Datenschutzerklärung

2. Überblick

Diese Datenschutzerklärung informiert Sie darüber, wie Signivo (nachfolgend „wir", „uns" oder „Signivo") personenbezogene Daten verarbeitet — sowohl beim Besuch unserer Website signivo.io als auch bei der Nutzung unseres SaaS-Produkts unter app.signivo.io.

Signivo ist ein cloudbasierter Dienst zur zentralen Verwaltung von E-Mail-Signaturen für Google Workspace. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der geltenden Datenschutzgesetze, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).

Datenschutzrechtliche Rollen

Im Rahmen des Produkts nimmt Signivo unterschiedliche datenschutzrechtliche Rollen ein:

Für die Website, die Verwaltung von Nutzerkonten sowie die Supportkommunikation ist Signivo eigener Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.

Für die Verarbeitung von Mitarbeiter- und Verzeichnisdaten des Kunden im Rahmen der E-Mail-Signaturverwaltung handelt Signivo als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Der Kunde (das Unternehmen, das Signivo einsetzt) ist in diesem Fall der datenschutzrechtlich Verantwortliche für die Daten seiner Mitarbeiter. Die Einzelheiten dieser Auftragsverarbeitung werden in einem separaten Auftragsverarbeitungsvertrag (AVV/DPA) zwischen Signivo und dem Kunden geregelt.

3. Besuch unserer Website (signivo.io)

3.1 Hosting

Unsere Website wird von Webflow, Inc. (398 11th Street, Floor 2, San Francisco, CA 94103, USA) gehostet. Beim Aufruf unserer Website werden automatisch technische Zugriffsdaten (IP-Adresse, Browsertyp, Betriebssystem, Zeitpunkt des Zugriffs, aufgerufene Seite) an die Server von Webflow übermittelt. Diese Daten sind für die Auslieferung der Website technisch erforderlich.

Webflow ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; die Übermittlung in die USA erfolgt daher auf Grundlage des Angemessenheitsbeschlusses gemäß Art. 45 DSGVO. Ergänzend wurden Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart. Mit Webflow wurde ein Auftragsverarbeitungsvertrag (Data Processing Addendum) abgeschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der Website).

3.2 Cookies und Consent-Management

Unsere Website verwendet Cookies. Technisch notwendige Cookies gewährleisten die Grundfunktionalität und werden ohne Einwilligung gesetzt. Für alle weiteren Cookies (Analyse, Marketing) holen wir Ihre Einwilligung über unser Consent-Management-Tool Cookiebot (Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark) ein.

Sie können Ihre Cookie-Einstellungen jederzeit über den entsprechenden Link im Footer unserer Website anpassen oder widerrufen.

Rechtsgrundlage für notwendige Cookies: Art. 6 Abs. 1 lit. f DSGVO.
Rechtsgrundlage für alle weiteren Cookies: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

3.3 Google Analytics 4

Wir nutzen Google Analytics 4 (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland) zur Analyse des Nutzerverhaltens auf unserer Website. Die IP-Anonymisierung ist aktiviert. Daten werden für 14 Monate gespeichert.

Google LLC ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; die Übermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses gemäß Art. 45 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Consent-Banner).

3.4 Google Ads (Conversion-Tracking)

Wir verwenden Google Ads Conversion-Tracking (Google Ireland Ltd.), um die Wirksamkeit unserer Werbeanzeigen zu messen. Dabei werden Cookies gesetzt und Daten wie IP-Adresse, Browserinformationen und Referrer-URL an Google übermittelt. Die Übermittlung in die USA erfolgt auf Grundlage der DPF-Zertifizierung von Google (Angemessenheitsbeschluss gemäß Art. 45 DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Consent-Banner).

3.5 LinkedIn Insight Tag

Wir nutzen den LinkedIn Insight Tag (LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland) zur Analyse unserer Werbekampagnen. Dabei werden Browserdaten, IP-Adresse und Seitenaufrufe erfasst. Zwischen Signivo und LinkedIn besteht eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO. Die wesentlichen Inhalte dieser Vereinbarung sind über die LinkedIn-Seite „Legal Agreements for Marketing Solutions" einsehbar.

LinkedIn Corporation ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; die Übermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses gemäß Art. 45 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Consent-Banner).

3.6 YouTube-Videos

Auf unserer Website binden wir Videos von YouTube (Google Ireland Ltd.) im erweiterten Datenschutzmodus ein (youtube-nocookie.com). In diesem Modus werden erst beim Abspielen des Videos Cookies gesetzt und Daten (IP-Adresse, Geräteinformationen) an YouTube/Google übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Consent-Banner).

