Legal
Auftragsverarbeitungsvertrag
für die Cloud-basierte Software Signivo
gemäß Art. 28 Abs. 3 DSGVO
Zuletzt aktualisiert: 20.03.2026
Legal
für die Cloud-basierte Software Signivo
gemäß Art. 28 Abs. 3 DSGVO
Zuletzt aktualisiert: 20.03.2026
Inhalt
Präambel
Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten
Kategorien betroffener Personen
Pflichten des Auftragnehmers
Pflichten des Auftraggebers
Unterauftragsverarbeiter (Sub-Processors)
Drittstaatentransfers
Technische und organisatorische Maßnahmen (TOMs)
Löschung und Rückgabe von Daten
Kontrollrechte des Auftraggebers
Haftung
Schlussbestimmungen
Anlage 1 — Technische und organisatorische Maßnahmen (TOMs)
Anlage 2 — Unterauftragsverarbeiter (Sub-Processors)
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") ergänzt die vertragliche Beziehung zwischen dem Kunden (nachfolgend „Auftraggeber") und
MonsJovis Holding UG (haftungsbeschränkt)c/o AurichEichenallee 3714050 Berlin, Deutschland
Handelsregister: Amtsgericht Charlottenburg, HRB 214851 BGeschäftsführer: Markus Aurich
(nachfolgend „Auftragnehmer" oder „Signivo")
Der Auftraggeber nutzt den cloudbasierten Dienst Signivo zur zentralen Verwaltung von E-Mail-Signaturen für Google Workspace (nachfolgend „Dienst"). Im Rahmen der Diensterbringung verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag und auf Weisung des Auftraggebers. Dieser AVV regelt die Rechte und Pflichten der Parteien im Zusammenhang mit dieser Auftragsverarbeitung.
Durch Akzeptanz dieses AVV (über die Schaltfläche auf signivo.io/dpa oder durch Unterzeichnung) wird dieser Bestandteil des Hauptvertrags zwischen den Parteien (Nutzungsbedingungen/AGB von Signivo, nachfolgend „Hauptvertrag").
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich zur Erbringung des Dienstes, d. h. zur zentralen Verwaltung und Veröffentlichung von E-Mail-Signaturen für den Google Workspace des Auftraggebers.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Nach Beendigung des Hauptvertrags gelten die Regelungen in § 10 dieses AVV.
Die Verarbeitung umfasst folgende Tätigkeiten:
Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:
Verzeichnisdaten (aus Google Directory API, nur Lesezugriff):Vor- und Nachname, E-Mail-Adresse, Jobtitel, Abteilung, Telefonnummer(n), Profilbild-URL, Manager-E-Mail-Adresse, Zugehörigkeit zu Organisationseinheiten (OU-Pfad), Google-Gruppen (Name, E-Mail, Mitglieder)
Gmail-Einstellungen (Lese- und Schreibzugriff):E-Mail-Signaturen, Send-As-Aliase
Vom Administrator eingegebene Daten:Firmenname, Website-URL, Telefonnummer, Adresse, rechtliche Hinweise (Disclaimer), Social-Media-Links, hochgeladene Dateien (z. B. Firmenlogos)
Aktivitätsprotokolle:User-ID, E-Mail-Adresse, Name, Art der Aktion, Zeitstempel
Nicht verarbeitet werden:E-Mail-Inhalte, Betreffzeilen, Metadaten, Anhänge, Kontakte, Google Drive-Dateien, Kalendereinträge oder sonstige Workspace-Daten, die nicht der E-Mail-Signaturverwaltung dienen.
(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich auf Grundlage dokumentierter Weisungen des Auftraggebers gemäß Art. 28 Abs. 3 lit. a DSGVO. Die Weisungen ergeben sich aus diesem AVV, dem Hauptvertrag sowie den vom Auftraggeber im Dienst vorgenommenen Konfigurationen (z. B. Signaturvorlagen, Zuweisungsregeln, Sync-Einstellungen). Weitergehende Einzelweisungen können schriftlich oder in Textform (E-Mail) erteilt werden.
