Stand: Mai 2026
Kurzantwort: Ein sauberes Permission-Modell für Nachunternehmer gibt jedem externen Beteiligten genau die Module frei, die er für seinen Auftrag braucht (typisch: Aufmaß, Mängel, Bautagebuch, Stundennachweis), und blendet alles andere konsequent aus. Es ist projekt- und firmenbezogen, hat einen Audit-Trail, läuft DSGVO-konform und ersetzt damit das chaotische Modell, bei dem Daten per E-Mail-Anhang verschickt oder Logins geteilt werden.
Kaum ein Baubetrieb arbeitet noch ohne Nachunternehmer. Vom Generalunternehmer mit 80 Prozent Fremdvergabe bis zum Familienbetrieb, der ab und zu einen Elektriker hinzuzieht: Externe Firmen sind Realität. Die Frage ist, wie sie sicher und produktiv in die eigenen Prozesse eingebunden werden. Die häufigsten Antworten der Praxis (E-Mail, WhatsApp, Shared Drive, geteilte Logins) sind 2026 weder DSGVO-konform noch produktiv.
Die typischen Fehlpraktiken
Variante 1: E-Mail mit Anhang
Der Nachunternehmer bekommt PDFs als Anhang: LV-Auszug, Lageplan, Aufmaß-Vorlage. Updates erfolgen erneut per E-Mail. Probleme:
- Keine Versionskontrolle: welcher Plan war final?
- Datenschutz: PDFs bleiben im Postfach, oft auch beim ehemaligen Mitarbeiter.
- Kein Audit-Trail: niemand weiß, welche Information wann gesendet wurde.
- Keine Rückkanal-Struktur: Antworten kommen formatfrei zurück.
Variante 2: Shared Cloud-Ordner
Der Nachunternehmer wird in einen Dropbox- oder OneDrive-Ordner eingeladen. Vorteile: aktuelle Pläne, ein Ort für alle. Nachteile:
- Oft Hosting außerhalb der EU, DSGVO-kritisch.
- Alle Dateien sichtbar, auch sensible (Verträge, Kalkulation).
- Keine Sicht auf eigene Mengen oder eigene Aufgaben.
- Vermischung mit anderen Projekten möglich.
Variante 3: Geteilter Login
Der Nachunternehmer bekommt den Login eines Bauleiters. Das ist gefährlich:
- Vollständiger Zugriff auf alle Projekte und Module.
- Kein nachvollziehbarer Audit-Trail.
- DSGVO-Verstoß durch Datenoffenbarung gegenüber Dritten.
- Beim Personalwechsel kein sauberer Entzug möglich.
Das richtige Permission-Modell
Ein professionelles Modell für Nachunternehmer hat fünf Eigenschaften:
1. Eigener Login pro Person
Jede natürliche Person, die Zugriff bekommt, hat einen eigenen Login. Keine Sammelkonten. Bei Ausscheiden wird das Konto deaktiviert, andere Zugriffe bleiben unberührt.
2. Firmen-Scoping
Der Login ist einer Firma zugeordnet, nicht direkt einem Projekt. Die Firma wird dann pro Projekt freigeschaltet. Damit kann derselbe Nachunternehmer in mehreren Projekten arbeiten, ohne die anderen zu sehen.
3. Modul-Freigabe pro Projekt
Für jedes Projekt wird einzeln festgelegt, welche Module der Nachunternehmer sieht. Typische Konfiguration:
- Aufmaß: nur eigene Positionen, schreibend
- Mängel: zugewiesene Mängel, schreibend (Erledigungsvermerk, Foto)
- Bautagebuch: lesend für die Tage, an denen er anwesend war, schreibend für eigene Einträge
- Stundennachweis: nur eigene Mitarbeiter, mit Freigabeworkflow durch den GU
- Lieferscheine: eigene Lieferungen, mit Foto-Upload
- Pläne: aktuelle Plan-Version mit Plan-Index
Nicht sichtbar bleiben: Verträge, Kalkulation, Eingangsrechnungen anderer Firmen, Mängel anderer Gewerke.
4. Vollständiger Audit-Trail
Jede Aktion des Nachunternehmers wird protokolliert: Login, Änderung, Upload, Download. Im Streitfall lässt sich nachvollziehen, wer was wann gesehen oder geändert hat.
5. Klare Beendigung
Nach Abschluss des Auftrags wird der Zugang zum Projekt entzogen, ohne dass die historischen Daten verloren gehen. Der Nachunternehmer behält für eigene Pflichten (Aufbewahrungsfristen) Lesezugriff auf seine eigenen Belege, sieht aber keine neuen Aktivitäten mehr.
