Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist:

• Kevin Latta (Kleinunternehmer i.S.d. § 19 UStG)
• Im Daubenthal 18, 41539 Dormagen, Deutschland

2. Kontakt Datenschutz / Ansprechpartner

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten oder zur Ausübung Ihrer Rechte (z.B. Auskunft, Berichtigung, Löschung) können Sie sich jederzeit an uns wenden. Sofern keine gesetzliche Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht, haben wir keinen Datenschutzbeauftragten benannt.

• E-Mail: info@baupartner-polen.de
• Telefon: +49 176 42716630
• Postanschrift: wie oben

3. Allgemeine Hinweise zur Datenverarbeitung

Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im Rahmen des Bautronix-Portals verarbeiten wir personenbezogene Daten insbesondere in folgenden Fällen: - wenn Sie die Website/Plattform aufrufen (z.B. technische Zugriffs-/Logdaten), - wenn Sie ein Nutzerkonto registrieren und sich einloggen, - wenn Sie ein Unternehmens- bzw. Teamprofil pflegen, - wenn Sie Projekte erstellen/verwalten oder Interesse an Projekten bekunden bzw. sich bewerben, - wenn Sie über das Portal Nachrichten austauschen, - wenn Sie Dokumente hochladen oder herunterladen, - wenn Sie kostenpflichtige Funktionen nutzen (z.B. Direktkontakt) und Zahlungen über Stripe abwickeln. Wir verarbeiten Daten nach den Grundsätzen der DSGVO (insbesondere Zweckbindung, Datenminimierung und Integrität/Vertraulichkeit). Soweit Funktionen freie Texteingaben (z.B. Nachrichten) oder Uploads ermöglichen, bitten wir Sie, keine sensiblen Informationen (z.B. Gesundheitsdaten) zu übermitteln, sofern dies nicht erforderlich ist.

4. Rechtsgrundlagen (Art. 6 DSGVO)

Wir verarbeiten personenbezogene Daten nur, wenn dies rechtlich zulässig ist. Je nach konkretem Vorgang stützen wir die Verarbeitung insbesondere auf folgende Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vertragsähnliche Maßnahmen): z.B. Registrierung, Login, Kontoverwaltung, Nutzung der Portal-Funktionen (Projekte, Interessen/Bewerbungen, Kommunikation, Dokumente), Abwicklung kostenpflichtiger Funktionen.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen): z.B. Betrieb, Stabilität und Sicherheit der Plattform, Missbrauchs- und Betrugsprävention, Fehleranalyse, Durchsetzung/Abwehr von Rechtsansprüchen.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): soweit wir gesetzlichen Aufbewahrungs- oder Nachweispflichten unterliegen.
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): soweit wir in Einzelfällen eine Einwilligung einholen (z.B. für optionale Funktionen oder Dienste).

5. Kategorien personenbezogener Daten

Je nach Nutzung des Bautronix-Portals verarbeiten wir insbesondere folgende Kategorien personenbezogener Daten:

• Account-/Stammdaten: z.B. Name, E-Mail-Adresse, Passwort-Hash (gehashtes Passwort), ggf. Profilbild (Avatar).
• Unternehmens- und Kontaktdaten: z.B. Firmenname, Ansprechpartnerin/Ansprechpartner, Kontakt-E-Mail, Telefonnummer, ggf. Handels-/USt.-ID, Anschrift/Standortdaten, bevorzugte Sprache sowie sonstige Profilangaben.
• Teamdaten: z.B. Teamname, Gewerke, Verfügbarkeit, Regionen/Sprachen, Teamgröße sowie weitere Angaben, die Sie im Teamprofil hinterlegen.
• Projektdaten: z.B. Projekttitel, Beschreibung/Anforderungen, Einsatzort/Region, Zeitrahmen sowie ggf. projektbezogene Kontaktdaten.
• Bewerbungs-/Interessen-Daten: z.B. Status und Zeitpunkte von Interessen/Bewerbungen sowie optional übermittelte Freitexte (Nachrichten).
• Kommunikationsdaten: Inhalte von Nachrichten/Chats, die über das Portal ausgetauscht werden.
• Dokumente/Upload-Daten: hochgeladene Dateien (z.B. PDF/JPG/PNG) inkl. Dateiname, Metadaten (z.B. Dateigröße, Dateityp), Gültigkeitsdaten sowie Notizen.
• Zahlungs- und Transaktionsdaten: z.B. Zahlungsstatus, Betrag/Währung, interne Transaktions-IDs sowie Stripe-bezogene Kennungen (z.B. PaymentIntent-ID).
• Technische Nutzungs- und Logdaten: z.B. IP-Adresse, User-Agent, Zeitstempel, Session-Informationen und technisch notwendige Cookies.

6. Zwecke der Verarbeitung

Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken:

• Bereitstellung, Betrieb und Administration des Bautronix-Portals (inkl. Fehlerbehebung und technischer Sicherheit).
• Registrierung, Authentifizierung, Session-Verwaltung und Kontofunktionen (Login/Logout, Kontoverwaltung, Passwort-Reset).
• Bereitstellung von Portal-Funktionen: Anlegen/Verwalten von Unternehmens- und Teamprofilen, Projekten sowie Interessen/Bewerbungen.
• Kommunikation zwischen Nutzerinnen und Nutzern innerhalb des Portals (z.B. Nachrichten/Chat).
• Verarbeitung und Bereitstellung von Uploads/Dokumenten (Upload, Prüfung/Status, Download bei Berechtigung).
• Durchführung und Abwicklung kostenpflichtiger Funktionen (z.B. Direktkontakt) inkl. Zahlungsabwicklung über Stripe und Nachweis/Zuordnung von Transaktionen.
• Versand von systembezogenen Benachrichtigungen (z.B. per E-Mail), soweit dies für die Nutzung des Portals erforderlich ist.
• Schutz vor Missbrauch, Betrug und unbefugten Zugriffen sowie Durchsetzung/Abwehr von Rechtsansprüchen.

