Zwischen:
Firma (1600 Holdings LLC) („Auftragsverarbeiter“ oder „Firma.dev“)
Und:
Die juristische Person, die den Allgemeinen Geschäftsbedingungen von Firma.dev zustimmt („Verantwortlicher“ oder „Kunde“)
Wirksamkeitsdatum: Mit Annahme der Allgemeinen Geschäftsbedingungen von Firma.dev durch den Kunden
1. Begriffsbestimmungen
„Personenbezogene Daten“ bedeutet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und von Firma.dev im Auftrag des Kunden über den Dienst verarbeitet werden.
„Betroffene Person“ bedeutet eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden.
„Verarbeitung“ bedeutet jeder Vorgang, der an personenbezogenen Daten vorgenommen wird, unabhängig davon, ob automatisiert oder manuell, einschließlich Erhebung, Speicherung, Abruf, Verwendung, Offenlegung und Löschung.
„Unterauftragsverarbeiter“ bedeutet jeder Dritte, der von Firma.dev beauftragt wird, personenbezogene Daten im Auftrag des Kunden zu verarbeiten.
„Dienst“ bedeutet die E-Signatur-API von Firma.dev und die zugehörigen Dienste gemäß den Allgemeinen Geschäftsbedingungen.
„SCCs“ bedeutet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679, wie von der Europäischen Kommission angenommen.
„DSGVO“ bedeutet die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung).
2. Geltungsbereich und Rollen
2.1 Diese AVV gilt, wenn Firma.dev personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit dem Dienst verarbeitet.
2.2 Der Kunde handelt als Verantwortlicher. Der Kunde bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten.
2.3 Firma.dev handelt als Auftragsverarbeiter. Firma.dev verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden, wie in dieser AVV und den Allgemeinen Geschäftsbedingungen beschrieben.
3. Einzelheiten der Datenverarbeitung
3.1 Kategorien betroffener Personen
Mitarbeiter, Auftragnehmer und autorisierte Benutzer des Kunden
Unterzeichner als Endnutzer, die mit Dokumenten interagieren, die über den Dienst gesendet werden
3.2 Arten personenbezogener Daten
Namen und E-Mail-Adressen
Signaturdaten (gezeichnete, getippte oder hochgeladene Signaturen)
IP-Adressen und Zeitstempel
Dokumentinhalte (soweit sie personenbezogene Daten enthalten)
Informationen zum Audit-Trail
3.3 Verarbeitungstätigkeiten
Speichern und Darstellen von Dokumenten zur Unterzeichnung
Erfassen und Anwenden elektronischer Signaturen
Erstellen von Audit-Trails und Abschlussbescheinigungen
Senden von Benachrichtigungen über Signaturanfragen
Bereitstellung von API-Zugriff und Webhooks
3.4 Dauer der Verarbeitung
Firma.dev verarbeitet personenbezogene Daten für die Dauer der Vereinbarung und soweit für die Einhaltung gesetzlicher Pflichten erforderlich, wie in der Datenschutzerklärung angegeben.
4. Pflichten von Firma.dev
Firma.dev hat folgende Pflichten:
4.1 Personenbezogene Daten nur auf dokumentierte Weisung des Kunden verarbeiten, einschließlich Übermittlungen in Drittländer, sofern dies nicht durch EU- oder Mitgliedstaatenrecht vorgeschrieben ist. Firma.dev wird den Kunden vor einer solchen rechtlichen Anforderung informieren, bevor die Verarbeitung erfolgt, sofern dies nicht gesetzlich verboten ist.
4.2 Sicherstellen, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Vertraulichkeitspflicht unterliegen.
4.3 Geeignete technische und organisatorische Maßnahmen wie in Anhang 1 (Technische und organisatorische Maßnahmen) beschrieben umsetzen.
4.4 Die Bedingungen für den Einsatz von Unterauftragsverarbeitern gemäß Abschnitt 6 einhalten.
4.5 Den Kunden unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Verpflichtungen des Kunden zur Beantwortung von Anfragen betroffener Personen unterstützen.
4.6 Den Kunden bei der Einhaltung der Verpflichtungen gemäß den Artikeln 32-36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der Firma.dev verfügbaren Informationen unterstützen.
4.7 Nach Wahl des Kunden alle personenbezogenen Daten bei Beendigung des Dienstes löschen oder zurückgeben, außer soweit eine Aufbewahrung nach geltendem Recht erforderlich ist.
4.8 Dem Kunden alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der Verpflichtungen aus Artikel 28 DSGVO nachzuweisen, und Audits gemäß Abschnitt 10 ermöglichen und dazu beitragen.
