Verantwortlicher
Fatih Bektas
Alte Bruchsaler Str. 28, 69168 Wiesloch
E-Mail: fb@fb-re.de
Kontakt ausschließlich per E-Mail.
Nachfolgend „wir“ oder „Echtly“.
Überblick der Verarbeitungen
Echtly ist eine Plattform für elektronische Signaturen. Wir verarbeiten personenbezogene Daten, um unseren Dienst bereitzustellen, die Sicherheit und Integrität von Signaturvorgängen zu gewährleisten und gesetzliche Aufbewahrungspflichten zu erfüllen.
Rechtsgrundlagen
Wir verarbeiten Ihre Daten auf folgenden Rechtsgrundlagen der DSGVO:
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Bereitstellung der Signaturplattform, Benutzerkonto-Verwaltung, Durchführung von Signaturvorgängen.
- Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Aufbewahrung von Audit-Trails und signierten Dokumenten gem. eIDAS-Verordnung (EU) Nr. 910/2014 sowie handels- und steuerrechtliche Aufbewahrungspflichten.
- Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Betriebssicherheit, Missbrauchsprävention, Verbesserung unseres Dienstes.
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Soweit Sie uns eine gesonderte Einwilligung erteilt haben (z. B. für optionale Benachrichtigungen).
Welche Daten wir erheben
4.1 Registrierung und Benutzerkonto
- Name, E-Mail-Adresse, Passwort (gehashed)
- Team-Zuordnung und Rolle
- Zeitstempel der Registrierung
4.2 Signaturvorgänge
- Name und E-Mail-Adresse der Unterzeichner
- Hochgeladene Dokumente (PDF)
- Signaturbilder (gezeichnet, getippt oder hochgeladen)
- IP-Adresse und User-Agent zum Zeitpunkt der Signatur
- Zeitstempel aller Aktionen (Audit-Trail)
- Sicherheitscodes (OTP) für die Verifizierung
4.3 Technische Daten beim Seitenbesuch
- IP-Adresse (anonymisiert in Server-Logs)
- Browser-Typ und -Version, Betriebssystem
- Datum und Uhrzeit des Zugriffs
- Referrer-URL
Diese Daten werden für den sicheren Betrieb der Website erhoben und nach 30 Tagen automatisch gelöscht.
4.4 E-Mail-Kommunikation
Wir versenden transaktionale E-Mails (Signatur-Einladungen, Erinnerungen, Bestätigungen) über SMTP. Der Inhalt wird nicht für Werbezwecke genutzt.
Speicherdauer und Löschung
| Datenkategorie | Aufbewahrungsfrist |
|---|---|
| Benutzerkonto-Daten | Bis zur Kontolöschung + 30 Tage |
| Signierte Dokumente & Audit-Trails | 10 Jahre (§ 257 HGB / § 147 AO) |
| Nicht versendete Entwürfe (Original-PDFs) | Standard 30 Tage nach letzter Bearbeitung · teamweise konfigurierbar (30/60/90/365 Tage oder deaktivieren). Warn-E-Mail 5 Tage vor Löschung an den Team-Owner. |
| Zurückgezogene & abgelaufene Umschläge (Original-PDFs) | Standard 60 Tage · gleiche Konfigurationsoptionen wie Entwürfe |
| Server-Logs | 30 Tage |
| E-Mail-Kommunikation | Dauer des Signaturvorgangs + 10 Jahre |
Empfänger und Auftragsverarbeitung
Wir geben Ihre Daten nur weiter, soweit dies für die Erbringung unseres Dienstes erforderlich ist:
- Hosting & Speicherung: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland – Server und Objektspeicher (S3-kompatibel) in deutschen Rechenzentren. Auftragsverarbeitungsvertrag (AVV) liegt vor.
- E-Mail-Versand: Der Versand erfolgt über selbst betriebene SMTP-Infrastruktur auf Servern der Hetzner Online GmbH in Deutschland. Es wird kein externer E-Mail-Dienstleister (z. B. SendGrid oder Mailgun) eingesetzt. Es werden nur die für den Versand notwendigen Daten (Empfänger-E-Mail, Betreff, Inhalt) übermittelt.
Eine Übermittlung in Drittländer außerhalb der EU/des EWR findet nicht statt. Alle Daten werden ausschließlich auf Servern in Deutschland verarbeitet und gespeichert.
