Datenschutzerklärung

1. Verantwortlicher

Vertretungsberechtigte Personen: Aurel Plettner, Philipp Schmidt.

Ein Datenschutzbeauftragter ist derzeit nicht benannt.

2. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website, unserer WebApp, unserer Inhalte und Leistungen sowie zur Bearbeitung von Anfragen, zur Vertragsdurchführung, zur Sicherheit des Betriebs und zur Erfüllung gesetzlicher Pflichten erforderlich ist.

Soweit nicht anders angegeben, verarbeiten wir personenbezogene Daten auf Grundlage der folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung für die Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrags erforderlich ist.
• Art. 6 Abs. 1 lit. c DSGVO, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
• Art. 6 Abs. 1 lit. f DSGVO, soweit die Verarbeitung auf unserem berechtigten Interesse an einem sicheren, stabilen und wirtschaftlichen Betrieb unseres Angebots beruht.
• Art. 6 Abs. 1 lit. a DSGVO, soweit wir eine Einwilligung einholen.

3. Aufruf unserer Website

Beim Aufruf unserer Website werden technisch erforderliche Informationen verarbeitet, damit die Inhalte an Ihr Endgerät ausgeliefert werden können und die Sicherheit und Stabilität unseres Angebots gewährleistet werden kann. Hierzu können insbesondere gehören:

• IP-Adresse
• Datum und Uhrzeit des Abrufs
• angeforderte Inhalte
• Referrer-URL
• Angaben zum Browser und Betriebssystem
• Hostname
• technische Protokolldaten

Die Verarbeitung erfolgt zur Bereitstellung der Website, zur Systemsicherheit, zur Fehlerdiagnose und zur Missbrauchsabwehr auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

4. Hosting und technische Infrastruktur

Wir nutzen zur Bereitstellung unserer Website und WebApp technische Dienstleister für Hosting, Auslieferung, Datenbankbetrieb und Infrastruktur.

4.1 Vercel

Unsere Website und WebApp werden über Vercel bereitgestellt. Dabei können technische Verbindungs- und Nutzungsdaten verarbeitet werden, soweit dies für die Bereitstellung, Auslieferung, Performance, Sicherheit und Stabilität unserer Dienste erforderlich ist.

4.2 Neon (PostgreSQL)

Für die produktive Datenbank nutzen wir Neon mit Datenbankstandort Frankfurt am Main. Neon bietet Projektregionen, darunter AWS Europe (Frankfurt), und beschreibt die Einhaltung von GDPR-Anforderungen sowie den Abschluss eines DPA.

Wir weisen darauf hin, dass der Datenbankstandort Frankfurt nicht automatisch bedeutet, dass jede einzelne technische Verarbeitung ausschließlich in Deutschland erfolgt. Je nach eingesetztem Dienstleister und Infrastruktur können Datenverarbeitungen auch in anderen Staaten stattfinden. Soweit dies der Fall ist, achten wir auf geeignete vertragliche und organisatorische Schutzmaßnahmen.

5. Kontaktaufnahme

Wenn Sie uns per Kontaktformular, Demo-/Terminformular, Testzugangsformular oder per E-Mail kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten zur Bearbeitung Ihrer Anfrage.

5.1 Kontaktformular

Wir verarbeiten dabei insbesondere:

• Name
• Unternehmen/Firma
• E-Mail-Adresse
• Telefonnummer
• Nachricht/Freitext
• technisches Honeypot-Feld „Website“ zur Spam-Abwehr

5.2 Demo-/Terminbuchungsformular

Wir verarbeiten dabei insbesondere:

• Name
• Firma
• E-Mail-Adresse
• Telefonnummer (optional)
• gewünschter Termin mit Datum und Uhrzeit bzw. Timeslot
• technisches Honeypot-Feld „Website“ zur Spam-Abwehr

5.3 Testzugangsformular

Wir verarbeiten dabei insbesondere:

