Datenschutzbestimmungen für die Web-Applikation sproof sign

Diese Datenschutzbestimmungen sind ausschließlich für unsere Web-Applikation sproof sign relevant. Die Datenschutzbestimmungen für unsere Webpage sproof.io finden Sie hier.

1. Einleitung

Der Schutz Ihrer persönlichen Daten ist uns ein besonderes Anliegen. Folglich behandeln wir Ihre personenbezogenen Daten gemäß den anwendbaren Rechtsvorschriften zum Schutz, rechtmäßigen Umgang und zur Geheimhaltung personenbezogener Daten, insbesondere gemäß dem Datenschutzgesetz (im Folgenden „DSG“) und der Datenschutzgrundverordnung (im Folgenden „DSGVO“). Aus den nachfolgenden Informationen können Sie entnehmen, wie wir Ihre personenbezogenen Daten verarbeiten, wenn Sie unsere Web-Applikation sproof sign (im Folgenden „Webapp“) nutzen.
Diese Datenschutzerklärung gilt für die Webanwendung sign.sproof.io. Die Webseite sproof.io ist technisch getrennt und es erfolgt kein automatisierter Datenaustausch zwischen den Seiten.

2. Namen und die Kontaktdaten des Verantwortlichen

Die sproof GmbH (nachfolgend „sproof“) ist für die Datenverarbeitungen verantwortlich.

sproof GmbH
Urstein Süd 19/2
A-5412 Puch bei Hallein
privacy@sproof.io

3. Datenverarbeitungen

Bei der Bereitstellung unserer Services, insbesondere unserer Website und der auf unserer Website zur Verfügung gestellten Angebote, verarbeiten wir personenbezogene Daten von Nutzern unserer Website sowie von Nutzern, die unser Online-Angebot nutzen. Nachfolgend sind die konkreten Datenverarbeitungen dargestellt:

3.1. Datenverarbeitung Websitenutzung

Folgende personenbezogene Daten werden beim Besuch unserer Website automatisch verarbeitet:

• Protokolldaten;
• IP-Adresse;
• Typ und Version Ihres Web-Browsers;
• Daten zu Ihrem Endgerät (Device-ID);
• Datum und Uhrzeit des Aufrufs unserer Website bzw der Sub-Seiten;
• Website, von der Sie auf unsere Website gelangen (Referrer URL).

Die Verarbeitung dient dazu, Ihnen die Angebote auf unserer Website zur Verfügung zu stellen, die Sicherheit für die eingesetzte IT-Infrastruktur zu gewährleisten, Marketing und Analysen für Werbezwecke durchzuführen sowie eine informatorische Nutzung unserer Website zu ermöglichen.
Die Protokolldaten werden grundsätzlich für 30 Tage gespeichert. Bei einem sicherheitsrelevanten Ereignis werden die Daten bis zur Aufklärung des Ereignisses gespeichert.
Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist unser berechtigtes Interesse gemäß Artikel 6 Abs 1 lit f DSGVO. Unser berechtigtes Interesse besteht darin, unsere Website benutzerfreundlich zu gestalten und stetig zu verbessern, Ihnen die aufgerufenen Inhalte bereitzustellen, die Sicherheit unserer IT-Infrastruktur zu gewährleisten (insbesondere zwecks Abwehr von Angriffen, Feststellung, Beseitigung und Dokumentation von Störungen) sowie die erteilten Cookie-Einwilligungen zu verwalten.
Die Bereitstellung Ihrer Daten ist nicht verpflichtend; ohne die Bereitstellung ist es für uns allerdings nicht möglich, Ihnen die aufgerufenen Inhalte zur Verfügung zu stellen.
Näheres zu den Cookies finden Sie unter Punkt 3.5.

