Diese Informationen gelten für sämtliche Verarbeitungen von personenbezogenen Daten durch Paperless GmbH, die im Rahmen des Ausfüll- und Signaturprozesses von Formularen und Dokumenten über die Website submit.paperless.io ("Ausfülloberfläche") bzw. kundenspezifische Domains mit gleichem Funktionsumfang (nachfolgend "Prozess”) erfolgen. Verantwortlicher des Prozesses im Sinne des Datenschutzrechts (vgl. Art. 4 Nr. 7 DSGVO) ist die
Paperless GmbH
Große Friedberger Straße 13-17
D-60313 Frankfurt am Main
Die Paperless GmbH ("Paperless”, "wir” oder”uns”) unterliegt den gesetzlichen Datenschutzvorschriften, insbesondere den Bestimmungen der Verordnung (EU) 2016/679 (Datenschutzgrundverordnung – "DSGVO”), des Bundesdatenschutzgesetzes ("BDSG") und des Telemediengesetzes ("TMG”).
Nachfolgend finden Sie unter anderem Informationen darüber, welche personenbezogenen Daten im Rahmen des Prozesses verarbeitet werden, zu welchen Zwecken dies jeweils geschieht und welche Rechte Ihnen diesbezüglich als Betroffene(r) zustehen.
Paperless hat einen Datenschutzbeauftragten bestellt, den Betroffene zu allen Fragen zu Rate ziehen können, die mit der Verarbeitung ihrer personenbezogenen Daten oder der Wahrnehmung ihrer Rechte als gemäß DSGVO, BDSG und sonstigen datenschutzrechtlichen Bestimmungen im Zusammenhang stehen. Der Datenschutzbeauftragte ist unter folgenden Kontaktdaten erreichbar:
Paperless GmbH
- Der Datenschutzbeauftragte -
Große Friedberger Straße 13-17
D-60313 Frankfurt am Main
E-Mail: datenschutz@paperless.io
In diesem Abschnitt möchten wir Sie detailliert über die Vorgänge innerhalb des Prozesses informieren, in denen Ihre personenbezogenen Daten durch Paperless verarbeitet werden; hierzu stellen wir Ihnen nachstehend zu jedem dieser Vorgänge jeweils alle von Art. 13, 14 DSGVO geforderten Informationen bereit.
Bei jedem Aufruf der Ausfülloberfläche in Ihrem Webbrowser, also auch wenn Sie sich noch nicht zur Nutzung bestimmter Funktionen dieser Webseiten registriert haben oder uns in sonstiger Form aktiv Informationen übermitteln, werden über den Webbrowser Ihres Rechners folgende Daten an uns übermittelt:
(nachfolgend gemeinsam "Nutzungsdaten”).
Paperless verarbeitet Ihre Nutzungsdaten ausschließlich dazu, Ihnen den Abruf der Ausfülloberfläche mittels Ihres Webbrowsers zu ermöglichen. Rechtsgrundlage dieser Verarbeitung ist Art. 6 Abs. 1 S. 1 Buchst. f) DSGVO. Eine Übermittlung Ihrer Nutzungsdaten an andere Empfänger findet nicht statt. Ab dem Zeitpunkt Ihrer Erhebung speichern wir Ihre Nutzungsdaten jeweils für den Zeitraum der Sitzung Ihres Webbrowsers. Ihnen obliegt weder eine gesetzliche noch vertragliche Pflicht zur Bereitstellung Ihrer Nutzungsdaten, jedoch können Sie die Ausfülloberfläche ohne Verarbeitung dieser Daten nicht nutzen.
Bei Aufruf der Ausfülloberfläche werden sog. Cookies auf Ihrem Endgerät platziert. Dies sind kleine Textdateien, die über Ihren Webbrowser von unserem Webserver auf Ihren Rechner übertragen und dort auf dem permanenten Speicher (Festplatte, Festspeicher o.ä.) gespeichert werden. Weitere Informationen zu den hierbei verarbeiteten Daten, Dauer und Zwecken deren Verarbeitung sowie Verantwortlichen und Datenempfängern finden Sie unter 4. Cookies.
