Datenschutzerklaerung

1. Verantwortlicher

HK-Build
Inhaber: Harun Kazanli
Regensburger Str. 51, 85055 Ingolstadt
E-Mail: info@hk-build.de

2. Welche Daten wir erheben

Bei der Nutzung der Petrobau App werden folgende personenbezogene Daten verarbeitet:

• Kontodaten: Name, E-Mail-Adresse, Benutzername, Telefonnummer, Profilbild
• Nutzungsdaten: Zeiteintraege, Projektdaten, Chat-Nachrichten, Support-Tickets
• Dateien: Fotos, Dokumente, digitale Unterschriften, Sprachnachrichten
• Technische Daten: Geraetetyp, App-Version, Push-Token

3. Zweck der Verarbeitung

Die Daten werden ausschliesslich fuer folgende Zwecke verarbeitet:

• Bereitstellung und Betrieb der Petrobau Bau-Management-App
• Authentifizierung und Zugriffskontrolle
• Synchronisation zwischen Mobile App und Web-Portal
• Versand von Push-Benachrichtigungen
• Erstellung von Geschaeftsdokumenten (Angebote, Rechnungen, Regiezettel)

4. Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der App)
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, z.B. fuer Push-Benachrichtigungen)

5. Datenspeicherung

Alle Daten werden auf EU-Servern in Frankfurt am Main gespeichert (AWS eu-central-1). Es findet keine Datenuebermittlung in Drittlaender statt, mit Ausnahme von:

• Push-Benachrichtigungen: Expo Push Service (USA) — es werden nur Push-Tokens und generische Benachrichtigungstexte uebermittelt, keine personenbezogenen Kundendaten
• Adress-Vervollstaendigung: Google Places API — nur eingegebene Adressfragmente, keine Nutzerdaten

Fuer die Datenuebermittlung in die USA gelten die Standardvertragsklauseln der EU-Kommission (SCCs).

6. Datensicherheit

• Verschluesselung: TLS 1.3 (Uebertragung), AES-256 (ruhende Daten)
• Rollenbasierte Zugriffskontrolle auf Datenbankebene (Row Level Security)
• Automatische taegliche Backups mit 30 Tagen Aufbewahrung
• SOC2-zertifizierte Cloud-Infrastruktur (AWS)

7. Sentry (Fehlerüberwachung)

Anbieter: Sentry GmbH, Lützowstraße 105-106, 10785 Berlin, Deutschland

Zweck: Erkennung und Behebung technischer Fehler in der App und im Web-Portal. Sentry erfasst ausschließlich technische Daten wie Fehlermeldungen, Stacktraces, Gerätetyp, Betriebssystem-Version und App-Version. Es werden keine personenbezogenen Daten wie Namen, E-Mail-Adressen oder Chat-Inhalte an Sentry übermittelt.

Datenverarbeitung: Die Daten werden auf Servern innerhalb der EU verarbeitet. Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Fehlerbehebung und Systemstabilität).

Speicherdauer: Fehlerdaten werden nach 90 Tagen automatisch gelöscht.

Erfassungsrate: Nur 10% aller Vorgänge werden stichprobenartig erfasst.

Datenschutz: https://sentry.io/privacy/

8. Lokale Datenspeicherung

Die App speichert Daten lokal auf Ihrem Geraet (Offline-Funktionalitaet). Diese Daten werden bei der naechsten Internetverbindung mit dem Server synchronisiert. Bei Geraeteverlust kann der Administrator den Zugang sofort sperren.

9. Ihre Rechte

Sie haben das Recht auf:

• Auskunft (Art. 15 DSGVO) — welche Daten wir ueber Sie speichern
• Berichtigung (Art. 16 DSGVO) — fehlerhafte Daten korrigieren
• Loeschung (Art. 17 DSGVO) — Ihre Daten loeschen lassen
• Einschraenkung (Art. 18 DSGVO) — Verarbeitung einschraenken
• Datenuebertragbarkeit (Art. 20 DSGVO) — Ihre Daten in maschinenlesbarem Format erhalten
• Widerspruch (Art. 21 DSGVO) — der Verarbeitung widersprechen

Zur Ausuebung Ihrer Rechte wenden Sie sich an: info@hk-build.de

10. Auftragsverarbeitung

Zwischen dem Betreiber der App (HK-Build) und dem Auftraggeber (Lizenznehmer) wird ein separater Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DSGVO geschlossen.

11. Unterauftragsverarbeiter

• Supabase, Inc. (USA) — Datenbank, Authentifizierung, Dateispeicher. Datenstandort: EU (Frankfurt)
• Amazon Web Services (USA) — Hosting-Infrastruktur. Datenstandort: EU (Frankfurt)
• Cloudflare, Inc. (USA) — Content Delivery, DDoS-Schutz
• Expo / 650 Industries (USA) — Push-Benachrichtigungen, App-Build
• Google, LLC (USA) — Adress-Autocomplete (Places API)

12. Aufbewahrungsfristen

Personenbezogene Daten werden geloescht oder gesperrt, sobald der Zweck der Speicherung entfaellt und keine gesetzlichen, vertraglichen oder steuerlichen Aufbewahrungspflichten entgegenstehen. Bestehen solche Pflichten, werden die Daten fuer die laufende Nutzung eingeschraenkt und nur noch fuer Nachweis-, Pruef- oder Archivzwecke verarbeitet.

• Projekt- und Bauakten: Aufbewahrung bis zum Ablauf der einschlaegigen Vertrags-, Gewaehrleistungs- und Nachweisfristen.
• Rechnungen, Eingangsrechnungen und Buchungsbelege: Aufbewahrung nach den geltenden steuer- und handelsrechtlichen Vorgaben; Korrekturen erfolgen per Storno/Korrektur statt nachtraeglicher Veraenderung.
• Zeiterfassung: Aufbewahrung nach arbeits-, lohn-, projekt- und steuerrechtlichen Nachweispflichten; gepruefte oder abgerechnete Zeiten werden nicht hart geloescht.
• Support-, Chat- und Portal-Daten: Loeschung oder Sperrung nach Abschluss des Vorgangs, sofern keine Nachweispflichten entgegenstehen.

13. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehoerde zu beschweren. Die fuer uns zustaendige Aufsichtsbehoerde ist:

Bayerisches Landesamt fuer Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
poststelle@lda.bayern.de

14. Aenderungen

Diese Datenschutzerklaerung kann bei Bedarf aktualisiert werden. Die aktuelle Version ist stets unter dieser URL abrufbar.