Datenschutzerklärung

1. Verantwortlicher

2. Welche Daten wir erheben und warum

2.1 Websitebesuch / Server-Logs

Beim Aufruf unserer Website speichert unser Hosting-Anbieter (Vercel Inc., 340 Pine Street, San Francisco, CA 94104, USA) automatisch Informationen in sogenannten Server-Log-Dateien, die dein Browser übermittelt: IP-Adresse, Browsertyp und -version, Betriebssystem, Referrer-URL, Datum und Uhrzeit der Anfrage. Die IP-Adresse kann einen Personenbezug aufweisen; wir führen diese Daten nicht mit anderen Quellen zusammen, um deine Person zu bestimmen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).

Zum Schutz vor Missbrauch (Spam, automatisierte Massenanfragen) drosseln wir bestimmte Funktionen (KI-Analyse, Kündigungsformular, Preisabfrage) pro Absender. Dafür speichern wir kurzzeitig einen pseudonymisierten Wert deiner IP-Adresse (gesalzener SHA-256-Hash, keine Klartext-IP) zusammen mit einem Zeitfenster-Zähler. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Verfügbarkeit des Dienstes).

2.2 Hochgeladene Angebotsdokumente

Wenn du ein Handwerkerangebot hochlädst oder fotografierst, wird der Inhalt des Dokuments (als Base64-kodiertes Bild oder PDF) zur Analyse an Anthropic PBC (San Francisco, USA) übermittelt. Dieser Dokumentinhalt kann personenbezogene Daten enthalten — etwa deinen Namen und deine Anschrift als Angebotsempfänger sowie Namen und Kontaktdaten des ausführenden Betriebs. Die Übertragung erfolgt TLS-verschlüsselt. Anthropic verarbeitet die Daten als Auftragsverarbeiter ausschließlich nach unseren Weisungen, gemäß seiner Datenschutzrichtlinie, und nutzt API-Inhalte nicht zum Training seiner Modelle.

Soweit das Dokument Daten Dritter (z. B. des ausführenden Betriebs) enthält, stützt sich die Verarbeitung auf Art. 6 Abs. 1 lit. b und lit. f DSGVO; eine gesonderte Information dieser Dritten ist nach Art. 14 Abs. 5 DSGVO regelmäßig nicht möglich bzw. unverhältnismäßig. Die Übermittlung an Anthropic in die USA stützt sich auf die EU-Standardvertragsklauseln (Modul 2, Verantwortlicher–Auftragsverarbeiter) gemäß Art. 46 Abs. 2 lit. c DSGVO, die Bestandteil des Auftragsverarbeitungsvertrags sind; die Risiken des Transfers wurden im Rahmen einer Transfer-Folgenabschätzung bewertet.

Das hochgeladene Originaldokument (PDF/Bild) speichern wir nicht dauerhaft; es wird ausschließlich für die Dauer der Analyse im Arbeitsspeicher gehalten und danach verworfen.

Das strukturierte Analyseergebnis (z. B. erkannte Positionen, Preise, Anbieterangaben sowie die Befunde) speichern wir hingegen deinem Nutzerkonto zugeordnet in unserer Datenbank (Supabase, EU-Region). Das ist erforderlich, um dir das Ergebnis nach der Freischaltung dauerhaft bereitzustellen und einen Vergleich mehrerer Angebote zu ermöglichen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Nutzung des Dienstes).