Kunden der Paperless GmbH können Drittnutzer (Sie) u.a. per E-Mail dazu einladen, ein über die Ausfülloberfläche bereitgestelltes Formular bzw. Dokument einzusehen, zu ändern und/oder zu signieren. Diese E-Mail enthält u.a. einen Hyperlink zu dem betreffenden Formular bzw. Dokument. Wenn Sie diesen Hyperlink aktivieren, öffnet sich die Benutzeroberfläche der Paperless-Plattform in einem Fenster Ihres Browsers. Bevor Sie dort das Dokument einsehen oder bearbeiten können, werden Sie gefragt, ob Sie mit der Nachverfolgung Ihrer Aktivitäten im Zusammenhang mit der Durchsicht, Änderung und Signatur dieses Dokuments einverstanden sind. Sie sind weder vertraglich noch rechtlich verpflichtet, dieses Einverständnis zu erteilen. Wenn Sie Ihr Einverständnis bestätigen, erfasst Paperless Uhrzeit, genutzte IP-Adresse (ungekürzt) und Ihren Browser User-Agent jeweils für folgende Ereignisse (gemeinsam "Ereignisdaten”):
Die Verarbeitung der Ereignisdaten erfolgt ausschließlich zu dem Zweck, unbefugtes und/oder missbräuchliches Nutzungsverhalten (z.B. Einsatz von Robotern) zu verhindern sowie dem Paperless-Kunden Informationen bereitzustellen, die für den Nachweis der Identität des Drittnutzers relevant sind und vom Paperless-Kunden erforderlichenfalls zur Beweisführung genutzt werden können. Rechtsgrundlage dieser Verarbeitung ist Art. 6 Abs. 1 S. 1 Buchst. a) DSGVO (d.h. Ihre datenschutzrechtliche Einwilligung). Paperless speichert die Ereignisdaten jeweils 10 Jahre lang.
Die für Drittnutzer (über die Einladung des Paperless-Kunden) zugängliche Ausfülloberfläche der Paperless-Plattform umfasst verschiedene Auswahl- oder Eingabefelder, in denen Sie Daten eingeben können. Das gleiche gilt für elektronische Formulare bzw. Dokumente, die dort von einem Paperless-Kunden für Sie bereitgestellt werden. Dateneingaben, die Sie zur Nutzung bestimmter Funktion (z.B. Signatur eines elektronischen Dokuments) machen müssen, sind jeweils entsprechend gekennzeichnet; Sie sind aber rechtlich nicht verpflichtet, solche Eingaben zu machen.
Alle Eingaben, die Sie in den Auswahl- oder Eingabefelder der Paperless-Plattform machen ("Manuelle Dateneingaben"), verarbeitet der Paperless-Kunde
Paperless speichert Ihre Manuellen Dateneingaben mindestens jeweils bis zu dem Tag, an dem der betreffende Vertrag bzw. die betreffende Willenserklärung jeweils vollständig erledigt ist (z.B. durch Erfüllung aller Leistungspflichten); Im Regelfall werden Manuelle Dateneingaben allerdings länger gespeichert; dies geschieht, soweit diese Daten einer gesetzlichen Aufbewahrungsfrist unterliegen (z.B. sechs oder zehn Jahre für besteuerungsrelevante Informationen), die zum Zeitpunkt der Erledigung noch nicht abgelaufen ist. In diesem Fall werden die betroffenen Manuellen Dateneingaben nach Ablauf dieser gesetzlichen Aufbewahrungsfrist gelöscht.
Paperless verarbeitet Zugangsdaten, Ereignisdaten, Nutzungsdaten und Manuelle Dateneingaben des Drittnutzers jeweils soweit dies im Einzelfall erforderlich ist, um Störungen oder widerrechtliche Eingriffe in die von uns eingesetzten Netze oder Informationssysteme abzuwehren, welche (i) die Verfügbarkeit, Authentizität, Vollständigkeit und/oder Vertraulichkeit der hiermit verarbeiteten personenbezogenen Daten bzw. die Sicherheit der hierauf betriebenen Dienste (einschließlich deren Nutzung zur Begehung von Straftaten oder Ordnungswidrigkeiten) beeinträchtigen würden.
