Datenschutzerklärung

Verantwortlicher für die Verarbeitung personenbezogener Daten über SACO ist die nachstehende Gesellschaft. Sie können uns oder unseren Datenschutzbeauftragten (DPO) unter den angegebenen Adressen erreichen.

Bis zur Veröffentlichung der endgültigen Registerdaten befindet sich die Gesellschaft in der Schlussphase der Gründung. Die Postfächer für Datenschutz und den DPO sind aktiv.

Diese Erklärung gilt für:

• Besucher unserer Website (saco.app und lokalisierte Unterpfade);
• registrierte Nutzer, die Verträge auf SACO erstellen, senden, bezahlen oder erhalten;
• eingeladene Gegenparteien, die einen Vertrag prüfen und signieren, auch ohne SACO-Konto;
• Personen, die uns über Formulare, E-Mail oder eine Demo-Anfrage kontaktieren.

Bestimmte Seiten oder Schritte werden in unserem Auftrag von Dritten betrieben — insbesondere Tecalis (elektronische Identifikation und Signatur) und Stripe (Zahlungen). In diesen Fällen können diese Anbieter Ihre Daten als eigenständige oder gemeinsame Verantwortliche verarbeiten; siehe Abschnitt 5.

Wir erheben nur die zur Erbringung des Signaturdienstes und zur Einhaltung unserer rechtlichen Pflichten erforderlichen Daten. Hauptkategorien:

• Kontodaten — E-Mail, verschlüsseltes Passwort, Sprache, Authentifizierungs-Tokens und optional Name/Profilangaben.
• Vertragsdaten — Inhalte der hochgeladenen oder erstellten Verträge, Namen und E-Mails der Parteien, ausgefüllte Felder, Zeitstempel, SHA-256-Hashes vor und nach der Signatur, fertiges signiertes PDF.
• KYC-Daten (bei gebuchtem Add-on) — Ausweisbilder, Selfie, Lebendprüfung und Ergebnis. Die Daten werden von Tecalis direkt erhoben; SACO erhält nur das Ergebnis und eine Referenz, keine biometrischen Rohdaten.
• Signatur-Zeremoniedaten — Zeitstempel zu Versand und Prüfung der OTPs, IP-Adresse und User-Agent, Tecalis-Auditbericht.
• Zahlungsdaten — Rechnungsadresse, USt-IdNr. (falls angegeben), Stripe-Kunden- und Abo-IDs, Betrag, Rechnungsnummer, Status. Kartennummern werden in einem von Stripe gehosteten Element eingegeben und erreichen unsere Server nie.
• Technische und Nutzungsdaten — Logs, IP, User-Agent, Zeitmessungen, Einwilligungsnachweise, Sicherheitsereignisse.
• Kommunikation — Ihre Nachrichten an uns und unsere Antworten.

Wir erheben wissentlich keine Daten von Personen unter 16 Jahren. Sollten Sie eine solche Erhebung vermuten, kontaktieren Sie uns zur Löschung.

Jede Kategorie wird nur für die unten genannten Zwecke auf Basis der jeweils angegebenen DSGVO-Rechtsgrundlage verarbeitet (Art. 6; Art. 9 für besondere Kategorien).

Wir verkaufen keine personenbezogenen Daten. Wir geben sie nur an die untenstehenden Verarbeiter und Anbieter weiter, jeweils auf Basis eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO. Einige Anbieter sind für Teilprozesse eigenständig verantwortlich; dies ist in der Tabelle gekennzeichnet.

Unsere Hauptinfrastruktur wird in der Europäischen Union betrieben. Für begrenzte Transfers außerhalb der EU/EWR (z. B. Stripe oder Google reCAPTCHA in den USA) stützen wir uns auf einen der in Kapitel V DSGVO anerkannten Mechanismen:

• Angemessenheitsbeschluss der EU-Kommission und EU–US Data Privacy Framework, sofern der Empfänger zertifiziert ist; und
• Standardvertragsklauseln (SCC) der Kommission, ergänzt um technische und organisatorische Zusatzmaßnahmen gemäß dem Schrems-II-Urteil.

Eine Kopie der Garantien für einen konkreten Transfer erhalten Sie auf Anfrage an dpo@saco.app.

Wir wenden strikte Fristen an. Dokumente und personenbezogene Daten werden gelöscht, sobald sie für den Erhebungszweck nicht mehr erforderlich sind, sofern keine gesetzliche Pflicht eine längere Aufbewahrung verlangt.

Als betroffene Person haben Sie folgende Rechte. Sie können sie per E-Mail an privacy@saco.app ausüben. Wir antworten innerhalb eines Monats; bei komplexen Anfragen kann die Frist um weitere zwei Monate verlängert werden.