7. Empfänger / Kategorien von Empfängern

Wir geben personenbezogene Daten nur weiter, wenn dies für die Bereitstellung des Portals, die Durchführung von Funktionen oder zur Erfüllung gesetzlicher Pflichten erforderlich ist. Empfänger bzw. Kategorien von Empfängern können insbesondere sein:

• Andere registrierte Nutzer des Portals (z.B. Auftraggeber und Baupartner), soweit Sie im Rahmen der Portal-Funktionen Profilangaben, Interessen/Bewerbungen, Nachrichten oder Dokumente bereitstellen und diese für die jeweilige Gegenpartei sichtbar werden (z.B. Kontaktfreigaben/Direktkontakt, Dokumentfreigaben, Chat).
• Hosting- und Infrastruktur-Dienstleister (Hetzner Online GmbH) für den Betrieb der Server und Netzwerkinfrastruktur in Deutschland (Falkenstein, Datacenter fsn1-dc14, Netzwerkzone eu-central).
• Google Ireland Limited (Google Ads Conversion Tracking) – sofern Sie eingewilligt haben; dabei kann eine Übermittlung an Google LLC (USA) nicht ausgeschlossen werden (siehe Abschnitt 26).
• Zahlungsdienstleister (Stripe) für die Abwicklung von Zahlungen bei kostenpflichtigen Funktionen.
• E-Mail- bzw. Kommunikationsdienstleister, soweit für systembezogene Benachrichtigungen erforderlich.
• IT-Dienstleister (z.B. Wartung und Support), sofern eingesetzt.
• Behörden, Gerichte oder andere öffentliche Stellen, soweit wir gesetzlich dazu verpflichtet sind oder dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

8. Hosting & Infrastruktur (Serverstandort, Auftragsverarbeitung)

Das Bautronix-Portal wird auf Servern in Deutschland betrieben. Dabei werden die für den Betrieb erforderlichen Daten (z.B. Datenbankinhalte, hochgeladene Dateien sowie technische Zugriffs- und Logdaten) auf der Infrastruktur verarbeitet.

• Hosting-Anbieter: Hetzner Online GmbH.
• Serverstandort: Deutschland, Stadt Falkenstein, Datacenter fsn1-dc14, Netzwerkzone eu-central.
• Soweit erforderlich, binden wir Hosting- und Infrastruktur-Dienstleister als Auftragsverarbeiter ein und schließen entsprechende Verträge zur Auftragsverarbeitung (Art. 28 DSGVO). Der Zugriff ist auf das für die Leistungserbringung notwendige Maß beschränkt.

9. Zugriffsdaten / Server-Logs

Beim Aufruf unseres Portals werden durch den Webserver bzw. die eingesetzte Infrastruktur automatisch Zugriffs- und Protokolldaten (sog. Server-Logfiles) verarbeitet. Diese Verarbeitung ist technisch erforderlich, um Inhalte auszuliefern, die Systemsicherheit zu gewährleisten und Störungen/Fehler zu analysieren. Eine Nutzung dieser Daten zu Werbe- oder Trackingzwecken findet nicht statt.

• Verarbeitete Daten (typischerweise): IP-Adresse, Datum und Uhrzeit des Zugriffs, abgerufene URL/Datei, übertragene Datenmenge, HTTP-Statuscode, User-Agent (Browser/Betriebssystem) sowie ggf. Referrer-URL (sofern übertragen).
• Zwecke: Sicherstellung eines störungsfreien Betriebs, Gewährleistung der IT-Sicherheit (z.B. Abwehr/Analyse von Angriffen), Fehleranalyse sowie Missbrauchs- und Betrugsprävention.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an sicherem, stabilem Betrieb) sowie – soweit die Verarbeitung für die Bereitstellung vertraglicher Funktionen erforderlich ist – Art. 6 Abs. 1 lit. b DSGVO.
• Soweit zur Aufklärung von Störungen oder Sicherheitsvorfällen erforderlich, können Logdaten im Einzelfall mit weiteren Informationen aus dem Portal (z.B. Session- bzw. Account-Bezug) ausgewertet werden.
• Speicherdauer: Logdaten werden typischerweise für 14 Tage gespeichert und anschließend gelöscht bzw. überschrieben; im Einzelfall kann eine längere Aufbewahrung zur Aufklärung von Sicherheitsvorfällen erforderlich sein.
• Empfänger: Hosting- und Infrastruktur-Dienstleister (siehe Abschnitt 8) im Rahmen des technischen Betriebs.

10. Cookies & ähnliche Technologien (Session, XSRF, Portal-Rolle)

Wir verwenden Cookies und ähnliche Technologien, die technisch erforderlich sind, um das Portal bereitzustellen und die Sicherheit der Anwendung zu gewährleisten. Zusätzlich können wir – nur nach Ihrer Einwilligung – Google Ads (Conversion Tracking) einsetzen, um den Erfolg unserer Werbekampagnen zu messen.

• bautronix_session (Session-Cookie): erforderlich für Registrierung/Login, Session-Verwaltung und Authentifizierung gegenüber dem Backend (Laravel/Sanctum). Das Cookie enthält in der Regel eine zufällige Session-ID; die zugehörigen Sitzungsdaten werden serverseitig gespeichert (z.B. mit Zeitstempeln und technischen Informationen). Die Gültigkeit endet nach Ablauf der Session bzw. nach einer konfigurierten Inaktivitätszeit (z.B. 120 Minuten).
• Cookie-Eigenschaften (typisch): Session-Cookies werden als technisch notwendige Cookies gesetzt (z.B. mit HttpOnly; je nach Konfiguration mit SameSite-Attribut und bei HTTPS als Secure).
• XSRF-TOKEN: technisches Sicherheits-Cookie für den Schutz vor Cross-Site-Request-Forgery (CSRF). Damit das Frontend den Token auslesen und als Header mitsenden kann, ist dieses Cookie in der Regel nicht als HttpOnly gesetzt. Der Token wird bei API-Anfragen als Header (z.B. X-XSRF-TOKEN) mitgesendet.
• portal_role: technisch notwendiges Cookie zur Speicherung der aktuell gewählten Portal-Rolle und zur korrekten Darstellung/Navigation im Portal.
• NEXT_LOCALE: Cookie zur Speicherung der Spracheinstellung (z.B. de/pl), damit das Portal in der von Ihnen gewählten Sprache angezeigt wird.
• btx_cookie_consent: Cookie zur Speicherung Ihrer Auswahl (akzeptiert/abgelehnt) für optionale Dienste, damit wir Ihre Entscheidung für zukünftige Besuche berücksichtigen können.
• Google Ads Conversion Tracking (gtag.js): Wird erst nach Ihrer Einwilligung geladen. Dabei können Online-Kennungen (z.B. Cookie-ID), IP-Adresse, Geräte-/Browserinformationen sowie Ereignis-/Zeitstempel an Google übertragen werden, um Conversions zu messen.
• Rechtsgrundlagen: Technisch notwendige Cookies: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Portal-Funktionen) und Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an sicherer und funktionsfähiger Bereitstellung, insbesondere CSRF-Schutz). Google Ads Conversion Tracking: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
• Hinweis zu § 25 TDDDG (Endgerätezugriff): Technisch notwendige Cookies (Session/CSRF) erfolgen auf Grundlage von § 25 Abs. 2 TDDDG. Google Ads Conversion Tracking erfolgt nur nach Einwilligung gemäß § 25 Abs. 1 TDDDG.
• Hinweis: Sie können Cookies in den Einstellungen Ihres Browsers löschen oder blockieren. Bei Deaktivierung technisch notwendiger Cookies kann die Nutzung des Portals (insbesondere Login und geschützte Bereiche) eingeschränkt oder unmöglich sein.
• Bei der Zahlungsabwicklung über Stripe können ggf. auch Cookies/Identifikatoren von Stripe gesetzt werden; Details hierzu folgen in Abschnitt 15.

