Datenverarbeitungsvereinbarung

Datenverarbeitungsvereinbarung

DSGVO-konformer Datenverarbeitungsvertrag für Firma.dev Kunden. EU-Datenresidenz, Unterauftragsverarbeiterliste und technische Sicherheitsmaßnahmen.

DSGVO-konformer Datenverarbeitungsvertrag für Firma.dev Kunden. EU-Datenresidenz, Unterauftragsverarbeiterliste und technische Sicherheitsmaßnahmen.

Zwischen:

Firma (1600 Holdings LLC) („Auftragsverarbeiter“ oder „Firma.dev“)

Und:

Dem Unternehmen, das den Allgemeinen Geschäftsbedingungen von Firma.dev zustimmt („Verantwortlicher“ oder „Kunde“)

Inkrafttreten: Mit der Annahme der Allgemeinen Geschäftsbedingungen von Firma.dev durch den Kunden

1. Definitionen

„Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und von Firma.dev im Auftrag des Kunden über den Dienst verarbeitet werden.

„Betroffene Person“ bezeichnet eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden.

„Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Speichern, das Abfragen, die Verwendung, die Offenlegung und das Löschen.

„Unterauftragsverarbeiter“ bezeichnet jeden Dritten, der von Firma.dev mit der Verarbeitung personenbezogener Daten im Auftrag des Kunden beauftragt wird.

„Dienst“ bezeichnet die E-Signatur-API von Firma.dev und die damit verbundenen Dienste, wie in den Allgemeinen Geschäftsbedingungen beschrieben.

„Standardvertragsklauseln“ (SVK) bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679, wie sie von der Europäischen Kommission angenommen wurden.

„DSGVO“ bezeichnet die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung).

2. Geltungsbereich und Rollen

2.1 Diese AVV gilt, wenn Firma.dev personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit dem Dienst verarbeitet.

2.2 Der Kunde handelt als Verantwortlicher. Der Kunde bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten.

2.3 Firma.dev handelt als Auftragsverarbeiter. Firma.dev verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Kunden, wie in dieser AVV und den Allgemeinen Geschäftsbedingungen beschrieben.

3. Einzelheiten zur Datenverarbeitung

3.1 Kategorien betroffener Personen

  • Mitarbeiter, Auftragnehmer und autorisierte Benutzer des Kunden

  • Endnutzer-Unterzeichner, die mit Dokumenten interagieren, die über den Dienst gesendet werden

3.2 Arten personenbezogener Daten

  • Namen und E-Mail-Adressen

  • Signaturdaten (gezeichnete, getippte oder hochgeladene Signaturen)

  • IP-Adressen und Zeitstempel

  • Dokumenteninhalt (soweit er personenbezogene Daten enthält)

  • Informationen zum Audit-Trail

3.3 Verarbeitungstätigkeiten

  • Speichern und Darstellen von Dokumenten zur Unterzeichnung

  • Erfassen und Anwenden elektronischer Signaturen

  • Erstellung von Audit-Trails und Fertigstellungszertifikaten

  • Senden von Benachrichtigungen über Signaturanforderungen

  • Bereitstellung von API-Zugriff und Webhooks

3.4 Dauer der Verarbeitung

Firma.dev verarbeitet personenbezogene Daten für die Dauer der Vereinbarung sowie für die rechtliche Compliance, wie in der Datenschutzrichtlinie festgelegt.

4. Pflichten von Firma.dev

Firma.dev wird:

4.1 Personenbezogene Daten nur auf dokumentierte Weisung des Kunden verarbeiten, einschließlich der Übermittlung in Drittländer, es sei denn, dies ist nach dem Recht der EU oder eines Mitgliedstaats erforderlich. Firma.dev wird den Kunden vor der Verarbeitung über eine solche rechtliche Anforderung informieren, sofern dies nicht gesetzlich verboten ist.

4.2 Sicherstellen, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

4.3 Geeignete technische und organisatorische Maßnahmen umsetzen, wie in Anhang 1 (Technische und organisatorische Maßnahmen) beschrieben.

