Datenschutz
Stand: Juni 2026
Datenschutzerklärung
für die Inhalte und Funktionen der Software „baugenic“ (nachfolgend „Services“)
Stand: Juni 2026
Einleitung
Datenschutzerklärungen sind oft schwer zu lesen. Das verstehen wir. Wir möchten Dir mit dieser Datenschutzerklärung möglichst verständlich erklären, in welcher Weise wir personenbezogene Daten im Zusammenhang mit der Software „baugenic“ verarbeiten. Die Erklärung ist nach Themenbereichen gegliedert und zeigt Dir, welche Daten wir zu welchen Zwecken verarbeiten, auf welcher Rechtsgrundlage dies erfolgt und welche Rechte Dir zustehen.
Inhaltsverzeichnis
- Allgemeines
- Allgemeine Informationen zur Datenverarbeitung
- Betroffenenrechte
- Speicherung von Informationen auf Deinem Endgerät, Cookies, Tokens und Kurzlinks
- Datenverarbeitung im Zusammenhang mit der Nutzung unserer Services
- Kommunikation und transaktionale E-Mails
- Hosting und technische Bereitstellung unserer Services
- Zahlungs- und Abrechnungsdaten
1. Allgemeines
Der Schutz Deiner personenbezogenen Daten und Deiner Privatsphäre ist uns wichtig. Deshalb möchten wir Dir Transparenz bezüglich der Verarbeitung Deiner personenbezogenen Daten nach der Datenschutz-Grundverordnung („DSGVO“) sowie bezüglich der Speicherung von Informationen auf Deinem Endgerät nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz („TDDDG“) bieten.
Diese Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten im Zusammenhang mit der Nutzung unserer Services, insbesondere für Registrierung, Login, Nutzung der Software, Kommunikation, technische Bereitstellung, transaktionale E-Mails und Abrechnung. Soweit wir auf diese Datenschutzerklärung verweisen, gilt sie außerdem für externe Onlinepräsenzen von baugenic.
Wichtig: Soweit Kunden von baugenic eigene Inhalte, Unterlagen, Bau- oder Projektdaten in die Services hochladen und dabei personenbezogene Daten Dritter verarbeitet werden, verarbeitet baugenic diese Daten regelmäßig als Auftragsverarbeiter des jeweiligen Kunden. Einzelheiten hierzu ergeben sich aus dem mit dem Kunden geschlossenen Auftragsverarbeitungsvertrag („AVV“). Diese Datenschutzerklärung beschreibt vorrangig die Verarbeitungen, für die baugenic selbst Verantwortlicher ist.
Verantwortlicher im Sinne der DSGVO, des BDSG und sonstiger datenschutzrechtlicher Vorgaben ist:
baugenic GmbH
Planckstraße 26
26810 Westoverledingen
E-Mail: info@baugenic.de
+49 4955 183 3399
Im Folgenden „Verantwortlicher“ oder „wir“ genannt.
2. Allgemeine Informationen zur Datenverarbeitung
2.1 Verarbeitung personenbezogener Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören zum Beispiel Name, Kontaktdaten, Nutzerkennungen, IP-Adressen, Vertragsdaten, Kommunikationsinhalte oder Inhalte von Dokumenten, sofern sie einen Personenbezug enthalten.
Das „Verarbeiten“ personenbezogener Daten umfasst insbesondere das Erheben, Speichern, Auslesen, Abfragen, Verwenden, Übermitteln, Offenlegen, Abgleichen, Verknüpfen, Einschränken und Löschen von Daten.
2.2 Rechtsgrundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten nur innerhalb der rechtlich zulässigen Grenzen. Insbesondere kommen folgende Rechtsgrundlagen in Betracht:
Einwilligung, Art. 6 Abs. 1 lit. a DSGVO: Eine Verarbeitung erfolgt, wenn Du zuvor informiert eingewilligt hast.
Vertragserfüllung oder vorvertragliche Maßnahmen, Art. 6 Abs. 1 lit. b DSGVO: Eine Verarbeitung erfolgt, wenn sie für die Erfüllung eines Vertrages mit Dir oder für vorvertragliche Maßnahmen erforderlich ist.
Rechtliche Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO: Eine Verarbeitung erfolgt, wenn wir gesetzlich dazu verpflichtet sind, etwa bei handels- oder steuerrechtlichen Aufbewahrungspflichten.
Berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO: Eine Verarbeitung erfolgt, wenn sie zur Wahrung unserer berechtigten Interessen oder der Interessen Dritter erforderlich ist und Deine Interessen oder Grundrechte und Grundfreiheiten nicht überwiegen.
Personenbezogene Daten werden nur für eindeutige Zwecke verarbeitet. Sobald der Zweck entfällt und keine gesetzliche oder vertragliche Grundlage für eine weitere Speicherung besteht, werden die Daten gelöscht oder in ihrer Verarbeitung eingeschränkt.
2.3 Datenkategorien
Je nach Nutzung unserer Services können insbesondere folgende Datenkategorien verarbeitet werden:
Stammdaten, z. B. Name, Unternehmen, Rolle, Anschrift;
Kontaktdaten, z. B. E-Mail-Adresse, Telefonnummer;
Nutzer- und Kontodaten, z. B. Login-Daten, Nutzerrolle, Profilinformationen, Organisationszuordnung;
Inhaltsdaten, z. B. Texteingaben, Prompts, Chatverläufe, hochgeladene Dokumente, Leistungsverzeichnisse, Vertrags- und Projektunterlagen, OCR-Inhalte, Analyseergebnisse;
technische Verarbeitungsdaten, z. B. aus Dokumenten erzeugte Such-/Indexdaten, Embeddings, Projekt- und Dokumentenmetadaten;
Vertragsdaten, z. B. Vertragsgegenstand, Laufzeiten, Kundenkategorie, Lizenzmodell;
Zahlungs- und Abrechnungsdaten, z. B. Rechnungsanschrift, Zahlungsstatus, buchhalterische Angaben;
Nutzungsdaten, z. B. Funktionsaufrufe, Zugriffszeiten, verwendete Services;
Verbindungsdaten, z. B. IP-Adresse, Geräteinformationen, Browserdaten, Referrer-URL, Logdaten.
2.4 Sicherheitsmaßnahmen
Wir treffen nach Maßgabe der gesetzlichen Vorgaben und unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere Maßnahmen zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit unserer Systeme.
Zu den Maßnahmen gehören insbesondere Zugriffs- und Berechtigungskonzepte, Verschlüsselung von Übertragungswegen, Zugriffsbeschränkungen, Protokollierung sicherheitsrelevanter Vorgänge, Trennung von Mandanten- bzw. Kundendaten, Datensicherungen, Patch- und Schwachstellenmanagement sowie interne Vertraulichkeitsverpflichtungen.
2.5 Übermittlung und Offenlegung gegenüber Dritten
Im Rahmen unserer Verarbeitungen kann es vorkommen, dass personenbezogene Daten an andere Stellen, Unternehmen, rechtlich selbstständige Organisationseinheiten oder Personen übermittelt oder ihnen offengelegt werden. Hierzu gehören insbesondere Hostinganbieter, technische Dienstleister, Anbieter für transaktionale E-Mails, KI-Dienstleister, Abrechnungs- und Kommunikationsdienstleister sowie Behörden, soweit eine gesetzliche Verpflichtung besteht.
Soweit Dienstleister personenbezogene Daten in unserem Auftrag verarbeiten, schließen wir mit ihnen Auftragsverarbeitungsverträge nach Art. 28 DSGVO, soweit dies datenschutzrechtlich erforderlich ist.
2.6 Drittlandübermittlungen
Eine Verarbeitung personenbezogener Daten findet grundsätzlich in Deutschland, innerhalb der Europäischen Union oder innerhalb des Europäischen Wirtschaftsraums statt, soweit in dieser Datenschutzerklärung nichts anderes beschrieben ist. Sollte es im Einzelfall zu einer Übermittlung in ein Drittland kommen, erfolgt diese nur nach Maßgabe der Art. 44 bis 49 DSGVO, insbesondere auf Grundlage eines Angemessenheitsbeschlusses, geeigneter Garantien wie EU-Standardvertragsklauseln oder einer sonstigen gesetzlichen Ausnahme.
2.7 Löschung von Daten
Wir löschen personenbezogene Daten nach Maßgabe der gesetzlichen Vorgaben, sobald der jeweilige Verarbeitungszweck entfällt und keine gesetzliche, vertragliche oder berechtigte Grundlage für eine weitere Speicherung besteht. Soweit Daten aus handels- oder steuerrechtlichen Gründen, zur Vertragserfüllung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen aufbewahrt werden müssen, wird die Verarbeitung auf diese Zwecke beschränkt.
