Book a Meeting
Sign In
View Categories

Datenschutzerklärung für Softwareanbieter der Attrian Plattform

Geschätzte Lesezeit: 7 min read

Stand: 08. Mai 2025

Diese Datenschutzerklärung informiert Sie als Softwareanbieter gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Nutzung der Attrian Plattform (nachfolgend „Plattform“), die von der BrainWave Software GmbH (nachfolgend „BrainWave“ oder „wir“) als Plattformanbieter betrieben wird. Die Plattform dient als Marktplatz, über den Sie als Softwareanbieter Ihre Softwareprodukte an Endkunden anbieten können, und stellt zusätzliche Dienste wie Single Sign-On (SSO), Identitätsmanagement und Plattform-Dienste (z. B. Signaturdienste, Filesharing, Identifikationslösungen) bereit. Der Betrieb der Plattform (Hosting, Support, Datenschutz) wird von der Concat AG durchgeführt, die von BrainWave hierfür beauftragt wurde.

Als Softwareanbieter sind Sie für die Datenverarbeitung im Zusammenhang mit Ihrer Software und Ihren Endkunden selbst verantwortlich (Art. 4 Nr. 7 DSGVO). Diese Datenschutzerklärung beschreibt ausschließlich die Datenverarbeitung durch BrainWave und die Concat AG im Rahmen der Plattformnutzung.

Verantwortlicher und Datenschutzbeauftragter #

Verantwortlicher #

Verantwortlicher für die Datenverarbeitung im Zusammenhang mit der Plattform ist:

BrainWave Software GmbH
Heilig-Kreuz-Straße 24
datenschutz@attrian.de

Datenschutzbeauftragter #

Datenschutzbeauftragter der Concat AG.

Claudius Rudolf
Concat AG
Berliner Ring 127-129
64625 Bensheim
Deutschland

Telefon: +49 6251 / 7026-0
E-Mail: datenschutz@concat.de

Zwecke und Rechtsgrundlagen der Datenverarbeitung #

Wir verarbeiten Ihre personenbezogenen Daten als Softwareanbieter zu folgenden Zwecken und auf Basis der genannten Rechtsgrundlagen:

Registrierung und Kontoverwaltung #

  • Zweck: Ermöglichung Ihrer Registrierung als Softwareanbieter, Verwaltung Ihres Benutzerkontos, Bereitstellung des Zugangs zur Plattform.
  • Daten: Name, E-Mail-Adresse, Unternehmensdaten (z. B. Firmenname, Adresse, Handelsregisternummer), Benutzername, Passwort (verschlüsselt), IP-Adresse, Geräteinformationen.
  • Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) gemäß den Allgemeinen Geschäftsbedingungen (AGB); berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) zur Sicherstellung der Plattformfunktionalität und -sicherheit.

Zahlungsabwicklung #

  • Zweck: Abwicklung von Zahlungen zwischen Ihnen und Ihren Endkunden über Stripe Connected Accounts, die unter dem Hauptkonto von BrainWave betrieben werden, sowie Abrechnung von Gebühren für Plattform-Dienste oder Hosting/Support (falls vereinbart).
  • Daten: Zahlungsdaten (z. B. Bankverbindungen, Transaktionsdaten), Rechnungsdaten, Stripe-Benutzer-ID, Unternehmensdaten.
  • Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); Erfüllung gesetzlicher Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO, z. B. § 147 AO, § 257 HGB).

Single Sign-On (SSO) und Identity Provider (IDP) #

  • Zweck: Bereitstellung einer zentralen Authentifizierung für Sie und Ihre Endkunden, einschließlich der sektoralen IDP-Authentisierung für Software im Gesundheitswesen gemäß den Vorgaben der Telematikinfrastruktur.
  • Daten: Authentifizierungsdaten (z. B. Benutzername, Token, sektoraler IDP-Identifikator), Zugriffsprotokolle, Geräteinformationen.
  • Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) zur Sicherstellung der Sicherheit und Interoperabilität.

