Version 2026-04-19

Datenschutzerklärung

Stand: 19. April 2026

⚠️ Hinweis: Dieser Text ist ein DSGVO-konformer Entwurf. Vor produktiver Nutzung muss er von einem Datenschutzbeauftragten oder Fachanwalt geprüft werden. Insbesondere müssen alle eingesetzten Auftragsverarbeiter (Hetzner, Neon, Postmark u. a.) mit gültigen AV-Verträgen hinterlegt sein.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Baufeder (Anbietername wird hier eingetragen, sobald die Betreibergesellschaft gegründet ist.)

E-Mail: datenschutz@baufeder.de

(Diese Adresse muss vor Produktivstart eingerichtet werden.)

2. Erhobene Daten & Zwecke

2.1 Bei der Registrierung

E-Mail-Adresse, Name, Passwort (gehasht mit bcrypt, Cost-Faktor 12)
Firmendaten: Firmenname, Anschrift, Steuer-IDs, Bankverbindung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

2.2 Bei der Nutzung

Stammdaten von Kunden des Nutzers (Anschrift, Telefonnummer, E-Mail)
Belegdaten (Angebote, Rechnungen, Mahnungen)
IP-Adresse und User-Agent zum Zeitpunkt jeder Anmeldung (Audit-Log)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO (Vertrag und berechtigtes Interesse an Sicherheit)

2.3 Cookies & lokale Speicherung

Session-Cookie (HttpOnly, SameSite=Lax) zur Aufrechterhaltung der Anmeldung
Keine Tracking- oder Analyse-Cookies
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (technisch erforderlich)

3. Auftragsverarbeiter

Anbieter	Zweck	Sitz	Vertrag
Hetzner Online GmbH	Hosting (geplant)	Nürnberg, DE	AVV abgeschlossen
Neon Inc.	Datenbank-Hosting (Postgres)	Frankfurt am Main, DE (eu-central-1)	AVV abgeschlossen
Cloudflare, Inc.	DNS, DDoS-Schutz	EU-Tier (Frankfurt)	EU SCC + AVV
Postmark (ActiveCampaign)	Transaktionale E-Mails (geplant)	EU-Region	AVV vor Aktivierung

Alle Verarbeiter sind nach Art. 28 DSGVO vertraglich gebunden. Eine Liste der aktuellen Subunternehmer kann jederzeit angefordert werden.

4. Speicherdauer

Aktive Konten: für die Dauer des Vertrags
Nach Vertragsende: 30 Tage Datenexport-Frist, danach Löschung
Gesetzliche Aufbewahrung: Belege werden gemäß § 147 AO 10 Jahre aufbewahrt — auch nach Vertragsende, in einem separaten Archiv
Audit-Logs: 1 Jahr (für Sicherheitsanalysen)

5. Ihre Rechte

Sie haben jederzeit das Recht auf:

Auskunft (Art. 15 DSGVO) — welche Daten wir über Sie speichern
Berichtigung (Art. 16 DSGVO) — falsche Daten korrigieren
Löschung (Art. 17 DSGVO) — „Recht auf Vergessenwerden", soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO) — Export Ihrer Daten in maschinenlesbarem Format
Widerspruch (Art. 21 DSGVO) gegen Verarbeitung auf Basis berechtigter Interessen
Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Anfragen bitte per E-Mail an datenschutz@baufeder.de. Sie erhalten unverzüglich, spätestens innerhalb eines Monats, eine Antwort.

6. Datensicherheit

Übertragung: TLS 1.3, HSTS, automatische HTTPS-Zertifikate (Let's Encrypt)
Passwörter: bcrypt mit Cost-Faktor 12 — niemals im Klartext
Backups: verschlüsselt, getrennt vom Produktivsystem
Server-Standort: ausschließlich Deutschland / EU
Zugriff: nur autorisierte Mitarbeiter mit 2FA und persönlichem Audit-Log

7. Internationale Datenübermittlung

Es findet keine Datenübermittlung in Drittländer außerhalb der EU statt. Alle Verarbeiter haben ihren Sitz und ihre Server in Deutschland oder der EU.

8. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen rechtlicher Vorgaben oder technischer Änderungen anzupassen. Die jeweils aktuelle Version ist über die Software jederzeit abrufbar. Bei wesentlichen Änderungen werden Sie aktiv informiert und um erneute Zustimmung gebeten.

9. Kontakt

Fragen zum Datenschutz: datenschutz@baufeder.de

Aufsichtsbehörde (zuständig nach Sitz von Baufeder): Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, https://www.lda.bayern.de.

AGB Impressum