Rechtliches
Datenschutzerklärung
Zuletzt aktualisiert: 21. Mai 2026
Rechtliches
Zuletzt aktualisiert: 21. Mai 2026
Inhalt
Verantwortlicher
Überblick
Besuch unserer Website (signivo.io)
Nutzung unseres Produkts (app.signivo.io)
Microsoft 365 Integration
Plattform-API-Datennutzungserklärungen
Datensicherheit
Auftragsverarbeiter und Drittanbieter (Sub-Processors)
Datenspeicherung & Löschung
Übermittlung in Drittstaaten
Ihre Rechte
Widerruf des Plattform-Zugriffs
Änderungen dieser Datenschutzerklärung
MonsJovis Holding UG (haftungsbeschränkt)
c/o Aurich
Eichenallee 37
14050 Berlin, Deutschland
Handelsregister: Amtsgericht Charlottenburg, HRB 214851 B
Geschäftsführer: Markus Aurich
E-Mail: hello@signivo.ioTelefon: +43 681 81627408
Die Bestellung eines Datenschutzbeauftragten ist gesetzlich nicht erforderlich.
Diese Datenschutzerklärung informiert Sie darüber, wie Signivo (nachfolgend „wir", „uns" oder „Signivo") personenbezogene Daten verarbeitet — sowohl beim Besuch unserer Website signivo.io als auch bei der Nutzung unseres SaaS-Produkts unter app.signivo.io.
Signivo ist ein cloudbasierter Dienst zur zentralen Verwaltung, Veröffentlichung und Aktualisierung von E-Mail-Signaturen für Google Workspace und Microsoft 365. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der geltenden Datenschutzgesetze, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).
Im Rahmen des Produkts nimmt Signivo unterschiedliche datenschutzrechtliche Rollen ein:
Für die Website, die Verwaltung von Nutzerkonten sowie die Supportkommunikation ist Signivo eigener Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
Für die Verarbeitung von Mitarbeiter- und Verzeichnisdaten des Kunden im Rahmen der E-Mail-Signaturverwaltung handelt Signivo als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Der Kunde (das Unternehmen, das Signivo einsetzt) ist in diesem Fall der datenschutzrechtlich Verantwortliche für die Daten seiner Mitarbeiter. Die Einzelheiten dieser Auftragsverarbeitung werden in einem separaten Auftragsverarbeitungsvertrag (AVV/DPA) zwischen Signivo und dem Kunden geregelt.
Unsere Website wird von Webflow, Inc. (398 11th Street, Floor 2, San Francisco, CA 94103, USA) gehostet. Beim Aufruf unserer Website werden automatisch technische Zugriffsdaten (IP-Adresse, Browsertyp, Betriebssystem, Zeitpunkt des Zugriffs, aufgerufene Seite) an die Server von Webflow übermittelt. Diese Daten sind für die Auslieferung der Website technisch erforderlich.
Webflow ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; die Übermittlung in die USA erfolgt daher auf Grundlage des Angemessenheitsbeschlusses gemäß Art. 45 DSGVO. Ergänzend wurden Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart. Mit Webflow wurde ein Auftragsverarbeitungsvertrag (Data Processing Addendum) abgeschlossen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der Website).
Unsere Website verwendet Cookies. Technisch notwendige Cookies gewährleisten die Grundfunktionalität und werden ohne Einwilligung gesetzt. Für alle weiteren Cookies (Analyse, Marketing) holen wir Ihre Einwilligung über unser Consent-Management-Tool Cookiebot (Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark) ein.
Sie können Ihre Cookie-Einstellungen jederzeit über den entsprechenden Link im Footer unserer Website anpassen oder widerrufen.
Rechtsgrundlage für notwendige Cookies: Art. 6 Abs. 1 lit. f DSGVO.Rechtsgrundlage für alle weiteren Cookies: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Wir nutzen Google Analytics 4 (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland) zur Analyse des Nutzerverhaltens auf unserer Website. Die IP-Anonymisierung ist aktiviert. Daten werden für 14 Monate gespeichert.
Google LLC ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; die Übermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses gemäß Art. 45 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Consent-Banner).
Wir verwenden Google Ads Conversion-Tracking (Google Ireland Ltd.), um die Wirksamkeit unserer Werbeanzeigen zu messen. Dabei werden Cookies gesetzt und Daten wie IP-Adresse, Browserinformationen und Referrer-URL an Google übermittelt. Die Übermittlung in die USA erfolgt auf Grundlage der DPF-Zertifizierung von Google (Angemessenheitsbeschluss gemäß Art. 45 DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Consent-Banner).
Wir nutzen den LinkedIn Insight Tag (LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland) zur Analyse unserer Werbekampagnen. Dabei werden Browserdaten, IP-Adresse und Seitenaufrufe erfasst. Zwischen Signivo und LinkedIn besteht eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO. Die wesentlichen Inhalte dieser Vereinbarung sind über die LinkedIn-Seite „Legal Agreements for Marketing Solutions" einsehbar.
LinkedIn Corporation ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; die Übermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses gemäß Art. 45 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Consent-Banner).
Zur Analyse der Nutzung unserer Website setzen wir zusätzlich PostHog (PostHog, Inc., EU-Instanz unter eu.i.posthog.com) ein; die Einbindung von PostHog im Produkt ist in Abschnitt 4.6 dokumentiert. Tracking-Requests werden technisch über die Signivo-eigene Subdomain b.signivo.io geroutet und von dort an die PostHog-Server in der EU weitergeleitet (Reverse-Proxy). Dies dient ausschließlich technischen Zwecken (Vermeidung von Adblockern, einheitlicher Auftritt unter signivo.io) und ändert weder Zweck noch Empfänger der Verarbeitung.
Erfasst werden pseudonymisierte Nutzungsdaten zur Reichweiten- und Verhaltensanalyse (anonymisierte Besucher-IDs, Seitenaufrufe, Klick-Events, Referrer, gekürzte IP-Adresse, technische Browser- und Geräteinformationen). Session Replays werden auf der Website nicht eingesetzt.
Die PostHog-Tracking-Funktionalität wird ausschließlich nach vorheriger Einwilligung des Nutzers über das Consent-Management-Tool aktiviert (siehe Abschnitt 3.2). Vor erteilter Einwilligung werden keine Tracking-Requests an b.signivo.io oder PostHog gesendet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie § 25 Abs. 1 TDDDG (Einwilligung in den Zugriff auf Endgeräte-Informationen).
Auf unserer Website binden wir Videos von YouTube (Google Ireland Ltd.) im erweiterten Datenschutzmodus ein (youtube-nocookie.com). In diesem Modus werden erst beim Abspielen des Videos Cookies gesetzt und Daten (IP-Adresse, Geräteinformationen) an YouTube/Google übertragen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Consent-Banner).
Auf unserer Website können Sie sich für unseren Newsletter anmelden. Dabei erheben wir Ihre E-Mail-Adresse. Die Anmeldung erfolgt im Double-Opt-in-Verfahren: Sie erhalten nach der Eingabe Ihrer E-Mail-Adresse eine Bestätigungsmail und werden erst nach Klick auf den Bestätigungslink in den Verteiler aufgenommen.