3.7 Newsletter-Anmeldung

Auf unserer Website können Sie sich für unseren Newsletter anmelden. Dabei erheben wir Ihre E-Mail-Adresse. Die Anmeldung erfolgt im Double-Opt-in-Verfahren: Sie erhalten nach der Eingabe Ihrer E-Mail-Adresse eine Bestätigungsmail und werden erst nach Klick auf den Bestätigungslink in den Verteiler aufgenommen.

Der Versand erfolgt über Brevo (Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin, Deutschland). Brevo verarbeitet Ihre E-Mail-Adresse in unserem Auftrag ausschließlich in der EU.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit über den Abmeldelink in jeder Newsletter-E-Mail widerrufen.

4. Nutzung unseres Produkts (app.signivo.io)

4.1 Kontodaten

Bei der Registrierung erheben wir Ihre E-Mail-Adresse und, sofern Sie die Registrierung per E-Mail und Passwort wählen, ein von Ihnen festgelegtes Passwort, das ausschließlich in gehashter Form gespeichert wird. Alternativ können Sie sich über Google OAuth anmelden, wobei wir Ihre E-Mail-Adresse von Google erhalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.2 Workspace- und Mitgliedschaftsdaten

Wir speichern Informationen zur Workspace-Mitgliedschaft (Rolle als Owner, Admin oder Member), Zeitstempel (Erstellung, letzte Änderung) sowie Einladungsdaten (E-Mail des Eingeladenen, einladende Person).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.3 Google Workspace-Daten

Zur Bereitstellung unseres Dienstes greifen wir über die Google Directory API und Gmail API auf folgende Daten in Ihrem Google Workspace zu:

Verzeichnisdaten (nur Lesezugriff, via Directory API): Vor- und Nachname, E-Mail-Adresse, Jobtitel, Abteilung, Telefonnummer(n), Profilbild-URL, Manager-E-Mail-Adresse, Zugehörigkeit zu Organisationseinheiten (OU-Pfad), Google-Gruppen (Name, E-Mail, Mitglieder). Diese Daten werden regelmäßig synchronisiert, um Signaturfelder aktuell zu halten.

Gmail-Einstellungen (Lese- und Schreibzugriff, via Gmail API): E-Mail-Signaturen (zum Lesen, Setzen und Verwalten), Send-As-Aliase (um Signaturen für sekundäre E-Mail-Adressen zu konfigurieren). Es werden ausschließlich Signatureinstellungen gelesen und geschrieben — kein Zugriff auf E-Mail-Inhalte.

Nicht gelesen oder verarbeitet werden: E-Mail-Inhalte, Betreffzeilen, Metadaten oder Anhänge, Kontakte, Google Drive-Dateien, Kalendereinträge oder sonstige Workspace-Daten.

Sämtliche Verzeichnisscopes sind schreibgeschützt (readonly). Signivo kann keine Nutzer, Gruppen oder Organisationseinheiten erstellen, ändern oder löschen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.4 Vom Administrator eingegebene Daten

Administratoren können im Rahmen des Branding-Kits folgende Informationen hinterlegen: Firmenname, Website-URL, Telefonnummer, Adresse, rechtliche Hinweise (Disclaimer) sowie Social-Media-Links (LinkedIn, X/Twitter, Facebook, Instagram, WhatsApp).

Darüber hinaus können Dateien hochgeladen werden (z. B. Firmenlogos). Dabei speichern wir die Datei selbst sowie Metadaten (Dateiname, Dateigröße, Dateityp, hochladende Person).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.5 Aktivitätsprotokolle

Wir protokollieren bestimmte Aktionen innerhalb des Produkts (z. B. Signatur erstellt, veröffentlicht, aktualisiert) mit User-ID, E-Mail, Name, Art der Aktion und Zeitstempel. Dies dient der Nachvollziehbarkeit und Fehleranalyse. Aktivitätsprotokolle werden maximal 24 Monate aufbewahrt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit und Nachvollziehbarkeit).

4.6 Produkt-Analytics, Feature-Management und Fehleranalyse

Wir nutzen PostHog (PostHog, Inc., EU-Instanz unter eu.i.posthog.com) für folgende Zwecke:

Produkt-Analytics: Erfassung pseudonymisierter Nutzungsdaten (User-IDs, Workspace-IDs, Event-Namen) zur Analyse der Produktnutzung, z. B. Onboarding-Fortschritt, Signatur-Aktionen und Feature-Nutzung. E-Mail-Adressen werden nicht an PostHog übermittelt.

