EchosigGet Started

Privacy Policy

1. General

This Privacy Policy of Echosig (Backup Archive Solutions GmbH) ("Echosig"), Undinestr. 3, 81927 Munich, provides information on the collection, processing, and use of personal data in accordance with the General Data Protection Regulation (GDPR).

The protection of personal data is a matter of great importance to us. In this Privacy Policy, we explain whether and for what purposes personal data is collected and processed. We comply with all applicable data protection and data security regulations. All personnel with access to personal data are contractually bound to confidentiality and trained on applicable data protection requirements.

2. Controller

The controller within the meaning of Art. 4 No. 7 GDPR is:
Echosig (Backup Archive Solutions GmbH) - Echosig
Undinestr. 3, 81927 Munich
Email: hello@echosig.com
Phone: +49 176 63829541

3. Collected Data

a) Contact Form

Collected data: Name, email address, message.
Purpose: To initiate contact and respond to inquiries.
Legal basis: Art. 6(1)(a), (b), (f) GDPR

b) Contact via Email

Processing of transmitted contact data (name, email address, message content).
Legal basis: Art. 6(1)(b), (f) GDPR

c) Cookies

Use of technically necessary cookies (session management, authentication). No third-party tracking or advertising cookies are used.
Legal basis: Art. 6(1)(b), (f) GDPR, § 25(2) TDDDG

d) Account Registration and Login

When creating an account, we collect: name and email address. The default sign-up method uses email and password. Passwords are stored as one-way hashes only and are never accessible in plaintext. Authentication is handled on our own EU-hosted infrastructure (Hetzner, Germany) with no involvement of third-party services.

As an optional alternative, users may sign in via Google OAuth. This is processed by Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Ireland), an EEA entity. If you choose to use Google sign-in, Google Ireland transmits your name, email address, and profile picture to us for authentication purposes. No data transfer outside the EEA occurs. Using Google sign-in is entirely voluntary; email and password registration is always available.
Legal basis: Art. 6(1)(b) GDPR

e) SaaS Platform Use - Signature and Employee Data

The platform processes personal data entered into email signatures by the account holder or by employees via the magic link form. This may include: employee name, job title, phone number, email address, company name, profile photo, company logo, and marketing banner. The account holder acts as the Controller for this employee data; Echosig acts as Processor pursuant to Art. 28 GDPR and the separately concluded Data Processing Agreement (DPA).
Legal basis: Art. 6(1)(b) GDPR (Processor acting on Controller's instruction)

f) Link Click Analytics (Redirect Tracking)

When recipients click links in deployed email signatures, the platform records a click event (timestamp, redirect destination). No personal data about the link recipient is stored. This data is provided as aggregated usage statistics to the account holder.
Legal basis: Art. 6(1)(b) GDPR

g) Website Analytics

We use OpenPanel, a self-hosted, cookieless analytics tool, to understand how visitors use our website. OpenPanel collects page views, referrer information, and browser/device type. No cookies are set and no personal data is stored. The analytics software runs on our own infrastructure (Hetzner, Germany) and no data is transferred to third parties.
Legal basis: Art. 6(1)(f) GDPR (legitimate interest in understanding website usage to improve our service)

4. Purposes of Processing

Processing is carried out exclusively for the following purposes:

  • Fulfillment of contractual or pre-contractual obligations
  • Communication and support

5. Disclosure to Third Parties

Data is only disclosed where necessary to fulfill a contract or where legally required. Disclosure to public authorities occurs only within the framework of mandatory statutory provisions.

6. Data Retention

Data is stored only as long as necessary for the respective purpose. It will be deleted once that purpose no longer applies, unless retention is required by statutory obligations.

Account deletion

When you delete your account, the following data is erased immediately and permanently: your user profile, all groups and signature templates you owned, all individual signatures generated under those groups, all link-click analytics, all uploaded media files (logos, profile pictures, banners), and your subscription record. Deletion is irreversible. If you hold a paid subscription at the time of deletion, it is cancelled and no further charges are made; the billing period already paid runs to its natural end.

Verification tokens

Temporary tokens issued for email verification and password reset are automatically purged once they expire (typically within 24 hours of issuance).

