Datenschutzerklärung
1) Einleitung & Verantwortlicher
Wir freuen uns über dein Interesse an HandwerkPapierlos. Der Schutz deiner personenbezogenen Daten ist uns wichtig. Nachfolgend informieren wir dich ausführlich und in klarer Sprache darüber, welche personenbezogenen Daten wir bei der Nutzung unserer App und unserer Website verarbeiten, zu welchen Zwecken und auf welcher Rechtsgrundlage das geschieht und welche Rechte dir zustehen.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – also alle Daten, mit denen du persönlich identifiziert werden kannst.
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger nationaler Datenschutzgesetze sowie weiterer datenschutzrechtlicher Bestimmungen ist:
Hakan Cokkisku c/o flexdienst – #21320 Kurt-Schumacher-Straße 76 67663 Kaiserslautern Deutschland
E-Mail: kontakt@handwerkpapierlos.de
Telefon: +49 160 93477221
Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich; die Voraussetzungen für eine Bestellpflicht (Art. 37 DSGVO / § 38 BDSG) liegen bei uns nicht vor. Bei allen Fragen zum Datenschutz kannst du dich jederzeit unmittelbar an die oben genannte Kontaktadresse wenden.
Doppelrolle (wichtig zu verstehen): Für deine eigenen Konto- und Stammdaten (z. B. dein Name, deine Firmen- und Kontaktdaten, deine Abo-Daten) sind wir der Verantwortliche im Sinne der DSGVO. Für die Daten hingegen, die du selbst über deine eigenen Kunden und Geschäftsvorfälle in der App erfasst (z. B. Kundenadressen, Angebote, Rechnungen, Baustellenfotos), bist du der Verantwortliche – wir verarbeiten diese Daten ausschließlich in deinem Auftrag und nach deinen Weisungen als Auftragsverarbeiter. Hierfür gilt ein separater Vertrag zur Auftragsverarbeitung (AVV), den wir mit dir gesondert schließen.
2) Zugriff auf App & Website (Server-Protokolle) und SSL-/TLS-Verschlüsselung
Bei der bloßen informatorischen Nutzung – also wenn du dich nicht registrierst oder uns keine Daten übermittelst – erheben wir nur diejenigen personenbezogenen Daten, die dein Gerät automatisch an unseren Server übermittelt (sog. Server-Logfiles). Erfasst werden insbesondere: die IP-Adresse des anfragenden Geräts, Datum und Uhrzeit des Zugriffs, die konkret abgerufene Ressource sowie die übertragene Datenmenge und – soweit übermittelt – die zuvor besuchte Quelle, der verwendete Browsertyp und das Betriebssystem.
Wir verarbeiten diese Protokolldaten, um einen sicheren, stabilen und funktionsfähigen Betrieb sicherzustellen, um Missbrauch und Überlastung abzuwehren (z. B. durch eine Begrenzung fehlgeschlagener Anmeldeversuche / Rate-Limiting) und um – bei öffentlich geteilten Angebots- oder Arbeitsnachweis-Links – den Nachweis erteilter Zustimmungen führen zu können. Rechtsgrundlage ist unser berechtigtes Interesse an einem technisch einwandfreien, sicheren und missbrauchsfreien Dienst (Art. 6 Abs. 1 lit. f DSGVO).
Eine Zusammenführung dieser Daten mit anderen Datenquellen zur Profilbildung oder eine Weitergabe zu Werbezwecken findet nicht statt. Die Logdaten werden für maximal 7 Tage gespeichert und danach automatisch gelöscht.
Zum Schutz deiner Daten bei der Übertragung sind alle Verbindungen zwischen App/Website und unseren Servern durchgehend mit einer SSL-/TLS-Verschlüsselung nach dem Stand der Technik gesichert (im Browser erkennbar an „https://“ und dem Schloss-Symbol in der Adresszeile). Die hierfür eingesetzten Zertifikate werden über Let’s Encrypt bereitgestellt; einen externen Content-Delivery-Network- oder Proxy-Dienst (z. B. Cloudflare) setzen wir bewusst nicht ein.