Feature-Management (Feature Flags): PostHog evaluiert serverseitig, welche Funktionen für welchen Workspace oder Nutzer aktiv sind. Dabei werden Workspace-ID, pseudonymisierte User-ID sowie Workspace-Eigenschaften (z. B. Plan-Typ, Onboarding-Status) an PostHog übermittelt, um Feature-Flag-Regeln auszuwerten.

Fehleranalyse (Issue Tracking): Zur Nachvollziehbarkeit und Behebung von Fehlern werden Fehler-Events mit pseudonymisierten Kontext-Informationen erfasst. Es werden keine Session Replays eingesetzt.

Analytics- und Fehleranalysedaten werden maximal 12 Monate in PostHog aufbewahrt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Feature Flags, die die Funktionsverfügbarkeit des Dienstes steuern; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Produkts und der Betriebssicherheit) für Analytics und Fehleranalyse.

4.7 KI-gestützte Firmeninformationsextraktion

Im Rahmen des Onboarding-Prozesses verwenden wir die Anthropic Claude API (Anthropic, PBC, San Francisco, USA), um öffentlich verfügbare Unternehmensinformationen automatisiert zu extrahieren und für die Signaturerstellung aufzubereiten. Dabei wird ausschließlich die vom Administrator angegebene Domain als Zeichenkette an Anthropic übermittelt; Anthropic ruft die öffentlich zugänglichen Inhalte der Website selbst ab. Da auf öffentlichen Unternehmenswebsites auch personenbezogene Daten enthalten sein können (z. B. Ansprechpartner, E-Mail-Adressen, Telefonnummern), wird diese Übermittlung als Drittstaatenübermittlung in die USA behandelt und erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Anthropic speichert API-Ein- und Ausgabedaten standardmäßig für 30 Tage und nutzt API-Daten nicht für das Training von KI-Modellen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, da die Funktion Bestandteil des Onboarding-Prozesses ist).

4.8 Zahlungsabwicklung

Die Zahlungsabwicklung erfolgt über Stripe (Stripe, Inc., San Francisco, USA). Bei der Buchung eines kostenpflichtigen Abonnements werden Zahlungsdaten (z. B. Kreditkartennummer, Ablaufdatum) direkt an Stripe übermittelt und dort verarbeitet. Signivo speichert selbst keine vollständigen Zahlungsdaten; wir erhalten von Stripe lediglich eine Referenz-ID, den Zahlungsstatus sowie eine gekürzte Kartennummer zur Anzeige im Kundenbereich.

Stripe ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; die Übermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses gemäß Art. 45 DSGVO. Stripe ist PCI DSS Level 1 zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Google API — Limited Use Disclosure

Die Nutzung und Weitergabe von Informationen, die Signivo über Google APIs erhält, an andere Anwendungen erfolgt in Übereinstimmung mit der Google API Services User Data Policy, einschließlich der Limited Use-Anforderungen.

Im Einzelnen gilt:

• Signivo verwendet Google API-Daten ausschließlich zur Bereitstellung und Verbesserung nutzersichtbarer, produktbezogener Funktionen der E-Mail-Signaturverwaltung. Konkret bedeutet das: Verzeichnisdaten werden genutzt, um Signaturfelder zu befüllen und Zuweisungsregeln zu ermöglichen; Gmail-Signatureinstellungen werden gelesen und geschrieben, um Signaturen zentral zu verwalten.
• Signivo gibt Google API-Daten nicht an Dritte weiter, außer soweit dies für die Erbringung des Dienstes erforderlich ist. Die folgenden Auftragsverarbeiter erhalten Zugriff auf Google User Data: Google Cloud Platform (Infrastruktur/Hosting) und Supabase (Datenbank, verschlüsselte Token-Speicherung). Alle weiteren in Abschnitt 7 genannten Drittanbieter erhalten keinen Zugriff auf Google User Data.
• Signivo verwendet Google API-Daten insbesondere nicht für: zielgerichtete, personalisierte, Retargeting- oder interessenbasierte Werbung; den Verkauf an oder die Weitergabe an Datenbroker oder Informationswiederverkäufer; die Bestimmung der Kreditwürdigkeit oder für Kreditvergabezwecke; den Aufbau aggregierter Datenbanken, die nicht der Erbringung des Dienstes dienen; oder das Training von KI- bzw. ML-Modellen.
• Signivo-Mitarbeiter haben keinen manuellen Zugriff auf Google API-Daten einzelner Kunden, es sei denn: (a) der Nutzer hat ausdrücklich eingewilligt (z. B. im Rahmen einer Support-Anfrage), (b) der Zugriff ist aus Sicherheitsgründen erforderlich (z. B. zur Untersuchung eines Sicherheitsvorfalls), (c) der Zugriff ist zur Einhaltung geltender Gesetze notwendig, oder (d) die Daten werden aggregiert und anonymisiert für interne Betriebsanalysen verwendet (z. B. „X % aller Workspaces nutzen Feature Y" — ohne Rückschluss auf einzelne Kunden oder Nutzer).

6. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

Verschlüsselung: Google OAuth-Tokens werden mit AES-256-GCM verschlüsselt gespeichert (mit zufällig generiertem Initialisierungsvektor pro Verschlüsselungsvorgang und GCM-Authentifizierungstag zum Schutz vor Manipulation).

Zugriffskontrolle: Die PostgreSQL-Datenbank verwendet Row Level Security (RLS). Anonyme Zugriffe sind nicht möglich. Authentifizierte Nutzer sehen ausschließlich Daten ihres eigenen Workspace. Sensible Spalten (z. B. OAuth-Tokens) sind von der Client-Abfrage ausgeschlossen.

Transportverschlüsselung: Alle Datenübertragungen erfolgen über TLS/SSL.

Infrastruktur: Die Kerninfrastruktur von Signivo (Datenbank, Anwendungsserver, Dateispeicher) wird in der EU (Region Frankfurt) betrieben. Soweit Drittanbieter eingesetzt werden, kann es im in Abschnitt 9 beschriebenen Umfang zu Datenübermittlungen in Drittstaaten kommen.

7. Auftragsverarbeiter und Drittanbieter (Sub-Processors)

Zur Erbringung unseres Dienstes setzen wir folgende Drittanbieter ein:

Soweit die genannten US-Anbieter nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert sind (dies betrifft derzeit Google, Webflow, LinkedIn und Stripe), erfolgt die Übermittlung auf Grundlage des Angemessenheitsbeschlusses gemäß Art. 45 DSGVO. Ergänzend bzw. für nicht DPF-zertifizierte Anbieter (derzeit Anthropic) werden Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO eingesetzt.

8. Datenspeicherung und Löschung

Website-Daten:

• Server-Logfiles: 30 Tage (gemäß Webflow-Standardkonfiguration)
• Google Analytics: 14 Monate
• Cookies und Marketingdaten: gemäß Ihren Einstellungen im Consent-Banner bzw. bis zum Widerruf Ihrer Einwilligung

Produktdaten:

• Kontodaten und Workspace-Daten: solange Ihr Konto bzw. Workspace aktiv ist
• Synchronisierte Verzeichnisdaten: werden bei jedem Sync-Zyklus aktualisiert; historische Snapshots werden nicht gespeichert
• Aktivitätsprotokolle: maximal 24 Monate
• Produkt-Analytics und Fehleranalysedaten (PostHog): 12 Monate
• KI-gestützte Firmeninformationsextraktion (Anthropic): 30 Tage beim API-Anbieter

Löschung einzelner Nutzerkonten:

Wenn ein einzelner Nutzer sein Signivo-Konto löscht (ohne den Workspace zu löschen), werden seine persönlichen Kontodaten (E-Mail, gehashtes Passwort, Authentifizierungsdaten), seine Workspace-Mitgliedschaft sowie zugehörige Aktivitätsprotokolle gelöscht. Workspace-Daten (Signaturen, Einstellungen, Verzeichnisdaten) bleiben für die übrigen Workspace-Mitglieder erhalten.

Löschung bei Workspace-Beendigung:

Bei manueller Löschung eines Workspace durch den Owner werden sämtliche zugehörigen Daten unverzüglich, vollständig und unwiderruflich aus der Datenbank entfernt. Die Löschung umfasst: den Workspace selbst und seine Einstellungen, alle Mitgliedschaften und Einladungen, alle Signaturen und Signaturversionen, alle Veröffentlichungen und Protokolle, alle hochgeladenen Dateien sowie die verschlüsselten OAuth-Tokens. Vor der Löschung werden veröffentlichte Gmail-Signaturen bei allen betroffenen Nutzern automatisch entfernt.

Aufbewahrung nach Vertragsende:

Nach Ablauf oder Kündigung eines Abonnements werden die Workspace-Daten für 30 Tage aufbewahrt, um eine versehentliche Datenlöschung zu vermeiden und dem Kunden die Möglichkeit zur Reaktivierung zu geben. Nach Ablauf dieser 30-Tage-Frist werden sämtliche im Auftrag verarbeiteten personenbezogenen Daten aus den Produktivsystemen gelöscht, wie oben beschrieben. Soweit Daten vorübergehend noch in verschlüsselten, automatisierten Backups der Infrastrukturanbieter enthalten sind, werden diese nach Ablauf der regulären Backup-Aufbewahrungsfrist überschrieben und in der Zwischenzeit nicht produktiv verwendet oder wiederhergestellt. Der Kunde kann die sofortige Löschung jederzeit durch manuelle Workspace-Löschung in der Signivo-Konsole auslösen.

