Datenschutzerklärung
Verantwortlicher im Sinne der DSGVO: BauLedger, Joseph-Haas-Weg1 , 85072 Eichstätt – muus@noch.de
1. Erhobene Daten und Verarbeitungszwecke
1.1 Registrierung und Account
Bei der Registrierung erheben wir Ihren Benutzernamen und ein verschlüsselt gespeichertes Passwort (bcrypt). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Zusätzlich speichern wir den Zeitstempel der Zustimmung zu unseren AGB und der Datenschutzerklärung (Audit-Log für Art. 7 Abs. 1 DSGVO).
1.2 Projektdaten
Alle von Ihnen eingegebenen Projektdaten (Budgets, Dokumente, Firmen, Rechnungen) werden ausschließlich zur Erbringung der vertraglich vereinbarten SaaS-Leistung verarbeitet und gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
1.3 Zahlungsdaten
Für die Abwicklung kostenpflichtiger Tarife setzen wir einen zertifizierten Zahlungsdienstleister ein. Dieser verarbeitet Kreditkarten- und Zahlungsdaten in unserem Auftrag gemäß Art. 28 DSGVO. Es werden nur Referenz-IDs (customer_id, subscription_id) in unserer Datenbank gespeichert, keine vollständigen Zahlungsdaten.
1.4 KI-Service (Google Gemini)
Für die KI-gestützte Dokumentenanalyse und Budgetvorschläge verwenden wir die Google Gemini API (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043). Dabei werden Teile hochgeladener Dokumente an die API übermittelt. Wir empfehlen, keine sensiblen persönlichen Daten in Dokumenten zu übermitteln. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Produktverbesserung).
1.5 Dokumenten-Hosting (Upload)
Hochgeladene Dateien (Rechnungen, Pläne etc.) werden auf unserem Server gespeichert. Der Zugriff ist ausschließlich dem jeweiligen Nutzer-Account vorbehalten. Bei DSGVO-Kontolöschung entfernen wir hochgeladene Dateien zusammen mit den übrigen Nutzerdaten vollständig.
1.6 Server-Logs
Unser Webserver speichert automatisch Verbindungsdaten (IP-Adresse, Browser, Zeitstempel, aufgerufene URL). Diese Daten werden nach 14 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
2. Cookies und Sitzungsdaten
Wir verwenden ausschließlich technisch notwendige Session-Cookies (kein Tracking, kein Marketing). Der Session-Cookie enthält lediglich eine verschlüsselte Sitzungs-ID. Es ist kein Cookie-Banner erforderlich, da keine einwilligungspflichtigen Cookies eingesetzt werden (§ 25 Abs. 2 TTDSG).
3. Empfänger und Drittlandübermittlungen
Wir legen personenbezogene Daten nur offen, wenn dies für die Bereitstellung unseres Dienstes erforderlich ist oder eine gesetzliche Verpflichtung besteht. Die folgende Übersicht beschreibt die aktuell eingesetzten externen Empfänger und ggf. Drittlandbezüge nach Art. 44 ff. DSGVO.
3.1 Google Gemini API (Google LLC)
- Zweck der Weitergabe: KI-gestützte Dokumentenanalyse und Erstellung von Budgetvorschlägen.
- Datenkategorien: Vom Nutzer zur Analyse ausgewählte Dokumentinhalte sowie technische Request-Metadaten (z. B. Zeitstempel, Request-ID).
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung KI-gestützter Funktionen).
- Sitzland / Drittlandbezug: Google LLC, USA (Drittland außerhalb der EU/des EWR).
- Transfergarantien: Übermittlung auf Grundlage von Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) mit ergänzenden technischen und organisatorischen Maßnahmen.
3.2 Zahlungsdienstleister (Abrechnung)
- Zweck der Weitergabe: Zahlungsabwicklung, Betrugsprävention und Abonnementverwaltung.
- Datenkategorien: Zahlungsdaten (z. B. Karten- oder Kontodaten, je nach Zahlungsmethode), Rechnungs- und Kontaktdaten sowie Transaktionsdaten.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie, soweit erforderlich, Art. 6 Abs. 1 lit. f DSGVO (Missbrauchs- und Betrugsprävention).
- Sitzland / Drittlandbezug: Abhängig vom konkret eingebundenen Zahlungsdienstleister; bei Übermittlungen in Drittländer wird dies im jeweiligen Kundenkonto bzw. im Checkout offengelegt.
