Datenschutzerklärung

Zuletzt aktualisiert: Mai 2026

1. Verantwortlicher

2. Allgemeines zur Datenverarbeitung

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst und behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Die Nutzung unserer Webseite ist in der Regel ohne Angabe personenbezogener Daten möglich. Soweit auf unseren Seiten personenbezogene Daten (beispielsweise Name, Anschrift oder E-Mail-Adressen) erhoben werden, erfolgt dies stets auf freiwilliger Basis und so weit wie möglich nur mit Ihrer ausdrücklichen Einwilligung.

3. Welche Daten wir verarbeiten

3.1 Registrierungsdaten

Bei der Registrierung für BauLot erheben wir folgende Daten:

• Name und E-Mail-Adresse
• Passwort (verschlüsselt gespeichert, bcrypt)
• Zeitstempel der Registrierung und des letzten Logins

3.2 Projektdaten

Im Rahmen der Nutzung von BauLot verarbeiten wir von Ihnen eingegebene Daten:

• Projektinformationen (Name, Adresse, Budget, Zeitplan)
• Kostenpositionen und Finanzdaten
• Handwerkerdaten (Name, Kontakt, Angebote)
• Mängel, Bautagebuch-Einträge, Kommunikationsprotokolle
• Hochgeladene Dokumente und Fotos

3.3 Team-Einladungen

Wenn Sie andere Personen in Ihr BauLot-Team einladen, speichern wir die E-Mail-Adresse der eingeladenen Person sowie einen temporären Einladungstoken. Diese Daten werden verwendet, um die Einladung zuzustellen und die Kontoerstellung zu ermöglichen.

Nicht angenommene Einladungen werden nach 7 Tagen automatisch ungültig. Die gespeicherten Daten (E-Mail + Token) werden bei Ablauf oder Widerruf der Einladung gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung der Team-Funktion).

3.4 Technische Daten

Bei jedem Zugriff auf unsere Website werden automatisch folgende Daten erhoben:

• IP-Adresse (anonymisiert nach Session-Ende)
• Datum und Uhrzeit des Zugriffs
• Browser-Typ und -Version
• Session-ID (technisch notwendig)

Zur Absicherung gegen Missbrauch (z. B. Brute-Force-Angriffe auf den Login) werden IP-Adressen temporär im Arbeitsspeicher des Servers gespeichert. Diese Daten werden nach 15 Minuten automatisch gelöscht und nicht dauerhaft protokolliert.

3.5 KI-Anfragen

Wenn Sie KI-Funktionen nutzen (Mängelrüge-Generator, LV-Generator, Dokumentenanalyse etc.), werden Ihre Eingaben an Anthropic (Claude API) oder OpenRouter übermittelt. Diese Anbieter werden als Auftragsverarbeiter gemäß Art. 28 DSGVO eingesetzt. Ihre Daten werden nicht für KI-Training verwendet.

KI-Dokumentenanalyse (Import-Funktion): Wenn Sie Dokumente (Angebote, Rechnungen, Verträge) über die Import-Funktion hochladen, wird der Inhalt dieser Dokumente zur Analyse an die KI-API übermittelt. Bitte laden Sie keine Dokumente hoch, die sensible Daten Dritter enthalten, die nicht für die Verarbeitung bestimmt sind.

KI-Nutzungsprotokoll: Wir speichern anonymisierte Protokolle Ihrer KI-Nutzung (Anzahl und Art der KI-Anfragen, ohne Inhalte) zur Abrechnung der Plan-Limits und zur Missbrauchserkennung. Diese Daten werden am Ende des jeweiligen Kalendermonats aggregiert und nach 12 Monaten gelöscht.

4. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer Daten erfolgt auf Basis folgender Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Verarbeitung zur Bereitstellung des BauLot-Dienstes
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: bei optionalen Diensten und Marketing
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen: Sicherheit, Missbrauchsschutz, technischer Betrieb
• Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: steuerliche Aufbewahrungspflichten

5. Hosting und technische Infrastruktur

Der Einsatz von Netcup erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer möglichst zuverlässigen Darstellung unseres Dienstes.

6. Zahlungsabwicklung (Stripe)

Für die Abonnement-Abwicklung nutzen wir Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland).

