Datenschutzerklärung
Nach Art. 13, 14 DSGVO und § 5 DSG (Österreich)
1. Verantwortlicher
2. Welche Daten wir verarbeiten
2.1 Kontodaten (bei Registrierung)
- E-Mail-Adresse, Name, Firma, Rolle
- Passwort (nur als bcrypt-Hash gespeichert, wir sehen es nie)
- Firmen-Branding (Logo, Farbe, Bank) — für PDF-Ausgabe
2.2 Projektdaten (bei LV-Erstellung)
- Hochgeladene Bauplan-PDFs
- Projekt-Metadaten (BGF, Geschoße, Wohneinheiten, Gewerke-Auswahl, Kunden-Notizen)
- Generierte LV-Positionen inkl. Mengen, Preise, Bbox-Koordinaten
- Firmen-Preisbasis (falls hochgeladen)
2.3 Nutzungsdaten
- Login-Zeitpunkte, LV-Erstellungs-Timestamps
- API-Kosten pro LV (interne Kalkulation)
- KI-Genauigkeits-Metriken pro Firma (aggregate Statistik)
- Aktivitäts-Log gemäß DSGVO Art. 30 (interne Nachvollziehbarkeit)
Wir erheben keine Cookies zu Marketing-Zwecken, kein Tracking, kein Google Analytics.
3. Rechtsgrundlagen
4. Auftragsverarbeiter — wer verarbeitet was für uns
Wir setzen folgende externe Dienste ein, mit denen wir Auftragsverarbeitungsverträge (AVV/DPA) abgeschlossen haben:
Supabase (EU-Frankfurt) — Datenbank + Storage
- Speichert: alle Kontodaten, LV-Positionen, hochgeladene Baupläne
- Standort: EU (Frankfurt am Main)
- Anbieter: Supabase Inc., DPA: supabase.com/legal/dpa
- Rechtsgrundlage: Vertragserfüllung
Google (Gemini API) — KI-Verarbeitung Baupläne
- Verarbeitet: Bauplan-PDFs zur Extraktion von Positionen
- Standort: EU-Endpoint bevorzugt (europe-west3), Fallback USA
- Anbieter: Google Ireland Ltd.
- Wichtiger Hinweis: Gemini API verwendet Ihre Daten nicht zum Modelltraining (siehe Google's Paid Tier Terms)
Anthropic (Claude API) — KI-Fallback bei komplexen LVs
- Verarbeitet: Bauplan-PDFs (nur wenn Gemini-Fallback aktiviert)
- Standort: USA (mit Standardvertragsklauseln + DPA)
- Anbieter: Anthropic PBC
- Kein Modelltraining mit Ihren Daten (Paid Tier)
PDFShift — HTML→PDF Konvertierung
- Verarbeitet: Vom System generierte LV-HTML → PDF
- Standort: EU
- PDFs werden nach Konvertierung sofort verworfen (Zero-Retention)
Netlify — Frontend-Hosting
- Serviert die statische Web-Oberfläche
- Standort: EU-Edge (Frankfurt/Amsterdam)
- Verarbeitet keine LV-Inhalte, nur Serviert HTML/CSS/JS
5. Speicherdauer
6. Ihre Rechte
- Auskunft (Art. 15 DSGVO) — welche Daten haben wir über Sie
- Berichtigung (Art. 16) — falsche Daten korrigieren
- Löschung (Art. 17) — „Recht auf Vergessen"
- Einschränkung (Art. 18) — Verarbeitung pausieren
- Datenübertragbarkeit (Art. 20) — Ihre LV-Daten als JSON/GAEB exportiert
- Widerspruch (Art. 21)
- Beschwerde bei der Aufsichtsbehörde: Österreichische Datenschutzbehörde (DSB), dsb.gv.at
Anfragen an: datenschutz@asterbuild.ai — wir antworten innerhalb 30 Tagen.
7. Datensicherheit
- TLS 1.3 für alle Verbindungen
- Row-Level-Security (RLS) auf DB-Ebene — Firmen sehen nur eigene Daten
- Passwörter als bcrypt-Hash (BCrypt, cost=10)
- Backups verschlüsselt (AES-256)
- 2FA optional (in Einstellungen aktivierbar)
- Audit-Log für sicherheitsrelevante Aktionen
8. Cookies
Wir verwenden keine Analytics-, Werbe- oder Tracking-Cookies. Auf der Landingpage wird ein Cookie-Hinweis angezeigt, über den optionale Cookies abgelehnt werden können. Die Auswahl wird lokal im Browser gespeichert. Für den Login können funktional notwendige Session-Daten erforderlich sein.
9. Änderungen dieser Erklärung
Wir passen diese Erklärung an, wenn sich Datenverarbeitungen ändern. Sie werden bei materiellen Änderungen per E-Mail informiert. Aktuelle Version immer hier abrufbar.
10. Kontakt
Fragen zum Datenschutz: datenschutz@asterbuild.ai
Allgemeiner Support: support.html
Impressum: impressum.html