Datenschutzerklärung

1. Verantwortlicher

2. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

• Bestandsdaten (z.B. Firmennamen, Ansprechpartner)
• Inhaltsdaten (z.B. Plandokumente, Leistungsverzeichnisse, Projektdaten)
• Kontaktdaten (z.B. E-Mail-Adressen, Telefonnummern)
• Meta-/Kommunikationsdaten (z.B. IP-Adressen, Zugriffszeiten)
• Nutzungsdaten (z.B. besuchte Seiten, Nutzungsverhalten)
• Vertragsdaten (z.B. HOAI-Verträge, Honorarzonen, Projektlaufzeiten)
• Technische Gebäudedaten (z.B. DIN 276 Kostengruppen, GA-Datenpunktlisten)

Kategorien betroffener Personen

• Kunden / Auftraggeber (Bauherren, Architekten, Fachplaner)
• Nutzer des Kundenportals
• Webseitenbesucher

Zwecke der Verarbeitung

• Bereitstellung des Kundenportals und Projektverwaltung
• Erbringung vertraglicher Planungsleistungen (HOAI LP 1–9)
• Dokumentenmanagement und Versionierung
• Kontaktanfragen und Kommunikation
• Sicherheitsmaßnahmen und Zugriffskontrolle

3. Maßgebliche Rechtsgrundlagen

• Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) – Die betroffene Person hat ihre Einwilligung in die Verarbeitung für einen spezifischen Zweck gegeben.
• Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) – Die Verarbeitung ist für die Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen erforderlich.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO) – Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
• Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) – Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich.

4. Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben geeignete technische und organisatorische Maßnahmen:

• SSL/TLS-Verschlüsselung aller Datenübertragungen
• Row Level Security (RLS) für mandantenbasierte Datenisolation
• Rollenbasierte Zugriffskontrolle (RBAC)
• Datenspeicherung in EU-Rechenzentren (Frankfurt/Paris)
• Regelmäßige Sicherheitsaudits und Penetrationstests
• Verschlüsselte Speicherung sensibler Daten

5. Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu:

• Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger Daten zu verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen ("Recht auf Vergessenwerden").
• Recht auf Einschränkung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten Format zu erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, der Verarbeitung zu widersprechen.
• Recht auf Widerruf (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen.
• Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren.

Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@ihe.de

6. Aufbewahrungsfristen

Wir sind gesetzlich verpflichtet, bestimmte Daten auch nach Beendigung des Vertragsverhältnisses aufzubewahren:

7. Einsatz von Cookies

Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Wir setzen folgende Arten von Cookies ein:

Notwendige Cookies

Erforderlich für grundlegende Funktionen wie Anmeldung, Session-Verwaltung und Sicherheit.
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Funktionale Cookies

Speichern Ihre Einstellungen wie Sprache, Design-Modus und Anzeigeeinstellungen.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Analyse-Cookies

Helfen uns, die Nutzung der Website zu verstehen und zu verbessern (Plausible Analytics, datenschutzfreundlich).
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Marketing-Cookies

Werden für Newsletter-Tracking über Mailjet verwendet.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Sie können Ihre Cookie-Einstellungen jederzeit anpassen:

• Cookie-Einstellungen im Footer: Klicken Sie auf "Cookie-Einstellungen" im Seitenfuß, um Ihre Präferenzen zu ändern oder zu widerrufen.
• Browser-Einstellungen: Sie können Cookies auch direkt in Ihren Browser-Einstellungen verwalten oder löschen.
• Cookie-Banner: Beim ersten Besuch erscheint ein Banner, über den Sie Ihre Einstellungen vornehmen können.

8. Bereitstellung des Onlineangebots und Webhosting

Hosting-Dienste

Supabase: Datenbank und Authentifizierung (Rechenzentrum: Frankfurt, EU)
IONOS: VPS-Hosting Frontend & Backend (Deutschland, Docker-basiert)

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

9. Registrierung, Anmeldung und Nutzerkonto

Nutzer können ein Nutzerkonto im Kundenportal anlegen. Die Registrierung erfolgt über Supabase Auth.

