Rechtliches
Datenschutzerklärung
Stand: 13. Mai 2026
BauPilot nimmt den Schutz personenbezogener Daten ernst. Diese Erklärung informiert Sie nach Art. 13/14 DSGVO darüber, welche Daten wir verarbeiten, auf welcher Grundlage und welche Rechte Sie haben. Hosting erfolgt ausschließlich in der EU.
1. Verantwortlicher
BauPilot GmbH (i. Gr.), Friedrichstraße 123, 10117 Berlin, Deutschland. E-Mail: datenschutz@baupilot.de.
2. Datenschutzbeauftragter
Ein externer Datenschutzbeauftragter ist bestellt und unter dpo@baupilot.de erreichbar.
3. Welche Daten wir verarbeiten
3.1 Beim Besuch der Marketing-Website
Beim Aufruf von baupilot.de werden technische Daten verarbeitet (IP, Browser, Referrer). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Betrieb der Website). Speicherung bis zu 14 Tage in den Server-Logs.
3.2 Bei Nutzung der Plattform (app.baupilot.de)
Mit der Registrierung werden Name, E-Mail, Organisation, Rolle, Bundesland sowie Inhalte (Pläne, Fotos, Mängel) verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Daten werden für die Dauer des Vertrags und gemäß steuerlicher Aufbewahrungspflichten gespeichert.
3.3 Beim kostenlosen Bauantrag-Check (Lead-Magnet)
Bei Nutzung der kostenlosen Erstprüfung werden E-Mail, Bundesland, Projekttyp und der hochgeladene PDF-Plan verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme). Daten werden gelöscht 90 Tage nach letztem Kontakt, falls kein Trial gestartet wird.
4. Auftragsverarbeiter (Sub-Prozessoren)
Wir setzen folgende Dienstleister mit Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ein:
| Anbieter | Zweck | Standort | Rechtsgrundlage |
|---|---|---|---|
| Anthropic, PBC | KI-Modelle Claude (Plan-Compliance, Mängel-Klassifizierung, Email-Klassifizierung) | EU (Datenresidenz Frankfurt), Service-Provider USA mit EU-SCC | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Supabase Inc. | Datenbank (Postgres), Objekt-Speicher für Pläne und Fotos | Region Frankfurt (eu-central-1) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Clerk, Inc. | Authentifizierung, SSO, Nutzerverwaltung | EU-Region (Frankfurt), USA mit EU-SCC | Art. 6 Abs. 1 lit. b DSGVO |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (Kreditkarte, SEPA) | Irland, mit Übermittlung an Stripe USA (EU-SCC) | Art. 6 Abs. 1 lit. b DSGVO |
| Sentry / Functional Software, Inc. | Fehler- und Performance-Monitoring | EU-Region (Frankfurt) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Plattformstabilität) |
| PostHog Inc. | Produkt-Analytics (anonymisiert, pseudonymisiert) | EU-Region (Frankfurt) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via Consent-Banner) |
| Cloudflare Germany GmbH | CDN, DDoS-Schutz, DNS | Global, mit EU-First-Routing | Art. 6 Abs. 1 lit. f DSGVO (Sicherheit der Plattform) |
| Coolify (Hetzner Cloud) | Hosting der Web-Applikation | Hetzner Falkenstein und Helsinki | Art. 6 Abs. 1 lit. b DSGVO |
| Hetzner Online GmbH | Server-Infrastruktur | Deutschland (Falkenstein, Nürnberg) | Art. 6 Abs. 1 lit. b DSGVO |
| Resend (BresExp Technologies Inc.) | Transaktionale E-Mails (Bestätigungen, Benachrichtigungen) | EU-Region (Irland) | Art. 6 Abs. 1 lit. b DSGVO |
5. Weitergabe an Dritte
Eine Weitergabe Ihrer Daten an Dritte findet ausschließlich an die oben genannten Auftragsverarbeiter und ggf. an von Ihnen ausdrücklich adressierte Behörden statt. Eine Übermittlung an Drittländer (außerhalb EU/EWR) erfolgt nur auf Basis von Standardvertragsklauseln nach Art. 46 DSGVO.
6. Ihre Rechte als Betroffene
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Recht auf Widerspruch (Art. 21 DSGVO)
- Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — zuständig: Berliner Beauftragte für Datenschutz und Informationsfreiheit
7. Cookies und Tracking
Wir setzen technisch notwendige Cookies (Session, CSRF) auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO ohne Einwilligung. Analyse-Cookies (PostHog) nur mit ausdrücklicher Einwilligung über den Consent-Banner.
8. Sicherheit der Verarbeitung
Wir setzen TLS 1.3, AES-256 für sensible Spalten (Enterprise-Plan), regelmäßige Penetration-Tests und ISO 27001 in Auditierung ein. Backups sind verschlüsselt und werden 30 Tage in einer separaten Region (Helsinki) vorgehalten.
9. Änderungen dieser Erklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Aktualisierungen werden auf dieser Seite mit einem neuen Stand-Datum veröffentlicht. Bei wesentlichen Änderungen informieren wir Sie zusätzlich per E-Mail.