Der Versand erfolgt über Brevo (Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin, Deutschland). Brevo verarbeitet Ihre E-Mail-Adresse in unserem Auftrag ausschließlich in der EU.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit über den Abmeldelink in jeder Newsletter-E-Mail widerrufen.
Bei der Registrierung erheben wir Ihre E-Mail-Adresse und, sofern Sie die Registrierung per E-Mail und Passwort wählen, ein von Ihnen festgelegtes Passwort, das ausschließlich in gehashter Form gespeichert wird. Alternativ können Sie sich über Google OAuth oder Microsoft Entra ID anmelden, wobei wir Ihre E-Mail-Adresse vom jeweiligen Identitätsanbieter erhalten.
Beim Abschluss des Nutzungsvertrags (Click-to-Accept) protokollieren wir zusätzlich den Zeitpunkt der Akzeptanz, die akzeptierte Vertragsversion, die Account-ID sowie die IP-Adresse zum Nachweis des Vertragsschlusses.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für E-Mail-Adresse und Passwort bzw. Google-OAuth-Anmeldung; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beweisbarkeit des Vertragsschlusses) für die Vertragsschluss-Protokollierung.
Wir speichern Informationen zur Workspace-Mitgliedschaft (Rolle als Owner, Admin oder Member), Zeitstempel (Erstellung, letzte Änderung) sowie Einladungsdaten (E-Mail des Eingeladenen, einladende Person).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Wenn der Administrator Ihrer Organisation Google Workspace mit Signivo verbindet, erteilt er Signivo einen Satz schreibgeschützter Berechtigungen auf das Workspace-Verzeichnis sowie eingeschränkte Schreibrechte auf Gmail-Signatureinstellungen. Signivo nutzt diese Berechtigungen, um die Verzeichnisdaten zur Befüllung personalisierter Signaturen zu lesen, Signaturen zentral zu verwalten und sie auf die Mailboxen der Workspace-Nutzer zu deployen.
https://www.googleapis.com/auth/admin.directory.user.readonly — Lesezugriff auf das Nutzer-Verzeichnis des Tenants. Pro Nutzer werden gelesen: Vor- und Nachname, E-Mail-Adresse, Jobtitel, Abteilung, Telefonnummer(n) inkl. Mobilnummer, Profilbild-URL, Adresse (formatierte primäre Anschrift), Website-URL, Manager-E-Mail-Adresse sowie Zugehörigkeit zu Organisationseinheiten (OU-Pfad). Operative Konto-Metadaten (suspended, archived, creationTime, lastLoginTime) werden gelesen, um inaktive Konten von der Synchronisation auszuschließen. Vom Workspace-Administrator im Google-Admin-Verzeichnis definierte benutzerdefinierte Attribute (customSchemas) werden ausschließlich für eine zuvor in Signivo gepflegte Allowlist signaturrelevanter Schemas gelesen und als Signatur-Variablen verfügbar gemacht; ohne Allowlist werden Custom-Schemas nicht angefordert. Auf API-Ebene fordert Signivo nur die genannten Felder über einen expliziten fields=-Filter an. Diese Daten dienen der Befüllung der Signaturfelder und als Grundlage für Zuweisungsregeln. Der Scope ist auf reinen Lesezugriff beschränkt; Nutzer können nicht angelegt, geändert oder gelöscht werden.https://www.googleapis.com/auth/admin.directory.group.readonly — Lesezugriff auf die Gruppenliste, Gruppen-Metadaten und Gruppenmitgliedschaften (Admin SDK groups.list/get und members.list). Pro Gruppe werden gelesen: eindeutige ID, E-Mail-Adresse, Anzeigename, Beschreibung, Anzahl direkter Mitglieder und das Admin-erstellt-Kennzeichen. Pro Gruppenmitglied werden gelesen: Mitglieds-ID und E-Mail-Adresse. Auf API-Ebene fordert Signivo nur die genannten Felder über einen expliziten fields=-Filter an. Diese Daten dienen dem administrativen Gruppen-Targeting für Signaturen (z. B. eine eigene Signatur für die Gruppe „Sales") und werden kurzzeitig im Arbeitsspeicher gehalten; sie werden nicht dauerhaft in der Signivo-Datenbank gespeichert. Der Scope ist auf reinen Lesezugriff beschränkt; Gruppen und Mitgliedschaften können nicht angelegt, geändert oder gelöscht werden.https://www.googleapis.com/auth/admin.directory.orgunit.readonly — Lesezugriff auf die Hierarchie der Organisationseinheiten (OUs) des Tenants. Pro OU werden gelesen: eindeutige ID, Anzeigename, OU-Pfad, Eltern-Pfad und Beschreibung. Diese Daten dienen ausschließlich der Darstellung eines OU-Baums als Auswahl-Hilfe in der Signivo-Konsole bei der Konfiguration administrativer Signaturzuweisungen (z. B. eine eigene Signatur für die OU „Customer Success"). Die OU-Hierarchie wird kurzzeitig im Arbeitsspeicher gehalten und nicht dauerhaft in der Signivo-Datenbank gespeichert; die tatsächliche Auflösung von OU-Zuweisungen auf konkrete Nutzer erfolgt anschließend über den OU-Pfad, der am jeweiligen Nutzer-Datensatz hinterlegt ist (siehe admin.directory.user.readonly). Der Scope ist auf reinen Lesezugriff beschränkt; OUs können nicht angelegt, geändert oder gelöscht werden.https://www.googleapis.com/auth/admin.directory.domain.readonly — Lesezugriff auf die Domains und Domain-Aliase des Tenants (Admin SDK domains.list und domainAliases.list). Pro Domain werden gelesen: Domain-Name, Primärstatus und Verifikationsstatus; pro Domain-Alias zusätzlich der Name der Eltern-Domain. Diese Daten werden in einer separaten Domain-Tabelle in der Signivo-Datenbank gespeichert und bei jedem Synchronisierungslauf aktualisiert; nicht mehr verifizierte oder entfernte Domains werden bei der nächsten Synchronisierung automatisch entfernt. Signivo verwendet diese Daten, damit Signaturen korrekt auf alle Send-As-Adressen eines Nutzers über sämtliche verifizierten Domains der Organisation gesetzt werden — ohne diesen Scope würden Signaturen nur für die jeweilige Primärdomäne korrekt deployen. Der Scope ist auf reinen Lesezugriff beschränkt; Domains können nicht angelegt, geändert oder gelöscht werden.https://www.googleapis.com/auth/userinfo.profile — Lesezugriff auf den vollständigen Anzeigenamen des verbundenen Administrators (zur Anzeige der Admin-Identität in der Signivo-Konsole und zur Identifikation des handelnden Administrators in Audit-Logs) sowie auf die Profilbild-URLs des Administrators und der synchronisierten Workspace-Nutzer (zur Anzeige im Verzeichnis, im Signatur-Editor und in der Konsole). Die