(2) Ist der Auftragnehmer der Auffassung, dass eine Weisung des Auftraggebers gegen die DSGVO oder sonstige Datenschutzvorschriften verstößt, wird er den Auftraggeber unverzüglich darüber informieren. Der Auftragnehmer ist berechtigt, die Ausführung der betreffenden Weisung bis zur Bestätigung oder Änderung durch den Auftraggeber auszusetzen.
(3) Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
(4) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten nach Art. 12–22 DSGVO (Betroffenenrechte) sowie nach Art. 32–36 DSGVO (Sicherheit der Verarbeitung, Datenschutz-Folgenabschätzung, vorherige Konsultation).
(5) Der Auftragnehmer teilt dem Auftraggeber unverzüglich mit, wenn ihm Verletzungen des Schutzes personenbezogener Daten bekannt werden (Art. 33 Abs. 2 DSGVO). Die Meldung enthält mindestens eine Beschreibung der Art der Verletzung, der betroffenen Datenkategorien und -mengen (soweit bekannt), der voraussichtlichen Folgen sowie der ergriffenen und vorgeschlagenen Maßnahmen.
(1) Der Auftraggeber ist im Rahmen dieses AVV für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich, insbesondere für die Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Rechte der betroffenen Personen (seiner Mitarbeiter und Workspace-Nutzer).
(2) Der Auftraggeber erteilt alle Weisungen in Bezug auf die Datenverarbeitung. Er ist für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO verantwortlich.
(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.
(1) Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) gemäß Art. 28 Abs. 2 DSGVO hinzuzuziehen.
(2) Die zum Zeitpunkt des Abschlusses dieses AVV eingesetzten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt. Mit dem Abschluss dieses AVV genehmigt der Auftraggeber den Einsatz dieser Unterauftragsverarbeiter.
(3) Der Auftragnehmer informiert den Auftraggeber mindestens 7 Tage vor einer beabsichtigten Änderung (Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters) per E-Mail an die im Signivo-Konto hinterlegte Administratoren-E-Mail-Adresse. Die aktuelle Liste der Unterauftragsverarbeiter ist jederzeit unter signivo.io/privacy (Abschnitt 7 der Datenschutzerklärung) einsehbar.
(4) Der Auftraggeber kann der Änderung innerhalb von 7 Tagen nach Benachrichtigung aus berechtigten datenschutzrechtlichen Gründen schriftlich widersprechen. Im Falle eines berechtigten Widerspruchs bemüht sich der Auftragnehmer, eine angemessene Alternativlösung anzubieten. Ist dies nicht möglich, steht dem Auftraggeber ein Sonderkündigungsrecht zum Zeitpunkt des geplanten Einsatzes des neuen Unterauftragsverarbeiters zu. Der Auftraggeber erhält in diesem Fall eine anteilige Erstattung bereits gezahlter Entgelte.
(5) Der Auftragnehmer stellt vertraglich sicher, dass die Unterauftragsverarbeiter mindestens den gleichen Datenschutzverpflichtungen unterliegen, die in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO). Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Datenschutzpflichten durch seine Unterauftragsverarbeiter.
(1) Die Kerninfrastruktur des Dienstes (Datenbank, Anwendungsserver, Dateispeicher) wird in der EU betrieben (Region Frankfurt, Deutschland).
(2) Soweit Unterauftragsverarbeiter personenbezogene Daten in Drittstaaten (außerhalb des EWR) verarbeiten, erfolgt die Übermittlung ausschließlich auf Grundlage eines der folgenden Mechanismen:
(3) Details zu den einzelnen Unterauftragsverarbeitern und den jeweils angewandten Transfermechanismen sind in Anlage 2 aufgeführt.
