Datenschutzerklärung

1. Verantwortlicher und Auftragsverarbeiter

Krahasso ist eine Software-as-a-Service-Anwendung für Geschäftskunden. Für Konto- und Registrierungsdaten, die Kontakt- und Anmeldedaten der Personen, die die Anwendung nutzen, sowie technische Protokolldaten ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO:

Email: [email protected]

Für die Projekt-, Trocknungsprotokoll-, Geräte- und Endkundendaten, die unsere Geschäftskunden in die Anwendung eingeben, bestimmen diese Geschäftskunden die Zwecke und Mittel der Verarbeitung. Sie sind insoweit die Verantwortlichen, und Krahasso wird ausschließlich als Auftragsverarbeiter (Art. 28 DSGVO) auf ihre dokumentierte Weisung im Rahmen eines Auftragsverarbeitungsvertrags tätig. Wenn Sie Endkunde eines unserer Geschäftskunden sind, richten Sie Anfragen zu diesen Daten bitte an den dafür verantwortlichen Geschäftskunden.

Ein Datenschutzbeauftragter ist nach § 38 BDSG nicht erforderlich, da Krahasso als Einzelunternehmen betrieben wird und die gesetzliche Schwelle nicht erreicht. In allen Datenschutzangelegenheiten erreichen Sie uns unter [email protected].

2. Welche Daten wir erfassen

Wir erfassen die folgenden Kategorien personenbezogener Daten zur Bereitstellung unserer Dienste:

• Kontoinformationen — Name, E-Mail-Adresse und sicher gehashtes Passwort
• Projektdaten — Projektadressen, Status, Fertigstellungsdaten und Notizen
• Gerätenutzung — Zuweisungsdaten, Rückgabedaten und Gerätedetails
• Trocknungsprotokolldaten — Messwerte, Feuchtigkeitswerte, Besuchsaufzeichnungen und Fotoaufnahmen aus dem Außeneinsatz
• Sprachdaten — Audioaufnahmen über den In-App-Sprachassistenten. Die Aufnahmen werden transkribiert; die Audiodatei wird spätestens 30 Tage nach ihrer Erstellung automatisch aus dem aktiven System gelöscht, während die daraus erstellte Transkription als Teil des Gesprächsverlaufs erhalten bleibt. Im Rahmen unseres regulären Sicherungsverfahrens vorgehaltene Kopien werden nach den unter Abschnitt 5 offengelegten Aufbewahrungs- und Lifecycle-Regeln entfernt.
• Organisationsdetails — Firmenname, Logo, Anschrift, Kontaktdaten sowie Steuer- und Bankdaten zur Rechnungsstellung
• Technische Daten — Protokolldaten (wie IP-Adresse und Geräte-/App-Informationen), die für Sicherheit und Fehlerbehebung erforderlich sind, sowie technisch notwendige Sitzungs-Cookies, um Sie angemeldet zu halten. Wir setzen keine Drittanbieter-Analyse-, Tracking- oder Werbe-Cookies ein.

3. Rechtsgrundlage der Verarbeitung (Art. 6 DSGVO)

Wir verarbeiten Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — die Verarbeitung ist zur Erbringung der von Ihnen abonnierten Dienste erforderlich
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — zur Gewährleistung der Sicherheit, Missbrauchsprävention und Verbesserung des Dienstes auf Grundlage der Daten, für die Krahasso Verantwortlicher ist (Konto-, Anmelde- und Kontaktdaten, technische Protokolldaten). Diese Rechtsgrundlage erstreckt sich nicht auf Projekt-, Trocknungsprotokoll-, Geräte- oder Endkundendaten, die im Auftrag von Geschäftskunden verarbeitet werden; diese werden ausschließlich auf Weisung des Verantwortlichen gemäß Art. 28 DSGVO verarbeitet (siehe Abschnitt 1).
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — soweit Sie eine ausdrückliche Einwilligung erteilt haben (z. B. für optionale Mitteilungen)
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) — soweit die Verarbeitung gesetzlich vorgeschrieben ist

Soweit Krahasso als Auftragsverarbeiter tätig wird (siehe Abschnitt 1), wird die Rechtsgrundlage für die Verarbeitung der betreffenden Daten vom jeweiligen Geschäftskunden als Verantwortlichem bestimmt, nicht von Krahasso.