Verarbeitete Daten

• E-Mail-Adresse
• Name und Firmenname
• Passwort (verschlüsselt gespeichert)
• Mandanten-/Organisationszugehörigkeit

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

10. SaaS-Dienste (Kundenportal)

Über das Kundenportal bieten wir folgende Funktionen an:

• Projektverwaltung (TGA-Projekte, HOAI-Phasen)
• Dokumentenmanagement (Pläne, Protokolle, Leistungsverzeichnisse)
• DIN 276 Budgetplanung und Kostenverfolgung
• Echtzeit-Projektstatus und Kommunikation

Alle Daten werden in verschlüsselten Cloud-Speichern (Supabase Storage, Frankfurt) gespeichert und sind durch Row Level Security mandantenbasiert isoliert.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

11. Einsatz von Künstlicher Intelligenz (KI)

11.1 Eingesetzte KI-Systeme

MCP-Assistent für TGA-Planung:

• Anbieter: Scaleway (Iliad Group), Paris, Frankreich (EU)
• Zweck: Unterstützung bei Leistungsverzeichnissen, DIN 276 Kostenschätzung, GA-Datenpunktlisten
• Datenstandort: Frankreich (EU)
• Kennzeichnung: KI-generierte Inhalte sind als solche gekennzeichnet

11.2 Keine automatisierte Einzelentscheidung

Wir treffen keine rechtlich erheblichen Entscheidungen ausschließlich auf Basis automatisierter Verarbeitung (Art. 22 DSGVO). Die KI-Systeme liefern Empfehlungen, die vom Fachplaner geprüft werden.

11.3 Datenverwendung für KI-Training

Wir verwenden Ihre Daten NICHT für das Training von KI-Modellen. Ihre Projektdaten werden ausschließlich für die Erbringung der vertraglichen Leistung verwendet.

11.4 Ihre Rechte bei KI-Verarbeitung

• Opt-Out: Sie können KI-Funktionen im Kundenportal deaktivieren.
• Auskunftsrecht: Auskunft über die KI-Verarbeitung Ihrer Daten.
• Menschliche Überprüfung: Bei Fragen zu KI-Ergebnissen.

Details zu unseren Auftragsverarbeitern finden Sie in unserem Auftragsverarbeitungsvertrag.

12. Kontaktaufnahme

Bei der Kontaktaufnahme (z.B. per E-Mail oder Kontaktformular) werden Ihre Angaben zur Bearbeitung der Anfrage verarbeitet.

Rechtsgrundlage: Vertragserfüllung, berechtigte Interessen (Art. 6 Abs. 1 lit. b, f DSGVO).

13. Newsletter und E-Mail-Kommunikation

Anbieter: Mailjet SAS, 13-13bis rue de l'Aubrac, 75012 Paris, Frankreich
Datenschutzerklärung: mailjet.com/de/rechtliches/datenschutzerklaerung/

Sie können den Newsletter jederzeit abbestellen. Ein Abmeldelink ist in jeder E-Mail enthalten.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

14. Webanalyse und Optimierung

Wir nutzen Plausible Analytics, ein datenschutzfreundliches Analyse-Tool ohne Cookies. Dies erfolgt nur mit Ihrer Einwilligung über unseren Cookie-Consent-Manager.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

15. Social-Media-Sharing (Shariff-Prinzip)

Auf unseren Blog- und Referenzseiten bieten wir die Möglichkeit, Inhalte über soziale Netzwerke zu teilen (LinkedIn, Facebook, X/Twitter, XING, E-Mail). Wir verwenden dabei das Shariff-Prinzip: Es werden keine externen Scripts geladen, keine Cookies gesetzt und keine Daten an Dritte übertragen, solange Sie nicht aktiv auf einen Share-Button klicken.

Erst durch Ihren bewussten Klick auf einen Share-Button werden Sie auf die jeweilige Plattform weitergeleitet. Ab diesem Zeitpunkt gelten die Datenschutzbestimmungen des jeweiligen Anbieters. Wir haben keinen Einfluss auf die Datenverarbeitung durch diese Dienste.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — die Bereitstellung von Sharing-Funktionen ohne automatische Datenübertragung.

16. Kundenfeedback & Testimonials

Nach Projektabschluss können wir Sie per E-Mail um Feedback bitten. Die Teilnahme ist freiwillig. Wir erheben: Name, E-Mail-Adresse, Bewertungen (1-5 Sterne in 5 Kategorien), Freitext-Feedback und eine optionale Weiterempfehlungs-Einschätzung.

Testimonial-Veröffentlichung: Ihr Feedback wird nur dann mit Ihrem Namen auf unserer Website veröffentlicht, wenn Sie im Feedback-Formular ausdrücklich einwilligen ("Ich stimme zu, dass mein Feedback als Kundenstimme veröffentlicht werden darf").

Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen. Kontaktieren Sie uns unter info@ihe.de oder nutzen Sie den Widerrufs-Link. Ihr Testimonial wird dann umgehend von der Website entfernt.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Speicherdauer: Feedback-Daten werden 3 Jahre nach Projektabschluss gelöscht, sofern keine Einwilligung zur Veröffentlichung vorliegt.

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail benachrichtigt.