Datenschutzerklärung

Stand: 17. März 2026 · Version 2026-03-17-v3

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

hy four UG (haftungsbeschränkt)
Kläre-Kluge-Weg 10
65307 Bad Schwalbach
Deutschland

Geschäftsführer: Tobias Delvo
E-Mail: datenschutz@baukraft.co

2. Erhobene Daten und Zweck der Verarbeitung

Bei der Nutzung von Baukraft Go verarbeiten wir folgende personenbezogene Daten:

  • Accountdaten: Name, E-Mail-Adresse, Firmenname – zur Bereitstellung des Dienstes und Vertragsverwaltung (Art. 6 Abs. 1 lit. b DSGVO)
  • Nutzungsdaten: Baudokumentationen, Berichte, Fotos, Sprachnachrichten, Baustellendaten – zur Erfüllung des Vertrags (Art. 6 Abs. 1 lit. b DSGVO)
  • Signaturdaten: Digitale Unterschriften (Freihand-Zeichnungen / Signaturbilder), Name des Unterzeichners, Zeitstempel und IP-Adresse bei Signaturvorgang – zur Dokumentation und Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
  • Kommunikationsdaten: Telefonnummern und Nachrichten der Reporter im Rahmen der WhatsApp- oder Telegram-Kommunikation – auf Basis der Einwilligung bzw. Vertragserfüllung
  • Zahlungsdaten: Werden über Stripe verarbeitet; wir speichern keine vollständigen Kreditkartendaten.
  • Sprachdaten: Sprachnachrichten von Reportern werden zur KI-gestützten Transkription verarbeitet und danach nicht dauerhaft beim Dienstleister gespeichert.
  • Technische Daten: IP-Adressen, Log-Daten – zur Sicherstellung des Betriebs und Sicherheitsauswertung (Art. 6 Abs. 1 lit. f DSGVO)

3. Auftragsverarbeiter und eingesetzte Drittanbieter

Wir setzen folgende Auftragsverarbeiter und Drittanbieter ein, mit denen jeweils ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen wurde bzw. die über EU-Standardvertragsklauseln (SCC) oder einen angemessenen Schutzmechanismus abgesichert sind:

Microsoft Azure – Hosting & Infrastruktur

Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland

  • Zweck: Hosting der Applikation und Infrastrukturkomponenten
  • Datenstandort: Germany West Central (Frankfurt am Main, Deutschland)
  • Schutzmaßnahme: Auftragsverarbeitungsvertrag; Daten verbleiben innerhalb der EU
  • Datenschutzinfo: privacy.microsoft.com

Microsoft Azure AI Foundry – KI-Funktionen / LLM

Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland

  • Zweck: KI-gestützte Auswertungen, Berichtserstellung und Sprachverarbeitung (Large Language Models)
  • Datenstandort: Sweden Central (Stockholm, Schweden) – EU Data Boundary; Routing und Datenresidenz ausschließlich innerhalb der EU
  • Schutzmaßnahme: EU Data Boundary-Programm von Microsoft; AVV; Daten verlassen die EU nicht
  • Datenschutzinfo: privacy.microsoft.com

Supabase – Datenbank, Authentifizierung & Dateispeicher

Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992 (Serverstandort: Frankfurt, Deutschland)

  • Zweck: Speicherung aller Anwendungsdaten, Nutzerverwaltung / Authentifizierung, Datei- und Medienablage
  • Datenstandort: EU Central (Frankfurt am Main, Deutschland – AWS eu-central-1)
  • Schutzmaßnahme: AVV abgeschlossen; Daten verbleiben innerhalb der EU
  • Datenschutzinfo: supabase.com/privacy

Meta Cloud API – WhatsApp-Kommunikation

Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland

  • Zweck: Übermittlung von Nachrichten und Sprachaufnahmen zwischen Baustellenreportern und der Plattform über WhatsApp
  • Verarbeitete Daten: Telefonnummern, Nachrichteninhalte, Medien (Fotos, Sprachnachrichten)
  • Schutzmaßnahme: EU-Standardvertragsklauseln (SCC); die Verarbeitung setzt die ausdrückliche Einwilligung der Nutzer voraus
  • Datenschutzinfo: whatsapp.com/legal/privacy-policy

Telegram – Alternative Kommunikation

Telegram Messenger Inc. / Telegram FZ-LLC, Dubai, Vereinigte Arabische Emirate

  • Zweck: Optionaler alternativer Kommunikationskanal für Baustellenreporter
  • Verarbeitete Daten: Telefonnummern oder Telegram-Nutzernamen, Nachrichteninhalte, Medien
  • Schutzmaßnahme: Einwilligung des Nutzers erforderlich; Drittlandtransfer auf Basis von SCC oder Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO
  • Datenschutzinfo: telegram.org/privacy

