Zum Hauptinhalt

Rechtliches

Datenschutzerklärung

Stand: 13. Mai 2026

BauPilot nimmt den Schutz personenbezogener Daten ernst. Diese Erklärung informiert Sie nach Art. 13/14 DSGVO darüber, welche Daten wir verarbeiten, auf welcher Grundlage und welche Rechte Sie haben. Hosting erfolgt ausschließlich in der EU.

1. Verantwortlicher

BauPilot GmbH (i. Gr.), Friedrichstraße 123, 10117 Berlin, Deutschland. E-Mail: datenschutz@baupilot.de.

2. Datenschutzbeauftragter

Ein externer Datenschutzbeauftragter ist bestellt und unter dpo@baupilot.de erreichbar.

3. Welche Daten wir verarbeiten

3.1 Beim Besuch der Marketing-Website

Beim Aufruf von baupilot.de werden technische Daten verarbeitet (IP, Browser, Referrer). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Betrieb der Website). Speicherung bis zu 14 Tage in den Server-Logs.

3.2 Bei Nutzung der Plattform (app.baupilot.de)

Mit der Registrierung werden Name, E-Mail, Organisation, Rolle, Bundesland sowie Inhalte (Pläne, Fotos, Mängel) verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Daten werden für die Dauer des Vertrags und gemäß steuerlicher Aufbewahrungspflichten gespeichert.

3.3 Beim kostenlosen Bauantrag-Check (Lead-Magnet)

Bei Nutzung der kostenlosen Erstprüfung werden E-Mail, Bundesland, Projekttyp und der hochgeladene PDF-Plan verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme). Daten werden gelöscht 90 Tage nach letztem Kontakt, falls kein Trial gestartet wird.

4. Auftragsverarbeiter (Sub-Prozessoren)

Wir setzen folgende Dienstleister mit Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ein:

AnbieterZweckStandortRechtsgrundlage
Anthropic, PBCKI-Modelle Claude (Plan-Compliance, Mängel-Klassifizierung, Email-Klassifizierung)EU (Datenresidenz Frankfurt), Service-Provider USA mit EU-SCCArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Supabase Inc.Datenbank (Postgres), Objekt-Speicher für Pläne und FotosRegion Frankfurt (eu-central-1)Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Clerk, Inc.Authentifizierung, SSO, NutzerverwaltungEU-Region (Frankfurt), USA mit EU-SCCArt. 6 Abs. 1 lit. b DSGVO
Stripe Payments Europe Ltd.Zahlungsabwicklung (Kreditkarte, SEPA)Irland, mit Übermittlung an Stripe USA (EU-SCC)Art. 6 Abs. 1 lit. b DSGVO
Sentry / Functional Software, Inc.Fehler- und Performance-MonitoringEU-Region (Frankfurt)Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Plattformstabilität)
PostHog Inc.Produkt-Analytics (anonymisiert, pseudonymisiert)EU-Region (Frankfurt)Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via Consent-Banner)
Cloudflare Germany GmbHCDN, DDoS-Schutz, DNSGlobal, mit EU-First-RoutingArt. 6 Abs. 1 lit. f DSGVO (Sicherheit der Plattform)
Coolify (Hetzner Cloud)Hosting der Web-ApplikationHetzner Falkenstein und HelsinkiArt. 6 Abs. 1 lit. b DSGVO
Hetzner Online GmbHServer-InfrastrukturDeutschland (Falkenstein, Nürnberg)Art. 6 Abs. 1 lit. b DSGVO
Resend (BresExp Technologies Inc.)Transaktionale E-Mails (Bestätigungen, Benachrichtigungen)EU-Region (Irland)Art. 6 Abs. 1 lit. b DSGVO

5. Weitergabe an Dritte

Eine Weitergabe Ihrer Daten an Dritte findet ausschließlich an die oben genannten Auftragsverarbeiter und ggf. an von Ihnen ausdrücklich adressierte Behörden statt. Eine Übermittlung an Drittländer (außerhalb EU/EWR) erfolgt nur auf Basis von Standardvertragsklauseln nach Art. 46 DSGVO.

6. Ihre Rechte als Betroffene

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch (Art. 21 DSGVO)
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — zuständig: Berliner Beauftragte für Datenschutz und Informationsfreiheit

7. Cookies und Tracking

Wir setzen technisch notwendige Cookies (Session, CSRF) auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO ohne Einwilligung. Analyse-Cookies (PostHog) nur mit ausdrücklicher Einwilligung über den Consent-Banner.

8. Sicherheit der Verarbeitung

Wir setzen TLS 1.3, AES-256 für sensible Spalten (Enterprise-Plan), regelmäßige Penetration-Tests und ISO 27001 in Auditierung ein. Backups sind verschlüsselt und werden 30 Tage in einer separaten Region (Helsinki) vorgehalten.

9. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Aktualisierungen werden auf dieser Seite mit einem neuen Stand-Datum veröffentlicht. Bei wesentlichen Änderungen informieren wir Sie zusätzlich per E-Mail.