Book a Meeting
Sign In
View Categories

Auftragsverarbeitungsvereinbarung (AVV) für die Plattform „Attrian“

Geschätzte Lesezeit: 5 min read

Mit der Nutzung der Plattform „Attrian“ stimmen Sie dieser Auftragsverarbeitungsvereinbarung (AVV) zwischen Ihnen (im Folgenden „Kunde“ oder „Sie“) und der BrainWave Software GmbH (im Folgenden „wir“, „BrainWave“ oder „Auftragsverarbeiter“) zu. Diese AVV regelt die Verarbeitung personenbezogener Daten, die Sie auf der Plattform hochladen oder verwalten – insbesondere Daten Ihrer Partner, Mitarbeiter oder anderer Dritter –, gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO). Der gesamte Betrieb der Plattform wird von der Concat AG übernommen.

Zweck und Umfang der Datenverarbeitung #

Unsere Dienstleistung

Wir bieten Ihnen mit „Attrian“ eine SaaS Software als Plattform für stetig sich verbessernde und zunehmende Services. Unter anderem wird folgendes durch Attrian bereitgestellt:

  • Digitale Signaturen (einfache – EES, fortgeschrittene – AES, qualifizierte – QES),
  • Sicheres Filesharing,
  • Identitätsprüfung (IDP),
  • Gestaltung und Verwaltung von Dokumenten, Verträgen.

Wenn Sie Daten von Dritten (z. B. Unterzeichnern, Vertragspartnern, Mitarbeitern) hochladen, verarbeiten wir diese in Ihrem Auftrag.

Art der Verarbeitung

Wir erheben, speichern, organisieren, strukturieren, übermitteln, nutzen und löschen personenbezogene Daten gemäß Ihren Anweisungen. Dies umfasst:

  • Speicherung und Verschlüsselung hochgeladener Dokumente,
  • Verarbeitung von Identitätsdaten für Signaturen (z. B. QES mit Halcom D.D.),
  • Bereitstellung von Signaturprotokollen,
  • Weitergabe an Zahlungsdienstleister (Stripe).

Dauer

Diese AVV gilt, solange Sie die Plattform nutzen. Nach Vertragsende löschen wir Ihre Daten gemäß Abschnitt 7, es sei denn, gesetzliche Aufbewahrungspflichten (z. B. steuerrechtlich) verhindern dies.

Betroffene Personen und Datenkategorien #

Betroffene Personen

  • Ihre Partner,
  • Ihre Mitarbeiter,
  • Unterzeichner von Dokumenten,
  • Empfänger von geteilten Dateien,
  • Andere Dritte, deren Daten Sie hochladen.

Datenkategorien

  • Stammdaten: Name, E-Mail-Adresse, Telefonnummer, Firmenname, Adresse.
  • Identitätsdaten: Ausweisnummer, biometrische Daten (bei videobasierter IDP), Signaturzertifikate.
  • Dokumentinhalte: Texte, PDFs, Verträge oder andere hochgeladene Dateien.
  • Transaktionsdaten: Datum, Uhrzeit, IP-Adresse, Geräteinformationen, Signaturprotokolle.
  • Zahlungsdaten: Rechnungsdaten, Kreditkarteninformationen (via Stripe).

Sie bestimmen, welche Daten Sie hochladen, und tragen die Verantwortung für deren Rechtmäßigkeit.

Ihre Pflichten #

Rechtmäßigkeit der Verarbeitung

Sie garantieren, dass Sie berechtigt sind, die Daten Ihrer Partner, Mitarbeiter oder Dritter auf „Attrian“ zu verarbeiten (z. B. durch Einwilligung, Vertrag oder gesetzliche Grundlage gemäß Art. 6 DSGVO). Sie informieren die Betroffenen über die Nutzung der Plattform (gemäß Art. 13/14 DSGVO).

Anweisungen an uns

Sie teilen uns mit, wie wir Ihre Daten verarbeiten sollen – über die Plattform (z. B. Einstellungen) oder per E-Mail an support@attrian.de.

Haftung

Sie bleiben gegenüber den Betroffenen der Verantwortliche im Sinne der DSGVO und haften für Ansprüche, die aus einer unrechtmäßigen Datenverarbeitung entstehen.

Unsere Pflichten #

Verarbeitung nach Ihren Weisungen

Wir verarbeiten die Daten ausschließlich nach Ihren Anweisungen und dieser AVV. Sollten gesetzliche Vorgaben (z. B. Steuerrecht) eine abweichende Verarbeitung erfordern, informieren wir Sie vorher, soweit rechtlich zulässig.