Bei Daten, die wir für Kunden als Auftragsverarbeiter verarbeiten, richtet sich die Löschung zusätzlich nach dem jeweiligen Kundenvertrag und dem zugehörigen AVV.
2.8 Auftragsverarbeitung
Bedienen wir uns zur Verarbeitung personenbezogener Daten externer Dienstleister, werden diese sorgfältig ausgewählt und beauftragt. Soweit es sich um Auftragsverarbeitung im Sinne von Art. 28 DSGVO handelt, sind die Dienstleister an unsere Weisungen gebunden und werden auf die Einhaltung angemessener Datenschutz- und Sicherheitsstandards verpflichtet.
3. Betroffenenrechte
Werden Deine personenbezogene Daten verarbeitet, bist Du Betroffener i.S.d. DSGVO und es stehen Dir als Nutzer folgende Rechte gegenüber dem Verantwortlichen zu:
3.1 Auskunftsrecht
Du kannst von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Dich betreffen, von uns verarbeitet werden.
Liegt eine solche Verarbeitung vor, kannst Du von dem Verantwortlichen über folgende Informationen Auskunft verlangen:
- die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
- die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
- die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Dich betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
- die geplante Dauer der Speicherung der Dich betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der Dich betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
- Dir steht das Recht zu, Auskunft darüber zu verlangen, ob die Dich betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang kannst Du verlangen, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.
3.2 Recht auf Berichtigung
Du hast ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Dich betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.
3.3 Recht auf Einschränkung der Verarbeitung
Unter den folgenden Voraussetzungen kannst Du die Einschränkung der Verarbeitung der Dich betreffenden personenbezogenen Daten verlangen:
- wenn Du die Richtigkeit der Dich betreffenden personenbezogenen Daten für eine Dauer bestreitest, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
- die Verarbeitung unrechtmäßig ist und Du die Löschung der personenbezogenen Daten ablehnst und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangst;
- der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Du diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigst, oder
- wenn Du Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt hast und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Deinen Gründen überwiegen.
- Wurde die Verarbeitung der Dich betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Deiner Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, wirst Du von dem Verantwortlichen unterrichtet bevor die Einschränkung aufgehoben wird.
3.4 Recht auf Löschung
3.4.1
Du kannst von dem Verantwortlichen verlangen, dass die Dich betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
- Die Dich betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Du widerrufst Deine Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Du legst gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Du legst gemäß Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
- Die Dich betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der Dich betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
- Die Dich betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.
3.4.2
Hat der Verantwortliche die Dich betreffenden personenbezogenen Daten öffentlich gemacht und ist er gemäß Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Du als betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hast.
3.4.3 Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist
- zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
- zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Ab. 3 DSGVO;
- für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO, soweit das in Abs. 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
3.5 Recht auf Unterrichtung
Hast Du das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Dich betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.
Dir steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.
3.6 Recht auf Datenübertragbarkeit
Du hast das Recht, die Dich betreffenden personenbezogenen Daten, die Du dem Verantwortlichen bereitgestellt hast, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem hast Du das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, soferndie Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 lit. b DSGVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
In Ausübung dieses Rechts hast Du ferner das Recht zu erwirken, dass die Dich betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
3.7 Widerspruchsrecht
Du hast das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Dich betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die Dich betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden die Dich betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, hast Du das Recht, jederzeit Widerspruch gegen die Verarbeitung der Dich betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Widersprichst Du der Verarbeitung für Zwecke der Direktwerbung, so werden die Dich betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Du hast die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Dein Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
3.8 Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung
Du hast das Recht, Deine datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
Die Verarbeitung ist bis zu Deinem Widerruf rechtmäßig – der Widerruf wirkt somit erst auf die Verarbeitung nach Zugang Deines Widerrufs. Du kannst den Widerruf formlos per Post oder E-Mail erklären. Die Verarbeitung Deiner personenbezogenen Daten erfolgt dann nicht mehr, vorbehaltlich der Gestattung durch eine anderweitige gesetzliche Grundlage. Ist dies nicht der Fall, müssen Deine Daten nach dem Widerruf gemäß Art. 17 Abs. 2 DSGVO unverzüglich gelöscht werden. Dein Recht, Deine Einwilligung vorbehaltlich der oben genannten Voraussetzungen zu widerrufen wird gewährleistet.
