Rechtliches
Datenschutzerklärung
Stand: April 2026
1. Verantwortlicher
FacilityStack – Rene Staude (Einzelunternehmen)
Nordring 26, 34513 Waldeck
E-Mail: [email protected]
2. Arten der verarbeiteten Daten
Wir verarbeiten folgende Kategorien personenbezogener Daten:
- Bestandsdaten: Name, Firma, Adresse
- Kontaktdaten: E-Mail-Adresse, Telefonnummer
- Nutzungsdaten: Zugriffszeiten, Seitenaufrufe, IP-Adressen
- Vertragsdaten: Modulbuchungen, Zahlungshistorie, Abrechnungszeitraum
- Inhaltsdaten: Alle von Ihnen eingegebenen Facility-Management-Daten (Gebäude, Anlagen, Wartungstermine, Verbrauchsdaten etc.)
Zahlungsdaten (Kreditkartennummern, Bankverbindungen) werden nicht von uns gespeichert, sondern ausschließlich von Stripe verarbeitet.
3. Rechtsgrundlagen
Die Verarbeitung erfolgt auf Basis folgender Rechtsgrundlagen nach der DSGVO:
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Nutzung der Plattform)
- Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (Sicherheit, Fehleranalyse)
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (Newsletter, falls vorhanden)
- Art. 28 DSGVO – Auftragsverarbeitung (durch Sub-Dienstleister)
4. Drittanbieter & Empfänger
Wir setzen folgende Dienstleister ein:
| Dienst | Anbieter | Zweck | Sitz |
|---|---|---|---|
| Supabase | Supabase Inc. | Datenbank, Auth, Storage | USA (Server: EU/Stockholm) |
| Hetzner Cloud | Hetzner Online GmbH | Hosting | Deutschland (Server: Nürnberg/DE) |
| Stripe | Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland (EU) |
| Resend | Resend Inc. | Transaktions-E-Mails | USA (DPA vorhanden, EU-Standardvertragsklauseln) |
| Ionos | IONOS SE | Domain, E-Mail-Server | Deutschland |
| Firebase Cloud Messaging | Google Ireland Ltd. | Push-Benachrichtigungen | Irland (EU) (Server: EU) |
| Cloudflare Turnstile | Cloudflare Inc. | Bot-Schutz (CAPTCHA) | USA (EU-Standardvertragsklauseln) |
| Anthropic Claude API | Anthropic PBC | KI-gestützte Analysen, Dokumentengenerierung (optional, KI-Modul erforderlich) | USA (EU-Standardvertragsklauseln) |
Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO. Für Übermittlungen in die USA gelten EU-Standardvertragsklauseln (SCC).
4a. KI-gestützte Datenverarbeitung (Anthropic Claude)
FacilityStack bietet optional KI-gestützte Funktionen zur Analyse und Verarbeitung von Facility-Management-Daten. Dabei werden folgende Daten an die Anthropic Claude API übermittelt:
- Tickettexte (Betreff und Beschreibung von Störmeldungen und Aufgaben)
- Beschreibungen von Gebäuden, Anlagen und Einrichtungen
- Wartungsprotokolle und Prüfberichte
Rechtsgrundlage: Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), soweit die KI-Analyse Bestandteil des gebuchten Leistungsumfangs ist. Sofern die KI-Analyse als optionale Zusatzfunktion genutzt wird, erfolgt die Verarbeitung auf Basis Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
Speicherdauer bei Anthropic: Die übermittelten Daten werden von Anthropic ausschließlich zur Verarbeitung der jeweiligen Anfrage verwendet und nicht dauerhaft gespeichert. Es findet kein Training von KI-Modellen mit Ihren Daten statt (Zero Data Retention Policy).