Diese Daten verarbeiten wir auf Basis von Art. 6 Abs. 1 S. 1 Buchst. f) DSGVO, d.h. dem berechtigten Interesse von Paperless, seinen Vertragspartnern und Drittnutzern, die Sicherheit der Daten, Dienste und Systeme zu gewährleisten, die Paperless-SaaS vertragsgemäß anbieten bzw. nutzen zu können und Schäden an Rechtsgütern von Paperless, seinen Vertragspartnern und Drittnutzern abzuwenden.
Zu diesen Zwecken speichern wir die Zugangsdaten, Ereignisdaten und Nutzungsdaten des Drittnutzers grundsätzlich für 8 Wochen, jeweils beginnend ab ihrer Erhebung durch bzw. im Auftrag von Paperless; sollte während dieser Zeit der begründete Verdacht der Beteiligung des Drittnutzers an einem widerrechtlichen Eingriff ergeben, speichern wir Ihre Nutzungsdaten bis zu dem Zeitpunkt, an dem dieser Verdacht ausgeräumt oder, andernfalls, die Rechtsverfolgung wegen dieser Beteiligung abgeschlossen wurde.
Die Ereignisdaten und Nutzungsdaten des Drittnutzers werden zur Abwehr von Störungen und widerrechtlichen Eingriffe ggf. an unsere IT-Sicherheitsdienstleister offengelegt (eine aktuelle Liste dieser Dienstleister finden Sie in der Liste der Unterauftragnehmer der Paperless GmbH). Im Falle des begründeten Verdachts der Beteiligung des Drittnutzers an einem widerrechtlichen Eingriff werden seine Nutzungsdaten und, soweit im Einzelfall erforderlich, sonstigen Paperless vorliegenden personenbezogenen Daten zum Zwecke der Rechtsverfolgung an die zuständigen Behörden, Gerichte und die zur Wahrnehmung der Rechte von Paperless beauftragte Personen (z.B. Rechtsanwälte) offengelegt; wenn der Drittnutzer für einen Vertragspartner von Paperless handelt, legen wir seine Name und E-Mail-Adresse und Nutzungsdaten zudem gegenüber diesem Vertragspartner offen soweit dies zum Schutz des Vertragspartners erforderlich ist.
Paperless ist berechtigt, die vom Drittnutzer erhobenen personenbezogenen Daten auch zu verarbeiten, soweit dies zur Einhaltung unserer rechtlichen Pflichten gemäß europäischen oder mitgliedstaatlichen Recht erforderlich ist. Insoweit werden wir diese Daten – wie jedes andere Unternehmen auch – verarbeiten, um beispielsweise Meldungen gemäß Artt. 33, 34 DSGVO durchzuführen oder direkte Anordnungen von europäischen und mitgliedstaatlichen Behörden und Gerichten zu befolgen. Auskunft und Informationen zu weiteren solchen Rechtspflichten erteilt unser Datenschutzbeauftragter auf Anfrage.
Solche Verarbeitungen erfolgen jeweils auf Basis von Art. 6 Abs. 1 S. 1 Buchst. f) DSGVO, d.h. unserem berechtigten Interesse, unseren rechtlichen Verpflichtungen nachzukommen. Zu diesem Zweck speichern wir personenbezogene Daten des Drittnutzers, bis unsere jeweilige rechtliche Pflicht erfüllt oder erledigt ist. Soweit wir zur Auskunft und/oder Übermittlung der personenbezogenen Daten des Drittnutzers an Behörden, Gerichte oder sonstige Stellen rechtlich verpflichtet sind, werden wir diese Daten im jeweils vorgeschriebenen Umfang auch gegenüber solchen Stellen offenlegen.
Ein Cookie ist eine kleine Textdatei, die beim Besuch einer Website auf Ihrem Computer oder mobilen Gerät gespeichert wird. Wenn Sie als Drittnutzer ein über die Ausfülloberfläche ein für Sie bereitgestelltes elektronisches Formular bzw. Dokument einsehen, ändern oder elektronisch signieren, werden Cookies auf Ihrem Endgerät platziert.
