BauKollege LogoBauKollege

Datenschutzerklärung

Hinweis zum Demo-Betrieb: BauKollege befindet sich derzeit im Aufbau. Die Plattform ist ohne gesonderten Vertrag, AVV/DPA und NDA nicht für produktive Verarbeitung vertraulicher Informationen, besonderer Kategorien personenbezogener Daten oder personenbezogener Daten Dritter bestimmt.

1. Verantwortliche

Gemeinsam verantwortlich für die Datenverarbeitung auf dieser Website und im Demo-Betrieb sind:

Luca Burghard

Janik Schellenberger

Bastian Wiesner

Leo-Graetz-Straße 16
81379 München

info@baukollege.de

Die interne Zuständigkeitsverteilung der gemeinsam Verantwortlichen kann unter der oben genannten E-Mail-Adresse angefragt werden.

2. Allgemeines und Anwendungsbereich

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei Nutzung der BauKollege-Website, des Kontaktformulars, des Demo-/Dashboard-Bereichs, der Projektfunktionen, der Datei-Uploads, der Chat- und KI-Funktionen sowie der zugehörigen API.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, z.B. Name, E-Mail-Adresse, IP-Adresse, Nutzerkennung, Projektbezug, Kommunikationsinhalte, Audioaufnahmen, Fotos oder Dokumenteninhalte, soweit daraus Personen identifizierbar sind.

BauKollege ist derzeit ein Demo-/Testsystem. Nutzer dürfen ohne gesonderte Vereinbarung keine vertraulichen, produktiven oder besonders sensiblen Inhalte eingeben oder hochladen.

3. Datenschutzrollen, AVV/DPA und Nutzung durch Unternehmen

Soweit wir eigene Zwecke verfolgen, z.B. Betrieb der Website, Beantwortung von Kontaktanfragen, Missbrauchsschutz oder Bereitstellung eigener Demo-Zugänge, handeln wir als Verantwortliche.

Wenn Unternehmen BauKollege produktiv einsetzen und dabei personenbezogene Daten ihrer Kunden, Mitarbeiter, Subunternehmer oder sonstiger Dritter verarbeiten lassen, kann eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO vorliegen. Eine solche produktive Nutzung ist erst zulässig, wenn hierfür vorab eine gesonderte Vereinbarung einschließlich AVV/DPA geschlossen wurde.

Solange keine solche Vereinbarung besteht, ist die Nutzung auf Demo- und Testdaten zu beschränken. Es dürfen keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO, keine Geschäftsgeheimnisse und keine sicherheitskritischen Informationen eingegeben werden.

4. Aufruf der Website und Hosting

Die Website und zugehörige Dienste können über Vercel und weitere technische Infrastruktur betrieben werden. Beim Aufruf der Website werden technisch erforderliche Daten verarbeitet, um die Website bereitzustellen, Anfragen auszuliefern, Fehler zu analysieren und den sicheren Betrieb zu gewährleisten.

Dabei können insbesondere folgende Daten verarbeitet werden:

  • IP-Adresse,
  • Datum und Uhrzeit des Zugriffs,
  • aufgerufene Seiten, Dateien und Endpunkte,
  • HTTP-Statuscodes, Referrer-URL und technische Request-Daten,
  • Browsertyp, Browserversion, Betriebssystem und Geräteinformationen,
  • technische Log-, Fehler- und Sicherheitsdaten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren, stabilen und effizienten Betrieb der Website. Soweit die Verarbeitung zur Bereitstellung angefragter Demo-/Login-Funktionen erforderlich ist, ist zusätzlich Art. 6 Abs. 1 lit. b DSGVO einschlägig.

5. Kontaktformular, E-Mail-Kommunikation und Rate-Limit

Wenn Sie uns per E-Mail oder über das Kontaktformular kontaktieren, verarbeiten wir die von Ihnen übermittelten Angaben, um Ihre Anfrage zu bearbeiten und mit Ihnen zu kommunizieren.

Dies betrifft insbesondere:

  • Name,
  • Firma,
  • E-Mail-Adresse,
  • Telefonnummer, falls angegeben,
  • Nachrichteninhalt,
  • Zeitpunkt der Anfrage,
  • IP-Adresse und technische Request-Daten zur Missbrauchsvermeidung.

Für das Kontaktformular besteht ein technisches Rate-Limit. Dabei wird die IP-Adresse kurzfristig verarbeitet, um innerhalb eines Zeitfensters von derzeit 10 Minuten automatisierte oder übermäßige Anfragen zu erkennen. Das Rate-Limit wird serverseitig technisch geführt und dient ausschließlich dem Schutz vor Spam und Missbrauch.

