GetItSigned — sign a PDF online, send a link, get it back signed
Mit 3 gratis starten

Rechtliches

Datenschutzerklärung

Zuletzt aktualisiert 19. April 2026 · v1.0-Entwurf

Diese Datenschutzerklärung erläutert, wie die GetItSigned Ltd. („wir“, „uns“) personenbezogene Daten erhebt und nutzt, wenn Sie die Webanwendung getitsigned.app, die API oder damit verbundene Leistungen (den „Dienst“) nutzen. Wir halten die Datenschutz-Grundverordnung des Vereinigten Königreichs (UK-DSGVO) sowie den Data Protection Act 2018 ein.

1. Wer wir sind (Verantwortlicher)

Die GetItSigned Ltd. ist der Verantwortliche für die in den Abschnitten 2–4 dieser Erklärung beschriebenen personenbezogenen Daten. Wir sind in England und Wales eingetragen, und unsere ICO-Registrierungsnummer wird hier erscheinen, sobald sie abgeschlossen ist. Für jede datenschutzrechtliche Frage, einschließlich der Ausübung Ihrer Rechte, schreiben Sie an hello@getitsigned.app.

2. Welche personenbezogenen Daten wir erheben

Wenn Sie Kontoinhaber sind (Absender)

  • Identität und Kontakt: Name, E-Mail-Adresse, Firmenname (optional), Land.
  • Zugangsdaten: Passwort (gespeichert als bcrypt-Hash — der Klartext wird niemals dauerhaft gespeichert), Google-OAuth-Token, sofern Sie die Anmeldung mit Google nutzen.
  • Abrechnung: Stripe-Kundennummer, Kaufhistorie, Umsatzsteuerstatus. Kartendaten werden von Stripe verwahrt, niemals von uns.
  • Nutzung: von Ihnen erstellte Sendungen, von Ihnen verbrauchtes Guthaben, Zeitstempel der Kontoaktivität.
  • Sitzung: JWT-Sitzungskennung, Zeitstempel der letzten Anmeldung, IP-Adresse der letzten Anmeldung, User-Agent.

Wenn Sie Unterzeichner sind

  • Identität: der vom Absender angegebene Name und die E-Mail-Adresse sowie der von Ihnen im Signaturfenster eingegebene Name.
  • Signaturdaten: das PNG- oder JPEG-Bild Ihrer gezeichneten oder hochgeladenen Signatur, verschlüsselt gespeichert.
  • Prüfnachweise (in ESIGN-Qualität): Ihre ausdrückliche Einwilligung in die Verwendung elektronischer Aufzeichnungen, Ihre ausdrückliche Unterzeichnungsabsicht, Ihre IP-Adresse, Ihr User-Agent, der Zeitstempel jeder Handlung (angesehen, eingewilligt, unterzeichnet) sowie die Version der Ihnen angezeigten Einwilligungserklärung.
  • Dokumenteninhalt: Wir verarbeiten das vom Absender hochgeladene PDF und die Platzierung der Signaturfelder ausschließlich zur Erstellung des unterzeichneten Dokuments.

Automatisch erhoben

  • Dienstprotokolle: HTTP-Zugriffsprotokolle, Anwendungsfehlerprotokolle, Protokolle zur Webhook-Zustellung. Diese werden zu Betriebs- und Sicherheitszwecken bis zu 90 Tage aufbewahrt.
  • Cookies: Wir verwenden ausschließlich erforderliche Cookies für die Authentifizierung sowie ein minimales Cookie zum Schutz vor CSRF. Wir verwenden keine Werbe- oder seitenübergreifenden Tracking-Cookies.