2.3 Nutzerkonto und Zahlung

Zur Nutzung der App legst du ein Konto mit E-Mail-Adresse und Passwort an. Anmeldung und Speicherung erfolgen über Supabase (Datenbank in der EU-Region Frankfurt; Anbieter: Supabase Inc., USA); das Passwort wird nur als Hashwert gespeichert. Es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; für etwaige Zugriffe aus den USA gelten die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Schaltest du ein Ergebnis kostenpflichtig frei, wickelt unser Zahlungsdienstleister Stripe (Stripe Payments Europe, Ltd., Dublin, Irland) die Zahlung ab. Wir speichern zu jedem Kauf den Betrag, die Art der Freischaltung, den Status sowie die von Stripe vergebenen Vorgangs-Kennungen — keine vollständigen Zahlungsdaten (Kartennummer o. Ä.). Diese verbleiben bei Stripe. Stripe kann Daten an die Stripe, Inc. (USA) übermitteln; dies stützt sich auf die EU-Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Nutzt du ein Team-Abo, speichern wir die Zuordnung der beteiligten Logins zu deiner Organisation sowie das gemeinsame Prüfkontingent. Lädst du weitere Personen per E-Mail ein, speichern wir die eingeladene E-Mail-Adresse, bis die Einladung angenommen oder zurückgezogen wird. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO (Vertragserfüllung, Verwaltung des Team-Zugangs).

2.4 Newsletter (optional)

Sofern du dich gesondert für unseren Newsletter anmeldest, verarbeiten wir die dabei angegebenen Daten (Name, E-Mail, Gewerk) auf Grundlage deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und im Double-Opt-In-Verfahren: Du erhältst zunächst eine Bestätigungsmail; erst nach Klick auf den Bestätigungslink nehmen wir dich in den Verteiler auf. Du kannst dich jederzeit über den Abmeldelink in jeder Newsletter-Mail wieder abmelden.

Für den Versand der Bestätigungs- und Newsletter-Mails sowie die Verwaltung der Empfängerliste nutzen wir Brevo (Sendinblue GmbH, Köln, Deutschland). Brevo verarbeitet die genannten Daten als Auftragsverarbeiter nach unseren Weisungen (Vertrag nach Art. 28 DSGVO); die Verarbeitung und Speicherung erfolgt auf Servern innerhalb der EU.

Zur internen Bearbeitung deiner Anfrage speichern wir die Anmeldedaten zusätzlich in einer administrativen Anfragen-/Lead-Übersicht (inkl. Zeitpunkt der Einwilligung als Nachweis). Diese Übersicht wird vom selben Verantwortlichen geführt und liegt in der EU (Supabase, Frankfurt); eine Weitergabe an Dritte erfolgt nicht. Rechtsgrundlage: deine Einwilligung (Art. 6 Abs. 1 lit. a) bzw. unser berechtigtes Interesse an der ordnungsgemäßen Bearbeitung (Art. 6 Abs. 1 lit. f DSGVO).

2.5 Cookies und lokaler Speicher

Wir setzen ausschließlich technisch notwendige Mittel ein: einen Session-Cookie für die Anmeldung (Supabase Auth), ohne den ein Login nicht möglich ist, sowie den lokalen Browser-Speicher (localStorage / sessionStorage) für die Kennung deines aktuellen Prüfvorgangs und deine Einstellung zur anonymen Preisstatistik. Diese sind für den Betrieb des Dienstes erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG) und benötigen keine Einwilligung. Tracking- oder Marketing-Cookies setzen wir nicht; ein Cookie-Banner ist daher nicht erforderlich. Die genannten Angaben verlassen nicht deinen Browser.

2.6 Kündigungserklärungen

Über die gesetzliche Kündigungsschaltfläche (§ 312k BGB) kannst du — auch ohne Anmeldung — eine Kündigung erklären. Dabei verarbeiten wir die von dir angegebenen Daten (Name, E-Mail-Adresse, Art der Kündigung, optional Grund, Vertrags-/Kundennummer und gewünschter Zeitpunkt), um die Kündigung zu bearbeiten und zu bestätigen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsbeendigung) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung der gesetzlichen Pflicht aus § 312k BGB). Diese Daten bewahren wir im Rahmen der gesetzlichen Aufbewahrungsfristen auf und löschen sie anschließend.

