Datenschutzerklärung
Wie Brifay Ihre personenbezogenen Daten erhebt, nutzt und schützt.
Letzte Aktualisierung: 10. April 2026
Inhaltsverzeichnis
- Verantwortlicher
- Erhobene personenbezogene Daten
- Verarbeitungszwecke und Rechtsgrundlagen
- Empfänger und Auftragsverarbeiter
- Datenübermittlung außerhalb der Europäischen Union
- Aufbewahrungsfristen
- Ihre Rechte
- Cookies und Tracker
- Datensicherheit
- Schutz Minderjähriger
- Änderungen dieser Erklärung
- Kontakt
1. Verantwortlicher
Verantwortlicher für die Verarbeitung der über die Anwendung und die Website Brifay erhobenen personenbezogenen Daten ist:
| Firmenname | Brifay |
|---|---|
| Rechtsform | Société par actions simplifiée unipersonnelle (SASU — französische Ein-Personen-Aktiengesellschaft vereinfachter Form) |
| Stammkapital | 5.000 € |
| Sitz der Gesellschaft | 15 place Michelet, 37000 Tours, Frankreich |
| Handelsregister (RCS) / SIREN | RCS Tours 105 817 209 |
| SIRET | 105 817 209 00015 |
| USt-IdNr. | FR30105817209 |
| APE / NAF-Code | 58.29C |
| Gesetzlicher Vertreter | Die Gesellschaft Brifay, vertreten durch ihren gesetzlichen Vertreter |
| [email protected] |
Der Datenschutzbeauftragte ist erreichbar unter: [email protected].
2. Erhobene personenbezogene Daten
Brifay erhebt ausschließlich die zur Bereitstellung des CMMS-Service strikt erforderlichen Daten. Wir erheben keine sensiblen Daten im Sinne von Art. 9 DSGVO.
| Kategorie | Daten | Charakter |
|---|---|---|
| Nutzerkonto | E-Mail, Nachname, Vorname, Telefon, Profilbild | E-Mail und Name verpflichtend; Telefon und Bild optional |
| Authentifizierung | E-Mail, Passwort (gehasht) | Verpflichtend |
| Standort | GPS-Koordinaten der Standorte und Gebäude (manuell eingegeben) | Optional |
| Medien | Fotos und an Wartungsanforderungen angehängte Dateien | Optional |
| Messaging | Im Chat der Anfragen ausgetauschte Nachrichten | Nutzungsabhängig |
| Anlagen | Daten zur Anlagenverfolgung und Wartungshistorie | Nutzungsabhängig |
| Benachrichtigungen | Push-Benachrichtigungs-Tokens, Präferenzen | Nutzungsabhängig |
| Zahlung | Ausschließlich von Stripe verarbeitet — Brifay speichert keine Bankdaten | Für das Abonnement verpflichtend |
| Technische Daten | IP-Adresse, Gerätetyp, Betriebssystem- und Anwendungsversion | Automatisch |
| Kundensupport | Screenshots, Fehlerberichte über Gleap | Optional |
3. Verarbeitungszwecke und Rechtsgrundlagen
Jede Datenverarbeitung beruht auf einer von der DSGVO vorgesehenen Rechtsgrundlage (Art. 6):
| Zweck | Rechtsgrundlage |
|---|---|
| Erstellung und Verwaltung des Nutzerkontos | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Bereitstellung des CMMS-Service (Anfragen, Anlagen, Wartung) | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Interne Messaging-Funktion (Chat der Anfragen) | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Speicherung der Anhänge | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Kartendarstellung (Google Maps) | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Push-Benachrichtigungen (Firebase) | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) — Sie in Echtzeit über Wartungsereignisse zu informieren. In den Einstellungen deaktivierbar. |
| Abrechnung und Abonnements (Stripe) | Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) und Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Kundensupport (Gleap) | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) — Verbesserung des Service und Behebung von Problemen |
| Sicherheit und Betrugsprävention | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
| Statistiken und Verbesserung des Service | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
| Erfüllung gesetzlicher Pflichten | Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) |
Brifay nimmt kein Profiling und keine automatisierte Entscheidung vor, die für die Nutzer rechtliche Wirkungen entfaltet.
