Zum Inhalt springen

Rechtliches

Datenschutzerklärung

Stand: 20. April 2026

Diese Datenschutzerklärung gilt für die Nutzung der Baunario-App für iOS und Android. Baunario ist eine Anwendung zur KI-gestützten Baustellendokumentation, Mängelerfassung und Erstellung VOB- bzw. BGB-konformer Mängelrügen für gewerbliche Nutzer im Baugewerbe.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

  • X-Concapps GmbH, Bismarckplatz 7, 45657 Recklinghausen, Deutschland
  • Geschäftsführer: Birgit Großhanten, Jonah Großhanten
  • Handelsregister: HRB 7174, Amtsgericht Recklinghausen
  • USt-IdNr.: 340/5762/4883
  • E-Mail: info@x-concapps.com
  • Telefon: 0157-37312502

2. Kontakt in Datenschutzfragen

Für Anfragen zum Datenschutz wenden Sie sich bitte an info@x-concapps.com oder postalisch an X-Concapps GmbH, Bismarckplatz 7, 45657 Recklinghausen.

Derzeit besteht keine Pflicht zur Bestellung eines Datenschutzbeauftragten. Sobald die gesetzlichen Voraussetzungen vorliegen, prüfen wir die Bestellung erneut.

3. Anwendungsbereich

Diese Datenschutzerklärung gilt für die Nutzung der Baunario-App für iOS und Android. Baunario ist eine Anwendung zur KI-gestützten Baustellendokumentation, Mängelerfassung und Erstellung VOB- bzw. BGB-konformer Mängelrügen für gewerbliche Nutzer im Baugewerbe.

4.1 Registrierungs- und Profildaten

Bei der Registrierung und im weiteren Betrieb verarbeiten wir folgende Daten der Nutzer:

  • Vorname und Nachname
  • E-Mail-Adresse
  • Passwort (ausschließlich in gehashter Form; Klartext ist uns technisch nicht zugänglich)
  • Rolle innerhalb der App (z. B. Bauleiter, Auftraggeber, Auftragnehmer)
  • Optional: Telefonnummer, Profilbild
  • Zugehörige Organisation (Unternehmen, für das der Nutzer die App verwendet)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.2 Projekt- und Stakeholderdaten

Im Rahmen der Projektdokumentation verarbeiten wir Daten zu Bauprojekten sowie zu den am Projekt beteiligten Firmen und Personen (Auftragnehmer, Auftraggeber, Gewerke). Hierzu zählen:

  • Projektname, Projektadresse, GPS-Koordinaten
  • Vertragsart (BGB oder VOB/B)
  • Firmenname, Gewerk, Empfänger-E-Mail-Adresse des Auftragnehmers
  • Zuordnung von Personen zu Projekten und Gewerken

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an einer funktionsfähigen Projektdokumentation).

4.3 Erfassungsdaten (Fotos, Videos, Sprachaufnahmen, Freitext)

Bei der Erfassung von Mängeln, Begehungen und Tagebucheinträgen verarbeiten wir:

  • Fotos und Videos von der Baustelle
  • Sprachaufnahmen (Audio) für Diktat und Spracherkennung
  • Freitext-Eingaben (Mangeltitel, Beschreibung, Ort, Notizen, besondere Vorkommnisse, Anweisungen, Behinderungen)
  • GPS-Koordinaten des Erfassungsortes und Zeitstempel
  • Wetterinformationen zum Erfassungszeitpunkt (automatisch abgerufen, siehe Abschnitt 5)

Fotos und Videos können Abbildungen von Personen enthalten, z. B. anwesende Handwerker, Polier oder Sachverständige. Hierzu siehe Abschnitt 8 (KUG-Hinweis).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an lückenloser Baudokumentation und Beweissicherung für Gewährleistungs- und Mängelprozesse).

4.4 Kommunikation mit Auftragnehmern (Mängelrügen)

Wenn der Nutzer aus der App eine Mängelrüge als PDF versendet, verarbeiten wir:

  • Empfänger-Name und E-Mail-Adresse des Auftragnehmers
  • Inhalt der Mängelrüge (Titel, Beschreibung, Fristen, ggf. Fotos)
  • Zugehöriges Token zur anonymen Rückmeldung (90 Tage gültig)
  • Antworten des Auftragnehmers (Statusmeldung, Fotos, Kommentar)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung im Baurechtsverhältnis) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Fristwahrung nach §§ 634, 635 BGB bzw. § 13 VOB/B).