5. Pflichten des Kunden
Der Kunde hat folgende Pflichten:
5.1 Sicherstellen, dass personenbezogene Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen erhoben und verarbeitet werden, einschließlich der Einholung aller erforderlichen Einwilligungen oder der Bereitstellung erforderlicher Hinweise an betroffene Personen.
5.2 Firma.dev dokumentierte Weisungen hinsichtlich der Verarbeitung personenbezogener Daten erteilen.
5.3 Sicherstellen, dass die Nutzung des Dienstes durch den Kunden allen geltenden Gesetzen und Vorschriften entspricht.
6. Unterauftragsverarbeiter
6.1 Der Kunde ermächtigt Firma.dev, die in Anhang 2 (Liste der Unterauftragsverarbeiter) aufgeführten Unterauftragsverarbeiter einzusetzen.
6.2 Firma.dev wird den Kunden über beabsichtigte Änderungen an Unterauftragsverarbeitern informieren, indem die Liste der Unterauftragsverarbeiter aktualisiert wird. Der Kunde kann solchen Änderungen innerhalb von 30 Tagen nach der Benachrichtigung widersprechen. Wenn der Kunde widerspricht und Firma.dev dem Widerspruch vernünftigerweise nicht Rechnung tragen kann, kann der Kunde den betroffenen Dienst kündigen.
6.3 Firma.dev wird mit jedem Unterauftragsverarbeiter schriftliche Vereinbarungen abschließen, die Datenschutzpflichten vorsehen, die mindestens ebenso schützend sind wie die in dieser AVV.
6.4 Firma.dev bleibt für die Leistungen seiner Unterauftragsverarbeiter voll haftbar.
7. Internationale Übermittlungen
7.1 EU-Datenresidenz: Personenbezogene Daten des Kunden werden innerhalb der Europäischen Union gespeichert und verarbeitet. Die primäre Infrastruktur von Firma.dev befindet sich in AWS eu-west-3 (Paris, Frankreich), mit CDN-Diensten in AWS eu-north-1 (Stockholm, Schweden).
7.2 Wenn Firma.dev personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums übermittelt, stellt Firma.dev sicher, dass angemessene Garantien vorhanden sind, etwa von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs).
7.3 Auf Anfrage wird Firma.dev SCCs mit dem Kunden für alle Übermittlungen in Drittländer abschließen, für die kein Angemessenheitsbeschluss vorliegt.
8. Anfragen betroffener Personen
8.1 Firma.dev wird den Kunden unverzüglich benachrichtigen, wenn es eine Anfrage einer betroffenen Person erhält, Rechte nach der DSGVO auszuüben (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Einschränkung oder Widerspruch).
8.2 Firma.dev wird nicht direkt auf Anfragen betroffener Personen reagieren, sofern es nicht vom Kunden autorisiert ist oder gesetzlich vorgeschrieben ist.
8.3 Firma.dev wird den Kunden angemessen bei der Beantwortung solcher Anfragen unterstützen, unter Berücksichtigung der Art der Verarbeitung.
9. Sicherheitsvorfälle
9.1 Firma.dev wird den Kunden unverzüglich, spätestens jedoch innerhalb von 72 Stunden, benachrichtigen, sobald es von einer Verletzung des Schutzes personenbezogener Daten erfährt, die die Daten des Kunden betrifft.
9.2 Die Benachrichtigung enthält, soweit bekannt:
Die Art der Verletzung, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen
Die wahrscheinlichen Folgen der Verletzung
Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung
9.3 Firma.dev wird mit dem Kunden zusammenarbeiten und angemessene Maßnahmen ergreifen, um bei der Untersuchung und Eindämmung jeder Verletzung zu helfen.
10. Audits
10.1 Firma.dev wird dem Kunden Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um die Einhaltung dieser AVV nachzuweisen. Diese Verpflichtung gilt als erfüllt durch Bereitstellung von:
Sicherheitsdokumentation und -richtlinien
Sicherheitsbewertungen durch Dritte, sofern verfügbar
Ausgefüllte Sicherheitsfragebögen
10.2 Firma.dev gestattet keine Vor-Ort-Audits. Alle Audit-Anfragen werden nach Ermessen von Firma.dev durch Dokumentation, schriftliche Antworten und Methoden zur Fernüberprüfung bearbeitet.
10.3 Audit-Anfragen, die über die Standarddokumentation hinausgehen (z. B. kundenspezifische Sicherheitsfragebögen, detaillierte technische Prüfungen oder Gespräche mit Sicherheitspersonal), unterliegen einer Gebühr von 500 € pro Anfrage, zahlbar im Voraus.