Vergleichstabelle
| Aspekt | Shared Cloud | Geteilter Login | Permission-Modell | |
|---|---|---|---|---|
| Versionskontrolle | nein | teilweise | ja | ja |
| Audit-Trail | nein | teilweise | nein | vollständig |
| Sichttrennung | nein | nein | nein | granular |
| DSGVO-konform | nein | risikoreich | nein | ja |
| Modul-Bezug | nein | nein | unbeschränkt | präzise |
| Aufwand pro NU | hoch | mittel | gering | gering |
| Skalierbarkeit | gering | mittel | gering | hoch |
Modul-Vernetzung mit Nachunternehmern
Ein Permission-Modell entfaltet seinen Nutzen erst in einer vernetzten Plattform:
- Der NU sieht seine Mengen aus dem Aufmaß, die direkt in seine Schlussrechnung übergehen.
- Mängel an seinen Gewerken landen ohne Mail-Hin-und-Her bei ihm.
- Stunden seiner Mitarbeiter werden mit der Anwesenheitsdokumentation des GU abgeglichen.
- Lieferscheine seiner Lieferanten werden mit Aufmaß und Materialdisposition verknüpft.
- Termine aus dem Bauzeitenplan zeigen ihm sein Soll, ohne den gesamten Plan zu offenbaren.
DSGVO und Auftragsdatenverarbeitung
Wenn der GU dem NU Zugriff auf personenbezogene Daten gewährt, ist das eine Verarbeitung. Klärungspunkte:
- Rechtsgrundlage: meist Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
- AV-Vertrag: nur nötig, wenn der NU als Auftragsverarbeiter handelt. Häufig ist der NU eigenverantwortlich, dann gilt eine gemeinsame Verantwortung nach Art. 26 DSGVO oder eine separate Verantwortung.
- Datenminimierung: nur die für den Auftrag nötigen Daten sichtbar machen.
- Speicherbegrenzung: nach Abschluss wird die Sichtbarkeit eingeschränkt.
- Betroffenenrechte: die Person muss wissen, wer welche Daten sieht.
Banking-Grade Org-Scoping
In Mehrfirmen-Konstellationen (z. B. eine Holding mit mehreren Bau-GmbHs) ist das Org-Scoping entscheidend. Jeder Zugriff läuft in genau einem Firmenkontext. Bulk-Aktionen, die Daten mehrerer Firmen kombinieren würden, werden hart abgelehnt. Das ist Pflicht für DATEV-Exporte und schützt davor, dass ein NU versehentlich Daten der Schwesterfirma sieht.
Onboarding-Workflow für Nachunternehmer
In der Praxis bewährt sich folgender Ablauf:
- Stammdaten anlegen: Firma im Lieferantenverzeichnis erfassen.
- Ansprechpartner einladen: per E-Mail-Link, Passwort wird vom NU selbst gesetzt.
- Projekt zuordnen: das konkrete Bauvorhaben verlinken.
- Module aktivieren: aus einer Vorlage (z. B. "NU Aufmaß+Mängel") oder manuell.
- Erste Aufgabe: typisch ein Aufmaß-Auftrag oder eine Mangelzuweisung.
- Abschluss: nach Schlussrechnung Zugang archivieren, Historie bleibt erhalten.
Typische Fehler beim Permission-Setup
- Zu großzügige Default-Rolle: NU sieht versehentlich Kalkulation.
- Keine Trennung pro Projekt: NU sieht andere Projekte mit, an denen er nicht beteiligt ist.
- Sammelkonto pro Firma: kein Audit-Trail einzelner Personen.
- Vergessener Entzug: nach Auftragsende bleibt der Zugang offen.
- Kein Mängel-Workflow: NU sieht Mängel, kann sie aber nicht rückmelden.
Fazit
Die Einbindung von Nachunternehmern entscheidet über Produktivität und Datenschutzrisiko in jedem Bauprojekt. Wer mit E-Mail oder geteilten Logins arbeitet, riskiert Datenpannen, Versionschaos und unnötige Mehrarbeit. Ein granulares Permission-Modell auf einer vernetzten Plattform schafft Transparenz für beide Seiten, ohne sensible Daten preiszugeben.
BauGrid bietet ein zweistufiges Firmen- und Projektmodell mit Modul-Freigabe pro Projekt, vollständigem Audit-Trail und DSGVO-konformer Verarbeitung in Deutschland. Mehr dazu im Beitrag Nachunternehmer-Vergabe und LV-Aufteilung und in der Nachunternehmer-Modul-Übersicht.
Bereit, das in der Praxis umzusetzen?
BauGrid verbindet Aufmaß, Abrechnung, Zeiterfassung und Bautagebuch auf einer Plattform. Kostenlos starten mit bis zu 5 Nutzern.