4.4 Die Bedingungen für die Einbindung von Unterauftragsverarbeitern einhalten, wie in Abschnitt 6 beschrieben.

4.5 Den Kunden unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Pflichten des Kunden zur Beantwortung von Anträgen betroffener Personen unterstützen.

4.6 Den Kunden bei der Gewährleistung der Einhaltung der Pflichten gemäß den Artikeln 32 bis 36 der DSGVO unterstützen, unter Berücksichtigung der Art der Verarbeitung und der Firma.dev zur Verfügung stehenden Informationen.

4.7 Nach Wahl des Kunden alle personenbezogenen Daten nach Beendigung des Dienstes entweder löschen oder zurückgeben, es sei denn, eine Aufbewahrung ist nach geltendem Recht vorgeschrieben.

4.8 Dem Kunden alle Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung der in Artikel 28 der DSGVO festgelegten Pflichten erforderlich sind, und Überprüfungen ermöglichen und dazu beitragen, wie in Abschnitt 10 beschrieben.

5. Pflichten des Kunden

Der Kunde wird:

5.1 Sicherstellen, dass personenbezogene Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen erhoben und verarbeitet werden, einschließlich der Einholung erforderlicher Einwilligungen oder der Bereitstellung erforderlicher Informationen an die betroffenen Personen.

5.2 Firma.dev dokumentierte Weisungen bezüglich der Verarbeitung personenbezogener Daten erteilen.

5.3 Sicherstellen, dass die Nutzung des Dienstes durch den Kunden allen geltenden Gesetzen und Vorschriften entspricht.

6. Unterauftragsverarbeiter

6.1 Der Kunde autorisiert Firma.dev, die in Anhang 2 (Liste der Unterauftragsverarbeiter) aufgeführten Unterauftragsverarbeiter zu beauftragen.

6.2 Firma.dev wird den Kunden über alle beabsichtigten Änderungen bei den Unterauftragsverarbeitern informieren, indem die Liste der Unterauftragsverarbeiter aktualisiert wird. Der Kunde kann solchen Änderungen innerhalb von 30 Tagen nach Benachrichtigung widersprechen. Wenn der Kunde widerspricht und Firma.dev dem Widerspruch nicht in angemessener Weise Rechnung tragen kann, kann der Kunde den betroffenen Dienst kündigen.

6.3 Firma.dev wird mit jedem Unterauftragsverarbeiter schriftliche Vereinbarungen treffen, die Datenschutzpflichten auferlegen, die nicht weniger schützend sind als die in dieser AVV.

6.4 Firma.dev bleibt für die Leistung ihrer Unterauftragsverarbeiter voll haftbar.

7. Internationale Übermittlungen

7.1 Datenresidenz in der EU: Kunden-Dokumente und Unterzeichnerdaten werden innerhalb der Europäischen Union gespeichert und verarbeitet. Die primäre Infrastruktur von Firma.dev befindet sich in AWS eu-west-3 (Paris, Frankreich), mit CDN-Diensten in AWS eu-north-1 (Stockholm, Schweden). Eingeschränkte personenbezogene Daten wie Unterzeichnernamen und E-Mail-Adressen können von Unterauftragsverarbeitern außerhalb der EU verarbeitet werden, wie in Anhang 2 aufgeführt, vorbehaltlich geeigneter Garantien gemäß Abschnitt 7.2. Kunden, die verlangen, dass alle personenbezogenen Daten in der EU verbleiben, können von Firma gesendete E-Mails deaktivieren und ihre eigene E-Mail-Infrastruktur nutzen, wie in der Dokumentation zu White-Labeling beschrieben.

7.2 Wenn Firma.dev personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums übermittelt, stellt Firma.dev sicher, dass angemessene Garantien vorhanden sind, wie beispielsweise die von der Europäischen Kommission genehmigten Standardvertragsklauseln (SVK).

7.3 Auf Anfrage wird Firma.dev mit dem Kunden Standardvertragsklauseln für alle Übermittlungen in Drittländer abschließen, für die kein Angemessenheitsbeschluss vorliegt.