3) Keine Werbe-Tracker, keine Profile – nur cookielose Reichweitenmessung & technische Cookies
Uns ist wichtig, dass du uns ohne aufdringliches Tracking nutzen kannst. Wir setzen bewusst keine profilbildenden Tracking- oder Werbedienste ein. Insbesondere verwenden wir kein Google Analytics, keine Google Signals, keine geräte- oder nutzerübergreifenden Werbe-IDs, kein Remarketing/Retargeting, keine Google-Ads-Conversion-Messung und keine Social-Media-Pixel (z. B. von Meta/Facebook). Wir erstellen keine Nutzungs- oder Interessenprofile und führen Daten nicht über Geräte oder Dienste hinweg zusammen.
Zur Messung der Reichweite unserer Website (z. B. Anzahl der Besuche, aufgerufene Seiten, ungefähre Herkunftsregion sowie verwendeter Browser- bzw. Gerätetyp) nutzen wir die datensparsame, cookielose Webanalyse-Software Umami, die wir selbst auf unseren eigenen Servern in Deutschland (bei der Hetzner Online GmbH) betreiben. Eine Übermittlung dieser Besuchsdaten an Dritte findet nicht statt. Umami kommt ohne Cookies und ohne Speicherung von Informationen auf deinem Endgerät aus, speichert keine IP-Adressen und verwendet keine geräte- oder seitenübergreifende Wiedererkennung. Es entstehen ausschließlich anonyme, aggregierte Statistiken – eine Identifizierung einzelner Personen oder eine Profilbildung ist damit nicht möglich. Die Auswertung dient allein dazu, unser Angebot zu verstehen und zu verbessern. Rechtsgrundlage ist unser berechtigtes Interesse an einer bedarfsgerechten Gestaltung und an der Reichweitenmessung unserer Website (Art. 6 Abs. 1 lit. f DSGVO). Diese Reichweitenmessung erfolgt ausschließlich auf den öffentlichen Seiten unserer Website (Startseite, Informations- und Rechtsseiten sowie Login-/Registrierungsseite) – nicht im eingeloggten Anwendungsbereich und nicht innerhalb der mobilen App.
Weil wir keinerlei einwilligungspflichtige Tracking- oder Marketing-Technologien einsetzen und auch die vorstehende Reichweitenmessung ohne Cookies und ohne Zugriff auf Informationen in deinem Endgerät arbeitet, benötigen und zeigen wir kein Cookie-Consent-Banner und setzen kein Consent-Management-Tool ein.
Verwendet werden ausschließlich technisch notwendige Cookies bzw. vergleichbare lokale Speichermechanismen (z. B. Local Storage / AsyncStorage) – etwa um deine Anmeldung bzw. Sitzung aufrechtzuerhalten und deine App-Einstellungen zu speichern. Diese sind für die von dir gewünschte Bereitstellung und Nutzung des Dienstes unbedingt erforderlich. Rechtsgrundlage für das Speichern und Auslesen dieser Informationen ist § 25 Abs. 2 Nr. 2 TDDDG (Erforderlichkeit für den ausdrücklich gewünschten Dienst); für die anschließende Verarbeitung der Daten Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO. Eine Einwilligung ist hierfür nicht erforderlich.
4) Hosting & Objektspeicher
Wir hosten unsere App, unsere Website, unsere Datenbank sowie den Objektspeicher für hochgeladene Dateien und Fotos bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Die Verarbeitung erfolgt ausschließlich in Rechenzentren innerhalb Deutschlands bzw. der Europäischen Union.
Hetzner verarbeitet dabei alle Daten, die im Zusammenhang mit dem Betrieb und der Nutzung des Dienstes anfallen – insbesondere die in dieser Erklärung genannten Konto-, Fach- und Protokolldaten sowie die von dir hochgeladenen Dateien (z. B. Baustellenfotos und PDF-Dokumente), die im Objektspeicher (S3-kompatibler Speicher) abgelegt werden.
