Auftragsverarbeitungsvereinbarung

Zuletzt aktualisiert: 7. Mai 2026

Diese Seite wurde maschinell übersetzt und dient nur zu Informationszwecken. Die englische Fassung ist die offizielle, rechtsverbindliche Version und hat im Falle von Abweichungen Vorrang.

1. Einleitung

Diese Auftragsverarbeitungsvereinbarung („DPA“) ergänzt die Vereinbarung zwischen Ihnen (nachfolgend „Kunde“) und der Austrat Trading Corp., die als Signatura firmiert (nachfolgend „Signatura“, „wir“ oder „uns“) im Rahmen unserer Nutzungsbedingungen (nachfolgend „Vereinbarung“). Sie gilt immer dann, wenn Signatura personenbezogene Daten im Auftrag des Kunden verarbeitet, und wird automatisch Bestandteil der Vereinbarung — für ihre Geltung ist kein unterzeichnetes Exemplar erforderlich, eine gegengezeichnete Fassung ist jedoch auf Anfrage erhältlich unter [email protected].

Im Falle eines Widerspruchs zwischen dieser DPA und der Vereinbarung hat diese DPA in Bezug auf die Verarbeitung personenbezogener Daten Vorrang.

2. Begriffsbestimmungen

  • Personenbezogene Daten, Verantwortlicher, Auftragsverarbeiter, Unterauftragsverarbeiter, Betroffene Person, Verarbeiten/Verarbeitung, Besondere Kategorien personenbezogener Daten sowie Verletzung des Schutzes personenbezogener Daten haben die ihnen in der GDPR (und die entsprechenden Begriffe der UK GDPR, soweit anwendbar) zugewiesene Bedeutung.
  • EU SCCs bezeichnen die von der Europäischen Kommission mit dem Beschluss 2021/914 vom 4. Juni 2021 genehmigten Standardvertragsklauseln.
  • UK Addendum bezeichnet das International Data Transfer Addendum zu den Standardvertragsklauseln der EU-Kommission, herausgegeben vom UK Information Commissioner's Office gemäß Section 119A des Data Protection Act 2018.

3. Rollen und Geltungsbereich

Für personenbezogene Daten, die im Rahmen der Vereinbarung verarbeitet werden, vereinbaren die Parteien Folgendes:

  • Der Kunde ist der Verantwortliche für personenbezogene Daten der Endnutzer, Unterzeichner, Kontakte und Dokumentempfänger des Kunden (nachfolgend „Personenbezogene Daten des Kunden“).
  • Signatura ist der Auftragsverarbeiter der personenbezogenen Daten des Kunden und verarbeitet diese ausschließlich auf dokumentierte Weisung des Kunden.
  • Signatura handelt außerdem als eigenständiger Verantwortlicher für begrenzte Zwecke — Kontoabrechnung, Sicherheitsüberwachung, Betrugsprävention, Integrität des Audit-Trails und gesetzlich vorgeschriebene Aufbewahrung zur rechtlichen Gültigkeit elektronischer Signaturen. Für diese Zwecke gilt Signaturas eigene Datenschutzerklärung.

4. Gegenstand, Dauer, Art und Zweck

  • Gegenstand: Verarbeitung personenbezogener Daten des Kunden, die zur Bereitstellung der Signatura-Plattform für elektronische Signaturen erforderlich ist.
  • Dauer: für die Laufzeit der Vereinbarung zuzüglich eines etwaigen Zeitraums nach Beendigung, der für die gesetzliche Aufbewahrung nach den anwendbaren Gesetzen über elektronische Signaturen erforderlich ist.
  • Art und Zweck: Dokumentenspeicherung, Zustellung von Signatur-Links, Erfassung von Signaturen, Erstellung von Audit-Trails, optionale KI-gestützte Felderkennung (Auto-Sign) und weitere in der Dokumentation beschriebene Funktionen.
  • Kategorien betroffener Personen: die Mitarbeiter des Kunden, Unterzeichner (einschließlich Unterzeichner, die nicht Kunde sind) und Empfänger von Dokumenten, die über den Dienst versendet werden.
  • Kategorien personenbezogener Daten: Name, E-Mail-Adresse, IP-Adresse, User-Agent, Signaturbild, getippte/paraphierte Werte, Dokumenteninhalte, Zeitstempel des Audit-Trails und von Unterzeichnern eingegebene Formularfeldwerte. Signatura benötigt keine besonderen Kategorien personenbezogener Daten und bittet den Kunden, keine personenbezogenen Datenfelder hochzuladen, die solche enthalten; sind derartige Daten in Dokumenteninhalten enthalten, werden sie ausschließlich im Rahmen der Vertragserfüllung verarbeitet.