Dein Widerruf ist zu richten an:
baugenic GmbH
Planckstraße 26
26810 Westoverledingen
E-Mail: info@baugenic.de
+49 4955 183 3399
3.9 Recht auf Beschwerde bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Dir das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Du der Ansicht bist, dass die Verarbeitung der Dich betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.
3.10 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling erfolgen nicht.
3.11 Mitteilungspflichten des Verantwortlichen
Sollten anderen Empfängern (Dritte) Deine personenbezogenen Daten mit Rechtsgrund offengelegt worden sein, teilen wir jenen jede Berichtigung, Löschung oder Einschränkung der Verarbeitung Deiner personenbezogenen Daten mit (Art. 16, Art 17 Abs. 1 und Art. 18 DSGVO). Die Mitteilungspflicht entfällt, wenn sie mit einem unverhältnismäßigen Aufwand verbunden ist oder unmöglich ist. Wir unterrichten Dich ferner auf Verlangen über die Empfänger.
4. Speicherung von Informationen auf Deinem Endgerät, Cookies, Tokens und Kurzlinks
4.1 Technisch erforderliche Cookies, Tokens und vergleichbare Technologien
Für die Bereitstellung unserer Services verwenden wir technisch erforderliche Cookies, Tokens, Session-Informationen oder vergleichbare Technologien. Diese können insbesondere erforderlich sein, um Login, Authentifizierung, Sitzungsverwaltung, Sicherheitsfunktionen, Spracheinstellungen oder die Nutzung einzelner Funktionen der Services zu ermöglichen.
Soweit wir hierfür Informationen auf Deinem Endgerät speichern oder auf Informationen zugreifen, erfolgt dies auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG, da diese Vorgänge erforderlich sind, um die von Dir ausdrücklich gewünschten Funktionen bereitzustellen. Die anschließende Verarbeitung personenbezogener Daten erfolgt je nach Zweck auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO.
4.2 Nicht erforderliche Technologien
Soweit wir Cookies, Tracking-Technologien oder vergleichbare Technologien einsetzen, die für die Bereitstellung der Services nicht technisch erforderlich sind, holen wir hierfür eine Einwilligung nach § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO ein, soweit keine gesetzliche Ausnahme greift. Solche Funktionen werden nicht ohne erforderliche Einwilligung aktiviert.
4.3 Kurzlinks, QR-Codes und Kampagnentracking über go.baugenic.de
Wir verwenden für bestimmte Kurzlinks oder QR-Codes eine selbst gehostete Kurzlink-Lösung unter der Domain go.baugenic.de. Dabei kann erfasst werden, welcher Kurzlink oder QR-Code aufgerufen wurde, zu welchem Zeitpunkt der Zugriff erfolgte, auf welches Ziel weitergeleitet wurde und welche technischen Zugriffsdaten dabei anfallen. Dazu können insbesondere IP-Adresse, Browser- und Geräteinformationen, Referrer-URL, Kampagnenkennung und Logdaten gehören.
Zweck der Verarbeitung ist die technische Bereitstellung der Weiterleitung, die Missbrauchs- und Sicherheitskontrolle sowie die Auswertung der Reichweite einzelner Marketingmaßnahmen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren technischen Bereitstellung von Kurzlinks sowie in der Erfolgsmessung eigener Marketingmaßnahmen. Soweit für das Tracking Informationen auf Deinem Endgerät gespeichert oder von dort ausgelesen werden, erfolgt dies nur nach Maßgabe von § 25 TDDDG.
Die Kurzlink-Lösung wird selbst gehostet. Es wird hierfür kein externer Kurzlink-Dienstleister als Auftragsverarbeiter eingesetzt.
5. Datenverarbeitung im Zusammenhang mit der Nutzung unserer Services
5.1 Informatorische Nutzung unserer Services
Beim rein informatorischen Aufruf unserer Services verarbeiten wir technische Daten, die automatisch von Deinem Endgerät oder Browser übermittelt werden. Dazu gehören insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Inhalte, übertragene Datenmenge, Referrer-URL, Browsertyp und -version, Betriebssystem, Gerätetyp sowie Statusmeldungen.