Profilbild-Anfragen pro Workspace-Nutzer erfolgen im Hintergrundprozess über die People API (people.get('people/me')) mit Domain-Wide-Delegation-Impersonation. Weitere Profilfelder werden nicht gelesen oder gespeichert. Es ist der minimal notwendige Scope zum Lesen dieser Profilinformationen; weitergehende Profilzugriffe werden nicht angefordert.https://www.googleapis.com/auth/gmail.settings.basic — Eng begrenzter Zugriff auf die Gmail-Einstellungen einzelner Nutzer. Im Lesezugriff werden ausschließlich die Send-As-Einträge des Nutzers gelistet (Send-As-E-Mail-Adresse, Anzeigename, Primary-/Default-Kennzeichen, Alias-Kennzeichen, Verifikationsstatus); diese Metadaten werden in der Signivo-Datenbank gespeichert, um der zentralen Signatur die korrekten Absende-Adressen zuzuordnen und Send-As-Konfigurationen in der Konsole abzubilden. Es werden keine HTML-Signaturen aus bestehenden Send-As-Konfigurationen ausgelesen oder gespeichert; SMTP-Zugangsdaten sind über diesen Scope nicht zugänglich. Im Schreibzugriff wird ausschließlich das Signatur-HTML auf bestehenden Send-As-Einträgen gesetzt. Es findet kein Zugriff auf E-Mail-Inhalte, Betreffzeilen, Metadaten, Anhänge, Postfächer, Filter, Weiterleitungs-, Out-of-Office-, IMAP/POP- oder Spracheinstellungen statt; insbesondere werden weder Antwortadresse noch SMTP-Konfigurationen einzelner Send-As-Einträge verändert.https://www.googleapis.com/auth/gmail.settings.sharing — Begrenzter Schreibzugriff auf das Anlegen von Send-As-Aliasen für geteilte Postfächer und delegierte Absende-Adressen. Signivo verwendet diesen Scope, damit Signaturen auch für sekundäre Absende-Adressen (z. B. support@, info@) korrekt konfiguriert werden können. Signivo nutzt diesen Scope ausschließlich für Send-As-Konfigurationen und nicht zum Einrichten, Ändern oder Auslesen von Weiterleitungsregeln, Delegationen oder sonstigen Gmail-Sharing-Einstellungen. Der Scope ist auf die Send-As-Konfiguration beschränkt und erlaubt keinerlei Zugriff auf E-Mail-Inhalte oder andere Mailbox-Daten.Für die Anmeldung von Administratoren bei Signivo über Google OAuth wird zusätzlich der folgende OpenID-Connect-Scope verwendet:
email — Lesezugriff auf die primäre Google-E-Mail-Adresse des verbundenen Administrators sowie auf das von Google bereitgestellte Hosted-Domain-Attribut (hd), das die Google-Workspace-Tenant-Domain identifiziert. Diese Daten werden benötigt, damit Signivo den angemeldeten Admin seinem Workspace-Konto zuordnen, das Vorliegen eines Google-Workspace-Tenants verifizieren (private Gmail-Konten werden abgelehnt) und die Tenant-Domain als Referenz am Workspace hinterlegen kann. Die E-Mail-Adresse und die Hosted-Domain werden in der Signivo-Datenbank gespeichert, jeweils bis zur Trennung der Verbindung oder Löschung des Workspace. Der Google-Einwilligungsdialog zeigt zusätzlich einen OpenID-Connect-Hinweis an; dies wird durch die Anforderung des email-Scopes automatisch ausgelöst und ist nicht als separater Scope deklariert.Signivo greift nicht auf E-Mail-Inhalte, Betreffzeilen, Metadaten oder Anhänge, Kontakte, Google-Drive-Dateien, Kalendereinträge oder sonstige Workspace-Daten zu, die nicht der E-Mail-Signaturverwaltung dienen. Sämtliche Verzeichnis-Scopes sind schreibgeschützt; Schreibrechte bestehen ausschließlich auf den Gmail-Signatur- und Send-As-Einstellungen, wie oben beschrieben. Signivo kann keine Nutzer, Gruppen, Organisationseinheiten oder Domains erstellen, ändern oder löschen.
Verzeichnisdaten werden in der PostgreSQL-Datenbank von Signivo gespeichert, die auf Google Cloud Platform in Frankfurt, Deutschland (europe-west3) betrieben wird, ohne Replikation außerhalb der Europäischen Union. Profilbilder werden in Supabase Storage in Frankfurt gespeichert. Google-OAuth-Tokens werden mit AES-256-GCM verschlüsselt abgelegt (siehe Abschnitt 7).
Verzeichnisdaten werden bei jedem Synchronisierungszyklus mit Ihrem Google-Workspace-Tenant abgeglichen und überschrieben. Historische Snapshots werden nicht gespeichert. Bei Beendigung des Vertragsverhältnisses werden sämtliche Verzeichnisdaten gemäß Abschnitt 9 innerhalb von 30 Tagen gelöscht.
Trennt Ihr Administrator die Google-Workspace-Verbindung über die Signivo-Konsole, werden die synchronisierten Verzeichnisdaten (Domänendatensätze, Profilbilder, Send-As-Metadaten, Sync-Marker) sowie alle zur Google-Integration gehörenden Felder (Tokens, Hosted-Domain, verbundene Admin-E-Mail-Adresse, Sync-Status) sofort und transaktional aus der Signivo-Datenbank gelöscht. Profilbild-Dateien werden zusätzlich aus dem zugehörigen Object Storage entfernt. Wird die domainweite Delegierung ausschließlich in der Google Admin Console widerrufen, ohne dass der Administrator die Verbindung in Signivo trennt, kann Signivo keine weiteren Daten von Google Workspace abrufen. Eine automatische Löschung der bereits synchronisierten Daten erfolgt in diesem Fall derzeit nicht; der Administrator muss die Trennung in der Signivo-Konsole nachholen oder den gesamten Workspace löschen.
Die Bekräftigung der Limited-Use-Verpflichtungen gemäß Google API Services User Data Policy sowie deren inhaltliche Umsetzung sind in Abschnitt 6.1 und in der allgemeinen Plattform-API-Datennutzungserklärung (Abschnitt 6) wiedergegeben.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Administratoren können im Rahmen des Branding-Kits folgende Informationen hinterlegen: Firmenname, Website-URL, Telefonnummer, Adresse, rechtliche Hinweise (Disclaimer) sowie Social-Media-Links (LinkedIn, X/Twitter, Facebook, Instagram, WhatsApp).
Darüber hinaus können Dateien hochgeladen werden (z. B. Firmenlogos). Dabei speichern wir die Datei selbst sowie Metadaten (Dateiname, Dateigröße, Dateityp, hochladende Person).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Wir protokollieren bestimmte Aktionen innerhalb des Produkts (z. B. Signatur erstellt, veröffentlicht, aktualisiert) mit User-ID, E-Mail, Name, Art der Aktion und Zeitstempel. Dies dient der Nachvollziehbarkeit und Fehleranalyse. Aktivitätsprotokolle werden maximal 24 Monate aufbewahrt.