(1) Der Auftragnehmer trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
(2) Der Auftragnehmer ist berechtigt, die technischen und organisatorischen Maßnahmen während der Vertragslaufzeit anzupassen, sofern das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
(1) Nach Beendigung des Hauptvertrags werden die im Auftrag verarbeiteten personenbezogenen Daten für 30 Tage aufbewahrt, um dem Auftraggeber die Möglichkeit zur Datensicherung oder Reaktivierung zu geben.
(2) Nach Ablauf der 30-Tage-Frist werden sämtliche im Auftrag verarbeiteten personenbezogenen Daten aus den Produktivsystemen gelöscht. Die Löschung umfasst: den Workspace und seine Einstellungen, alle Mitgliedschaften und Einladungen, alle Signaturen und Signaturversionen, alle Veröffentlichungen und Protokolle, alle hochgeladenen Dateien sowie die verschlüsselten OAuth-Tokens. Soweit Daten vorübergehend noch in verschlüsselten, automatisierten Backups der Infrastrukturanbieter enthalten sind, werden diese nach Ablauf der regulären Backup-Aufbewahrungsfrist überschrieben und in der Zwischenzeit nicht produktiv verwendet oder wiederhergestellt.
(3) Vor der Löschung werden veröffentlichte Gmail-Signaturen bei allen betroffenen Nutzern automatisch entfernt, sofern die entsprechenden Google-Berechtigungen zu diesem Zeitpunkt noch bestehen.
(4) Der Auftraggeber kann die sofortige Löschung jederzeit durch manuelle Workspace-Löschung in der Signivo-Konsole auslösen (Einstellungen → Workspace löschen).
(5) Verzeichnisdaten werden bei jedem Synchronisierungszyklus überschrieben; historische Snapshots werden nicht gespeichert. Aktivitätsprotokolle werden nach maximal 24 Monaten automatisch gelöscht.
(1) Der Auftraggeber hat das Recht, die Einhaltung der in diesem AVV getroffenen Regelungen zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO).
(2) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung. Dies umfasst insbesondere die Vorlage aktueller Zertifizierungen, Prüfberichte, Sicherheitsdokumentation und schriftliche Auskünfte.
(3) Vor-Ort-Prüfungen durch den Auftraggeber oder einen von ihm beauftragten Prüfer sind nach angemessener Vorankündigung (mindestens 30 Tage) und unter Berücksichtigung der betrieblichen Belange des Auftragnehmers möglich. Die Kosten einer Vor-Ort-Prüfung trägt der Auftraggeber, es sei denn, die Prüfung ergibt einen wesentlichen Verstoß des Auftragnehmers gegen diesen AVV.
Im Übrigen richtet sich die vertragliche Haftung der Parteien nach den Bestimmungen des Hauptvertrags (AGB). Zwingende Haftungsregelungen nach der DSGVO, insbesondere nach Art. 82 DSGVO, bleiben unberührt.
(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, eine unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.
(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Berlin, soweit gesetzlich zulässig.
(4) Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag hat dieser AVV Vorrang, soweit die Verarbeitung personenbezogener Daten betroffen ist.
Zutrittskontrolle:Die Infrastruktur wird bei Google Cloud Platform und Supabase in zertifizierten Rechenzentren (Region Frankfurt, EU) betrieben. Der Auftragnehmer betreibt keine eigenen physischen Server. Die Zutrittskontrolle der Rechenzentren obliegt den jeweiligen Betreibern (Google: SOC 2, ISO 27001; Supabase: SOC 2).
Zugangskontrolle:Authentifizierung über Supabase Auth (E-Mail/Passwort mit gehashter Speicherung oder Google OAuth). Zugang zum Dienst ausschließlich über JWT Bearer Tokens mit begrenzter Gültigkeit.