8. Anfragen betroffener Personen

8.1 Firma.dev wird den Kunden unverzüglich benachrichtigen, wenn sie eine Anfrage einer betroffenen Person zur Ausübung von Rechten gemäß der DSGVO (Auskunft, Berichtigung, Löschung, Übertragbarkeit, Einschränkung oder Widerspruch) erhält.

8.2 Firma.dev wird Anfragen betroffener Personen nicht direkt beantworten, es sei denn, dies wurde vom Kunden autorisiert oder ist gesetzlich vorgeschrieben.

8.3 Firma.dev wird dem Kunden unter Berücksichtigung der Art der Verarbeitung angemessene Unterstützung bei der Beantwortung solcher Anfragen leisten.

9. Sicherheitsvorfälle

9.1 Firma.dev wird den Kunden unverzüglich (und in jedem Fall innerhalb von 72 Stunden) benachrichtigen, nachdem sie Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erhalten hat, die die Daten des Kunden betrifft.

9.2 Die Benachrichtigung enthält, soweit bekannt, Folgendes:

  • Die Art der Verletzung, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen

  • Die wahrscheinlichen Folgen der Verletzung

  • Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung

9.3 Firma.dev wird mit dem Kunden kooperieren und angemessene Schritte unternehmen, um bei der Untersuchung und Schadensminderung bei jeder Verletzung zu helfen.

10. Überprüfungen

10.1 Firma.dev stellt dem Kunden Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieser AVV nachzuweisen. Diese Pflicht wird erfüllt durch die Bereitstellung von:

  • Sicherheitsdokumentationen und -richtlinien

  • Sicherheitsbewertungen durch Dritte, falls verfügbar

  • Ausgefüllten Sicherheitsfragebögen

10.2 Firma.dev gestattet keine Vor-Ort-Prüfungen. Alle Überprüfungsanträge werden nach Ermessen von Firma.dev durch Dokumentation, schriftliche Antworten und Fernverifizierungsmethoden bearbeitet.

10.3 Überprüfungsanträge, die über die Standarddokumentation hinausgehen (wie kundenspezifische Sicherheitsfragebögen, detaillierte technische Überprüfungen oder Telefonate mit Sicherheitspersonal), unterliegen einer Gebühr von 500 € pro Anfrage, die im Voraus zu zahlen ist.

10.4 Nichts in diesem Abschnitt 10 verpflichtet Firma.dev zur Offenlegung von Informationen, die die Sicherheit ihrer Systeme gefährden, Vertraulichkeitspflichten gegenüber anderen Kunden verletzen oder gegen geltendes Recht verstoßen würden.

11. Laufzeit und Kündigung

11.1 Diese AVV tritt mit der Annahme der Allgemeinen Geschäftsbedingungen durch den Kunden in Kraft und bleibt für die Dauer der Verarbeitung personenbezogener Daten durch Firma.dev im Auftrag des Kunden in Kraft.

11.2 Nach Beendigung des Dienstes wird Firma.dev personenbezogene Daten gemäß Abschnitt 4.7 löschen oder zurückgeben, vorbehaltlich gesetzlicher Aufbewahrungspflichten.

12. Anwendbares Recht

Diese AVV unterliegt den in den Allgemeinen Geschäftsbedingungen festgelegten Gesetzen. Für Angelegenheiten im Zusammenhang mit der Einhaltung der DSGVO gelten die Bestimmungen der DSGVO und des anwendbaren Rechts des Mitgliedstaats.

