Zum Inhalt springen

Rechtliches

Datenschutzerklärung

Stand: 8. Juni 2026

Diese Datenschutzerklärung gilt für die Nutzung der Baunario-App für iOS und Android. Baunario ist eine Anwendung zur KI-gestützten Baustellendokumentation, Mängelerfassung und Erstellung VOB- bzw. BGB-konformer Mängelrügen für gewerbliche Nutzer im Baugewerbe.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

  • X-Concapps GmbH, Bismarckplatz 7, 45657 Recklinghausen, Deutschland
  • Geschäftsführer: Birgit Großhanten, Jonah Großhanten
  • Handelsregister: HRB 7174, Amtsgericht Recklinghausen
  • USt-IdNr.: 340/5762/4883
  • E-Mail: info@x-concapps.com
  • Telefon: 0157-37312502

2. Kontakt in Datenschutzfragen

Für Anfragen zum Datenschutz wenden Sie sich bitte an info@x-concapps.com oder postalisch an X-Concapps GmbH, Bismarckplatz 7, 45657 Recklinghausen.

Derzeit besteht keine Pflicht zur Bestellung eines Datenschutzbeauftragten. Sobald die gesetzlichen Voraussetzungen vorliegen, prüfen wir die Bestellung erneut.

3. Anwendungsbereich

Diese Datenschutzerklärung gilt für die Nutzung der Baunario-App für iOS und Android. Baunario ist eine Anwendung zur KI-gestützten Baustellendokumentation, Mängelerfassung und Erstellung VOB- bzw. BGB-konformer Mängelrügen für gewerbliche Nutzer im Baugewerbe.

4.1 Registrierungs- und Profildaten

Bei der Registrierung und im weiteren Betrieb verarbeiten wir folgende Daten der Nutzer:

  • Vorname und Nachname
  • E-Mail-Adresse
  • Passwort (ausschließlich in gehashter Form; Klartext ist uns technisch nicht zugänglich)
  • Rolle innerhalb der App (z. B. Bauleiter, Auftraggeber, Auftragnehmer)
  • Optional: Telefonnummer, Profilbild
  • Zugehörige Organisation (Unternehmen, für das der Nutzer die App verwendet)

Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), weil diese Daten für die Bereitstellung des Nutzerkontos erforderlich sind.

4.2 Projekt- und Stakeholderdaten

Im Rahmen der Projektdokumentation verarbeiten wir Daten zu Bauprojekten sowie zu den am Projekt beteiligten Firmen und Personen (Auftragnehmer, Auftraggeber, Gewerke). Hierzu zählen:

  • Projektname, Projektadresse, GPS-Koordinaten
  • Vertragsart (BGB oder VOB/B)
  • Firmenname, Gewerk, Empfänger-E-Mail-Adresse des Auftragnehmers
  • Zuordnung von Personen zu Projekten und Gewerken

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Verhältnis zum Kunden) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an einer funktionsfähigen Projektdokumentation).

4.3 Erfassungsdaten (Fotos, Videos, Sprachaufnahmen, Freitext)

Bei der Erfassung von Mängeln, Begehungen und Tagebucheinträgen verarbeiten wir:

  • Fotos und Videos von der Baustelle
  • Sprachaufnahmen (Audio) für Diktat und Spracherkennung
  • Freitext-Eingaben (Mangeltitel, Beschreibung, Ort, Notizen, besondere Vorkommnisse, Anweisungen, Behinderungen)
  • GPS-Koordinaten des Erfassungsortes und Zeitstempel
  • Wetterinformationen zum Erfassungszeitpunkt (automatisch abgerufen, siehe Abschnitt 5)

Fotos und Videos können Abbildungen von Personen enthalten, z. B. anwesende Handwerker, Polier oder Sachverständige. Hierzu siehe Abschnitt 8 (KUG-Hinweis).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem auftraggebenden Unternehmen). Soweit die Erfassung der lückenlosen Baudokumentation im berechtigten Interesse des auftraggebenden Unternehmens als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO dient, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO; Träger des berechtigten Interesses ist insoweit das auftraggebende Unternehmen, nicht die X-Concapps GmbH. Wir verarbeiten die Daten ausschließlich auf dokumentierte Weisung des auftraggebenden Unternehmens im Rahmen des Auftragsverarbeitungsvertrages.

