Zuletzt aktualisiert: 7. Mai 2026
Diese Auftragsverarbeitungsvereinbarung („DPA“) ergänzt die Vereinbarung zwischen Ihnen (nachfolgend „Kunde“) und der Austrat Trading Corp., die als Signatura firmiert (nachfolgend „Signatura“, „wir“ oder „uns“) im Rahmen unserer Nutzungsbedingungen (nachfolgend „Vereinbarung“). Sie gilt immer dann, wenn Signatura personenbezogene Daten im Auftrag des Kunden verarbeitet, und wird automatisch Bestandteil der Vereinbarung — für ihre Geltung ist kein unterzeichnetes Exemplar erforderlich, eine gegengezeichnete Fassung ist jedoch auf Anfrage erhältlich unter [email protected].
Im Falle eines Widerspruchs zwischen dieser DPA und der Vereinbarung hat diese DPA in Bezug auf die Verarbeitung personenbezogener Daten Vorrang.
Für personenbezogene Daten, die im Rahmen der Vereinbarung verarbeitet werden, vereinbaren die Parteien Folgendes:
Die Vereinbarung, diese DPA und die Nutzung der Funktionen und Konfigurationsoptionen des Dienstes durch den Kunden bilden zusammen die vollständigen und abschließenden Weisungen des Kunden an Signatura zur Verarbeitung personenbezogener Daten des Kunden. Signatura verarbeitet personenbezogene Daten des Kunden ausschließlich gemäß diesen Weisungen, es sei denn, das anwendbare Recht schreibt etwas anderes vor (in diesem Fall wird Signatura den Kunden vor der Verarbeitung über diese rechtliche Verpflichtung informieren, sofern das Recht dies nicht aus wichtigen Gründen des öffentlichen Interesses untersagt).
Signatura stellt sicher, dass die zur Verarbeitung personenbezogener Daten des Kunden befugten Mitarbeiter zur Vertraulichkeit schriftlich verpflichtet sind und eine angemessene Schulung zum Datenschutz erhalten haben.
Signatura setzt geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten des Kunden um, die im Detail beschrieben sind unter getsignatura.com/security. Dazu gehören TLS 1.3 bei der Übertragung, AES-256 im Ruhezustand, Sicherheit auf Zeilenebene in der Datenbank, serverseitige Verschlüsselung von OAuth-Token, Versiegelung von Dokument-Hashes (SHA-256) und Protokollierung des Audit-Trails.
Der Kunde ermächtigt Signatura, die Unterauftragsverarbeiter einzusetzen, die aufgeführt sind unter getsignatura.com/sub-processors. Signatura stützt sich auf die veröffentlichten kommerziellen Datenschutzbedingungen jedes Unterauftragsverarbeiters (die dem Unterauftragsverarbeiter in der Regel Pflichten auferlegen, die dieser DPA gleichwertig sind) und bleibt gegenüber dem Kunden für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters im Zusammenhang mit dem Dienst verantwortlich.
Signatura wird den Kunden mindestens 30 Tage im Voraus benachrichtigen, bevor ein Unterauftragsverarbeiter hinzugefügt oder ersetzt wird. Der Kunde kann innerhalb von 14 Tagen nach der Benachrichtigung aus berechtigten Datenschutzgründen Widerspruch einlegen; können sich die Parteien nicht auf eine Lösung einigen, kann der Kunde den betroffenen Teil des Dienstes ohne Vertragsstrafe kündigen.
Personenbezogene Daten des Kunden können in die Vereinigten Staaten und andere Länder, in denen unsere Unterauftragsverarbeiter tätig sind, übermittelt und dort verarbeitet werden. Es gelten die folgenden Garantien:
Signatura unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung, soweit möglich, durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflicht, Anträge betroffener Personen zu beantworten, die ihre Rechte nach anwendbarem Recht ausüben (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit, Überprüfung automatisierter Entscheidungen). Erhält Signatura einen Antrag einer betroffenen Person unmittelbar, verweist sie die betroffene Person unverzüglich an den Kunden (den Verantwortlichen), es sei denn, Signatura handelt als eigenständig Verantwortlicher (z. B. für die Integrität des Audit-Trails).
Signatura wird den Kunden unverzüglich, in jedem Fall jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einer Verletzung des Schutzes personenbezogener Daten, die personenbezogene Daten des Kunden betrifft, benachrichtigen. Die Benachrichtigung enthält die nach Artikel 33(3) GDPR erforderlichen Informationen, soweit sie zu diesem Zeitpunkt bekannt sind, und Signatura leistet angemessene Unterstützung bei den Untersuchungs-, Eindämmungs- und behördlichen Meldepflichten des Kunden.
Auf angemessene Anfrage stellt Signatura dem Kunden die Informationen zur Verfügung, die zur Durchführung von Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden erforderlich sind, einschließlich Informationen über die Auto-Sign-Funktion zur automatisierten Entscheidungsfindung.
Signatura stellt dem Kunden alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser DPA vernünftigerweise erforderlich sind, unter anderem durch Bereitstellung von Kopien von Zertifizierungen, Zusammenfassungen einschlägiger Prüfberichte und Sicherheitsdokumentation. Der Kunde darf höchstens einmal pro Jahr (oder häufiger, wenn eine Verletzung des Schutzes personenbezogener Daten eingetreten ist oder eine Aufsichtsbehörde dies verlangt) nach angemessener schriftlicher Vorankündigung und während der üblichen Geschäftszeiten ein Audit durchführen, vorbehaltlich der Vertraulichkeitspflichten. Audits vor Ort erfolgen auf Kosten des Kunden.
Innerhalb von 30 Tage nach Beendigung oder Ablauf der Vereinbarung wird Signatura nach Wahl des Kunden alle personenbezogenen Daten des Kunden löschen oder zurückgeben und vorhandene Kopien löschen, es sei denn, eine weitere Aufbewahrung ist nach anwendbarem Recht erforderlich — insbesondere werden unterzeichnete Dokumente und ihre Audit-Trails für den Zeitraum aufbewahrt, der durch Aufbewahrungsgesetze für elektronische Signaturen (z. B. den ESIGN Act, eIDAS und gleichwertige Rechtsvorschriften) vorgeschrieben ist, sowie für jede längere Verjährungsfrist, die auf die zugrunde liegende Transaktion anwendbar ist.
Die Haftung jeder Partei nach dieser DPA unterliegt den in der Vereinbarung festgelegten Haftungsbeschränkungen und Haftungsausschlüssen. Eine doppelte Inanspruchnahme ist nicht zulässig: Jede unter einem Dokument geleistete Haftungszahlung befreit von der entsprechenden Haftung nach dem anderen Dokument.
Diese DPA unterliegt dem in der Vereinbarung angegebenen Recht, mit der Ausnahme, dass in Bezug auf die EU-Standardvertragsklauseln, das UK Addendum und das Swiss Addendum diese Instrumente dem jeweils in ihnen selbst angegebenen Recht unterliegen.
Bei Fragen zur DPA wenden Sie sich an [email protected] oder [email protected].