Mit dieser Datenschutzerklärung informieren wir Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung des Bautronix-Portals.
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist:
Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten oder zur Ausübung Ihrer Rechte (z.B. Auskunft, Berichtigung, Löschung) können Sie sich jederzeit an uns wenden. Sofern keine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht, haben wir keinen Datenschutzbeauftragten benannt.
Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im Rahmen des Bautronix-Portals verarbeiten wir personenbezogene Daten insbesondere in folgenden Fällen: - wenn Sie die Website/Plattform aufrufen (z.B. technische Zugriffs-/Logdaten), - wenn Sie ein Nutzerkonto registrieren und sich einloggen, - wenn Sie ein Unternehmens- bzw. Teamprofil pflegen, - wenn Sie Projekte erstellen/verwalten oder Interesse an Projekten bekunden bzw. eine Anfrage senden, - wenn Sie über das Portal Nachrichten austauschen, - wenn Sie Dokumente hochladen oder herunterladen, - wenn Sie kostenpflichtige Funktionen nutzen (z.B. Direktkontakt) und Zahlungen über Stripe abwickeln. Wir verarbeiten Daten nach den Grundsätzen der DSGVO (insbesondere Zweckbindung, Datenminimierung und Integrität/Vertraulichkeit). Soweit Funktionen freie Texteingaben (z.B. Nachrichten) oder Uploads ermöglichen, bitten wir Sie, keine sensiblen Informationen (z.B. Gesundheitsdaten) zu übermitteln, sofern dies nicht erforderlich ist.
Wir verarbeiten personenbezogene Daten nur, wenn dies rechtlich zulässig ist. Je nach konkretem Vorgang stützen wir die Verarbeitung insbesondere auf folgende Rechtsgrundlagen:
Je nach Nutzung des Bautronix-Portals verarbeiten wir insbesondere folgende Kategorien personenbezogener Daten:
Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken:
Wir geben personenbezogene Daten nur weiter, wenn dies für die Bereitstellung des Portals, die Durchführung von Funktionen oder zur Erfüllung gesetzlicher Pflichten erforderlich ist. Empfänger bzw. Kategorien von Empfängern können insbesondere sein:
Das Bautronix-Portal wird auf Servern in Deutschland betrieben. Dabei werden die für den Betrieb erforderlichen Daten (z.B. Datenbankinhalte, hochgeladene Dateien sowie technische Zugriffs- und Logdaten) auf der Infrastruktur verarbeitet.
Beim Aufruf unseres Portals werden durch den Webserver bzw. die eingesetzte Infrastruktur automatisch Zugriffs- und Protokolldaten (sog. Server-Logfiles) verarbeitet. Diese Verarbeitung ist technisch erforderlich, um Inhalte auszuliefern, die Systemsicherheit zu gewährleisten und Störungen/Fehler zu analysieren. Eine Nutzung dieser Daten zu Werbe- oder Trackingzwecken findet nicht statt.
Wenn Sie ein Nutzerkonto im Bautronix-Portal anlegen oder sich einloggen, verarbeiten wir personenbezogene Daten, um das Konto bereitzustellen, Sie zu authentifizieren und die Plattform sicher zu betreiben. Dabei werden insbesondere Session- und Sicherheitsmechanismen (z.B. Session-Cookies und CSRF-Schutz) eingesetzt. Passwörter werden nicht im Klartext gespeichert, sondern als Hash-Wert. Wenn Sie Funktionen zur Kontoverwaltung nutzen (z.B. Profil ändern, Passwort ändern, Avatar hochladen, Sprache/Portalrolle verwenden), verarbeiten wir die jeweils von Ihnen bereitgestellten bzw. technisch erforderlichen Daten.
Das Bautronix-Portal dient der Vermittlung und Zusammenarbeit zwischen Auftraggebern (Contractors) und Baupartnern/Subunternehmern (Subcontractors). Je nachdem, welche Rolle Sie im Portal nutzen, werden unterschiedliche Daten verarbeitet, um Projekte zu erstellen, Interessen/Anfragen zu verwalten, Kontaktfreigaben zu steuern und den Ablauf innerhalb der Plattform zu ermöglichen. Wichtig: Bestimmte Inhalte, die Sie im Rahmen der Portal-Funktionen eingeben (z.B. Projektbeschreibung, Kontaktinformationen, Interessen/Anfragen), können – abhängig von Berechtigungen und Freigaben – für andere registrierte Nutzer sichtbar werden.
