev durch den Kunden
1. Definitionen
"Personenbezogene Daten" bedeutet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die von Firma.dev im Auftrag des Kunden über den Dienst verarbeitet werden.
"Betroffene Person" bedeutet eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden.
"Verarbeitung" bedeutet jede Operation, die an personenbezogenen Daten durchgeführt wird, sei es automatisiert oder manuell, einschließlich Sammlung, Speicherung, Abruf, Nutzung, Offenlegung und Löschung.
"Unterverarbeiter" bezeichnet jede dritte Partei, die von Firma.dev beauftragt wird, personenbezogene Daten im Auftrag des Kunden zu verarbeiten.
"Dienst" bedeutet Firma.dev's e-Signatur API und verwandte Dienste, wie in den Allgemeinen Geschäftsbedingungen beschrieben.
"SCCs" bedeutet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679, wie von der Europäischen Kommission verabschiedet.
"DSGVO" bedeutet Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung).
2. Umfang und Rollen
2.1 Diese DPA gilt, wenn Firma.dev personenbezogene Daten im Zusammenhang mit dem Dienst im Auftrag des Kunden verarbeitet.
2.2 Der Kunde agiert als der Verantwortliche. Der Kunde bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten.
2.3 Firma.dev agiert als der Verarbeiter. Firma.dev verarbeitet personenbezogene Daten nur nach dokumentierten Anweisungen des Kunden, wie in dieser DPA und in den Allgemeinen Geschäftsbedingungen beschrieben.
3. Einzelheiten der Datenverarbeitung
3.1 Kategorien der betroffenen Personen
Mitarbeiter des Kunden, Auftragnehmer und autorisierte Benutzer
Endbenutzer-Unterzeichner, die mit über den Dienst gesendeten Dokumenten agieren
3.2 Arten von personenbezogenen Daten
Namen und E-Mail-Adressen
Signaturdaten (gezeichnete, getippte oder hochgeladene Signaturen)
IP-Adressen und Zeitstempel
Dokumentinhalt (soweit er personenbezogene Daten enthält)
Audit-Trail-Informationen
3.3 Verarbeitungsaktivitäten
Speichern und Darstellen von Dokumenten zur Unterschrift
Erfassen und Anwenden elektronischer Unterschriften
Generierung von Audit Trails und Abschlusszertifikaten
Versenden von Benachrichtigungen über Unterschriftsanfragen
Gewährung von API-Zugriff und Webhooks
3.4 Dauer der Verarbeitung
Firma.dev wird personenbezogene Daten für die Dauer des Abkommens und wie erforderlich zur Einhaltung gesetzlicher Vorschriften verarbeiten, wie in der Datenschutzrichtlinie angegeben.
4. Verpflichtungen von Firma.dev
Firma.dev wird:
4.1 Personenbezogene Daten nur nach dokumentierten Anweisungen des Kunden verarbeiten, einschließlich Übertragungen in Drittländer, es sei denn, dies ist durch EU- oder Mitgliedstaatenrecht erforderlich. Firma.dev wird den Kunden über solche rechtlichen Anforderungen informieren, bevor die Verarbeitung erfolgt, es sei denn, dies ist gesetzlich verboten.
4.2 Sicherstellen, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Vertraulichkeitsverpflichtung unterliegen.
4.3 Angemessene technische und organisatorische Maßnahmen umsetzen, wie in Anhang 1 (Technische und organisatorische Maßnahmen) beschrieben.
4.4 Die Bedingungen für die Beauftragung von Unterverarbeitern gemäß Abschnitt 6 respektieren.
4.5 Den Kunden unterstützen, indem er unter Berücksichtigung der Art der Verarbeitung angemessene technische und organisatorische Maßnahmen zur Erfüllung der Verpflichtungen des Kunden zur Antwort auf Anfragen der betroffenen Personen umsetzt.
4.6 Den Kunden bei der Sicherstellung der Einhaltung der Verpflichtungen gemäß DSGVO Art. 32-36 unterstützen, unter Berücksichtigung der Art der Verarbeitung und der Firma.dev zur Verfügung stehenden Informationen.
4.7 Nach Wahl des Kunden alle personenbezogenen Daten bei Beendigung des Dienstes löschen oder zurückgeben, es sei denn, eine Speicherung ist durch geltendes Recht erforderlich.
4.8 Dem Kunden alle erforderlichen Informationen zur Verfügung stellen, um die Einhaltung der Verpflichtungen gemäß DSGVO Artikel 28 zu demonstrieren und zu Prüfungen beizutragen, wie in Abschnitt 10 beschrieben.