4.4 Kommunikation mit Auftragnehmern (Mängelrügen)

Wenn der Nutzer aus der App eine Mängelrüge als PDF versendet, verarbeiten wir:

  • Empfänger-Name und E-Mail-Adresse des Auftragnehmers
  • Inhalt der Mängelrüge (Titel, Beschreibung, Fristen, ggf. Fotos)
  • Zugehöriges Token zur anonymen Rückmeldung (90 Tage gültig)
  • Antworten des Auftragnehmers (Statusmeldung, Fotos, Kommentar)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung im Baurechtsverhältnis zwischen Auftraggeber und Auftragnehmer) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung), da Mängelrügen für die Wahrung von Fristen nach §§ 634, 635 BGB bzw. § 13 VOB/B erforderlich sind.

4.5 Technische Zugriffs- und Nutzungsdaten

Bei jeder Nutzung der App verarbeiten wir technische Daten, die für den Betrieb und die Sicherheit erforderlich sind:

  • IP-Adresse bei Zugriff auf unsere Server
  • Zeitstempel und Art der Aktionen (Anmeldung, API-Aufrufe)
  • App-Version, Plattform (iOS/Android)
  • Fehlerberichte und Stabilitätsdaten

Wir verarbeiten ferner Ereignisdaten, die der Weiterentwicklung und Qualitätssicherung der App dienen (sog. capture_events). Diese Ereignisse sind an das Nutzerkonto gebunden und enthalten beispielsweise den Zeitpunkt einer Klassifikation, die Art des Ereignisses sowie die zugrunde liegende Session-ID. Persönliche Freitexte oder Bildinhalte werden in diesen Ereignissen nicht gespeichert. Auf Tenant-Ebene können diese Ereignisdaten auf rein aggregierter Basis (ohne Bezug zu einzelnen Nutzern) ausgewertet werden, sofern dies vom auftraggebenden Unternehmen aktiviert ist.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO mit dem berechtigten Interesse des sicheren und störungsfreien Betriebs der Anwendung sowie der Missbrauchsprävention. Eine Verwendung dieser Ereignisdaten durch die X-Concapps GmbH zu eigenen Zwecken der Produktverbesserung, die über den sicheren Betrieb hinausgehen, erfolgt nur in anonymisierter Form (ohne Bezug zu einzelnen Nutzern oder Tenants) oder mit ausdrücklicher Tenant-Zustimmung; im Auftragsverarbeitungs-Verhältnis ist Träger des berechtigten Interesses an der Verarbeitung das auftraggebende Unternehmen.

4.6 Lokale Zwischenspeicherung auf dem Endgerät

Für den Offline-Betrieb speichert die App Erfassungsdaten (Fotos, Audio, Freitext) vorübergehend lokal auf dem Endgerät (Hive-Datenbank), bis eine Internetverbindung besteht und die Daten mit dem Server synchronisiert werden. Diese lokale Zwischenspeicherung ist unverschlüsselt und unterliegt dem Zugriffsschutz des jeweiligen Betriebssystems (Geräte-PIN, biometrische Sperre, App-Sandbox).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), weil die Offline-Erfassung zentrales Merkmal der App ist.

5. Empfänger der Daten und Auftragsverarbeitung

Wir geben Daten nicht an Dritte weiter, es sei denn, dies ist zur Erbringung unserer Leistungen erforderlich oder gesetzlich vorgeschrieben. Die folgenden Dienstleister erhalten im Rahmen der Auftragsverarbeitung nach Art. 28 DSGVO Zugang zu personenbezogenen Daten.

5.1 Subprocessor-Liste

Stand: 8. Juni 2026.

  • Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) — kein Drittland; Hosting der Übergangs-Infrastruktur während der Cloud-Migration.
  • Supabase, Inc. (Delaware, USA), Hosting-Region eu-central-1, Frankfurt am Main — Storage in EU; administrativer Zugriff aus USA möglich. Abgesichert durch DPA und EU-SCC (Modul 2/3). Datenbank, Authentifizierung, Objektspeicher.
  • Amazon Web Services EMEA SARL (38 Avenue John F. Kennedy, L-1855 Luxembourg, Luxemburg) — EU-Vertragspartner, Hosting-Region eu-central-1 (Frankfurt am Main); abgesichert durch das AWS Data Processing Addendum und EU-Standardvertragsklauseln für etwaige administrative Zugriffe aus Drittländern. KI-gestützte Bildanalyse und In-App-Hilfeassistent über Amazon Bedrock (Claude via EU-Inference-Profiles) sowie Sprachtranskription über Amazon Transcribe (alleiniger KI-Anbieter seit 8. Juni 2026).
  • AC PM LLC (1 N Dearborn Street, Suite 500, Chicago, IL 60602, USA), Tochter von ActiveCampaign LLC — Drittland USA; abgesichert durch DPA und EU-SCC (Modul 2). Transaktionaler E-Mail-Versand (Postmark).
  • Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) — Drittland USA, optional; abgesichert durch Einwilligung des Anwenders und EU-SCC. Google-Sheets-Integration nur bei aktiver Konfiguration durch den Anwender.

Die jeweils aktuelle Fassung dieser Liste stellen wir auf Anfrage zur Verfügung. Über die Hinzuziehung neuer Subprocessor sowie über den Wechsel bestehender Subprocessor informieren wir registrierte Bauleiter mit einem Vorlauf von 30 Tagen in Textform.

Externe Dienste ohne Verarbeitung personenbezogener Daten — die nicht als Auftragsverarbeiter im Sinn des Art. 28 DSGVO geführt werden:

Open-Meteo (Wetterdaten, OpenMeteo GmbH, Hintere Schilligmatte 6, 6463 Bürglen, Schweiz): Wir übermitteln ausschließlich anonyme GPS-Koordinaten ohne Bezug zum Anwender. Eine Zuordnung zum Nutzerkonto erfolgt bei Open-Meteo nicht. Schweiz unterliegt einem Adäquanzbeschluss der EU-Kommission.

OpenStreetMap Foundation (Reverse-Geocoding, St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich): Wir übermitteln ausschließlich GPS-Koordinaten zur Adress-Auflösung. Die OSMF agiert als eigenständig Verantwortlicher für eigene Server-Logs (Endgerät-IP). Das Vereinigte Königreich unterliegt einem Adäquanzbeschluss der EU-Kommission.

5.1.1 Supabase Cloud (Datenbank, Authentifizierung, Objektspeicher)

Datenbank, Authentifizierung und Objektspeicher für Fotos, Videos und Audio betreiben wir auf Supabase Cloud (Region eu-central-1, Frankfurt am Main). Vertragspartner ist Supabase, Inc., eine in Delaware (USA) inkorporierte Gesellschaft. Das physische Hosting erfolgt in einem Rechenzentrum der Hetzner Online GmbH in Deutschland.

Die personenbezogenen Daten werden physisch ausschließlich im Rechenzentrum der Region eu-central-1 (Frankfurt am Main) gespeichert. Vertraglicher Auftragsverarbeiter ist Supabase, Inc. (Delaware, USA); im Rahmen technischer Wartung und Support kann administrativer Zugriff durch berechtigte Mitarbeiter von Supabase, Inc. aus den USA erforderlich werden. Solche Zugriffe erfolgen verschlüsselt, sind protokolliert und auf das jeweils notwendige Maß beschränkt. Die in Abschnitt 5.2 beschriebenen Schutzmaßnahmen sowie die EU-Standardvertragsklauseln (SCC) decken auch diese Zugriffe ab.

Mit Supabase, Inc. besteht ein Auftragsverarbeitungsvertrag (Data Processing Agreement) gemäß Art. 28 DSGVO sowie EU-Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914. Die etwaige Übermittlung in die USA im Rahmen administrativer Zugriffe erfolgt auf Grundlage von Art. 46 DSGVO. Eine Datenschutz-Folgenabschätzung im Sinne der Schrems-II-Rechtsprechung ist Bestandteil unseres Compliance-Konzepts; ergänzende Maßnahmen (Verschlüsselung in Transit und in Ruhe, Pseudonymisierung, Datenminimierung) sind in Abschnitt 5.2 beschrieben.

Bis zum vollständigen Abschluss der Cloud-Migration (geplant Mai 2026) verbleibt parallel eine selbst betriebene Supabase-Instanz auf Servern der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) als Übergangs-Infrastruktur. Mit der Hetzner Online GmbH besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Nach Abschluss der Migration wird die selbst betriebene Instanz abgeschaltet; die Datenschutzerklärung wird zu diesem Zeitpunkt erneut aktualisiert.