Der Einsatz des Hosting-Dienstleisters erfolgt zur vertragsgemäßen, sicheren und performanten Bereitstellung unseres Angebots; Rechtsgrundlage ist unser berechtigtes Interesse an einem zuverlässigen Betrieb (Art. 6 Abs. 1 lit. f DSGVO) sowie, soweit es um die Erbringung der vertraglichen Leistung geht, Art. 6 Abs. 1 lit. b DSGVO. Mit Hetzner haben wir einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen.
5) Registrierung, Konto & Einwilligungsnachweis
Um den vollen Funktionsumfang zu nutzen, legst du ein Konto an. Dabei verarbeiten wir die von dir angegebenen Daten – insbesondere deinen Namen, optional deinen Firmennamen sowie deine E-Mail-Adresse und das von dir gewählte Passwort. Dein Passwort speichern wir niemals im Klartext, sondern ausschließlich als nicht umkehrbaren kryptografischen Hash (BCrypt).
Rechtsgrundlage für die Verarbeitung der Registrierungsdaten ist die Durchführung des Nutzungsvertrags bzw. die Bereitstellung des von dir angeforderten Kontos (Art. 6 Abs. 1 lit. b DSGVO).
Bei der Registrierung dokumentieren wir zudem deine Zustimmung zu unseren Allgemeinen Geschäftsbedingungen (AGB) sowie die Kenntnisnahme dieser Datenschutzerklärung – mit einem serverseitigen Zeitstempel und der Versionsangabe des zugestimmten Textes. Dies dient ausschließlich dem Nachweis gemäß unserer Rechenschaftspflicht (Art. 5 Abs. 2, Art. 7 DSGVO); Rechtsgrundlage ist unser berechtigtes Interesse an der Nachweisbarkeit (Art. 6 Abs. 1 lit. f DSGVO) sowie die Erfüllung rechtlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO).
6) Welche Daten wir verarbeiten
Je nach Nutzung verarbeiten wir die folgenden Kategorien personenbezogener Daten:
• Konto-/Stammdaten: Name, Firmenname (optional), Anschrift, E-Mail-Adresse, Telefonnummer sowie – soweit von dir angegeben – Steuernummer/USt-IdNr.
• Fachdaten: die von dir erfassten Daten zu deinen Kunden, Angeboten, Rechnungen und E-Rechnungen, Zahlungen, Baustellen sowie die von dir hochgeladenen Baustellen-Fotos und Dokumente. Für diese Daten sind wir Auftragsverarbeiter (siehe Abschnitt 1 und AVV).
• Zahlungsdaten: bei Abschluss eines kostenpflichtigen Abos Name, Rechnungsadresse, gewähltes Zahlungsmittel und Betrag – die eigentliche Zahlungsabwicklung erfolgt über unseren Zahlungsdienstleister Stripe; vollständige Kartendaten gelangen dabei nicht auf unsere Server (siehe Abschnitt 9).
• Push-Token: eine geräte- bzw. dienstbezogene Kennung, sofern du Benachrichtigungen aktivierst (siehe Abschnitt 11).
• Kommunikationsdaten: Inhalte und Kontaktangaben, wenn du uns per E-Mail oder WhatsApp-Support kontaktierst (siehe Abschnitt 8).
• Server-Protokolle: insbesondere IP-Adresse, Zeitpunkt und abgerufene Ressource (siehe Abschnitt 2).
7) Zwecke & Rechtsgrundlagen im Überblick
Wir verarbeiten deine Daten nur, wenn dafür eine Rechtsgrundlage besteht. Im Überblick stützen wir die Verarbeitung auf:
• Vertragserfüllung und vorvertragliche Maßnahmen – Bereitstellung von Konto und App, Synchronisation, Abo-Abwicklung (Art. 6 Abs. 1 lit. b DSGVO).
• Erfüllung rechtlicher Pflichten – insbesondere steuer- und handelsrechtliche Pflichten in Bezug auf unsere eigenen Geschäftsunterlagen sowie Nachweis-/Rechenschaftspflichten (Art. 6 Abs. 1 lit. c DSGVO).
• Berechtigte Interessen – sicherer, stabiler und missbrauchsfreier Betrieb, IT-Sicherheit, Nachweisbarkeit von Zustimmungen und Beantwortung von Anfragen (Art. 6 Abs. 1 lit. f DSGVO).