Analytics data

Link-click analytics are retained for the lifetime of the account and deleted when the account is closed. We use this data exclusively to provide usage statistics to the account holder (Art. 6(1)(b) GDPR).

7. Rights of the Data Subject

  • Right of access (Art. 15 GDPR)
  • Right to rectification (Art. 16 GDPR)
  • Right to erasure (Art. 17 GDPR)
  • Right to restriction of processing (Art. 18 GDPR)
  • Right to data portability (Art. 20 GDPR)
  • Right to object (Art. 21 GDPR)
  • Right to withdraw consent (Art. 7(3) GDPR)
  • Right to lodge a complaint with a supervisory authority (Art. 77 GDPR)

8. Subprocessors

The following table provides an overview of our currently commissioned service providers and processors:

NameServiceData Processing LocationAgreement (DPA/SCCs)
HetznerInfrastructure service providerGermany, EUYes
Google Ireland LimitedAuthentication (optional Google OAuth sign-in; EEA entity, intra-EU processing only)Ireland, EUYes (Google Ireland DPA)
Lettermint B.V.Email deliveryNetherlands, EUYes
Creem OÜPayment processingEstonia, EUPending
c15t (offline mode)Consent management (browser-local only)Germany, EU (Hetzner)N/A (self-hosted, no data transfer)
OpenPanelWebsite analytics (self-hosted, cookieless, no personal data stored)Germany, EU (Hetzner)N/A (self-hosted, no data transfer)

9. Technical and Organizational Measures (TOMs)

a. Confidentiality

Physical Access Control

  • Data centers (Hetzner): Data centers are provided and operated exclusively by external service providers. Echosig and its employees do not have physical access. Access security and physical access control are subject to the certified measures of the respective providers (e.g. ISO 27001).
  • Company premises: Access granted only to employees with keys; visitor access is accompanied and documented.

System Access Control

  • Access rights are granted according to the “least privilege” principle.
  • Password policies (minimum 20 characters, change every 90 days, enforced technically).
  • Use of a password manager.
  • Access only via VPN; strong encryption on all systems (including laptops and storage devices).
  • Use of firewalls, intrusion detection/threat detection systems.
  • Training on screen locking when leaving the workstation.

Data Access Control

  • Granular role assignment; access granted only to authorised personnel.
  • Logging of access to local and cloud systems.
  • Obsolete data is deleted automatically on a regular schedule. Backups are retained only for a defined period and then overwritten or deleted using a rolling process. Any obsolete physical media, if present, are securely destroyed.

Separation Control

  • Customer data is systemically and logically separated (e.g. multi-tenancy, tagging).
  • Only a secured production environment is operated. Development and testing processes are carried out in strictly controlled, temporary instances within this environment, without access to productive customer data.

Pseudonymisation and Encryption

  • All data transmissions are secured via HTTPS/SSL/TLS.
  • Storage and backups are encrypted.
  • Systems are configured to avoid storing IP addresses whenever possible. Where technically required, storage is limited to short periods and deleted or overwritten automatically using a rolling process.

b. Integrity

Input Control

  • Role-based access management.
  • No field-level logging of individual user actions.

Data Transfer Control

  • No physical data transfers - only digital transmission via HTTPS/TLS.
  • Upon termination of contract: deletion of all data not required to be retained by contract, and of user accounts, with confirmation upon request. Legally required data (e.g. under commercial or tax law) is retained in accordance with legal retention periods and then automatically deleted.

c. Availability and Resilience

  • Use of geo-redundant systems (e.g. in availability zones via Hetzner).
  • Data centers are fully operated by external service providers. Information on physical safety (e.g. fire protection, temperature control, UPS) is based on publicly available details from the providers (e.g. Hetzner). Echosighas no direct influence over the physical infrastructure but relies on the certified security standards of the providers (e.g. ISO 27001).
  • Automated, encrypted backups at regular intervals.
  • IT continuity contingency plan in place.

d. Procedures for Regular Review, Assessment and Evaluation

  • Employees are contractually bound to confidentiality.
  • No external or internal data protection officer is currently appointed. Responsibility for data protection is assumed internally by the company management.
  • Data minimisation is ensured through process design.
  • Subprocessors are selected based on data protection and security criteria.
  • DPAs (Data Processing Agreements) are concluded with all relevant service providers.