11. Registrierung, Login, Nutzerkonto

Wenn Sie ein Nutzerkonto im Bautronix-Portal anlegen oder sich einloggen, verarbeiten wir personenbezogene Daten, um das Konto bereitzustellen, Sie zu authentifizieren und die Plattform sicher zu betreiben. Dabei werden insbesondere Session- und Sicherheitsmechanismen (z.B. Session-Cookies und CSRF-Schutz) eingesetzt. Passwörter werden nicht im Klartext gespeichert, sondern als Hash-Wert. Wenn Sie Funktionen zur Kontoverwaltung nutzen (z.B. Profil ändern, Passwort ändern, Avatar hochladen, Sprache/Portalrolle verwenden), verarbeiten wir die jeweils von Ihnen bereitgestellten bzw. technisch erforderlichen Daten.

• Verarbeitete Daten (typisch): Name, E-Mail-Adresse, Passwort-Hash sowie Zeitstempel (Registrierung/Änderungen).
• Authentifizierung/Sessions (typisch): Session-ID, CSRF-Token (XSRF), technisch erforderliche Cookies sowie technische Sitzungsdaten (u.a. Zeitpunkt der letzten Aktivität).
• Sicherheits-/Zugriffsdaten (typisch): IP-Adresse und User-Agent im Zusammenhang mit der Session-Verwaltung (serverseitige Sitzungsdatenbank).
• Kontoprofil (optional): Profilbild/Avatar (Upload) und zugehörige Dateimetadaten (z.B. Dateiname/Dateityp/Dateigröße).
• Passwort-Reset: Wenn Sie „Passwort vergessen“ nutzen, verarbeiten wir Ihre E-Mail-Adresse und erstellen ein Reset-Token (in der Regel zeitlich befristet), um Ihnen den Reset zu ermöglichen.
• Zwecke: Kontoerstellung, Login/Logout, Kontoverwaltung, Passwort-Reset, Schutz vor Missbrauch und Sicherstellung der IT-Sicherheit.
• Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung der Portalnutzung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an sicherem und stabilem Betrieb, Missbrauchsprävention). Soweit gesetzliche Pflichten bestehen: Art. 6 Abs. 1 lit. c DSGVO.
• Empfänger: interne Berechtigte/Administratoren (nur soweit erforderlich), Hosting-/Infrastruktur-Dienstleister (siehe Abschnitt 8) sowie ggf. E-Mail-Dienstleister für systembezogene Nachrichten (siehe Abschnitt 16).
• Speicherdauer: Kontodaten grundsätzlich für die Dauer des Nutzerkontos; Sessiondaten nur so lange wie technisch erforderlich (zusätzlich können serverseitige Sitzungsdatensätze für einen begrenzten Zeitraum zur Systemsicherheit gespeichert und anschließend gelöscht werden). Passwort-Reset-Tokens sind zeitlich befristet und werden anschließend ersetzt/gelöscht.
• Account-Export/Löschung: Sie können – je nach Verfügbarkeit im Portal – Ihre Kontodaten exportieren und Ihr Konto löschen. Bei einer Kontolöschung werden Kontodaten gelöscht bzw. gesperrt, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigte Interessen einer sofortigen Löschung entgegenstehen (Details siehe Abschnitt 18).

12. Portal-Funktionen (Projekte, Bewerbungen, Leads, Direktkontakt)

Das Bautronix-Portal dient der Vermittlung und Zusammenarbeit zwischen Auftraggebern (Contractors) und Baupartnern/Subunternehmern (Subcontractors). Je nachdem, welche Rolle Sie im Portal nutzen, werden unterschiedliche Daten verarbeitet, um Projekte zu erstellen, Interessen/Bewerbungen zu verwalten, Kontaktfreigaben zu steuern und den Ablauf innerhalb der Plattform zu ermöglichen. Wichtig: Bestimmte Inhalte, die Sie im Rahmen der Portal-Funktionen eingeben (z.B. Projektbeschreibung, Kontaktinformationen, Interessen/Bewerbungen), können – abhängig von Berechtigungen und Freigaben – für andere registrierte Nutzer sichtbar werden.