• Vorname
• Nachname
• E-Mail-Adresse
• Telefonnummer
• Firmenname
• Anzahl der Mitarbeiter
• Bestätigung der AGB
• technisches Honeypot-Feld „Website“ zur Spam-Abwehr

Die Verarbeitung erfolgt zur Bearbeitung Ihrer Anfrage, zur Durchführung vorvertraglicher Maßnahmen, zur Terminabstimmung, zur Vergabe von Testzugängen und zur Missbrauchsabwehr auf Grundlage von Art. 6 Abs. 1 lit. b und lit. f DSGVO.

6. Nutzung unserer WebApp

Wenn Sie unsere WebApp nutzen, verarbeiten wir personenbezogene Daten, die zur Bereitstellung, Verwaltung und Nutzung Ihres Kontos sowie der darin enthaltenen Funktionen erforderlich sind.

6.1 Nutzerkonto und Login

Bei Nutzerkonten verarbeiten wir insbesondere:

• Nutzer-ID
• Name
• Login-E-Mail bzw. Kontakt-E-Mail
• optional Telefonnummer
• optional Adresse
• Rolle
• Organisationszuordnung / Mitgliedschaft
• Aktivstatus
• Stundensätze / Kostensätze
• Passwort-Hash
• Zeitpunkt der Passwortänderung
• Einladungsstatus
• Session-Daten
• letzte Login-Daten
• IP-Adresse
• User-Agent

Die Verarbeitung erfolgt zur Bereitstellung des Nutzerkontos, zur Authentifizierung, zur Rechteverwaltung, zur Sicherheit der Anwendung und zur Vertragsdurchführung auf Grundlage von Art. 6 Abs. 1 lit. b und lit. f DSGVO.

6.2 Verarbeitete Kundendaten in der WebApp

Im Rahmen der WebApp verarbeiten wir je nach Nutzung insbesondere:

• Mitarbeiterdaten
• Kundendaten und Kontaktdaten
• Projekt- und Baustellendaten
• Zeiten und Abwesenheiten
• Einsatz- und Planungsdaten
• Chat-Nachrichten
• Notizen und Checklisten
• Bilder und Fortschrittsfotos
• Signaturen
• Dateien und Uploads
• Dokumente
• Angebote
• Rechnungen
• Eingangsrechnungen
• Zahlungs- und Buchhaltungsdaten
• E-Mail-Versanddaten
• Katalog-, Material- und Leistungsdaten
• Fehlerberichte

Die Verarbeitung erfolgt zur Erbringung unserer vertraglichen Leistungen, zur Projekt- und Dokumentenverwaltung, zur Kommunikation, zur Abrechnung, zur Fehlerbehebung und zur Sicherheit des Systems auf Grundlage von Art. 6 Abs. 1 lit. b, lit. c und lit. f DSGVO.

6.3 Rollen, Berechtigungen, Logs

Zur sicheren und nachvollziehbaren Nutzung der WebApp verarbeiten wir außerdem rollen- und sicherheitsbezogene Informationen, insbesondere:

• Rollen und Berechtigungen
• Activity-Events
• Audit-Events
• Session-Logs
• Fehlerberichte

Die Verarbeitung erfolgt zur Zugriffskontrolle, zur Nachvollziehbarkeit sicherheitsrelevanter Vorgänge, zur Missbrauchsabwehr, zur Fehleranalyse und zur Sicherstellung eines ordnungsgemäßen Betriebs auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

7. Datei-Uploads und Dokumente

Unsere WebApp ermöglicht das Hochladen und Verarbeiten verschiedener Dateien. Dies betrifft insbesondere:

• Projektfotos
• Signaturen
• Chat-Anhänge
• externe Projektdokumente
• Eingangsrechnungen
• Dokument- und E-Mail-Anhänge
• Kontaktimporte
• Katalog-, GAEB- und Datanorm-Importe
• Template-Assets

Die Verarbeitung erfolgt zur Durchführung unserer vertraglichen Leistungen, zur Dokumentation, Kommunikation, Abwicklung von Projekten und zur Bearbeitung von Unterlagen auf Grundlage von Art. 6 Abs. 1 lit. b und lit. f DSGVO.