5.2 Übermittlung in Drittländer

Personenbezogene Daten werden im Rahmen unserer Subprocessor-Beziehungen in folgende Drittländer übermittelt:

USA: AC PM LLC (E-Mail-Versand); Supabase, Inc. als Vertragspartner für das Datenbank-Hosting in eu-central-1/Frankfurt im Rahmen administrativer Zugriffe; optional Google LLC (Google-Sheets-Integration).

Mit allen genannten Anbietern bestehen Datenverarbeitungs-Verträge (Data Processing Agreements) gemäß Art. 28 DSGVO sowie EU-Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914. Die Übermittlung erfolgt auf Grundlage von Art. 46 DSGVO.

Amazon Web Services EMEA SARL (Amazon Bedrock und Amazon Transcribe) ist EU-Vertragspartner mit Sitz in Luxemburg. Auf Vertrags-Ebene findet kein Drittland-Transfer statt. Die KI-Inferenz erfolgt über EU-Inference-Profiles (eu.anthropic.*) in der Region eu-central-1 (Frankfurt). Etwaige interne Sub-Transfers an verbundene Amazon-Konzern-Gesellschaften außerhalb des Europäischen Wirtschaftsraums (etwa im Rahmen von Support oder regionalem Fallback) sind durch interne EU-Standardvertragsklauseln innerhalb der Amazon-Gruppe abgedeckt und im jeweils geltenden AWS Data Processing Addendum dokumentiert.

In Auseinandersetzung mit der Schrems-II-Rechtsprechung (EuGH, Urteil vom 16. Juli 2020, C-311/18) haben wir folgende ergänzende Maßnahmen umgesetzt:

  • Verschlüsselung in Transit (TLS 1.2 oder höher) für sämtliche Datenübermittlungen an Drittland-Subprocessor;
  • Verschlüsselung in Ruhe bei den eingesetzten Subprocessor;
  • Pseudonymisierung der übermittelten Daten, soweit der Verarbeitungszweck dies erlaubt — insbesondere werden Stammdaten der Anwender (Name, E-Mail, Telefonnummer) nicht an die Bildanalyse- und Sprachtranskriptions-Anbieter übermittelt;
  • Beschränkung der übermittelten Datenkategorien auf das für den jeweiligen Zweck erforderliche Minimum;
  • Auswahl von Anbietern, deren Standard-API-Vereinbarungen ein Modell-Training auf Kundendaten ausschließen, und Verhandlung zusätzlicher Zero-Data-Retention-Add-Ons, wo technisch verfügbar;
  • vertragliche Zusicherungen der Subprocessor zu Government-Access-Anfragen und entsprechende Transparenz-Berichte, soweit verfügbar;
  • bei Supabase Cloud (eu-central-1) Beschränkung administrativer Zugriffe aus den USA auf das jeweils notwendige Maß einschließlich Protokollierung und verschlüsselter Verbindung — siehe Abschnitt 5.1.1.

Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO sowie Transfer-Impact-Assessments für die in Abschnitt 5.1 genannten Drittland-Subprocessor werden gemeinsam mit unserer Datenschutz-Beratung finalisiert und liegen nach anwaltlicher Endabnahme vor. Eine vorläufige Fassung stellen wir auf Anfrage in Textform zur Verfügung.

Übermittlungen an Subprocessor in Ländern, für die die EU-Kommission einen Angemessenheitsbeschluss nach Art. 45 DSGVO erlassen hat (Schweiz, Vereinigtes Königreich), erfolgen ohne weitere Schutzmaßnahmen auf Grundlage des jeweils geltenden Beschlusses.

5.3 Einsatz von Künstlicher Intelligenz

Die App nutzt KI-Dienste für drei Zwecke: Bildanalyse von Baustellenfotos, Sprachtranskription und einen In-App-Hilfeassistenten („Tutor“). Die hierbei eingesetzten Anbieter unterscheiden sich nach Funktion und Vertragspartner.

Eine Verwendung der übermittelten Daten zum Training der KI-Modelle ist nach den jeweiligen Standard-API-Vereinbarungen der genannten Anbieter ausgeschlossen. Soweit ein Anbieter ein zusätzliches Zero-Data-Retention-Add-On oder vergleichbare vertragliche Verschärfungen anbietet, verhandeln wir diese, wo dies technisch verfügbar ist. Den jeweils aktuellen Status pro Anbieter dokumentieren wir intern und stellen ihn auf Anfrage zur Verfügung.

