Datenschutzerklärung

Stand: 8. Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO):

BAUBOOST Consulting GmbH
Weyerhofstrasse 68
47803 Krefeld
Deutschland

Telefon: +49 (0) 2151 / 442 72 10
E-Mail: info@bauboostconsulting.de

Vertretungsberechtigte Geschäftsführer und Handelsregister-Eintrag siehe Impressum.

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Software sowie zur Erfüllung der vertraglich geschuldeten Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung des Nutzers oder auf Grundlage gesetzlicher Erlaubnistatbestände — insbesondere Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten mehr bestehen.

3. Hosting und Bereitstellung der Software

Die Software wird auf Servern eines deutschen Hosting-Dienstleisters betrieben. Beim Aufruf der Anwendung erhebt der Server automatisch die folgenden technischen Daten in sogenannten Server-Log-Dateien:

  • IP-Adresse des aufrufenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene Seite/Ressource
  • HTTP-Statuscode und übertragene Datenmenge
  • aufrufender Browser inkl. Version (User-Agent)
  • Betriebssystem des Nutzers
  • Referrer-URL (zuvor besuchte Seite)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Sicherstellung eines störungsfreien Betriebs, der Abwehr von Angriffen sowie der statistischen Auswertung zur Systemsicherheit.
Speicherdauer: Server-Log-Daten werden in der Regel nach maximal 14 Tagen automatisch gelöscht, sofern sie nicht zu Beweiszwecken im Falle eines Sicherheitsvorfalls länger benötigt werden.

Mit dem Hosting-Dienstleister besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

4. Benutzerkonto und Anmeldung

Für die Nutzung der Software ist die Anlage eines Benutzerkontos durch uns erforderlich. Wir verarbeiten dazu folgende Daten:

  • E-Mail-Adresse
  • Vor- und Nachname
  • Passwort (ausschließlich als kryptographischer Hash gespeichert — das Klartext-Passwort liegt uns nicht vor)
  • Zeitpunkt und IP-Adresse der letzten Anmeldung (zur Erkennung von Anmelde-Anomalien und zum technischen Schutz vor Account-Sharing)
  • Aktuelles Sitzungs-Token zur Durchsetzung der „Ein Gerät pro Account"-Regel

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Verarbeitung der Anmelde-Metadaten stützt sich zusätzlich auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Missbrauchsabwehr).
Speicherdauer: Bis zur Beendigung des Vertragsverhältnisses. Anmelde-Metadaten werden spätestens 12 Monate nach der jeweiligen Anmeldung gelöscht.

5. Mandanten- und Projektdaten

Im Rahmen der Software-Nutzung werden vom Kunden eingegebene Geschäftsdaten verarbeitet:

  • Mandantendaten: Firmenname, Anschrift, Telefon, E-Mail, interne Notizen
  • Stammdaten: Materialien, Aufwandswerte, Geräte, Leistungsgruppen, Lohnsätze, Zuschläge
  • Projektdaten: hochgeladene GAEB-/X83-Leistungsverzeichnisse, Positionen, Mengen, Kalkulationen, Cost-Lines, Excel-Exporte
  • PDF-Dateien (Lieferanten-Preislisten u. Ä.), die der Kunde zur automatisierten Stammdaten-Erfassung hochlädt

Diese Daten verarbeiten wir ausschließlich im Auftrag und auf Weisung des jeweiligen Kunden. Soweit darin personenbezogene Daten Dritter enthalten sind (z. B. Ansprechpartner in Lieferanten-PDFs), sind wir Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Eine entsprechende Vereinbarung wird auf Wunsch des Kunden zur Verfügung gestellt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Solange das Vertragsverhältnis besteht. Nach Vertragsende werden Mandanten- und Projektdaten binnen 30 Tagen aus den produktiven Systemen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6. KI-gestützte Kalkulation (Anthropic)

Zur automatisierten Schätzung von Einheitspreisen für nicht zuordenbare LV-Positionen sowie zur Stammdaten-Extraktion aus PDF-Dateien nutzen wir die API der Anthropic, PBC (548 Market St., PMB 90375, San Francisco, CA 94104, USA; nachfolgend „Anthropic"). Dabei werden die folgenden Daten an Anthropic übermittelt:

  • Kurz- und Langtexte einzelner LV-Positionen
  • Hinterlegte Stammdaten-Begriffe (z. B. Materialnamen) zum Abgleich
  • Inhalt vom Kunden hochgeladener Lieferanten-PDFs (im PDF-Import-Workflow)
  • technische Aufrufmetadaten (Modell-ID, Token-Verbrauch)

Der für die KI-Aufrufe erforderliche API-Schlüssel wird vom Kunden in seinem eigenen Anthropic-Konto erzeugt und in der Software hinterlegt. Die Kosten der KI-Aufrufe werden direkt zwischen Kunde und Anthropic abgerechnet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Drittlandübermittlung: Die Verarbeitung durch Anthropic erfolgt in den USA. Anthropic hat sich nach dem EU-US Data Privacy Framework (DPF) zertifiziert; eine Übermittlung erfolgt damit auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 45 DSGVO. Ergänzend bestehen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Verarbeitungszweck Anthropic: Anthropic verarbeitet die übermittelten Daten ausschließlich zur Beantwortung der konkreten API-Anfrage. Eine Nutzung der Daten zu Trainingszwecken erfolgt nach Anthropic-Standardvertrag nicht.