8. E-Mail-Versand und Kommunikationsdienste

Wir verarbeiten personenbezogene Daten für den Versand und die Verwaltung von E-Mails, insbesondere für:

• Kontaktanfragen
• Terminbestätigungen
• Einladungen
• Testmails
• Dokument- und Rechnungsversand
• Vorlagen und Systemmails

Hierbei können je nach Konfiguration und Einsatzzweck insbesondere folgende Daten verarbeitet werden:

• Name
• E-Mail-Adresse
• Kommunikationsinhalte
• Metadaten zu Versand, Zustellung und Fehlern
• Anhänge und Dokumente

Je nach technischem Einsatz nutzen wir hierzu insbesondere Google Workspace / Gmail API und Resend als Plattform-Relay für transaktionale E-Mails.

Wenn Nutzer ihr Google-Konto für den E-Mail-Versand verbinden, erfolgt dies im Rahmen der vom Nutzer initiierten Verbindung und der dabei erteilten Berechtigungen. Für öffentlich verfügbare Google-API-Anwendungen verlangt Google selbst eine Datenschutzerklärung mit transparenter Darstellung der Datenverarbeitung.

Die Verarbeitung erfolgt zur Kommunikation, Vertragsdurchführung und Systembereitstellung auf Grundlage von Art. 6 Abs. 1 lit. b und lit. f DSGVO.

9. Eingangsrechnungsanalyse / Document AI

Zur Analyse und strukturierten Verarbeitung von Eingangsrechnungen kann Google Cloud / Document AI eingesetzt werden. Dabei können hochgeladene Rechnungen sowie daraus abgeleitete strukturierte Daten verarbeitet werden.

Die Verarbeitung erfolgt zur Dokumentenerfassung, Rechnungsauswertung, Automatisierung kaufmännischer Prozesse und zur Vertragsdurchführung auf Grundlage von Art. 6 Abs. 1 lit. b und lit. f DSGVO.

10. PWA-Funktionen, Service Worker und Offline-Nutzung

Unsere WebApp ist als Progressive Web App (PWA) nutzbar und kann auf unterstützten Geräten installiert werden. In diesem Zusammenhang verwenden wir technische Mechanismen wie Service Worker, lokale Speichermechanismen und Offline-Funktionen.

Dabei können insbesondere verarbeitet oder lokal gespeichert werden:

• gecachte App-Seiten und Assets
• ausgewählte API-Antworten
• Worker-Mobile-Snapshots
• Offline-Queues
• Session- und Runtime-Daten
• Installations- und Statusinformationen der PWA

Dies kann insbesondere über Service Worker, IndexedDB, Local Storage und Session Storage erfolgen.

Die Verarbeitung bzw. technische Speicherung erfolgt zur Bereitstellung der PWA, zur Offline-Funktionalität, zur besseren Nutzbarkeit, zur Synchronisation von Daten und zur Sicherstellung der Funktionsfähigkeit der Anwendung. Soweit diese Speicherungen technisch erforderlich sind, stützen wir sie auf Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO. Nach der aktuellen Orientierung der Aufsichtsbehörden kann das Speichern oder Auslesen von Informationen auf Endgeräten außerdem dem Anwendungsbereich von § 25 TDDDG unterfallen.

11. Push-Benachrichtigungen

Unsere PWA kann auf unterstützten Geräten und Browsern Push-Benachrichtigungen versenden. Push-Benachrichtigungen werden nur genutzt, wenn Sie dies auf Ihrem Gerät bzw. in Ihrem Browser ausdrücklich erlauben.