Datenschutzrechtliche Rolle: Soweit die protokollierten Aktionen Mitarbeiter und sonstige Nutzer des Kunden betreffen, verarbeitet Signivo diese Daten als Auftragsverarbeiter im Auftrag des Kunden (siehe Abschnitt 2 und Auftragsverarbeitungsvertrag). Die Rechtsgrundlage liegt beim Kunden als Verantwortlichem.
Wir nutzen PostHog (PostHog, Inc., EU-Instanz unter eu.i.posthog.com) für folgende Zwecke:
Die Einbindung von PostHog für Website-Analytics auf signivo.io ist gesondert in Abschnitt 3.6 dokumentiert.
Produkt-Analytics: Erfassung pseudonymisierter Nutzungsdaten (User-IDs, Workspace-IDs, Event-Namen) zur Analyse der Produktnutzung, z. B. Onboarding-Fortschritt, Signatur-Aktionen und Feature-Nutzung. E-Mail-Adressen werden nicht an PostHog übermittelt.
Feature-Management (Feature Flags): PostHog evaluiert serverseitig, welche Funktionen für welchen Workspace oder Nutzer aktiv sind. Dabei werden Workspace-ID, pseudonymisierte User-ID sowie Workspace-Eigenschaften (z. B. Plan-Typ, Onboarding-Status) an PostHog übermittelt, um Feature-Flag-Regeln auszuwerten.
Fehleranalyse (Issue Tracking): Zur Nachvollziehbarkeit und Behebung von Fehlern werden Fehler-Events mit pseudonymisierten Kontext-Informationen erfasst. Es werden keine Session Replays eingesetzt.
Analytics- und Fehleranalysedaten werden maximal 12 Monate in PostHog aufbewahrt.
Rechtsgrundlage: Soweit pseudonymisierte Telemetrie- und Feature-Management-Daten im Rahmen der Diensterbringung an den Kunden verarbeitet werden, erfolgt dies als Auftragsverarbeitung; die Rechtsgrundlage liegt beim Kunden als Verantwortlichem. Soweit Signivo aggregierte, nicht auf einzelne Kunden oder Nutzer rückführbare Auswertungen für die Produktverbesserung erstellt (siehe Abschnitt 6), erfolgt dies auf Grundlage des berechtigten Interesses von Signivo an der Weiterentwicklung des Dienstes (Art. 6 Abs. 1 lit. f DSGVO).
Im Rahmen des Onboarding-Prozesses verwenden wir die Anthropic Claude API (Anthropic, PBC, San Francisco, USA), um öffentlich verfügbare Unternehmensinformationen automatisiert zu extrahieren und für die Signaturerstellung aufzubereiten. Dabei wird ausschließlich die vom Administrator angegebene Domain als Zeichenkette an Anthropic übermittelt; Anthropic ruft die öffentlich zugänglichen Inhalte der Website selbst ab. Da auf öffentlichen Unternehmenswebsites auch personenbezogene Daten enthalten sein können (z. B. Ansprechpartner, E-Mail-Adressen, Telefonnummern), wird diese Übermittlung als Drittstaatenübermittlung in die USA behandelt und erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Anthropic speichert API-Ein- und Ausgabedaten standardmäßig für 30 Tage und nutzt API-Daten nicht für das Training von KI-Modellen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, da die Funktion Bestandteil des Onboarding-Prozesses ist).
Die Zahlungsabwicklung erfolgt über Stripe (Stripe, Inc., San Francisco, USA). Bei der Buchung eines kostenpflichtigen Abonnements werden Zahlungsdaten (z. B. Kreditkartennummer, Ablaufdatum) direkt an Stripe übermittelt und dort verarbeitet. Signivo speichert selbst keine vollständigen Zahlungsdaten; wir erhalten von Stripe lediglich eine Referenz-ID, den Zahlungsstatus sowie eine gekürzte Kartennummer zur Anzeige im Kundenbereich.
Stripe ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; die Übermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses gemäß Art. 45 DSGVO. Stripe ist PCI DSS Level 1 zertifiziert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Im Rahmen der Diensterbringung versenden wir an Workspace-Admins und Workspace-Mitglieder Transaktions- und Lifecycle-Mails, etwa zur Bestätigung von Account-Aktionen, Einladungen, Onboarding-Schritten, Trial- und Abonnement-Status, Passwort-Reset, sicherheitsrelevanten Benachrichtigungen sowie produktbezogenen Hinweisen. Der Versand erfolgt über Brevo (Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin, Deutschland) ausschließlich in der EU. Brevo verarbeitet hierfür die E-Mail-Adresse und den Namen der Empfänger in unserem Auftrag.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für betriebsnotwendige Transaktions-Mails (z. B. Account-Bestätigung, Einladungen, Passwort-Reset, Rechnungen); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionsfähigen Produktkommunikation) für Lifecycle- und Status-Mails (z. B. Trial-Hinweise, Feature-Ankündigungen). Der Versand erfolgt unabhängig von der Newsletter-Anmeldung (siehe Abschnitt 3.8); ein Widerspruchsrecht gegen lit.-f-basierte Verarbeitungen kann gemäß Abschnitt 11 jederzeit ausgeübt werden.
Signivo bietet zwei voneinander unabhängige Integrationen mit Microsoft 365: zum einen die zentrale Verzeichnisanbindung, über die Administratoren Signaturen für ihre Organisation verwalten, zum anderen das Outlook-Add-in „Signivo for Outlook", das die zugewiesene Signatur beim Verfassen einer neuen E-Mail in Outlook einfügt. Beide Integrationen werden über denselben Microsoft-Entra-Anwendungseintrag betrieben, verfügen jedoch über getrennte Berechtigungsmodelle, Datenflüsse und Einwilligungspunkte. Sie werden im Folgenden separat beschrieben.
Wenn der IT-Administrator Ihrer Organisation Microsoft 365 mit Signivo verbindet, erteilt er Signivo einen Satz schreibgeschützter Microsoft-Graph-Berechtigungen auf Ihrem Tenant. Signivo nutzt diese Berechtigungen, um die Verzeichnisdaten zu lesen, die zur Befüllung personalisierter Signaturen sowie zur Zuweisung von Signaturen zu einzelnen Nutzern oder Gruppen erforderlich sind.
Nutzerprofile (über Microsoft Graph GET /users): Microsoft-Objekt-ID (id), primäre E-Mail-Adresse (mail), User Principal Name (userPrincipalName), Anzeigename (displayName), Vorname (givenName), Nachname (surname), Jobtitel (jobTitle), Abteilung (department), Telefonnummer(n) (businessPhones, mobilePhone), Aktivierungsstatus des Kontos (accountEnabled), Erstellungszeitpunkt (createdDateTime), Nutzertyp (userType, ausschließlich zur Filterung auf Member-Konten) sowie die 15 vom Tenant verwendbaren Erweiterungsattribute (onPremisesExtensionAttributes 1–15). Letztere können vom IT-Team für unternehmensspezifische Felder (z. B. Kostenstelle, Standort) genutzt werden. Andere Erweiterungsmechanismen wie Directory Extensions, Schema Extensions oder Open Extensions werden nicht verwendet.