7. Help-Chat (KI-Assistent)

In der Software steht den Nutzern ein integrierter Help-Chat zur Verfügung, der Fragen zur Bedienung der Software beantwortet. Hierfür werden die vom Nutzer eingegebenen Nachrichten zusammen mit einem festen System-Prompt an Anthropic (siehe Abschnitt 6) übermittelt und dort verarbeitet. Der Chat-Verlauf wird in unserer Datenbank gespeichert, damit der Nutzer einen zusammenhängenden Dialog führen kann.

Wenn der Nutzer den Chat über die Funktion „An Support weiterleiten" eskaliert, wird der vollständige Chat-Verlauf zusammen mit Name, E-Mail-Adresse und der zuletzt aufgerufenen Seite per E-Mail an unser Support-Postfach gesendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung vorvertraglicher und vertraglicher Anfragen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionierenden Support).
Speicherdauer: Chat-Verläufe werden spätestens 12 Monate nach dem letzten Eintrag im Thread gelöscht.

8. E-Mail-Kommunikation

Wir versenden E-Mails (z. B. Begrüßungs-Mails, Passwort-Reset, Eskalationen aus dem Help-Chat) ausschließlich aus Anlass der Software-Nutzung über den Mail-Dienst unseres Hosting-Anbieters. Inhaltliche Anfragen, die uns per E-Mail erreichen, werden zur Bearbeitung verarbeitet und gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Bearbeitung).
Speicherdauer: Mails werden gelöscht, sobald der Anlass entfallen ist; gesetzliche Aufbewahrungspflichten (z. B. nach HGB und AO) bleiben unberührt.

9. Cookies

Wir setzen ausschließlich technisch notwendige Cookies ein, die für den sicheren Betrieb der Software unverzichtbar sind — insbesondere ein Sitzungs-Cookie zur Erhaltung des Login-Zustands sowie ein CSRF-Token zur Absicherung von Formularen. Diese Cookies werden mit dem Schließen der Browser-Sitzung gelöscht.

Tracking-, Analyse- oder Marketing-Cookies setzen wir nicht ein. Eine Einwilligung über einen Cookie-Banner ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG).

10. Audit-Protokoll

Sicherheitsrelevante Aktionen in der Software (z. B. Anmeldung, Anlage und Löschung von Mandanten oder Benutzern, Schlüssel- Aktualisierungen, Mandanten-Wechsel durch den Plattform-Administrator) werden in einem internen Audit-Protokoll mit Zeitstempel, handelnder Person, IP-Adresse und User-Agent festgehalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nachvollziehbarkeit und IT-Sicherheit).
Speicherdauer: in der Regel 12 Monate, im Einzelfall länger, soweit dies zur Aufklärung von Sicherheitsvorfällen erforderlich ist.

11. Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten ausschließlich dann an Dritte weiter, wenn dies zur Vertragserfüllung erforderlich, gesetzlich vorgeschrieben oder durch eine Einwilligung gedeckt ist. Aktuell sind dies insbesondere:

  • unser Hosting-Anbieter (Bereitstellung der Server-Infrastruktur, Sitz in Deutschland) — Auftragsverarbeitung nach Art. 28 DSGVO
  • Anthropic, PBC (KI-Verarbeitung von Position-Texten und PDFs, Sitz in den USA) — Drittlandübermittlung, Details siehe Abschnitt 6

Eine Übermittlung in andere Drittländer findet nicht statt.

12. Rechte der betroffenen Personen

Sie haben uns gegenüber jederzeit folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO), sofern die Verarbeitung auf einem berechtigten Interesse beruht
  • Recht auf Widerruf einer einmal erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung dieser Rechte genügt eine formlose Mitteilung an info@bauboostconsulting.de.

Unabhängig davon steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO). Zuständig für unseren Sitz ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4 · 40213 Düsseldorf
www.ldi.nrw.de

13. Pflicht zur Bereitstellung der Daten

Die Bereitstellung der für die Anlage eines Benutzerkontos und die Vertragsabwicklung erforderlichen Daten ist freiwillig — ohne sie ist eine Nutzung der Software jedoch technisch nicht möglich. Eine darüber hinausgehende Pflicht zur Bereitstellung personenbezogener Daten besteht nicht.

14. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO — also eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung oder vergleichbarer erheblicher Beeinträchtigung der betroffenen Person — findet nicht statt. Die KI-gestützten Kalkulations-Vorschläge werden vom Nutzer manuell geprüft, freigegeben oder verworfen.

15. Aktualität dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage ändert oder Anpassungen unserer Datenverarbeitung dies erforderlich machen. Die jeweils aktuelle Fassung ist über die Software jederzeit abrufbar.