Paperless nutzt ausschließlich sogenannte notwendige Erstanbieter-Cookies, die ausschließlich von Paperless gesetzt, gelesen und kontrolliert werden, nicht von externen Anbietern. Mithilfe der Cookies kann sich Paperless Ihre Benutzersitzung und Einstellungen (wie Sprache usw.) für einen bestimmten Zeitraum merken. Dadurch brauchen Sie diese beim Navigieren auf der Ausfülloberfläche während desselben Besuchs nicht erneut vorzunehmen.
Cookies zur Gewährleistung der Betriebsbereitschaft der Website
Diese Cookies müssen wir setzen, damit die Ausfülloberfläche funktioniert. Zu diesen Cookies holen wir daher nicht Ihre vorherige Zustimmung ein. Dazu zählen:
Authentifizierungscookies
Diese werden von unserem Authentifizierungsdienst gespeichert, wenn Sie die Ausfülloberfläche nutzen.
Name: _session_id
Dienst: Paperless-Plattform
Zweck: Authentifizierung zur Nutzung der Ausfülloberfläche
Art des Cookies und Vorhaltedauer: Erstanbieter-Sitzungscookie – wird nach Verlassen des Browsers gelöscht
Technische Cookies
Diese werden von unserem Authentifizierungsdienst gespeichert, wenn Sie die Ausfülloberfläche nutzen. Damit akzeptieren Sie auch die entsprechende Datenschutzpolitik.
Name: CSRF-TOKEN
Dienst: Paperless-Plattform
Zweck: Vermeidet website- übergreifende Angriffe
Art des Cookies und Vorhaltedauer: Erstanbieter-Sitzungscookie – wird nach Verlassen des Browsers gelöscht
Darüber hinaus werden keine weiteren Cookies auf der Ausfülloberfläche genutzt.
Nachfolgend möchten wir Sie über die Rechte informieren, die Ihnen als Betroffene(r) nach Maßgabe der Art. 15-21 DSGVO und Art. 77 Abs. 1 DSGVO zustehen. Zur Geltendmachung dieser Rechte können Sie sich insbesondere per E-Mail datenschutz@paperless.io an unseren Datenschutzbeauftragten wenden.
Nach Art. 15 DSGVO haben Sie das Recht, von Paperless formlos eine Bestätigung darüber zu verlangen, ob und welche personenbezogene Daten von Ihnen verarbeitet werden.
Das Auskunftsrecht erstreckt sich auf die folgenden Informationen:
Falls zutreffend und soweit möglich, haben Sie auch Anspruch auf Auskunft über folgende Informationen:
Paperless ist auch verpflichtet, Ihnen auf Wunsch eine Kopie des Gesamtbestands Ihrer durch Paperless als Verantwortlicher verarbeiteten personenbezogenen Daten zu Verfügung zu stellen; die Daten werden in demjenigen Umfang und Format zur Verfügung gestellt, in dem diese Paperless zum Zeitpunkt Ihres Auskunftsbegehrens vorliegen.
Nach Art. 16 DSGVO haben Sie das Recht, von Paperless die Berichtigung oder Vervollständigung Ihrer personenbezogener Daten zu verlangen, soweit diese unrichtig bzw. unvollständig sind. So können Sie inhaltlich nicht-korrekte Daten (etwa: durch Tippfehler/Leseversehen bei Handschriften) korrigieren lassen.
Nach Art. 17 DSGVO haben Sie das Recht, von Paperless die Löschung Ihrer personenbezogenen Daten zu verlangen, insbesondere wenn
Nach Art. 18 DSGVO haben Sie das Recht, von Paperless die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit
In Fällen der Einschränkung der Verarbeitung dürfen wir Ihre Daten nur in gesetzlich festgelegten Ausnahmefällen weiterverarbeiten. Von der Aufhebung einer solchen Einschränkung werden wir Sie vorab unterrichten.
Nach Art. 20 DSGVO haben Sie das Recht, die von Ihnen an Paperless bereitgestellten personenbezogenen Daten zu Ihrer Person in strukturiertem, gängigem und maschinenlesbarem Format zu erhalten.