These TOMs are reviewed regularly and adjusted as necessary to reflect new technical or legal requirements.

10. Changes to this Privacy Policy

We reserve the right to amend this Privacy Policy as necessary. Please check this page regularly for the latest version.

As of: March 2026

Datenschutzerklärung

1. Allgemein

Die vorliegende Datenschutzerklärung der Echosig (Backup Archive Solutions GmbH)("Echosig"), Undinestr. 3, 81927 München, informiert über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten gemäß der Datenschutz-Grundverordnung (DSGVO).

Der Schutz personenbezogener Daten ist uns ein wichtiges Anliegen. In dieser Datenschutzerklärung erläutern wir, ob und zu welchem Zweck personenbezogene Daten erhoben und verarbeitet werden. Wir halten uns an alle geltenden Datenschutz- und Datensicherheitsvorschriften. Alle Personen mit Zugang zu personenbezogenen Daten sind vertraglich zur Vertraulichkeit verpflichtet und werden in den geltenden Datenschutzanforderungen geschult.

2. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:
Echosig (Backup Archive Solutions GmbH) - Echosig
Undinestr. 3
81927 München
E-Mail: hello@echosig.com
Telefon: +49 176 63829541

3. Erhobene Daten

a) Kontaktformular

Erhebung von: Name, E-Mail-Adresse, Nachricht.
Zweck: Kontaktaufnahme und Beantwortung der Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a), b), f) DSGVO

b) Kontaktaufnahme via E-Mail

Verarbeitung der übermittelten Kontaktdaten (Name, E-Mail-Adresse, Inhalt).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b), f) DSGVO

c) Cookies

Verwendung technisch notwendiger Cookies (Session-Verwaltung, Authentifizierung). Es werden keine Drittanbieter-Tracking- oder Werbe-Cookies eingesetzt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b), f) DSGVO, § 25 Abs. 2 TDDDG

d) Kontoregistrierung und Anmeldung

Bei der Kontoerstellung erheben wir: Name und E-Mail-Adresse. Die standardmäßige Registrierungsmethode erfolgt per E-Mail und Passwort. Passwörter werden ausschließlich als Einweg-Hash gespeichert und sind niemals im Klartext zugänglich. Die Authentifizierung erfolgt auf unserer eigenen, in der EU gehosteten Infrastruktur (Hetzner, Deutschland) ohne Einbindung von Drittanbieterdiensten.

Als optionale Alternative können sich Nutzerinnen und Nutzer über Google OAuth anmelden. Dies wird von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland), einem EWR-Unternehmen, verarbeitet. Wählen Sie die Google-Anmeldung, übermittelt Google Ireland Name, E-Mail-Adresse und Profilbild zu Authentifizierungszwecken. Es erfolgt kein Datentransfer außerhalb des EWR. Die Nutzung von Google ist vollständig freiwillig; die E-Mail-/Passwort-Registrierung steht jederzeit als Alternative zur Verfügung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO

e) SaaS-Plattformnutzung - Signatur- und Mitarbeiterdaten

Die Plattform verarbeitet personenbezogene Daten, die vom Kontoinhaber oder von Mitarbeitenden über den Magic-Link in E-Mail-Signaturen eingegeben werden. Dazu können gehören: Name, Position, Telefonnummer, E-Mail-Adresse, Unternehmensname, Profilbild, Unternehmenslogo und Marketing-Banner. Der Kontoinhaber fungiert für diese Mitarbeiterdaten als Verantwortlicher; Echosig handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO und dem gesondert abgeschlossenen Auftragsverarbeitungsvertrag (AVV).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Auftragsverarbeiter auf Weisung des Verantwortlichen)

f) Link-Klick-Analyse (Redirect-Tracking)

Wenn Empfänger auf Links in zugestellten E-Mail-Signaturen klicken, erfasst die Plattform ein Klick-Ereignis (Zeitstempel, Weiterleitungsziel). Personenbezogene Daten des Linkempfängers werden nicht gespeichert. Diese Daten werden dem Kontoinhaber als aggregierte Nutzungsstatistik bereitgestellt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO

g) Website-Analyse

Wir nutzen OpenPanel, ein selbst gehostetes, cookiefreies Analyse-Tool, um die Nutzung unserer Website zu verstehen. OpenPanel erfasst Seitenaufrufe, Referrer-Informationen sowie Browser- und Gerätetyp. Es werden keine Cookies gesetzt und keine personenbezogenen Daten gespeichert. Die Software läuft auf unserer eigenen Infrastruktur (Hetzner, Deutschland); eine Weitergabe an Dritte findet nicht statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots)