5. Weisungen des Kunden

Die Vereinbarung, diese DPA und die Nutzung der Funktionen und Konfigurationsoptionen des Dienstes durch den Kunden bilden zusammen die vollständigen und abschließenden Weisungen des Kunden an Signatura zur Verarbeitung personenbezogener Daten des Kunden. Signatura verarbeitet personenbezogene Daten des Kunden ausschließlich gemäß diesen Weisungen, es sei denn, das anwendbare Recht schreibt etwas anderes vor (in diesem Fall wird Signatura den Kunden vor der Verarbeitung über diese rechtliche Verpflichtung informieren, sofern das Recht dies nicht aus wichtigen Gründen des öffentlichen Interesses untersagt).

6. Vertraulichkeit

Signatura stellt sicher, dass die zur Verarbeitung personenbezogener Daten des Kunden befugten Mitarbeiter zur Vertraulichkeit schriftlich verpflichtet sind und eine angemessene Schulung zum Datenschutz erhalten haben.

7. Sicherheit

Signatura setzt geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten des Kunden um, die im Detail beschrieben sind unter getsignatura.com/security. Dazu gehören TLS 1.3 bei der Übertragung, AES-256 im Ruhezustand, Sicherheit auf Zeilenebene in der Datenbank, serverseitige Verschlüsselung von OAuth-Token, Versiegelung von Dokument-Hashes (SHA-256) und Protokollierung des Audit-Trails.

8. Unterauftragsverarbeiter

Der Kunde ermächtigt Signatura, die Unterauftragsverarbeiter einzusetzen, die aufgeführt sind unter getsignatura.com/sub-processors. Signatura stützt sich auf die veröffentlichten kommerziellen Datenschutzbedingungen jedes Unterauftragsverarbeiters (die dem Unterauftragsverarbeiter in der Regel Pflichten auferlegen, die dieser DPA gleichwertig sind) und bleibt gegenüber dem Kunden für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters im Zusammenhang mit dem Dienst verantwortlich.

Signatura wird den Kunden mindestens 30 Tage im Voraus benachrichtigen, bevor ein Unterauftragsverarbeiter hinzugefügt oder ersetzt wird. Der Kunde kann innerhalb von 14 Tagen nach der Benachrichtigung aus berechtigten Datenschutzgründen Widerspruch einlegen; können sich die Parteien nicht auf eine Lösung einigen, kann der Kunde den betroffenen Teil des Dienstes ohne Vertragsstrafe kündigen.

9. Internationale Datenübermittlungen

Personenbezogene Daten des Kunden können in die Vereinigten Staaten und andere Länder, in denen unsere Unterauftragsverarbeiter tätig sind, übermittelt und dort verarbeitet werden. Es gelten die folgenden Garantien:

  • Aus dem EWR: Die EU-Standardvertragsklauseln (Modul Zwei, Verantwortlicher-an-Auftragsverarbeiter) werden durch Verweis in diese DPA einbezogen, mit Klausel 7 (Andockklausel), Klausel 9(a) Option 2 (allgemeine schriftliche Genehmigung für Unterauftragsverarbeiter), Klausel 11(a) ohne die optionale unabhängige Streitbeilegungsstelle, Klausel 17 Option 1 nach dem Recht Irlands und Klausel 18(b) mit der Wahl der Gerichte Irlands.
  • Aus dem Vereinigten Königreich: Das UK Addendum wird durch Verweis einbezogen, wobei die Tabellen 1, 2 und 3 anhand der entsprechenden vorstehenden Auswahl der EU-Standardvertragsklauseln ausgefüllt werden und der Datenimporteur gemäß Section 19 des UK Addendums zur Kündigung berechtigt ist.
  • Andere Rechtsordnungen: Signatura stützt sich auf die von jedem Unterauftragsverarbeiter für die betreffende Übermittlungsroute veröffentlichten Garantien für internationale Übermittlungen und wendet ergänzend geeignete technische Maßnahmen (TLS 1.3 bei der Übertragung, AES-256 im Ruhezustand) an.