• Auskunft — Bestätigung über Verarbeitung und Kopie Ihrer Daten.
• Berichtigung — Korrektur unrichtiger oder unvollständiger Daten.
• Löschung („Recht auf Vergessenwerden") — Löschung, sofern ein DSGVO-Grund vorliegt. Grenzen: Nach Signatur können Beweiszweck und Gesetz uns zur Aufbewahrung bis Ablauf der Frist verpflichten; auf Arweave verankerte Hashes sind nicht widerrufbar (siehe unten).
• Einschränkung der Verarbeitung während einer Prüfung.
• Datenübertragbarkeit — Erhalt Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format.
• Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen oder Direktwerbung.
• Widerruf einer Einwilligung — wirkt für die Zukunft.
• Keine ausschließlich automatisierte Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung. Wir treffen keine solchen Entscheidungen.
• Beschwerde bei einer Aufsichtsbehörde — in Spanien die Agencia Española de Protección de Datos (AEPD). Alternativ bei der Behörde Ihres Wohnsitzlandes.

Hinweis Arweave: Wenn Sie das Blockchain-Add-on gebucht haben, wurde der SHA-256-Hash Ihres signierten Dokuments mit Ihrer vorherigen ausdrücklichen Einwilligung in einem öffentlichen, unveränderlichen Register gespeichert. Dieser Hash ist für sich genommen kein personenbezogenes Datum (Einweg-Prüfsumme) und kann aufgrund des Netzwerkdesigns nicht auf Antrag gelöscht werden. Wir erklären dies beim Kauf und dokumentieren Ihre Einwilligung vor der Verankerung als Audit-Event.

SACO setzt wenige Cookies und vergleichbare Speicher ein, in drei Kategorien:

• Unbedingt erforderlich — Authentifizierung, Sitzung, CSRF-Schutz, Lastverteilung, Einwilligungsstatus. Nicht abschaltbar.
• Präferenzen — Sprache und Oberflächenoptionen.
• Analyse und Marketing — nur mit Opt-in über das Cookie-Banner. Keine seitenübergreifenden Tracking-Cookies.

Sie können Ihre Auswahl jederzeit über das Cookie-Banner ändern. Der Einwilligungsstatus wird bei angemeldeten Nutzern am Konto, sonst in einem First-Party-Cookie gespeichert.

Wir setzen risikoangemessene technische und organisatorische Maßnahmen ein, u. a.:

• Verschlüsselung bei Übertragung (TLS 1.2+) und Speicherung (AES-256);
• Row-Level Security auf allen Tabellen, eingeschränkt auf den authentifizierten Nutzer;
• Passwort-Hashing mit Standard-KDFs und MFA für Admin-Zugänge;
• Virenprüfung jeder Datei vor der Speicherung;
• Rate-Limits und Bot-Schutz an öffentlichen Endpunkten;
• Append-only und hash-verkettetes Audit-Log für jeden Statuswechsel;
• Zugriff nach dem Prinzip des geringsten Privilegs mit dokumentierter Überprüfung.

Bei einer Verletzung mit Risiko für Ihre Rechte melden wir dies der AEPD binnen 72 Stunden und, falls gesetzlich erforderlich, unverzüglich den Betroffenen.

Wenn Sie von einem SACO-Kunden zur Prüfung und Signatur eines Vertrags eingeladen werden, verarbeiten wir nur das Minimum: Ihre E-Mail, den Inhalt des zu signierenden Vertrags, die Zeitstempel von Prüfung und Signatur, IP und User-Agent zum Signaturzeitpunkt und — falls das KYC-Add-on gebucht wurde — das Tecalis-Ergebnis.

Sie können alle DSGVO-Rechte direkt uns gegenüber geltend machen (Abschnitt 8). Für Fragen zum Inhalt oder zum Grund der Einladung wenden Sie sich bitte an den SACO-Kunden, der Ihnen die Einladung geschickt hat — er ist Verantwortlicher für diesen Inhalt.

Wir können diese Erklärung aktualisieren, wenn sich der Dienst, unsere Verarbeiter oder die Rechtslage ändern. Wesentliche Änderungen teilen wir registrierten Nutzern mindestens 15 Tage vor Wirksamwerden per E-Mail mit. Das Datum oben spiegelt immer die aktuelle Fassung.

Bei datenschutzbezogenen Fragen oder Anträgen:

• Allgemeines Datenschutz-Postfach: privacy@saco.app
• Datenschutzbeauftragter: dpo@saco.app
• Aufsichtsbehörde in Spanien: Agencia Española de Protección de Datos
• Europäischer Datenschutzausschuss: edpb.europa.eu