- Transfergarantien: Bei Drittlandübermittlungen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und ggf. ein Angemessenheitsbeschluss nach Art. 45 DSGVO, sofern für das Empfängerland vorhanden.
4. Speicherdauer und Löschung
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist (Art. 5 Abs. 1 lit. e DSGVO). Nach Wegfall des Zwecks löschen wir Daten oder anonymisieren sie, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
| Datenklasse | Frist / Trigger | Ausnahmen (gesetzliche Aufbewahrung) |
|---|---|---|
| Account-Stammdaten (z. B. Benutzername, E-Mail, Profileinstellungen) |
Bis zur Kontolöschung durch den Nutzer oder Beendigung des Vertragsverhältnisses. | Sofern einzelne Datensätze als Handels- oder Steuerbelege einzuordnen sind, gelten die jeweiligen Aufbewahrungsfristen. |
| Projektdokumente und Upload-Dateien (z. B. Rechnungen, Pläne, Anhänge) |
Bis zur Löschung durch den Nutzer im Produkt oder bis zur DSGVO-Kontolöschung. | Dokumentinhalte, die gesetzlichen Nachweis- oder Aufbewahrungspflichten unterliegen, können bis zum Ablauf der Pflichtfristen gesperrt aufbewahrt werden. |
| Transaktions- und Buchungsdaten (z. B. Zahlungen, Banktransaktionen, Abo-Ereignisse) |
Grundsätzlich bis zur Kontolöschung; für abrechnungsrelevante Daten mindestens bis zum Ablauf gesetzlicher Aufbewahrungsfristen. | Ausnahme: Es gelten insbesondere handels- und steuerrechtliche Aufbewahrungsfristen (regelmäßig 6 oder 10 Jahre). |
| Support- und Audit-Logs (z. B. Einwilligungszeitpunkte, Sicherheits- und Änderungsereignisse) |
Server-Verbindungslogs werden nach 14 Tagen gelöscht; sonstige Audit-Einträge werden zweckgebunden und so kurz wie möglich vorgehalten. | Bei rechtlichen Ansprüchen oder gesetzlichen Nachweispflichten kann eine längere, eingeschränkte Aufbewahrung erforderlich sein. |
| Backup-Daten | Löschungen aus dem Produktivsystem werden im Rahmen turnusmäßiger Backup-Rotation nachvollzogen; vollständige Entfernung erfolgt nach Überschreiben/Verfall des Backups. | Backups werden ausschließlich zur Wiederherstellung verwendet und unterliegen strengen Zugriffs- und Sicherheitskontrollen. |
Hinweis zur Kontolöschung: Über die Funktion "Einstellungen → DSGVO → Konto löschen" wird eine vollständige Löschung des Nutzerkontos ausgelöst. Dabei werden sowohl zugehörige Upload-Dateien als auch Nutzerdaten aus der Datenbank entfernt.
5. Ihre Rechte
- Auskunft (Art. 15 DSGVO): Welche Daten wir über Sie gespeichert haben.
- Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten.
- Löschung (Art. 17 DSGVO): Vollständige Entfernung Ihres Accounts – jederzeit möglich über Einstellungen → DSGVO → Konto löschen.
- Datenübertragbarkeit (Art. 20 DSGVO): Export Ihrer Daten als CSV – jederzeit über Einstellungen → DSGVO → Meine Daten exportieren.
- Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Basis berechtigten Interesses widersprechen.
- Beschwerde: Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren.
Zur Ausübung Ihrer Rechte wenden Sie sich an: muus@noch.de
6. Auftragsverarbeitung (AVV)
Gewerbliche Nutzer (Unternehmen), die personenbezogene Daten ihrer Kunden über unsere Plattform verarbeiten, können einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO anfordern. Bitte wenden Sie sich dafür an muus@noch.de.
7. Datensicherheit
Alle Verbindungen zu unserem Dienst sind TLS-verschlüsselt (HTTPS). Passwörter werden mit bcrypt gehasht gespeichert. Regelmäßige Backups und Zugriffskontrollen sichern Ihre Daten vor Verlust und unbefugtem Zugriff.
8. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei geänderten rechtlichen Rahmenbedingungen
oder neuen Diensten anzupassen. Die aktuell gültige Version ist stets unter
/datenschutz abrufbar.
Stand: Mai 2025