9. Übermittlung in Drittstaaten

Die Kerninfrastruktur von Signivo (Datenbank, Anwendungsserver, Dateispeicher) wird in der EU (Frankfurt) betrieben. Eine Übermittlung personenbezogener Daten in Drittstaaten erfolgt in folgenden Fällen:

Google APIs: Die Kommunikation mit Google-Servern (Directory API, Gmail API) kann über Server in den USA geroutet werden. Dies ist für die Kernfunktionalität des Dienstes erforderlich. Google LLC ist nach dem DPF zertifiziert (Angemessenheitsbeschluss gemäß Art. 45 DSGVO).

Website-Tools (Google Analytics, Google Ads, LinkedIn Insight Tag): Daten können an Server in den USA übermittelt werden, jeweils nur nach Einwilligung über das Consent-Banner. Google und LinkedIn sind nach dem DPF zertifiziert (Angemessenheitsbeschluss gemäß Art. 45 DSGVO).

Webflow: Das Website-Hosting kann eine Datenverarbeitung in den USA umfassen. Webflow ist nach dem DPF zertifiziert (Angemessenheitsbeschluss gemäß Art. 45 DSGVO).

Anthropic (Claude API): Im Rahmen der KI-gestützten Firmeninformationsextraktion beim Onboarding wird die Kunden-Domain als Zeichenkette an Server von Anthropic in den USA übermittelt; Anthropic ruft die Website-Inhalte selbst ab. Anthropic ist derzeit nicht nach dem DPF zertifiziert; die Übermittlung erfolgt auf Grundlage von SCC gemäß Art. 46 Abs. 2 lit. c DSGVO.

Stripe: Zahlungsdaten werden an Stripe in den USA übermittelt. Stripe ist nach dem DPF zertifiziert (Angemessenheitsbeschluss gemäß Art. 45 DSGVO).

10. Ihre Rechte

Sie haben als betroffene Person jederzeit folgende Rechte:

Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.

Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.

Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.

Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) beruht.

Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: hello@signivo.io

Hinweis zur Auftragsverarbeitung: Soweit Signivo personenbezogene Daten im Auftrag eines Kunden verarbeitet (insbesondere Mitarbeiter- und Verzeichnisdaten im Rahmen der Signaturverwaltung, vgl. Abschnitt 2), ist der jeweilige Kunde datenschutzrechtlich Verantwortlicher. Betroffenenanfragen zu diesen Daten sind grundsätzlich an den jeweiligen Kunden zu richten. Signivo unterstützt seine Kunden im Rahmen der gesetzlichen und vertraglichen Pflichten bei der Bearbeitung solcher Anfragen.

Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Da der Sitz unseres Unternehmens in Berlin liegt, ist die zuständige Aufsichtsbehörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstraße 219, 10969 Berlin (datenschutz-berlin.de).

11. Widerruf des Google-Zugriffs

Der Zugriff von Signivo auf Google Workspace-Daten kann auf verschiedenen Wegen widerrufen werden:

Widerruf der Workspace-Verbindung (domainweite Delegierung):

• Google Admin Console: Sicherheit → API-Steuerung → Domainweite Delegierung → Signivo entfernen

Dieser Widerruf entzieht Signivo die Berechtigung, im Hintergrund Verzeichnisdaten zu synchronisieren und Signaturen für Workspace-Nutzer zu setzen. Bereits veröffentlichte Gmail-Signaturen bleiben bestehen, bis sie manuell geändert werden.

Widerruf der Google-Anmeldung (persönliches Konto):

• Google-Kontoeinstellungen: myaccount.google.com → Sicherheit → Drittanbieter-Apps mit Kontozugriff → Signivo entfernen

Dies betrifft ausschließlich die Anmeldung bei Signivo über Google OAuth und hat keine Auswirkung auf die Workspace-Verbindung oder veröffentlichte Signaturen.

Vollständige Datenlöschung über Signivo:

• Signivo-Konsole: Workspace-Einstellungen → Workspace löschen (löst die vollständige Datenbereinigung gemäß Abschnitt 8 aus, einschließlich der automatischen Entfernung aller veröffentlichten Signaturen)

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen unseres Dienstes, bei technischen Neuerungen oder bei geänderten rechtlichen Anforderungen anzupassen. Bei wesentlichen Änderungen informieren wir Sie per E-Mail.

‍