3. Warum wir Ihre Daten nutzen (Zwecke und Rechtsgrundlagen)

Nach der UK-DSGVO bedarf jeder Verarbeitungszweck einer Rechtsgrundlage. Unsere sind:

  • Bereitstellung des Dienstes für Sie (Kontoinhaber) — Artikel 6 Abs. 1 lit. b, Erfüllung eines Vertrags. Umfasst Authentifizierung, Versand von Sendungen, Erstellung unterzeichneter Dokumente, Zustellung von Benachrichtigungen, Abrechnung und Support.
  • Bereitstellung des Dienstes für den Unterzeichner — Artikel 6 Abs. 1 lit. b, Erfüllung eines Vertrags, sofern der Unterzeichner in einem unmittelbaren Vertragsverhältnis zum Absender steht, andernfalls Artikel 6 Abs. 1 lit. f, berechtigte Interessen, wobei unser Interesse darin besteht, den vom Absender angeforderten Signaturvorgang durchzuführen und verlässliche Prüfnachweise zu erstellen.
  • Erstellung und Aufbewahrung von Prüfnachweisen — Artikel 6 Abs. 1 lit. c, rechtliche Verpflichtung, und Artikel 6 Abs. 1 lit. f, berechtigte Interessen, wobei unser Interesse darin besteht, (gegenüber Gerichten, Behörden und Gegenparteien) nachweisen zu können, dass ein unterzeichnetes Dokument von der darin benannten Person mit deren Einwilligung zum aufgezeichneten Zeitpunkt unterzeichnet wurde.
  • Sicherheit, Betrugsprävention und Missbrauchsüberwachung — Artikel 6 Abs. 1 lit. f, berechtigte Interessen, wobei unser Interesse darin besteht, den Dienst und seine Nutzer zu schützen.
  • Produktkommunikation — berechtigte Interessen für Transaktionsnachrichten; Einwilligung (Artikel 6 Abs. 1 lit. a) für optionale Marketing-E-Mails, die Sie jederzeit widerrufen können.

4. An wen wir Daten weitergeben

Wir verkaufen keine personenbezogenen Daten und geben sie nicht an Werbetreibende weiter. Wir geben Daten an die folgenden Kategorien von Empfängern weiter:

  • Die übrigen Beteiligten einer Sendung. Absender sehen die Namen der Unterzeichner, deren E-Mail-Adressen, den Abschlussstatus, die IP-Adressen der Signaturhandlungen und die eingegebenen Namen — die Prüfnachweise, die eine Signatur aussagekräftig machen. Unterzeichner sehen den Namen und die E-Mail-Adresse des Absenders.
  • Unsere Unterauftragsverarbeiter (siehe Abschnitt 12), die in unserem Auftrag die Infrastruktur betreiben, Zahlungen abwickeln und E-Mails zustellen.
  • Strafverfolgungsbehörden oder Gerichte, sofern wir ein rechtsgültiges Ersuchen erhalten, und nur in dem Umfang, in dem das Ersuchen uns dazu verpflichtet.
  • Ein Rechtsnachfolger, im Falle einer Fusion, eines Erwerbs oder des Verkaufs unseres gesamten oder im Wesentlichen gesamten Vermögens — bei fortbestehendem Schutz unter einer Datenschutzerklärung, die mindestens ebenso schützend ist wie diese.

5. Internationale Datenübermittlungen

Einige unserer Unterauftragsverarbeiter befinden sich außerhalb des Vereinigten Königreichs. Soweit wir personenbezogene Daten außerhalb des Vereinigten Königreichs übermitteln, stützen wir uns auf nach der UK-DSGVO anerkannte Übermittlungsmechanismen — in der Regel das International Data Transfer Agreement (IDTA) des Vereinigten Königreichs oder die EU-Standardvertragsklauseln mit dem UK-Zusatz, zuzüglich ergänzender Maßnahmen, soweit erforderlich. Eine aktuelle Liste der Unterauftragsverarbeiter und ihrer Standorte finden Sie in Abschnitt 12.