Concat AG als Betriebspartner

Deraw Der gesamte Betrieb der Plattform – einschließlich Hosting, Support, Wartung und technischer Datenschutz – wird von der Concat AG übernommen. Concat agiert als unser Unterauftragsverarbeiter und ist vertraglich an diese AVV gebunden.

Technische und organisatorische Maßnahmen (TOMs)

Wir (über Concat AG) setzen folgende Sicherheitsmaßnahmen um:

  • Verschlüsselung: AES-256 für Datenübertragung (TLS 1.3) und Speicherung.
  • Zugriffskontrollen: Zwei-Faktor-Authentifizierung (2FA) für Nutzer und Administratoren, rollenbasierte Zugriffsrechte.
  • Überwachung: Regelmäßige Sicherheitsaudits durch externe Experten (mindestens jährlich).
  • Backups: Verschlüsselte Sicherungen mit Zugriffsbeschränkung, Löschung nach 90 Tagen.
  • Protokollierung: Nachvollziehbare Logs für administrative Zugriffe.

Eine vollständige Liste der TOMs stellen wir Ihnen auf Anfrage zur Verfügung.

Vertraulichkeit

Alle Personen, die bei uns oder bei Concat AG mit Ihren Daten arbeiten, sind schriftlich zur Vertraulichkeit verpflichtet.

Unterauftragsverarbeiter

Wir setzen folgende Unterauftragsverarbeiter ein:

  • Concat AG: Hosting, Betrieb, Support.
    [Adresse einfügen], E-Mail: datenschutz@concat.de.
  • Halcom D.D.: Qualifizierter Vertrauensdiensteanbieter (TSP) für QES-Zertifikate.
    [Adresse einfügen], E-Mail: [E-Mail-Adresse einfügen].
  • Stripe Payments Europe, Ltd.: Zahlungsabwicklung (als eigenständiger Verantwortlicher).
    [Adresse einfügen], E-Mail: (stripe.com/de/privacy)

Für den Einsatz weiterer Unterauftragsverarbeiter holen wir Ihre schriftliche Zustimmung ein (per E-Mail ausreichend). Alle Unterauftragsverarbeiter sind vertraglich an die gleichen Standards wie wir gebunden (Art. 28 Abs. 4 DSGVO).

Unterstützung bei Ihren Pflichten

Wir unterstützen Sie bei:

  • Betroffenenrechten: Bearbeitung von Auskunfts-, Löschungs- oder Berichtigungsanfragen (Art. 15-22 DSGVO).
  • Datenpannen: Meldung an Sie innerhalb von 24 Stunden nach Entdeckung, Unterstützung bei der Benachrichtigung der Aufsichtsbehörde (Art. 33/34 DSGVO).
  • Datenschutz-Folgenabschätzung: Bereitstellung technischer Informationen für Ihre Risikoanalyse (Art. 35 DSGVO).

Dokumentation und Nachweise

Wir führen Aufzeichnungen über unsere Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO) und stellen Ihnen diese auf Anfrage zur Verfügung.

Rückgabe und Löschung der Daten #

Nach Vertragsende

Nach Kündigung Ihres Nutzungsvertrags:

  • Stellen wir Ihnen Ihre Daten (z. B. Dokumente, Protokolle) auf Wunsch in einem maschinenlesbaren Format (z. B. CSV, PDF) bereit.
  • Löschen wir alle Daten aus unseren aktiven Systemen innerhalb von 30 Tagen.
  • Löschen wir Backups nach spätestens 90 Tagen, es sei denn, gesetzliche Aufbewahrungspflichten (z. B. 10 Jahre gemäß § 147 AO) verhindern dies.

Während der Nutzung

Sie können jederzeit einzelne Dokumente oder Daten über die Plattform löschen. Wir führen dies unverzüglich aus, Backups werden wie oben geregelt.

Kontrolle und Audits #

Nachweise

Wir legen Ihnen auf Anfrage Nachweise vor (z. B. Sicherheitsberichte, Zertifikate, Protokolle), dass wir diese AVV einhalten.

Ihr Prüfungsrecht

Sie dürfen einmal jährlich oder bei begründetem Verdacht auf Verstöße unsere Verarbeitung prüfen – entweder selbst oder durch einen unabhängigen Auditor. Bitte kündigen Sie dies 14 Tage vorher an. Die Kosten tragen Sie, es sei denn, wir haben gegen diese AVV verstoßen – dann übernehmen wir sie.