4.5 Technische Zugriffs- und Nutzungsdaten

Bei jeder Nutzung der App verarbeiten wir technische Daten, die für den Betrieb und die Sicherheit erforderlich sind:

  • IP-Adresse bei Zugriff auf unsere Server
  • Zeitstempel und Art der Aktionen (Anmeldung, API-Aufrufe)
  • App-Version, Plattform (iOS/Android)
  • Fehlerberichte und Stabilitätsdaten

Wir verarbeiten ferner Ereignisdaten, die der Weiterentwicklung und Qualitätssicherung der App dienen (sog. capture_events). Diese Ereignisse sind an das Nutzerkonto gebunden und enthalten beispielsweise den Zeitpunkt einer Klassifikation, die Art des Ereignisses sowie die zugrunde liegende Session-ID. Persönliche Freitexte oder Bildinhalte werden in diesen Ereignissen nicht gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sicherer Betrieb, Produktverbesserung, Missbrauchsprävention).

4.6 Lokale Zwischenspeicherung auf dem Endgerät

Für den Offline-Betrieb speichert die App Erfassungsdaten (Fotos, Audio, Freitext) vorübergehend lokal auf dem Endgerät (Hive-Datenbank), bis eine Internetverbindung besteht und die Daten mit dem Server synchronisiert werden. Diese lokale Zwischenspeicherung ist unverschlüsselt und unterliegt dem Zugriffsschutz des jeweiligen Betriebssystems (Geräte-PIN, biometrische Sperre, App-Sandbox).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), weil die Offline-Erfassung zentrales Merkmal der App ist.

5. Empfänger der Daten

Wir geben Daten nicht an Dritte weiter, es sei denn, dies ist zur Erbringung unserer Leistungen erforderlich oder gesetzlich vorgeschrieben. Die folgenden Dienstleister erhalten im Rahmen der Auftragsverarbeitung (Art. 28 DSGVO) Zugang zu personenbezogenen Daten.

5.1 Supabase (selbst betriebene Backend-Infrastruktur)

Die Datenbank, die Authentifizierung und der Objektspeicher für Fotos, Videos und Audio laufen auf einer selbst betriebenen Supabase-Instanz, gehostet auf Servern der Hetzner Online GmbH in Deutschland. Die Daten verlassen die EU nicht. Es besteht keine Auftragsverarbeitung zugunsten des Unternehmens Supabase Inc., da wir die Software selbst betreiben.

Mit der Hetzner Online GmbH (Gunzenhausen, Deutschland) besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

5.2 OpenAI (KI-gestützte Bildanalyse und Sprachverarbeitung)

Zur automatischen Klassifikation von Baustellenfotos sowie zur Verarbeitung von Sprachtranskripten setzen wir die OpenAI-API ein. Wir nutzen OpenAI ausschließlich in folgender Konfiguration:

  • EU Data Residency: Die API-Aufrufe werden über die europäische Region von OpenAI verarbeitet. Die zugehörigen Daten werden innerhalb der EU gespeichert.
  • Auftragsverarbeitungsvertrag (DPA) mit OpenAI, Inc. nach Art. 28 DSGVO, ergänzt um die EU-Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss 2021/914 der EU-Kommission.
  • Kein Training auf API-Daten: Die an die OpenAI-API übermittelten Inhalte werden nach den aktuellen API-Nutzungsbedingungen nicht zum Training der Modelle verwendet.

An OpenAI übermittelt werden Baustellenfotos (JPEG), transkribierte Sprachaufnahmen (Text) sowie Kontextmetadaten wie Projektname, Bauphase, Etage, Raum und Vertragsart. Personenbezogene Angaben aus den Registrierungsdaten (Name, E-Mail, Telefonnummer) werden nicht an OpenAI übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an einer effizienten Baudokumentation).

5.3 Postmark (transaktionaler E-Mail-Versand)

Für den Versand von Mängelrügen, Statusbenachrichtigungen und sonstigen transaktionalen E-Mails nutzen wir den Dienst Postmark der Firma Wildbit, LLC (USA). An Postmark übermittelt werden Empfänger-E-Mail-Adresse und Name sowie Betreff und Inhalt der E-Mail (einschließlich ggf. angehängter PDF-Dokumente).

