Stand: Mai 2026
Kurzantwort: DSGVO-konforme Bausoftware speichert personenbezogene Daten ausschließlich auf Servern in der EU, idealerweise in Deutschland, schließt mit dem Anbieter einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ab und erfüllt zusätzlich die GoBD-Pflichten zur revisionssicheren Archivierung. Granulare Permission-Levels stellen sicher, dass Nachunternehmer, Bauherren oder Steuerberater nur die für sie relevanten Module sehen.
Die Digitalisierung im Bau beschleunigt sich. Laut Bitkom-Studie 2025 sehen 89 Prozent der Bauunternehmen Digitalisierung als Chance, doch nur rund 24 Prozent setzen umfassende ERP- oder Branchensoftware ein (IW Köln 2025). Bei der Auswahl bleibt der Datenschutz oft auf der Strecke, bis das erste Audit oder eine Datenpanne aufschlägt. Dieser Beitrag zeigt, welche Kriterien rechtssichere Bausoftware erfüllen muss und wie sich Datenschutz mit produktivem Bauablauf verbinden lässt.
Warum Datenschutz im Bau eine Sonderrolle spielt
Eine Baustelle erzeugt sensible Daten in mehreren Dimensionen gleichzeitig: Mitarbeiterdaten in der Zeiterfassung, Lohndaten in der Abrechnung, Lieferanten- und Bonitätsinformationen in der Vergabe, Fotos mit Personen auf Baustellen, GPS-Spuren bei mobiler Erfassung. Hinzu kommen vertrauliche Vertrags- und Kalkulationsdaten der Bauherren.
Klassische, ältere DACH-Bausoftware wurde häufig vor Inkrafttreten der DSGVO konzipiert. Viele Anbieter bieten zwar inzwischen Cloud-Versionen an, hosten aber teilweise außerhalb der EU oder verarbeiten Daten über US-Subunternehmer. Nach dem Schrems-II-Urteil des EuGH (C-311/18) reicht ein bloßer Hinweis auf Standardvertragsklauseln nicht mehr aus.
Die fünf Pflichtkriterien
1. Hosting innerhalb der EU
Art. 44 ff. DSGVO regelt die Übermittlung in Drittländer. Wer Bausoftware nutzt, deren Server in den USA oder im außereuropäischen Ausland stehen, muss zusätzliche Garantien nachweisen. Einfacher und rechtssicherer: ausschließliche Verarbeitung in Deutschland oder der EU. Im Idealfall bestätigt der Anbieter den Standort und die ISO-27001-Zertifizierung des Rechenzentrums vertraglich.
2. Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
Der AV-Vertrag ist kein Bürokratie-Detail, sondern Voraussetzung jeder Cloud-Nutzung. Er regelt Weisungsrechte, technische und organisatorische Maßnahmen (TOM), Unterauftragsverarbeiter und Löschfristen. Ohne unterzeichneten AV-Vertrag droht ein Bußgeld nach Art. 83 DSGVO.
3. GoBD-Konformität und revisionssicheres Archiv
Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern (GoBD, BMF-Schreiben) verlangen unveränderbare Speicherung steuerrelevanter Belege. Konkret heißt das: Rechnungen, Abrechnungen, Verträge und Bautagebücher müssen nach Festschreibung gegen nachträgliche Änderung gesperrt sein. Datenbanken brauchen Audit-Trigger, die jeden Schreibvorgang protokollieren. § 147 AO setzt die Aufbewahrungsfrist auf typischerweise zehn Jahre, § 257 HGB bestätigt diese Frist für Handelsbücher und Belege.
4. Granulare Permission-Levels für externe Firmen
Im Bau arbeiten Generalunternehmer, Nachunternehmer, Planer, Bauherren und Steuerberater an denselben Projekten. Wer alles in einer gemeinsamen Cloud-Ablage teilt, riskiert ungewollte Datenweitergaben. Eine DSGVO-konforme Plattform erlaubt es, einzelne Module gezielt für externe Firmen freizugeben: Der Nachunternehmer sieht nur sein Aufmaß und seine Mängel, der Steuerberater nur die Rechnungen, der Bauherr nur den Bautagebuch-Auszug.
5. Löschkonzept und Datenminimierung
Art. 5 Abs. 1 lit. e DSGVO verlangt Speicherbegrenzung. Steuerunterlagen müssen zehn Jahre archiviert werden, Bewerbungsfotos dagegen oft nur sechs Monate. Eine gute Bausoftware trennt diese Bereiche und ermöglicht das gezielte Löschen einzelner Datenkategorien nach Fristablauf, ohne die übrigen Aufzeichnungen anzutasten.
Modul-Vernetzung als Datenschutz-Verstärker
Viele Bauunternehmen behelfen sich mit Insellösungen: Excel für die Zeiterfassung, ein Online-Tool für Mängel, ein anderes für Rechnungen, ein PDF-Versand-Postfach für Verträge. Jede dieser Quellen ist ein eigener Verarbeitungsprozess mit eigenen Risiken.
Eine vernetzte Plattform reduziert die Zahl der Datenverarbeitungen. Wer Zeiterfassung, Bautagebuch, Aufmaß, Rechnung und Mängel in einem System führt, hat einen Verarbeitungsverzeichnis-Eintrag statt fünf, ein Backup-Konzept statt fünf und einen einheitlichen Löschworkflow statt fünf. Das ist nicht nur effizienter, sondern auch belastbarer in jedem Audit.