5.3.1 Bildanalyse — Amazon Bedrock (Claude) EU

Für die KI-gestützte Bildanalyse setzen wir Amazon Bedrock mit Claude Sonnet als Modell in der EU-Region Frankfurt (eu-central-1) ein. Vertragspartner ist Amazon Web Services EMEA SARL (38 Avenue John F. Kennedy, L-1855 Luxembourg, Luxemburg). Amazon Web Services EMEA SARL ist EU-Vertragspartner; die vertragliche Verarbeitung erfolgt innerhalb des Europäischen Wirtschaftsraums. Wir nutzen die EU-spezifischen Inference-Profiles (eu.anthropic.*), die Anfragen ausschließlich an Modelle in EU-Regionen routen. Etwaige interne Sub-Transfers an verbundene Amazon-Konzern-Gesellschaften sind durch interne EU-Standardvertragsklauseln innerhalb der Amazon-Gruppe abgedeckt und im jeweils geltenden AWS Data Processing Addendum dokumentiert.

An den Bildanalyse-Anbieter übermittelt werden:

  • Baustellenfotos im JPEG-Format,
  • Kontext-Metadaten wie Projektname, Bauphase, Etage, Raum, Vertragsart (BGB oder VOB/B).

Stammdaten der Anwender (Name, E-Mail, Telefonnummer) werden nicht an den Bildanalyse-Anbieter übermittelt. Nach den uns vom jeweiligen Anbieter gegenüber bestätigten Standard-API-Vereinbarungen werden die übermittelten Daten nicht zum Training der KI-Modelle verwendet. Sollte ein Anbieter diese Policy einseitig ändern, informieren wir registrierte Bauleiter über die Subprocessor-Update-Mechanik (siehe Abschnitt 5.1).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung: KI-gestützte Klassifikation ist Kernbestandteil der App) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an einer effizienten Baudokumentation).

5.3.2 In-App-Hilfeassistent — Amazon Bedrock (Claude) EU

Der In-App-Hilfeassistent nutzt ebenfalls Amazon Bedrock mit Claude Haiku/Sonnet in der EU-Region Frankfurt (Vertragspartner: Amazon Web Services EMEA SARL, Luxemburg). Die Datenverarbeitung folgt denselben Bedingungen wie unter 5.3.1 beschrieben. Übermittelt werden Frage-Texte des Anwenders sowie ein anonymisierter Konversationskontext zur Beantwortung der jeweiligen Frage; Stammdaten der Anwender werden nicht übermittelt.

Sofern eine Frage nicht beantwortet werden kann, speichern wir die anonymisierte Frage und einen Konversations-Auszug intern in der Tabelle tutor_unknown_questions zur Verbesserung des Hilfesystems. Diese Daten verbleiben innerhalb der von uns betriebenen Supabase-Infrastruktur (siehe Abschnitt 5.1.1).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an einem funktionsfähigen Hilfesystem).

5.3.3 Sprachtranskription — Amazon Transcribe EU

Zur Transkription von Sprachaufnahmen zu Text setzen wir Amazon Transcribe in der EU-Region Frankfurt (eu-central-1) ein. Vertragspartner ist Amazon Web Services EMEA SARL (38 Avenue John F. Kennedy, L-1855 Luxembourg, Luxemburg). Amazon Web Services EMEA SARL ist EU-Vertragspartner; die vertragliche Verarbeitung erfolgt innerhalb des Europäischen Wirtschaftsraums. Die Audio-Dateien werden für die Dauer der Transkription in einem temporären Amazon-S3-Bucket in eu-central-1 (Frankfurt) abgelegt und nach Abschluss des Transkriptions-Jobs spätestens nach 24 Stunden automatisch gelöscht.

