Die BauGrid Offline-App hält Ihre Projektdaten auf Ihrem eigenen Server oder Laptop synchron. Kein Netz auf der Baustelle? Internetausfall im Büro? Sie arbeiten einfach weiter - voller Zugriff auf Ihre Daten, ohne Stillstand.
Diese Datenschutzerklärung ist in zwei eigenständige Bereiche gegliedert. Bitte klappen Sie den für Sie relevanten Bereich auf - die allgemeinen Angaben (z. B. Verantwortlicher und Ihre Rechte) sind in beiden Bereichen vollständig enthalten.
Marketing-Webseite baugrid.deNur diese öffentliche Webseite nutzt - und nur mit Ihrer Einwilligung - Cookies sowie Google Analytics, Google Ads und Vercel zur Reichweitenmessung.
1. Einleitung, Geltungsbereich und unsere Rollen im Datenschutz
(1) Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir im Zusammenhang mit unserer Webseite (baugrid.de), unserer Plattform (dash.baugrid.de) sowie unseren mobilen Anwendungen verarbeiten, zu welchen Zwecken, auf welcher Rechtsgrundlage, an welche Empfänger und welche Rechte Ihnen zustehen.
(2) Rechtsgrundlage der Verarbeitung ist die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, „DSGVO"), ergänzt durch das Bundesdatenschutzgesetz (BDSG), das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, vormals TTDSG) sowie weitere anwendbare Bestimmungen.
(3) BauGrid nimmt im Datenschutz verschiedene Rollen ein, je nachdem in welchem Kontext personenbezogene Daten verarbeitet werden:
- BauGrid als Verantwortlicher (Art. 4 Nr. 7 DSGVO): Bei allen Verarbeitungen rund um unsere Webseite, unsere Marketing-Aktivitäten, das Anlegen und Führen von Nutzerkonten, die Abwicklung von Abonnements sowie die Kommunikation mit Ihnen als Ansprechpartner unserer Kunden.
- BauGrid als Auftragsverarbeiter (Art. 28 DSGVO): Bei allen personenbezogenen Daten, die unsere Kunden oder deren Beschäftigte im Rahmen der Plattformnutzung in BauGrid eingeben, hochladen oder erzeugen (z. B. Zeiterfassungs-, Bautagebuch-, Mängel-, Projekt-, Urlaubsdaten). In diesen Fällen ist unser Kunde der Verantwortliche; wir verarbeiten die Daten ausschließlich auf seine Weisung auf Grundlage des mit ihm geschlossenen Auftragsverarbeitungsvertrages (AVV).
- BauGrid als Verantwortlicher für berufsbezogene Daten: Wenn wir personenbezogene Daten über Personen in ihrer beruflichen Eigenschaft (z. B. geschäftliche Kontaktinformationen aus Messen, Kontaktanfragen, Support-Tickets) eigenständig erheben, sind wir hierfür Verantwortlicher.
(4) Diese Datenschutzerklärung bezieht sich primär auf die Verarbeitungen, bei denen BauGrid Verantwortlicher ist. Für Verarbeitungen, in denen BauGrid als Auftragsverarbeiter handelt, finden Sie Details in Abschnitt 8 und im AVV zwischen BauGrid und dem jeweiligen Kunden.
2. Verantwortlicher und Kontakt zum Datenschutz
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
Rathausstr. 15
10367 Berlin
Deutschland
E-Mail: kontakt@baugrid.de
Vertretungsberechtigte Geschäftsführung: Preetam Yadav
Handelsregister: Amtsgericht Charlottenburg, HRB 286941 B
Kontakt zum Datenschutz:
Die gesetzlichen Voraussetzungen für die Pflicht zur Bestellung eines Datenschutzbeauftragten gemäß Art. 37 DSGVO und § 38 BDSG sind derzeit nicht erfüllt. Bei allen Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte erreichen Sie uns über die oben genannte E-Mail-Adresse.
3. Begriffsbestimmungen
Diese Datenschutzerklärung verwendet die Begriffe der DSGVO. Zur Erleichterung des Verständnisses erläutern wir die wichtigsten Begriffe kurz:
- Personenbezogene Daten (Art. 4 Nr. 1 DSGVO) - alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
- Verarbeitung (Art. 4 Nr. 2 DSGVO) - jeder Vorgang mit personenbezogenen Daten, z. B. Erheben, Speichern, Übermitteln, Löschen.
- Verantwortlicher (Art. 4 Nr. 7 DSGVO) - die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet.
- Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) - eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
- Einwilligung (Art. 4 Nr. 11 DSGVO) - eine freiwillige, informierte und unmissverständliche Willensbekundung der betroffenen Person.
- Kundendaten - sämtliche Inhalte, die Sie oder Ihre Nutzer in BauGrid eingeben, hochladen oder über die Plattform erzeugen.
4. Besuch unserer Webseite (Server-Logs, Sicherheit)
(1) Beim Besuch unserer Webseite (baugrid.de) und unserer Plattform (dash.baugrid.de) verarbeiten wir die folgenden technischen Daten automatisch, damit der Dienst bereitgestellt werden kann:
- IP-Adresse (gekürzt, soweit möglich)
- Datum und Uhrzeit des Zugriffs
- angeforderte Ressource (URL)
- HTTP-Statuscode und übertragene Datenmenge
- Referrer-URL
- User-Agent (Browser, Betriebssystem)
(2) Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Bereitstellung einer funktionsfähigen und sicheren Webseite, in der Gewährleistung der Netz- und Informationssicherheit sowie in der Abwehr von Angriffsversuchen (z. B. DDoS, Brute-Force).
(3) Speicherdauer: Server-Logs werden spätestens nach 30 Tagen gelöscht, soweit nicht im Einzelfall eine längere Speicherung zur Beweissicherung bei einem konkreten Sicherheitsvorfall erforderlich ist.
5. Cookies und vergleichbare Technologien (§ 25 TDDDG)
(1) Wir setzen auf unserer Webseite und in der Plattform Cookies und vergleichbare Technologien (z. B. LocalStorage) ein. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden.
(2) Wir unterscheiden zwischen technisch notwendigen und nicht-notwendigen Cookies:
- Technisch notwendige Cookies sind erforderlich, um die Grundfunktionen der Webseite und Plattform bereitzustellen (z. B. Login-Session, Warenkorb-ähnliche Zustände, Sicherheits-Token). Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO.
- Nicht-notwendige Cookies (z. B. Analytics, Marketing, eingebettete Drittanbieter) werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt. Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft über unser Cookie-Banner oder die Cookie-Einstellungen widerrufen.
(3) Nicht-notwendige Cookies setzen wir auf baugrid.de ausschließlich nach Ihrer ausdrücklichen Einwilligung über unser Cookie-Banner ein. Dies betrifft derzeit Google Analytics 4 (Reichweitenmessung, Abschnitt 5b) und das Google Ads Conversion-Tracking (Messung des Werbeerfolgs, Abschnitt 5c). Ohne Ihre Einwilligung werden diese Dienste nicht geladen und es werden hierfür keine Cookies gesetzt. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die im Banner getroffene Auswahl in Ihrem Browser-Speicher löschen oder uns unter legal@baugrid.de kontaktieren.
(4) Speicherdauer: Session-Cookies werden nach Ende der Browsersitzung gelöscht. Persistente Cookies werden für höchstens 12 Monate gespeichert.
5a. Reichweiten- und Performance-Messung (Vercel)
(1) Auf unserer Webseite baugrid.de setzen wir zwei Dienste der Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA (nachfolgend „Vercel") ein: Vercel Web Analytics für die Reichweitenmessung und Vercel Speed Insights für die Erhebung von Web-Performance-Kennzahlen (Core Web Vitals). Vercel betreibt zugleich die Hosting-Infrastruktur unserer Landingpage.
(2) Was verarbeitet wird: Bei jedem Seitenaufruf erhebt Vercel anonymisiert die aufgerufene URL, die Referrer-URL, den User-Agent (Browser und Betriebssystem), das ungefähre Herkunftsland (abgeleitet aus der IP-Adresse) sowie Geräteinformationen wie Bildschirmgröße. Speed Insights ergänzt diese Daten um Performance-Messwerte (z. B. Largest Contentful Paint, Interaction to Next Paint, Cumulative Layout Shift, Time to First Byte). Daraus erstellt Vercel aggregierte Statistiken zu Besucherzahlen, beliebten Seiten, Herkunftsquellen und Ladegeschwindigkeit.
(3) Cookielos und ohne Endgeräte-Zugriff: Beide Dienste arbeiten ohne Cookies, ohne LocalStorage und ohne Fingerprinting. Es werden keine Informationen auf Ihrem Endgerät gespeichert oder ausgelesen, sodass § 25 TDDDG nicht greift und keine Einwilligung erforderlich ist. Die IP-Adresse wird nur flüchtig zur Ableitung des Herkunftslandes verwendet und unmittelbar danach verworfen - sie wird nicht gespeichert.
(4) Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der bedarfsgerechten Gestaltung, der kontinuierlichen Verbesserung der Ladegeschwindigkeit und der wirtschaftlichen Bereitstellung unserer Webseite.
