Datenschutzerklärung

Stand: Juni 2026

Diese Datenschutzerklärung erfüllt unsere Informationspflichten gemäß Art. 13 DSGVO (Informationspflicht bei Erhebung personenbezogener Daten direkt bei der betroffenen Person).

1. Pflichtinformationen gemäß Art. 13 DSGVO — Verantwortlicher

Verantwortlicher im Sinne der DSGVO (Art. 4 Nr. 7) ist:

Mithgard.AI
Inh. Nico Kaitinnis
Baslerstraße 40
79639 Grenzach-Wyhlen
Deutschland
E-Mail: datenschutz@mithgard.ai

Die Plattform bau.mithgard.ai wird betrieben durch Mithgard.AI (Inh. Nico Kaitinnis). Datenschutzrechtlicher Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO ist der oben genannte Plattformbetreiber, soweit kein gesonderter Auftragsverarbeitungsvertrag einen anderen Verantwortlichen bestimmt.

2. Welche Daten werden erhoben?

2.1 Registrierungsdaten

Name, E-Mail-Adresse, Passwort (verschlüsselt mit Argon2id)
Rolle im Unternehmen (Inhaber, Bauleiter, Facharbeiter)
Telefonnummer (optional)

Registrierungsdaten werden für den BAU-App-Zugang verarbeitet. Eine Nutzung für andere Mithgard-Produkte erfolgt nur, wenn dafür eine gesonderte Anmeldung, Freischaltung oder vertragliche Grundlage besteht.

2.2 Nutzungsdaten

Zeiterfassungsdaten (Check-in/Check-out Zeiten, Baustellenzuordnung)
Tagesberichte (Wetter, Personal, durchgeführte Arbeiten)
Mängelberichte (Beschreibung, Fotos, Priorität)
Rechnungen und Angebote
Hochgeladene Fotos und Dokumente

2.3 Abrechnungsdaten

Zahlungsmethode (Kreditkarte, SEPA) — verarbeitet durch Stripe
Rechnungsanschrift, USt-IdNr.
Abonnementstatus und Zahlungshistorie

2.4 Technische Daten

IP-Adresse (für Sicherheit und Rate-Limiting)
Gerätetyp und Browser
Zugriffszeitpunkte

3. Zweck der Datenverarbeitung

Bereitstellung der App-Funktionalität
Zeiterfassung und Baustellenmanagement
Berichterstellung und Dokumentation
Authentifizierung und Zugriffskontrolle
Rechnungsstellung, Buchhaltung und Zahlungsabwicklung
Sicherheitsmaßnahmen (Rate-Limiting, Brute-Force-Schutz)
Prüfung von Mandanten-, Rollen- und Produktberechtigungen innerhalb der BAU-App

4. Rechtsgrundlage

Die Verarbeitung erfolgt auf Basis von:

Art. 6 Abs. 1 lit. b DSGVO— Vertragserfüllung (Arbeitsverhältnis, Dienstleistungsvertrag)
Art. 6 Abs. 1 lit. c DSGVO— Rechtliche Verpflichtung (Arbeitszeitdokumentation, GoBD)
Art. 6 Abs. 1 lit. f DSGVO— Berechtigtes Interesse (Sicherheit, Betriebsoptimierung)

5. Datenspeicherung & Sicherheit

Daten werden auf Servern in der EU gespeichert (PostgreSQL via Railway)
Passwörter werden mit Argon2id gehasht (Stand der Technik)
Die gesamte Übertragung erfolgt verschlüsselt (HTTPS/TLS)
JWT-Tokens für Authentifizierung (7 Tage Gültigkeit)
OWASP Security Headers (HSTS, CSP, X-Frame-Options)
Rate-Limiting und Brute-Force-Schutz
Mandanten-Isolation: Daten verschiedener Betriebe sind vollständig getrennt

6. Auftragsverarbeiter (AVV gemäß Art. 28 DSGVO)

Wir setzen folgende Dienstleister als Auftragsverarbeiter ein. Mit jedem besteht ein Auftragsverarbeitungsvertrag (AVV):

Stripe, Inc. (Zahlungsabwicklung)

354 Oyster Point Blvd, South San Francisco, CA 94080, USA. Verarbeitet Kreditkarten- und SEPA-Zahlungsdaten. Rechtsgrundlage für Drittlandtransfer: Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO. Stripe-Datenschutz: stripe.com/de/privacy

Resend, Inc. (Transaktionale E-Mails)

Versendet System-E-Mails (Einladungen, Passwortzurücksetzen, Verifikations-Codes). Verarbeitet werden ausschließlich E-Mail-Adressen zum Versandzweck. Rechtsgrundlage für Drittlandtransfer: EU-US Data Privacy Framework. Resend AVV online verfügbar unter resend.com/dpa.

Vercel, Inc. (Hosting Frontend)

340 Pine Street, Suite 701, San Francisco, CA 94104, USA. Hosting der Web-App bau.mithgard.ai. Verarbeitet IP-Adressen und technische Zugriffsdaten. Rechtsgrundlage für Drittlandtransfer: SCC. Vercel AVV: vercel.com/legal/dpa

Railway Corp. (Hosting Backend + Datenbank)

San Francisco, CA, USA. Hosting der API und PostgreSQL-Datenbank (EU-Region). Alle Daten werden ausschließlich in EU-Rechenzentren gespeichert. Rechtsgrundlage für Drittlandtransfer (Unternehmensbeziehung): SCC. Railway Datenschutz: railway.app/legal/privacy.

7. Datenweitergabe

Daten werden nichtan Dritte weitergegeben, verkauft oder für Werbezwecke verwendet.

Ausnahmen bestehen ausschließlich gegenüber den unter Ziffer 6 genannten Auftragsverarbeitern sowie bei gesetzlicher Verpflichtung (z. B. Auskunftspflicht gegenüber Strafverfolgungsbehörden).

8. Ihre Rechte (Art. 15–21 DSGVO)

Sie haben das Recht auf:

Auskunftüber Ihre gespeicherten Daten (Art. 15)
Berichtigungunrichtiger Daten (Art. 16)
LöschungIhrer Daten — „Recht auf Vergessenwerden“ (Art. 17)
Einschränkungder Verarbeitung (Art. 18)
Datenübertragbarkeit— Export Ihrer Daten als JSON (Art. 20)
Widerspruchgegen die Verarbeitung (Art. 21)

Diese Rechte können Sie direkt in der App unter Einstellungen → Datenschutzausüben oder per E-Mail an datenschutz@mithgard.ai.

9. Datenexport & Löschung

Sie können jederzeit einen vollständigen Export Ihrer Daten anfordern (JSON-Format, Art. 20 DSGVO).

Bei Löschung des Accounts werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht. Daten, die aufgrund gesetzlicher Aufbewahrungspflichten (z. B. GoBD, §147 AO) aufbewahrt werden müssen, werden nach Ablauf der Aufbewahrungsfrist gelöscht.

10. Cookies

Diese App verwendet keine Tracking-Cookies und keine Third-Party-Analytics. Es werden ausschließlich technisch notwendige Cookies für die Authentifizierung verwendet (httpOnly, Secure, SameSite=Lax).

11. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
baden-wuerttemberg.datenschutz.de

12. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die aktuelle Version ist stets in der App und auf unserer Website verfügbar. Wesentliche Änderungen werden Ihnen per E-Mail mitgeteilt.