Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Saman Razavi
Softwarehouse Cologne
Ubierring 19, 50678 Köln
E-Mail: info@baudir.app

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt nach Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder auf einer anderen Rechtsgrundlage, z. B. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Alle Daten werden ausschließlich auf Servern innerhalb der EU (Hetzner, Deutschland) gespeichert.

3. Server-Logfiles

Beim Aufruf der Plattform werden automatisch Informationen in Server-Logfiles gespeichert: Browsertyp/-version, Betriebssystem, Referrer-URL, Hostname, Uhrzeit der Anfrage und IP-Adresse. Die Speicherung erfolgt aus Sicherheitsgründen (Art. 6 Abs. 1 lit. f DSGVO) und wird nach spätestens 7 Tagen anonymisiert.

4. Registrierung & Kundenkonto

Für die Nutzung als Betreiber einer App erheben wir Name, E-Mail-Adresse, Organisationsname und Passwort (verschlüsselt gespeichert) sowie die gewählte Kategorie. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Daten werden für die Dauer des Vertragsverhältnisses gespeichert.

5. Auftragsverarbeitung (Inhalte unserer Kunden)

Betreiber einer App verarbeiten über BauDir ggf. personenbezogene Daten ihrer eigenen Endnutzer (z. B. Push-Abonnements). Insoweit handeln wir als Auftragsverarbeiter; es wird ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO bereitgestellt. Push-Tokens werden mandantengetrennt gespeichert – kein Cross-Tenant-Zugriff.

6. Web-Push-Benachrichtigungen

Endnutzer können Push-Benachrichtigungen aktivieren. Hierfür wird mit ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) ein technischer Push-Endpoint des Browsers gespeichert. Der Versand erfolgt über den offenen Web-Push-Standard (VAPID) – ohne Übertragung an Apple oder Google jenseits der technischen Zustellung. Der gespeicherte Push-Endpoint wird gelöscht, sobald du die Benachrichtigungen abbestellst, die Einwilligung widerrufst oder der Endpoint dauerhaft ungültig wird. Die Einwilligung kann jederzeit über die Browser-Einstellungen widerrufen werden.

7. Anonyme Reichweitenmessung (Statistik)

Zur Verbesserung der Apps und auf Wunsch des jeweiligen App-Betreibers erheben wir eine vollständig anonyme, aggregierte Nutzungsstatistik. Erfasst werden ausschließlich zwei zusammengefasste Tageszähler je App:

Dabei werden keine personenbezogenen Daten verarbeitet: Es werden weder Cookies noch andere Informationen auf deinem Endgerät gespeichert oder ausgelesen, es findet keine Speicherung der IP-Adresse statt, es werden keine Identifier, Geräte-Fingerprints oder Profile gebildet und einzelne Besuche werden weder über mehrere Seiten noch über Sitzungen hinweg zusammengeführt. Technisch wird beim Aufruf lediglich ein serverseitiger Gesamtzähler um den Wert 1 erhöht – ein Rückschluss auf eine bestimmte Person ist zu keinem Zeitpunkt möglich.

Da hierbei keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO verarbeitet werden und kein Zugriff auf Informationen erfolgt, die bereits auf deinem Endgerät gespeichert sind, ist hierfür weder eine Einwilligung noch ein Cookie-Banner erforderlich (§ 25 Abs. 2 TDDDG; die DSGVO findet auf anonyme Daten gemäß Erwägungsgrund 26 keine Anwendung). Die „Do Not Track“-Einstellung deines Browsers wird respektiert; ist sie aktiv, unterbleibt jede Zählung.

8. Zahlungsabwicklung (Stripe)

Für die Abwicklung kostenpflichtiger Abos nutzen wir Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin, Irland). Bei einem Vertragsabschluss werden die für die Zahlung erforderlichen Daten – insbesondere Name, E-Mail- und Rechnungsanschrift, Zahlungsmittel sowie Abo- und Rechnungsdaten – direkt an Stripe übermittelt und dort verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Vollständige Zahlungsmitteldaten (z. B. Kartennummern) werden ausschließlich von Stripe und nicht von uns gespeichert.

Stripe kann Daten auch an die Muttergesellschaft Stripe, Inc. in den USA übermitteln. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen EU-Standardvertragsklauseln. Mit Stripe besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Weitere Informationen: stripe.com/de/privacy.