Das Portal bietet eine Chat-/Nachrichtenfunktion, über die registrierte Nutzer im Rahmen freigeschalteter Kontakte (z.B. nach Kontaktfreischaltung) miteinander kommunizieren können. Dabei verarbeiten wir die Inhalte der Nachrichten sowie technische Metadaten, um die Kommunikation bereitzustellen und den Verlauf innerhalb der Plattform darzustellen. Bitte beachten Sie, dass Nachrichten Freitextfelder sind. Übermitteln Sie daher nur solche Informationen, die für die Zusammenarbeit erforderlich sind, und vermeiden Sie – soweit möglich – besondere Kategorien personenbezogener Daten (Art. 9 DSGVO), sofern diese nicht zwingend erforderlich sind.
Das Portal ermöglicht das Hochladen und Verwalten von Dokumenten (z.B. Nachweise, Zertifikate) sowie – je nach Berechtigung – das Herunterladen freigegebener Dokumente. Die hochgeladenen Dateien werden serverseitig in einem nicht-öffentlichen Speicherbereich abgelegt. Zusätzlich werden Metadaten zum Dokument (z.B. Dateiname, Dateigröße, Dokumenttyp, Prüfstatus) in der Datenbank gespeichert, um die Dokumentverwaltung im Portal zu ermöglichen. Dokumente können – abhängig von Rolle, Freigabe und Status – für andere registrierte Nutzer sichtbar bzw. abrufbar werden (z.B. nur nach Kontaktfreigabe und nur bei freigegebenem/prüfbestandenem Status).
Für kostenpflichtige Funktionen (z.B. Direktkontakt) wickeln wir Zahlungen über den Zahlungsdienstleister Stripe ab. Stripe verarbeitet Zahlungsdaten in eigener Verantwortung als Zahlungsdienstleister. Wir selbst erhalten von Stripe in der Regel keine vollständigen Karten- oder Kontodaten, sondern verarbeiten vor allem Informationen zur Zuordnung und zum Status einer Zahlung (z.B. Transaktionskennungen, Betrag, Währung, Zeitstempel), um die bezahlte Funktion im Portal bereitzustellen. Nach Ihrer Angabe nutzen wir Stripe über Stripe Payments Europe, Ltd. (Irland). Dennoch kann es – abhängig von Zahlungsart, Sicherheitsmechanismen und eingesetzten Unterauftragsverarbeitern – zu Verarbeitungen außerhalb des EWR kommen.
Für die Nutzung des Portals können systembezogene Benachrichtigungen erforderlich sein (z.B. Passwort-Reset, sicherheitsrelevante Hinweise oder funktionale Mitteilungen). Dabei verarbeiten wir insbesondere Ihre E-Mail-Adresse sowie ggf. Inhalte der jeweiligen Systemnachricht. Für den Versand systembezogener E-Mails (z.B. E-Mail-Verifikation, Passwort-Reset) nutzen wir einen E-Mail-Versanddienst (z.B. per SMTP). Unabhängig davon können in der Anwendung systembezogene Benachrichtigungen (z.B. als interne Notifications) gespeichert werden.
Wir verarbeiten personenbezogene Daten nach dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und gestalten das Bautronix-Portal so, dass nur solche Daten erhoben und verarbeitet werden, die für die Bereitstellung, Sicherheit und Weiterentwicklung der Plattform erforderlich sind. Technisch notwendige Protokollierungen (Logging) erfolgen insbesondere zur Gewährleistung der IT-Sicherheit, zur Stabilisierung des Betriebs und zur Fehleranalyse. Dabei achten wir darauf, Protokolldaten möglichst datensparsam zu erfassen und – soweit möglich – zu pseudonymisieren bzw. nicht direkt personenbezogen zu führen. Hinweis: In bestimmten Situationen (z.B. bei der Analyse konkreter Fehlfunktionen oder Sicherheitsvorfälle) kann es erforderlich sein, Logdaten vorübergehend detaillierter auszuwerten oder die Protokollierung für Diagnosezwecke zu erweitern. Eine solche Verarbeitung erfolgt ausschließlich zweckgebunden, zeitlich begrenzt und nur durch berechtigte Personen.
Wir speichern personenbezogene Daten grundsätzlich nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist (Art. 5 Abs. 1 lit. e DSGVO) oder wie es gesetzliche Aufbewahrungspflichten vorsehen. Sobald der Zweck entfällt und keine Aufbewahrungspflichten oder überwiegenden berechtigten Gründe entgegenstehen, werden Daten gelöscht oder – sofern möglich und sinnvoll – anonymisiert. Die konkrete Speicherdauer kann insbesondere von folgenden Faktoren abhängen: - Art der Daten (z.B. Konto-/Profildaten, Kommunikationsinhalte, Transaktionsdaten), - Zweck und Nutzungshäufigkeit (z.B. aktive Portalnutzung vs. inaktive Konten), - gesetzliche Aufbewahrungspflichten (z.B. handels- und steuerrechtliche Pflichten), - berechtigte Interessen an der Abwehr/Durchsetzung von Rechtsansprüchen (z.B. Nachweis- und Dokumentationszwecke). Zur Umsetzung der Löschkonzepte sind im System automatisierte Bereinigungsmechanismen vorgesehen (Pruning).