3. Drittanbieter und Datenübermittlung in Drittländer

Folgende Dienstleister verarbeiten Daten in unserem Auftrag oder im Rahmen unseres Angebots:

• Vercel Inc. (Hosting, USA) — Standard Contractual Clauses (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
• Anthropic PBC (KI-Analyse, USA) — Auftragsverarbeitung; EU-SCC (Modul 2) nach Art. 46 Abs. 2 lit. c DSGVO; keine Speicherung von Dokumenten nach der Anfrage, kein Training mit API-Inhalten.
• Supabase Inc.(Datenbank & Anmeldung, EU-Region Frankfurt; Anbieter USA) — DPA nach Art. 28 DSGVO; EU-SCC für etwaige US-Zugriffe.
• Stripe Payments Europe, Ltd. (Zahlungsabwicklung, Dublin/Irland) — Zahlungsdienstleister; mögliche Übermittlung an Stripe, Inc. (USA) auf Basis der EU-SCC.
• Sendinblue GmbH (Brevo)(E-Mail-Versand & Newsletter, Köln, Deutschland) — Auftragsverarbeitung nach Art. 28 DSGVO; Verarbeitung innerhalb der EU.

4. Deine Rechte

Du hast gemäß DSGVO folgende Rechte:

• Auskunft (Art. 15) über die über dich gespeicherten Daten
• Berichtigung (Art. 16) unrichtiger Daten
• Löschung (Art. 17) — „Recht auf Vergessenwerden“
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruch (Art. 21) gegen die Verarbeitung auf Basis berechtigter Interessen
• Widerruf einer Einwilligung jederzeit mit Wirkung für die Zukunft

Wende dich dafür an: jan.rasmussen@outlook.de

Beschwerderecht: Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns zuständig ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI).

5. Speicherdauer

• Server-Logs: kurzfristig (durch den Hosting-Anbieter), danach gelöscht bzw. anonymisiert.
• Rate-Limit-Daten (pseudonymisierter IP-Hash + Zähler): automatisch nach kurzer Zeit gelöscht (Vorhaltung nur für das jeweils aktuelle Zeitfenster).
• Kundenkonto und zugeordnete Analyseergebnisse: bis zur Löschung des Kontos.
• Newsletter-Daten: bis zum Widerruf der Einwilligung. Nicht bestätigte Anmeldungen (kein abgeschlossenes Double-Opt-In) löschen wir spätestens nach 30 Tagen.
• Zahlungs-/Rechnungsdaten: nach gesetzlichen Aufbewahrungsfristen (steuer- und handelsrechtlich, i. d. R. 8–10 Jahre).
• Hochgeladene Dokumente: nicht dauerhaft gespeichert (nur während der Analyse).

6. Datensicherheit

Unsere Website nutzt HTTPS-Verschlüsselung (TLS). Alle Datenübertragungen zwischen deinem Browser, unserem Server und den eingesetzten Drittdiensten erfolgen verschlüsselt.

7. Anonyme Preisstatistik

Die hochgeladenen Originaldokumente werden nicht auf unseren Servern abgelegt (siehe 2.2). Um Nutzern eine regionale Preisorientierung zu geben, erheben wir aus geprüften Angeboten ausschließlich anonyme, nicht personenbeziehbare Datenpunkte: das Gewerk, die normalisierte Leistung, die Einheit, den Netto-Preis sowie eine grobe Region (nur die ersten zwei Stellen der Postleitzahl). Es werden keine Namen, Adressen, Kontaktdaten oder Dokumente übertragen; ein Rückschluss auf einzelne Personen oder konkrete Angebote ist ausgeschlossen. Diese Aggregatdaten dienen der Berechnung von Preis-Medianen je Leistung und Region. Du kannst der Beitragung jederzeit in der App widersprechen (Schalter „nicht beitragen“). Rechtsgrundlage ist unser berechtigtes Interesse an einer aussagekräftigen Preisreferenz (Art. 6 Abs. 1 lit. f DSGVO); aufgrund der Anonymisierung liegt regelmäßig kein Personenbezug vor.

8. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Anforderungen oder unser Angebot ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.