5. Verpflichtungen des Kunden
Der Kunde wird:
5.1 Sicherstellen, dass personenbezogene Daten in Übereinstimmung mit geltendem Datenschutzrecht gesammelt und verarbeitet werden, einschließlich Einholen erforderlicher Einwilligungen oder Bereitstellen erforderlicher Mitteilungen an betroffene Personen.
5.2 Dokumentierte Anweisungen zur Verarbeitung personenbezogener Daten an Firma.dev geben.
5.3 Sicherstellen, dass die Nutzung des Dienstes durch den Kunden allen geltenden Gesetzen und Vorschriften entspricht.
6. Unterverarbeiter
6.1 Der Kunde autorisiert Firma.dev, die in Anhang 2 (Unterverarbeiterliste) aufgeführten Unterverarbeiter zu beauftragen.
6.2 Firma.dev wird den Kunden über geplante Änderungen der Unterverarbeiter informieren, indem die Unterverarbeiterliste aktualisiert wird. Der Kunde kann solchen Änderungen innerhalb von 30 Tagen nach Benachrichtigung widersprechen. Wenn der Kunde widerspricht und Firma.dev den Widerspruch nicht angemessen berücksichtigen kann, kann der Kunde den betroffenen Dienst kündigen.
6.3 Firma.dev wird schriftliche Vereinbarungen mit jedem Unterverarbeiter treffen, die Datenschutzpflichten auferlegen, die nicht weniger schützend sind als die in dieser DPA.
6.4 Firma.dev bleibt für die Leistung ihrer Unterverarbeiter voll verantwortlich.
7. Internationale Übertragungen
7.1 EU-Datenresidenz: personenbezogene Daten des Kunden werden innerhalb der Europäischen Union gespeichert und verarbeitet. Die primäre Infrastruktur von Firma.dev befindet sich in AWS eu-west-3 (Paris, Frankreich), mit CDN-Diensten in AWS eu-north-1 (Stockholm, Schweden).
7.2 Wenn Firma.dev personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums überträgt, wird Firma.dev geeignete Schutzmaßnahmen sicherstellen, wie Standardvertragsklauseln (SCCs) genehmigt von der Europäischen Kommission.
7.3 Auf Anfrage wird Firma.dev SCCs mit dem Kunden für Übertragungen in Drittländer ausführen, die keine Angemessenheitsentscheidung haben.
8. Rechte der betroffenen Personen
8.1 Firma.dev wird den Kunden umgehend benachrichtigen, wenn sie eine Anfrage einer betroffenen Person zur Ausübung der Rechte gemäß DSGVO (Zugriff, Berichtigung, Löschung, Übertragbarkeit, Einschränkung oder Widerspruch) erhält.
8.2 Firma.dev wird nicht direkt auf Anfragen von betroffenen Personen reagieren, es sei denn, dies ist durch den Kunden autorisiert oder gesetzlich erforderlich.
8.3 Firma.dev wird dem Kunden angemessene Unterstützung bei der Beantwortung solcher Anfragen zur Verfügung stellen, unter Berücksichtigung der Art der Verarbeitung.
9. Sicherheitsvorfälle
9.1 Firma.dev wird den Kunden ohne unangemessene Verzögerung (und in jedem Fall innerhalb von 72 Stunden) benachrichtigen, sobald ein Verstoß gegen personenbezogene Daten, die die Daten des Kunden betreffen, bekannt wird.
9.2 Die Benachrichtigung wird Folgendes, soweit bekannt, enthalten:
Die Natur des Verstoßes, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen
Die voraussichtlichen Konsequenzen des Verstoßes
Ergriffene oder vorgeschlagene Maßnahmen zur Behebung des Verstoßes
9.3 Firma.dev wird mit dem Kunden zusammenarbeiten und angemessene Schritte unternehmen, um bei der Untersuchung und Minderung jedes Verstoßes zu helfen.
10. Prüfungen
10.1 Firma.dev wird dem Kunden Informationen zur Verfügung stellen, die vernünftigerweise notwendig sind, um die Einhaltung dieser DPA zu demonstrieren. Diese Verpflichtung wird durch Bereitstellung von:
Sicherheitsdokumentation und -richtlinien
Sicherheitsbewertungen von Drittanbietern, wenn verfügbar
Ausgefüllte Sicherheitsfragebögen
10.2 Firma.dev erlaubt keine Vor-Ort-Prüfungen. Alle Prüfungsanfragen werden durch Dokumentation, schriftliche Antworten und Fernüberprüfungsmethoden nach Ermessen von Firma.dev behandelt.
10.3 Prüfungsanfragen über die Standarddokumentation hinaus (wie benutzerdefinierte Sicherheitsfragebögen, detaillierte technische Überprüfungen oder Telefonkonferenzen mit Sicherheitspersonal) werden mit einer Gebühr von 500 € pro Anfrage belegt, zahlbar im Voraus.