Plattform-Dienste #

  • Zweck: Bereitstellung von Diensten wie Signaturdiensten (Einfache Elektronische Signatur – EES, Fortgeschrittene Elektronische Signatur – AES, Qualifizierte Elektronische Signatur – QES), eSeal, eTimestamp, Filesharing, Editoren, Zugriffskontrollen (RBAC, GBAC) und Identifikationslösungen (Unternehmens-, Nutzer-, Personenidentifikation), die Sie in Ihre Software integrieren können.
  • Daten: Inhalte der Signaturen, Dateien, Identifikationsdaten (z. B. Name, Geburtsdatum, Ausweisdaten Ihrer Endkunden), Zugriffsprotokolle, Nutzungsmetadaten.
  • Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für bestimmte Identifikationslösungen, sofern erforderlich und von Ihnen oder Ihren Endkunden eingeholt; berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) zur Optimierung der Dienste.

Hosting und Support (falls vereinbart) #

  • Zweck: Bereitstellung von Hosting- und Support-Dienstleistungen durch die Concat AG, einschließlich vereinheitlichtem Support für Ihre Software und Endkunden, falls Sie diese Option gewählt haben.
  • Daten: Name, E-Mail-Adresse, Inhalt der Supportanfragen, Zugriffsprotokolle, Daten Ihrer Software (bei Hosting durch Concat AG).
  • Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) zur Verbesserung des Supports.

Software im Gesundheitswesen #

  • Zweck: Unterstützung der Integration Ihrer Software mit der Telematikinfrastruktur (z. B. sektoraler IDP, FHIR, Primärsysteme), Erfüllung der gematik-Vorgaben, Sicherstellung der Interoperabilität.
  • Daten: Authentifizierungsdaten, Zugriffsprotokolle, Gesundheitsdaten Ihrer Endkunden (bei Integration mit FHIR oder Primärsystemen).
  • Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); Erfüllung gesetzlicher Vorgaben (Art. 6 Abs. 1 lit. c DSGVO, z. B. SGB V, gematik); berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) zur Sicherstellung der Sicherheit.

Sicherheitsmaßnahmen #

  • Zweck: Schutz der Plattform vor Missbrauch, Sicherstellung der Datensicherheit, Protokollierung von Zugriffen.
  • Daten: IP-Adressen, Geräteinformationen, Zugriffs- und Fehlerprotokolle.
  • Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO); Erfüllung gesetzlicher Sicherheitsvorgaben (Art. 6 Abs. 1 lit. c DSGVO, z. B. Art. 32 DSGVO).

Empfänger von Daten #

Ihre personenbezogenen Daten werden an folgende Empfänger weitergegeben:

  • Concat AG: Als von BrainWave beauftragter Betreiber der Plattform verarbeitet die Concat AG Ihre Daten im Rahmen von Hosting, Betrieb, Support und Datenschutz. Eine Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO wurde mit der Concat AG geschlossen (bitte spezifische AVV-Referenz angeben).
  • Stripe GmbH: Für die Zahlungsabwicklung über Stripe Connected Accounts, die unter dem Hauptkonto von BrainWave betrieben werden. Die Datenverarbeitung erfolgt gemäß den Datenschutzbestimmungen von Stripe, einsehbar unter https://stripe.com/de/privacy.
  • gematik (für Software im Gesundheitswesen): Bei der Integration Ihrer Software mit der Telematikinfrastruktur können Daten (z. B. Authentifizierungsdaten) an die gematik oder andere Betreiber der Telematikinfrastruktur weitergegeben werden, wie es die Vorgaben des SGB V erfordern.
  • Behörden und Gerichte: Im Rahmen gesetzlicher Verpflichtungen (z. B. Steuerrecht, Strafverfolgung) können Ihre Daten an zuständige Behörden weitergegeben werden.
  • Endkunden (falls erforderlich): Bei Nutzung von Plattform-Diensten (z. B. Signaturdienste, Identifikationslösungen) können Ihre Daten (z. B. Unternehmensdaten) an Endkunden weitergegeben werden, soweit dies für die Erbringung der Dienste notwendig ist.