• Einwilligung – soweit wir dich ausdrücklich um eine Einwilligung bitten, etwa vor der KI-Foto-Schätzung (Art. 6 Abs. 1 lit. a DSGVO). Eine erteilte Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen.
8) Kontaktaufnahme (E-Mail & WhatsApp-Support)
Wenn du uns kontaktierst – etwa per E-Mail oder über unseren WhatsApp-Support –, verarbeiten wir die von dir mitgeteilten Daten ausschließlich zur Bearbeitung und Beantwortung deines Anliegens. Bei einer Kontaktaufnahme über WhatsApp betrifft das insbesondere die von dir genutzte Mobilfunknummer, deinen dort hinterlegten Profilnamen sowie den Inhalt deiner Nachricht.
Rechtsgrundlage ist unser berechtigtes Interesse an der Beantwortung deines Anliegens (Art. 6 Abs. 1 lit. f DSGVO); zielt dein Anliegen auf den Abschluss oder die Durchführung eines Vertrages ab, zusätzlich Art. 6 Abs. 1 lit. b DSGVO. Eine Weitergabe an unbeteiligte Dritte findet nicht statt. Wir löschen die Daten, sobald dein Anliegen abschließend geklärt ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Hinweis zu WhatsApp: Anbieter des Messenger-Dienstes ist die WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Bei der Nutzung von WhatsApp kann es zur Übermittlung von Daten (insbesondere von Verbindungs- und Metadaten) an die Meta Platforms Inc. in die USA kommen; insoweit ist ein Drittlandtransfer nach Art. 44 ff. DSGVO möglich. Wenn du diese Übermittlung vermeiden möchtest, nutze bitte unsere gleichwertige Kontaktmöglichkeit per E-Mail an kontakt@handwerkpapierlos.de – wir bearbeiten dein Anliegen auf diesem Weg genauso.
Problemmeldungen & Verbesserungsvorschläge in der App: Über die Funktion „Problem melden“ kannst du uns Fehler oder Vorschläge senden. Wir verarbeiten dazu den von dir eingegebenen Text sowie technische Begleitdaten (App-Version, Plattform, betroffener Bereich) zur Fehlerbehebung und Produktverbesserung (Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO). Diese Meldungen werden in unserem selbst gehosteten Ticketsystem auf unseren Servern in Deutschland (Hetzner, siehe Abschnitt 4) verarbeitet – ein eigener externer Ticketdienst kommt nicht hinzu. Zur automatischen Einordnung (Titel, Dringlichkeit, Doppelmeldungs-Erkennung) kann der Meldungstext zusätzlich kurz von unserem KI-Dienstleister verarbeitet werden (Mistral, EU – siehe Abschnitt 10); das ist optional, die Bearbeitung funktioniert auch ohne. Wir löschen Meldungen, sobald sie erledigt sind und keine Aufbewahrungspflicht entgegensteht. Bitte gib in der Meldung keine personenbezogenen Daten deiner Kunden an.
9) Zahlungsabwicklung (Stripe)
Schließt du ein kostenpflichtiges Abonnement ab, wird die Zahlung über unseren Zahlungsdienstleister Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland („Stripe“) abgewickelt. Als Zahlungsarten stehen im Checkout Kreditkarte und SEPA-Lastschrift sowie die kartenbasierten Bezahldienste Apple Pay und Google Pay zur Verfügung; weitere Zahlungswege außerhalb von Stripe bieten wir nicht an.
Die für die Zahlungsabwicklung erforderlichen Daten (z. B. Name, Rechnungsadresse, Zahlungsmittel und Betrag) werden hierfür an Stripe übermittelt bzw. von dir direkt bei Stripe eingegeben. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Deine vollständigen Kartendaten gibst du unmittelbar im gehosteten, PCI-DSS-konformen Bezahlvorgang von Stripe ein; sie gelangen nicht auf unsere Server.
Eine Bonitäts-, Score- oder Wahrscheinlichkeitsprüfung (Scoring) deiner Person führen wir nicht durch und beauftragen wir auch nicht.