6. Wie lange wir Daten aufbewahren

  • Aktive Kontodaten: solange Ihr Konto besteht.
  • Unterzeichnete Sendungen und Abschlusszertifikate: aufbewahrt für die Lebensdauer Ihres Kontos und anschließend für mindestens sechs Jahre nach Kontoschließung — entsprechend der Verjährungsfrist für einfache Verträge nach dem Limitation Act 1980. Länger, sofern gesetzlich vorgeschrieben.
  • Prüfnachweise (IP, User-Agent, Einwilligung, Signatur-Zeitstempel): aufbewahrt mit der zugehörigen Sendung für den vorstehenden Zeitraum. Ihre Löschung würde den Beweiswert bereits erstellter Signaturen beeinträchtigen.
  • HTTP- und Anwendungsprotokolle: bis zu 90 Tage.
  • Abrechnungsunterlagen: sieben Jahre nach der betreffenden Transaktion, zur Erfüllung der Aufbewahrungspflichten gegenüber der HMRC.

Nach Ablauf der Aufbewahrungsfrist löschen wir personenbezogene Daten oder aggregieren sie so, dass sie Ihnen nicht mehr zugeordnet werden können.

7. Wie wir Ihre Daten schützen

  • Der gesamte Datenverkehr zwischen Ihrem Browser und unseren Servern ist mit TLS 1.2+ verschlüsselt.
  • Passwörter werden ausschließlich als bcrypt-Hashes mit einem kontospezifischen Salt gespeichert. Wir speichern niemals Klartext-Passwörter.
  • Magic-Link-Signaturtoken werden ausschließlich als SHA-256-Hashes gespeichert. Der Klartext-Token erscheint nur im E-Mail-Link, der an den Unterzeichner gesendet wird.
  • Unterzeichnete PDFs und Signaturbilder werden auf Cloudflare R2 mit serverseitiger Verschlüsselung (AES-256) gespeichert.
  • Der Zugriff auf Produktivdaten ist auf eine kleine Zahl namentlich benannter Personen beschränkt und durch Zwei-Faktor-Authentifizierung geschützt.
  • Wir betreiben einen Kanal zur Meldung von Sicherheitslücken — schreiben Sie an security@getitsigned.app, wenn Sie glauben, eine Schwachstelle gefunden zu haben.

8. Ihre Rechte nach der UK-DSGVO

Sie haben in Bezug auf die personenbezogenen Daten, die wir über Sie führen, die folgenden Rechte:

  • Auskunft — eine Kopie der von uns geführten personenbezogenen Daten samt Kontext.
  • Berichtigung — Korrektur unrichtiger oder unvollständiger Daten.
  • Löschung („Recht auf Vergessenwerden“) — Löschung Ihrer Daten, vorbehaltlich unserer gesetzlichen und beweisrechtlichen Aufbewahrungspflichten (siehe Abschnitt 6). Wir können Prüfnachweise, die mit von Ihnen erstellten Signaturen verbunden sind, nicht löschen, solange sie sich innerhalb ihrer Aufbewahrungsfrist befinden, ohne den rechtlichen Wert dieser Signaturen zu beeinträchtigen.
  • Einschränkung — uns auffordern, die meisten Verarbeitungen einzustellen, während ein Widerspruch geprüft wird.
  • Datenübertragbarkeit — die von Ihnen bereitgestellten Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
  • Widerspruch — gegen eine auf berechtigte Interessen gestützte Verarbeitung, einschließlich Direktwerbung.
  • Widerruf der Einwilligung — sofern die Verarbeitung auf einer Einwilligung beruht. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.
  • Beschwerde bei einer Aufsichtsbehörde — Sie können eine Beschwerde beim Information Commissioner's Office (ICO) des Vereinigten Königreichs einreichen unter ico.org.uk/make-a-complaint. Wir würden uns freuen, Ihr Anliegen zunächst selbst klären zu dürfen, und bitten Sie daher, sich nach Möglichkeit zuvor an uns zu wenden.

Um eines dieser Rechte auszuüben, schreiben Sie an hello@getitsigned.app. Wir antworten innerhalb eines Monats.

9. Cookies

Wir verwenden ausschließlich Cookies, die für den Betrieb des Dienstes unbedingt erforderlich sind — Authentifizierungs-Sitzungscookies und ein Cookie zum Schutz vor CSRF. Wir verwenden keine Analyse-, Werbe- oder seitenübergreifenden Tracking-Cookies. Da unsere Cookies unbedingt erforderlich sind, zeigen wir kein Cookie-Banner an; nach dem Recht des Vereinigten Königreichs bedürfen unbedingt erforderliche Cookies keiner Einwilligung.