4. Empfänger und Auftragsverarbeiter
Ihre Daten werden niemals an Dritte verkauft. Sie werden ausschließlich mit den folgenden Auftragsverarbeitern geteilt, die vertraglich verpflichtet sind, sie nur auf Weisung von Brifay zu verarbeiten:
Auftragsverarbeiter « Produkt » (Brifay-Anwendung)
| Auftragsverarbeiter | Rolle | Standort | Garantien |
|---|---|---|---|
| Supabase | Datenbank, Authentifizierung, Dateispeicherung, Edge Functions | Europäische Union | AVV (DPA), AES-256-Verschlüsselung |
| Firebase / FCM (Google) | Mobile Push-Benachrichtigungen | USA / global | EU-US Data Privacy Framework, ISO 27001 |
| Stripe | Zahlungen und Abonnements | EU / USA | PCI-DSS Level 1, AVV (DPA) |
| Pennylane | MwSt.-Rechnungsstellung (Stripe-Synchronisation) | Frankreich (EU) | AVV (DPA), französische Buchhaltungskonformität |
| EmailIt | Transaktionale Produkt-E-Mails (von brifay.com) | EU | AVV (DPA) |
| Gleap | Kundensupport, Fehlerberichte | Österreich (EU) | DSGVO-nativ, designierter DPO |
| Sentry | Fehler-Observability für Edge Functions | USA | SVK (Standardvertragsklauseln), Pseudonymisierung |
| Google Maps | Kartendarstellung | USA / global | EU-US Data Privacy Framework |
Auftragsverarbeiter « Website und Akquise » (Website + warme Marketing-E-Mails)
| Auftragsverarbeiter | Rolle | Standort | Garantien |
|---|---|---|---|
| Cloudflare (DNS, Turnstile, Stream, Web Analytics) | DNS der Domains brifay.com und usebrifay.com, unsichtbarer Anti-Bot-Schutz der Formulare, Hosting und Auslieferung des Demo-Videos, anonyme Website-Statistiken | Weltweit (EU-Edge vorrangig) | SVK, AVV (DPA), Edge-Hosting in der EU standardmäßig |
| Acumbamail | Ausschließlich warme Marketing-E-Mails (nach ausdrücklicher Einwilligung) von usebrifay.com | Spanien (EU) | AVV (DPA), 1-Klick-Opt-out, SPF/DKIM/DMARC |
| PostHog | Produkt- und Website-Analytics (Funnels, Identifizierung nach Capture), ausschließlich First-Party-Cookie, keine Drittanbieter-Cookies | EU (EU-Instanz) | AVV (DPA), IP-Hashing, standardmäßige Anonymisierung |
| RADAAR | Geplante Veröffentlichung von Markeninhalten auf LinkedIn / YouTube / X / Google Business Profile | USA | SVK; verarbeitet ausschließlich öffentliche Inhalte |
| Google Workspace | Geteiltes Postfach [email protected] (Empfang von E-Mail-Antworten), französischer Terminbuchungskalender | EU / USA | EU-US Data Privacy Framework, AVV (DPA) |
Auftragsverarbeiter « Kalt-Akquise » (nur wenn aktiviert)
Die folgenden Auftragsverarbeiter werden ausschließlich für die B2B-Kalt-Akquise (Cold E-Mail) eingesetzt, auf Rechtsgrundlage des berechtigten Interesses (mit dokumentierter LIA — Legitimate Interest Assessment, deutsch: Abwägungsprüfung) und mit systematischem 1-Klick-Opt-out (List-Unsubscribe). Es werden keine « Produkt- »-Kundendaten übermittelt.