• Projekte (Auftraggeber): z.B. Projekttitel, Beschreibung/Anforderungen, Ort/Region, Zeitrahmen, Budget-Spannen, Gewerke sowie projektbezogene Kontaktangaben (Name/E-Mail/Telefon), soweit von Ihnen hinterlegt.
• Interessen/Bewerbungen (Baupartner/Subunternehmer): z.B. Status, Zeitpunkte, Zuordnung zu Projekt/Team/Firma sowie optionale Freitexte (Nachrichten).
• Leads/Freischaltungen: Zuordnung, ob und wann ein Lead/Kontakt für ein Projekt freigeschaltet wurde (inkl. Zeitstempel).
• Direktkontakt: Daten zur Abwicklung und Steuerung von Direktkontakt-Anfragen (z.B. Status, Ablaufzeitpunkt, Antwortzeitpunkt) sowie ggf. Zuordnung zu einem Direktkontakt-Kaufvorgang.
• Sichtbarkeit/Empfänger: Andere registrierte Nutzer erhalten Zugriff auf Inhalte nur im Rahmen der jeweiligen Portal-Funktion und Berechtigung (z.B. nach Kontaktfreigabe/Direktkontakt).
• Zwecke: Bereitstellung der Vermittlungs-/Kooperationsfunktionen, Match-/Freigabeprozesse, Nachvollziehbarkeit von Status- und Prozessschritten, sowie Missbrauchs-/Betrugsprävention.
• Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Durchführung/Anbahnung der Portalnutzung und Funktionen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an sicherem Betrieb, Missbrauchsprävention, Nachweis/Abwehr von Ansprüchen). Soweit Zahlungen betroffen sind, gelten ergänzend die Ausführungen in Abschnitt 15.
• Speicherdauer: Projekt- und Prozessdaten werden grundsätzlich für die Dauer der Nutzung und soweit erforderlich zur Vertragsdurchführung sowie zur Nachweisführung gespeichert; darüber hinaus gelten die Grundsätze in Abschnitt 18 (Aufbewahrung/Löschung).

13. Kommunikation/Chat & Nachrichten

Das Portal bietet eine Chat-/Nachrichtenfunktion, über die registrierte Nutzer im Rahmen freigeschalteter Kontakte (z.B. bei Lead-Freischaltung) miteinander kommunizieren können. Dabei verarbeiten wir die Inhalte der Nachrichten sowie technische Metadaten, um die Kommunikation bereitzustellen und den Verlauf innerhalb der Plattform darzustellen. Bitte beachten Sie, dass Nachrichten Freitextfelder sind. Übermitteln Sie daher nur solche Informationen, die für die Zusammenarbeit erforderlich sind, und vermeiden Sie – soweit möglich – besondere Kategorien personenbezogener Daten (Art. 9 DSGVO), sofern diese nicht zwingend erforderlich sind.

• Verarbeitete Daten: Nachrichteninhalt (Text), Absender-Zuordnung (z.B. Nutzer-ID), Zeitstempel der Nachricht, Zuordnung zur jeweiligen Projekt-/Lead-Freischaltung.
• Zwecke: Bereitstellung der Kommunikation, Dokumentation des Kommunikationsverlaufs im Portal, Unterstützung der Zusammenarbeit zwischen den Parteien.
• Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Portal-Funktionen/Kommunikation) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb und Nachvollziehbarkeit, z.B. zur Klärung von Supportfällen oder zur Abwehr/Durchsetzung von Ansprüchen).
• Empfänger: Die jeweils beteiligten Nutzer (Gegenpartei) sowie ggf. interne Berechtigte/Administratoren nur im erforderlichen Umfang (z.B. bei Support-/Missbrauchsfällen).
• Speicherdauer: Nachrichten werden grundsätzlich so lange gespeichert, wie dies für die Nutzung der Funktion und zur Nachweis-/Dokumentationszwecken erforderlich ist. Details und ggf. konfigurierte Löschfristen finden Sie in Abschnitt 18.

14. Dokumente/Uploads

Das Portal ermöglicht das Hochladen und Verwalten von Dokumenten (z.B. Nachweise, Zertifikate) sowie – je nach Berechtigung – das Herunterladen freigegebener Dokumente. Die hochgeladenen Dateien werden serverseitig in einem nicht-öffentlichen Speicherbereich abgelegt. Zusätzlich werden Metadaten zum Dokument (z.B. Dateiname, Dateigröße, Dokumenttyp, Prüfstatus) in der Datenbank gespeichert, um die Dokumentverwaltung im Portal zu ermöglichen. Dokumente können – abhängig von Rolle, Freigabe und Status – für andere registrierte Nutzer sichtbar bzw. abrufbar werden (z.B. nur nach Kontaktfreigabe und nur bei freigegebenem/prüfbestandenem Status).

• Verarbeitete Daten: Dateiinhalt (Upload), Dateiname, Dateityp/MIME-Type, Dateigröße, Upload-Zeitpunkte, Dokumenttyp, ggf. Gültigkeitsdatum sowie optionale Notizen; zusätzlich technische Metadaten (z.B. Speicherpfad/Datenträgerkennung).
• Prüf-/Statusdaten: Dokumente können einen Status (z.B. hochgeladen, geprüft, freigegeben/abgelehnt) erhalten; hierbei können interne Prüfvermerke gespeichert werden.
• Zwecke: Bereitstellung der Dokumentenfunktion, Nachweis-/Compliance-Prozesse im Portal, Freigabe von Dokumenten gegenüber berechtigten Gegenparteien.
• Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Portal-Funktionen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an sicherer, nachvollziehbarer Abwicklung und Missbrauchsprävention).
• Empfänger: berechtigte Gegenparteien im Portal (z.B. nach Kontaktfreigabe und abhängig vom Dokumentstatus), Hosting-/Infrastruktur-Dienstleister (siehe Abschnitt 8) sowie interne Berechtigte/Administratoren im erforderlichen Umfang (z.B. Prüfung/Support).
• Speicherdauer: Dokumente und zugehörige Metadaten werden grundsätzlich so lange gespeichert, wie dies für die Portalnutzung und die jeweiligen Nachweis-/Prozesszwecke erforderlich ist. Details und ggf. konfigurierte Löschfristen siehe Abschnitt 18.

15. Zahlungsabwicklung (Stripe)

Für kostenpflichtige Funktionen (z.B. Direktkontakt) wickeln wir Zahlungen über den Zahlungsdienstleister Stripe ab. Stripe verarbeitet Zahlungsdaten in eigener Verantwortung als Zahlungsdienstleister. Wir selbst erhalten von Stripe in der Regel keine vollständigen Karten- oder Kontodaten, sondern verarbeiten vor allem Informationen zur Zuordnung und zum Status einer Zahlung (z.B. Transaktionskennungen, Betrag, Währung, Zeitstempel), um die bezahlte Funktion im Portal bereitzustellen. Nach Ihrer Angabe nutzen wir Stripe über Stripe Payments Europe, Ltd. (Irland). Dennoch kann es – abhängig von Zahlungsart, Sicherheitsmechanismen und eingesetzten Unterauftragsverarbeitern – zu Verarbeitungen außerhalb des EWR kommen.