Vorgesetzten-Beziehung (über GET /users/{id}/manager): ermöglicht die Zuweisung von Signaturen anhand der Berichtskette.
Profilbilder (über GET /users/{id}/photo/$value): zur Einbindung in Signaturen.
Gruppen und Gruppenmitgliedschaft (über GET /groups und GET /groups/{id}/members): zur Zuordnung von Signaturen auf Gruppenebene.
Tenant-Domains (über GET /domains): pro Domain werden Domain-Name, Default-Kennzeichen und Verifikationsstatus gelesen, zur Validierung, dass Ihr Tenant über die verwalteten E-Mail-Adressen verfügt.
Wir greifen nicht auf E-Mail-Inhalte, Betreffzeilen, Metadaten, Anhänge, Kalendereinträge, OneDrive- oder SharePoint-Dateien, Teams-Nachrichten oder sonstige Tenant-Inhalte zu. Wir fordern keinerlei Schreib- oder Administrationsrechte auf das Verzeichnis an; Signivo kann keine Nutzer, Gruppen, Organisationseinheiten oder andere Verzeichnisobjekte erstellen, ändern, deaktivieren oder löschen. Die vollständige Liste der angeforderten Berechtigungen wird Ihrem Administrator auf der Microsoft-Einwilligungsseite zum Zeitpunkt der Verbindung angezeigt.
Verzeichnisdaten werden in der PostgreSQL-Datenbank von Signivo gespeichert, die auf Google Cloud Platform in Frankfurt, Deutschland (europe-west3) betrieben wird, ohne Replikation außerhalb der Europäischen Union. Profilbilder werden in Supabase Storage in Frankfurt gespeichert. Microsoft Access- und Refresh-Tokens werden mit AES-256-GCM verschlüsselt abgelegt (siehe Abschnitt 7).
Verzeichnisdaten werden täglich aus Ihrem Microsoft-365-Tenant aktualisiert; veraltete Datensätze werden bei jeder Synchronisierung abgeglichen und überschrieben. Historische Snapshots werden nicht gespeichert. Bei Beendigung des Vertragsverhältnisses werden sämtliche Verzeichnisdaten gemäß Abschnitt 9 innerhalb von 30 Tagen gelöscht.
Wenn der Workspace-Admin die Microsoft-365-Verbindung in der Signivo-Konsole trennt, werden die synchronisierten Verzeichnisdaten (Domänendatensätze, Profilbilder, gespeicherte Extension-Attribute-Schema-Listen) sowie alle zur Microsoft-365-Integration gehörenden Felder (Tokens, Tenant-ID, Tenant-Domäne, Delta-Token, Sync-Metadaten) sofort und transaktional aus der Signivo-Datenbank gelöscht. Profilbild-Dateien werden zusätzlich aus dem zugehörigen Object Storage entfernt.
Wird die Berechtigung ausschließlich im Microsoft Entra Admin Center widerrufen, ohne dass der Workspace-Admin die Verbindung in Signivo trennt, kann Signivo keine weiteren Daten von Microsoft 365 abrufen. Eine automatische Löschung der bereits synchronisierten Daten erfolgt in diesem Fall derzeit nicht — der Workspace-Admin muss die Trennung in der Signivo-Konsole nachholen oder den gesamten Workspace löschen.
Folgende Application Permissions (Anwendungsberechtigungen) werden vom Tenant-Administrator einmalig erteilt:
User.Read.All — Lesen von Nutzerprofilen und ProfilbildernGroup.Read.All — Lesen von Gruppen und deren Mitgliedern. Signivo nutzt diese Berechtigung ausschließlich zum Lesen von Gruppenstammdaten und Gruppenmitgliedschaften, die für Signaturzuweisungen erforderlich sind. Inhalte von Microsoft-365-Gruppen, insbesondere Dateien, Unterhaltungen, Notizen, Planner- oder Teams-Inhalte, werden nicht abgefragt oder verarbeitet.Domain.Read.All — Lesen von Tenant-DomainsEs werden ausschließlich diese drei Berechtigungen für die Verzeichnisanbindung angefordert. Signivo fordert insbesondere keine Mail.*-, Calendars.*-, Files.*-, Sites.*-, Directory.ReadWrite.*- oder vergleichbaren Schreib- oder Administrationsberechtigungen an. Während des einmaligen Tenant-Admin-Consent-Flows zeigt Microsoft zusätzlich Standard-OpenID-Connect-Anmeldedialoge an; aus diesem Flow verwendet Signivo ausschließlich die Tenant-ID zur Identifizierung des verbundenen Tenants und keine weiteren Profilfelder des consentenden Administrators.
Microsoft-365-Verzeichnisdaten werden nicht an Website-Analytics-, Marketing-Analytics- oder Tracking-Dienste wie Google Analytics, Segment, Mixpanel oder vergleichbare Anbieter übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Das Outlook-Add-in „Signivo for Outlook" fügt die in der Signivo-Konsole zentral konfigurierte Signatur automatisch ein, sobald ein Nutzer in Outlook eine neue E-Mail verfasst. Die eingefügte Signatur ist für den Nutzer im Compose-Fenster sichtbar, bevor die E-Mail versendet wird; der Nutzer kann die E-Mail einschließlich Signatur vor dem Versand prüfen. Das Add-in wird vom IT-Administrator über die Microsoft-365-Add-in-Verteilung an die Nutzer ausgerollt; ein gesonderter Einwilligungsschritt durch den End-Nutzer entfällt.
Beim Verfassen einer neuen Nachricht liest das Add-in über die Office.js-API:
Office.context.mailbox.userProfile.emailAddress)Office.context.mailbox.item.from) — relevant beim Versand aus geteilten Postfächern oder über AliaseOffice.context.mailbox.item.body.getTypeAsync — HTML oder Plaintext) zur korrekten Formatierung der einzufügenden SignaturDas Add-in greift nicht auf den Nachrichtentext, die Empfänger, den Betreff oder Anhänge der bearbeiteten E-Mail zu. Es greift ebenfalls nicht auf andere Postfachordner (Posteingang, Gesendete, Entwürfe etc.) zu. Die angeforderte Microsoft-Berechtigung MailboxItem.ReadWrite.User bezieht sich auf das aktuell geöffnete bzw. verfasste Outlook-Element; Signivo nutzt diese Berechtigung ausschließlich, um die konfigurierte Signatur in dieses Compose-Element einzufügen. Das Add-in enthält keine Tracking-, Werbe- oder Analyse-SDKs von Drittanbietern.
Die drei oben genannten Felder werden an die Signivo-Server (api.app.signivo.io) übermittelt, damit die korrekte Signaturvorlage ermittelt und mit den im Rahmen der Verzeichnisanbindung vorhandenen Daten (siehe Abschnitt 5.1) gerendert werden kann. Die Verarbeitung dieser Anfrage erfolgt über die Signivo-Backend-Infrastruktur auf Google Cloud Platform in Frankfurt, Deutschland (europe-west3). E-Mail-Adresse und Anzeigename werden bis zu 30 Tagen in Diagnoseprotokollen aufbewahrt; sie werden nicht für Marketingzwecke genutzt.