10. Kinder

Der Dienst richtet sich nicht an Kinder unter 18 Jahren, und wir verarbeiten nicht wissentlich Daten von Kindern unter 18 Jahren. Wenn Sie glauben, dass ein Kind uns personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte; wir werden den Sachverhalt prüfen und die Daten gegebenenfalls löschen.

11. Wenn wir Unterzeichnerdaten als Auftragsverarbeiter verarbeiten

Wenn unsere Kunden als Kontoinhaber (Absender) eine Sendung versenden, bestimmen sie die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Unterzeichner. In diesem Zusammenhang gilt:

  • Der Absender ist der Verantwortliche für die personenbezogenen Daten des Unterzeichners im Dokument und im Signaturablauf.
  • Wir sind der Auftragsverarbeiter und handeln ausschließlich nach den dokumentierten Weisungen des Absenders (Konfiguration der Sendung, Entscheidung zum Versenden, Ungültigmachen oder Archivieren).
  • Wir verarbeiten personenbezogene Daten des Unterzeichners zu keinem anderen Zweck, es sei denn, dies ist gesetzlich vorgeschrieben oder für den technischen Betrieb des Dienstes erforderlich.
  • Wir wenden die Sicherheitsmaßnahmen aus Abschnitt 7 unabhängig von der Verantwortlichkeit an.
  • Wir setzen Unterauftragsverarbeiter nach den Bedingungen des Artikels 28 ein (siehe Abschnitt 12).
  • Wir geben personenbezogene Daten des Unterzeichners auf Weisung des Absenders zurück oder löschen sie, vorbehaltlich der Aufbewahrungspflichten in Abschnitt 6 und etwaiger vorrangiger gesetzlicher Anforderungen.

Die Bestimmungen dieses Abschnitts sollen als grundlegender Auftragsverarbeitungsvertrag dienen. Ein vollständiger, gegengezeichneter Auftragsverarbeitungsvertrag ist auf Anfrage erhältlich unter hello@getitsigned.app.

12. Unterauftragsverarbeiter

Wir setzen derzeit die folgenden Unterauftragsverarbeiter ein. Die Standorte bezeichnen die Regionen, in denen sie unsere Daten verarbeiten.

UnterauftragsverarbeiterZweckRegion
Cloudflare, Inc.Hosting (Workers), Objektspeicher (R2), CDN, DNSWeltweit / UK
Stripe Payments UK, Ltd.Zahlungsabwicklung, SteuererhebungUK / US
Amazon Web Services EMEA SARLPostgres-Hosting, BackupsEU (Irland)
Postmark (Wildbit, LLC)Transaktions-E-Mails (Signatureinladungen, Belege, Benachrichtigungen)US
Google LLCAnmeldung mit Google (sofern vom Kontoinhaber aktiviert)Weltweit

Wir kündigen die Aufnahme oder den Wechsel eines Unterauftragsverarbeiters mindestens 30 Tage im Voraus an. Um diese Mitteilungen zu erhalten, schreiben Sie uns und bitten Sie darum, in die Benachrichtigungsliste für Änderungen bei Unterauftragsverarbeitern aufgenommen zu werden.

13. Automatisierte Entscheidungsfindung

Wir setzen keine automatisierte Entscheidungsfindung oder Profilbildung ein, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

14. Änderungen dieser Erklärung

Wir können diese Erklärung von Zeit zu Zeit aktualisieren. Wesentliche Änderungen teilen wir Ihnen mindestens 30 Tage vor ihrem Inkrafttreten an die für Sie hinterlegte Konto-E-Mail-Adresse mit.

15. Kontakt

Datenschutzfragen, Auskunftsersuchen und Beschwerden: hello@getitsigned.app. Sicherheitsmeldungen: security@getitsigned.app.