Diese Daten werden verarbeitet, um die Funktionsfähigkeit und Sicherheit unserer Services zu gewährleisten, Fehler zu analysieren, Angriffe oder missbräuchliche Nutzung zu erkennen und die technische Stabilität sicherzustellen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren und zuverlässigen Bereitstellung unserer Services.
5.2 Registrierung, Nutzerkonto und Login
Du kannst ein Nutzerkonto für unsere Services erhalten oder einrichten, um baugenic zu nutzen. Dabei verarbeiten wir insbesondere Deinen Namen, Deine E-Mail-Adresse, Dein Unternehmen, Deine Nutzerrolle, Deine Login- und Authentifizierungsdaten sowie technische Zugriffsdaten wie IP-Adresse, Zeitpunkt der Registrierung und Login-Zeitpunkte.
Die Authentifizierung erfolgt über eine von uns betriebene Lösung. Es wird hierfür kein externer Identity-Provider eingesetzt. Zur Sitzungsverwaltung können technisch erforderliche Session-Informationen oder Tokens verarbeitet werden.
Zweck der Verarbeitung ist die Einrichtung und Verwaltung Deines Nutzerkontos, die Authentifizierung, die Zuordnung zu einem Kundenkonto bzw. einer Organisation, die Bereitstellung der gebuchten Funktionen und die IT-Sicherheit. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Vertragserfüllung erforderlich ist, sowie Art. 6 Abs. 1 lit. f DSGVO für Sicherheits- und Missbrauchsschutzmaßnahmen.
5.3 Nutzung der Software, Dokumentenanalyse, RAG und KI-Funktionen
Bei der Nutzung von baugenic können personenbezogene Daten verarbeitet werden, die Du oder Dein Unternehmen in die Services eingeben oder hochladen. Hierzu gehören insbesondere Prompts, Texteingaben, Chatverläufe, Leistungsverzeichnisse, Vertragsunterlagen, Baubeschreibungen, Vorbemerkungen, Pläne, Bilder, OCR-Inhalte, Projekt- und Dokumentenmetadaten, Analyseergebnisse sowie technische Such-, Index- oder Vektordaten, die zur Bereitstellung der RAG- und KI-Funktionen erforderlich sind.
Zweck der Verarbeitung ist die Bereitstellung der Funktionen von baugenic, insbesondere die strukturierte Auswertung von Bau- und Projektunterlagen, die Beantwortung von Nutzeranfragen, die Dokumentenanalyse, das Wiederauffinden relevanter Inhalte, die Erstellung von Analyseergebnissen und die Speicherung projektbezogener Arbeitsergebnisse innerhalb der Services.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Erbringung unserer vertraglichen Leistungen erforderlich ist. Soweit wir technische Daten zur Systemsicherheit, Fehleranalyse, Stabilität, Missbrauchsprävention oder Produktverbesserung verarbeiten, ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren, zuverlässigen und zweckgerechten Bereitstellung unserer Services.
Soweit Kunden eigene Unterlagen oder Daten Dritter in baugenic hochladen und die Zwecke der Verarbeitung bestimmen, erfolgt die Verarbeitung dieser Inhalte regelmäßig im Auftrag des jeweiligen Kunden auf Grundlage des AVV. Der Kunde bleibt in diesem Fall für die Rechtmäßigkeit der Eingabe und Nutzung dieser Daten verantwortlich.
Kundendaten, hochgeladene Dokumente, Prompts, OCR-Inhalte und Analyseergebnisse werden von uns nicht zum Training von KI-Modellen verwendet.
5.4 KI-Dienst Mistral
Für KI-Funktionen innerhalb unserer Services setzen wir Dienste der Mistral AI SAS, 12 Rue de Londres, 75009 Paris, Frankreich („Mistral“), ein. Mistral verarbeitet dabei insbesondere Prompts, Inhaltsdaten, hochgeladene oder ausgelesene Dokumenteninhalte, OCR-Inhalte sowie die zur Erzeugung der jeweiligen KI-Antwort erforderlichen Kontextinformationen.