Haftung und Freistellung #

Unsere Haftung

Wir haften nur für Schäden, die durch vorsätzliche oder grob fahrlässige Verstöße gegen diese AVV oder die DSGVO entstehen. Unsere Haftung ist begrenzt auf den typischerweise vorhersehbaren Schaden, maximal jedoch auf die Höhe Ihrer Jahresgebühren für die Plattform.

Ihre Haftung und Freistellung

Sie haften für Ansprüche Dritter (z. B. Ihrer Partner oder Mitarbeiter), die aus einer unrechtmäßigen Datenverarbeitung resultieren, und stellen uns von solchen Ansprüchen frei, es sei denn, wir haben den Schaden durch einen Verstoß gegen diese AVV verursacht.

Gemeinsame Haftung

Falls wir gemeinsam haftbar gemacht werden (z. B. bei Datenpannen), tragen wir die Kosten anteilig nach unserem Verschulden. Sie verpflichten sich, uns über solche Ansprüche unverzüglich zu informieren.

Besondere Regelungen #

Qualifizierte Signaturen (QES)

Für QES übermitteln wir Identitätsdaten (z. B. Ausweisdaten) an Halcom D.D. Sie bestätigen, dass dies in Ihrem Auftrag geschieht und Sie die Betroffenen darüber informiert haben. Wir übernehmen keine Haftung für Fehler bei Halcom D.D., es sei denn, wir haben diese verursacht.

Filesharing

Sie sind dafür verantwortlich, sensible Daten nur verschlüsselt hochzuladen, falls erforderlich. Concat AG greift nur auf Dokumentinhalte zu, wenn Sie uns dies für Supportzwecke ausdrücklich anweisen.

Zahlungen über Stripe

Stripe verarbeitet Zahlungsdaten als eigenständiger Verantwortlicher gemäß seiner Datenschutzrichtlinie (stripe.com/de/privacy). Wir haben keinen Einfluss darauf und übernehmen keine Haftung für Stripes Verarbeitung.

Datenübermittlung in Drittländer

Falls Concat AG oder Halcom D.D. Daten in Drittländer (außerhalb der EU) übermitteln, geschieht dies nur mit angemessenen Garantien (z. B. EU-Standardvertragsklauseln gemäß Art. 46 DSGVO). Stripe übermittelt Daten in die USA unter denselben Bedingungen – dies liegt außerhalb unserer Kontrolle.

Änderungen dieser AVV #

Wir können diese AVV jederzeit anpassen, z. B. bei neuen Funktionen, geänderten gesetzlichen Anforderungen oder Änderungen bei unseren Partnern. Sie werden mindestens 14 Tage vorher per E-Mail oder in der Plattform informiert. Durch die weitere Nutzung stimmen Sie den Änderungen zu. Bei wesentlichen Änderungen (z. B. neue Unterauftragsverarbeiter) holen wir Ihre Zustimmung ein.

Schlussbestimmungen #

Rechtswahl und Gerichtsstand

Diese AVV unterliegt deutschem Recht. Gerichtsstand für Streitigkeiten ist Augsburg.

Salvatorische Klausel

Sollte eine Regelung dieser AVV unwirksam sein, bleiben die übrigen Bestimmungen gültig. Die unwirksame Klausel wird durch eine Regelung ersetzt, die dem wirtschaftlichen Zweck möglichst nahekommt.

Kontakt

Bei Fragen wenden Sie sich an:
BrainWave Software GmbH
E-Mail: support@attrian.de

Akzeptanz:
Durch Anklicken von „Zustimmen“ oder die Nutzung der Plattform akzeptieren Sie diese AVV in der jeweils gültigen Fassung.

(c) BrainWave Software GmbH

Updated on 06/05/2025
rechtliches, Terms and Conditions

What are your Feelings

  • Happy
  • Normal
  • Sad
  • Heilig Kreuz Strasse 24, 86152 Augsburg
    Deutschland
  • info@brainwave-software.de
Facebook-f Twitter Youtube

Kontakt aufnehmen

  • Attrian im eHealth
  • eIDAS
  • Attrian für Software Anbieter
  • Attrian für Software Entwickler
  • Partner

Rechtliches

© 2025 Attrian | All Rights Reserved | A Brainwave Software Company