• Einbindung im Portal: Stripe wird im Portal nur im Rahmen der Zahlungsabwicklung (Checkout) geladen bzw. aktiv genutzt – nicht beim bloßen Besuch von Seiten ohne Zahlungsfunktion.
• Verarbeitete Daten bei uns (typisch): Zahlungsstatus, Betrag/Währung, interne Transaktions-IDs sowie Stripe-bezogene Kennungen (z.B. PaymentIntent-ID, ggf. Customer-ID), Zuordnung zu Projekt/Unternehmen sowie Zeitstempel (z.B. autorisiert/abgeschlossen/storniert/erstattet).
• Verarbeitete Daten bei Stripe (typisch): Zahlungsdaten (z.B. Karten-/Kontodaten), technische Daten zur Zahlungsabwicklung und Betrugsprävention sowie ggf. Rechnungs-/Kontaktangaben (z.B. Empfangs-E-Mail-Adresse), je nach Zahlungsart und Konfiguration.
• Zwecke: Abwicklung von Zahlungen, Verifizierung/Zuordnung von Transaktionen, Bereitstellung der kostenpflichtigen Portal-Funktionen, Betrugs- und Missbrauchsprävention.
• Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Erfüllung kostenpflichtiger Funktionen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen, insbesondere Betrugsprävention und sichere Zahlungsabwicklung). Soweit steuer-/handelsrechtliche Aufbewahrungspflichten einschlägig sind: Art. 6 Abs. 1 lit. c DSGVO.
• Empfänger: Stripe Payments Europe, Ltd. (Irland) und – abhängig von Zahlungsart – weitere an der Zahlung beteiligte Stellen (z.B. Banken/Kreditkartenorganisationen).
• Drittlandtransfer: Es kann nicht ausgeschlossen werden, dass Stripe oder Unterauftragnehmer Daten auch in Drittländern verarbeiten (z.B. zur Betrugsprävention oder technischen Bereitstellung). In diesen Fällen erfolgt der Schutz regelmäßig über geeignete Garantien (z.B. EU-Standardvertragsklauseln) bzw. anwendbare Angemessenheitsbeschlüsse. Details ergeben sich aus den Informationen von Stripe.

16. E-Mail-Kommunikation & Benachrichtigungen

Für die Nutzung des Portals können systembezogene Benachrichtigungen erforderlich sein (z.B. Passwort-Reset, sicherheitsrelevante Hinweise oder funktionale Mitteilungen). Dabei verarbeiten wir insbesondere Ihre E-Mail-Adresse sowie ggf. Inhalte der jeweiligen Systemnachricht. Nach Ihrer Angabe ist derzeit noch kein externer E-Mail-Versanddienst produktiv eingerichtet. Sollte zukünftig ein E-Mail-Dienstleister (z.B. SMTP-Provider oder spezialisierter Versanddienst) eingesetzt werden, werden wir diese Datenschutzerklärung entsprechend aktualisieren. Unabhängig davon können in der Anwendung systembezogene Benachrichtigungen (z.B. als interne Notifications) gespeichert werden.

• Verarbeitete Daten: E-Mail-Adresse, ggf. Name sowie systembezogene Inhalte (z.B. Passwort-Reset-Link/Token), Zeitstempel und technische Zustell-/Statusdaten, soweit vorhanden.
• Passwort-Reset: Bei „Passwort vergessen“ wird ein Reset-Token erzeugt, um den Reset sicher durchführen zu können.
• In-App-Benachrichtigungen: Es können Benachrichtigungsdatensätze gespeichert werden (z.B. Typ, Inhalt, Zustell-/Lesestatus, Zeitstempel).
• Zwecke: Bereitstellung der Portalfunktionen, Kontosicherheit, Nutzerinformation über funktionale Systemvorgänge.
• Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Portalnutzung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an sicherem Betrieb und Nutzerkommunikation).
• Empfänger: Hosting-/Infrastruktur-Dienstleister (siehe Abschnitt 8). Sofern zukünftig E-Mails über einen externen Dienstleister versendet werden: entsprechender E-Mail-Dienstleister als Auftragsverarbeiter.
• Speicherdauer: Systemtokens/Benachrichtigungsdaten werden nur so lange gespeichert, wie dies für den jeweiligen Zweck erforderlich ist; weitere Details siehe Abschnitt 18.

17. Datenminimierung, Logging & Debugging

Wir verarbeiten personenbezogene Daten nach dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und gestalten das Bautronix-Portal so, dass nur solche Daten erhoben und verarbeitet werden, die für die Bereitstellung, Sicherheit und Weiterentwicklung der Plattform erforderlich sind. Technisch notwendige Protokollierungen (Logging) erfolgen insbesondere zur Gewährleistung der IT-Sicherheit, zur Stabilisierung des Betriebs und zur Fehleranalyse. Dabei achten wir darauf, Protokolldaten möglichst datensparsam zu erfassen und – soweit möglich – zu pseudonymisieren bzw. nicht direkt personenbezogen zu führen. Hinweis: In bestimmten Situationen (z.B. bei der Analyse konkreter Fehlfunktionen oder Sicherheitsvorfälle) kann es erforderlich sein, Logdaten vorübergehend detaillierter auszuwerten oder die Protokollierung für Diagnosezwecke zu erweitern. Eine solche Verarbeitung erfolgt ausschließlich zweckgebunden, zeitlich begrenzt und nur durch berechtigte Personen.