10.4 Nichts in diesem Abschnitt 10 verpflichtet Firma.dev Informationen offenzulegen, die die Sicherheit ihrer Systeme gefährden würden, Vertraulichkeitsverpflichtungen gegenüber anderen Kunden verletzen oder gegen geltendes Recht verstoßen würden.
11. Laufzeit und Beendigung
11.1 Diese DPA tritt bei Annahme der Allgemeinen Geschäftsbedingungen durch den Kunden in Kraft und bleibt für die Dauer der Verarbeitung personenbezogener Daten durch Firma.dev im Auftrag des Kunden in Kraft.
11.2 Bei Beendigung des Dienstes wird Firma.dev personenbezogene Daten gemäß Abschnitt 4.7 löschen oder zurückgeben, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
12. Anwendbares Recht
Diese DPA unterliegt den in den Allgemeinen Geschäftsbedingungen angegebenen Gesetzen. Für Angelegenheiten in Bezug auf die Einhaltung der DSGVO gelten die Bestimmungen der DSGVO und das geltende Recht der Mitgliedstaaten.
Anhang 1: Technische und organisatorische Maßnahmen
Firma.dev führt die folgenden Maßnahmen zum Schutz personenbezogener Daten durch:
Zugangskontrolle
Einzigartige API-Schlüssel pro Kunde mit konfigurierbaren Berechtigungen
Kundenarbeitsbereiche bieten logische Trennung zwischen den Datensätzen der Kunden
Verschlüsselung
TLS 1.2 oder höher für alle Datenübertragungen
AES-256-Verschlüsselung für Daten im Ruhezustand
Verschlüsselte Datenbankverbindungen
Infrastruktursicherheit
Gehostet auf AWS mit EU-Datenresidenz (eu-west-3 Paris)
Netzwerksegmentierung und Firewall-Schutz
Regelmäßige Sicherheits-Patching und -Updates
DDoS-Schutz über AWS CloudFront
Überwachung und Protokollierung
Umfassende Audit Trails für alle Unterschriftsereignisse
Automatisierte Warnmeldungen bei anormaler Aktivität
Protokollaufbewahrung für Sicherheitsanalysen
Datenintegrität
Fälschungssichere Audit Trails mit kryptografischen Siegeln
Dokumenthash-Verifizierung
Automatisierte Backups mit punktueller Wiederherstellung
Vorfallreaktion
Dokumentierte Vorfallreaktionsverfahren
72-Stunden-Benachrichtigungsverpflichtung bei Verstößen
Personal-Sicherheit
Vertraulichkeitsvereinbarungen für alle Mitarbeiter
Geschäftskontinuität
Redundante Infrastruktur innerhalb der EU-Regionen
Regelmäßige Backup-Tests
Anhang 2: Unterverarbeiterliste
Unterverarbeiter | Zweck | Standort |
|---|---|---|
Amazon Web Services (AWS) | Cloud-Infrastruktur, Compute, Speicher, CDN | EU (Paris, Frankreich - eu-west-3; Stockholm, Schweden - eu-north-1) |
Supabase | Datenbankdienste (gehostet auf AWS) | EU (Paris, Frankreich - eu-west-3) |
Zuletzt aktualisiert: Januar 2026
Der Kunde wird über Änderungen dieser Liste per E-Mail an den Account-Administrator oder über das Firma.dev-Dashboard informiert.
Anhang 3: Standardvertragsklauseln
Für die Übertragung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums, die keine Angemessenheitsentscheidung haben, stimmen die Parteien zu, dass die Standardvertragsklauseln (Modul Zwei: Verantwortlicher zu Verarbeiter) gemäß Europäischem Kommissionsbeschluss (EU) 2021/914 gelten und durch Verweis aufgenommen sind.
Die SCCs werden wie folgt ausgefüllt:
Klausel 7 (Docking-Klausel): Nicht genutzt
Klausel 9 (Nutzung von Unterverarbeitern): Option 2 (Allgemeine schriftliche Autorisierung) gilt
Klausel 11 (Rechte): Keine Nutzung der optionalen Sprache
Klausel 17 (Anwendbares Recht): Gesetze von Irland
Klausel 18 (Gerichtsstand): Gerichte von Irland
Kontakt für Datenschutzanfragen:
Firma.dev (1600 Holdings LLC) E-Mail: Über das Supportformular bei firma.dev/contact
Durch die Nutzung des Dienstes von Firma.dev erkennt der Kunde die Bedingungen dieser Vereinbarung zur Datenverarbeitung an und stimmt diesen zu.