10.4 Nichts in diesem Abschnitt 10 verpflichtet Firma.dev zur Offenlegung von Informationen, die die Sicherheit seiner Systeme gefährden, Vertraulichkeitsverpflichtungen gegenüber anderen Kunden verletzen oder geltendes Recht brechen würden.
11. Laufzeit und Beendigung
11.1 Diese AVV tritt mit der Annahme der Allgemeinen Geschäftsbedingungen durch den Kunden in Kraft und bleibt für die Dauer der Verarbeitung personenbezogener Daten durch Firma.dev im Auftrag des Kunden wirksam.
11.2 Bei Beendigung des Dienstes wird Firma.dev personenbezogene Daten gemäß Abschnitt 4.7 löschen oder zurückgeben, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
12. Anwendbares Recht
Diese AVV unterliegt den in den Allgemeinen Geschäftsbedingungen festgelegten Gesetzen. Für Angelegenheiten im Zusammenhang mit der Einhaltung der DSGVO gelten die Bestimmungen der DSGVO und des anwendbaren Rechts der Mitgliedstaaten.
Anhang 1: Technische und organisatorische Maßnahmen
Firma.dev setzt die folgenden Maßnahmen zum Schutz personenbezogener Daten um:
Zugriffskontrolle
Eindeutige API-Schlüssel pro Kunde mit konfigurierbaren Berechtigungen
Kundenarbeitsbereiche bieten logische Trennung zwischen den Datenbeständen der Kunden
Verschlüsselung
TLS 1.2 oder höher für alle Daten bei der Übertragung
AES-256-Verschlüsselung für Daten im Ruhezustand
Verschlüsselte Datenbankverbindungen
Sicherheit der Infrastruktur
Gehostet auf AWS mit EU-Datenresidenz (eu-west-3 Paris)
Netzwerksegmentierung und Firewall-Schutz
Regelmäßige Sicherheitspatches und -Updates
DDoS-Schutz über AWS CloudFront
Überwachung und Protokollierung
Umfassende Prüfprotokolle für alle Signaturereignisse
Automatisierte Warnmeldungen bei ungewöhnlicher Aktivität
Protokollaufbewahrung zur Sicherheitsanalyse
Datenintegrität
Manipulationssichere Prüfprotokolle mit kryptografischen Siegeln
Dokumenten-Hash-Verifizierung
Automatisierte Backups mit Point-in-Time-Wiederherstellung
Reaktion auf Vorfälle
Dokumentierte Verfahren zur Reaktion auf Vorfälle
Verpflichtung zur Benachrichtigung über Verstöße innerhalb von 72 Stunden
Sicherheit des Personals
Vertraulichkeitsvereinbarungen für sämtliche Mitarbeiter
Geschäftskontinuität
Redundante Infrastruktur innerhalb der EU-Regionen
Regelmäßige Sicherungstests
Anhang 2: Liste der Unterauftragsverarbeiter
Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
Amazon Web Services (AWS) | Cloud-Infrastruktur, Rechenleistung, Speicher, CDN | EU (Paris, Frankreich - eu-west-3; Stockholm, Schweden - eu-north-1) |
Supabase | Datenbankdienste (gehostet auf AWS) | EU (Paris, Frankreich - eu-west-3) |
Zuletzt aktualisiert: Januar 2026
Der Kunde wird über Änderungen an dieser Liste per E-Mail an den Kontoadministrator oder über das Firma.dev-Dashboard benachrichtigt.
Anhang 3: Standardvertragsklauseln
Für Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums, die nicht von einem Angemessenheitsbeschluss profitieren, vereinbaren die Parteien, dass die von der Durchführungsentscheidung (EU) 2021/914 der Europäischen Kommission angenommenen Standardvertragsklauseln (Modul Zwei: Verantwortlicher an Auftragsverarbeiter) gelten und durch Verweis einbezogen werden.
Die SCCs gelten als wie folgt ausgefüllt:
Klausel 7 (Docking-Klausel): Nicht verwendet
Klausel 9 (Einsatz von Unterauftragsverarbeitern): Option 2 (Allgemeine schriftliche Genehmigung) gilt
Klausel 11 (Rechtsbehelf): Optionale Formulierung nicht verwendet
Klausel 17 (Anwendbares Recht): Recht Irlands
Klausel 18 (Gerichtsstandswahl): Gerichte Irlands
Kontakt für Datenschutzanfragen:
Firma.dev (1600 Holdings LLC) E-Mail: Per E-Mail an support@firma.dev
Durch die Nutzung des Dienstes von Firma.dev erkennt der Kunde die Bedingungen dieser Vereinbarung zur Auftragsverarbeitung an und stimmt ihnen zu.