Permission-Levels in der Praxis
Die häufigste Schwachstelle in Baubetrieben sind übergroße Zugriffsrechte. Der Polier sieht aus Versehen die Kalkulation, der Subunternehmer kommt an die Mängelliste anderer Gewerke, der Praktikant landet im Lohnmodul. Saubere Permission-Levels schließen das aus:
- Rollenbasierte Sicht: Bauleiter, Polier, Buchhaltung, Geschäftsführung und externe Firma haben unterschiedliche Standardrollen.
- Modul-Freigabe pro Projekt: Ein Nachunternehmer wird nur für genau die Module eines Projekts freigeschaltet, die er tatsächlich braucht (z. B. Aufmaß, Mängel, Bautagebuch). Rechnungen und LV bleiben unsichtbar.
- Banking-Grade Org-Scoping: Bei Mehrfirmen-Konstellationen läuft jede Operation in genau einem Firmenkontext. Bulk-Aktionen über mehrere Firmen werden hart abgelehnt, statt still gefiltert zu werden. Das ist Pflicht für DATEV-Exporte.
Datenschutz-Checkliste für die Anbieterauswahl
| Kriterium | Pflicht | Nachweis |
|---|---|---|
| Serverstandort EU/DE | ja | Vertrag, Rechenzentrumszertifikat |
| AV-Vertrag nach Art. 28 DSGVO | ja | unterzeichnetes Dokument |
| TOM nach Art. 32 DSGVO | ja | Anlage zum AV-Vertrag |
| Verzeichnis der Unterauftragsverarbeiter | ja | aktuelle Liste |
| GoBD-Archiv mit Audit-Trail | ja bei steuerrelevanten Daten | Beschreibung der Trigger |
| Granulare Rechtevergabe | empfohlen | Demo / Dokumentation |
| Datenexport in offene Formate | ja | CSV, XML, PDF/A |
| Löschkonzept mit Fristen | ja | dokumentiertes Verfahren |
| Zwei-Faktor-Authentifizierung | empfohlen | Konfigurationsoption |
| Verschlüsselung in Ruhe und Übertragung | ja | TLS, AES-256 |
Was viele Baubetriebe unterschätzen
- Mitarbeiterfotos: Ein Foto im Mängelbericht kann ein Mitarbeiter im Hintergrund zeigen. Ohne Einwilligung oder berechtigtes Interesse problematisch.
- GPS bei der Zeiterfassung: Zulässig, aber nur zweckgebunden für die Baustellenzuordnung, nicht als Dauerüberwachung.
- WhatsApp für Baustellen-Kommunikation: Übermittlung der gesamten Telefonbücher in Drittländer, kein AV-Vertrag, kein Audit-Trail. Faktisch DSGVO-Verstoß.
- Excel-Listen auf privaten Geräten: Lohndaten oder Mängel auf einem unverschlüsselten Laptop sind ein Meldefall nach Art. 33 DSGVO bei Verlust.
Verbindung zu anderen Pflichten
DSGVO steht nicht allein. Wer im Bau arbeitet, muss zusätzlich erfüllen:
- GoBD und § 147 AO für steuerrelevante Belege
- § 257 HGB für Handelsbücher
- § 14 UStG für elektronische Rechnungen, ab 2025 mit XRechnung-Empfangspflicht
- BetrVG bei Mitbestimmung zur Zeiterfassung
- BaustellV für Sicherheitsdokumentation
Eine integrierte Plattform mappt diese Pflichten automatisch in die Module. Statt sich pro Pflicht eine separate Lösung zu suchen, läuft alles in einem rechtlich abgestimmten Rahmen.
Vergleich: Vernetzt versus Insellösungen
| Aspekt | Insellösungen | Vernetzte Plattform |
|---|---|---|
| AV-Verträge | je Anbieter einer | einer für alle Module |
| Datenredundanz | hoch (gleiche Daten in mehreren Systemen) | minimiert |
| Löschworkflow | manuell pro System | zentral steuerbar |
| Externe Zugriffe | per Mail oder Freigabe-Link | granulare Permission |
| Backup-Verantwortung | verteilt | beim Anbieter |
| Audit-Aufwand | hoch | gering |
Fazit
DSGVO-konforme Bausoftware ist keine Wunschoption mehr, sondern Auswahlkriterium. Wer heute eine Bausoftware einführt und dabei nur auf Funktionen schaut, ohne Hosting, AV-Vertrag, GoBD-Archiv und Permission-Konzept zu prüfen, baut technische Schulden auf, die spätestens beim ersten Audit oder Anwaltsschreiben sichtbar werden.
BauGrid hostet ausschließlich in Deutschland (Hetzner), liefert AV-Vertrag und TOM mit, hat ein GoBD-konformes Archiv mit Audit-Triggern und granulare Permission-Levels für externe Firmen pro Modul und Projekt. Wer das im eigenen Setup prüfen möchte, findet die Module im Überblick auf der BauGrid-Startseite oder im Permission-Modell für Nachunternehmer.
Bereit, das in der Praxis umzusetzen?
BauGrid verbindet Aufmaß, Abrechnung, Zeiterfassung und Bautagebuch auf einer Plattform. Kostenlos starten mit bis zu 5 Nutzern.