(5) Übermittlung in die USA: Da Vercel seinen Sitz in den USA hat, kann eine Übermittlung der oben genannten Daten in die USA nicht vollständig ausgeschlossen werden. Vercel ist nach dem EU-U.S. Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023). Ergänzend hat Vercel die Standarddatenschutzklauseln der EU-Kommission in seine Auftragsverarbeitungsvereinbarung (Data Processing Agreement) aufgenommen, die als Bestandteil der Vercel-Nutzungsbedingungen gilt.
(6) Widerspruchsrecht: Sie können der Reichweiten- und Performance-Messung jederzeit mit Wirkung für die Zukunft widersprechen, indem Sie uns eine formlose Nachricht an legal@baugrid.de senden. Alternativ können Sie die Skripte über einen geeigneten Browser-Blocker (z. B. uBlock Origin) deaktivieren.
(7) Weitere Informationen finden Sie in der Datenschutzerklärung von Vercel unter https://vercel.com/legal/privacy-policy, zur cookielosen Reichweitenmessung unter https://vercel.com/docs/analytics/privacy und zu Speed Insights unter https://vercel.com/docs/speed-insights/privacy.
5b. Google Analytics 4
(1) Auf unserer Webseite baugrid.de setzen wir Google Analytics 4 (nachfolgend „GA4") ein, ein Analysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google"). Verantwortlich für die Datenverarbeitung innerhalb der EU ist Google Ireland Limited. Property-ID: G-QJDLCEGW6G (BauGrid Production Stream).
(2) Zweck: GA4 hilft uns, die Nutzung unserer Webseite zu analysieren, beliebte Inhalte zu identifizieren und die Herkunft unserer Besucher (organische Suche, Direkt-Eingabe, soziale Netzwerke und seit Mai 2026 auch der neue Standard-Kanal „AI Assistant" für KI-basierte Suchanfragen via ChatGPT, Gemini, Perplexity, Copilot oder Claude) zu verstehen.
(3) Was verarbeitet wird: GA4 erfasst pseudonymisiert insbesondere die aufgerufenen Seiten, Verweildauer, Referrer-URL (Herkunft des Besuchs), den ungefähren Standort (auf Stadt-Ebene, abgeleitet aus der gekürzten IP-Adresse), Geräte- und Browserinformationen, sowie Interaktionen (z. B. Klicks, Scroll-Tiefe). GA4 verwendet hierfür Cookies und eine clientseitige Geräte-ID. Die IP-Anonymisierung ist bei GA4 standardmäßig aktiv - die vollständige IP-Adresse wird nicht gespeichert.
(4) Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG (Speicherung und Auslesen von Informationen auf dem Endgerät). Sie können die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
(5) Übermittlung in die USA: Eine Übermittlung der oben genannten Daten an die Muttergesellschaft Google LLC in den USA kann nicht vollständig ausgeschlossen werden. Google LLC ist nach dem EU-U.S. Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023). Ergänzend hat Google die Standarddatenschutzklauseln der EU-Kommission in den Auftragsverarbeitungsvertrag („Data Processing Terms") aufgenommen.
(6) Speicherdauer: Die GA4-Aufbewahrungsdauer für ereignisbezogene Nutzerdaten ist auf 14 Monate begrenzt; aggregierte Berichtsdaten werden langfristig gespeichert. Sie können Ihre individuelle GA4-ID jederzeit auf Anfrage löschen lassen.
(7) Widerspruch und Opt-out: Sie können die Erfassung durch GA4 verhindern, indem Sie:
- das Browser-Add-on zur Deaktivierung von Google Analytics installieren: tools.google.com/dlpage/gaoptout;
- einen Browser-Blocker (z. B. uBlock Origin, Privacy Badger) verwenden;
- uns formlos an legal@baugrid.de kontaktieren mit der Bitte um Löschung Ihrer GA4-Daten.
(8) Weitere Informationen finden Sie in der Datenschutzerklärung von Google unter policies.google.com/privacy sowie in den GA4-spezifischen Hinweisen unter support.google.com/analytics/answer/12017362.
5c. Google Ads Conversion-Tracking
(1) Auf unserer Webseite baugrid.de setzen wir das Conversion-Tracking von Google Ads ein, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google"). Verantwortlich für die Datenverarbeitung innerhalb der EU ist Google Ireland Limited. Conversion-ID: AW-18186460685.
(2) Zweck: Gelangen Sie über eine Google-Anzeige auf unsere Webseite, setzt Google ein Cookie. Führen Sie anschließend eine für uns relevante Handlung aus (sog. „Conversion", z. B. eine Registrierung oder Kontaktaufnahme), können wir den Erfolg unserer Werbekampagnen messen. Wir erhalten von Google ausschließlich aggregierte Statistiken und keine Daten, mit denen wir Sie als Person identifizieren können.
(3) Was verarbeitet wird: Über das Cookie sowie die geladene gtag.js werden insbesondere eine pseudonyme Klick- bzw. Geräte-Kennung, der Zeitpunkt von Anzeigenklick und Conversion, die aufgerufene Seite sowie Geräte- und Browserinformationen verarbeitet.
(4) Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG. Das Conversion-Tracking wird erst geladen, nachdem Sie im Cookie-Banner auf „Akzeptieren" geklickt haben. Sie können die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
(5) Übermittlung in die USA: Eine Übermittlung der oben genannten Daten an die Muttergesellschaft Google LLC in den USA kann nicht vollständig ausgeschlossen werden. Google LLC ist nach dem EU-U.S. Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023). Ergänzend hat Google die Standarddatenschutzklauseln der EU-Kommission in den Auftragsverarbeitungsvertrag („Data Processing Terms") aufgenommen.
(6) Speicherdauer: Die für das Conversion-Tracking gesetzten Cookies verlieren in der Regel nach spätestens 90 Tagen ihre Gültigkeit.
(7) Widerspruch und Opt-out: Sie können das Conversion-Tracking verhindern, indem Sie im Cookie-Banner „Ablehnen" wählen, personalisierte Werbung in den Google-Anzeigeneinstellungen deaktivieren oder einen Browser-Blocker (z. B. uBlock Origin) verwenden.
(8) Weitere Informationen finden Sie in der Datenschutzerklärung von Google unter policies.google.com/privacy sowie zur Werbung unter policies.google.com/technologies/ads.
6. Kontakt, Support und Newsletter
(1) Wenn Sie uns per E-Mail, Kontaktformular oder Support-Ticket kontaktieren, verarbeiten wir die von Ihnen übermittelten Daten (Name, E-Mail-Adresse, Unternehmen, Telefonnummer, Inhalt der Anfrage) zur Bearbeitung Ihres Anliegens.
(2) Rechtsgrundlage:
- Art. 6 Abs. 1 lit. b DSGVO, soweit die Anfrage auf einen Vertragsabschluss oder die Erfüllung eines bestehenden Vertrages abzielt.
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung geschäftlicher Anfragen), soweit kein Vertragsbezug besteht.
(3) Newsletter: Wenn Sie unseren Newsletter abonniert haben, verarbeiten wir Ihre E-Mail-Adresse zum Versand des Newsletters auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können die Einwilligung jederzeit über den Abmelde-Link in jedem Newsletter oder per E-Mail an legal@baugrid.de mit Wirkung für die Zukunft widerrufen.
(4) Bestandskundenwerbung: Soweit Sie Kunde sind und wir Ihnen Informationen zu ähnlichen eigenen Produkten und Dienstleistungen per E-Mail senden, stützen wir dies auf § 7 Abs. 3 UWG i. V. m. Art. 6 Abs. 1 lit. f DSGVO. Sie können dieser Verarbeitung jederzeit per E-Mail an die oben genannte Adresse widersprechen.
(5) Speicherdauer: Kontakt- und Support-Anfragen werden nach abschließender Bearbeitung 3 Jahre aufbewahrt, um Rückfragen beantworten und Verläufe nachvollziehen zu können. Unberührt bleiben handels- und steuerrechtliche Aufbewahrungsfristen (§§ 147 AO, 257 HGB).
10. Empfänger und Unterauftragsverarbeiter
(1) Zur Bereitstellung unserer Leistungen arbeiten wir mit sorgfältig ausgewählten Dienstleistern zusammen, die wir auf die Einhaltung der DSGVO und auf angemessene technische und organisatorische Maßnahmen verpflichten. Kategorien von Empfängern sind insbesondere:
- Hosting Plattform (Hetzner Online GmbH, Rechenzentren in Deutschland) - Serverbetrieb, Datenbank, Backup von dash.baugrid.de
- Hosting Landingpage und Reichweitenmessung (Vercel Inc., USA - DPF-zertifiziert) - Auslieferung und cookielose Statistiken für baugrid.de (siehe Abschnitt 5a)
- Cloud-Speicher (Objektspeicher in Deutschland) - Dokumente, Fotos, Dateien
- E-Mail-Versand (Anbieter innerhalb EU/EWR) - Transaktions- und Benachrichtigungs-E-Mails
- Zahlungsdienstleister (innerhalb EU/EWR) - SEPA- und Kreditkartenabwicklung
- KI-Dienste (vorrangig innerhalb EU/EWR, im Einzelfall auch außerhalb mit geeigneten Garantien nach Art. 44 ff. DSGVO) - nur bei Nutzung des Zusatzmoduls BauKI
- Support- und Ticketsysteme (innerhalb EU/EWR) - Bearbeitung von Supportanfragen
- Fehlerprotokollierung und Performance-Monitoring (Sentry, EU-Region Frankfurt/Main) - automatische Erfassung von Anwendungsfehlern und Antwortzeiten in dash.baugrid.de; Details siehe Abschnitt 10a
- Steuerberater, Rechtsanwälte, Wirtschaftsprüfer - im Rahmen gesetzlicher Pflichten und berechtigter Interessen
- Behörden - soweit eine gesetzliche Auskunftspflicht besteht
(2) Eine stets aktuelle, namentliche Liste unserer Unterauftragsverarbeiter mit Verarbeitungsstandorten und Zwecken stellen wir unseren Kunden im Rahmen des AVV zur Verfügung. Sie kann zusätzlich auf Anfrage unter legal@baugrid.de angefordert werden.