4. Zweck der Datenverarbeitung

Ihre Daten werden ausschließlich für folgende Zwecke verwendet:

• Verwaltung von Bau- und Trocknungsprojekten
• Nachverfolgung von Gerätezuweisungen und Rückgaben
• Aufzeichnung und Berichterstattung von Trocknungsprotokollmessungen
• Erstellung von Projektberichten
• Bereitstellung KI-gestützter Sprachassistentenfunktionen (Transkription und natürliche Sprachbefehle)
• Authentifizierung Ihrer Identität und Sicherung Ihres Kontos

5. Datenspeicherung

Wir speichern personenbezogene Daten nur so lange, wie es zur Erfüllung der oben beschriebenen Zwecke erforderlich ist.

Soweit Krahasso Verantwortlicher ist (Kontodaten, Anmelde- und Kontaktdaten, technische Protokolle), werden diese Daten innerhalb von 30 Tagen nach Kündigung des Kontos dauerhaft gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen.

Soweit Krahasso als Auftragsverarbeiter tätig wird, werden Projekt-, Trocknungsprotokoll-, Geräte- und Endkundendaten gemäß den Weisungen des Geschäftskunden als Verantwortlichem verarbeitet. Die Speicherdauer wird vom Geschäftskunden bestimmt; soweit der Geschäftskunde gesetzlichen Aufbewahrungsfristen unterliegt (beispielsweise § 257 HGB für Handelsunterlagen oder § 147 AO für steuerrelevante Aufzeichnungen), liegt deren Anwendung auf ein Löschverlangen beim Geschäftskunden. Krahasso löscht oder gibt Daten auf seine Weisung zurück. Innerhalb von 30 Tagen nach Beendigung des Auftragsverarbeitungsvertrags stellen wir auf Anforderung des Geschäftskunden einen vollständigen Export der Daten in dem in Ziffer 7.5 der Leistungsbeschreibung festgelegten Inhalt und Format bereit (siehe AVV § 13); nach Ablauf dieser Frist erfolgt die Löschung der Daten aus dem aktiven System gemäß Auftragsverarbeitungsvertrag. Sicherungskopien, die im Rahmen unseres regulären Sicherungsverfahrens vorgehalten werden, werden durch automatische Lebenszyklus-Regeln spätestens nach 38 Tagen endgültig gelöscht.

Nicht-personenbezogene, aggregierte Statistiken (z. B. Gesamtprojektanzahlen) können für interne Berichtszwecke aufbewahrt werden. Diese Statistiken enthalten keine Informationen, die Einzelpersonen identifizieren können.

6. Datenweitergabe & Übermittlung

Ihre Daten sind nur für autorisierte Benutzer innerhalb des Kontos Ihrer Organisation zugänglich.

Wir verkaufen oder vermieten keine personenbezogenen Daten.

Zum Betrieb des Dienstes setzen wir vertrauenswürdige Auftragsverarbeiter gemäß Artikel 28 DSGVO ein:

• Hetzner Online GmbH (Deutschland/EU) — Hosting-Infrastruktur und Speicherdienste
• Amazon Web Services (AWS, Region eu-central-1) — transaktionaler E-Mail-Versand
• OpenAI Ireland Ltd (Irland/EU) — KI-gestützte Sprachtranskription und natürliche Sprachverarbeitung. Audioaufnahmen werden zur Verarbeitung an OpenAI übermittelt und nicht von OpenAI zum Training ihrer Modelle verwendet. OpenAI Ireland kann die OpenAI, L.L.C. (USA) als Unterauftragsverarbeiter einsetzen; diese Weiterübermittlung wird durch die EU-Standardvertragsklauseln abgesichert. Es gilt die Datennutzungsrichtlinie von OpenAI (siehe openai.com/policies/usage-policies).
• Google Ireland Limited (Irland/EU) — unsere mobile App verwendet das Google Maps SDK zur Anzeige von Projektstandorten auf einer Karte sowie Firebase Cloud Messaging zur Zustellung von Push-Benachrichtigungen. Bei Nutzung dieser Funktionen kann Google technische Daten wie Ihre IP-Adresse, Geräteinformationen und Karteninteraktionsdaten erfassen. Wir erfassen oder übermitteln nicht den Standort Ihres Geräts; es werden ausschließlich die in unserem System gespeicherten Projektadressen angezeigt. Google Ireland kann die Google LLC (USA) als Unterauftragsverarbeiter einsetzen; die Google LLC ist nach dem EU-US-Datenschutzrahmen (Data Privacy Framework) zertifiziert. Weitere Informationen finden Sie in der Datenschutzerklärung von Google (policies.google.com/privacy).
• MapTiler AG (Schweiz) — stellt die in der Web-Anwendung angezeigten Kartenkacheln (Basemap-Tiles) bereit. Beim Aufruf einer Kartenansicht werden Ihre IP-Adresse und die Kartenausschnitt-Koordinaten an MapTiler übermittelt. Die Verarbeitung erfolgt in der Schweiz; für die Schweiz besteht ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO.
• Apple Distribution International Ltd (Irland/EU) — stellt Push-Benachrichtigungen auf iOS-Endgeräten über den Apple Push Notification Service (APNs) zu. Übermittelt werden die zur Zustellung erforderlichen Benachrichtigungsdaten (z. B. Titel und Text der Benachrichtigung sowie ein Gerätekennzeichen). Eine etwaige Weiterverarbeitung durch die Apple Inc. (USA) ist über den EU-US-Datenschutzrahmen (Data Privacy Framework) abgesichert.