Push-Benachrichtigungen können insbesondere zu folgenden Zwecken verwendet werden:

• Projektchat
• Einsatz- und Kalenderzuweisungen
• Zeiterinnerungen

Hierbei können insbesondere verarbeitet werden:

• Browser- bzw. Push-Token
• Geräte- oder Abonnementinformationen
• Benachrichtigungsinhalte
• technische Zustellinformationen

Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung bzw. der von Ihnen im Browser oder Betriebssystem erteilten Freigabe sowie zur Bereitstellung der gewählten Benachrichtigungsfunktion.

12. Kamera, Dateien und Fotos

Unsere Anwendung ermöglicht das Hochladen von Dateien und Fotos. Auf mobilen Geräten kann dabei die Kamera-Funktion über entsprechende Datei-Inputs genutzt werden. Eine Standort- oder Mikrofonverarbeitung findet derzeit nicht statt.

Die Verarbeitung erfolgt zur Projektabwicklung, Dokumentation und Nutzung der jeweiligen Upload-Funktion auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

13. Vercel Web Analytics und Vercel Speed Insights

Wir nutzen Vercel Web Analytics und Vercel Speed Insights, um die Nutzung und technische Performance unseres Angebots besser zu verstehen und zu optimieren.

Vercel beschreibt Web Analytics als anonymisiert und ohne Cookies. Vercel Speed Insights beschreibt ebenfalls eine anonyme Erfassung von Performance-Daten, ohne Informationen zu speichern, die eine Rekonstruktion eines seitenübergreifenden Nutzungsprofils oder die Identifizierung einzelner Nutzer ermöglichen würden.

Wir verwenden diese Dienste nicht für personenbezogene Marketingprofile, Remarketing oder personalisierte Werbung, sondern ausschließlich zur technischen und statistischen Auswertung unseres Angebots. Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an einer bedarfsgerechten, funktionsfähigen und performanten Website und WebApp nach Art. 6 Abs. 1 lit. f DSGVO.

Hinweis: Nach der aktuellen Rechtslage kann bei bestimmten Speicher- oder Auslesevorgängen auf Endgeräten zusätzlich § 25 TDDDG relevant sein. Unsere derzeitige Konfiguration ist darauf ausgerichtet, nur technisch notwendige Speicherungen und die transparent beschriebenen Vercel-Dienste zu verwenden.

14. Keine Newsletter- oder Marketing-Tracking-Dienste

Wir verwenden derzeit insbesondere kein Google Analytics, kein Meta Pixel, kein Remarketing, kein externes Chat-Widget, keine YouTube-Einbettungen, keine Karten-Embeds und kein Captcha.

15. Empfänger und Kategorien von Empfängern

Personenbezogene Daten werden nur insoweit an Dritte weitergegeben, wie dies für den Betrieb unseres Angebots, die Vertragsdurchführung, die Kommunikation, die IT-Sicherheit oder aufgrund gesetzlicher Verpflichtungen erforderlich ist.

Empfänger können insbesondere sein:

• Hosting- und Infrastruktur-Dienstleister
• Datenbank- und Speicher-Dienstleister
• E-Mail- und Kommunikationsdienstleister
• Anbieter von Cloud- und OCR-/Dokumentenverarbeitungsdiensten
• Steuerberater, Buchhaltung, Zahlungs- oder Rechtsdienstleister, soweit erforderlich
• staatliche Stellen und Behörden, soweit hierzu eine rechtliche Verpflichtung besteht

Soweit wir Dienstleister als Auftragsverarbeiter einsetzen, erfolgt dies auf Grundlage entsprechender vertraglicher Vereinbarungen.

16. Speicherfristen

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

16.1 Nutzerkonten

Nutzerkonten werden nach Vertragsende oder Offboarding deaktiviert. Personenbezogene Kontodaten werden nach 30 Tagen gelöscht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Nachweisinteressen entgegenstehen.