Stripe ist Teil eines international tätigen Konzerns; dabei kann es zu einem Transfer von Daten in Drittländer (insbesondere in die USA) kommen. Für Übermittlungen in die USA stützt sich Stripe auf den Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework: Die US-Konzerngesellschaften (Stripe, Inc. bzw. Stripe, LLC) sind unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen EU-Standardvertragsklauseln (Art. 44 ff. DSGVO). Weitere Informationen findest du in den Datenschutzhinweisen von Stripe unter stripe.com.
10) KI-Funktionen (Mistral, EU)
Unsere App bietet KI-gestützte Funktionen an: zum einen Text-Vorschläge (z. B. für Angebots- oder Leistungsbeschreibungen), zum anderen eine Foto-Schätzung, bei der hochgeladene Baustellen-Fotos oder PDF-Dokumente ausgewertet werden, um dir einen Vorschlag zu erstellen. Für diese Funktionen setzen wir die Mistral AI SAS, Paris, Frankreich, ein – einen KI-Anbieter mit Sitz und Verarbeitung in der EU.
Übermittelt werden – je nach genutzter Funktion – deine eingegebenen Stichworte und Texte, Leistungs- und Preisangaben aus deinem Katalog sowie, ausschließlich bei der Foto-Schätzung, die von dir hochgeladenen Baustellen-Fotos bzw. PDF-Dokumente. Diese Inhalte können personenbezogene Daten enthalten; bitte übermittle daher nur solche Inhalte, die für die jeweilige Anfrage tatsächlich erforderlich sind.
Die an Mistral übermittelten Inhalte werden ausschließlich zur Beantwortung deiner jeweiligen Anfrage verarbeitet und nicht zum Training der KI-Modelle verwendet. Mistral speichert deine Anfrageinhalte (Texte, Fotos, Dokumente) aufgrund der vereinbarten Zero-Retention-Regelung nicht darüber hinaus. Wir selbst speichern zu jeder KI-Anfrage lediglich statistische Nutzungsdaten (Art der Anfrage, Zeitpunkt) zur Einhaltung des Nutzungskontingents – nicht jedoch die übermittelten Inhalte oder die KI-Antworten. Diese Nutzungsdaten löschen wir mit deinem Konto.
Rechtsgrundlage für die Text-Vorschläge ist die Vertragserfüllung bzw. unser berechtigtes Interesse an der Bereitstellung dieser Komfortfunktion (Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO). Vor der Foto-Schätzung holen wir zusätzlich deine ausdrückliche Einwilligung ein, weil dabei potenziell sensiblere Bildinhalte verarbeitet werden; Rechtsgrundlage ist insoweit deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die du jederzeit mit Wirkung für die Zukunft widerrufen kannst.
Diese Einwilligung zur Foto-Schätzung dokumentieren wir – ebenso wie die Zustimmung zu AGB und Datenschutzerklärung bei der Registrierung (siehe Abschnitt 5) – mit einem serverseitigen Zeitstempel und der Versionsangabe des zugestimmten Einwilligungstextes. Dies dient ausschließlich dem Nachweis gemäß unserer Rechenschaftspflicht (Art. 5 Abs. 2, Art. 7 Abs. 1 DSGVO).
Mistral hat seinen Sitz in Frankreich; die Verarbeitung erfolgt grundsätzlich innerhalb der EU (wir nutzen den EU-Endpunkt der Mistral-Schnittstelle). Je nach genutzter Funktion kann Mistral Inhalte über Subunternehmer (insbesondere Cloud-Infrastruktur) vorübergehend auch außerhalb der EU – einschließlich der USA – verarbeiten. Für diese Fälle bestehen geeignete Garantien nach Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln) sowie zusätzliche Maßnahmen wie Verschlüsselung und eine „Zero-Retention“-Vereinbarung. Eine stets aktuelle Liste der Subunternehmer führt Mistral in seinem Trust Center.