Rechnungs- und Zahlungsdaten bewahren wir über das Vertragsende hinaus auf, soweit wir gesetzlich dazu verpflichtet sind (handels- und steuerrechtliche Aufbewahrungspflichten, insbesondere § 257 HGB und § 147 AO, in der Regel 6 bzw. 10 Jahre). Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. c DSGVO.

9. Externe Dienste

Hosting (Hetzner): Unsere Plattform wird bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, in Rechenzentren in Deutschland gehostet. Hetzner verarbeitet in unserem Auftrag alle über die Plattform anfallenden Daten (z. B. beim Seitenaufruf, Speicherung von Inhalten). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, performanten Betrieb); es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Es findet kein Datentransfer in ein Drittland statt.

E-Mail-Versand (Brevo): System- und Transaktions-E-Mails (z. B. Registrierungs- und Bestätigungscodes, Passwort-Zurücksetzen, Abo-Benachrichtigungen) versenden wir über den Dienst Brevo (Sendinblue SAS, 106 boulevard Haussmann, 75008 Paris, Frankreich). Dabei werden E-Mail-Adresse und Mailinhalt verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und f DSGVO; es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die Verarbeitung erfolgt auf EU-Servern.

Schriftarten (Inter, Sora) werden ausschließlich von unserem eigenen Server ausgeliefert. Es findet kein Verbindungsaufbau zu Google Fonts und keine Übertragung deiner IP-Adresse an Google statt.

Cloudflare Turnstile (Bot-Schutz): Zum Schutz unserer Registrierungs-, Kontakt- und Kündigungsformulare vor Missbrauch durch automatisierte Programme setzen wir Cloudflare Turnstile ein, einen Dienst der Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA. Turnstile prüft anhand technischer Merkmale (z. B. IP-Adresse, Browser-Eigenschaften, Interaktionsverhalten), ob eine Eingabe von einem Menschen stammt – ganz ohne Bilderrätsel und ohne Tracking zu Werbezwecken. Die dabei verarbeiteten Daten werden nicht für eigene Zwecke von Cloudflare genutzt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz unserer Plattform vor Spam und Missbrauch). Cloudflare ist nach dem EU-US Data Privacy Framework zertifiziert; mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag inkl. EU-Standardvertragsklauseln. Soweit Turnstile dabei auf Informationen in deiner Endeinrichtung zugreift oder solche speichert, ist dies zur Bereitstellung der von dir ausdrücklich gewünschten Formularfunktion (Spam- und Missbrauchsschutz) unbedingt erforderlich; eine Einwilligung ist hierfür nach § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich. Weitere Informationen: cloudflare.com/privacypolicy.

10. Werbung & Erfolgsmessung (Google Ads)

Um auf unser Angebot aufmerksam zu machen, schalten wir Werbeanzeigen über Google Ads (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Klickst du auf eine unserer Anzeigen, hängt Google an die Ziel-Adresse einen Klick-Parameter (sogenannte „gclid“) an. Diesen Parameter lesen wir ausschließlich auf unserem eigenen Server aus der aufgerufenen Adresse aus (über die technisch notwendige Sitzung) und speichern ihn zusammen mit der Kampagnen-/Suchbegriff-Information in unserer Datenbank, um einen späteren Vertragsabschluss der jeweiligen Anzeige zuordnen zu können.

Wir setzen dabei kein Werbe-Cookie, kein Google-Tag, kein Google Analytics und keinen Tracking-Pixel ein. Es findet kein Zugriff auf dein Endgerät zu Werbezwecken statt und es werden keine geräte- oder nutzerübergreifenden Profile gebildet. Schließt du später ein kostenpflichtiges Abo ab, übermitteln wir an Google ausschließlich diese sogenannte Offline-Conversion – also die gclid, den Bestellwert und den Zeitpunkt –, damit Google uns mitteilen kann, welche Anzeigen erfolgreich waren. Personenbezogene Daten wie dein Name oder deine E-Mail-Adresse werden dabei nicht an Google übermittelt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer wirtschaftlichen, messbaren Bewerbung unseres Angebots) sowie hinsichtlich der vorvertraglichen Zuordnung Art. 6 Abs. 1 lit. b DSGVO. Da wir ausschließlich technisch notwendige Sitzungsdaten verwenden, ist hierfür keine Einwilligung nach § 25 TDDDG erforderlich. Empfänger der Offline-Conversion ist Google (Google Ireland Limited; ggf. Google LLC, USA). Google ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen die EU-Standardvertragsklauseln. Die Klick-Kennung (gclid) löschen wir, sobald sie für die Erfolgsmessung nicht mehr erforderlich ist, spätestens 14 Monate nach dem Klick; die anonymen Kampagnen-/Suchbegriff-Zähler bleiben ohne Personenbezug erhalten. Du kannst dieser Verarbeitung jederzeit nach Art. 21 DSGVO widersprechen – per E-Mail an die oben genannte Adresse oder, wenn du ein Konto bei uns hast, direkt unter „Rechtliches“ in deinem Konto; dein Klick wird dann sofort von der Erfolgsmessung ausgenommen und die Klick-Kennung gelöscht. Weitere Informationen: policies.google.com/privacy.