Stripe – Zahlungsabwicklung

Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland

  • Zweck: Abrechnung und Zahlungsabwicklung für Abonnements
  • Verarbeitete Daten: Name, E-Mail, Rechnungsadresse, Zahlungsdaten (Kreditkarte / SEPA) – wir speichern keine vollständigen Zahlungsdaten
  • Schutzmaßnahme: AVV; teilweise Drittlandtransfer auf Basis von SCC (US-Muttergesellschaft Stripe, Inc.)
  • Datenschutzinfo: stripe.com/de/privacy

Scaleway – KI-Sprachtranskription (Whisper)

Scaleway SAS, 8 rue de la Ville l'Evêque, 75008 Paris, Frankreich

  • Zweck: Automatische Transkription von Sprachnachrichten mittels OpenAI Whisper (Speech-to-Text)
  • Verarbeitete Daten: Sprachaudiodaten (zeitlich begrenzt für die Dauer der Transkription)
  • Datenstandort: Frankreich (EU); Daten werden nach Abschluss der Verarbeitung nicht dauerhaft gespeichert
  • Schutzmaßnahme: AVV; Daten verbleiben innerhalb der EU
  • Datenschutzinfo: scaleway.com/privacy-policy

4. Drittlandtransfers

Personenbezogene Daten werden grundsätzlich innerhalb der EU/des EWR verarbeitet. Soweit einzelne Dienstleister (Stripe, Telegram, Meta) Daten in Drittländer (insb. USA, VAE) übertragen, erfolgt dies auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO oder – sofern keine SCC vorliegen – auf Basis Ihrer ausdrücklichen Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO. Auf Anfrage stellen wir Ihnen Kopien der abgeschlossenen Standardvertragsklauseln zur Verfügung.

5. KI-Verarbeitung und automatisierte Entscheidungsfindung

5.1 Die Plattform nutzt KI-Modelle (Large Language Models, Speech-to-Text) zur automatischen Berichtserstellung, Sprachtranskription, Zusammenfassung und Klassifizierung von Baustellendaten. Die Verarbeitung erfolgt auf Grundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die eingesetzten Dienstleister sind in Abschnitt 3 aufgeführt; die Datenverarbeitung erfolgt ausschließlich innerhalb der EU.

5.2 Es findet keine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die gegenüber Betroffenen rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. KI-generierte Inhalte sind Entwürfe und Vorschläge; die finale Entscheidung über deren Verwendung trifft stets der Nutzer.

6. Externe Unterzeichner und Messenger-Nutzer (Reporter)

Neben registrierten Nutzern der Web-Plattform verarbeiten wir personenbezogene Daten folgender weiterer Personengruppen:

6.1 Baustellenreporter (Messenger-Registrierung)

Personen, die sich über WhatsApp oder Telegram als Baustellenreporter registrieren, werden im Rahmen der Registrierung um ihre ausdrückliche Zustimmung zu diesen Datenschutzbestimmungen und den AGB gebeten. Folgende Daten werden erhoben:

  • Telefonnummer (verschlüsselt gespeichert, nur letzte 4 Ziffern im Klartext)
  • Name, Gewerk, bevorzugte Sprache
  • Messenger-Anbieter und Chat-ID
  • Eingesendete Nachrichten, Fotos und Sprachnachrichten im Rahmen der Baudokumentation

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sowie Vertragserfüllung gegenüber dem Bauunternehmen (Art. 6 Abs. 1 lit. b DSGVO).

6.2 Externe Unterzeichner (Signatur-Portal)

Dritte, die über einen Signatur-Link oder das Unterschriften-Portal Dokumente unterzeichnen, geben folgende Daten an, die zum Zweck der Beweissicherung und Dokumentation gespeichert werden:

  • Name des Unterzeichners
  • Freihand-Unterschrift (Signaturbild)
  • Ort der Unterzeichnung (ggf. GPS-Koordinaten, sofern freigegeben)
  • IP-Adresse und Zeitstempel

Rechtsgrundlage: Berechtigtes Interesse an der Beweissicherung und Dokumentation des Signaturvorgangs (Art. 6 Abs. 1 lit. f DSGVO). Der Unterzeichner wird vor dem Signaturvorgang auf diese Datenschutzerklärung hingewiesen.

Zur Ausübung Ihrer Betroffenenrechte als externer Unterzeichner wenden Sie sich bitte an: datenschutz@baukraft.co

7. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Buchhaltungsrelevante Daten werden gemäß § 257 HGB für 10 Jahre aufbewahrt. Sprachaufnahmen, die zur Transkription übermittelt werden, werden beim Auftragsverarbeiter nicht dauerhaft gespeichert.

8. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)
  • Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerderecht bei der zuständigen Aufsichtsbehörde

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@baukraft.co

9. Cookies und lokale Speicherung

Wir setzen ausschließlich technisch notwendige Cookies und Local-Storage-Einträge zur Aufrechterhaltung der Sitzung und für Benutzereinstellungen (z. B. Dark Mode) ein. Es werden keine Tracking-, Analyse- oder Marketing-Cookies verwendet.