(3) Eine Übermittlung Ihrer Daten an Empfänger außerhalb der oben genannten Kategorien findet nicht statt, es sei denn, Sie haben ausdrücklich eingewilligt oder wir sind gesetzlich hierzu verpflichtet.
10a. Fehlerprotokollierung und Performance-Monitoring (Sentry, EU-Region)
Zur Sicherstellung eines stabilen und performanten Betriebs unserer Plattform dash.baugrid.de setzen wir den Dienst Sentry (Anbieter: Functional Software, Inc., 45 Fremont Street, San Francisco, CA 94105, USA) zur automatischen Erfassung von Anwendungsfehlern und ausgewählten Performance-Daten ein. Auf unserer Landingpage baugrid.de wird Sentry nicht verwendet.
(1) EU-Datenresidenz (Frankfurt/Main)
Wir nutzen ausschließlich die EU-Region von Sentry („de.sentry.io"). Die im Rahmen der Fehlerprotokollierung erhobenen Daten werden in Rechenzentren innerhalb der Europäischen Union (Frankfurt/Main) verarbeitet und gespeichert. Eine routinemäßige Übermittlung in die USA findet nicht statt. Sollte in atypischen Ausnahmefällen (z. B. Support-Zugriff durch das US-Mutterunternehmen) ein US-Zugriff erforderlich werden, stützen wir diesen auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO; vgl. Abschnitt 11.
(2) Welche Daten verarbeitet werden
Bei einem Anwendungsfehler oder einer ausgewählten Performance-Messung werden insbesondere folgende Datenkategorien an Sentry übermittelt:
- technische Fehlerinformationen: Fehlerklasse, Fehlertext, Stacktrace, betroffene Datei und Zeilennummer, Versionskennung der Anwendung;
- technische Umgebungsdaten: Browser- und Betriebssystem-Bezeichnung sowie -Version, Geräteklasse, Sprache, aus dem User-Agent abgeleitete Informationen;
- Breadcrumbs: eine kurze, anonymisierte Aktivitätsspur unmittelbar vor dem Fehlerereignis (z. B. besuchte Routen, durchgeführte Netzwerkaufrufe). Query-Parameter werden vorab entfernt;
- Zeitstempel des Ereignisses;
- für etwa 10 % der HTTP-Anfragen zusätzlich Performance-Daten (Antwortzeiten von Routen, Datenbankaufrufen und API-Aufrufen) zur Erkennung langsamer Pfade.
(3) Was wir bewusst NICHT an Sentry übermitteln
- kein Session Replay (keine Aufzeichnung von Bildschirminhalten oder Nutzerinteraktionen);
- kein Profiling (keine CPU-/Speicher-Profile);
- kein User Feedback Widget;
- keine personenbezogenen Identifikatoren nach Sentry-Standard:
sendDefaultPiiist deaktiviert; IP-Adresse, E-Mail-Adresse, Login-Name oder Benutzer-ID werden nicht übergeben; - keine fachlichen Eingabeinhalte (Vertragsdaten, Aufmaße, Bautagebuch-Texte, Mängelbeschreibungen, Rechnungspositionen);
- keine Quellcode-Inhalte; an Sentry werden lediglich Source-Maps zur Übersetzung minifizierter Stacktraces hochgeladen (Build-Zeit), nicht der Quellcode selbst.
(4) Tunneling über eigene Domain
Sentry-Telemetrie wird nicht direkt vom Browser an Sentry gesendet, sondern über einen eigenen Endpunkt auf unserer Domain (z. B. dash.baugrid.de/monitoring) an die Sentry-EU-Region weitergeleitet. Dieses „Tunneling" verhindert, dass Werbe- oder Tracking-Blocker Fehlerberichte verwerfen, und sorgt dafür, dass die DNS-Auflösung im Browser des Nutzers nur gegen baugrid.de erfolgt. Inhaltlich werden dadurch keine zusätzlichen Daten erhoben.
(5) Rechtsgrundlage und Zweck
Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Gewährleistung eines stabilen, sicheren und performanten Plattformbetriebs sowie in der zeitnahen Identifikation und Behebung von Softwarefehlern. Eine Profilbildung oder eine Verwendung der Daten zu Werbe- oder Bewertungszwecken findet nicht statt.
(6) Auftragsverarbeitung und Speicherdauer
Mit Functional Software, Inc. besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO („Sentry Data Processing Addendum") einschließlich der EU-Standardvertragsklauseln für den Fall ausnahmsweiser Drittlandszugriffe. Die Speicherdauer der Fehler- und Performance-Daten bei Sentry beträgt standardmäßig 90 Tage und wird anschließend automatisch gelöscht. Eine kürzere Speicherdauer kann administrativ veranlasst werden.
(7) Ihre Rechte
Sie können der Verarbeitung Ihrer Daten zu Zwecken des Fehler- und Performance-Monitorings jederzeit nach Art. 21 DSGVO widersprechen. Wenden Sie sich hierzu an datenschutz@baugrid.de. Da die Verarbeitung ohne personenbezogene Kennungen erfolgt, kann eine vollständige Zuordnung einzelner Ereignisse zu Ihnen in der Regel nicht erfolgen; entsprechende Auskunfts- und Löschanträge berücksichtigen wir, soweit dies mit den verfügbaren Informationen möglich ist (Art. 11 DSGVO).
11. Übermittlung in Drittländer
(1) Das Hosting der Plattform (dash.baugrid.de) sowie die primäre Speicherung der Kundendaten erfolgen in Rechenzentren innerhalb der Bundesrepublik Deutschland (Hetzner Online GmbH). Auch unsere KI-Dienste (BauKI) werden vorrangig innerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums (EWR) betrieben.
(1a) Unsere Landingpage baugrid.de wird hingegen über das globale Edge-Netzwerk der Vercel Inc. (USA) ausgeliefert. Dabei kann es zu einer Übermittlung der unter Abschnitt 5a genannten technischen Daten in die USA kommen. Vercel ist nach dem EU-U.S. Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023); ergänzend gelten die Standarddatenschutzklauseln der EU-Kommission als Bestandteil der Vercel Data Processing Agreement.
(1b) Für das Fehler- und Performance-Monitoring der Plattform dash.baugrid.de nutzen wir den Dienst Sentry ausschließlich in der EU-Region (Frankfurt/Main). Eine routinemäßige Verarbeitung in den USA findet nicht statt. Für etwaige Ausnahmefälle (z. B. Support-Zugriff durch das US-Mutterunternehmen Functional Software, Inc.) gelten die in Absatz 2 beschriebenen Garantien. Details siehe Abschnitt 10a.
(2) Eine Verarbeitung personenbezogener Daten außerhalb des EWR findet nur im Einzelfall statt, sofern dies zur Vertragserfüllung oder aus einem anderen in Art. 49 DSGVO genannten Grund erforderlich ist. In einem solchen Fall stützen wir die Übermittlung auf:
- einen Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO, sofern für das betreffende Drittland ein solcher besteht (z. B. EU-U.S. Data Privacy Framework vom 10. Juli 2023, soweit anwendbar und der Empfänger unter dem Framework zertifiziert ist); und/oder
- Standarddatenschutzklauseln der Europäischen Kommission (Art. 46 Abs. 2 lit. c DSGVO, Durchführungsbeschluss (EU) 2021/914) ergänzt um geeignete zusätzliche Schutzmaßnahmen (Transportverschlüsselung via TLS 1.2 oder höher, Verschlüsselung der Daten im Ruhezustand via AES-256, Pseudonymisierung soweit möglich, strikte Zugriffskontrollen).
(3) Auf Anfrage stellen wir Ihnen die konkret abgeschlossenen Standarddatenschutzklauseln und - soweit vorhanden - eine Übertragungsfolgenabschätzung (Transfer Impact Assessment) zur Verfügung.