• Datenminimierung in Formularen: Wir fragen nur Daten ab, die für die jeweilige Portal-Funktion erforderlich sind (z.B. Registrierung, Profil, Projekte). Pflichtangaben sind in der Regel technisch oder prozessual erforderlich; optionale Angaben können Sie nach eigenem Ermessen bereitstellen.
• Freitexte und Uploads: Soweit Sie Freitextfelder (z.B. Nachrichten) oder Upload-Funktionen nutzen, liegt die Entscheidung, welche Inhalte Sie übermitteln, bei Ihnen. Bitte übermitteln Sie keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO), sofern dies nicht zwingend notwendig ist.
• Server- und Anwendungs-Logs: Im Rahmen des Betriebs können technische Ereignisse (z.B. Zugriffe, Fehler, Sicherheitsereignisse) protokolliert werden. Diese Logs dienen nicht der Erstellung von Nutzerprofilen zu Werbezwecken und werden nicht für Tracking/Marketing eingesetzt.
• Datensparsame Protokollierung: Die Anwendung ist so ausgelegt, dass personenbezogene Inhalte in Logs grundsätzlich minimiert werden. Eine Protokollierung von personenbezogenen Inhalten (z.B. E-Mail-Adresse) kann – abhängig von Konfiguration und Einzelfall – zusätzlich reduziert oder ganz unterbunden werden.
• Debugging und Sicherheitsdiagnose: Für die Absicherung von API-Aufrufen (z.B. CSRF-Schutz) können in Debug-Konfigurationen zusätzliche technische Diagnosedaten anfallen. Diese werden nicht dauerhaft und nicht zu Werbezwecken verarbeitet.
• Hinweis zu optionalen Marketing-Diensten: Sofern Sie eingewilligt haben, setzen wir Google Ads Conversion Tracking ein (siehe Abschnitt 10).

18. Speicherdauer & Löschung (Retention/Pruning)

Wir speichern personenbezogene Daten grundsätzlich nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist (Art. 5 Abs. 1 lit. e DSGVO) oder wie es gesetzliche Aufbewahrungspflichten vorsehen. Sobald der Zweck entfällt und keine Aufbewahrungspflichten oder überwiegenden berechtigten Gründe entgegenstehen, werden Daten gelöscht oder – sofern möglich und sinnvoll – anonymisiert. Die konkrete Speicherdauer kann insbesondere von folgenden Faktoren abhängen: - Art der Daten (z.B. Konto-/Profildaten, Kommunikationsinhalte, Transaktionsdaten), - Zweck und Nutzungshäufigkeit (z.B. aktive Portalnutzung vs. inaktive Konten), - gesetzliche Aufbewahrungspflichten (z.B. handels- und steuerrechtliche Pflichten), - berechtigte Interessen an der Abwehr/Durchsetzung von Rechtsansprüchen (z.B. Nachweis- und Dokumentationszwecke). Zur Umsetzung der Löschkonzepte sind im System automatisierte Bereinigungsmechanismen vorgesehen (Pruning).

• Kontodaten (Stammdaten/Profil): Wir speichern Kontodaten grundsätzlich für die Dauer des bestehenden Nutzerkontos. Bei einer Kontolöschung werden die Kontodaten gelöscht, soweit keine gesetzliche Pflicht zur weiteren Aufbewahrung oder ein überwiegender berechtigter Grund (z.B. Rechtsverteidigung) entgegensteht.
• Sessiondaten: Sitzungsdaten werden serverseitig in einer Sitzungsdatenbank verarbeitet (u.a. Session-ID, Zeitpunkt der letzten Aktivität sowie technische Angaben wie IP-Adresse und User-Agent). Die Bereinigung erfolgt automatisiert; standardmäßig werden Sessions nach 30 Tagen (ab letzter Aktivität) entfernt. Diese Bereinigung ist im System als wiederkehrender Job vorgesehen (z.B. täglich in den Nachtstunden).
• In-App-Benachrichtigungen: System-Benachrichtigungen können in der Datenbank gespeichert werden (z.B. Typ, Inhalt, Lesestatus, Zeitstempel). Standardmäßig ist eine automatisierte Bereinigung nach 180 Tagen vorgesehen (ebenfalls als wiederkehrender Job).
• Passwort-Reset-Tokens: Passwort-Reset-Tokens sind zeitlich befristet (typischerweise 60 Minuten gültig). Nach Ablauf sind sie nicht mehr verwendbar; eine darüber hinausgehende Speicherung erfolgt nur, soweit dies technisch noch im System besteht und wird im Rahmen von Bereinigungs-/Wartungsprozessen entfernt bzw. überschrieben.
• Kommunikationsinhalte (Chat/Nachrichten): Nachrichten werden grundsätzlich so lange gespeichert, wie dies für die Bereitstellung der Funktion sowie für Nachweis-/Dokumentationszwecke erforderlich ist. Zusätzlich können – je nach Konfiguration – automatisierte Löschfristen für Kommunikationsdaten aktiviert werden.
• Dokumente/Uploads: Hochgeladene Dateien werden in einem nicht-öffentlichen Speicherbereich abgelegt. Sie bleiben grundsätzlich gespeichert, bis sie von Ihnen entfernt werden, die zugrundeliegende Berechtigung entfällt oder eine Löschung im Rahmen einer Kontolöschung bzw. eines Löschkonzepts erfolgt. Avatare können von Ihnen jederzeit entfernt werden; im Rahmen der Kontolöschung werden zugehörige Avatar-Dateien ebenfalls gelöscht.
• Transaktions- und Abrechnungsdaten: Soweit Zahlungen verarbeitet werden, können handels- und steuerrechtliche Aufbewahrungspflichten bestehen. Entsprechende Daten werden in diesen Fällen für die gesetzlich vorgeschriebenen Zeiträume (regelmäßig bis zu 6 bzw. 10 Jahre) gespeichert.
• Server- und Sicherheitslogs: Logdaten werden typischerweise für 14 Tage gespeichert und anschließend gelöscht bzw. überschrieben. Im Einzelfall kann eine längere Aufbewahrung erforderlich sein, um Sicherheitsvorfälle aufzuklären oder Rechtsansprüche geltend zu machen bzw. abzuwehren.

19. Sicherheit der Verarbeitung (Art. 32 DSGVO)

Wir treffen angemessene technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO, um personenbezogene Daten gegen zufällige oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugriff zu schützen. Dabei berücksichtigen wir den Stand der Technik, Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung und die unterschiedlichen Eintrittswahrscheinlichkeiten und Schweregrade von Risiken. Die Sicherheitsmaßnahmen werden fortlaufend überprüft und – soweit erforderlich – an die technische Entwicklung angepasst.