Opt-out: Die KI-Funktionen sind standardmäßig aktiviert und können jederzeit in den Profileinstellungen deaktiviert werden. Bei Deaktivierung werden keinerlei Daten an externe KI-Dienste übermittelt. Bereits verarbeitete Anfragen können nicht nachträglich bei Anthropic gelöscht werden, da keine dauerhafte Speicherung erfolgt (Zero Data Retention).
5. Übermittlung in Drittländer
Supabase: Firmensitz USA, Server ausschließlich in der EU (Stockholm). DPA + EU-Standardvertragsklauseln vorhanden.
Hetzner Cloud: Hetzner Online GmbH, Gunzenhausen, Deutschland. Hosting ausschließlich in Deutschland (Nürnberg).
Resend: Resend Inc., USA. DPA und EU-Standardvertragsklauseln vorhanden.
Stripe: EU-Verarbeitung durch Stripe Payments Europe Ltd. (Dublin).
Cloudflare Turnstile: Cloudflare Inc., USA. DSGVO-konform durch EU-Standardvertragsklauseln (SCC). Keine Cookies, keine Tracking-Daten. Verarbeitet nur technische Browser-Signale zur Bot-Erkennung.
Google (Firebase): Firebase Cloud Messaging über Google Ireland Ltd. (EU).Anthropic: KI-Analysen werden über die Anthropic Claude API verarbeitet (USA, EU-Standardvertragsklauseln). DPA + EU-Standardvertragsklauseln vorhanden. Die KI-Analyse ist optional und kann deaktiviert werden.
6. Speicherdauer
- Vertragsdaten: Dauer des Vertragsverhältnisses + gesetzliche Aufbewahrungsfristen (6 bzw. 10 Jahre)
- Nutzungsdaten (Server-Logs): Max. 30 Tage
- Zahlungsdaten: Bei Stripe gespeichert, nicht bei uns
- Nach Kündigung: Löschung aller Daten innerhalb 30 Tagen auf Anfrage oder automatisch nach 90 Tagen
7. Cookies
Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Beim ersten Besuch unserer Webseite werden Sie um Ihre Einwilligung gebeten. Sie können Ihre Einstellungen jederzeit ändern.
Cookie-Kategorien:
- Notwendig: Erforderlich für grundlegende Funktionen wie Authentifizierung und Sicherheit (Supabase Auth Session-Cookies). Diese Cookies können nicht deaktiviert werden.
- fs_tenant_cache: Technisch notwendig, speichert die Mandanten-Zuordnung für Performance-Optimierung (Gültigkeitsdauer: Session).
- fs_cookie_consent: Speichert Ihre Cookie-Einwilligungen (Gültigkeitsdauer: 1 Jahr).
- Funktional: Ermöglichen erweiterte Funktionen wie Chat-Widgets und personalisierte Inhalte. Nur mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
- Analyse & Marketing: Helfen uns, die Nutzung der Webseite zu verstehen und relevante Inhalte anzuzeigen. Nur mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Ihre Cookie-Einwilligung wird im Cookie fs_cookie_consent gespeichert und ist 1 Jahr gültig. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Browser-Cookies löschen.
8. Ihre Rechte
Sie haben gegenüber uns folgende Rechte nach der DSGVO:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Recht auf Widerspruch (Art. 21 DSGVO)
- Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO)
Zur Geltendmachung Ihrer Rechte wenden Sie sich an: [email protected]
9. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:
- Verschlüsselte Datenübertragung via HTTPS (TLS 1.3)
- Row Level Security (RLS) für mandantenspezifische Datenisolation
- Passwörter werden als bcrypt-Hash gespeichert
- Regelmäßige Sicherheitsupdates
- Keine Weitergabe von Daten an Dritte zu Marketingzwecken
10. Auftragsverarbeitung
FacilityStack ist Auftragsverarbeiter i.S.v. Art. 28 DSGVO für die Daten, die Sie in die Plattform eingeben. Ein separater Auftragsverarbeitungsvertrag (AVV) steht unter /avv zum Download bereit.