An Amazon Transcribe übermittelt werden ausschließlich Audio-Daten der vom Anwender aufgenommenen Sprachnotizen. Nach den aktuellen AWS-Standard-Nutzungsbedingungen für Amazon Transcribe werden die übermittelten Daten nicht zum Training der Modelle verwendet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.3.4 Postmark — transaktionaler E-Mail-Versand

Für den Versand von Mängelrügen, Statusbenachrichtigungen und sonstigen transaktionalen E-Mails nutzen wir den Dienst Postmark. Vertragspartner ist AC PM LLC (1 N Dearborn Street, Suite 500, Chicago, IL 60602, USA), eine Tochter der ActiveCampaign LLC. Postmark wurde im Mai 2022 von Wildbit LLC an ActiveCampaign verkauft.

An Postmark übermittelt werden:

  • Empfänger-E-Mail-Adresse und Name,
  • Betreff und Inhalt der E-Mail einschließlich angehängter PDF-Dokumente (insbesondere Mängelrügen, Begehungsprotokolle).

Mit AC PM LLC besteht ein Datenverarbeitungs-Vertrag (Data Processing Agreement) gemäß Art. 28 DSGVO sowie EU-Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914 (Modul 2). Die Übermittlung in die USA erfolgt auf Grundlage von Art. 46 DSGVO. Postmark verarbeitet ausschließlich in den USA (Datacenter Chicago + Amazon Web Services); ein EU-Sub-Subprocessor existiert nicht.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Baurechtsverhältnis zwischen Auftraggeber und Auftragnehmer) sowie Art. 6 Abs. 1 lit. c DSGVO (Fristwahrung nach §§ 634, 635 BGB beziehungsweise § 13 VOB/B).

5.3.5 Optional: Google Sheets

Anwender können einzelne Projekte mit einem eigenen Google-Sheet verknüpfen, in das Mängeldaten automatisch exportiert werden. Diese Integration ist optional und nur aktiv, wenn der Anwender sie pro Projekt einschaltet und eine Google-Sheet-ID hinterlegt.

Bei aktiver Integration werden Mangeldaten (Titel, Schweregrad, Gewerk, Status, Zeitstempel, Foto-URL) an Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) übermittelt. Die datenschutzrechtliche Verantwortung für das Google-Konto und das verwendete Google-Sheet liegt beim Anwender beziehungsweise bei dessen Unternehmen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Aktivierung der Integration).

5.4 Keine weiteren Empfänger

Darüber hinaus geben wir keine personenbezogenen Daten an Dritte weiter. Insbesondere nutzen wir keine Analyse-Dienste (Google Analytics, Firebase Analytics, Mixpanel, etc.), keine Werbe-Netzwerke, keine externen Crash-Reporter und keine Social-Login-Anbieter.

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweilige Verarbeitung erforderlich ist oder gesetzliche Aufbewahrungspflichten dies vorsehen.

  • Registrierungs- und Profildaten: bis zur Löschung des Nutzerkontos (siehe Abschnitt 9). Begründung: Vertragsverhältnis.
  • Projekt- und Stakeholderdaten: bis zum Abschluss des Projekts zuzüglich Aufbewahrung zur Wahrung von Gewährleistungsfristen, längstens 10 Jahre. Begründung: § 634a BGB, § 13 VOB/B.
  • Erfassungsdaten (Fotos, Freitext, Sprach-Transkripte): bis zur Projekt-Löschung beziehungsweise im Rahmen der Gewährleistungsfristen, längstens 10 Jahre. Begründung: § 634a BGB, § 13 VOB/B.
  • Audio-Originaldateien (vor Transkription): maximal 24 Stunden nach erfolgreicher Transkription, danach automatische Löschung. Tenant-Admin kann die Frist im Einzelfall auf höchstens 30 Tage verlängern. Begründung: Datenminimierung Art. 5 Abs. 1 lit. c DSGVO; Audio kann Hintergrundstimmen Dritter und sensible Sprachausgaben enthalten — nach Transkription besteht kein berechtigtes Interesse mehr am Original.
  • Mängelrügen und Kommunikation mit Auftragnehmern: bis zum Ablauf der Gewährleistungs- beziehungsweise Verjährungsfristen, längstens 10 Jahre. Begründung: §§ 634, 635 BGB, § 13 VOB/B.
  • Technische Zugriffsdaten (Serverprotokolle): maximal 30 Tage. Begründung: Sicherheits-Forensik, Lasterkennung.
  • Ereignisdaten (technische Telemetrie zur Qualitätssicherung): maximal 12 Monate; nach 6 Monaten erfolgt Aggregation auf Tenant-Ebene mit Entfernung der Nutzer-ID. Begründung: Sicherheits-Forensik bei verzögert entdeckten Vorfällen, Bug-Reproduktion über mehrere Monate. Nach 6 Monaten ohne erkennbaren Anlass werden die Daten auf Tenant-Aggregat reduziert; ein Personenbezug besteht ab diesem Zeitpunkt nicht mehr.
  • Lokale Zwischenspeicherung auf dem Endgerät: bis zur erfolgreichen Synchronisation mit dem Server, maximal 90 Tage. Begründung: Offline-Fähigkeit auf der Baustelle.
  • Daten bei KI-Subprocessor (Amazon Bedrock EU, Claude): Übermittlung pro Anfrage; nach den AWS-Standard-Nutzungsbedingungen für Amazon Bedrock keine Speicherung der Prompts/Antworten durch den Anbieter und kein Training auf Kundendaten. Status nach jeweils aktuellem AWS Data Processing Addendum, siehe Abschnitt 5.3.
  • Daten bei Amazon Transcribe (Sprachtranskription): Audio-Dateien werden für die Dauer des Transkriptions-Jobs in einem temporären S3-Bucket in eu-central-1 abgelegt und spätestens nach 24 Stunden automatisch gelöscht. Nach den AWS-Standard-Nutzungsbedingungen kein Training auf Kundendaten.
  • Daten bei Postmark (E-Mail-Versand): Versand-Logs bis zu 45 Tage; Inhalte (Body) bis zu 45 Tage gemäß Postmark-Default. Begründung: Anbieter-Default; im AC-PM-DPA-Anhang dokumentiert.

