Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Pascas Labs UG (haftungsbeschränkt)
Im Mediapark 5, 50670 Köln, Deutschland
Registergericht: Amtsgericht Köln, HRB 127717
E-Mail: info@pascas-labs.com

2. Welche Daten wir verarbeiten

Im Rahmen der Nutzung von BauMeld werden folgende Daten verarbeitet:

  • Registrierungsdaten: E-Mail-Adresse, Passwort (verschlüsselt), Firmenname, Branche
  • Mitarbeiterdaten: Name, E-Mail, Rolle im Betrieb
  • Projektdaten: Baustellen, Projektnamen, Beschreibungen
  • Sprachaufnahmen: Audioaufnahmen von Mitarbeitern auf der Baustelle (temporär, zur Transkription)
  • Transkripte und KI-Auswertungen: Verschriftlichung und Klassifizierung der Sprachnotizen
  • Zahlungsdaten: Name, Rechnungsadresse, Steuer-ID, E-Mail, Zahlungsmittel-Token (bei kostenpflichtigen Abonnements; Kartendaten selbst erreichen uns nicht)
  • Nutzungsdaten: Login-Zeitpunkte, IP-Adressen (durch Supabase Auth)

3. Zweck der Verarbeitung und Rechtsgrundlagen

Die Verarbeitung erfolgt zu folgenden Zwecken und auf folgenden Rechtsgrundlagen:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der App-Funktionalität (Meldungen, Projekte, Fälle, Mitarbeiter, Zahlungsabwicklung kostenpflichtiger Abonnements).
  • Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung von Rechnungen und Buchungsbelegen nach AO/HGB.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): anonyme Website-Statistik (Plausible), technische Absicherung gegen Missbrauch (Supabase Auth-Logs).

4. Eingesetzte Drittanbieter

Supabase (Datenbank & Authentifizierung)

Supabase Inc., 970 Toa Payoh North, Singapur. Datenbank-Region: Frankfurt, Deutschland (EU). Es findet kein Drittland-Transfer statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO für Auth-Logs (technische Absicherung). Datenschutz: supabase.com/privacy

OpenAI (Sprachtranskription & KI-Auswertung)

OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA. Sprachaufnahmen und Transkripte werden zur Transkription (Whisper API) und Analyse (GPT API) an OpenAI übertragen. OpenAI verarbeitet API-Inhalte gemäß dem OpenAI Data Processing Addendum nicht zu eigenen Trainingszwecken und löscht sie gemäß der OpenAI Retention Policy (maximal 30 Tage, außer bei rechtlichen Verpflichtungen). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Da OpenAI nicht unter dem EU-US Data Privacy Framework zertifiziert ist, stützt sich der Drittland-Transfer in die USA auf die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss 2021/914 der EU-Kommission); diese sind Bestandteil des OpenAI DPA. Datenschutz: openai.com/privacy, DPA: openai.com/policies/data-processing-addendum

Resend (E-Mail-Versand)

Resend Inc., San Francisco, USA. Wird für den Versand von Einladungs-, Benachrichtigungs- und System-E-Mails genutzt. Übertragen werden E-Mail-Adresse, Name und Inhalt der jeweiligen Nachricht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für Datenübermittlungen in die USA ist Resend unter dem EU-US Data Privacy Framework zertifiziert (Art. 45 DSGVO, Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Datenschutz: resend.com/legal/privacy-policy

Stripe (Zahlungsabwicklung)

Stripe Payments Europe, Limited, The One Building, 1 Grand Canal Street Lower, Dublin 2, Irland (Auftragsverarbeiter mit Unterauftragsverarbeitung durch Stripe, Inc., San Francisco, USA). Wir nutzen Stripe für die Abwicklung kostenpflichtiger Abonnements. Übertragen werden: Name, Rechnungsadresse, Steuer-ID, E-Mail, Zahlungsmittel-Token (die Kartendaten selbst werden ausschließlich zwischen Ihrem Browser und Stripe verarbeitet, wir sehen sie nicht). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Verpflichtungen, insbesondere Rechnungsstellung). Für Datenübermittlungen an Stripe, Inc. in die USA ist Stripe unter dem EU-US Data Privacy Framework zertifiziert (Art. 45 DSGVO, Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023); zusätzlich hat Stripe Standardvertragsklauseln im DPA vereinbart. Datenschutz: stripe.com/privacy, DPF-Zertifikat: stripe.com/legal/data-privacy-framework