Datensicherheit
Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:
- TLS-Verschlüsselung (HTTPS) für alle Verbindungen
- Passwort-Hashing mit bcrypt
- Zugriffskontrolle über rollenbasierte Berechtigungen (RBAC)
- Lückenloser Audit-Trail aller Signaturvorgänge
- Digitale Signierung fertiger Dokumente mit PKCS#7/CMS
- Rate-Limiting für öffentliche Endpunkte
- CSRF-Schutz und Security-Header (HSTS, CSP)
8.1 SSL/TLS-Verschlüsselung
Die gesamte Kommunikation zwischen Ihrem Browser und unseren Servern ist über TLS 1.2+ verschlüsselt. Das Zertifikat wird automatisch über Let's Encrypt ausgestellt und erneuert. Sie erkennen die verschlüsselte Verbindung am Schloss-Symbol in der Adressleiste Ihres Browsers und am Präfix https:// in der URL.
Ihre Rechte als betroffene Person
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
- Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
- Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermitteln.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO jederzeit widersprechen.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an fb@fb-re.de.
9.1 Verfahren zur Ausübung Ihrer Rechte
- Senden Sie Ihre Anfrage per E-Mail an fb@fb-re.de.
- Zur Verifizierung Ihrer Identität kann ein Nachweis erforderlich sein.
- Wir antworten innerhalb von 30 Tagen nach Eingang Ihrer Anfrage (Art. 12 Abs. 3 DSGVO).
- Bei komplexen Anfragen kann die Frist um bis zu zwei weitere Monate verlängert werden. Sie werden darüber informiert.
- Die Ausübung Ihrer Rechte ist grundsätzlich kostenfrei, es sei denn, Anfragen sind offenkundig unbegründet oder exzessiv.
Beschwerderecht bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.
Die für uns zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
Besonderheiten bei elektronischen Signaturen
Im Rahmen der Durchführung elektronischer Signaturvorgänge verarbeiten wir folgende zusätzliche Daten, die für die Nachweisbarkeit und Rechtsverbindlichkeit der Signatur erforderlich sind:
- Digitale Signaturbilder (Zeichnung, Schriftzug oder hochgeladenes Bild)
- Zeitstempel der Signaturhandlung (RFC 3161-konform)
- IP-Adresse und User-Agent des Unterzeichners zum Signaturzeitpunkt
- Zustimmungserklärung zur elektronischen Signatur gem. eIDAS-Verordnung
- Hash-Werte (SHA-256) der signierten Dokumente
Diese Daten werden als Bestandteil des Audit-Trails für die gesetzliche Aufbewahrungsfrist von 10 Jahren gespeichert und können nicht vorzeitig gelöscht werden.
Automatisierte Entscheidungsfindung (Art. 22 DSGVO)
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Alle relevanten Entscheidungen werden von natürlichen Personen getroffen.
Einwilligungsmanagement (Cookie-Consent)
Beim ersten Besuch unserer Website wird Ihnen ein Cookie-Consent-Banner angezeigt, über das Sie Ihre Präferenzen für verschiedene Cookie-Kategorien verwalten können:
- Notwendig (immer aktiv) – Technisch erforderliche Cookies für Sitzungsverwaltung und CSRF-Schutz. Eine Einwilligung ist gemäß § 25 Abs. 2 TDDDG nicht erforderlich.
- Statistik (derzeit nicht aktiv) – Reserviert für zukünftige Analysefunktionen zur Verbesserung unseres Angebots. Wird nur mit Ihrer ausdrücklichen Einwilligung aktiviert.
- Marketing (derzeit nicht aktiv) – Reserviert für zukünftige personalisierte Inhalte. Wird nur mit Ihrer ausdrücklichen Einwilligung aktiviert.
Ihre Einstellungen werden ausschließlich lokal in Ihrem Browser gespeichert (localStorage) und nicht an unsere Server übermittelt. Sie können Ihre Präferenzen jederzeit über den Link „Cookie-Einstellungen“ im Footer der Website ändern oder zurücksetzen.
Datenschutz von Minderjährigen
Unser Dienst richtet sich an Unternehmen und volljährige Personen. Die Plattform ist nicht für die Nutzung durch Personen unter 16 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen.
Sollte uns bekannt werden, dass eine minderjährige Person personenbezogene Daten übermittelt hat, werden diese unverzüglich gelöscht. Bitte kontaktieren Sie uns unter fb@fb-re.de, wenn Sie Kenntnis von einem solchen Fall haben.
Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.
Weitere Angaben zum Anbieter findest du im Impressum.