| Auftragsverarbeiter | Rolle | Standort | Garantien |
|---|---|---|---|
| Apify / Outscraper | Sourcing von Unternehmen (ausschließlich öffentliche Quellen, niemals LinkedIn) | EU / global | SVK, öffentliche Quellen |
| Dropcontact (oder Pharow) | DSGVO-konforme nominative B2B-Anreicherung | Frankreich (EU) | AVV (DPA), DSGVO by design |
| Smartlead | Versand der Cold-E-Mails von usebrifay.com (eigene Postfächer, vom Warm-Versand isoliert) | USA | SVK, 1-Klick-Opt-out |
Innerhalb von Brifay greifen ausschließlich befugte Personen (technischer Support, Geschäftsleitung) im Rahmen ihrer Funktionen auf die Daten zu.
Multi-Tenant-Isolierung
Jede Organisation, die Brifay nutzt, verfügt über einen isolierten Bereich. Ein Nutzer kann ausschließlich auf die Daten der Organisation zugreifen, der er angehört.
5. Datenübermittlung außerhalb der Europäischen Union
Einige unserer Auftragsverarbeiter (Firebase/Google, Stripe, Cloudflare, Sentry, RADAAR, Google Workspace und — sofern die Kalt-Akquise aktiviert ist — Smartlead) können Daten in den Vereinigten Staaten verarbeiten. Diese Übermittlungen sind geregelt durch:
- das EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission)
- die Standardvertragsklauseln (SVK) der Europäischen Kommission
- zusätzliche technische Maßnahmen (Ende-zu-Ende-Verschlüsselung, Pseudonymisierung)
Ihre Hauptdatenbank (Supabase) wird in der Europäischen Union gehostet. Eine Kopie der Übermittlungsgarantien können Sie unter [email protected] anfordern.
6. Aufbewahrungsfristen
Ihre Daten werden in Übereinstimmung mit den Empfehlungen der CNIL (französische Datenschutzbehörde) aufbewahrt (dreistufiger Lebenszyklus: aktive Datenbank, Zwischenarchivierung, Löschung):
| Daten | Aktive Aufbewahrung | Archivierung |
|---|---|---|
| Nutzerkonto | Dauer der Vertragsbeziehung | 3 Jahre nach letzter Aktivität |
| Wartungsdaten | Vertragsdauer | 5 Jahre nach Vertragsende |
| Interne Nachrichten | Vertragsdauer | 1 Jahr nach Abschluss der Anfrage |
| Anhänge | Vertragsdauer | Werden mit dem Konto gelöscht |
| Abrechnungsdaten | Vertragsdauer | 10 Jahre (gesetzliche Pflicht) |
| Technische Logs | 1 Jahr | — |
| Cookies | Maximal 13 Monate | — |
Nach Ablauf dieser Fristen werden die Daten unwiderruflich gelöscht oder anonymisiert. Sie können eine vorzeitige Löschung beantragen, vorbehaltlich entgegenstehender gesetzlicher Pflichten.
7. Ihre Rechte
Gemäß DSGVO und französischem Datenschutzgesetz (Loi Informatique et Libertés) stehen Ihnen folgende Rechte zu:
| Recht | Beschreibung |
|---|---|
| Auskunft (Art. 15 DSGVO) | Bestätigung erhalten, dass Ihre Daten verarbeitet werden, und eine Kopie davon erhalten |
| Berichtigung (Art. 16 DSGVO) | Unrichtige oder unvollständige Daten berichtigen oder ergänzen lassen |
| Löschung (Art. 17 DSGVO) | Die Löschung Ihrer Daten verlangen (« Recht auf Vergessenwerden ») |
| Einschränkung (Art. 18 DSGVO) | Die Verarbeitung Ihrer Daten vorübergehend aussetzen |
| Datenübertragbarkeit (Art. 20 DSGVO) | Ihre Daten in einem strukturierten und maschinenlesbaren Format erhalten (CSV, JSON) |
| Widerspruch (Art. 21 DSGVO) | Der auf berechtigtem Interesse gestützten Verarbeitung widersprechen |
| Widerruf der Einwilligung (Art. 7 DSGVO) | Ihre Einwilligung jederzeit widerrufen, ohne die zuvor erfolgte Verarbeitung zu beeinträchtigen |
| Anweisungen post mortem | Anweisungen zum Verbleib Ihrer Daten nach Ihrem Tod festlegen (französisches Recht) |
Wie Sie Ihre Rechte ausüben
- Per E-Mail: [email protected]
- Über die Seite: Konto löschen
Wir antworten innerhalb von einem Monat (bei komplexen Anfragen um zwei Monate verlängerbar). Eine Identitätsprüfung kann verlangt werden.