Mit Wildbit, LLC besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO einschließlich der EU-Standardvertragsklauseln (SCC). Die Übermittlung in die USA erfolgt auf dieser Grundlage gemäß Art. 46 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/Vertragsanbahnung) sowie Art. 6 Abs. 1 lit. c DSGVO (Fristwahrung nach §§ 634, 635 BGB / § 13 VOB/B).

5.4 Open-Meteo (Wetterdaten)

Zur automatischen Erfassung von Wetterdaten im Bautagebuch rufen wir bei Erfassung eines Eintrags die öffentliche API von Open-Meteo.com (Open-Meteo GmbH, Schweiz) auf. Übermittelt werden ausschließlich die GPS-Koordinaten des Standorts ohne Personenbezug. Eine Zuordnung zum Nutzerkonto erfolgt bei Open-Meteo nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an korrekter Wetterdokumentation im Bautagebuch).

5.5 OpenStreetMap / Nominatim (Reverse-Geocoding)

Zur Umwandlung von GPS-Koordinaten in Adressangaben rufen wir die öffentliche Nominatim-API der OpenStreetMap Foundation (Großbritannien) auf. Übermittelt werden ausschließlich GPS-Koordinaten ohne weiteren Personenbezug. Die OpenStreetMap Foundation unterliegt den Angemessenheitsentscheidungen der EU-Kommission für das Vereinigte Königreich (Art. 45 DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (lesbare Adressanzeige in Berichten).

5.6 Optional: Google Sheets (nur bei aktiver Konfiguration)

Nutzer können einzelne Projekte mit einem eigenen Google-Sheet verknüpfen, in das Mängeldaten automatisch exportiert werden. Diese Integration ist optional und nur aktiv, wenn der Nutzer sie pro Projekt einschaltet und eine Google-Sheet-ID hinterlegt.

Bei aktiver Integration werden Mangeldaten (Titel, Schweregrad, Gewerk, Status, Zeitstempel, Foto-URL) an Google LLC (USA bzw. EU-Region je nach Google-Konto) übermittelt. Die datenschutzrechtliche Verantwortung für das Google-Konto und das verwendete Google-Sheet liegt beim Nutzer.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Aktivierung der Integration).

5.7 Keine weiteren Empfänger

Darüber hinaus geben wir keine personenbezogenen Daten an Dritte weiter. Insbesondere nutzen wir keine Analyse-Dienste (Google Analytics, Firebase Analytics, Mixpanel etc.), keine Werbe-Netzwerke, keine externen Crash-Reporter und keine Social-Login-Anbieter.

6. Speicherdauer

  • Registrierungs- und Profildaten: bis zur Löschung des Nutzerkontos (siehe Abschnitt 9)
  • Projekt- und Stakeholderdaten: bis zum Abschluss des Projekts zzgl. Aufbewahrung zur Wahrung von Gewährleistungsfristen, längstens 10 Jahre (§ 634a BGB, § 13 VOB/B)
  • Erfassungsdaten (Fotos, Audio, Freitext): bis zur Projekt-Löschung bzw. im Rahmen der Gewährleistungsfristen, längstens 10 Jahre
  • Mängelrügen und Kommunikation mit Auftragnehmern: bis zum Ablauf der Gewährleistungs- bzw. Verjährungsfristen, längstens 10 Jahre
  • Technische Zugriffsdaten: maximal 30 Tage (Serverprotokolle)
  • Ereignisdaten (capture_events): maximal 24 Monate
  • Lokale Zwischenspeicherung auf dem Endgerät: bis zur erfolgreichen Synchronisation, maximal 90 Tage

Nach Ablauf der jeweiligen Speicherdauer löschen wir die Daten routinemäßig, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. §§ 238 ff. HGB, §§ 147 AO).

Die Aufbewahrung von Projekt- und Erfassungsdaten über einen längeren Zeitraum ist im Baugewerbe notwendig, weil die gesetzlichen Gewährleistungsfristen bei Bauwerken bis zu fünf Jahre betragen (§ 634a Abs. 1 Nr. 2 BGB).

7. Berechtigungen auf Ihrem Endgerät

Die App greift mit Ihrer ausdrücklichen Einwilligung auf folgende Funktionen Ihres Endgerätes zu. Sie können die jeweilige Berechtigung jederzeit in den Systemeinstellungen widerrufen; in diesem Fall stehen Ihnen die entsprechenden Funktionen der App nicht mehr zur Verfügung.

