SSignflowAnmelden

Rechtliches

Datenschutzerklärung

Informationen nach Art. 13 und 14 DSGVO zur Verarbeitung personenbezogener Daten bei der Nutzung von Signflow.

Entwurf — noch nicht freigegeben. Dieser Text spiegelt den technischen Aufbau korrekt wider, ersetzt aber keine rechtliche Prüfung. Vor dem Go-Live müssen die gelb markierten Felder ausgefüllt und die Formulierungen durch eine:n DSB bzw. DSGVO-Berater:in abgenommen werden. Art.-9-Spezifika des Abschlussbericht-Checkers werden in Generator-Templates erfahrungsgemäß nicht sauber abgebildet.

1. Verantwortlicher

Verantwortlicher für den Betrieb dieser Website und der zentralen Plattformfunktionen ist:

innosee GmbH
Bahnhofstraße 1
78351 Bodman-Ludwigshafen
Deutschland
E-Mail: info@innosee.de

Weitere Angaben finden Sie im Impressum.

Multi-Tenant-Kontext: Signflow wird seit 2026-05-05 mehrmandantenfähig betrieben. Für Kurs-, Sitzungs- und Teilnehmerdaten ist in der Regel der jeweilige Bildungsträger Verantwortlicher; innosee GmbH handelt insoweit als Auftragsverarbeiterin nach Art. 28 DSGVO. Die genaue Abgrenzung (Joint Controllership vs. AV) muss durch die DSGVO-Beratung formuliert und je Bildungsträger per AVV bestätigt werden.

2. Datenschutzbeauftragte:r

Benennung eines:r Datenschutzbeauftragten ist bei regelmäßiger Verarbeitung von Art.-9-Daten (Abschlussbericht-Checker) wahrscheinlich Pflicht. Namens- und Kontaktangabe hier vor Go-Live ergänzen.

3. Gegenstand und Module

Signflow wird als zwei funktional getrennte Module betrieben. Für beide gelten unterschiedliche Datenkategorien und Rechtsgrundlagen. Wir beschreiben sie deshalb separat.

  • Signatur-Modul — digitale Erfassung und elektronische Signatur von Anwesenheitsnachweisen für AVGS-Maßnahmen.
  • Abschlussbericht-Checker — KI-gestützte Regelprüfung von AVGS-Abschlussberichten mit vorgeschalteter Anonymisierung.

4. Verarbeitungen im Signatur-Modul

4.1 Zwecke

  • Durchführung und Dokumentation von AVGS-Maßnahmen
  • Erfassung und elektronische Signatur von Stundennachweisen durch Coach und Teilnehmer:in
  • Versand zeitlich begrenzter Magic Links per E-Mail oder optional per SMS zur Authentifizierung der Teilnehmer:innen für die Signatur
  • Versiegelung des Gesamtdokuments mit einer fortgeschrittenen elektronischen Signatur (FES) und Übermittlung an die Agentur für Arbeit

4.2 Datenkategorien

  • Stammdaten (Name, E-Mail-Adresse, Kunden-Nr. der Teilnehmer:innen, optional Mobilnummer für SMS-Versand)
  • Kurs- und Sitzungsdaten (Termine, Themen, Unterrichtseinheiten)
  • Unterschriftsbilder (Canvas-Eingabe, als Bilddatei gespeichert)
  • Signatur-Metadaten (IP-Adresse, Zeitstempel, Rolle) als Audit-Log
  • Bei SMS-Zustellung zusätzlich: Mobilnummer (E.164), Vorname zur Anrede, Kursbezeichnung sowie der Magic-Link selbst — als Bestandteil des SMS-Textes an den Versanddienstleister

4.3 Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen) für die Durchführung der Maßnahme
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für die Dokumentations- und Nachweispflichten gegenüber der Agentur für Arbeit

4.4 FES-Zertifikat (Aussteller)

Für die fortgeschrittene elektronische Versiegelung wird ein qualifiziertes Zertifikat eines eIDAS-akkreditierten Vertrauensdiensteanbieters genutzt (geplanter Anbieter: D-Trust GmbH, Berlin — Bundesdruckerei-Gruppe; vor Live-Schaltung bestätigen). Der Anbieter erhält weder die zu siegelnden Dokumente noch Inhalte daraus; das Siegel wird server-seitig in der Infrastruktur der innosee GmbH auf das fertige PDF angewendet. Im Rahmen der Zertifikats-Ausstellung werden lediglich Unternehmensstammdaten (Handelsregister, Geschäftsführer- Identifizierung) an den Aussteller übermittelt.