• Verschlüsselung der Übertragung: Die Kommunikation mit dem Portal erfolgt über verschlüsselte Verbindungen (TLS/HTTPS).
• Zugriffskontrolle und Berechtigungen: Der Zugriff auf Daten und Funktionen erfolgt rollen- und berechtigungsbasiert (z.B. getrennte Rollen für Auftraggeber und Baupartner; Zugriff auf Dokumente nur bei entsprechender Freigabe/Berechtigung).
• Authentifizierung und Session-Sicherheit: Wir nutzen serverseitige Sessions und setzen technisch notwendige Sicherheits-Cookies ein. Passwörter werden nicht im Klartext gespeichert, sondern als Hash.
• Schutz vor CSRF: Für zustandsbehaftete API-Aufrufe werden CSRF-Schutzmechanismen (z.B. XSRF-Token) eingesetzt.
• Schutz von Uploads/Dokumenten: Dateien werden in einem nicht-öffentlichen Speicherbereich gespeichert und ausschließlich über autorisierte Endpunkte bereitgestellt (z.B. Download erst nach Berechtigungsprüfung).
• Protokollierung und Monitoring: Sicherheitsrelevante Ereignisse können protokolliert werden, um Angriffe/Nutzungsausfälle zu erkennen und aufzuklären. Die Auswertung erfolgt zweckgebunden.
• Prinzip der geringsten Berechtigung: Interne Zugriffe auf Daten erfolgen nur, soweit sie für Betrieb, Support oder Sicherheit erforderlich sind.

20. Ihre Rechte (Art. 15–21 DSGVO)

Als betroffene Person stehen Ihnen nach Maßgabe der DSGVO verschiedene Rechte zu. Sie können diese Rechte grundsätzlich jederzeit geltend machen. Bitte nutzen Sie hierfür die in Abschnitt 2 genannten Kontaktmöglichkeiten. Wir bearbeiten Anfragen unverzüglich und spätestens innerhalb der gesetzlichen Fristen. Aus Sicherheitsgründen können wir bei Auskunfts- oder Löschanfragen eine geeignete Identitätsprüfung verlangen, um unbefugte Datenoffenlegungen zu verhindern.

• Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten über Sie verarbeiten. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten sowie auf bestimmte Informationen (z.B. Zwecke, Kategorien, Empfänger, Speicherdauer).
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die gesetzlichen Voraussetzungen erfüllt sind (insbesondere wenn der Zweck entfällt und keine Aufbewahrungspflichten entgegenstehen).
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung zu verlangen (z.B. während der Prüfung eines Widerspruchs oder der Richtigkeit von Daten).
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder – soweit technisch machbar – an einen anderen Verantwortlichen übertragen zu lassen.
• Recht auf Widerspruch (Art. 21 DSGVO): Sie können aus Gründen, die sich aus Ihrer besonderen Situation ergeben, der Verarbeitung widersprechen, soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht. Details hierzu siehe Abschnitt 22.
• Recht auf Beschwerde (Art. 77 DSGVO): Ihnen steht außerdem das Recht zu, sich bei einer Aufsichtsbehörde zu beschweren. Weitere Hinweise siehe Abschnitt 23.
• Funktion im Portal (soweit verfügbar): Für bestimmte Anliegen stehen Ihnen ggf. Selbstbedienungsfunktionen im Konto zur Verfügung (z.B. Datenexport, Profildaten anpassen, Kontolöschung).

21. Widerruf von Einwilligungen

Soweit wir Ihre personenbezogenen Daten auf Grundlage einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) verarbeiten, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der Verarbeitung bis zum Widerruf nicht berührt. Bitte beachten Sie, dass bestimmte Verarbeitungen nicht auf einer Einwilligung beruhen, sondern z.B. zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder aufgrund berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) erforderlich sein können.

• Widerrufsmöglichkeit: Den Widerruf können Sie jederzeit formlos über die in Abschnitt 2 genannten Kontaktdaten erklären.
• Wirkung: Der Widerruf gilt nur für die Zukunft. Verarbeitungen, die vor dem Widerruf erfolgt sind, bleiben rechtmäßig.
• Folgen: Bei einem Widerruf kann es sein, dass bestimmte optionale Funktionen oder Leistungen nicht (mehr) genutzt werden können, wenn diese auf einer Einwilligung beruhen.
• Google Ads Conversion Tracking: Wenn Sie in Google Ads Conversion Tracking eingewilligt haben, können Sie diese Einwilligung jederzeit über „Cookie-Einstellungen“ im Footer widerrufen (siehe Abschnitt 10).

22. Widerspruchsrecht (Art. 21 DSGVO)

Wenn wir personenbezogene Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen. Im Falle Ihres Widerspruchs verarbeiten wir die betroffenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

• Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen: Dies betrifft insbesondere Verarbeitungen zur Gewährleistung der IT-Sicherheit, zur Missbrauchs-/Betrugsprävention, zur Fehleranalyse sowie zur Rechtsdurchsetzung (vgl. u.a. Abschnitte 9, 17, 18, 19).
• Widerspruch gegen Direktwerbung: Falls personenbezogene Daten zu Zwecken der Direktwerbung verarbeitet würden, könnten Sie jederzeit ohne Angabe von Gründen widersprechen. Derzeit setzen wir keine Direktwerbung/Tracking im Portal ein.
• Ausübung des Widerspruchs: Bitte richten Sie Ihren Widerspruch an die in Abschnitt 2 genannten Kontaktdaten und erläutern Sie – soweit möglich – Ihre besondere Situation. Eine Begründung ist rechtlich nicht zwingend, hilft uns jedoch bei der Prüfung.
• Prüfung und Abwägung: Wir prüfen Ihren Widerspruch und informieren Sie über das Ergebnis.

23. Beschwerderecht bei der Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe. Sie können sich insbesondere an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsortes, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden. Für den Sitz des Verantwortlichen ist in Nordrhein-Westfalen insbesondere die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) zuständig. Eine Übersicht der Datenschutzaufsichtsbehörden in Deutschland finden Sie außerdem z.B. über die Webseite der/des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

• Beschwerde bei einer Aufsichtsbehörde: Sie können jederzeit eine Beschwerde einreichen. Die Aufsichtsbehörde wird Sie über den Stand und das Ergebnis der Beschwerde informieren.
• Zuständigkeit: In der Praxis ist häufig die Aufsichtsbehörde an Ihrem Wohnsitz/Arbeitsplatz zuständig; alternativ kann auch die Aufsichtsbehörde am Sitz des Verantwortlichen zuständig sein.
• Aufsichtsbehörde (NRW, Sitz des Verantwortlichen): Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW): https://www.ldi.nrw.de
• Kontaktaufnahme: Wir würden es begrüßen, wenn Sie sich vorab mit uns in Verbindung setzen, damit wir Ihr Anliegen schnell klären können. Dies ist jedoch keine Voraussetzung für die Einreichung einer Beschwerde.