  • Kamera: Erfassung von Baustellenfotos und Videos
  • Mikrofon: Aufnahme von Sprachnotizen, Diktat und Spracheingabe
  • Spracherkennung: Verarbeitung Ihrer gesprochenen Änderungen an Einträgen
  • Standort (Always / When-In-Use): GPS-Standort für Mängel und Begehungen sowie Wetterabfrage
  • Fotobibliothek: Import von Fotos aus der Galerie
  • Kalender: optionale Einträge für Fristen und Begehungstermine

8. Besonderheiten bei Fotos und Videos

Baustellenfotos können Abbildungen natürlicher Personen enthalten (Handwerker, Polier, Sachverständige, Mitarbeiter). Diese Bildnisse sind nach § 22 KUG und Art. 4 Nr. 1 DSGVO geschützt.

Der aufnehmende Nutzer trägt dafür Sorge, dass die betroffenen Personen über die Aufnahme und deren Verwendung im Rahmen der Baustellendokumentation informiert werden und — sofern rechtlich erforderlich — ihre Einwilligung erteilt haben. Die Einzelheiten sind in den Nutzungsbedingungen geregelt.

Der Verantwortliche stellt technische Möglichkeiten bereit, Fotos bei Bedarf zu anonymisieren (z. B. manuelles Unkenntlichmachen von Gesichtern vor dem Versand einer Mängelrüge).

9. Ihre Rechte

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO) über verarbeitete Daten
  • Berichtigung (Art. 16 DSGVO) unrichtiger oder unvollständiger Daten — viele Profilangaben können Sie direkt in der App ändern
  • Löschung (Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) in strukturiertem, maschinenlesbarem Format
  • Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Grundlage berechtigter Interessen
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde

Eine Kontolöschung ist derzeit per E-Mail an info@x-concapps.com zu beantragen; wir bestätigen den Eingang und führen die Löschung innerhalb von 30 Tagen durch, soweit keine gesetzlichen Aufbewahrungspflichten für einzelne Projekt- oder Mängeldaten bestehen. Eine In-App-Löschfunktion befindet sich in Vorbereitung.

Zuständige Aufsichtsbehörde für X-Concapps GmbH: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestraße 2–4, 40213 Düsseldorf, www.ldi.nrw.de.

Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an info@x-concapps.com.

10. Keine automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Die App nutzt automatische Klassifikation (z. B. zur Vorklassifikation von Mängeln auf Fotos). Diese Klassifikationen sind Vorschläge und werden von den Nutzern stets bestätigt oder bearbeitet. Eine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO findet nicht statt.

11. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten gegen unbefugten Zugriff, Verlust oder Manipulation zu schützen. Hierzu zählen insbesondere:

  • Transportverschlüsselung (TLS 1.2 oder höher) für sämtliche API- und Server-Kommunikation
  • Row-Level-Security auf allen personenbezogenen Datentabellen (Zugriff nur innerhalb der eigenen Organisation)
  • Rollenbasiertes Rechtemodell (Bauleiter, Auftraggeber, Auftragnehmer, Admin, Viewer)
  • Passwörter ausschließlich als gehashte Werte (bcrypt)
  • Regelmäßige Backups mit begrenzter Aufbewahrungszeit
  • Getrennte Zugangssysteme für Produktiv- und Testdaten

Die lokale Zwischenspeicherung auf dem Endgerät (siehe Abschnitt 4.6) ist unverschlüsselt und vertraut auf die Sandbox- und PIN-/Biometrie-Schutzmechanismen des Betriebssystems. Achten Sie darauf, Ihr Gerät mit einer Gerätesperre zu schützen und die App nach Gebrauch zu verlassen.

12. Kinder und Minderjährige

Die App richtet sich ausschließlich an gewerbliche Nutzer und nicht an Minderjährige. Eine Nutzung durch Personen unter 18 Jahren ist nicht vorgesehen.

13. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich rechtliche Anforderungen oder unsere Datenverarbeitungspraxis ändern. Die jeweils aktuelle Fassung ist in der App und auf unserer Website abrufbar. Über wesentliche Änderungen informieren wir registrierte Nutzer per E-Mail.