12. Speicherdauer und Löschung
(1) Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder wie es gesetzliche Aufbewahrungspflichten verlangen. Die folgende Tabelle gibt einen Überblick über die wesentlichen Speicherfristen:
| Datenkategorie | Speicherdauer |
|---|---|
| Server-Logs | 30 Tage |
| Session-Cookies | Ende der Browsersitzung |
| Persistente Cookies (nach Einwilligung) | max. 12 Monate |
| Kontakt-/Support-Anfragen | 3 Jahre nach Bearbeitung |
| Newsletter-Abonnement | bis Widerruf, danach 3 Jahre zur Dokumentation |
| Nutzerkonto (Free und Paid) | Vertragslaufzeit + 30 Tage Export-Frist |
| Kundendaten (als Auftragsverarbeiter) | gemäß Weisung des Kunden + 30 Tage Export-Frist |
| BauKI-Prompts und -Outputs | max. 30 Tage beim KI-Anbieter, anschließend Löschung |
| Rechnungen, Vertragsunterlagen | 10 Jahre (§§ 147 AO, 257 HGB) |
| Bewerbungsunterlagen | 6 Monate nach Verfahrensende |
(2) Nach Ablauf der genannten Fristen werden die Daten unwiderruflich gelöscht oder anonymisiert. Anonymisiert sind Daten nur, wenn eine Re-Identifizierung mit verhältnismäßigem Aufwand nicht möglich ist (vgl. Erwägungsgrund 26 DSGVO).
13. Technische und organisatorische Maßnahmen (TOM)
Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten gegen unberechtigten Zugriff, Verlust oder Manipulation zu schützen (Art. 32 DSGVO). Hierzu gehören insbesondere:
- Transportverschlüsselung sämtlicher Verbindungen via TLS 1.2 oder höher
- Verschlüsselung im Ruhezustand (AES-256) für Datenbanken und Objekt-Speicher
- Hosting in Deutschland mit redundanten Rechenzentren
- Zugriffskontrollen auf Need-to-Know-Basis, rollenbasierte Berechtigungen, mehrstufige Authentifizierung (2FA) für administrative Zugänge
- Regelmäßige Backups mit Wiederherstellungstests
- Protokollierung sicherheitsrelevanter Ereignisse
- Geschlossene Software-Entwicklung mit Code-Review, Dependency-Scanning und Security-Audits
- Verpflichtung der Mitarbeiter zur Vertraulichkeit und zur Einhaltung der DSGVO (Art. 28 Abs. 3 lit. b DSGVO)
- Dokumentiertes Incident-Response-Verfahren einschließlich 72-Stunden-Meldung nach Art. 33 DSGVO
Eine detaillierte Beschreibung unserer technischen und organisatorischen Maßnahmen stellen wir unseren Kunden als Anlage zum Auftragsverarbeitungsvertrag (AVV) bereit. Auf Anfrage können Kunden und Interessenten eine Kurzfassung unter legal@baugrid.de anfordern.
14. Automatisierte Entscheidungsfindung und Profiling
Eine ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhende Entscheidung, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt (Art. 22 Abs. 1 DSGVO). Ergebnisse unserer KI-Funktionen (BauKI) sind ausschließlich Vorschläge zur Unterstützung; die abschließende Entscheidung trifft stets eine natürliche Person in Ihrem Unternehmen.
15. Ihre Rechte als betroffene Person
Soweit wir für die jeweilige Verarbeitung Verantwortlicher sind, stehen Ihnen die folgenden Rechte zu:
- Auskunftsrecht (Art. 15 DSGVO) - Sie haben das Recht, Auskunft darüber zu erhalten, ob und welche personenbezogenen Daten wir über Sie verarbeiten.
- Recht auf Berichtigung (Art. 16 DSGVO) - Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO) - Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Recht auf Einschränkung (Art. 18 DSGVO) - Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO) - Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.
- Widerspruchsrecht (Art. 21 DSGVO) - Sie können der Verarbeitung, die auf Art. 6 Abs. 1 lit. f DSGVO beruht, aus Gründen widersprechen, die sich aus Ihrer besonderen Situation ergeben. Bei Direktwerbung besteht ein generelles Widerspruchsrecht.
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) - Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
- Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) - Sie können sich jederzeit bei einer Datenschutz-Aufsichtsbehörde beschweren.
Zur Ausübung Ihrer Rechte genügt eine formlose E-Mail an legal@baugrid.de.
Die für BauGrid zuständige Datenschutz-Aufsichtsbehörde ist:
Friedrichstr. 219
10969 Berlin
Telefon: +49 30 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Web: www.datenschutz-berlin.de
Soweit BauGrid Auftragsverarbeiter ist (siehe Abschnitt 8), richten Sie Ihre Anfragen zur Ausübung Ihrer Rechte an den jeweiligen Verantwortlichen (Ihren Arbeitgeber bzw. Auftraggeber).
16. Meldung von Datenschutzverletzungen
Wir verfügen über ein dokumentiertes Incident-Response-Verfahren. Im Fall einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, informieren wir die zuständige Aufsichtsbehörde unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntnisnahme (Art. 33 DSGVO). Sind die Voraussetzungen des Art. 34 DSGVO erfüllt, informieren wir zusätzlich die betroffenen Personen. Unsere Kunden werden als Verantwortliche im Rahmen des AVV unverzüglich über Vorfälle informiert, die ihre Daten betreffen.
17. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, sobald Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Die jeweils aktuelle Fassung finden Sie unter baugrid.de/datenschutz. Wesentliche Änderungen werden wir Ihnen zusätzlich in Textform oder innerhalb der Plattform mitteilen. Stand dieser Datenschutzerklärung: Mai 2026 (Fassung 1.5).
BauGrid-Anwendung (dash.baugrid.de und Apps)In der eigentlichen BauGrid-Software findet kein Tracking durch Dritte statt - kein Google, kein Analytics, keine Werbe-Cookies. Ihre Geschäftsdaten werden ausschließlich in Deutschland verarbeitet.
1. Einleitung, Geltungsbereich und unsere Rollen im Datenschutz
(1) Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir im Zusammenhang mit unserer Webseite (baugrid.de), unserer Plattform (dash.baugrid.de) sowie unseren mobilen Anwendungen verarbeiten, zu welchen Zwecken, auf welcher Rechtsgrundlage, an welche Empfänger und welche Rechte Ihnen zustehen.
(2) Rechtsgrundlage der Verarbeitung ist die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, „DSGVO"), ergänzt durch das Bundesdatenschutzgesetz (BDSG), das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, vormals TTDSG) sowie weitere anwendbare Bestimmungen.
(3) BauGrid nimmt im Datenschutz verschiedene Rollen ein, je nachdem in welchem Kontext personenbezogene Daten verarbeitet werden:
- BauGrid als Verantwortlicher (Art. 4 Nr. 7 DSGVO): Bei allen Verarbeitungen rund um unsere Webseite, unsere Marketing-Aktivitäten, das Anlegen und Führen von Nutzerkonten, die Abwicklung von Abonnements sowie die Kommunikation mit Ihnen als Ansprechpartner unserer Kunden.
- BauGrid als Auftragsverarbeiter (Art. 28 DSGVO): Bei allen personenbezogenen Daten, die unsere Kunden oder deren Beschäftigte im Rahmen der Plattformnutzung in BauGrid eingeben, hochladen oder erzeugen (z. B. Zeiterfassungs-, Bautagebuch-, Mängel-, Projekt-, Urlaubsdaten). In diesen Fällen ist unser Kunde der Verantwortliche; wir verarbeiten die Daten ausschließlich auf seine Weisung auf Grundlage des mit ihm geschlossenen Auftragsverarbeitungsvertrages (AVV).
- BauGrid als Verantwortlicher für berufsbezogene Daten: Wenn wir personenbezogene Daten über Personen in ihrer beruflichen Eigenschaft (z. B. geschäftliche Kontaktinformationen aus Messen, Kontaktanfragen, Support-Tickets) eigenständig erheben, sind wir hierfür Verantwortlicher.
(4) Diese Datenschutzerklärung bezieht sich primär auf die Verarbeitungen, bei denen BauGrid Verantwortlicher ist. Für Verarbeitungen, in denen BauGrid als Auftragsverarbeiter handelt, finden Sie Details in Abschnitt 8 und im AVV zwischen BauGrid und dem jeweiligen Kunden.
2. Verantwortlicher und Kontakt zum Datenschutz
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
Rathausstr. 15
10367 Berlin
Deutschland
E-Mail: kontakt@baugrid.de
Vertretungsberechtigte Geschäftsführung: Preetam Yadav
Handelsregister: Amtsgericht Charlottenburg, HRB 286941 B
Kontakt zum Datenschutz:
Die gesetzlichen Voraussetzungen für die Pflicht zur Bestellung eines Datenschutzbeauftragten gemäß Art. 37 DSGVO und § 38 BDSG sind derzeit nicht erfüllt. Bei allen Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte erreichen Sie uns über die oben genannte E-Mail-Adresse.
3. Begriffsbestimmungen
Diese Datenschutzerklärung verwendet die Begriffe der DSGVO. Zur Erleichterung des Verständnisses erläutern wir die wichtigsten Begriffe kurz:
- Personenbezogene Daten (Art. 4 Nr. 1 DSGVO) - alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
- Verarbeitung (Art. 4 Nr. 2 DSGVO) - jeder Vorgang mit personenbezogenen Daten, z. B. Erheben, Speichern, Übermitteln, Löschen.
- Verantwortlicher (Art. 4 Nr. 7 DSGVO) - die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet.
- Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) - eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
- Einwilligung (Art. 4 Nr. 11 DSGVO) - eine freiwillige, informierte und unmissverständliche Willensbekundung der betroffenen Person.