24. Pflicht zur Bereitstellung von Daten

Im Rahmen der Nutzung des Portals kann es erforderlich sein, bestimmte personenbezogene Daten bereitzustellen, damit wir den Dienst überhaupt erbringen bzw. einzelne Funktionen zur Verfügung stellen können. Ohne diese Daten ist eine Nutzung des Portals oder bestimmter Funktionen ggf. nicht oder nur eingeschränkt möglich. Welche Daten im Einzelfall erforderlich sind, hängt insbesondere davon ab, ob Sie ein Konto erstellen, ein Profil pflegen, Projekte anlegen/verwenden, Dokumente hochladen oder kostenpflichtige Funktionen nutzen.

• Erforderliche Daten für Konto/Authentifizierung: Für die Registrierung und den Login sind typischerweise Angaben wie Name, E-Mail-Adresse und ein Passwort erforderlich. Ohne diese Daten ist die Kontoerstellung und Anmeldung nicht möglich.
• Erforderliche Daten für Kernfunktionen: Für bestimmte Funktionen (z.B. Projektverwaltung, Bewerbungen/Interessen, Team-/Unternehmensprofil, Kommunikation) können weitere Angaben notwendig sein, damit die Funktion sinnvoll genutzt werden kann.
• Uploads/Dokumente: Das Hochladen von Dateien ist grundsätzlich freiwillig, kann aber Voraussetzung sein, um Nachweise/Informationen im Portal bereitzustellen. Bitte laden Sie nur Inhalte hoch, die für den Zweck erforderlich sind.
• Zahlungsabwicklung: Bei Nutzung kostenpflichtiger Funktionen ist die Bereitstellung der für die Zahlungsabwicklung notwendigen Daten erforderlich. Die Zahlungsabwicklung erfolgt über Stripe (siehe Abschnitt 15).
• Folgen der Nichtbereitstellung: Wenn erforderliche Daten nicht bereitgestellt werden, kann der Vertrag/die Nutzung einzelner Funktionen nicht durchgeführt werden oder es können Einschränkungen entstehen.

25. Automatisierte Entscheidungen / Profiling

Wir treffen keine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidungen im Sinne des Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Soweit im Portal automatisierte Verarbeitungen eingesetzt werden (z.B. technische Filter, Sortierungen oder Priorisierungen), dienen diese in der Regel der Bereitstellung und Verbesserung der Funktionen, der IT-Sicherheit, der Missbrauchsprävention oder der Qualitätssicherung. Solche Prozesse ersetzen nicht zwingend eine menschliche Bewertung bzw. Entscheidung. Wenn Sie Fragen zur Funktionsweise solcher Prozesse haben, können Sie sich jederzeit an uns wenden (siehe Abschnitt 2).

• Keine Entscheidungen mit Rechtswirkung ausschließlich automatisiert: Entscheidungen, die rechtliche Wirkung entfalten oder Sie erheblich beeinträchtigen, werden nicht allein durch Algorithmen getroffen.
• Mögliche automatisierte Auswertungen im Portal: z.B. Sortierungen/Scorings/Statuslogik zur Darstellung von Vorgängen, sowie technische Sicherheits- und Missbrauchserkennung.
• Transparenz und Ansprechpartner: Sie können Auskunft über die wesentlichen Gründe/Parameter verlangen, soweit dies im Einzelfall anwendbar und rechtlich zulässig ist.

26. Internationale Datenübermittlung (Drittländer)

Sofern wir Dienstleister einsetzen, kann es – abhängig von deren Sitz sowie von der technischen Ausgestaltung – zu einer Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) („Drittländer“) kommen oder zu einem Zugriff von dort. Insbesondere bei der Zahlungsabwicklung über Stripe (siehe Abschnitt 15) sowie – sofern Sie eingewilligt haben – beim Einsatz von Google Ads Conversion Tracking (siehe Abschnitt 10) ist es möglich, dass Daten auch außerhalb des EWR verarbeitet werden. Ob und in welchem Umfang eine Drittlandsübermittlung stattfindet, hängt von der jeweiligen Konfiguration sowie vom konkreten Dienstleister und dessen Unterauftragnehmern ab. Wenn eine Übermittlung in ein Drittland erfolgt, stellen wir sicher, dass hierfür die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Dies kann z.B. durch einen Angemessenheitsbeschluss der EU-Kommission oder durch geeignete Garantien (insbesondere Standardvertragsklauseln) erfolgen. Zusätzlich können – je nach Risiko – weitere technische und organisatorische Maßnahmen eingesetzt werden.

• Mögliche Empfänger/Dienstleister: Zahlungsdienstleister (z.B. Stripe), Google (Google Ads, sofern eingewilligt), E-Mail-/Infrastruktur-/Support-Dienstleister (je nach Konfiguration).
• Rechtsgrundlagen und Schutzmechanismen: Angemessenheitsbeschluss oder geeignete Garantien (z.B. EU-Standardvertragsklauseln) gemäß Art. 44 ff. DSGVO; ggf. ergänzende Schutzmaßnahmen.
• Weitere Informationen: Auf Anfrage stellen wir Ihnen – soweit zulässig – weitergehende Informationen zu eingesetzten Garantien zur Verfügung (siehe Abschnitt 2).

27. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn dies aufgrund geänderter Rechtslage, technischer Weiterentwicklungen, Änderungen unserer Dienste oder der Datenverarbeitung erforderlich wird. Die jeweils aktuelle Fassung ist im Portal abrufbar. Bei wesentlichen Änderungen (insbesondere wenn neue Zwecke oder Empfänger hinzukommen) informieren wir Sie in geeigneter Weise, z.B. durch einen Hinweis im Portal oder per E-Mail, soweit dies erforderlich ist. Bitte prüfen Sie diese Datenschutzerklärung in regelmäßigen Abständen, um sich über den aktuellen Stand zu informieren.

• Geltungsbereich: Es gilt die jeweils im Portal veröffentlichte Fassung.
• Wesentliche Änderungen: Bei erheblichen Änderungen informieren wir Sie in geeigneter Form.
• Stand/Datum: Das oben angezeigte „Stand“-Datum dokumentiert die letzte Aktualisierung.