Plausible Analytics (Website-Statistik)

Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland. Wir nutzen Plausible Analytics, um anonyme Besuchsstatistiken unserer Website zu erfassen (Seitenaufrufe, Verweildauer, Herkunftsland, Gerätetyp). Plausible setzt keine Cookies und legt keinen LocalStorage an. Es werden keine personenbezogenen Daten gespeichert — Besucher werden über einen täglich rotierenden Hash aus IP-Adresse und User-Agent erkannt, ohne dass die Rohdaten gespeichert werden. Die Server stehen in der Europäischen Union; ein Drittland-Transfer findet nicht statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen und statistischen Auswertung unserer Website). Datenschutz: plausible.io/privacy, Data Policy: plausible.io/data-policy

Netcup GmbH (Server-Hosting)

Netcup GmbH, Karlsruhe, Deutschland. Server-Standort: Nürnberg, Deutschland. Es findet kein Drittland-Transfer statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Datenschutz: netcup.de

5. Drittland-Transfer (Zusammenfassung)

Pro Vendor differenziert sich die Rechtsgrundlage für Datenübermittlungen in Drittländer wie folgt:

  • OpenAI, USA: Art. 46 DSGVO (EU-Standardvertragsklauseln, Bestandteil des OpenAI DPA) — OpenAI ist nicht DPF-zertifiziert.
  • Resend, USA: Art. 45 DSGVO (EU-US Data Privacy Framework, Angemessenheitsbeschluss vom 10.07.2023).
  • Stripe (Unterauftragsverarbeiter in USA): Art. 45 DSGVO (EU-US Data Privacy Framework) zuzüglich Standardvertragsklauseln im DPA.
  • Kein Drittland-Transfer bei: Supabase (EU-Frankfurt), Plausible (EU-Estland), Netcup (Deutschland).

6. Speicherdauer

  • Account-Daten (Profil, E-Mail, Betriebsdaten, Projekte, Fälle): für die Dauer des aktiven Vertrags, danach Löschung innerhalb von 30 Tagen nach Kündigung.
  • Rechnungen und steuerlich relevante Buchungsbelege: 8 Jahre nach Ablauf des Kalenderjahres, in dem die Rechnung ausgestellt wurde (§ 147 Abs. 3 AO i.V.m. § 257 HGB, in der Fassung des Vierten Bürokratieentlastungsgesetzes vom 29.10.2024). Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO.
  • Sprachaufnahmen (Audio-Dateien): werden spätestens 30 Tage nach erfolgreicher Transkription automatisch gelöscht.
  • Transkripte und KI-Auswertungen: wie Account-Daten, Löschung 30 Tage nach Kündigung.
  • Log-Daten (IP-Adressen bei Supabase Auth): 7 Tage zu Sicherheitszwecken.

7. Ihre Rechte

Sie haben das Recht auf:

  • Auskunft über gespeicherte Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Für Anfragen wenden Sie sich an: info@pascas-labs.com
Sie haben zudem das Recht, sich bei der zuständigen Datenschutzbehörde zu beschweren.

8. Cookies & Tracking

BauMeld verwendet ausschließlich technisch notwendige Cookies für die Session-Verwaltung (Supabase Auth). Für die Website-Statistik setzen wir Plausible Analytics ein, das bewusst cookielos arbeitet und keine personenbezogenen Daten speichert. Es werden keine Tracking-, Marketing- oder klassischen Analyse-Cookies eingesetzt. Ein Cookie-Banner ist daher nicht erforderlich.

ImpressumStartseite