- Kundendaten - sämtliche Inhalte, die Sie oder Ihre Nutzer in BauGrid eingeben, hochladen oder über die Plattform erzeugen.
7. Registrierung, Nutzerkonto, Abonnements (Free und Paid)
(1) Zur Nutzung unserer Plattform ist die Einrichtung eines Nutzerkontos erforderlich. Hierbei verarbeiten wir:
- Name, Vorname, E-Mail-Adresse
- gewählter Tarif (Free, Professional, Enterprise, BauKI-Add-on)
- Unternehmensangaben (Firma, Anschrift, USt-IdNr., Handelsregister) sofern ein kostenpflichtiger Tarif gebucht wird
- Rollen- und Berechtigungsinformationen (z. B. Inhaber, Bauleitung, Polier) zur Steuerung der Zugriffsrechte
- Authentifizierungsdaten (Passwort in Form eines gesalzenen und gehashten Werts, ggf. 2FA-Secrets)
- bei Paid-Tarifen: Zahlungsdaten (SEPA-Mandat, Kreditkarten-Token über unseren Zahlungsdienstleister)
(2) Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), ergänzt um Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für steuer- und handelsrechtlich relevante Daten.
(3) Free-Plan vs. kostenpflichtige Tarife: Im Free-Plan verarbeiten wir dieselben Basisdaten wie oben, jedoch ohne Zahlungsdaten. Die Verarbeitung erfolgt ebenfalls auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Die Nutzung des Free-Plans ist freiwillig; es besteht keine gesetzliche Pflicht zur Bereitstellung.
(4) Speicherdauer: Kontodaten werden für die Dauer des Vertragsverhältnisses und für maximal 30 Tage nach Beendigung zum Zwecke des Datenexports gespeichert. Anschließend werden die Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten bestehen. Handels- und steuerrechtlich relevante Unterlagen (Rechnungen, Vertragsdokumente) werden für 10 Jahre aufbewahrt (§§ 147 AO, 257 HGB).
8. Nutzung der Plattform - BauGrid als Auftragsverarbeiter
(1) Wenn unsere Kunden (z. B. Bauunternehmen, Handwerksbetriebe, Planungsbüros) BauGrid nutzen, werden in der Regel personenbezogene Daten Dritter verarbeitet, insbesondere von Beschäftigten, Nachunternehmern, Bauherren und weiteren Geschäftspartnern unserer Kunden. Hierzu zählen z. B.:
- Zeiterfassungsdaten (Stempelzeiten, Pausen, Zuschläge, Standortnachweise)
- Urlaubs-, Krank- und Abwesenheitsdaten
- Bautagebuch-Einträge inklusive Sprachaufzeichnungen, Fotos, Anwesenheiten
- Mängelmeldungen, Offene-Punkte-Listen, Freigabeprotokolle
- Vertragsdaten von Nachunternehmern und zugeordnete Leistungspositionen
- Kommunikation innerhalb der Plattform
(2) Für diese Verarbeitungen ist unser Kunde - nicht BauGrid - der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. BauGrid verarbeitet diese Daten ausschließlich auf dokumentierte Weisung des Kunden als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Grundlage hierfür ist der zwischen BauGrid und dem Kunden geschlossene Auftragsverarbeitungsvertrag (AVV).
(3) Als betroffene Person richten Sie Anfragen zur Ausübung Ihrer Rechte nach Art. 15 bis 22 DSGVO in Bezug auf diese Daten bitte unmittelbar an den verantwortlichen Arbeitgeber oder Auftraggeber (unseren Kunden). BauGrid unterstützt den Kunden bei der Erfüllung der Betroffenenrechte nach Maßgabe des AVV.
(4) Daten innerhalb einer Organisation: Daten, die innerhalb der Organisation des Kunden erstellt werden, gehören dem Kunden (der Organisation) - unabhängig davon, welcher Benutzer sie erstellt hat. Der Zugriff durch Mitglieder, die Vergabe von Berechtigungen sowie die Löschung von Daten und Konten richten sich nach den Rollen und Weisungen des Kunden. Einzelheiten regelt § 5a der AGB.
Hinweis an unsere Kunden:Soweit Sie im Rahmen der Nutzung von BauGrid personenbezogene Daten Dritter (insbesondere Beschäftigter, Nachunternehmer oder Geschäftspartner) in die Plattform einstellen, bleibt die Informationspflicht nach Art. 13 und 14 DSGVO bei Ihnen. Wir empfehlen, die betroffenen Personen vorab schriftlich über die Verarbeitung in BauGrid zu informieren. Bei Verarbeitung von Beschäftigtendaten ist ggf. der Betriebsrat zu beteiligen (§ 87 Abs. 1 Nr. 6 BetrVG).
8a. BauGrid Offline-App und Datenexport-Schnittstelle
(1) Funktion: BauGrid stellt eine Offline-App und eine zugehörige Datenexport-Schnittstelle (API) bereit. Hierüber können berechtigte Nutzer des Kunden einen lesenden Abzug der in BauGrid gespeicherten Daten abrufen, in gängige Formate (z. B. Excel) exportieren und mit einem System unter eigener Kontrolle (eigener Server oder lokales Endgerät) synchronisieren, um auch ohne Internetverbindung auf eine lokale Kopie zugreifen zu können. Über die Schnittstelle ist ausschließlich Lesezugriff möglich.
(2) Zugangsbeschränkung: Der Zugriff erfolgt ausschließlich über einen individuellen Zugangsschlüssel (API-Token). Diesen können nur Nutzer mit Zugriff auf die Organisationseinstellungen erstellen und verwalten - insbesondere der Geschäftsführer bzw. Inhaber oder Nutzer mit der entsprechenden Berechtigung.
(3) Zugangsschlüssel als Zugangsmittel: Der Zugangsschlüssel gewährt Zugriff auf die Daten des Kunden. Seine Geheimhaltung und sichere Verwahrung liegt in der alleinigen Verantwortung des Kunden; er ist wie ein Passwort zu behandeln und nicht an Unbefugte weiterzugeben.
(4) Verantwortlichkeit für die lokale Kopie: Sobald Daten über die Schnittstelle das BauGrid-System verlassen und auf einem System des Kunden (eigener Server oder Endgerät) gespeichert werden, ist der Kunde für diese Kopie alleiniger datenschutzrechtlicher Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. BauGrid hat auf lokal gespeicherte Daten keinen Zugriff und keine Kontrolle und ist für deren Sicherheit, Aufbewahrung und Löschung nicht verantwortlich.
(5) Pflichten des Kunden: Der Kunde sichert die Systeme, auf denen die lokale Kopie gespeichert wird, nach dem Stand der Technik ab (insbesondere Zugriffskontrolle, Verschlüsselung, Datensicherung), beschränkt den Zugriff auf hierzu befugte Personen und stellt die Rechtmäßigkeit der weiteren Verarbeitung sicher.
(6) Haftung: Für Schäden oder Verletzungen des Schutzes personenbezogener Daten, die aus der Offenlegung des Zugangsschlüssels oder aus einer unzureichenden Absicherung der Systeme des Kunden resultieren, ist BauGrid nicht verantwortlich. Die vertraglichen Regelungen in Teil V der AGB sowie die Haftungsregelung in § 10 der AGB bleiben unberührt.
9. BauKI - KI-gestützte Funktionen
(1) Zweck und Funktion. Soweit Sie das kostenpflichtige Zusatzmodul BauKI buchen, verarbeiten wir die von Ihnen eingegebenen Inhalte (z. B. Sprachaufnahmen für das Bautagebuch, Texteingaben, LV-Positionen, Projektnotizen, Fotos mit Metadaten) sowie Ausschnitte Ihrer auf der Plattform gespeicherten Daten, um Ihnen KI-gestützte Ergebnisse bereitzustellen (Transkription, Zusammenfassung, Klassifikation, Suche, Analyse, Vorschläge).
(2) Rechtsgrundlage. Die Verarbeitung erfolgt auf Grundlage des mit Ihnen oder Ihrem Arbeitgeber geschlossenen Vertrages (Art. 6 Abs. 1 lit. b DSGVO) sowie unseres berechtigten Interesses an einer effizienten und qualitativ hochwertigen Bereitstellung der Plattform (Art. 6 Abs. 1 lit. f DSGVO). Optionale KI-Funktionen, die nicht zur Vertragserfüllung erforderlich sind, werden nur mit Ihrer Einwilligung aktiviert (Art. 6 Abs. 1 lit. a DSGVO); diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
(3) Verarbeitungsort und eingesetzte KI-Dienste. BauKI-Anfragen werden über KI-Dienste verarbeitet, die wir so auswählen, dass die Verarbeitung vorrangig innerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums (EWR) stattfindet (z. B. europäisch gehostete Modell-Endpunkte bei etablierten Cloud-Anbietern). Die eingesetzten KI-Dienste werden auf die Einhaltung der DSGVO und auf angemessene technische und organisatorische Maßnahmen verpflichtet. Aus Sicherheits- und Wettbewerbsgründen nennen wir konkrete Anbieter nicht öffentlich. Die namentliche Liste der eingesetzten KI-Unterauftragsverarbeiter einschließlich ihrer Verarbeitungsstandorte stellen wir unseren Kunden im Rahmen des Auftragsverarbeitungsvertrages (AVV) zur Verfügung; auf Anfrage unter legal@baugrid.de erhalten auch Nicht-Kunden einen aktuellen Stand.