5. Verarbeitungen im Abschlussbericht-Checker

5.1 Zwecke

  • Automatisierte Prüfung von AVGS-Abschlussberichten gegen Qualitäts- und Formvorgaben der Bildungsträgerin
  • Live-Feedback zu verbotenen Begriffen, fehlenden Pflichtangaben und stilistischen Problemen während des Schreibens

5.2 Datenkategorien

  • Berichtsinhalte, die im Einzelfall besondere Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO (Gesundheitsdaten) enthalten können
  • Sozialdaten im Kontext der Arbeitsförderung nach SGB III
  • Nach Einreichung: ausschließlich regelkonforme Berichtstexte ohne besondere Kategorien (harter Freigabe-Gate)

5.3 Rechtsgrundlagen

  • Art. 9 Abs. 2 lit. b DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG (Pflichten aus dem Recht der sozialen Sicherheit) für den Prüfvorgang selbst
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Speicherung freigegebener Berichte

5.4 Technische und organisatorische Schutzmaßnahmen

Rohtexte von Berichten werden ausschließlich im Browser der bearbeitenden Person sowie auf einer dedizierten Compute-VM bei der IONOS SE in Deutschland verarbeitet. Dort erfolgt eine dreistufige Anonymisierung (Regex, lokales GLiNER-Modell, IONOS AI Model Hub). Erst die anonymisierte Fassung wird an weitere Verarbeiter weitergeleitet. Rohtexte werden nicht persistent gespeichert.

6. Empfänger und Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister ein. Mit allen Empfängern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Für Empfänger in Drittländern bestehen zusätzlich EU-Standardvertragsklauseln (SCCs).

EmpfängerZweckRegion
Vercel Inc.Hosting der AnwendungEU (Frankfurt), Unternehmenssitz USA — SCCs
Neon Inc.Datenbank (Kurse, Sitzungen, Audit-Log)EU (AWS Frankfurt), Unternehmenssitz USA — SCCs
Cloudflare, Inc.Objekt-Storage (R2) für Unterschriftsbilder, Logos und gesiegelte PDFs; privater Bucket, Zugriff nur über kurzlebige signierte URLsEU-Jurisdiction (Frankfurt/Amsterdam), Unternehmenssitz USA — SCCs
Resend Inc.Versand transaktionaler E-Mails (Magic Links, Einladungen)EU, Unternehmenssitz USA — SCCs
Sieben Communications GmbH (seven.io / sms77)Versand von Magic-Link-SMS an Teilnehmer:innen, sofern für diesen Zustellweg eine Mobilnummer hinterlegt und der Channel vom Coach gewählt wurde. Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen; Verarbeitung ausschließlich in einem ISO 27001 zertifizierten Rechenzentrum in DeutschlandDeutschland (Köln)
IONOS SECompute-VM und AI Model Hub für die Anonymisierung (nur Checker)Deutschland
Microsoft Ireland Operations Ltd. (Azure OpenAI)Regelprüfung auf anonymisiertem Text (Abschlussbericht-Checker) sowie KI-gestützte Compliance-Prüfung der stichwortartigen Coach-Einträge in der Anwesenheitsliste (ANW-Check)EU (Sweden Central oder Germany West Central) — SCCs

7. Speicherdauer

  • Kurs-, Sitzungs- und Signaturdaten: bis zur Erfüllung der maßnahmen- und steuerrechtlichen Aufbewahrungspflichten (in der Regel bis zu 10 Jahre)
  • Unterschriftsbilder: zusammen mit dem zugehörigen Kurs; nach Ablauf der Aufbewahrungspflicht Löschung
  • Rohberichte im Checker-Modul: transient im Browser bzw. RAM der Anonymisierungs-VM, keine persistente Speicherung
  • Freigegebene Berichtsinhalte (nach Regelprüfung): bis zum Ende der Dokumentationspflicht, danach Löschung
  • Audit-Log-Einträge: in der Regel 12 Monate, soweit keine längere gesetzliche Aufbewahrungspflicht besteht
  • Versandprotokolle des SMS-Dienstleisters (Mobilnummer, Zustellstatus, Zeitpunkt): beim Auftragsverarbeiter standardmäßig bis zu 30 Tage, anschließend automatische Löschung; SMS-Inhalte werden über den eigentlichen Versandvorgang hinaus nicht gespeichert

8. Betroffenenrechte

Sie haben gegenüber uns die folgenden Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)
  • Recht auf Widerruf einer Einwilligung für die Zukunft, soweit eine solche erteilt wurde (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an die oben genannte E-Mail-Adresse.

9. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist insbesondere die Aufsichtsbehörde am Sitz des Verantwortlichen:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
baden-wuerttemberg.datenschutz.de

10. Cookies

Wir setzen ausschließlich technisch notwendige Cookies zur Aufrechterhaltung der Sitzung angemeldeter Nutzer:innen ein. Details finden Sie unter Cookie-Hinweis.

11. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling nach Art. 22 DSGVO findet nicht statt. Die Regelprüfung im Abschlussbericht- Checker erzeugt Hinweise, ersetzt aber nicht die inhaltliche Prüfung durch den Coach bzw. die Bildungsträgerin.

12. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung bei Änderungen der Verarbeitung oder der rechtlichen Rahmenbedingungen an. Maßgeblich ist die jeweils unter dieser Adresse abrufbare Fassung.

Stand: 5. Juni 2026 (Entwurf)