Das Recht auf Datenübertragbarkeit erstreckt sich nicht auf personenbezogene Daten die
Das Recht auf Datenübertragbarkeit besteht außerdem nicht, wenn
Unter gewissen Umständen haben Sie zudem das Recht, Ihre betroffenen personenbezogenen Daten an einen anderen Verantwortlichen – auch, sofern technisch möglich, direkt durch Paperless - zu übermitteln.
Nach Art. 21 Abs. 1 DSGVO haben Sie das Recht, einer Verarbeitung Ihrer personenbezogenen Daten durch Paperless zu widersprechen, soweit diese rechtlich auf den Umstand gestützt wird, die betreffende Verarbeitung sei
Der Widerspruch kann formfrei eingelegt werden, muss aber begründet werden; insoweit sind die sich aus Ihrer besonderen Situation ergebenden Gründe zu erläutern, die gegen die Zulässigkeit der Verarbeitung sprechen.
Im Falle eines berechtigten Widerspruchs wird Paperless Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, es sind zwingende schutzwürdige Gründe für die Verarbeitung nachgewiesen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Falls Sie gegenüber Paperless in die Verarbeitung Ihrer personenbezogenen Daten eingewilligt haben, können Sie diese Einwilligung jederzeit, insgesamt oder bezüglich einzelner Zwecke der Verarbeitung, jeweils kostenlos und mit Wirkung für die Zukunft widerrufen. Bitte beachten Sie, dass die Verarbeitung, die bis zum Zeitpunkt Ihres Widerrufs erfolgt ist, nicht rückwirkend aufgrund Ihres Widerrufs entfällt.
Ihnen steht gemäß Art. 77 Abs. 1 DSGVO schließlich das Recht zu, gegen die Verarbeitung Ihrer personenbezogenen Daten durch Paperless Beschwerde bei einer Aufsichtsbehörde einzureichen, soweit Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen datenschutzrechtliche Bestimmungen verstößt. Die Beschwerde können Sie insbesondere bei der Aufsichtsbehörde an Ihrem Aufenthaltsort, Arbeitsplatz oder dem Ort des mutmaßlichen Verstoßes einreichen. Die für Paperless zuständige Aufsichtsbehörde ist
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163, D-65021 Wiesbaden
Telefon: +49 611 1408 – 0 / Telefax: +49 611 1408 - 900 / 901
E-Mail: poststelle@datenschutz-hessen.de
Daneben bleibt Ihnen die Möglichkeit, sonstige Ihnen zustehenden Rechtsbehelfe (z.B. bei Gerichten oder Behörden) geltend zu machen.
"Betroffener": eine natürliche Personen, deren personenbezogene Daten Gegenstand einer bestimmten Verarbeitung sind;
"Dritter": eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
"Empfänger": eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht;
"Einschränkung der Verarbeitung": die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken (dies kann z.B. dadurch geschehen, dass ausgewählte personenbezogene Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentlichte Daten vorübergehend von einer Website entfernt werden, vgl. DSGVO-Erwägungsgrund 67);
"Einwilligung": jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung des Betroffenen in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit welcher der Betroffene zu verstehen gibt, dass er mit der Verarbeitung der ihn betreffenden personenbezogenen Daten einverstanden ist;
"Personenbezogene Daten": jede Information, die sich auf eine identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die vom Verantwortlichen unter verhältnismäßigem Aufwand identifiziert werden kann, insbesondere mittels Zuordnung von und/oder Kombination mit weiteren verfügbaren Informationen;
"Verarbeitung": jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
"Verantwortlicher": jede Person oder Stelle, welche die Zwecke und wesentlichen Mittel (z.B. Speicherdauer, Zugriffsberechtigungen) der Verarbeitung personenbezogener Daten bestimmt oder hierauf (gemeinsam mit anderen Verantwortlichen) zumindest maßgeblichen Einfluss nimmt und insoweit verpflichtet ist, die jeweils einschlägigen datenschutzrechtlichen Pflichten zu erfüllen.