(4) Kein Training auf Kundendaten. Wir haben mit unseren KI-Unterauftragsverarbeitern vertraglich vereinbart, dass Ihre an die KI-Dienste übermittelten Kundendaten nicht zum Training, zur Weiterentwicklung oder zur Verbesserung der KI-Modelle verwendet werden. Die Dienste speichern die übermittelten Inhalte ausschließlich zu Zwecken der Missbrauchs- und Sicherheitskontrolle und löschen sie spätestens nach 30 Tagen. Soweit BauGrid eigene KI-Modelle betreibt oder optimiert, erfolgt dies ausschließlich auf aggregierten, anonymisierten Daten oder auf hierfür ausdrücklich freigegebenen Inhalten.
(5) Drittlandübermittlung. Sollte im Einzelfall eine Übermittlung an einen KI-Dienst außerhalb des EWR erforderlich werden, stützen wir diese auf einen gültigen Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO (z. B. EU-U.S. Data Privacy Framework, soweit anwendbar) oder auf Standarddatenschutzklauseln der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO in Verbindung mit zusätzlichen Schutzmaßnahmen (Transportverschlüsselung via TLS 1.2 oder höher, Pseudonymisierung soweit möglich, strikte Zugriffskontrollen). Einzelheiten hierzu können Sie dem AVV entnehmen.
(6) Keine automatisierte Letztentscheidung. Die Ergebnisse von BauKI sind Vorschläge und werden nicht zur Grundlage automatisierter Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO herangezogen. Die abschließende Entscheidung trifft stets eine natürliche Person (siehe Abschnitt 14).
(7) EU AI Act. Der Einsatz von BauKI erfolgt in Übereinstimmung mit der Verordnung (EU) 2024/1689 (EU AI Act). Verbotene KI-Praktiken nach Art. 5 EU AI Act werden nicht durchgeführt. Als Kunde sind Sie Betreiber (Deployer) im Sinne des Art. 3 Nr. 4 EU AI Act und tragen die Verantwortung für eine rechtskonforme Nutzung der Funktionen im eigenen Unternehmen.
(8) Transparenz gegenüber Betroffenen. Werden personenbezogene Daten Dritter (z. B. Beschäftigte oder Nachunternehmer unseres Kunden) durch den Kunden in BauGrid eingegeben und mittels BauKI verarbeitet, bleibt der Kunde als Verantwortlicher verpflichtet, die betroffenen Personen hierüber zu informieren (Art. 13, 14 DSGVO).
9a. Mobile- und Desktop-Apps (Berechtigungen, App Stores, Tracking)
BauGrid wird zusätzlich zur Web-Plattform als native App für iOS, Android und Windows-Desktop angeboten. Dieser Abschnitt beschreibt die Datenverarbeitungen, die ausschließlich in den Apps stattfinden und die über die in den Abschnitten 4 bis 9 dargestellten Verarbeitungen hinausgehen.
(1) Auf welche Gerätefunktionen die App zugreift
Die App fragt vor der ersten Nutzung der jeweiligen Funktion die nötigen Geräteberechtigungen ab (Android Runtime Permissions, iOS Permission-Dialoge, Windows-App-Capabilities). Sie können jede Berechtigung in den Geräteeinstellungen jederzeit widerrufen; in diesem Fall steht die betroffene Funktion nicht oder nur eingeschränkt zur Verfügung.
- Standort / GPS - nur ereignisbezogen beim Stempelvorgang in der Zeiterfassung und beim Bautagebuch-Eintrag (Geofencing-Prüfung Baustelle). Wir speichern nur die Baustellen-Zuordnung als Ergebnis der Prüfung, keinen Bewegungsverlauf. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO (Vertragserfüllung, berechtigtes Interesse an Baustellen-Zuordnung); bei Mitbestimmung Betriebsvereinbarung nach § 87 BetrVG.
- Kamera - für Foto-Erfassung in Mängel, Bautagebuch, Aufmaß, Materialscheine, Arbeitsbericht und für den QR-Scanner. Fotos werden nach dem Aufnehmen in das verschlüsselte BauGrid-S3-Archiv (Hetzner, Deutschland) übertragen, nicht in der lokalen Galerie geteilt.
- Mikrofon - nur bei aktiver Sprachaufnahme für Sprache-zu-Bautagebuch und Sprache-zu-Mangel. Die Audiodatei wird zur Transkription an einen vertraglich gebundenen Sprachverarbeitungs-Dienstleister übermittelt und anschließend gelöscht; der Transkript-Text wird als regulärer Eintrag gespeichert.
- Speicher / Dateien - für Plan-Downloads, PDF-Berichte, Foto-Export und Anhänge an Bautagebuch-Einträge.
- Push-Benachrichtigungen - für Mängel-Zuweisung, Genehmigungs-Workflows, Termin-Erinnerungen und Approval-Hinweise. Versand über die jeweilige Plattform-Infrastruktur (Apple Push Notification Service, Firebase Cloud Messaging, Windows Notification Service); übertragen werden nur Token und kurze Hinweis-Inhalte.
- Biometrie - optionaler Login-Schutz per Face ID, Touch ID oder Windows Hello. Die biometrischen Merkmale verlassen das Gerät nicht; die App erhält nur das Ja/Nein-Ergebnis der Geräte-Authentifizierung.
- Kontakte / Telefonbuch - nur bei expliziter Auswahl beim Anlegen eines Kunden oder Lieferanten; ausschließlich der vom Nutzer gewählte Eintrag wird übernommen, kein vollständiger Telefonbuch-Upload.
- Hintergrund-Aktualisierung - für die Synchronisation lokaler Offline-Eingaben (z. B. Bautagebuch-Eintrag im Funkschatten) mit dem Server, sobald wieder Netz verfügbar ist.
(2) Offline-Cache und lokale Datenspeicherung
Die App speichert Geschäftsdaten (z. B. zuletzt geöffnete Projekte, Pläne, Aufmaße, Mängel, Bautagebuch-Einträge, ausstehende Synchronisationen) im verschlüsselten App-Container des Betriebssystems, damit Sie auch ohne Netz arbeiten können. Beim Abmelden oder bei Deinstallation der App werden diese lokalen Daten gelöscht. Die Server-Daten bleiben hiervon unberührt.
(3) App Stores als eigene Verantwortliche
Der Download und die Aktualisierung der App erfolgt über den jeweiligen Store (Apple App Store, Google Play, Microsoft Store). Die Store-Betreiber sind für die im Download- und Update-Prozess erhobenen Daten (z. B. Apple-ID, Google-Konto, Microsoft-Konto, Geräte-Identifier, Installationsstatus, Crash-Reports auf Store-Ebene, Store-Bewertungen) eigene Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Es gelten die jeweiligen Datenschutzhinweise:
- Apple Privacy Policy - apple.com/legal/privacy
- Google Privacy Policy - policies.google.com/privacy
- Microsoft Datenschutzbestimmungen - privacy.microsoft.com
Die App selbst übermittelt keine personenbezogenen Daten an die Store-Betreiber, soweit dies technisch beeinflussbar ist. Eine etwaige Mit-Verantwortung nach Art. 26 DSGVO besteht nicht.
(4) Tracking, Werbe-IDs und Apple App Tracking Transparency (ATT)
Die BauGrid-Apps führen kein Tracking zu Werbe- oder Profilbildungs-Zwecken durch. Wir verwenden keine geräteübergreifende Werbe-ID (IDFA, AAID), kein Cross-App-Tracking und keine Third-Party-Werbe-SDKs. Aus diesem Grund wird auf Apple-Geräten kein ATT-Dialog angezeigt; die Antwort der App auf die ATT-Abfrage lautet konstant „nicht verfolgt". Die App fragt damit keine Werbe-ID ab und übermittelt keine IDFA an Dritte.
(5) Crash-Reports und technische Diagnose-Daten
Zur Sicherstellung der Stabilität verarbeiten wir Crash- und Fehler-Reports der Apps. Übertragen werden technische Daten wie Fehler-Stacktrace, anonymisierte Geräte-Klasse (z. B. „iPhone 15, iOS 18"), App-Version, Zeitpunkt sowie - sofern für die Fehleranalyse erforderlich - eine pseudonyme Nutzer-Kennung. Es werden keine Eingaben, Inhalte oder Kontaktdaten in Crash-Reports übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem Betrieb). Speicherdauer: maximal 90 Tage, danach automatische Löschung.
(6) In-App-Analytics
Die Apps führen keine personalisierte Werbeanalyse durch. Für die Produktverbesserung werten wir lediglich aggregierte, nicht auf einzelne Nutzer rückführbare Nutzungszahlen aus (z. B. „X Bautagebuch-Einträge in der App erstellt"). Solche aggregierten Zählwerte sind keine personenbezogenen Daten und werden nicht mit Werbe-Netzwerken geteilt.