11) Push-Benachrichtigungen (Google/Firebase, Apple)
Wenn du Push-Benachrichtigungen aktivierst, senden wir dir über die App Hinweise (z. B. zu wichtigen Ereignissen in deinem Konto). Hierfür wird eine geräte- bzw. dienstbezogene Push-Kennung (Token) sowie eine Geräte-Bezeichnung (Modellname) verarbeitet, die wir benötigen, um die Benachrichtigung gezielt an dein Gerät zuzustellen und zuzuordnen.
Die Zustellung erfolgt direkt über die Push-Dienste der jeweiligen Plattform: an Android-Geräte über Firebase Cloud Messaging der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland), an Apple-Geräte über den Apple Push Notification service der Apple Distribution International Ltd. (Hollyhill Industrial Estate, Hollyhill, Cork, Irland). Dabei kann es zu einer Verarbeitung durch die Google LLC bzw. die Apple Inc. in den USA kommen. Mit der Aktivierung der Benachrichtigungen ist daher eine Datenübermittlung an Anbieter mit USA-Bezug verbunden (Art. 44 ff. DSGVO). Diese ist über geeignete Garantien abgesichert: Sowohl die Google LLC als auch die Apple Inc. sind unter dem EU-US Data Privacy Framework zertifiziert; für die Google-Übermittlung bestehen ergänzend EU-Standardvertragsklauseln.
Rechtsgrundlage ist deine Einwilligung durch das Aktivieren der Benachrichtigungen bzw. unser berechtigtes Interesse an der von dir gewünschten Funktion (Art. 6 Abs. 1 lit. a bzw. lit. f DSGVO). Du kannst Push-Benachrichtigungen jederzeit in den Geräte- bzw. App-Einstellungen deaktivieren; in diesem Fall werden keine Benachrichtigungen mehr versendet.
Deinen Push-Token löschen wir sofort bei einer Abmeldung (Logout) sowie beim Löschen deines Kontos. Wird ein Token ungültig (z. B. weil die App deinstalliert wurde), räumen wir ihn automatisch auf, sobald uns der Versanddienst dies zurückmeldet.
12) E-Mail-Versand (Strato)
Für den Versand von System-E-Mails – etwa zur Bestätigung der Registrierung, zum Zurücksetzen des Passworts oder für Vorwarnungen (z. B. vor einer Löschung inaktiver Konten) – nutzen wir den SMTP-Dienst der STRATO GmbH, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland. Die Übertragung an den Mailserver erfolgt transportverschlüsselt (STARTTLS).
Verarbeitet werden dabei insbesondere deine E-Mail-Adresse und der jeweilige Nachrichteninhalt. Diese E-Mails sind notwendiger Bestandteil der Vertragsabwicklung bzw. des sicheren Betriebs (z. B. Passwort-Reset); einen Newsletter oder Werbe-Mailings versenden wir nicht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO.
13) Auftragsverarbeiter / Sub-Prozessoren
Zur Bereitstellung unseres Dienstes setzen wir sorgfältig ausgewählte Dienstleister ein. Die folgenden Dienstleister verarbeiten personenbezogene Daten im Auftrag des Anbieters auf Basis eines Vertrags zur Auftragsverarbeitung nach Art. 28 DSGVO:
• Mistral AI SAS — KI-Textgenerierung & Foto-Schätzung; Ort: Frankreich / EU (Subunternehmer für Cloud-Infrastruktur ggf. USA – abgesichert über EU-Standardvertragsklauseln)
• Hetzner Online GmbH — Hosting, Datenbank, Objektspeicher; Ort: Deutschland / EU
• STRATO GmbH — E-Mail-Versand (SMTP, System-Mails); Ort: Deutschland
• Google Ireland Ltd. (Firebase Cloud Messaging) — Push-Zustellung an Android-Geräte; Ort: Irland / EU (Server ggf. USA – Google LLC unter dem EU-US Data Privacy Framework zertifiziert, ergänzend EU-Standardvertragsklauseln)
• Apple Distribution International Ltd. (Apple Push Notification service) — Push-Zustellung an iOS-Geräte; Ort: Irland / EU (Server ggf. USA – Apple Inc. unter dem EU-US Data Privacy Framework zertifiziert)
Für die Abo- und Zahlungsabwicklung setzt der Anbieter außerdem Stripe Payments Europe, Ltd., Dublin, Irland, ein. Stripe handelt insoweit nach zahlungsrechtlichen Vorschriften (insbesondere PSD2 und Geldwäscheprävention) als eigener Verantwortlicher im Sinne des Datenschutzrechts; näheres regelt Abschnitt 9.