3.2. Datenverarbeitung Webapp-Account und Nutzung

Folgende personenbezogene Daten werden durch uns verarbeitet, wenn Sie einen Account als Kunde anlegen und nutzen oder die Webapp zum Aussenden oder Signieren nutzen::

• Namensdaten;
• Geburtsdaten (nur bei Identifikation zu einer qualifizierten elektronischen Signatur);
• E-Mail-Daten;
• Mobiltelefonnummer (nur bei Verwendung eines SMS-TAN);
• Adressdaten;
• Kontaktdaten (E-Mailadresse, Telefonnummer);
• Firmendaten;
• zusätzlich hochgeladene Daten (Dokumente, Bilder);
• Unterschriften/Signaturen;
• Zeitstempel;
• IP-Adresse;
• Log-Daten;

Die Daten werden an unseren IT-Dienstleister (Auftragsverarbeiter), der seinen Sitz in der EU hat, weitergegeben. Sollte ein Kunde andere Personen zur Unterschriftsleistung einladen, ist hierzu die Eingabe des Namens und der E-Mailadresse des Eingeladenen erforderlich.
Eine Anmeldung zur Webapp kann alternativ über bestehende Accounts mit Google, Facebook, LinkedIn, Windows Live, Advokat oder unter Umständen mittels Single-Sign-On nach Integration via sproof, erfolgen.

Dabei werden folgende Datenkategorien verarbeitet:

• Namensdaten;
• E-Mail-Daten;
• Profilbilder (aus dem betreffenden Account).

Die personenbezogenen Daten werden grundsätzlich für die Dauer der Geschäftsbeziehung sowie gemäß den gesetzlichen Vorgaben (Aufbewahrungspflichten) durch uns verarbeitet. Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist die Einwilligung gemäß Artikel 6 Abs 1 lit a DSGVO, die Erfüllung von vorvertraglichen und vertraglichen Pflichten gemäß Artikel 6 Abs 1 lit b DSGVO sowie die Erfüllung rechtlicher Verpflichtungen gemäß Artikel 6 Abs 1 lit c DSGVO (um die gesetzlichen Aufbewahrungspflichten einzuhalten).
Die Bereitstellung und Verarbeitung Ihrer Daten ist nötig, um Ihnen den Service unserer Webapp zur Verfügung zu stellen.

3.3. Datenverarbeitung Vertrauensdiensteanbieter

Folgende personenbezogene Daten werden durch uns verarbeitet, wenn Kunden mit qualifizierter Signatur unter Beiziehung von Vertrauensdiensteanbietern (zB A-Trust, D-Trust, swisscom) oder sonstigen Anbietern, die zur Bereitstellung der Services der Vertrauensdiensteanbieter notwendig sind, unterzeichnen möchten:

• Namensdaten;
• Geburtsdaten;
• Kontaktdaten (E-Mailadresse, Telefonnummer);

Die personenbezogenen Daten werden grundsätzlich für die Dauer der Geschäftsbeziehung sowie gemäß den gesetzlichen Vorgaben (Aufbewahrungspflichten) durch uns verarbeitet. Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist die Einwilligung gemäß Artikel 6 Abs 1 lit a DSGVO, die Erfüllung von vorvertraglichen und vertraglichen Pflichten gemäß Artikel 6 Abs 1 lit b DSGVO sowie die Erfüllung rechtlicher Verpflichtungen gemäß Artikel 6 Abs 1 lit c DSGVO (um die gesetzlichen Aufbewahrungspflichten einzuhalten).
Die Bereitstellung und Verarbeitung Ihrer Daten ist nötig, um Ihnen den Service unserer Webapp zur Verfügung zu stellen.

3.4. Datenverarbeitung Stripe

Wir arbeiten mit Stripe (Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland) als Zahlungsdienstleister zusammen. Auf unserer Webapp werden daher Bezahlvorgänge über Stripe abgewickelt. Folgende personenbezogene Daten werden in diesem Zusammenhang durch uns verarbeitet:

• Name des Karteninhabers;
• E-Mail-Adresse;
• Kundennummer;
• Bestellnummer;
• Bankverbindung;
• Kreditkartendaten;
• Gültigkeitsdauer der Kreditkarte;
• Prüfnummer der Kreditkarte (CVC);
• Datum und Uhrzeit der Transaktion;
• Transaktionssumme;
• Name des Anbieters;
• Ort.