Zugriffskontrolle:Row Level Security (RLS) auf allen Datenbanktabellen — authentifizierte Nutzer sehen ausschließlich Daten ihres eigenen Workspace. Sensible Spalten (insbesondere OAuth-Tokens) sind von der Client-Abfrage ausgeschlossen. Rollenbasiertes Berechtigungsmodell (Owner, Admin, Member).
Trennungskontrolle:Logische Mandantentrennung über Workspace-IDs. Daten verschiedener Auftraggeber werden in derselben Datenbank, aber strikt getrennt durch RLS-Policies verarbeitet.
Weitergabekontrolle:Alle Datenübertragungen erfolgen über TLS/SSL. Google OAuth-Tokens werden mit AES-256-GCM verschlüsselt gespeichert (scrypt Key Derivation, zufällig generierter 16-Byte-Initialisierungsvektor, GCM-Authentifizierungstag zum Schutz vor Manipulation).
Eingabekontrolle:Aktivitätsprotokolle (User-ID, E-Mail, Aktion, Zeitstempel) ermöglichen die Nachvollziehbarkeit aller wesentlichen Verarbeitungsvorgänge. Aufbewahrungsdauer: maximal 24 Monate.
Verfügbarkeitskontrolle:Die Infrastruktur wird auf Google Kubernetes Engine (GKE) mit automatischer Skalierung und Redis-Caching betrieben. Supabase bietet automatische Backups und Point-in-Time-Recovery. Die Betreiber der Infrastrukturkomponenten gewährleisten branchenübliche Verfügbarkeit.
Belastbarkeit:Durch die cloudbasierte Architektur (GKE) kann die Kapazität bei Lastspitzen automatisch skaliert werden.
Regelmäßige Datenbankbackups über Supabase. Verzeichnisdaten können jederzeit aus dem Google Workspace des Auftraggebers neu synchronisiert werden.
Regelmäßige Überprüfung der Sicherheitsmaßnahmen als Bestandteil des laufenden Betriebs. Verpflichtung der mit der Datenverarbeitung befassten Personen auf Vertraulichkeit.
| Anbieter | Zweck | Ort | Daten | Google User Data | Transfer |
|---|---|---|---|---|---|
| Google Cloud Platform (Google Ireland Ltd.) | Infrastruktur (GKE, Redis) | Frankfurt, EU | Anwendungsdaten, Verzeichnisdaten, verschlüsselte Tokens | Ja | — (EU) |
| Supabase, Inc. | Datenbank, Authentifizierung, Dateispeicher | Frankfurt, EU | Kontodaten, Workspace-Daten, Verzeichnisdaten, verschlüsselte Tokens | Ja | — (EU) |
| Google APIs (Google Ireland Ltd.) | Directory Sync, Gmail-Signaturen | EU / USA | Verzeichnisdaten, Signatur-HTML, OAuth-Tokens | Ja (Quelle) | DPF (Art. 45 DSGVO) |
| Anbieter | Zweck | Ort | Daten | Transfer |
|---|---|---|---|---|
| PostHog, Inc. (EU-Instanz) | Produkt-Analytics, Feature-Management, Fehleranalyse | EU | Pseudonymisierte User-/Workspace-IDs, Event-Namen | — (EU) |
| Anthropic, PBC | KI-gestützte Firmeninformationsextraktion (Onboarding) | USA | Kunden-Domain (Zeichenkette) | SCC (Art. 46 DSGVO) |
| Stripe, Inc. | Zahlungsabwicklung | USA | Zahlungsdaten (Referenz-IDs, Zahlungsstatus) | DPF (Art. 45 DSGVO) |
| Brevo (Sendinblue GmbH) | Transaktionsmails, Newsletter | EU (Deutschland) | E-Mail-Adressen | — (EU) |
Die aktuelle Liste der Unterauftragsverarbeiter ist jederzeit einsehbar unter: signivo.io/privacy (Abschnitt 7 der Datenschutzerklärung)
Dieser AVV tritt mit Akzeptanz durch den Auftraggeber in Kraft.