Wir treffen angemessene technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO, um personenbezogene Daten gegen zufällige oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugriff zu schützen. Dabei berücksichtigen wir den Stand der Technik, Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung und die unterschiedlichen Eintrittswahrscheinlichkeiten und Schweregrade von Risiken. Die Sicherheitsmaßnahmen werden fortlaufend überprüft und – soweit erforderlich – an die technische Entwicklung angepasst.
Als betroffene Person stehen Ihnen nach Maßgabe der DSGVO verschiedene Rechte zu. Sie können diese Rechte grundsätzlich jederzeit geltend machen. Bitte nutzen Sie hierfür die in Abschnitt 2 genannten Kontaktmöglichkeiten. Wir bearbeiten Anfragen unverzüglich und spätestens innerhalb der gesetzlichen Fristen. Aus Sicherheitsgründen können wir bei Auskunfts- oder Löschanfragen eine geeignete Identitätsprüfung verlangen, um unbefugte Datenoffenlegungen zu verhindern.
Soweit wir Ihre personenbezogenen Daten auf Grundlage einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) verarbeiten, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der Verarbeitung bis zum Widerruf nicht berührt. Bitte beachten Sie, dass bestimmte Verarbeitungen nicht auf einer Einwilligung beruhen, sondern z.B. zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder aufgrund berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) erforderlich sein können.
Wenn wir personenbezogene Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen. Im Falle Ihres Widerspruchs verarbeiten wir die betroffenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe. Sie können sich insbesondere an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsortes, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden. Für den Sitz des Verantwortlichen ist in Nordrhein-Westfalen insbesondere die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) zuständig. Eine Übersicht der Datenschutzaufsichtsbehörden in Deutschland finden Sie außerdem z.B. über die Webseite der/des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).
Im Rahmen der Nutzung des Portals kann es erforderlich sein, bestimmte personenbezogene Daten bereitzustellen, damit wir den Dienst überhaupt erbringen bzw. einzelne Funktionen zur Verfügung stellen können. Ohne diese Daten ist eine Nutzung des Portals oder bestimmter Funktionen ggf. nicht oder nur eingeschränkt möglich. Welche Daten im Einzelfall erforderlich sind, hängt insbesondere davon ab, ob Sie ein Konto erstellen, ein Profil pflegen, Projekte anlegen/verwenden, Dokumente hochladen oder kostenpflichtige Funktionen nutzen.
Wir treffen keine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidungen im Sinne des Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Soweit im Portal automatisierte Verarbeitungen eingesetzt werden (z.B. technische Filter, Sortierungen oder Priorisierungen), dienen diese in der Regel der Bereitstellung und Verbesserung der Funktionen, der IT-Sicherheit, der Missbrauchsprävention oder der Qualitätssicherung. Solche Prozesse ersetzen nicht zwingend eine menschliche Bewertung bzw. Entscheidung. Wenn Sie Fragen zur Funktionsweise solcher Prozesse haben, können Sie sich jederzeit an uns wenden (siehe Abschnitt 2).
Sofern wir Dienstleister einsetzen, kann es – abhängig von deren Sitz sowie von der technischen Ausgestaltung – zu einer Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) („Drittländer“) kommen oder zu einem Zugriff von dort. Insbesondere bei der Zahlungsabwicklung über Stripe (siehe Abschnitt 15) sowie – sofern Sie eingewilligt haben – beim Einsatz von Google Analytics (siehe Abschnitt 10) ist es möglich, dass Daten auch außerhalb des EWR verarbeitet werden. Ob und in welchem Umfang eine Drittlandsübermittlung stattfindet, hängt von der jeweiligen Konfiguration sowie vom konkreten Dienstleister und dessen Unterauftragnehmern ab. Wenn eine Übermittlung in ein Drittland erfolgt, stellen wir sicher, dass hierfür die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Dies kann z.B. durch einen Angemessenheitsbeschluss der EU-Kommission oder durch geeignete Garantien (insbesondere Standardvertragsklauseln) erfolgen. Zusätzlich können – je nach Risiko – weitere technische und organisatorische Maßnahmen eingesetzt werden.
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn dies aufgrund geänderter Rechtslage, technischer Weiterentwicklungen, Änderungen unserer Dienste oder der Datenverarbeitung erforderlich wird. Die jeweils aktuelle Fassung ist im Portal abrufbar. Bei wesentlichen Änderungen (insbesondere wenn neue Zwecke oder Empfänger hinzukommen) informieren wir Sie in geeigneter Weise, z.B. durch einen Hinweis im Portal oder per E-Mail, soweit dies erforderlich ist. Bitte prüfen Sie diese Datenschutzerklärung in regelmäßigen Abständen, um sich über den aktuellen Stand zu informieren.