10. Webanalyse mit Plausible Analytics

Wir nutzen Plausible Analytics (Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland) zur anonymisierten Analyse der Nutzung unserer Anwendung. Plausible Analytics arbeitet ohne Cookies und speichert keine personenbezogenen Daten auf Ihrem Endgerät. Es werden keine IP-Adressen dauerhaft gespeichert und keine geräteübergreifenden Profile erstellt. Die erhobenen Daten (z. B. aufgerufene Seiten, Land des Zugriffs, verwendeter Browser) werden vollständig anonymisiert und dienen ausschließlich der statistischen Auswertung unseres Angebots.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots). Da Plausible ohne Cookies und ohne Speicherung personenbezogener Daten arbeitet, ist kein Cookie-Banner erforderlich. Weitere Informationen zum Datenschutz bei Plausible finden Sie unter plausible.io/privacy.

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die aktuelle Version ist jederzeit unter app.baukraft-go.de/legal/privacy abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer über das System informiert und zur erneuten Zustimmung aufgefordert.

Version 2026-03-17-v3 · Stand: März 2026

Meta Pixel und Conversions API (Facebook/Instagram)

Auf unserer Website setzen wir das Meta Pixel sowie die Meta Conversions API ein – Analysewerkzeuge der Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland (nachfolgend „Meta").

Zweck der Verarbeitung

Das Meta Pixel und die Conversions API ermöglichen uns, das Verhalten von Besuchern auf unserer Website zu messen und die Wirksamkeit unserer Werbeanzeigen auf Facebook und Instagram zu analysieren. Wir können damit Zielgruppen für Retargeting-Kampagnen aufbauen und Kampagnen auf Basis von Conversion-Daten optimieren.

Verarbeitete Daten

Folgende Daten werden – nach Erteilung deiner Einwilligung – verarbeitet:

  • Browser-Informationen (User Agent, IP-Adresse in anonymisierter Form)
  • Cookie-IDs (_fbp, _fbc) zur Browser-Identifikation
  • Besuchte Seiten-URLs und ausgeführte Aktionen (z. B. Seitenaufruf, Formularabsendung, Terminbuchung)
  • Klick-IDs aus Meta-Anzeigen (fbclid), sofern du über eine Anzeige auf unsere Seite gelangt bist

Meta Pixel: Client-seitige Erfassung

Das Meta Pixel ist ein JavaScript-Code-Schnipsel, der in deinem Browser läuft und setzt die Cookies _fbp (Browser-ID, 90 Tage) sowie ggf. _fbc (Click-ID, 90 Tage). Das Pixel wird nur geladen und aktiviert, nachdem du aktiv in die Nutzung von Marketing-Cookies eingewilligt hast.

Meta Conversions API: Server-seitige Erfassung

Zusätzlich zum Pixel nutzen wir die Conversions API, um Conversion-Events direkt von unserem Server an Meta zu übermitteln. Dadurch werden Ereignisse auch dann erfasst, wenn der Browser das Pixel blockiert (z. B. durch Ad-Blocker). Die server-seitige Übermittlung erfolgt ebenfalls nur nach deiner Einwilligung. Übermittelte Daten umfassen: anonymisierte IP-Adresse, User Agent, Cookie-IDs sowie Ereignisname und Zeitstempel.

Gespeicherte Cookies

Cookie Domain Zweck Laufzeit
_fbp .baukraft-go.de Meta Browser-ID zur Nutzeridentifikation über Meta-Dienste 90 Tage
_fbc .baukraft-go.de Speichert die Meta Klick-ID (fbclid) bei Anzeigen-Klick 90 Tage

Rechtsgrundlage

Die Datenverarbeitung erfolgt auf Grundlage deiner Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem du die Cookie-Einstellungen über den Button „Einstellungen" am unteren Bildschirmrand aufrufst. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Drittlandübermittlung

Meta Platforms Ireland Ltd. kann Daten in die USA übermitteln. Grundlage für Drittlandübermittlungen ist das EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023), dem Meta Platforms, Inc. beigetreten ist.

Weitere Informationen

Weitere Informationen zur Datenverarbeitung durch Meta findest du in der Datenschutzrichtlinie von Meta sowie in den Meta Business Tools Nutzungsbedingungen .

Google Ads (gtag.js) und Consent Mode

Für die Messung von Werbeanzeigen und Conversion-Tracking nutzen wir Google Ads (Conversion-Tag) über das Google Tag (gtag.js). Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Wir setzen den Google Consent Mode v2 ein: Speicherung von Werbe- und Analyse-Daten (z. B. ad_storage, analytics_storage) erfolgt erst, nachdem du in den Cookie-Einstellungen der jeweiligen Kategorie (Marketing bzw. Analyse) zugestimmt hast. Ohne Einwilligung werden entsprechende Daten nicht gespeichert bzw. verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Weitere Informationen: Google-Datenschutzerklärung .

Zurück zur Startseite