Zweck der Verarbeitung durch Mistral ist die Bereitstellung der KI-Inferenz, also die technische Verarbeitung der eingegebenen Inhalte zur Erzeugung der angefragten Ergebnisse innerhalb von baugenic. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Vertragserfüllung erforderlich ist, sowie ergänzend Art. 6 Abs. 1 lit. f DSGVO für technische Sicherheits- und Stabilitätszwecke. Soweit Mistral Daten in unserem Auftrag verarbeitet, erfolgt dies auf Grundlage eines Auftragsverarbeitungsvertrages.
Nach unserer vertraglichen und technischen Ausgestaltung werden Kundendaten nicht für das Training von KI-Modellen verwendet. Soweit es im Zusammenhang mit dem Einsatz von Mistral zu einer Verarbeitung außerhalb der EU/des EWR kommen sollte, erfolgt diese nur nach Maßgabe der Art. 44 bis 49 DSGVO und auf Grundlage geeigneter Garantien.
5.5 Speicherdauer innerhalb der Services
Daten in Nutzerkonten werden grundsätzlich für die Dauer des jeweiligen Nutzer- oder Vertragsverhältnisses gespeichert. Projektdaten, hochgeladene Dokumente, Analyseergebnisse, Chat- bzw. Prompt-Inhalte, OCR-Inhalte sowie technische Such- oder Indexdaten werden gespeichert, soweit dies für die Bereitstellung der Services, die projektbezogene Nutzung oder die vertraglich vereinbarten Funktionen erforderlich ist.
Nach Ende des Vertragsverhältnisses oder auf berechtigte Löschaufforderung werden die betroffenen Daten nach Maßgabe der gesetzlichen Vorgaben und der vertraglichen Vereinbarungen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Gründe für eine weitere Speicherung entgegenstehen. Bei Auftraggeberdaten richtet sich die Löschung zusätzlich nach dem jeweiligen AVV.
6. Kommunikation und transaktionale E-Mails
6.1 Kontaktaufnahme per E-Mail oder über Kontaktformulare
Wenn Du uns per E-Mail, Kontaktformular oder auf anderem Weg kontaktierst, verarbeiten wir die von Dir übermittelten Daten zum Zweck der Bearbeitung Deiner Anfrage. Dazu gehören insbesondere Name, E-Mail-Adresse, Unternehmen, Kommunikationsinhalt, Zeitpunkt der Anfrage sowie technische Metadaten der Kommunikation.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit Deine Anfrage auf den Abschluss oder die Durchführung eines Vertrages gerichtet ist. In anderen Fällen ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Bearbeitung und Beantwortung Deiner Anfrage.
6.2 Transaktionale E-Mails über Scaleway TEM
Für transaktionale E-Mails, insbesondere zur E-Mail-Verifizierung, für sicherheitsrelevante Benachrichtigungen, Systembenachrichtigungen, Passwort- oder Login-Vorgänge und vergleichbare servicebezogene Nachrichten, nutzen wir den Dienst Scaleway Transactional Email („Scaleway TEM“) der Scaleway SAS, 8 rue de la Ville l’Évêque, 75008 Paris, Frankreich.
Dabei können insbesondere E-Mail-Adressen, Namen, Inhalte transaktionaler E-Mails, technische Versand- und Zustellinformationen, Zeitpunkte, Statusmeldungen sowie Fehler- oder Bounce-Informationen verarbeitet werden. Zweck ist der zuverlässige Versand von servicebezogenen E-Mails im Zusammenhang mit der Nutzung unserer Services.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die E-Mails zur Vertragserfüllung oder zur Bereitstellung Deines Nutzerkontos erforderlich sind. Soweit die Verarbeitung der Sicherheit, Nachvollziehbarkeit und technischen Zustellung dient, ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Scaleway wird, soweit datenschutzrechtlich erforderlich, als Auftragsverarbeiter eingesetzt.
7. Hosting und technische Bereitstellung unserer Services
7.1 Hosting über Hetzner
Zur technischen Bereitstellung unserer Services nutzen wir Infrastrukturleistungen der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland („Hetzner“). Nach der derzeitigen technischen Ausgestaltung werden Compute-Leistungen und Object Storage für Inhalte „at rest“ am Standort NBG1 in Deutschland verarbeitet.
Über Hetzner werden insbesondere Server-, Speicher-, Netzwerk- und Sicherheitsleistungen bereitgestellt. Dabei können alle Daten verarbeitet werden, die im Rahmen der Nutzung unserer Services anfallen oder gespeichert werden, insbesondere Nutzerkonten, technische Zugriffsdaten, Inhaltsdaten, hochgeladene Dokumente, Projektinhalte, Analyseergebnisse, Such- und Indexdaten sowie Logdaten.