Die vom Server gerenderte Signatur-HTML wird über den Microsoft-Mechanismus Office.context.roamingSettings zwischengespeichert, damit das Add-in auch bei erneuter Nutzung schneller bzw. eingeschränkt offline verfügbar ist. Zusätzlich legt das Add-in pro Compose-Element einen flüchtigen Status-Marker in Office.context.mailbox.item.sessionData ab, um zu erkennen, ob die Signatur in diesem Element bereits gesetzt wurde, und Doppeleinfügungen zu verhindern. Die technische Speicherung und Synchronisierung dieser Daten erfolgt vollständig innerhalb der Microsoft-365-Umgebung des Nutzers; Signivo erhält weder den Cache-Inhalt noch den Sessions-Marker. Bei Tenants mit aktivierten Microsoft Roaming Signatures wird die Signatur zusätzlich in der Exchange-Online-Mailbox des Nutzers zwischengespeichert; Hosting und Datenresidenz dieser Mailbox-Daten unterliegen den Microsoft-365-Einstellungen Ihres Tenants und stellen keine Auftragsverarbeitung durch Signivo dar.
Folgende Delegated Permission (delegierte Berechtigung) wird angefordert:
MailboxItem.ReadWrite.User (resource-specific) — erlaubt technisch Lese- und Schreibzugriff auf Eigenschaften des aktuell geöffneten bzw. verfassten Outlook-Elements. Signivo nutzt diese Berechtigung ausschließlich, um die konfigurierte Signatur in das aktuell geöffnete Compose-Element einzufügen. Signivo liest oder verarbeitet dabei nicht den Nachrichtentext, Empfänger, Betreff, Anhänge oder Inhalte anderer Postfachordner. Diese Berechtigung ist im Microsoft-Graph-Berechtigungsmodell als MailboxItem.ReadWrite.User benannt; im Office-Add-in-Manifest wird sie nach Office.js-Taxonomie als ReadWriteItem deklariert.Für den Single Sign-On des Add-ins fordert Signivo bei Microsoft Entra ID lediglich die Standard-OpenID-Connect-Scopes openid und profile an; diese liefern weder die E-Mail-Adresse noch zusätzliche Profildaten an Signivo. Die E-Mail-Adresse des angemeldeten Outlook-Nutzers wird stattdessen zur Laufzeit aus dem Office-Kontext (Office.context.mailbox.userProfile.emailAddress) gelesen, um den Nutzer seinem Signivo-Konto zuzuordnen. Auf Basis dieser Identifikation erfolgen keine Microsoft-Graph-, Mailbox- oder Exchange-Aufrufe.
Es wird keine weitere Microsoft-Graph- oder Outlook-Berechtigung für das Outlook-Add-in angefordert.
Hinweis zum Beschäftigtendatenschutz: Die Entscheidung über den Einsatz von Signivo gegenüber Beschäftigten, einschließlich der Information der Mitarbeitenden und etwaiger Mitbestimmungs- oder arbeitsrechtlicher Anforderungen, liegt beim jeweiligen Kunden als datenschutzrechtlich Verantwortlichem. Signivo verarbeitet diese Daten ausschließlich im Auftrag des Kunden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Soweit Signivo personenbezogene Daten über die APIs der von unseren Kunden eingesetzten Produktivitätsplattformen (derzeit Google Workspace und Microsoft 365) erhält, gelten die folgenden Selbstverpflichtungen plattformübergreifend. Plattformspezifische Ergänzungen sind in den Abschnitten 6.1 und 6.2 aufgeführt.
Zweckbindung: Signivo verwendet Plattform-API-Daten ausschließlich zur Bereitstellung und Verbesserung nutzersichtbarer, produktbezogener Funktionen der E-Mail-Signaturverwaltung. Konkret werden Verzeichnisdaten zur Befüllung von Signaturfeldern und zur Umsetzung von Zuweisungsregeln genutzt; Signatur- bzw. Postfach-Schreibzugriffe dienen ausschließlich der zentralen Verwaltung und Veröffentlichung von Signaturen.
Weitergabebeschränkung: Signivo gibt Plattform-API-Daten nicht an Dritte weiter, mit Ausnahme der folgenden Fälle:
Die Auftragsverarbeiter mit Zugriff auf Plattform-API-Daten sind in Abschnitt 8 namentlich aufgeführt; alle weiteren in Abschnitt 8 genannten Drittanbieter erhalten keinen Zugriff auf Plattform-API-Daten.
Verbotene Verwendungszwecke: Signivo verwendet Plattform-API-Daten insbesondere nicht für:
Mitarbeiterzugriff: Signivo-Mitarbeiter haben keinen manuellen Zugriff auf Plattform-API-Daten einzelner Kunden, es sei denn:
Ergänzend zu den in Abschnitt 6 festgelegten Verpflichtungen gibt Signivo hinsichtlich der Daten aus Google Workspace APIs folgende verbindliche Bekräftigung ab:
Die Nutzung von Informationen, die Signivo über Google Workspace APIs erhält, erfolgt in Übereinstimmung mit der Google User Data Policy einschließlich der Limited-Use-Anforderungen.
(Englischer Originalwortlaut gemäß Google Workspace API user data and developer policy: „The use of information received from Google Workspace APIs will adhere to the Google User Data Policy, including the Limited Use requirements.“)
Die Google API Services User Data Policy ist öffentlich abrufbar.
Die in diesem Abschnitt 6 genannten Verpflichtungen gelten gleichermaßen für sämtliche personenbezogenen Daten, die Signivo über die Microsoft Graph API oder die Office.js-API aus dem Microsoft-365-Tenant unserer Kunden erhält (siehe Abschnitt 5).
Signivo hat das Microsoft Publisher Verification-Verfahren erfolgreich abgeschlossen.
Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:
Verschlüsselung: Google-OAuth-Tokens sowie Microsoft-Entra-Access- und Refresh-Tokens werden mit AES-256-GCM verschlüsselt gespeichert (mit zufällig generiertem Initialisierungsvektor pro Verschlüsselungsvorgang und GCM-Authentifizierungstag zum Schutz vor Manipulation).
Zugriffskontrolle: Die PostgreSQL-Datenbank verwendet Row Level Security (RLS). Anonyme Zugriffe sind nicht möglich. Authentifizierte Nutzer sehen ausschließlich Daten ihres eigenen Workspace. Sensible Spalten (z. B. OAuth-Tokens) sind von der Client-Abfrage ausgeschlossen.
Transportverschlüsselung: Alle Datenübertragungen erfolgen über TLS/SSL.
Infrastruktur: Die Kerninfrastruktur von Signivo (Datenbank, Anwendungsserver, Dateispeicher) wird in der EU (Region Frankfurt) betrieben. Soweit Drittanbieter eingesetzt werden, kann es im in Abschnitt 10 beschriebenen Umfang zu Datenübermittlungen in Drittstaaten kommen.