Drittlandtransfers #

Ihre Daten können in Drittländer außerhalb der EU/des EWR übermittelt werden, insbesondere:

  • Stripe: Die Zahlungsabwicklung erfolgt teilweise über Server in den USA. Stripe hat Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO implementiert, um ein angemessenes Schutzniveau zu gewährleisten (bitte spezifische SCC-Referenz oder Details zu Stripes Drittlandtransfer angeben).
  • Plattform-Dienste: Für bestimmte Dienste (z. B. Identifikationslösungen) können Drittanbieter in Drittländern eingesetzt werden. In solchen Fällen stellen wir sicher, dass geeignete Schutzmaßnahmen wie Standardvertragsklauseln (SCCs) oder Angemessenheitsbeschlüsse vorliegen (bitte Details zu Drittanbietern in Drittländern angeben, falls zutreffend).

Wir verarbeiten Ihre Daten grundsätzlich in Rechenzentren innerhalb der EU, die von der Concat AG in einem C5-Cluster betrieben werden und den Anforderungen der ISO 27001 sowie der gematik (für Software im Gesundheitswesen) entsprechen.

Speicherdauer #

Ihre personenbezogenen Daten werden nur so lange gespeichert, wie es für die oben genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

  • Registrierungs- und Kontodaten: Bis zur Löschung Ihres Kontos, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. § 147 AO, § 257 HGB) entgegenstehen.
  • Zahlungsdaten: Für die Dauer der Vertragsabwicklung und gemäß gesetzlicher Aufbewahrungspflichten (z. B. 10 Jahre nach § 147 AO).
  • SSO- und Authentifizierungsdaten: Für die Dauer der Sitzung oder bis zur Beendigung des Vertrags, sofern keine längeren Aufbewahrungspflichten (z. B. gematik-Vorgaben) gelten.
  • Plattform-Dienste: Daten (z. B. Signaturen, Identifikationsdaten Ihrer Endkunden) werden gemäß den vertraglichen Vereinbarungen oder gesetzlichen Vorgaben (z. B. eIDAS-Verordnung) gespeichert.
  • Supportanfragen: Bis zur Bearbeitung der Anfrage, maximal jedoch 3 Jahre, sofern keine längeren gesetzlichen Pflichten bestehen.
  • Protokolldaten: Für maximal 6 Monate, sofern keine sicherheitsrelevanten Ereignisse eine längere Speicherung erfordern.

Nach Ablauf der Speicherdauer werden die Daten gelöscht oder anonymisiert, es sei denn, gesetzliche Vorgaben erfordern eine längere Aufbewahrung.

Ihre Rechte als Betroffener #

Sie haben gemäß der DSGVO folgende Rechte in Bezug auf Ihre personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die verarbeiteten Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung unter bestimmten Voraussetzungen verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können die Übermittlung Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, insbesondere wenn diese auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) gestützt ist.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sofern die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Bitte richten Sie Ihre Anfragen an:
E-Mail-Adresse des Datenschutzbeauftragten oder der BrainWave Software GmbH

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts. Die zuständige Aufsichtsbehörde für BrainWave ist:

Name und Adresse der zuständigen Aufsichtsbehörde, z. B. Bayerisches Landesamt für Datenschutzaufsicht

Pflicht zur Bereitstellung von Daten #

Die Bereitstellung bestimmter personenbezogener Daten ist erforderlich, um die Plattform als Softwareanbieter nutzen zu können:

  • Registrierung: Name, E-Mail-Adresse, Unternehmensdaten sind für die Registrierung und Vertragsabwicklung erforderlich (Art. 6 Abs. 1 lit. b DSGVO).
  • Zahlungsabwicklung: Zahlungsdaten (z. B. Bankverbindungen) sind für die Nutzung von Stripe Connected Accounts erforderlich.
  • Plattform-Dienste: Für Dienste wie Signaturdienste oder Identifikationslösungen sind zusätzliche Daten (z. B. Unternehmensdaten, Identifikationsdaten Ihrer Endkunden) erforderlich, um die Dienste bereitzustellen.