16.2 Uploads, Projektdokumente, Fotos und Signaturen

Uploads, Projektdokumente, Fotos und Signaturen werden für die Dauer des Projekts bzw. Vertrags gespeichert und danach gelöscht oder anonymisiert, sobald sie nicht mehr für Projektabwicklung, Nachweise, Gewährleistung oder gesetzliche Aufbewahrung benötigt werden.

16.3 Projekt-, Chat- und Zeitdaten

Projekt- und Chatdaten werden für die Projektabwicklung und Nachweisführung gespeichert und nach Ablauf relevanter Verjährungs- oder Gewährleistungsfristen gelöscht oder anonymisiert. Zeitdaten werden mindestens entsprechend arbeitsrechtlicher Pflichten aufbewahrt; soweit sie abrechnungs-, lohn- oder steuerrelevant sind, gelten die gesetzlichen Aufbewahrungsfristen.

16.4 Logs

Technische Logs und Fehlerberichte werden nur so lange gespeichert, wie sie für Sicherheit, Fehleranalyse und Nachvollziehbarkeit erforderlich sind. Regelmäßig gilt:

• Error-Logs: 90 Tage
• technische Rate-Limit-Daten: 7 Tage
• Audit-Logs: 730 Tage

Danach werden personenbezogene Inhalte gelöscht oder anonymisiert.

16.5 Backups

Backups werden zeitlich begrenzt aufbewahrt und anschließend überschrieben oder gelöscht. Personenbezogene Daten können in Backups bis zum Ablauf des jeweiligen Backup-Zyklus enthalten bleiben. Bei Wiederherstellungen werden Löschungen erneut berücksichtigt. Regelmäßig gilt:

• tägliche Backups: 30 Tage
• monatliche Restore-/Archivstände: bis zu 6 Monate

16.6 Steuer- und handelsrechtliche Aufbewahrung

Steuer- und handelsrechtlich relevante Unterlagen werden entsprechend den gesetzlichen Aufbewahrungspflichten gespeichert. Gesetzliche Aufbewahrungspflichten bleiben unberührt. Soweit anwendbar, können insbesondere folgende Fristen gelten:

• Rechnungen und Buchungsbelege: 8 Jahre
• Handels- und Geschäftsbriefe: 6 Jahre
• Jahresabschlüsse, Inventare, Bücher und vergleichbare Abschlussunterlagen: 10 Jahre

17. Rechtsgrundlagen im Überblick

Soweit in dieser Datenschutzerklärung keine speziellere Rechtsgrundlage genannt ist, kommen insbesondere folgende Rechtsgrundlagen in Betracht:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung
• Art. 6 Abs. 1 lit. b DSGVO – Vertrag / vorvertragliche Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung
• Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen

18. Ihre Rechte

Sie haben nach der DSGVO insbesondere folgende Rechte:

• Recht auf Auskunft
• Recht auf Berichtigung
• Recht auf Löschung
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit
• Recht auf Widerspruch
• Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen
• Recht auf Beschwerde bei einer Aufsichtsbehörde

19. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

Für private Unternehmen in Bayern ist regelmäßig zuständig:

20. Pflicht zur Bereitstellung von Daten

Die Bereitstellung personenbezogener Daten ist teilweise gesetzlich oder vertraglich vorgeschrieben oder für den Abschluss bzw. die Durchführung eines Vertrags erforderlich. Ohne die Bereitstellung bestimmter Daten können wir Anfragen, Nutzerkonten, Projektfunktionen oder vertragliche Leistungen gegebenenfalls nicht oder nicht vollständig bereitstellen.

21. Automatisierte Entscheidungen / Profiling

Eine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet derzeit nicht statt.

22. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich unsere Website, unsere WebApp, unsere PWA-Funktionen, eingesetzte Dienste oder die rechtlichen Rahmenbedingungen ändern. Es gilt jeweils die zum Zeitpunkt des Besuchs oder der Nutzung abrufbare Fassung.