Zweck der Verarbeitung ist die sichere, skalierbare und zuverlässige Bereitstellung unserer webbasierten Services. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Vertragserfüllung erforderlich ist, sowie Art. 6 Abs. 1 lit. f DSGVO für Betriebssicherheit, Stabilität und IT-Sicherheit. Hetzner wird als Auftragsverarbeiter eingesetzt.
7.2 Zugriffsdaten und Serverlogfiles
Wir selbst bzw. unsere Hosting-Infrastruktur erheben Daten zu Zugriffen auf unsere Services in sogenannten Serverlogfiles. Zu den Serverlogfiles können insbesondere IP-Adresse, Datum und Uhrzeit des Abrufs, aufgerufene Services und Dateien, Referrer-URL, übertragene Datenmengen, Statusmeldungen, Browser- und Geräteinformationen sowie der anfragende Provider gehören.
Serverlogfiles werden zu Zwecken der IT-Sicherheit, Fehleranalyse, Missbrauchsprävention, Abwehr von Angriffen, Sicherstellung der Systemstabilität und technischen Optimierung verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren und störungsfreien Betrieb unserer Services.
7.3 Selbst gehostete technische Komponenten
Einzelne technische Komponenten, insbesondere Deployment-, Authentifizierungs- oder Kurzlink-Komponenten, werden von uns selbst auf eigener Infrastruktur betrieben. Soweit diese Komponenten personenbezogene Daten verarbeiten, erfolgt die Verarbeitung durch baugenic selbst und nicht durch einen zusätzlichen externen Dienstleister. Die Verarbeitung richtet sich nach den jeweils in dieser Datenschutzerklärung beschriebenen Zwecken und Rechtsgrundlagen.
8. Zahlungs- und Abrechnungsdaten
Zur Abwicklung von Zahlungsforderungen bieten wir verschiedene Zahlungsmethoden an. Hierfür binden wir die nachfolgend beschriebenen Payment Service Provider ein. Dies tun wir zum Zweck der ordnungsgemäßen und bedarfsgerechten Erbringung unserer Leistungen. Verarbeitete Daten sind in diesem Zusammenhang Nutzungsdaten, Verbindungsdaten, Stammdaten, Zahlungsdaten, Kontaktdaten oder auch Vertragsdaten, wie z.B. Kontonummern oder Kreditkartennummern, Passwörter, TANs und Prüfsummen sowie die Vertrags-, Summen- und empfängerbezogenen Angaben. Die Angaben sind erforderlich, um die Transaktionen durchzuführen. Die eingegebenen Daten werden nur durch die Zahlungsdienstleister verarbeitet und bei diesen gespeichert. Wir erhalten keine konto- oder kreditkartenbezogenen Informationen, sondern lediglich Informationen über die Bestätigung oder eine Negativbeauskunftung der Zahlung. Unter Umständen werden Deine Daten seitens der Zahlungsdienstleister an Wirtschaftsauskunfteien übermittelt. Diese Übermittlung bezweckt die Identitäts- und Bonitätsprüfung. Hierzu verweisen wir auf die AGB und die Datenschutzhinweise der Zahlungsdienstleister. Die Rechtsgrundlage zur Nutzung der Payment Service Provider resultiert aus Art. 6 Abs. 1 lit. b DSGVO. Die Dir mit unseren Services zugesagten Leistungen und damit die Erfüllung unserer Vertragspflichten können wir nur erbringen, wenn wir uns für die Abwicklung von Zahlungsbewegungen Dritten, wie den Payment Service Providern, bedienen. Sollte ein Payment Service Provider Daten in ein Drittland transferieren (bspw. die USA), so geschieht dies nur im Einzelfall, auf Basis eines mit ihnen geschlossenen Auftragsverarbeitungsvertrags und gemäß mit ihnen vereinbarter Standard Vertragsklauseln und sonstiger von der DSGVO zugelassenen Sicherheitsmaßnahmen, die die Sicherheit der Verarbeitung Deiner personenbezogenen Daten mit einem Schutzniveau, der identisch zu dem in der EU ist, gewährleisten, insbesondere auf Basis des EU-US Data Privacy Framework (DPF).