10. Anträge betroffener Personen

Signatura unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung, soweit möglich, durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflicht, Anträge betroffener Personen zu beantworten, die ihre Rechte nach anwendbarem Recht ausüben (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit, Überprüfung automatisierter Entscheidungen). Erhält Signatura einen Antrag einer betroffenen Person unmittelbar, verweist sie die betroffene Person unverzüglich an den Kunden (den Verantwortlichen), es sei denn, Signatura handelt als eigenständig Verantwortlicher (z. B. für die Integrität des Audit-Trails).

11. Benachrichtigung bei Verletzungen des Schutzes personenbezogener Daten

Signatura wird den Kunden unverzüglich, in jedem Fall jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einer Verletzung des Schutzes personenbezogener Daten, die personenbezogene Daten des Kunden betrifft, benachrichtigen. Die Benachrichtigung enthält die nach Artikel 33(3) GDPR erforderlichen Informationen, soweit sie zu diesem Zeitpunkt bekannt sind, und Signatura leistet angemessene Unterstützung bei den Untersuchungs-, Eindämmungs- und behördlichen Meldepflichten des Kunden.

12. Unterstützung bei der Datenschutz-Folgenabschätzung

Auf angemessene Anfrage stellt Signatura dem Kunden die Informationen zur Verfügung, die zur Durchführung von Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden erforderlich sind, einschließlich Informationen über die Auto-Sign-Funktion zur automatisierten Entscheidungsfindung.

13. Audits

Signatura stellt dem Kunden alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser DPA vernünftigerweise erforderlich sind, unter anderem durch Bereitstellung von Kopien von Zertifizierungen, Zusammenfassungen einschlägiger Prüfberichte und Sicherheitsdokumentation. Der Kunde darf höchstens einmal pro Jahr (oder häufiger, wenn eine Verletzung des Schutzes personenbezogener Daten eingetreten ist oder eine Aufsichtsbehörde dies verlangt) nach angemessener schriftlicher Vorankündigung und während der üblichen Geschäftszeiten ein Audit durchführen, vorbehaltlich der Vertraulichkeitspflichten. Audits vor Ort erfolgen auf Kosten des Kunden.

14. Rückgabe oder Löschung personenbezogener Daten

Innerhalb von 30 Tage nach Beendigung oder Ablauf der Vereinbarung wird Signatura nach Wahl des Kunden alle personenbezogenen Daten des Kunden löschen oder zurückgeben und vorhandene Kopien löschen, es sei denn, eine weitere Aufbewahrung ist nach anwendbarem Recht erforderlich — insbesondere werden unterzeichnete Dokumente und ihre Audit-Trails für den Zeitraum aufbewahrt, der durch Aufbewahrungsgesetze für elektronische Signaturen (z. B. den ESIGN Act, eIDAS und gleichwertige Rechtsvorschriften) vorgeschrieben ist, sowie für jede längere Verjährungsfrist, die auf die zugrunde liegende Transaktion anwendbar ist.

15. Haftung

Die Haftung jeder Partei nach dieser DPA unterliegt den in der Vereinbarung festgelegten Haftungsbeschränkungen und Haftungsausschlüssen. Eine doppelte Inanspruchnahme ist nicht zulässig: Jede unter einem Dokument geleistete Haftungszahlung befreit von der entsprechenden Haftung nach dem anderen Dokument.

16. Anwendbares Recht

Diese DPA unterliegt dem in der Vereinbarung angegebenen Recht, mit der Ausnahme, dass in Bezug auf die EU-Standardvertragsklauseln, das UK Addendum und das Swiss Addendum diese Instrumente dem jeweils in ihnen selbst angegebenen Recht unterliegen.

17. Kontakt

Bei Fragen zur DPA wenden Sie sich an [email protected] oder [email protected].