Die Bereitstellung und Verarbeitung Ihrer Daten ist nötig, um Ihnen den Service unserer Webapp, insbesondere Bezahlungsvorgänge, zur Verfügung zu stellen.
Stripe nimmt bei Datenverarbeitungstätigkeiten eine Doppelrolle als Verantwortlicher und Auftragsverarbeiter ein. Als Verantwortlicher verwendet Stripe Ihre übermittelten Daten zur Erfüllung regulatorischer Verpflichtungen. Dies entspricht dem berechtigten Interesse Stripes (gem. Art. 6 Abs. 1 lit. f DSGVO) und dient der Vertragsdurchführung (gem. Art. 6 Abs. 1 lit. b DSGVO). Wir haben auf diesen Prozess keinen Einfluss.
Als Auftragsverarbeiter fungiert Stripe, um Transaktionen innerhalb der Zahlungsnetzwerke abschließen zu können. Im Rahmen des Auftragsverarbeitungsverhältnisses wird Stripe ausschließlich nach unserer Weisung tätig und wurde im Sinne des Art. 28 DSGVO vertraglich verpflichtet, die datenschutzrechtlichen Bestimmungen einzuhalten.
Stripe hat Compliance-Maßnahmen für internationale Datenübermittlungen umgesetzt. Diese gelten für alle weltweiten Aktivitäten, bei denen Stripe personenbezogene Daten von natürlichen Personen in der EU verarbeitet. Diese Maßnahmen basieren auf den EU-Standardvertragsklauseln (SCCs).
Weitere Informationen zu Widerspruchs- und Beseitigungsmöglichkeiten gegenüber Stripe finden Sie unter: Stripe Privacy Center

3.5. Datenverarbeitung Social Media Plugins

Wir haben auf unserer Webbapp keine Social Media Plugins integriert. Die Social Media Buttons zu den sozialen Netzwerken (z.B. Instagram, Facebook, LinkedIn) wurden auf unserer Webapp nur mit einer Verlinkung (Referenzlink zu den sozialen Netzwerken) eingebunden. Sollten Sie auf diesen Link (Button) klicken, werden Sie direkt auf die jeweilige Website weitergeleitet. Bitte beachten Sie die Datenschutzerklärungen der jeweiligen Anbieter.

3.6. Datenverarbeitung Cookies

4.1. Scaleway S.A.S

Name: Scaleway S.A.S
Anschrift: 8 rue de la Ville l‘Evêque, 75008 Paris, Frankreich
Name, Funktion und Kontaktdaten der Kontaktperson:

• Scaleway's DPO: dpo@iliad.fr.
• Scaleway's Privacy Team: privacy@scaleway.com
• Notification of a data breach: security@scaleway.com

Gegenstand der Verarbeitung: Rechenzentrum, d.h. die Bereitstellung der Infrastruktur. Die Daten werden dort verarbeitet und gespeichert.
Art der Verarbeitung: Siehe oben für Kategorie (i) bis (vi)
Dauer der Verarbeitung: Siehe oben für Kategorie (i) bis (vi)

Name Swisscom (Switzerland) Ltd
Anschrift Alte Tiefenaustrasse 6, 3050 Bern, Schweiz
Name, Funktion und Kontaktdaten der
Kontaktperson

4. Subauftragsverarbeiter

4.1. Scaleway S.A.S

Name: Scaleway S.A.S
Anschrift: 8 rue de la Ville l‘Evêque, 75008 Paris, Frankreich
Name, Funktion und Kontaktdaten der Kontaktperson:

• Scaleway's DPO: dpo@iliad.fr.
• Scaleway's Privacy Team: privacy@scaleway.com
• Notification of a data breach: security@scaleway.com

Gegenstand der Verarbeitung: Rechenzentrum, d.h. die Bereitstellung der Infrastruktur. Die Daten werden dort verarbeitet und gespeichert.
Art der Verarbeitung: Siehe oben für Kategorie (i) bis (vi)
Dauer der Verarbeitung: Siehe oben für Kategorie (i) bis (vi)