11. Cookies und vergleichbare Technologien

Wir verwenden ausschließlich technisch notwendige Cookies bzw. vergleichbare Speicher- und Zugriffsvorgänge auf deinem Endgerät (z. B. Sitzungs- und Sicherheits-Token, auch im lokalen Speicher des Browsers, etwa für Login und CSRF-Schutz). Diese sind für den von dir gewünschten Dienst unbedingt erforderlich; eine Einwilligung ist hierfür nach § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich. Es werden keine Cookies oder sonstigen Informationen zu Werbe- oder Tracking-Zwecken gesetzt oder ausgelesen. Für unsere anonyme Reichweitenmessung (Ziffer 7) und für die Werbe-Erfolgsmessung (Ziffer 10) werden ebenfalls keine Cookies eingesetzt.

12. Kontakt- und Frageformular

Wenn du uns über unser Kontakt-/Frageformular auf der Website schreibst, verarbeiten wir die von dir angegebenen Daten (Name – soweit angegeben –, E-Mail-Adresse und Nachrichtentext) sowie technisch deine IP-Adresse und deine Browser-Kennung (User-Agent) zur Bearbeitung deiner Anfrage und zur Missbrauchsabwehr. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Beantwortung vorvertraglicher Anfragen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung und am Schutz vor Missbrauch). Für den technischen Versand der Nachricht nutzen wir Brevo (siehe Ziffer 9). Wir speichern die Anfrage nur so lange, wie dies zur Bearbeitung erforderlich ist.

13. Missbrauchsvermeidung der Testphase

Um die mehrfache Inanspruchnahme der kostenlosen Testphase über immer neue Konten zu verhindern, speichern wir die bei einer Registrierung verwendete E-Mail-Adresse (und ggf. den Organisationsnamen) auch nach Löschung des Kontos in einer internen Sperrliste. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verhinderung von Missbrauch). Die Speicherung endet automatisch nach drei Monaten; bei festgestelltem Missbrauch kann eine dauerhafte Sperre erfolgen.

14. Schutz Minderjähriger

Unsere Plattform richtet sich an Betreiber von Apps (Unternehmen, Vereine, Einrichtungen) und nicht an Kinder. Soweit ein Betreiber über seine App personenbezogene Daten von Minderjährigen verarbeitet (z. B. in Kita- oder Vereins-Apps), ist er hierfür der datenschutzrechtlich Verantwortliche und hat die Voraussetzungen einer wirksamen Einwilligung – bei Kindern unter 16 Jahren regelmäßig durch die Trägerin/den Träger der elterlichen Verantwortung (Art. 8 DSGVO) – selbst sicherzustellen. Wir verarbeiten solche Daten ausschließlich als Auftragsverarbeiter im Auftrag des Betreibers (siehe Ziffer 5).

15. Deine Rechte

Du hast jederzeit das Recht auf:

Zur Ausübung deiner Rechte genügt eine E-Mail an die oben genannte Adresse.

16. Erforderlichkeit der Bereitstellung

Die Angabe der für Registrierung und Vertragsabwicklung erforderlichen Daten (insbesondere Name, E-Mail-Adresse sowie ggf. Zahlungs- und Rechnungsdaten) ist zur Begründung und Durchführung des Vertrags erforderlich. Ohne diese Daten können wir den Vertrag nicht abschließen und die Leistung nicht erbringen (Art. 13 Abs. 2 lit. e DSGVO).