Zur Erbringung unseres Dienstes setzen wir folgende Drittanbieter ein. Die folgende Übersicht enthält sowohl von Signivo eingesetzte Auftragsverarbeiter als auch Drittanbieter, mit denen Signivo bzw. der Kunde in eigener Verantwortlichkeit zusammenarbeitet. Anbieter, die als eigenständige Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO handeln (insbesondere Stripe für die Zahlungsabwicklung sowie die Plattformanbieter Google und Microsoft hinsichtlich der von ihnen selbst kontrollierten Verarbeitungen), sind im Folgenden entsprechend gekennzeichnet; mit ihnen besteht kein Auftragsverarbeitungsverhältnis. Ob ein Anbieter Auftragsverarbeiter von Signivo oder eigenständiger Verantwortlicher ist, ergibt sich aus der jeweiligen Zweckbeschreibung.
| Anbieter | Zweck | Verarbeitungsort | Daten | Customer Platform User Data |
|---|---|---|---|---|
| Google Cloud Platform (Google Ireland Ltd.) | Infrastruktur (GKE, Redis) | Frankfurt, EU | Anwendungsdaten, Verzeichnisdaten, verschlüsselte Tokens | Ja — beide |
| Supabase, Inc. | Authentifizierung, Datenbank, Dateispeicher | Frankfurt, EU | Kontodaten, Workspace-Daten, Verzeichnisdaten, verschlüsselte Tokens, hochgeladene Dateien | Ja — beide |
| Google APIs (Google Ireland Ltd.) | Directory Sync, Gmail-Signaturen | EU / USA | Verzeichnisdaten, Signatur-HTML, OAuth-Tokens | Ja — Google (Quelle) |
| Microsoft Graph APIs (Microsoft Ireland Operations Limited) | Directory Sync, Outlook-Add-in-Signatur-Insertion, Authentifizierung über Microsoft Entra ID | EU / USA | Verzeichnisdaten, Signatur-HTML, Entra-ID-OAuth-Tokens | Ja — Microsoft (Quelle) |
| PostHog, Inc. (EU-Instanz) | Produkt-Analytics, Feature-Management, Fehleranalyse sowie Website-Analytics | EU | Pseudonymisierte User-/Workspace-IDs, Event-Namen, Workspace-Eigenschaften (z. B. Plan-Typ); pseudonymisierte Website-Besucher-IDs und Seitenaufrufdaten | Nein |
| Anthropic, PBC | KI-gestützte Firmeninformationsextraktion beim Onboarding | USA | Kunden-Domain (als Zeichenkette); Anthropic ruft Website-Inhalte selbst ab (können personenbezogene Daten enthalten) | Nein |
| Stripe, Inc. | Zahlungsabwicklung (eigenständiger Verantwortlicher gem. Art. 4 Nr. 7 DSGVO) | USA | Zahlungsdaten (Kreditkartendaten, Transaktionsdaten) | Nein |
| Brevo (Sendinblue GmbH) | Transaktions-/Lifecycle-Mails und Newsletter-Versand | EU (Deutschland) | E-Mail-Adressen von Workspace-Admins und -Nutzern (Produktkommunikation) sowie Newsletter-Abonnenten | Nein |
| Webflow, Inc. | Website-Hosting (signivo.io) | USA | Technische Zugriffsdaten (IP, Browser) | Nein |
| Cookiebot / Usercentrics A/S | Consent-Management (signivo.io) | EU | Einwilligungsdaten | Nein |
| Google Analytics / Google Ads (Google Ireland Ltd.) | Website-Analyse, Conversion-Tracking | EU / USA | Pseudonymisierte Nutzungsdaten (Website) | Nein |
| LinkedIn Ireland Unlimited Company | Website-Kampagnenanalyse | EU / USA | Pseudonymisierte Nutzungsdaten (Website) | Nein |
Soweit die genannten US-Anbieter nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert sind (dies betrifft derzeit Google, Microsoft, Webflow, LinkedIn und Stripe), erfolgt die Übermittlung auf Grundlage des Angemessenheitsbeschlusses gemäß Art. 45 DSGVO. Ergänzend bzw. für nicht DPF-zertifizierte Anbieter (derzeit Anthropic) werden Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO eingesetzt.
Maßgeblich für die vertragliche Auftragsverarbeitung sind die in Anlage 2 des Auftragsverarbeitungsvertrags zum Zeitpunkt Ihrer Annahme aufgeführten Unterauftragsverarbeiter; diese Übersicht zeigt den aktuellen Stand.
Hinweis zu Microsoft Exchange Online: Bei Tenants mit aktivierten Microsoft Roaming Signatures werden vom Outlook-Add-in eingefügte Signaturen zusätzlich in der Exchange-Online-Mailbox des Nutzers zwischengespeichert (siehe Abschnitt 5.2). Hosting und Datenresidenz dieser Mailbox-Daten unterliegen den Microsoft-365-Einstellungen Ihres Tenants und stellen keine Auftragsverarbeitung durch Signivo dar.
Website-Daten:
Produktdaten:
Löschung einzelner Nutzerkonten:
Wenn ein einzelner Nutzer sein Signivo-Konto löscht (ohne den Workspace zu löschen), werden seine persönlichen Kontodaten (E-Mail, gehashtes Passwort, Authentifizierungsdaten), seine Workspace-Mitgliedschaft sowie zugehörige Aktivitätsprotokolle gelöscht. Workspace-Daten (Signaturen, Einstellungen, Verzeichnisdaten) bleiben für die übrigen Workspace-Mitglieder erhalten.
Löschung bei Workspace-Beendigung:
Bei manueller Löschung eines Workspace durch den Owner werden sämtliche zugehörigen Daten unverzüglich, vollständig und unwiderruflich aus der Datenbank entfernt. Die Löschung umfasst: den Workspace selbst und seine Einstellungen, alle Mitgliedschaften und Einladungen, alle Signaturen und Signaturversionen, alle Veröffentlichungen und Protokolle, alle hochgeladenen Dateien sowie die verschlüsselten OAuth-Tokens. Vor der Löschung werden veröffentlichte Gmail-Signaturen bei allen betroffenen Nutzern automatisch entfernt, sofern die entsprechenden Google-Berechtigungen zu diesem Zeitpunkt noch bestehen. Bei Microsoft 365 beendet die Löschung des Workspace die weitere Signaturbereitstellung über das Outlook-Add-in; bereits in der Microsoft-365-Umgebung zwischengespeicherte Signaturen (Office.context.roamingSettings, ggf. Microsoft Roaming Signatures im Exchange-Online-Cache) bleiben hiervon unberührt (siehe Abschnitt 5.2).