4. Verwendungszwecke

Verarbeitung erfolgt ausschließlich zur:

  • Erfüllung vertraglicher oder vorvertraglicher Pflichten
  • Kommunikation und Support

5. Weitergabe an Dritte

Daten werden nur weitergegeben, wenn dies zur Vertragserfüllung erforderlich ist oder gesetzlich vorgeschrieben. Eine Datenübermittlung an Behörden erfolgt nur im Rahmen zwingender gesetzlicher Vorschriften.

6. Speicherdauer

Daten werden nur so lange gespeichert, wie dies für den jeweiligen Zweck notwendig ist. Danach erfolgt eine Löschung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Kontolöschung

Bei Löschung Ihres Kontos werden folgende Daten sofort und unwiderruflich gelöscht: Ihr Nutzerprofil, alle Gruppen und Signaturvorlagen in Ihrem Besitz, alle daraus generierten Einzelsignaturen, alle Link-Klick-Analysen, alle hochgeladenen Mediendateien (Logos, Profilbilder, Banner) sowie Ihr Abonnementdatensatz. Die Löschung ist nicht rückgängig zu machen. Bei Bestehen eines bezahlten Abonnements zum Zeitpunkt der Kontolöschung wird dieses gekündigt; bereits bezahlte Abrechnungszeiträume laufen bis zum natürlichen Ende.

Verifizierungstoken

Temporäre Token für E-Mail-Verifizierung und Passwortzurücksetzung werden nach Ablauf ihrer Gültigkeit (in der Regel innerhalb von 24 Stunden nach Ausstellung) automatisch gelöscht.

Analysedaten

Link-Klick-Analysen werden für die Laufzeit des Kontos gespeichert und bei Kontolöschung entfernt. Diese Daten werden ausschließlich zur Bereitstellung von Nutzungsstatistiken für den Kontoinhaber verwendet (Art. 6 Abs. 1 lit. b DSGVO).

7. Rechte der betroffenen Person

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

8. Subunternehmer

Die nachfolgende Tabelle gibt eine Übersicht über der von uns eingesetzten Auftragsverarbeiter und die wesentlichen Dienstleister:

NameLeistungDatenverarbeitung inVertrag (AVV/SCCs)
HetznerInfrastructure service providerDeutschland, EUJa
Google Ireland LimitedAuthentifizierung (optionale Google OAuth-Anmeldung; EWR-Unternehmen, Verarbeitung innerhalb der EU)Irland, EUJa (Google Ireland AVV)
Lettermint B.V.E-Mail-VersandNiederlande, EUJa
Creem OÜZahlungsabwicklungEstland, EUAusstehend
c15t (offline mode)Einwilligungsverwaltung (nur lokal im Browser)Deutschland, EU (Hetzner)N/A (selbst gehostet, kein Datentransfer)
OpenPanelWebsite-Analyse (selbst gehostet, cookiefrei, keine personenbezogenen Daten)Deutschland, EU (Hetzner)N/A (selbst gehostet, kein Datentransfer)

9. Technische und organisatorische Maßnahmen (TOMs)

a. Vertraulichkeit

Zutrittskontrolle

  • Rechenzentren (Hetzner): Die Rechenzentren werden ausschließlich durch externe Dienstleister bereitgestellt und betrieben. Ein physischer Zutritt durchEchosig oder deren Mitarbeiter erfolgt nicht. Die Zugangssicherheit und Zutrittskontrolle unterliegt den zertifizierten Maßnahmen der jeweiligen Betreiber (z. B. ISO 27001).
  • Firmensitz: Zugang nur für Beschäftigte mit Schlüssel; Besucherzugang nur begleitet. Ausgabe dokumentiert.

