Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist die im Impressum genannte Stelle. Bei Fragen zum Datenschutz erreichen Sie uns unter kontakt@naturvergabe.de.

2. Welche Daten wir verarbeiten

Wir verarbeiten nur Daten, die für den Betrieb der Plattform erforderlich sind:

  • Registrierung & Login: E-Mail-Adresse, Name und Profilbild bei Anmeldung über Google (nur diese drei Felder). Alternativ E-Mail-Adresse bei Anmeldung über Magic Link.
  • Konto: Organisation und Funktion (freiwillig), Zeitpunkt des letzten Logins und Anzahl der Logins.
  • Projektdaten: hochgeladene Ausschreibungsunterlagen (PDF, Word), der daraus extrahierte Volltext, Flächen-Geodaten (Koordinaten, Flächengröße), Flächenbeschreibungen, Leistungspositionen und Kalkulationsdaten.
  • KI-Nutzungsdaten: aggregierte Token-Verbräuche pro Projekt (für Kostentransparenz im Nutzerbereich). Keine Inhalte, nur Zahlen.
  • Export-Aktivität: Zeitpunkt und Typ heruntergeladener Dokumente (DOCX, GAEB, GeoJSON).
  • Feedback-Nachrichten: Nachrichten, die Sie über den Feedback-Button an uns senden, inklusive Zeitpunkt, Absender-E-Mail und Seitenkontext. Diese werden zusätzlich per E-Mail an die Produktverantwortlichen weitergeleitet, damit sie zeitnah bearbeitet werden können.
  • Technische Daten: IP-Adresse, Browser, Zugriffszeitpunkt und Statuscodes werden vom Hosting-Anbieter (Vercel) in Server-Logs für maximal 30 Tage vorgehalten.

3. Zweck und Rechtsgrundlage

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der Plattform, Dokumentenanalyse, Textgenerierung, Export und Verwaltung von Vergabeprojekten.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Technischer Betrieb, Fehlerbehebung, Missbrauchserkennung, aggregierte Nutzungsstatistik zur Produktverbesserung.

4. KI-Verarbeitung

Zur Analyse von Ausschreibungsunterlagen und zur Generierung von Leistungsbeschreibungen setzen wir die Google Gemini API ein (Anbieter: Google Ireland Limited bzw. Google LLC, Verarbeitung auf Servern in den USA).

Hochgeladene PDF- und Word-Dokumente werden für die Dauer der Analyse an die Gemini API übermittelt. Der extrahierte Volltext sowie die generierten Inhalte werden ausschließlich in unserer EU-Datenbank (Neon, AWS Frankfurt) gespeichert. Eine dauerhafte Speicherung bei Google findet nicht statt.

Gemäß dem Google Cloud Data Processing Addendum werden übermittelte Inhalte nicht zum Training von Sprachmodellen verwendet und nicht für andere Zwecke weiterverarbeitet.

5. Auftragsverarbeiter

Wir setzen folgende Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Die Auftragsverarbeitungsverträge sind Bestandteil der jeweiligen Nutzungsbedingungen:

  • Vercel Inc. — Hosting und Anwendungsbetrieb (EU-Region). DPA
  • Neon Inc. — Datenbank (AWS Frankfurt, eu-central-1). DPA
  • Google Ireland Ltd. / Google LLC — Authentifizierung (OAuth) und KI-Analyse (Gemini API). DPA
  • Resend Inc. — E-Mail-Versand (Magic-Link-Anmeldung, Systembenachrichtigungen). DPA

6. Übermittlung in Drittländer

Google verarbeitet Daten im Rahmen der Authentifizierung und der Gemini API auf Servern in den USA. Grundlage ist das EU-US Data Privacy Framework (Google ist zertifiziertes Mitglied) in Kombination mit Standardvertragsklauseln der EU-Kommission. Alle übrigen Verarbeitungsschritte (Hosting, Datenbank, E-Mail) erfolgen innerhalb der EU.

7. Speicherdauer

  • Nutzerkonto und zugehörige Daten (Projekte, Dokumente, KI-Nutzungsdaten, Export-Logs): bis zur Kontolöschung durch den Nutzer. Die Löschung erfolgt unverzüglich und kaskadiert auf alle verknüpften Daten (keine Soft-Deletion, keine Wiederherstellung).
  • Einzelne Projekte: bis zur manuellen Löschung durch den Nutzer.
  • Sessions: maximal 30 Tage nach letzter Aktivität.
  • Magic-Link-Tokens: maximal 24 Stunden.
  • Server-Logs (Vercel): maximal 30 Tage.

8. Ihre Rechte

Sie haben gegenüber uns folgende Rechte:

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde (in Hamburg: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit)

Zur Ausübung Ihrer Rechte genügt eine E-Mail an kontakt@naturvergabe.de. Eine Konto-Löschung können Sie auch selbständig im Bereich „Einstellungen" ausführen.

9. Cookies und Analyse

Wir setzen ausschließlich technisch notwendige Cookies ein (Session-Cookie für die Anmeldung). Es werden keine Tracking- oder Werbe-Cookies verwendet.

Für die Erfassung aggregierter Besuchsstatistiken und Ladezeiten nutzen wir Vercel Analytics. Dabei werden keine Cookies gesetzt und keine personenbezogenen Daten erhoben — ausgewertet werden nur anonyme Seitenaufrufe und technische Performance-Metriken (Core Web Vitals).

10. Kontakt

Fragen zur Verarbeitung Ihrer Daten richten Sie bitte an kontakt@naturvergabe.de.

Stand: April 2026