Ohne diese Daten können wir Ihnen die Nutzung der Plattform oder bestimmter Dienste nicht ermöglichen. Die Bereitstellung weiterer Daten (z. B. für Supportanfragen) ist freiwillig.

Automatisierte Entscheidungsfindung und Profiling #

Eine automatisierte Entscheidungsfindung oder ein Profiling gemäß Art. 22 DSGVO findet auf der Plattform nicht statt.

Ihre Verantwortlichkeiten als Softwareanbieter #

Als Softwareanbieter sind Sie für die Verarbeitung personenbezogener Daten im Zusammenhang mit Ihrer Software und Ihren Endkunden selbst verantwortlich (Art. 4 Nr. 7 DSGVO). Dies umfasst:

  • Eigene Datenschutzerklärung: Sie müssen Ihren Endkunden eine eigene Datenschutzerklärung bereitstellen, die die Datenverarbeitung in Ihrer Software beschreibt und auf die Nutzung von Plattform-Diensten (z. B. Signaturdienste, SSO) durch BrainWave/Concat AG hinweist.
  • Rechtsgrundlagen: Sie sind verpflichtet, geeignete Rechtsgrundlagen (z. B. Einwilligung, Vertragserfüllung) für die Verarbeitung personenbezogener Daten Ihrer Endkunden sicherzustellen, insbesondere bei Nutzung von Plattform-Diensten wie Identifikationslösungen oder Signaturdiensten.
  • Technische und organisatorische Maßnahmen (TOMs): Sie müssen geeignete TOMs gemäß Art. 32 DSGVO implementieren, insbesondere bei der Integration von Plattform-Diensten, SSO, sektoralem IDP, FHIR oder Primärsystemen.
  • Gesundheitswesen: Für Software im Gesundheitswesen müssen Sie die Vorgaben des SGB V, der gematik und der Medizinprodukte-Verordnung (MDR) einhalten, einschließlich der Sicherstellung der Interoperabilität und Sicherheit.

Wenn Sie Hosting oder vereinheitlichten Support durch die Concat AG nutzen, fungiert die Concat AG als Ihr Auftragsverarbeiter. In solchen Fällen schließen Sie eine separate Auftragsverarbeitungsvereinbarung (AVV) mit der Concat AG gemäß Art. 28 DSGVO (bitte spezifische AVV-Referenz angeben).

Sicherheitsmaßnahmen #

Wir und die Concat AG setzen technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ein, um Ihre Daten zu schützen, einschließlich:

  • Verschlüsselung der Datenübertragung (z. B. TLS/SSL).
  • Zugriffskontrollen und Authentifizierungsmechanismen (z. B. SSO, RBAC, GBAC).
  • Regelmäßige Sicherheitsüberprüfungen und Updates der Plattform.
  • Hosting in einem C5-Cluster mit ISO 27001-Zertifizierung und gematik-Konformität (für Software im Gesundheitswesen).

Sie sind als Softwareanbieter verpflichtet, ebenfalls geeignete TOMs für Ihre Software und deren Betrieb umzusetzen, insbesondere wenn Sie Plattform-Dienste oder Integrationen (z. B. SSO, FHIR) nutzen.

Änderungen dieser Datenschutzerklärung #

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Plattform, der gesetzlichen Anforderungen oder der Datenverarbeitungsprozesse anzupassen. Über wesentliche Änderungen werden Sie per E-Mail oder auf der Plattform informiert. Die aktuelle Version ist jederzeit hier Datenschutzerklärung einsehbar.

BrainWave Software GmbH

Updated on 08/05/2025

What are your Feelings

  • Happy
  • Normal
  • Sad
  • Kontaktieren Sie uns:
    Heilig Kreuz Strasse 24, 86152
    Augsburg, Deutschland
  • info@brainwave-software.de
Facebook-f Twitter Youtube

Kontakt aufnehmen

  • Attrian im eHealth
  • eIDAS
  • Attrian für Software Anbieter
  • Attrian für Software Entwickler
  • Partner

Rechtliches

© 2025 Attrian | All Rights Reserved | A Brainwave Software Company