Die cookielose Reichweitenmessung unserer Website (mit der Software Umami) betreibt der Anbieter selbst auf seiner eigenen Infrastruktur beim vorstehend genannten Hosting-Dienstleister; ein zusätzlicher externer Dienstleister kommt hierfür nicht hinzu. Diese Messung betrifft Besuchsdaten unserer Website, für die der Anbieter selbst Verantwortlicher ist (nicht die von dir erfassten Fachdaten); näheres regelt Abschnitt 3.
Soweit Dienstleister Daten außerhalb der EU/des EWR verarbeiten, stellen wir durch geeignete Garantien (insbesondere EU-Standardvertragsklauseln und/oder eine Zertifizierung unter dem EU-US Data Privacy Framework) ein angemessenes Datenschutzniveau im Sinne der Art. 44 ff. DSGVO sicher.
14) Datensicherheit (technische und organisatorische Maßnahmen)
Wir treffen nach dem Stand der Technik angemessene technische und organisatorische Maßnahmen, um deine Daten gegen Verlust, Manipulation und unberechtigten Zugriff zu schützen (Art. 32 DSGVO). Dazu gehören insbesondere:
• durchgehende Transportverschlüsselung (SSL/TLS) für alle Verbindungen,
• Speicherung von Passwörtern ausschließlich als nicht umkehrbarer Hash (BCrypt),
• strikte Mandantentrennung über eine fail-closed konfigurierte Postgres-Zugriffssteuerung auf Datensatzebene (Row-Level-Security), sodass jeder Betrieb nur seine eigenen Daten sieht,
• Begrenzung von Anmeldeversuchen (Rate-Limiting) zur Abwehr von Missbrauch,
• Authentifizierung über kurzlebige Token (JWT) mit Rotation der Refresh-Token,
• regelmäßige Backups zur Wiederherstellbarkeit der Daten.
Wir passen unsere Sicherheitsmaßnahmen entsprechend der technischen Entwicklung fortlaufend an.
15) Speicherdauer & Löschkonzept
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten dies vorschreiben.
Konto- und Fachdaten (z. B. Rechnungen, Kunden, Baustellen) speichern wir für die Dauer der Kontonutzung (Art. 6 Abs. 1 lit. b DSGVO). Löschst du dein Konto, wird es sofort gesperrt und nach einer 30-tägigen Karenzfrist – die dich vor einer versehentlichen Löschung schützt – endgültig gelöscht, einschließlich der von dir hochgeladenen Dateien (auch im Objektspeicher). Technische Sicherungskopien (Backups) der Datenbank dienen ausschließlich der Wiederherstellbarkeit im Störungsfall; wir bewahren sie längstens 30 Tage auf und löschen sie danach automatisch. Spätestens dann sind auch die Daten gelöschter Konten aus den Backups entfernt.
Kostenlose Konten, für die nie ein kostenpflichtiges Abonnement abgeschlossen wurde und die länger als 6 Monate nicht genutzt wurden, werden nach einer Vorwarnung per E-Mail mit einer Frist von 14 Tagen endgültig gelöscht. Meldest du dich innerhalb der Frist an, bleibt dein Konto erhalten.
Die steuer- und handelsrechtliche Aufbewahrung deiner Belege (je nach Belegart i. d. R. 8 bis 10 Jahre, insbesondere nach GoBD, § 147 AO und § 14b UStG) obliegt dir als Verantwortlichem für deine Geschäftsunterlagen. Hierfür steht dir der GoBD-Export jederzeit – auch nach einer Kündigung – in der App zur Verfügung; bitte exportiere und sichere deine Belege rechtzeitig vor einer Löschung deines Kontos.