4.2. Swisscom (Switzerland) Ltd

Name: Swisscom (Switzerland) Ltd
Anschrift: Alte Tiefenaustrasse 6, 3050 Bern, Schweiz
Name, Funktion und Kontaktdaten der Kontaktperson:

• Email: datenschutz@swisscom.com
• Post: Swisscom (Switzerland) Ltd, Dr Nicolas Passadelis,
• LL.M., Data Protection Officer Swisscom Ltd and Swisscom (Switzerland) Ltd, P.O. Box, 3050 Bern

Gegenstand der Verarbeitung: Anlegen und Erstellen von qualifizierten elektronischen Signaturen.
**Art der Verarbeitung: **Siehe oben für Kategorie (i), (ii), (iii) und (v)
Dauer der Verarbeitung: Siehe oben für Kategorie (i), (ii), (iii) und (v)

4.3. Sendinblue GmbH

Name: Sendinblue GmbH
Anschrift: Köpenicker Straße 126, 10179 Berlin, Deutschland
**Name, Funktion und Kontaktdaten der Kontaktperson: ** datenschutz@sendinblue.com
Gegenstand der Verarbeitung: Mailserver, d.h. das Versenden von Emails für Einladungen zum digitalen Signieren eines Dokuments, weitere Transaktionsemails wie Erinnerungen, Passwort setzen, etc. bzw. Informationen zu unseren Diensten und Services.
Art der Verarbeitung: Siehe oben für Kategorie (ii)
Dauer der Verarbeitung: Siehe oben für Kategorie (ii)

4.4. OVH GmbH

Name: OVH GmbH
Anschrift: Christophstraße 19, 50670 Köln, Deutschland
Name, Funktion und Kontaktdaten der Kontaktperson: kundendienst@ovh.de
Gegenstand der Verarbeitung: Rechenzentrum, d.h. die Bereitstellung der Infrastruktur. Die Daten werden dort verarbeitet und gespeichert.
Art der Verarbeitung: Siehe oben für Kategorie (i) bis (vi)
Dauer der Verarbeitung: Siehe oben für Kategorie (i) bis (vi)

4. Automatisierte Entscheidungsfindung / Profiling

Es findet keine automatisierte Entscheidungsfindung, einschließlich Profiling, statt.

5. Ihre Rechte als betroffene Person

Wir möchten Sie außerdem noch auf die nachstehenden Rechte hinweisen, die Ihnen als betroffener Person zustehen:

• Recht auf Auskunft seitens des Verantwortlichen über die Sie betreffenden personenbezogenen Daten gemäß Artikel 15 DSGVO
• Recht auf Berichtigung gemäß Artikel 16 DSGVO
• Recht auf Löschung gemäß Artikel 17 DSGVO
• Recht auf Einschränkung der Verarbeitung gemäß Artikel 18 DSGVO
• Recht auf Datenübertragbarkeit gemäß Artikel 20 DSGVO
• Recht auf Widerspruch gegen die Verarbeitung gemäß Artikel 21 DSGVO
• Recht auf Widerruf von Einwilligungen gemäß Artikel 7 Abs 3 DSGVO

Des Weiteren haben Sie auch das Recht, Beschwerde bei der zuständigen Aufsichtsbehörde (in Österreich die Datenschutzbehörde mit Sitz in Wien) zu erheben. Diesbezüglich verweisen wir auf die unter dem Link www.dsb.gv.at abrufbare Webseite der österreichischen Datenschutzbehörde. Sie können uns aber bei Beschwerden auch gerne direkt unter der E-Mail-Adresse privacy@sproof.io erreichen.

6. Stand

Eine Aktualisierung dieser Datenschutzerklärung kann aufgrund von technischer Weiterentwicklung und neuer gesetzlicher Vorgaben notwendig sein. Wir werden Sie diesbezüglich vorab informieren.