Für den Versand und Empfang von E-Mails über das Kontaktformular sowie für Einladungs- und Benachrichtigungs-E-Mails nutzen wir Resend. Dabei werden E-Mail-Adresse, Nachrichteninhalte, Betreff, Absender-/Empfängerinformationen und technische Versanddaten an Resend übermittelt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage auf Vertragsanbahnung oder Demo-Bereitstellung gerichtet ist, sowie Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an effizienter Kommunikation, Missbrauchsschutz und Nachvollziehbarkeit von Anfragen.

6. Spamschutz mit Cloudflare Turnstile

Zum Schutz des Kontaktformulars vor Bots, Spam und automatisiertem Missbrauch kann Cloudflare Turnstile eingesetzt werden. Anbieter ist Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA.

Turnstile kann technische Daten wie IP-Adresse, Browser- und Geräteinformationen, Interaktionsdaten, Challenge-Token, Zeitpunkt des Aufrufs und Sicherheitsmerkmale verarbeiten, um zu prüfen, ob die Eingabe durch einen Menschen oder ein automatisiertes System erfolgt.

Die Nutzung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im Schutz unserer Dienste vor Spam, automatisierten Angriffen, Missbrauch und Sicherheitsrisiken. Soweit technisch erforderliche Speicherungen auf dem Endgerät erfolgen, ist § 25 Abs. 2 Nr. 2 TDDDG einschlägig.

7. Demo-/Dashboard-Bereich, Login und Supabase

Für Authentifizierung, Sitzungsverwaltung, Datenbank, Dateiablage und Zugriffskontrolle nutzen wir Supabase. Im Demo-/Dashboard-Bereich können insbesondere folgende Daten verarbeitet werden:

  • Nutzerkonto-Daten, z.B. E-Mail-Adresse, Nutzer-ID, Vor- und Nachname, Rolle und Einladungsstatus,
  • Authentifizierungsdaten, Session-Tokens, Login-Status und Passwort-Reset-Informationen,
  • Organisationsdaten, z.B. Organisationsname, Slug, Status und Limits,
  • Projektinformationen, z.B. Kundenname, Auftragsnummer, Adresse, Beschreibung und Hinweise, Status und Ersteller,
  • Mitgliedschaften und Rollen in Organisationen und Projekten,
  • Dokument-Metadaten, Upload-Zeitpunkt, Dateiname, Dateityp, Dateigröße, Hashwerte und Verarbeitungsstatus,
  • Chat-Sessions, Chatnachrichten, Chatbilder, KI-Ausgaben und Dokumentquellen,
  • Wissenselemente, Beschreibungen, Bilder und abgeleitete Suchdaten.

Die Verarbeitung erfolgt zur Bereitstellung des Demo-/Dashboard-Bereichs, zur Authentifizierung, Zugriffskontrolle, Projektverwaltung, Zusammenarbeit, Dokumentenverwaltung und Missbrauchsvermeidung.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung angeforderter Demo- oder Projektfunktionen erforderlich ist, sowie Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an sicherem Betrieb, Zugriffsschutz, Fehleranalyse und Weiterentwicklung.

8. Datei-Uploads, Dokumente und Wissenselemente

Nutzer können im Demo-/Dashboard-Bereich Inhalte eingeben oder hochladen, z.B. PDF-Dateien, Textdateien, Bilder/Fotos, Chatbilder und Wissenselemente. Dateien werden in geschützten Speicherbereichen abgelegt und mit Metadaten in der Datenbank verwaltet.

Derzeit können je nach Funktion insbesondere PDF, TXT, PNG, JPEG und WebP unterstützt werden. Uploads können technisch beschränkt sein, z.B. auf 50 MB bei Projektdateien oder geringere Größen bei Chatbildern.

Für Dokumentensuche und KI-Funktionen können Dokumente lokal ausgelesen, in Textabschnitte aufgeteilt und als sogenannte Chunks gespeichert werden. Zusätzlich können Vektor-Embeddings erzeugt und gespeichert werden. Bei Bildern können KI-generierte Bildbeschreibungen erstellt werden. Diese abgeleiteten Daten können weiterhin personenbezogene oder vertrauliche Informationen enthalten, wenn solche Informationen im Ursprungsinhalt enthalten waren.

Nutzer sind dafür verantwortlich, nur solche Inhalte hochzuladen, für die sie ausreichende Rechte und eine ausreichende datenschutzrechtliche Grundlage haben.