Beschwerde bei der CNIL
Wenn Sie der Auffassung sind, dass die Verarbeitung Ihrer Daten nicht den Vorschriften entspricht, können Sie Beschwerde bei der CNIL (französische Datenschutzbehörde) einlegen:
Commission Nationale de l’Informatique et des Libertés
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07, Frankreich
www.cnil.fr
Als Nutzer mit Wohnsitz in Deutschland können Sie sich ebenfalls an die für Sie zuständige Landesdatenschutzbehörde oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) wenden.
8. Cookies und Tracker
Strikt notwendige Cookies
Diese Cookies sind für den Betrieb des Service unverzichtbar und bedürfen nicht Ihrer Einwilligung:
- Supabase Auth — Authentifizierungssitzung, Sicherheits-Tokens
- Stripe — Sicherheit der Transaktionen und Betrugsprävention
Einwilligungspflichtige Cookies
- Firebase Analytics — Reichweitenmessung und Verbesserung des Service (Dauer: max. 13 Monate)
- Google Maps — Anzeige interaktiver Karten
- Gleap — Technischer Support und Nutzerfeedback
Ihre Präferenzen verwalten
Sie können Ihre Cookie-Präferenzen jederzeit über die Einstellungen Ihres Browsers ändern. Die Ablehnung nicht wesentlicher Cookies blockiert nicht den Zugang zum Service.
9. Datensicherheit
Brifay setzt technische und organisatorische Maßnahmen zum Schutz Ihrer Daten gemäß Art. 32 DSGVO ein:
Technische Maßnahmen
- Verschlüsselung der Daten bei der Übertragung (TLS/HTTPS)
- Verschlüsselung der Daten im Ruhezustand (AES-256)
- Passwort-Hashing (bcrypt)
- Authentifizierung über JWT-Tokens
- Regelmäßige automatische Sicherungen
- Protokollierung der Zugriffe (Audit Logs)
- Hosting in nach SOC 2 und ISO 27001 zertifizierten Rechenzentren
Organisatorische Maßnahmen
- Zugriff strikt auf das erforderliche Personal beschränkt (Prinzip der minimalen Berechtigung)
- Richtlinie für starke Passwörter
- Verfahren für das Management von Sicherheitsvorfällen
Im Falle einer Datenpanne
Im Falle einer Datenpanne informiert Brifay die CNIL innerhalb von 72 Stunden (Art. 33 DSGVO) und benachrichtigt die betroffenen Personen, wenn ein hohes Risiko besteht (Art. 34 DSGVO).
10. Schutz Minderjähriger
Brifay ist ein professioneller Dienst für Unternehmen und den öffentlichen Sektor (B2B). Der Service richtet sich nicht an Personen unter 16 Jahren. Es werden keine Daten Minderjähriger absichtlich erhoben.
11. Änderungen dieser Erklärung
Brifay kann diese Datenschutzerklärung aktualisieren. Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder per Benachrichtigung in der Anwendung. Das Datum der letzten Aktualisierung steht am Anfang dieser Seite.
Diese Erklärung unterliegt französischem Recht. Im Streitfall sind die französischen Gerichte zuständig.