Die meisten personenbezogenen Daten werden innerhalb der Europäischen Union verarbeitet. Für die KI-Sprachverarbeitung können Audiodaten über OpenAI Ireland Ltd letztlich von der OpenAI, L.L.C. in den USA verarbeitet werden; diese Weiterübermittlung wird durch die EU-Standardvertragsklauseln abgesichert. Für die Karten- und Push-Benachrichtigungsfunktionen auf Android können technische Daten über Google Ireland Limited letztlich von der Google LLC in den USA verarbeitet werden; die Google LLC ist nach dem EU-US-Datenschutzrahmen (Data Privacy Framework) zertifiziert. Für Push-Benachrichtigungen auf iOS werden Zustelldaten durch die Apple Distribution International Ltd in Irland verarbeitet und können in der Folge durch die Apple Inc. in den USA weiterverarbeitet werden; die Apple Inc. ist nach dem EU-US-Datenschutzrahmen (Data Privacy Framework) zertifiziert. Für die Bereitstellung der Basemap-Kartenkacheln in der Web-Anwendung werden Ihre IP-Adresse und die Kartenausschnitt-Koordinaten an die MapTiler AG in der Schweiz übermittelt; für die Schweiz besteht ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO. Keine weiteren personenbezogenen Daten werden außerhalb der EU/des EWR oder in Länder ohne Angemessenheitsbeschluss übermittelt.

7. Ihre Rechte (Art. 15–21 DSGVO)

Gemäß der DSGVO haben Sie folgende Rechte in Bezug auf Ihre personenbezogenen Daten:

• Auskunftsrecht (Art. 15) — eine Kopie Ihrer personenbezogenen Daten erhalten
• Recht auf Berichtigung (Art. 16) — unrichtige oder unvollständige Daten korrigieren
• Recht auf Löschung (Art. 17) — die Löschung Ihrer Daten verlangen
• Recht auf Einschränkung (Art. 18) — die Verarbeitung unter bestimmten Bedingungen einschränken
• Recht auf Datenübertragbarkeit (Art. 20) — Ihre Daten in einem übertragbaren Format erhalten
• Widerspruchsrecht (Art. 21) — der Verarbeitung auf Grundlage berechtigter Interessen widersprechen
• Recht auf Widerruf der Einwilligung — soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit widerrufen

Sie haben außerdem das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzureichen, wenn Sie der Meinung sind, dass Ihre Daten unrechtmäßig verarbeitet werden. Soweit Krahasso als Auftragsverarbeiter tätig wird, sind Anträge zur Ausübung Ihrer Rechte hinsichtlich der betreffenden Daten an den jeweiligen Geschäftskunden als Verantwortlichen zu richten.

Die für den Verantwortlichen zuständige Aufsichtsbehörde ist: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf, Deutschland.

8. Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen ein, um personenbezogene Daten vor unbefugtem Zugriff, Veränderung, Offenlegung oder Zerstörung zu schützen. Zu diesen Maßnahmen gehören:

• Verschlüsselte Datenübertragung (HTTPS/TLS)
• Sicheres Passwort-Hashing sowie automatisierte Prüfung gegen bekannte Datenleck-Datenbanken
• Optionale zweistufige Authentifizierung per E-Mail-Einmalcode, je Nutzer aktivierbar
• Schutz auf Netzwerkebene (Firewalls und eingeschränkter Datenbankzugriff)
• Zugriffskontrollen innerhalb der Kundenkonten

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für Ihre Rechte und Freiheiten führt, benachrichtigen wir die zuständige Aufsichtsbehörde und, soweit erforderlich, die betroffenen Personen unverzüglich gemäß Art. 33 und 34 DSGVO. Soweit Krahasso als Auftragsverarbeiter tätig wird, informieren wir den verantwortlichen Geschäftskunden unverzüglich, damit dieser seinen Meldepflichten nachkommen kann.

9. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Die aktuelle Version ist jederzeit in der Anwendung verfügbar. Das Datum der letzten Aktualisierung finden Sie oben auf dieser Seite.