9. Malware-Prüfung mit VirusTotal

Zur Sicherheit kann bei Datei-Uploads eine Malware-Prüfung über VirusTotal erfolgen. Dabei wird die Datei lokal gehasht und ein SHA-256-Hashwert an VirusTotal übermittelt. Nach der aktuellen technischen Umsetzung wird dabei nicht der Dateiinhalt an VirusTotal hochgeladen.

Die Prüfung dient dazu, bekannte Schadsoftware anhand vorhandener Hashdatenbanken zu erkennen. Unbekannte Dateien können technisch als unauffällig behandelt werden, auch wenn dadurch keine vollständige Sicherheitsgarantie entsteht.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherheit der Plattform, dem Schutz anderer Nutzer und der Vermeidung von Schadcode.

10. Audioaufnahmen und Sprach-zu-Text mit OpenAI

Wenn Nutzer Sprachfunktionen verwenden, kann der Browser Audio aufnehmen und an unsere API übermitteln. Die Audioaufnahme wird zur Transkription an OpenAI übermittelt. Serverseitig kann hierfür kurzfristig eine temporäre Datei erstellt werden, die nach Abschluss des Transkriptionsvorgangs gelöscht wird.

Verarbeitet werden können insbesondere Audiodatei, Dateiname, Dateityp, Dateigröße, Spracheinstellung, Transkript, technische Request-Daten und Fehlermeldungen. Die Audiodatei ist derzeit technisch auf eine maximale Größe beschränkt.

Das erzeugte Transkript kann als Text weiterverwendet werden, z.B. als Chatnachricht, Projektnotiz oder Dokumentationsinhalt. In diesem Fall gelten für das Transkript dieselben Speicher- und Löschregeln wie für den jeweiligen Zielinhalt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur gewünschten Sprach-zu-Text-Funktion erforderlich ist, sowie Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an einer nutzbaren Spracheingabe im Demo-System. Soweit eine Einwilligung erforderlich ist, erfolgt die Nutzung nur nach aktivem Start der Aufnahme durch den Nutzer.

11. KI-Funktionen mit Vercel AI Gateway

BauKollege nutzt externe KI-Dienstleister. Derzeit wird Vercel AI Gateway für Chat-, Bild-, Titel-, Review-Funktionen und Vektor-Embeddings eingesetzt. Je nach konfiguriertem Modell können Anfragen über Vercel an Modellanbieter wie DeepSeek oder OpenAI weitergeleitet werden. Für Sprach-zu-Text kann OpenAI eingesetzt werden.

Je nach Funktion können insbesondere folgende Daten an KI-Dienstleister übermittelt werden:

  • Chatnachrichten, Agenten-/Nutzereingaben und bisherige Chatverläufe,
  • Projektkontext wie Auftragsnummer, Kundenname, Kundenadresse, Beschreibung und Hinweise, Status und Organisation,
  • Bilder/Fotos aus Chat, Dokumenten oder Wissenselementen,
  • Dokumentenauszüge, Suchanfragen, Chunks und abgeleitete Bildbeschreibungen,
  • Audioaufnahmen und Transkripte,
  • KI-Review-Anfragen, Ergebniszusammenfassungen, Fehlermeldungen und technische Metadaten.

Bei der Dokumentensuche können Suchanfragen und Dokument-Chunks über Vercel AI Gateway an den konfigurierten Embedding-Anbieter übermittelt werden, um Embeddings zu erzeugen. Die erzeugten Embeddings werden in unserer Datenbank gespeichert und für Ähnlichkeitssuche verwendet.

Die KI-Anbindungen werden derzeit im Demo-Betrieb über projektinterne Entwickler- bzw. API-Konten betrieben. Solange keine gesonderte Vereinbarung besteht, gibt es keine kundenspezifische Vertraulichkeitsvereinbarung, kein kundenindividuelles NDA, kein kundenspezifisches AVV/DPA, keine zugesicherte Datenresidenz und keine produktionsreife Verarbeitung vertraulicher Kundendaten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung der vom Nutzer angeforderten KI-Funktion erforderlich ist, sowie Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an der Erprobung, Bereitstellung und Verbesserung der Demo-Funktionen.

12. Debug-Logs, Fehleranalyse und Sicherheit

Zur Fehleranalyse, Sicherheit und Stabilität können technische Logs verarbeitet werden. Dazu gehören Zeitpunkte, Statuscodes, Fehlermeldungen, technische Request-Daten, Nutzer- oder Projektkennungen und Anbieterfehlermeldungen.