Bei Zahlungen werden Ihre Zahlungsdaten direkt an Stripe übermittelt und dort verarbeitet. Wir erhalten lediglich eine Zahlungsbestätigung. Stripe ist nach dem EU-US Data Privacy Framework zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Datenschutzerklärung Stripe: stripe.com/de/privacy

7. Cookies und Session

BauLot verwendet ausschließlich technisch notwendige Cookies:

• Session-Cookie (PHPSESSID): Hält Ihre Anmeldesitzung aufrecht. Wird beim Schließen des Browsers oder nach Ablauf der Session-Zeit gelöscht. Keine Tracking-Funktion.
• Darstellungseinstellung (localStorage): Ihre Hell/Dunkel-Einstellung wird ausschließlich lokal in Ihrem Browser gespeichert (Web Storage / localStorage). Diese Daten verlassen Ihren Browser nicht und werden nicht an unsere Server übertragen. Sie können diese Einstellung jederzeit über die Browser-Einstellungen löschen.

Wir setzen keine Tracking-, Analyse- oder Werbe-Cookies ein. Kein Google Analytics, kein Facebook Pixel, keine Social-Media-Tracker.

8. Datenweitergabe an Dritte

Ihre Daten werden nicht an Dritte verkauft oder für Werbezwecke weitergegeben. Eine Übermittlung erfolgt nur in folgenden Fällen:

• Auftragsverarbeiter (Netcup GmbH als Hosting-Anbieter)
• KI-Dienstleister (siehe unten) bei aktiver Nutzung von KI-Funktionen
• Zahlungsdienstleister (Stripe) bei Abonnement-Abschluss
• Gesetzliche Verpflichtung (z. B. behördliche Anfrage)

KI-Dienstleister

Für KI-Funktionen (Mängelrüge-Generator, LV-Generator, Dokumentenanalyse etc.) werden Eingabedaten an folgende Auftragsverarbeiter übermittelt:

• Anthropic, PBC, 548 Market St, San Francisco, CA 94104, USA – Claude API. Datentransfer in die USA auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Anthropic ist nach dem EU-US Data Privacy Framework zertifiziert. Anthropic verwendet Ihre Daten nicht für KI-Training (API-Nutzungsbedingungen). Datenschutz Anthropic
• OpenRouter Inc., San Francisco, CA, USA – KI-Routing-Dienst (optional, je nach gewähltem Modell). Datentransfer in die USA auf Basis der EU-Standardvertragsklauseln. Datenschutz OpenRouter

Es werden ausschließlich die für die jeweilige KI-Funktion notwendigen Daten übermittelt (z. B. Mangeltext, Dokumentinhalt). Keine Übermittlung von Passwörtern, Zahlungsdaten oder vollständigen Nutzerprofilen.

9. Speicherdauer

Wir speichern Ihre Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:

• Account-Daten: Für die Dauer des Vertragsverhältnisses. Nach Kündigung werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Rechnungsdaten: 10 Jahre (§ 147 AO, § 257 HGB)
• Zugriffslogs: 7 Tage (Sicherheit, dann automatische Löschung)
• Session-Daten: Werden nach 12 Stunden Inaktivität automatisch gelöscht

10. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO): Welche Daten wir über Sie gespeichert haben
• Berichtigungsrecht (Art. 16 DSGVO): Korrektur unrichtiger Daten
• Löschungsrecht (Art. 17 DSGVO): Sie können Ihr Konto und alle zugehörigen Daten jederzeit selbst löschen unter Einstellungen → Datenschutz → Konto löschen. Die Löschung umfasst alle Projekte, Dokumente, Bautagebuch-Einträge und persönlichen Daten. Ausgenommen sind gesetzliche Aufbewahrungspflichten (z. B. Rechnungsdaten 10 Jahre).
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können alle Ihre gespeicherten Daten jederzeit als JSON-Datei exportieren unter Einstellungen → Datenschutz → Daten herunterladen. Der Export enthält: Kontodaten, Projekte, Firmen, Bauhelfer, Bautagebuch, Dokument-Metadaten und KI-Nutzungsprotokoll.
• Widerspruchsrecht (Art. 21 DSGVO): gegen Verarbeitung auf Basis berechtigter Interessen
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): jederzeit mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte wenden Sie sich an: [email protected]

11. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständig für Thomas Schütz IT Beratung (Bayern) ist:

12. Datensicherheit

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine TLS/SSL-Verschlüsselung (HTTPS). Passworte werden mit bcrypt gehasht und niemals im Klartext gespeichert. Zugriff auf Ihre Daten ist nur nach Authentifizierung möglich.

CSRF-Schutz ist für alle schreibenden Operationen aktiv. Die Anwendung läuft ohne externe Tracking-Bibliotheken.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.