Datenschutz
Stand: [Datum einsetzen]
1. Verantwortlicher
[UG NAME] (haftungsbeschränkt) i.G. [Straße Hausnummer], [PLZ Ort] E-Mail: [Kontakt-E-Mail]
(im Folgenden „wir" oder „Merinore")
2. Allgemeines zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Webseite sowie unserer Inhalte und Leistungen erforderlich ist. Rechtsgrundlagen sind insbesondere:
- Art. 6 Abs. 1 lit. b DSGVO — Erfüllung des Vertrags mit unseren Kunden (Bereitstellung der Merinore-Anwendung)
- Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse, z. B. zur Gewährleistung der IT-Sicherheit
- Art. 6 Abs. 1 lit. c DSGVO — Erfüllung gesetzlicher Pflichten (z. B. steuerrechtliche Aufbewahrungspflichten)
3. Bereitstellung der Webseite und Server-Logfiles
Beim Aufruf unserer Webseite werden durch unseren Hosting-Anbieter (Vercel Inc., USA) automatisch Informationen erfasst und in Server-Logfiles gespeichert, die der Browser übermittelt: IP-Adresse, Datum/Uhrzeit der Anfrage, Browsertyp, Betriebssystem, verweisende URL. Diese Daten dienen der Gewährleistung eines störungsfreien Betriebs und der IT-Sicherheit und werden nicht mit anderen Datenquellen zusammengeführt.
Hinweis zur Drittlandübermittlung: Vercel Inc. hat seinen Sitz in den USA. Eine Übermittlung erfolgt auf Grundlage geeigneter Garantien (z. B. EU-US Data Privacy Framework und/oder EU-Standardvertragsklauseln). [Vor Veröffentlichung prüfen: aktueller Zertifizierungsstatus von Vercel und ggf. konkrete Hosting-Region in den Vercel-Einstellungen verifizieren.]
4. Registrierung und Nutzerkonto
Zur Nutzung von Merinore ist ein Nutzerkonto erforderlich. Dabei verarbeiten wir: E-Mail-Adresse, Name, verschlüsseltes Passwort, zugewiesene Rolle (Admin/Editor/Viewer) und Funktionsrolle (z. B. Projektmanager, Bauleiter). Die Authentifizierung erfolgt über unseren Dienstleister Supabase (Supabase Inc.). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
Merinore ist eine Mehrmandanten-Anwendung (Multi-Tenant): Die Zuordnung zu einem Kunden-Account erfolgt automatisiert über das Einladungssystem; jeder Account kann ausschließlich auf seine eigenen Daten zugreifen.
5. Projekt- und Nutzungsdaten
Im Rahmen der Nutzung werden projektbezogene Daten verarbeitet, die unsere Kunden selbst eingeben bzw. hochladen, u. a.: Deckpläne (PDF), Pins und Bereiche mit Koordinaten, Kommentare, Status- und Diagnosedaten zu Bauteilen, sowie ggf. Fotos. Diese Daten werden über Supabase (Datenbank und Storage) gespeichert. Soweit diese Daten personenbezogene Angaben enthalten (z. B. Namen in Kommentaren oder auf Fotos erkennbare Personen), verarbeiten wir diese ausschließlich im Auftrag und nach Weisung unserer Kunden (Auftragsverarbeitung gemäß Art. 28 DSGVO). Verantwortlich für die Rechtmäßigkeit dieser Daten ist der jeweilige Kunde.
Zur Offline-Nutzung werden Teile dieser Daten zusätzlich lokal im Browser des Endgeräts gespeichert (IndexedDB), um eine Bearbeitung ohne Internetverbindung zu ermöglichen. Diese lokale Speicherung verlässt das Endgerät nicht, bis eine Synchronisation mit unseren Servern erfolgt.
6. Zahlungsabwicklung
Für die Abrechnung von Abonnements setzen wir den Zahlungsdienstleister Stripe (Stripe Payments Europe, Ltd. bzw. Stripe Inc.) ein, optional inklusive PayPal als Zahlungsmethode über Stripe. Zahlungsdaten (z. B. Kartendaten) werden direkt von Stripe verarbeitet und nicht auf unseren eigenen Servern gespeichert. Es gilt zusätzlich die Datenschutzerklärung von Stripe: https://stripe.com/de/privacy. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Hinweis: Merinore richtet sich aktuell ausschließlich an Unternehmer (B2B). Ein Self-Signup für Privatpersonen ist nicht vorgesehen; sollte dies eingeführt werden, ist dieser Abschnitt sowie die verbraucherrechtlichen Pflichten insgesamt zu überarbeiten.
7. Eingesetzte Auftragsverarbeiter und Drittanbieter
| Anbieter | Zweck | Sitz | Hinweis |
|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Storage | [Region in Supabase-Projekteinstellungen prüfen] | AVV/DPA mit Supabase erforderlich |
| Vercel Inc. | Hosting der Webanwendung | USA | AVV/DPA + Drittlandtransfer-Garantien erforderlich |
| Cloudinary, Inc. | Hosting von Video-Inhalten (Login-Hintergrund) | USA | Verarbeitet i. d. R. keine personenbezogenen Daten von Endnutzern |
| Stripe | Zahlungsabwicklung | EU/USA | Eigene Datenschutzerklärung von Stripe gilt zusätzlich |
Mit allen genannten Anbietern, die personenbezogene Daten im Auftrag verarbeiten, schließen bzw. akzeptieren wir die jeweils angebotenen Standard-AVV der Anbieter.
8. Cookies und lokale Speicherung
Wir setzen ausschließlich technisch notwendige Cookies bzw. Speichermechanismen ein (z. B. Sitzungsverwaltung über Supabase Auth, lokale Zwischenspeicherung über IndexedDB für die Offline-Funktion). Diese sind gemäß § 25 Abs. 2 Nr. 2 TDDDG / DDG für die Erbringung des von Ihnen ausdrücklich gewünschten Dienstes erforderlich und bedürfen keiner Einwilligung.
Wir setzen aktuell keine Analyse- oder Tracking-Tools (z. B. Google Analytics) ein. Sollte sich dies ändern, wird diese Datenschutzerklärung entsprechend aktualisiert und ggf. ein Cookie-Consent-Banner eingeführt.
9. Speicherdauer
Projekt- und Nutzungsdaten werden für die Dauer des Vertragsverhältnisses gespeichert und nach Vertragsende gemäß den vertraglichen Vereinbarungen gelöscht oder exportiert. Abrechnungsrelevante Daten unterliegen den gesetzlichen Aufbewahrungspflichten (i. d. R. 6–10 Jahre gemäß § 147 AO, § 257 HGB).
10. Ihre Rechte als betroffene Person
Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) sowie Widerspruch gegen die Verarbeitung (Art. 21 DSGVO). Zudem steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu.
11. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sobald dies aufgrund geänderter Rechtslage oder Änderungen unseres Dienstes erforderlich wird.