Nach Ablauf der jeweiligen Speicherdauer löschen wir die Daten routinemäßig, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. steuerrechtliche Aufbewahrungsfristen nach §§ 238 ff. HGB, §§ 147 AO).

Die Aufbewahrung von Projekt- und Erfassungsdaten über einen längeren Zeitraum ist im Baugewerbe notwendig, weil die gesetzlichen Gewährleistungsfristen bei Bauwerken bis zu fünf Jahre betragen (§ 634a Abs. 1 Nr. 2 BGB) und die Verjährungsfristen für Baumängelansprüche hieran anknüpfen.

7. Berechtigungen auf Ihrem Endgerät

Die App greift mit Ihrer ausdrücklichen Einwilligung auf folgende Funktionen Ihres Endgerätes zu. Sie können die jeweilige Berechtigung jederzeit in den Systemeinstellungen des Betriebssystems widerrufen; in diesem Fall stehen Ihnen die entsprechenden Funktionen der App nicht mehr zur Verfügung.

  • Kamera: Erfassung von Baustellenfotos und Videos.
  • Mikrofon: Aufnahme von Sprachnotizen, Diktat und Spracheingabe.
  • Spracherkennung: Verarbeitung Ihrer gesprochenen Änderungen an Einträgen.
  • Standort (Always / When-In-Use): Erfassung des GPS-Standorts für Mängel und Begehungen sowie Wetterabfrage.
  • Fotobibliothek: Import von Fotos aus der Galerie.
  • Kalender: optionale Einträge für Fristen und Begehungstermine.

8. Bildaufnahmen auf Baustellen

Bei Aufnahmen, auf denen Personen (etwa Bauarbeiter, Subunternehmer-Mitarbeiter oder anwesende Dritte) erkennbar sind, gelten neben der DSGVO ergänzend die Vorgaben des Kunsturhebergesetzes (KUG, insbesondere § 22). Verantwortlicher im Sinn von Art. 4 Nr. 7 DSGVO ist die Organisation des Anwenders (in der Regel das auftraggebende Unternehmen, das den Bauleiter beauftragt). BAUNARIO ist Auftragsverarbeiter im Sinn von Art. 28 DSGVO und stellt das Werkzeug zur Erfassung und Speicherung der Aufnahmen bereit.

Die Pflicht, vor der Aufnahme oder Veröffentlichung von Personenbildern eine wirksame Einwilligung der abgebildeten Personen einzuholen oder eine gesetzliche Erlaubnis zu prüfen, liegt deshalb beim Endkunden-Unternehmen beziehungsweise beim Bauleiter, der im Namen dieses Unternehmens handelt. BAUNARIO prüft diese Einwilligung nicht und kann sie auch technisch nicht ersetzen.