Anhang 1: Technische und organisatorische Maßnahmen

Firma.dev implementiert die folgenden Maßnahmen zum Schutz personenbezogener Daten:

Zugangskontrolle

  • Eindeutige API-Schlüssel pro Kunde mit konfigurierbaren Berechtigungen

  • Kunden-Arbeitsbereiche (Workspaces) bieten eine logische Trennung zwischen den Datensätzen der Kunden

Verschlüsselung

  • TLS 1.2 oder höher für alle Daten bei der Übertragung

  • AES-256-Verschlüsselung für ruhende Daten

  • Verschlüsselte Datenbankverbindungen

Infrastruktursicherheit

  • Gehostet auf AWS mit EU-Datenresidenz (eu-west-3 Paris)

  • Netzwerksegmentierung und Firewall-Schutz

  • Regelmäßige Sicherheits-Patches und Updates

  • DDoS-Schutz über AWS CloudFront

Überwachung und Protokollierung

  • Umfassende Audit-Trails für alle Signaturereignisse

  • Automatisierte Warnmeldungen bei anomalen Aktivitäten

  • Protokollaufbewahrung für Sicherheitsanalysen

Datenintegrität

  • Manipulationssichere Audit-Trails mit kryptografischen Siegeln

  • Überprüfung von Dokumenten-Hashes

  • Automatisierte Backups mit Point-in-Time-Recovery (Wiederherstellung zu einem bestimmten Zeitpunkt)

Reaktion auf Vorfälle

  • Dokumentierte Verfahren zur Reaktion auf Vorfälle

  • Zusage zur Benachrichtigung bei Verletzungen des Datenschutzes innerhalb von 72 Stunden

Personalsicherheit

  • Vertraulichkeitsvereinbarungen für alle Mitarbeiter

Geschäftskontinuität

  • Redundante Infrastruktur innerhalb von EU-Regionen

  • Regelmäßige Backup-Tests

Anhang 2: Liste der Unterauftragsverarbeiter

Unterauftragsverarbeiter

Zweck

Standort

Amazon Web Services (AWS)

Cloud-Infrastruktur, Rechenleistung, Speicher, CDN

EU (Paris, Frankreich - eu-west-3; Stockholm, Schweden - eu-north-1)

Supabase

Datenbankdienste (gehostet auf AWS)

EU (Paris, Frankreich - eu-west-3)

Resend

Zustellung von Transaktions-E-Mails (Signaturanforderungen, Erinnerungen und Benachrichtigungs-E-Mails). Verarbeitet Namen und E-Mail-Adressen der Unterzeichner sowie E-Mail-Inhalte, falls der Kunde Vorlagen angepasst hat. Kann aus der Verarbeitungskette entfernt werden, indem Firma-E-Mails pro Signaturanforderung deaktiviert und die eigene E-Mail-Infrastruktur genutzt wird.

Vereinigte Staaten (Übermittlungen im Rahmen von Standardvertragsklauseln)

Jitbit

Kunden-Support-Ticketing (verarbeitet Kontaktdaten der Mitarbeiter des Kunden und Support-Korrespondenz)

EU (Deutschland)

Zuletzt aktualisiert: Juni 2026

Der Kunde wird über Änderungen an dieser Liste per E-Mail an den Kontoadministrator oder über das Firma.dev-Dashboard benachrichtigt.

Anhang 3: Standardvertragsklauseln

Für Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums, für die kein Angemessenheitsbeschluss vorliegt, vereinbaren die Parteien, dass die durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission angenommenen Standardvertragsklauseln (Modul Zwei: Verantwortlicher an Auftragsverarbeiter) gelten und durch Verweis einbezogen sind.

Die Standardvertragsklauseln gelten als wie folgt ausgefüllt:

  • Klausel 7 (Beitrittsklausel): Nicht genutzt

  • Klausel 9 (Inanspruchnahme von Unterauftragsverarbeitern): Option 2 (Allgemeine schriftliche Genehmigung) gilt

  • Klausel 11 (Haftung): Optionale Bestimmung nicht genutzt

  • Klausel 17 (Anwendbares Recht): Recht von Irland

  • Klausel 18 (Gerichtsstand): Gerichte von Irland

Kontakt für Datenschutzanfragen:

Firma.dev (1600 Holdings LLC) E-Mail: Per E-Mail an support@firma.dev

Durch die Nutzung des Dienstes von Firma.dev nimmt der Kunde die Bedingungen dieser Datenverarbeitungsvereinbarung zur Kenntnis und stimmt ihnen zu.