(7) In-App-Käufe und Abos
Buchung und Verlängerung von Tarifen erfolgen ausschließlich über die Web-Plattform unter baugrid.de. Die Apps enthalten keine In-App-Käufe nach Apple/Google-Billing; Zahlungsdaten fließen damit nicht über die Store-Betreiber.
(8) Apple App Privacy / Google Play Data Safety
Die in den jeweiligen Store-Listings veröffentlichten Apple-„App Privacy"-Labels bzw. Google-Play-„Data Safety"-Angaben spiegeln den Stand dieser Datenschutzerklärung wider und werden bei Änderungen zeitnah aktualisiert. Im Widerspruchsfall geht diese Datenschutzerklärung dem Store-Listing als verbindliche Quelle vor.
(9) Deinstallation und Datenlöschung
Mit der Deinstallation der App werden alle lokal im App-Container gespeicherten Daten vom Gerät gelöscht. Die Löschung Ihrer serverseitigen Daten richtet sich nach Abschnitt 12 (Speicherdauer und Löschung); für die Löschung des gesamten Nutzerkontos wenden Sie sich an datenschutz@baugrid.de.
6. Kontakt, Support und Newsletter
(1) Wenn Sie uns per E-Mail, Kontaktformular oder Support-Ticket kontaktieren, verarbeiten wir die von Ihnen übermittelten Daten (Name, E-Mail-Adresse, Unternehmen, Telefonnummer, Inhalt der Anfrage) zur Bearbeitung Ihres Anliegens.
(2) Rechtsgrundlage:
- Art. 6 Abs. 1 lit. b DSGVO, soweit die Anfrage auf einen Vertragsabschluss oder die Erfüllung eines bestehenden Vertrages abzielt.
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung geschäftlicher Anfragen), soweit kein Vertragsbezug besteht.
(3) Newsletter: Wenn Sie unseren Newsletter abonniert haben, verarbeiten wir Ihre E-Mail-Adresse zum Versand des Newsletters auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können die Einwilligung jederzeit über den Abmelde-Link in jedem Newsletter oder per E-Mail an legal@baugrid.de mit Wirkung für die Zukunft widerrufen.
(4) Bestandskundenwerbung: Soweit Sie Kunde sind und wir Ihnen Informationen zu ähnlichen eigenen Produkten und Dienstleistungen per E-Mail senden, stützen wir dies auf § 7 Abs. 3 UWG i. V. m. Art. 6 Abs. 1 lit. f DSGVO. Sie können dieser Verarbeitung jederzeit per E-Mail an die oben genannte Adresse widersprechen.
(5) Speicherdauer: Kontakt- und Support-Anfragen werden nach abschließender Bearbeitung 3 Jahre aufbewahrt, um Rückfragen beantworten und Verläufe nachvollziehen zu können. Unberührt bleiben handels- und steuerrechtliche Aufbewahrungsfristen (§§ 147 AO, 257 HGB).
10. Empfänger und Unterauftragsverarbeiter
(1) Zur Bereitstellung unserer Leistungen arbeiten wir mit sorgfältig ausgewählten Dienstleistern zusammen, die wir auf die Einhaltung der DSGVO und auf angemessene technische und organisatorische Maßnahmen verpflichten. Kategorien von Empfängern sind insbesondere:
- Hosting Plattform (Hetzner Online GmbH, Rechenzentren in Deutschland) - Serverbetrieb, Datenbank, Backup von dash.baugrid.de
- Hosting Landingpage und Reichweitenmessung (Vercel Inc., USA - DPF-zertifiziert) - Auslieferung und cookielose Statistiken für baugrid.de (siehe Abschnitt 5a)
- Cloud-Speicher (Objektspeicher in Deutschland) - Dokumente, Fotos, Dateien
- E-Mail-Versand (Anbieter innerhalb EU/EWR) - Transaktions- und Benachrichtigungs-E-Mails
- Zahlungsdienstleister (innerhalb EU/EWR) - SEPA- und Kreditkartenabwicklung
- KI-Dienste (vorrangig innerhalb EU/EWR, im Einzelfall auch außerhalb mit geeigneten Garantien nach Art. 44 ff. DSGVO) - nur bei Nutzung des Zusatzmoduls BauKI
- Support- und Ticketsysteme (innerhalb EU/EWR) - Bearbeitung von Supportanfragen
- Fehlerprotokollierung und Performance-Monitoring (Sentry, EU-Region Frankfurt/Main) - automatische Erfassung von Anwendungsfehlern und Antwortzeiten in dash.baugrid.de; Details siehe Abschnitt 10a
- Steuerberater, Rechtsanwälte, Wirtschaftsprüfer - im Rahmen gesetzlicher Pflichten und berechtigter Interessen
- Behörden - soweit eine gesetzliche Auskunftspflicht besteht
(2) Eine stets aktuelle, namentliche Liste unserer Unterauftragsverarbeiter mit Verarbeitungsstandorten und Zwecken stellen wir unseren Kunden im Rahmen des AVV zur Verfügung. Sie kann zusätzlich auf Anfrage unter legal@baugrid.de angefordert werden.
(3) Eine Übermittlung Ihrer Daten an Empfänger außerhalb der oben genannten Kategorien findet nicht statt, es sei denn, Sie haben ausdrücklich eingewilligt oder wir sind gesetzlich hierzu verpflichtet.
10a. Fehlerprotokollierung und Performance-Monitoring (Sentry, EU-Region)
Zur Sicherstellung eines stabilen und performanten Betriebs unserer Plattform dash.baugrid.de setzen wir den Dienst Sentry (Anbieter: Functional Software, Inc., 45 Fremont Street, San Francisco, CA 94105, USA) zur automatischen Erfassung von Anwendungsfehlern und ausgewählten Performance-Daten ein. Auf unserer Landingpage baugrid.de wird Sentry nicht verwendet.
(1) EU-Datenresidenz (Frankfurt/Main)
Wir nutzen ausschließlich die EU-Region von Sentry („de.sentry.io"). Die im Rahmen der Fehlerprotokollierung erhobenen Daten werden in Rechenzentren innerhalb der Europäischen Union (Frankfurt/Main) verarbeitet und gespeichert. Eine routinemäßige Übermittlung in die USA findet nicht statt. Sollte in atypischen Ausnahmefällen (z. B. Support-Zugriff durch das US-Mutterunternehmen) ein US-Zugriff erforderlich werden, stützen wir diesen auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO; vgl. Abschnitt 11.
(2) Welche Daten verarbeitet werden
Bei einem Anwendungsfehler oder einer ausgewählten Performance-Messung werden insbesondere folgende Datenkategorien an Sentry übermittelt:
- technische Fehlerinformationen: Fehlerklasse, Fehlertext, Stacktrace, betroffene Datei und Zeilennummer, Versionskennung der Anwendung;
- technische Umgebungsdaten: Browser- und Betriebssystem-Bezeichnung sowie -Version, Geräteklasse, Sprache, aus dem User-Agent abgeleitete Informationen;
- Breadcrumbs: eine kurze, anonymisierte Aktivitätsspur unmittelbar vor dem Fehlerereignis (z. B. besuchte Routen, durchgeführte Netzwerkaufrufe). Query-Parameter werden vorab entfernt;
- Zeitstempel des Ereignisses;
- für etwa 10 % der HTTP-Anfragen zusätzlich Performance-Daten (Antwortzeiten von Routen, Datenbankaufrufen und API-Aufrufen) zur Erkennung langsamer Pfade.
(3) Was wir bewusst NICHT an Sentry übermitteln
- kein Session Replay (keine Aufzeichnung von Bildschirminhalten oder Nutzerinteraktionen);
- kein Profiling (keine CPU-/Speicher-Profile);
- kein User Feedback Widget;
- keine personenbezogenen Identifikatoren nach Sentry-Standard:
sendDefaultPiiist deaktiviert; IP-Adresse, E-Mail-Adresse, Login-Name oder Benutzer-ID werden nicht übergeben; - keine fachlichen Eingabeinhalte (Vertragsdaten, Aufmaße, Bautagebuch-Texte, Mängelbeschreibungen, Rechnungspositionen);
- keine Quellcode-Inhalte; an Sentry werden lediglich Source-Maps zur Übersetzung minifizierter Stacktraces hochgeladen (Build-Zeit), nicht der Quellcode selbst.
(4) Tunneling über eigene Domain
Sentry-Telemetrie wird nicht direkt vom Browser an Sentry gesendet, sondern über einen eigenen Endpunkt auf unserer Domain (z. B. dash.baugrid.de/monitoring) an die Sentry-EU-Region weitergeleitet. Dieses „Tunneling" verhindert, dass Werbe- oder Tracking-Blocker Fehlerberichte verwerfen, und sorgt dafür, dass die DNS-Auflösung im Browser des Nutzers nur gegen baugrid.de erfolgt. Inhaltlich werden dadurch keine zusätzlichen Daten erhoben.
(5) Rechtsgrundlage und Zweck
Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Gewährleistung eines stabilen, sicheren und performanten Plattformbetriebs sowie in der zeitnahen Identifikation und Behebung von Softwarefehlern. Eine Profilbildung oder eine Verwendung der Daten zu Werbe- oder Bewertungszwecken findet nicht statt.