Zugangskontrolle

  • Zugriffsrechte werden nach dem „Least Privilege“-Prinzip vergeben.
  • Passwortvorgaben (min. 20 Zeichen, Wechsel alle 90 Tage, technische Durchsetzung).
  • Einsatz eines Passwort-Managers.
  • Zugänge nur über VPN; starke Verschlüsselung aller Systeme (inkl. Notebooks, Datenträger).
  • Einsatz von Firewalls, Intrusion Detection/Threat Detection Systemen.
  • Schulung zur Bildschirmsperre bei Verlassen des Arbeitsplatzes.

Zugriffskontrolle

  • Differenzierte Rollenvergabe; nur berechtigte Mitarbeiter erhalten Zugriff.
  • Zugriffsprotokollierung auf lokale und Cloud-Systeme.
  • Nicht mehr benötigte Daten werden in regelmäßigem Turnus automatisiert gelöscht. Sicherungskopien (Backups) werden nur für eine definierte Dauer aufbewahrt und anschließend im Rolling-Verfahren überschrieben oder gelöscht. Nicht mehr benötigte physische Datenträger, sofern vorhanden, werden durch sicher vernichtet.

Trennung

  • Daten von Kunden systemisch und logisch getrennt (z.B. Mandantentrennung, Tagging).
  • Es wird ausschließlich eine abgesicherte Produktivumgebung betrieben. Entwicklungs- und Testprozesse erfolgen in strikt kontrollierten, temporären Instanzen innerhalb dieser Umgebung ohne Zugriff auf produktive Kundendaten.

Pseudonymisierung und Verschlüsselung

  • Alle Datenübertragungen via HTTPS/SSL/TLS.
  • Speicherung und Backups erfolgen verschlüsselt.
  • Unsere Systeme sind so konfiguriert, dass möglichst keine IP-Adressen gespeichert werden. Wo dies technisch erforderlich ist, erfolgt eine Speicherung nur für sehr kurze Zeiträume, wonach die Daten im Rolling-Verfahren automatisch gelöscht oder überschrieben werden.

b. Integrität

Eingabekontrolle

  • Steuerung durch Benutzerrollen.
  • Keine Einzelaktionsprotokollierung auf Feldebene.

Weitergabekontrolle

  • Keine physische Datenweitergabe - ausschließlich digitale Übertragung via HTTPS/TLS.
  • Nach Beendigung des Vertrags: Löschung aller vertraglich nicht weiter aufzubewahrenden Daten und Accounts auf Wunsch mit Bestätigung. Daten, die gesetzlich (z.B. handels- oder steuerrechtlich) aufzubewahren sind, werden entsprechend den gesetzlichen Fristen gespeichert und anschließend automatisiert gelöscht.

c. Verfügbarkeit und Belastbarkeit

  • Einsatz georedundanter Systeme (z.B. in Verfügbarkeitszonen durch Hetzner).
  • Die Rechenzentren werden vollständig durch externe Dienstleister betrieben. Informationen zur physischen Sicherheit (z.B. Brandschutz, Temperaturkontrolle, USV) stammen aus öffentlich verfügbaren Angaben der Dienstleister (z.B. Hetzner). Echosig hat keinen direkten Einfluss auf die physische Infrastruktur, sondern verlässt sich auf die zertifizierten Sicherheitsstandards der Anbieter (z.B. ISO 27001).
  • Automatisierte, verschlüsselte Backups in regelmäßigen Intervallen.
  • Notfallplan zur IT-Kontinuität vorhanden.

d. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Beschäftigte werden vertraglich zur Vertraulichkeit verpflichtet.
  • Ein externer oder interner Datenschutzbeauftragter ist aktuell nicht benannt. Die Datenschutzverantwortung wird intern durch die Geschäftsführung wahrgenommen.
  • Datenminimierung wird durch Prozessdesign gewährleistet.
  • Auswahl von Subunternehmern nach datenschutzrechtlichen und sicherheitstechnischen Kriterien.
  • Abschluss von AVVs mit allen relevanten Dienstleistern.

Diese TOMs werden regelmäßig überprüft und bei Bedarf an neue technische oder gesetzliche Anforderungen angepasst.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Erklärung bei Bedarf anzupassen. Bitte prüfen Sie regelmäßig den aktuellen Stand.

Stand: März 2026