Unsere eigenen Abrechnungs- und Geschäftsunterlagen (z. B. die dir gegenüber erstellten Abo-Rechnungen) bewahren wir entsprechend den für uns geltenden gesetzlichen Fristen auf. Alle übrigen Daten löschen wir, sobald sie für die genannten Zwecke nicht mehr erforderlich sind.
16) Deine Rechte (Betroffenenrechte) & Aufsichtsbehörde
Dir stehen gegenüber uns hinsichtlich deiner personenbezogenen Daten die folgenden Rechte zu:
• Recht auf Auskunft (Art. 15 DSGVO),
• Recht auf Berichtigung (Art. 16 DSGVO),
• Recht auf Löschung (Art. 17 DSGVO),
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Recht auf Unterrichtung der Empfänger über Berichtigung, Löschung oder Einschränkung (Art. 19 DSGVO),
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
• Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird (Art. 7 Abs. 3 DSGVO),
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).
Auskunft, Datenexport und die Löschung deines Kontos werden direkt in der App unterstützt, soweit dem keine gesetzliche Aufbewahrungspflicht entgegensteht. Für die Ausübung deiner Rechte und für sonstige Datenschutzanliegen wende dich an kontakt@handwerkpapierlos.de.
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns als Verantwortlichen zuständige Behörde ist: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Gustav-Stresemann-Ring 1, 65189 Wiesbaden, Telefon: +49 611 1408-0, E-Mail: poststelle@datenschutz.hessen.de. Du kannst dich grundsätzlich auch an die Aufsichtsbehörde deines üblichen Aufenthaltsorts oder Arbeitsplatzes wenden.
17) Widerspruchsrecht
WENN WIR DEINE PERSONENBEZOGENEN DATEN AUF GRUNDLAGE UNSERES BERECHTIGTEN INTERESSES (ART. 6 ABS. 1 LIT. F DSGVO) VERARBEITEN, HAST DU DAS RECHT, AUS GRÜNDEN, DIE SICH AUS DEINER BESONDEREN SITUATION ERGEBEN, JEDERZEIT WIDERSPRUCH GEGEN DIESE VERARBEITUNG MIT WIRKUNG FÜR DIE ZUKUNFT EINZULEGEN (ART. 21 DSGVO).
MACHST DU VON DEINEM WIDERSPRUCHSRECHT GEBRAUCH, BEENDEN WIR DIE VERARBEITUNG DER BETROFFENEN DATEN, SOFERN WIR KEINE ZWINGENDEN SCHUTZWÜRDIGEN GRÜNDE FÜR DIE VERARBEITUNG NACHWEISEN KÖNNEN, DIE DEINE INTERESSEN, RECHTE UND FREIHEITEN ÜBERWIEGEN, ODER DIE VERARBEITUNG DER GELTENDMACHUNG, AUSÜBUNG ODER VERTEIDIGUNG VON RECHTSANSPRÜCHEN DIENT.
DEN WIDERSPRUCH KANNST DU FORMLOS AN DIE OBEN GENANNTE KONTAKTADRESSE RICHTEN.
18) Keine automatisierte Entscheidungsfindung
Eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung, die dir gegenüber rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt, findet im Sinne des Art. 22 DSGVO nicht statt. Insbesondere die KI-Funktionen liefern dir lediglich Vorschläge zur weiteren Bearbeitung; die Entscheidung über deren Verwendung triffst du selbst.
19) Pflicht zur Bereitstellung & Aktualität dieser Erklärung
Für die Registrierung und die Durchführung des Vertrages ist die Bereitstellung bestimmter Daten (insbesondere Name, E-Mail-Adresse und – bei einem kostenpflichtigen Abo – Zahlungsdaten) erforderlich. Ohne diese Daten können wir das Konto nicht bereitstellen bzw. den Vertrag nicht durchführen. Die Bereitstellung darüber hinausgehender Angaben ist freiwillig.
Wir passen diese Datenschutzerklärung an, sobald Änderungen unserer Verarbeitung oder der Rechtslage dies erforderlich machen. Es gilt jeweils die in der App und auf der Website abrufbare aktuelle Fassung.
Stand: 06.07.2026