In der Anwendung existiert eine Debug-Option für KI-Anfragen. Wenn KI-Debug-Logs aktiviert sind, können Prompts, Chatverläufe, Dokumentauszüge, Metadaten oder KI-Antworten in Serverlogs geschrieben werden. Diese Option sollte im produktiven Betrieb deaktiviert sein und nur kurzfristig zur Fehlersuche verwendet werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in Fehlerbehebung, Sicherheit, Missbrauchserkennung und Stabilität der Plattform.

13. Cookies und ähnliche Technologien

Im Demo-/Login-Bereich werden technisch notwendige Cookies für Authentifizierung und Sitzungsverwaltung eingesetzt. Es werden derzeit keine Tracking-, Marketing- oder Werbe-Cookies verwendet und kein Web-Analytics-Tracking betrieben.

Weitere Details finden Sie in unserem Cookie-Hinweis.

14. Zwecke der Verarbeitung

Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken:

  • Bereitstellung, Betrieb und Absicherung der Website,
  • Beantwortung von Kontaktanfragen und Kommunikation zu Demos,
  • Einrichtung und Verwaltung von Demo-/Testzugängen,
  • Authentifizierung, Session-Handling und Zugriffskontrolle,
  • Projekt-, Organisations-, Team- und Rollenverwaltung,
  • Speicherung, Verarbeitung und Suche von Dokumenten, Bildern und Wissenselementen,
  • Bereitstellung von Chat-, Audio-, Bild-, Embedding- und KI-Review-Funktionen,
  • Malware-, Spam-, Rate-Limit- und Missbrauchsschutz,
  • Fehleranalyse, Sicherheit, Stabilität und Weiterentwicklung,
  • Erfüllung gesetzlicher Pflichten und Durchsetzung berechtigter Ansprüche.

15. Rechtsgrundlagen

Die Verarbeitung erfolgt je nach Zusammenhang auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO für Vertragsanbahnung, Demo-Bereitstellung und angeforderte Funktionen,
  • Art. 6 Abs. 1 lit. f DSGVO für sicheren Betrieb, Missbrauchsschutz, Fehleranalyse, Kommunikation und Weiterentwicklung,
  • Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Pflichten bestehen,
  • Art. 6 Abs. 1 lit. a DSGVO, soweit im Einzelfall eine ausdrückliche Einwilligung eingeholt wird,
  • § 25 Abs. 2 Nr. 2 TDDDG für technisch notwendige Cookies und vergleichbare Technologien.

16. Empfänger und Dienstleister

Personenbezogene Daten werden nur weitergegeben, soweit dies für Betrieb, Sicherheit, Kommunikation, gewünschte Funktionen oder gesetzliche Pflichten erforderlich ist. Empfänger können insbesondere sein:

  • Vercel als Hosting- und Infrastruktur-Dienstleister,
  • Supabase für Authentifizierung, Datenbank, Storage und Session-Verwaltung,
  • Resend für E-Mail-Versand und Benachrichtigungen,
  • Cloudflare für Turnstile-Spamschutz und Sicherheitsfunktionen,
  • Vercel AI Gateway und konfigurierte KI-Modellanbieter für Chat-, Bild-, Titel-, Review- und Embedding-Funktionen,
  • OpenAI für Sprach-zu-Text, soweit die Sprachfunktion aktiviert ist,
  • VirusTotal für hash-basierte Malware-Prüfung,
  • interne Projektbeteiligte, soweit dies zur Bearbeitung, Administration oder Fehleranalyse erforderlich ist,
  • Behörden, Gerichte oder sonstige Stellen, soweit wir gesetzlich dazu verpflichtet sind.

17. Drittlandübermittlungen

Einige der eingesetzten Dienstleister haben Sitz oder Infrastruktur außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums, insbesondere in den USA. Dabei kann eine Übermittlung oder ein Zugriff aus Drittländern stattfinden.

Soweit erforderlich, stützen wir Drittlandübermittlungen auf geeignete Garantien, z.B. Angemessenheitsbeschlüsse, Standardvertragsklauseln, zusätzliche Schutzmaßnahmen oder andere nach der DSGVO zulässige Mechanismen. Im Demo-Betrieb kann jedoch keine kundenspezifische Datenresidenz oder produktionsreife Drittlandtransfer-Absicherung zugesichert werden, solange keine gesonderte Vereinbarung besteht.