Der Anwender ist im Rahmen unserer Auftragsverarbeitungs-Vereinbarung dazu verpflichtet, vor Erfassung von Personenbildern in der App die jeweils erforderlichen Einwilligungen oder gesetzlichen Erlaubnistatbestände sicherzustellen. Soweit Aufnahmen ohne erkennbare Personen oder mit nur als Beiwerk im Sinn von § 23 Abs. 1 Nr. 2 KUG abgebildeten Personen aufgenommen werden, gelten die genannten Pflichten nicht oder eingeschränkt.

9. Ihre Rechte

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten. Anfragen zu Ihren Rechten beantworten wir nach Art. 12 Abs. 3 DSGVO grundsätzlich innerhalb eines Monats nach Eingang. Bei besonders aufwändigen oder zahlreichen Anträgen kann sich diese Frist um zwei weitere Monate verlängern; in diesem Fall informieren wir Sie innerhalb eines Monats nach Eingang Ihres Antrags über die Verlängerung und deren Gründe.

  • Auskunft (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten.
  • Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen. Viele Profilangaben können Sie direkt in der App ändern.
  • Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen verlangen, dass wir die Verarbeitung Ihrer Daten einschränken.
  • Datenübertragbarkeit (Art. 20 DSGVO): Soweit die Verarbeitung auf Einwilligung oder Vertragserfüllung beruht und mit automatisierten Mitteln erfolgt, können Sie verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, maschinenlesbaren Format bereitstellen.
  • Widerspruch (Art. 21 DSGVO): Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) beruht, haben Sie das Recht, jederzeit Widerspruch einzulegen.
  • Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht (z. B. Google-Sheets-Integration), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
  • Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

Eine Kontolöschung ist derzeit per E-Mail an info@x-concapps.com zu beantragen; wir bestätigen den Eingang und führen die Löschung innerhalb von 30 Tagen durch, soweit nicht nach Abschnitt 6 gesetzliche Aufbewahrungspflichten für einzelne Projekt- oder Mängeldaten bestehen. Eine In-App-Löschfunktion befindet sich in Vorbereitung.

Zuständige Aufsichtsbehörde für X-Concapps GmbH ist: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestraße 2–4, 40213 Düsseldorf, www.ldi.nrw.de. Sie können sich auch an die für Sie örtlich zuständige Aufsichtsbehörde des Bundeslandes wenden, in dem Sie wohnen oder arbeiten.

Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an info@x-concapps.com.

10. Keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO

Die App nutzt automatische Klassifikation (z. B. zur Vorklassifikation von Mängeln auf Fotos). Diese Klassifikationen sind Vorschläge und werden von den Nutzern stets bestätigt oder bearbeitet. Eine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO findet nicht statt.

11. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten gegen unbefugten Zugriff, Verlust oder Manipulation zu schützen. Hierzu zählen insbesondere:

  • Transportverschlüsselung (TLS 1.2 oder höher) für sämtliche API- und Server-Kommunikation
  • Row-Level-Security auf allen personenbezogenen Datentabellen (Zugriff nur innerhalb der eigenen Organisation)
  • Rollenbasiertes Rechtemodell (Bauleiter, Auftraggeber, Auftragnehmer, Admin, Viewer)
  • Passwörter ausschließlich als gehashte Werte (bcrypt)
  • Regelmäßige Backups mit begrenzter Aufbewahrungszeit
  • Getrennte Zugangssysteme für Produktiv- und Testdaten

Die lokale Zwischenspeicherung auf dem Endgerät (siehe Abschnitt 4.6) ist unverschlüsselt und vertraut auf die Sandbox- und PIN-/Biometrie-Schutzmechanismen des Betriebssystems. Achten Sie darauf, Ihr Gerät mit einer Gerätesperre zu schützen und die App nach Gebrauch zu verlassen.

12. Kinder und Minderjährige

Die App richtet sich ausschließlich an gewerbliche Nutzer und nicht an Minderjährige. Eine Nutzung durch Personen unter 18 Jahren ist nicht vorgesehen.

13. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich rechtliche Anforderungen oder unsere Datenverarbeitungspraxis ändern. Die jeweils aktuelle Fassung ist in der App und auf unserer Website abrufbar. Über wesentliche Änderungen informieren wir registrierte Nutzer per E-Mail.