(6) Auftragsverarbeitung und Speicherdauer
Mit Functional Software, Inc. besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO („Sentry Data Processing Addendum") einschließlich der EU-Standardvertragsklauseln für den Fall ausnahmsweiser Drittlandszugriffe. Die Speicherdauer der Fehler- und Performance-Daten bei Sentry beträgt standardmäßig 90 Tage und wird anschließend automatisch gelöscht. Eine kürzere Speicherdauer kann administrativ veranlasst werden.
(7) Ihre Rechte
Sie können der Verarbeitung Ihrer Daten zu Zwecken des Fehler- und Performance-Monitorings jederzeit nach Art. 21 DSGVO widersprechen. Wenden Sie sich hierzu an datenschutz@baugrid.de. Da die Verarbeitung ohne personenbezogene Kennungen erfolgt, kann eine vollständige Zuordnung einzelner Ereignisse zu Ihnen in der Regel nicht erfolgen; entsprechende Auskunfts- und Löschanträge berücksichtigen wir, soweit dies mit den verfügbaren Informationen möglich ist (Art. 11 DSGVO).
11. Übermittlung in Drittländer
(1) Das Hosting der Plattform (dash.baugrid.de) sowie die primäre Speicherung der Kundendaten erfolgen in Rechenzentren innerhalb der Bundesrepublik Deutschland (Hetzner Online GmbH). Auch unsere KI-Dienste (BauKI) werden vorrangig innerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums (EWR) betrieben.
(1a) Unsere Landingpage baugrid.de wird hingegen über das globale Edge-Netzwerk der Vercel Inc. (USA) ausgeliefert. Dabei kann es zu einer Übermittlung der unter Abschnitt 5a genannten technischen Daten in die USA kommen. Vercel ist nach dem EU-U.S. Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023); ergänzend gelten die Standarddatenschutzklauseln der EU-Kommission als Bestandteil der Vercel Data Processing Agreement.
(1b) Für das Fehler- und Performance-Monitoring der Plattform dash.baugrid.de nutzen wir den Dienst Sentry ausschließlich in der EU-Region (Frankfurt/Main). Eine routinemäßige Verarbeitung in den USA findet nicht statt. Für etwaige Ausnahmefälle (z. B. Support-Zugriff durch das US-Mutterunternehmen Functional Software, Inc.) gelten die in Absatz 2 beschriebenen Garantien. Details siehe Abschnitt 10a.
(2) Eine Verarbeitung personenbezogener Daten außerhalb des EWR findet nur im Einzelfall statt, sofern dies zur Vertragserfüllung oder aus einem anderen in Art. 49 DSGVO genannten Grund erforderlich ist. In einem solchen Fall stützen wir die Übermittlung auf:
- einen Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO, sofern für das betreffende Drittland ein solcher besteht (z. B. EU-U.S. Data Privacy Framework vom 10. Juli 2023, soweit anwendbar und der Empfänger unter dem Framework zertifiziert ist); und/oder
- Standarddatenschutzklauseln der Europäischen Kommission (Art. 46 Abs. 2 lit. c DSGVO, Durchführungsbeschluss (EU) 2021/914) ergänzt um geeignete zusätzliche Schutzmaßnahmen (Transportverschlüsselung via TLS 1.2 oder höher, Verschlüsselung der Daten im Ruhezustand via AES-256, Pseudonymisierung soweit möglich, strikte Zugriffskontrollen).
(3) Auf Anfrage stellen wir Ihnen die konkret abgeschlossenen Standarddatenschutzklauseln und - soweit vorhanden - eine Übertragungsfolgenabschätzung (Transfer Impact Assessment) zur Verfügung.
12. Speicherdauer und Löschung
(1) Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder wie es gesetzliche Aufbewahrungspflichten verlangen. Die folgende Tabelle gibt einen Überblick über die wesentlichen Speicherfristen:
| Datenkategorie | Speicherdauer |
|---|---|
| Server-Logs | 30 Tage |
| Session-Cookies | Ende der Browsersitzung |
| Persistente Cookies (nach Einwilligung) | max. 12 Monate |
| Kontakt-/Support-Anfragen | 3 Jahre nach Bearbeitung |
| Newsletter-Abonnement | bis Widerruf, danach 3 Jahre zur Dokumentation |
| Nutzerkonto (Free und Paid) | Vertragslaufzeit + 30 Tage Export-Frist |
| Kundendaten (als Auftragsverarbeiter) | gemäß Weisung des Kunden + 30 Tage Export-Frist |
| BauKI-Prompts und -Outputs | max. 30 Tage beim KI-Anbieter, anschließend Löschung |
| Rechnungen, Vertragsunterlagen | 10 Jahre (§§ 147 AO, 257 HGB) |
| Bewerbungsunterlagen | 6 Monate nach Verfahrensende |
(2) Nach Ablauf der genannten Fristen werden die Daten unwiderruflich gelöscht oder anonymisiert. Anonymisiert sind Daten nur, wenn eine Re-Identifizierung mit verhältnismäßigem Aufwand nicht möglich ist (vgl. Erwägungsgrund 26 DSGVO).
13. Technische und organisatorische Maßnahmen (TOM)
Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten gegen unberechtigten Zugriff, Verlust oder Manipulation zu schützen (Art. 32 DSGVO). Hierzu gehören insbesondere:
- Transportverschlüsselung sämtlicher Verbindungen via TLS 1.2 oder höher
- Verschlüsselung im Ruhezustand (AES-256) für Datenbanken und Objekt-Speicher
- Hosting in Deutschland mit redundanten Rechenzentren
- Zugriffskontrollen auf Need-to-Know-Basis, rollenbasierte Berechtigungen, mehrstufige Authentifizierung (2FA) für administrative Zugänge
- Regelmäßige Backups mit Wiederherstellungstests
- Protokollierung sicherheitsrelevanter Ereignisse
- Geschlossene Software-Entwicklung mit Code-Review, Dependency-Scanning und Security-Audits
- Verpflichtung der Mitarbeiter zur Vertraulichkeit und zur Einhaltung der DSGVO (Art. 28 Abs. 3 lit. b DSGVO)
- Dokumentiertes Incident-Response-Verfahren einschließlich 72-Stunden-Meldung nach Art. 33 DSGVO
Eine detaillierte Beschreibung unserer technischen und organisatorischen Maßnahmen stellen wir unseren Kunden als Anlage zum Auftragsverarbeitungsvertrag (AVV) bereit. Auf Anfrage können Kunden und Interessenten eine Kurzfassung unter legal@baugrid.de anfordern.
14. Automatisierte Entscheidungsfindung und Profiling
Eine ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhende Entscheidung, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt (Art. 22 Abs. 1 DSGVO). Ergebnisse unserer KI-Funktionen (BauKI) sind ausschließlich Vorschläge zur Unterstützung; die abschließende Entscheidung trifft stets eine natürliche Person in Ihrem Unternehmen.
15. Ihre Rechte als betroffene Person
Soweit wir für die jeweilige Verarbeitung Verantwortlicher sind, stehen Ihnen die folgenden Rechte zu:
- Auskunftsrecht (Art. 15 DSGVO) - Sie haben das Recht, Auskunft darüber zu erhalten, ob und welche personenbezogenen Daten wir über Sie verarbeiten.
- Recht auf Berichtigung (Art. 16 DSGVO) - Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO) - Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Recht auf Einschränkung (Art. 18 DSGVO) - Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO) - Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.
- Widerspruchsrecht (Art. 21 DSGVO) - Sie können der Verarbeitung, die auf Art. 6 Abs. 1 lit. f DSGVO beruht, aus Gründen widersprechen, die sich aus Ihrer besonderen Situation ergeben. Bei Direktwerbung besteht ein generelles Widerspruchsrecht.
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) - Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
- Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) - Sie können sich jederzeit bei einer Datenschutz-Aufsichtsbehörde beschweren.
Zur Ausübung Ihrer Rechte genügt eine formlose E-Mail an legal@baugrid.de.
Die für BauGrid zuständige Datenschutz-Aufsichtsbehörde ist:
Friedrichstr. 219
10969 Berlin
Telefon: +49 30 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Web: www.datenschutz-berlin.de
Soweit BauGrid Auftragsverarbeiter ist (siehe Abschnitt 8), richten Sie Ihre Anfragen zur Ausübung Ihrer Rechte an den jeweiligen Verantwortlichen (Ihren Arbeitgeber bzw. Auftraggeber).
16. Meldung von Datenschutzverletzungen
Wir verfügen über ein dokumentiertes Incident-Response-Verfahren. Im Fall einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, informieren wir die zuständige Aufsichtsbehörde unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntnisnahme (Art. 33 DSGVO). Sind die Voraussetzungen des Art. 34 DSGVO erfüllt, informieren wir zusätzlich die betroffenen Personen. Unsere Kunden werden als Verantwortliche im Rahmen des AVV unverzüglich über Vorfälle informiert, die ihre Daten betreffen.
17. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, sobald Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Die jeweils aktuelle Fassung finden Sie unter baugrid.de/datenschutz. Wesentliche Änderungen werden wir Ihnen zusätzlich in Textform oder innerhalb der Plattform mitteilen. Stand dieser Datenschutzerklärung: Mai 2026 (Fassung 1.5).