Aus diesem Grund dürfen ohne gesonderte Vereinbarung keine vertraulichen, produktiven oder besonders sensiblen Daten in BauKollege eingegeben werden.

18. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist, gesetzliche Aufbewahrungspflichten bestehen, berechtigte Interessen fortbestehen oder eine Löschung technisch noch nicht vollständig umgesetzt ist.

DatenkategorieRegelmäßige Speicherdauer
Technische Website- und ServerlogsNur so lange wie für Sicherheit, Stabilität und Fehleranalyse erforderlich; soweit in unserem Einflussbereich regelmäßig maximal 30 Tage, vorbehaltlich längerer Speicherung bei Sicherheitsvorfällen
IP-Daten für Kontaktformular-Rate-LimitKurzfristig im technischen Rate-Limit-Fenster, derzeit ca. 10 Minuten
Kontaktanfragen und E-Mail-KommunikationFür die Bearbeitung und Anschlusskommunikation; regelmäßig bis zu 12 Monate nach Abschluss, soweit keine gesetzlichen Pflichten oder berechtigten Interessen eine längere Speicherung erfordern
Nutzerkonten, Profile, Rollen und EinladungenFür die Dauer des Demo-Zugangs bzw. bis zur Löschung des Accounts oder Beendigung der Demo, vorbehaltlich Backups, Logs und gesetzlicher Pflichten
Projekte, Organisationen, Dokumente, Wissenselemente und ChatsBis zur Löschung durch berechtigte Nutzer, Beendigung der Demo oder Löschung durch uns; Daten können fortbestehen, wenn sie anderen Projekt- oder Organisationsbeteiligten zugeordnet sind
Dokument-Chunks, Bildbeschreibungen und EmbeddingsSolange die zugehörigen Dokumente oder Wissenselemente gespeichert sind oder bis zur erneuten Verarbeitung bzw. Löschung
Audioaufnahmen für TranskriptionServerseitig nur temporär für die Transkription; Transkripte können als Text weitergespeichert werden, wenn sie in Chat, Projekt oder Dokumentation verwendet werden
Backups, Caches und AnbieterlogsKönnen technisch verzögert gelöscht werden; Dauer abhängig vom jeweiligen Anbieter und Sicherheits-/Backupkonzept

Gesetzliche Aufbewahrungspflichten, insbesondere steuer- oder handelsrechtliche Pflichten, können zu längeren Speicherfristen führen.

19. Sicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen ein, um personenbezogene Daten zu schützen. Dazu können insbesondere TLS-Verschlüsselung, rollenbasierte Zugriffskontrollen, private Speicherbereiche, Row-Level-Security, signierte URLs, Zugriffsbeschränkungen, Secret-Management, Dateitypprüfungen, Größenlimits, Rate-Limits und Malware-Hashprüfungen gehören.

Trotz dieser Maßnahmen kann keine absolute Sicherheit garantiert werden. Nutzer sind verpflichtet, keine unnötigen sensiblen Daten einzugeben und Zugangsdaten vertraulich zu behandeln.

20. Keine automatisierten Entscheidungen mit Rechtswirkung

BauKollege erzeugt KI-Ausgaben, Zusammenfassungen, Transkripte, Vorschläge und Suchergebnisse. Diese dienen der Unterstützung und entfalten keine automatische rechtliche Wirkung gegenüber Nutzern oder Dritten. Es findet keine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO statt.

21. Rechte betroffener Personen

Betroffene Personen haben im Rahmen der gesetzlichen Voraussetzungen insbesondere folgende Rechte:

  • Recht auf Auskunft nach Art. 15 DSGVO,
  • Recht auf Berichtigung nach Art. 16 DSGVO,
  • Recht auf Löschung nach Art. 17 DSGVO,
  • Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO,
  • Recht auf Datenübertragbarkeit nach Art. 20 DSGVO,
  • Recht auf Widerspruch nach Art. 21 DSGVO,
  • Recht auf Widerruf einer Einwilligung mit Wirkung für die Zukunft, sofern die Verarbeitung auf Einwilligung beruht.

Außerdem besteht das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere bei der für den eigenen Wohnsitz oder für uns zuständigen Aufsichtsbehörde.

22. Kontakt zum Datenschutz

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte können Sie uns kontaktieren unter:

info@baukollege.de

23. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich BauKollege, die eingesetzten Anbieter, die technischen Funktionen, die rechtlichen Anforderungen oder der Betriebsmodus ändern. Maßgeblich ist die jeweils veröffentlichte Fassung.

Stand: 1. Mai 2026