Aufbewahrung nach Vertragsende:
Nach Ablauf oder Kündigung eines Abonnements werden die Workspace-Daten für 30 Tage aufbewahrt, um eine versehentliche Datenlöschung zu vermeiden und dem Kunden die Möglichkeit zur Reaktivierung zu geben. Nach Ablauf dieser 30-Tage-Frist werden sämtliche im Auftrag verarbeiteten personenbezogenen Daten aus den Produktivsystemen gelöscht, wie oben beschrieben. Soweit Daten vorübergehend noch in verschlüsselten, automatisierten Backups der Infrastrukturanbieter enthalten sind, werden diese nach Ablauf der regulären Backup-Aufbewahrungsfrist überschrieben und in der Zwischenzeit nicht produktiv verwendet oder wiederhergestellt. Der Kunde kann die sofortige Löschung jederzeit durch manuelle Workspace-Löschung in der Signivo-Konsole auslösen.
Die Kerninfrastruktur von Signivo (Datenbank, Anwendungsserver, Dateispeicher) wird in der EU (Frankfurt) betrieben. Eine Übermittlung personenbezogener Daten in Drittstaaten erfolgt in folgenden Fällen:
Google APIs: Die Kommunikation mit Google-Servern (Directory API, Gmail API) kann über Server in den USA geroutet werden. Dies ist für die Kernfunktionalität des Dienstes erforderlich. Google LLC ist nach dem DPF zertifiziert (Angemessenheitsbeschluss gemäß Art. 45 DSGVO).
Microsoft Graph APIs und Microsoft Entra ID: Die Kommunikation mit Microsoft-Servern (Directory Sync, Outlook-Add-in, Authentifizierung) kann über Server in den USA geroutet werden. Dies ist für die Kernfunktionalität des Dienstes erforderlich. Microsoft Corporation ist nach dem DPF zertifiziert (Angemessenheitsbeschluss gemäß Art. 45 DSGVO); ergänzend gelten Standardvertragsklauseln 2021 zwischen Microsoft Ireland Operations Limited und Microsoft Corporation gemäß Art. 46 Abs. 2 lit. c DSGVO. Signivo selbst speichert Microsoft-Verzeichnisdaten und Signaturdaten nicht außerhalb der Europäischen Union; eine Drittstaatenübermittlung kann insbesondere durch API-Kommunikation, Routing oder Infrastrukturleistungen des Plattformanbieters entstehen.
Website-Tools (Google Analytics, Google Ads, LinkedIn Insight Tag): Daten können an Server in den USA übermittelt werden, jeweils nur nach Einwilligung über das Consent-Banner. Google und LinkedIn sind nach dem DPF zertifiziert (Angemessenheitsbeschluss gemäß Art. 45 DSGVO).
Webflow: Das Website-Hosting kann eine Datenverarbeitung in den USA umfassen. Webflow ist nach dem DPF zertifiziert (Angemessenheitsbeschluss gemäß Art. 45 DSGVO); ergänzend wurden Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart.
Anthropic (Claude API): Im Rahmen der KI-gestützten Firmeninformationsextraktion beim Onboarding wird die Kunden-Domain als Zeichenkette an Server von Anthropic in den USA übermittelt; Anthropic ruft die Website-Inhalte selbst ab. Da Anthropic nicht nach dem DPF zertifiziert ist, erfolgt die Übermittlung ergänzend auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Soweit für andere in dieser Datenschutzerklärung genannte Drittländer-Anbieter kein Angemessenheitsbeschluss greift oder zusätzliche Garantien erforderlich werden, setzen wir ebenfalls SCC ein.
Stripe: Zahlungsdaten werden an Stripe in den USA übermittelt. Stripe ist nach dem DPF zertifiziert (Angemessenheitsbeschluss gemäß Art. 45 DSGVO).
Sie haben als betroffene Person jederzeit folgende Rechte:
Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) beruht.
Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an privacy@signivo.io (für datenschutzbezogene Anfragen, einschließlich Anfragen zur Datenübertragbarkeit gemäß Art. 20 DSGVO). Für allgemeine Anfragen, Vertragsangelegenheiten und Support steht hello@signivo.io zur Verfügung.
Hinweis zur Auftragsverarbeitung: Soweit Signivo personenbezogene Daten im Auftrag eines Kunden verarbeitet (insbesondere Mitarbeiter- und Verzeichnisdaten im Rahmen der Signaturverwaltung, vgl. Abschnitt 2), ist der jeweilige Kunde datenschutzrechtlich Verantwortlicher. Betroffenenanfragen zu diesen Daten sind grundsätzlich an den jeweiligen Kunden zu richten. Signivo unterstützt seine Kunden im Rahmen der gesetzlichen und vertraglichen Pflichten bei der Bearbeitung solcher Anfragen.
Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Da der Sitz unseres Unternehmens in Berlin liegt, ist die zuständige Aufsichtsbehörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstraße 219, 10969 Berlin (datenschutz-berlin.de).
Der Zugriff von Signivo auf Daten aus Google Workspace oder Microsoft 365 kann auf verschiedenen Wegen widerrufen werden. Die Widerrufspfade unterscheiden sich je nach Plattform, da Signivo die beiden Plattformen über unterschiedliche Authentifizierungsmechanismen integriert (siehe Abschnitte 4.3 und 5).
Widerruf der Workspace-Verbindung (domainweite Delegierung):
Dieser Widerruf entzieht Signivo die Berechtigung, im Hintergrund Verzeichnisdaten zu synchronisieren und Signaturen für Workspace-Nutzer zu setzen. Bereits veröffentlichte Gmail-Signaturen bleiben bestehen, bis sie manuell geändert werden. Die Behandlung der bereits synchronisierten Verzeichnisdaten richtet sich nach dem gewählten Widerrufspfad: Erfolgt die Trennung über die Signivo-Konsole, werden die synchronisierten Verzeichnisdaten sofort und transaktional aus der Signivo-Datenbank gelöscht; erfolgt der Widerruf ausschließlich in der Google Admin Console, bleiben die bereits synchronisierten Daten zunächst gespeichert, bis der Administrator die Trennung in der Signivo-Konsole nachholt oder den Workspace löscht (siehe Abschnitt 4.3).
Widerruf der Google-Anmeldung (persönliches Konto):
Dies betrifft ausschließlich die Anmeldung bei Signivo über Google OAuth und hat keine Auswirkung auf die Workspace-Verbindung oder veröffentlichte Signaturen.
Microsoft 365 hat keinen separaten „End-Nutzer-Anmeldung"-Pfad analog zu Google, da Signivo bei Microsoft 365 ausschließlich über die Tenant-Anbindung und das Outlook-Add-in arbeitet — nicht über per-User-OAuth-Login.
Widerruf der Tenant-Verbindung:
Dieser Widerruf entzieht Signivo die Berechtigung, im Hintergrund Verzeichnisdaten zu synchronisieren und Signaturen über das Outlook-Add-in zu setzen. Zusätzlich kann der Administrator das Outlook-Add-in über die Microsoft-365-Adminverwaltung bzw. die zentrale Add-in-Verteilung für einzelne Nutzer oder den gesamten Tenant entfernen. Der Widerruf der Entra-Berechtigungen beendet die API-Anbindung; die Entfernung des Add-ins beendet die Ausführung des Add-ins in Outlook.
Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen unseres Dienstes, bei technischen Neuerungen oder bei geänderten rechtlichen Anforderungen anzupassen. Bei wesentlichen Änderungen informieren wir Sie per E-Mail.
