Datenschutzerklärung

1. Verantwortlicher

Thomas Wolff
TGA Planung Wolff
Sommerhofenstr. 120
71067 Sindelfingen
Deutschland

E-Mail: one@tgaassist.app
Website: tgaassist.app

2. Übersicht der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienste erforderlich ist. Die folgenden Abschnitte erläutern, welche Daten wir erheben, zu welchem Zweck und auf welcher Rechtsgrundlage.

3. Hosting & Infrastruktur

3.1 Hetzner Online GmbH (Sensible Apps)

Die Anwendungen HOAI-TGA-Manager und Projekt Profi verarbeiten sensible Unternehmensdaten (Honorare, Projektdaten, Abrechnungen). Diese werden auf dedizierten Servern bei Hetzner Online GmbH in Deutschland gehostet.

Standort: Rechenzentren in Deutschland (Falkenstein/Nürnberg)
AVV: Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO mit Hetzner abgeschlossen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.2 Supabase Inc. (Standard-Apps)

Die Anwendungen Nachtrag Navigator und Plan Clarity AI nutzen Supabase als Backend-Plattform für Authentifizierung, Datenspeicherung und Edge Functions.

Standort: EU-Region (Frankfurt, Deutschland)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Es werden keine personenbezogenen Kundendaten dauerhaft gespeichert — Projektdokumente werden analysiert und Ergebnisse zum Abruf bereitgehalten.

3.3 Base44 (Leichtgewichtige Apps)

Die Anwendungen GAEB Konverter, Aufmaß Pro und TGA-Abstimmungs-Tool nutzen Base44 als No-Code/Low-Code-Plattform mit integriertem Backend.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Diese Apps verarbeiten primär technische Dokumente (Leistungsverzeichnisse, Aufmaße, Bemusterungslisten). Personenbezogene Daten beschränken sich auf die Registrierungsdaten.

3.4 Cloudflare Inc.

Alle Domains werden über Cloudflare als CDN und DDoS-Schutz ausgeliefert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit)

4. Erhobene Daten

4.1 Registrierungsdaten

E-Mail-Adresse
Name (optional, je nach App)
Firmenname (optional)
Passwort (verschlüsselt gespeichert)

4.2 Nutzungsdaten

Zeitpunkt und Dauer der Nutzung
Aufgerufene Funktionen und Seiten
Browser- und Gerätetyp (anonymisiert)
IP-Adresse (gekürzt, nur für Sicherheitszwecke)

4.3 Projektdaten (nur bei kostenpflichtigen Apps)

Hochgeladene Dokumente (PDF, GAEB-Dateien)
KI-Analyseergebnisse
Projektbezeichnungen, Honorarberechnungen, Aufmaße

Diese Daten gehören dem Nutzer und werden nicht für eigene Zwecke des Anbieters verwendet.

5. Drittanbieter & Auftragsverarbeiter

Folgende Dienste werden eingesetzt:

Dienst	Zweck	Serverstandort	Rechtsgrundlage
Hetzner	Hosting HOAI-TGA-Manager, Projekt Profi	Deutschland	Art. 6(1)b
Supabase	Backend Nachtrag Navigator, Plan Clarity AI	EU (Frankfurt)	Art. 6(1)b
Base44	Plattform GAEB, Aufmaß, Abstimmung	Betreiber-Server	Art. 6(1)b
Stripe	Zahlungsabwicklung	EU/USA (SCC)	Art. 6(1)b
Brevo	E-Mail-Marketing, CRM	EU (Deutschland)	Art. 6(1)a/f
Cloudflare	CDN, DDoS-Schutz, DNS	Global (EU CDN)	Art. 6(1)f
Sentry	Error Tracking, Performance	EU (Frankfurt)	Art. 6(1)f
BetterUptime	Verfügbarkeitsmonitoring	EU	Art. 6(1)f
OpenAI Whisper	Spracherkennung (Bärbel)	USA (SCC/DPF)	Art. 6(1)a
Anthropic Claude	KI-Textverarbeitung	USA (SCC/DPF)	Art. 6(1)b
Google Gemini	KI-Analyse Nachtrag Nav. & Plan Clarity	EU/USA (SCC)	Art. 6(1)b

Für alle US-Dienstleister gelten die EU-Standardvertragsklauseln (SCC) und/oder das EU-U.S. Data Privacy Framework (DPF) als Grundlage für den Datentransfer in Drittländer.

6. Zahlungsabwicklung (Stripe)

Die Zahlungsabwicklung erfolgt über Stripe Payments Europe Ltd. (Irland). Bei einem Kaufvorgang werden folgende Daten an Stripe übermittelt:

E-Mail-Adresse
Zahlungsinformationen (Kreditkarte, SEPA o.ä.)
Rechnungsadresse

TGAassist speichert keine Kreditkartendaten. Die Verarbeitung erfolgt auf den PCI-DSS-zertifizierten Systemen von Stripe.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Vor Abschluss eines Bezahlvorgangs wird die Zustimmung zur Datenschutzerklärung über eine Checkbox eingeholt.

7. E-Mail-Kommunikation (Brevo)

Wir nutzen Brevo (ehemals Sendinblue) für den Versand von:

Willkommens-E-Mails nach Registrierung oder Messebesuch
Transaktionalen E-Mails (Bestätigungen, Passwortzurücksetzung)
Newsletter und Produktinformationen (nur mit ausdrücklicher Einwilligung)

Rechtsgrundlage Newsletter: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Rechtsgrundlage transaktional: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Abmeldung ist jederzeit über den Link in jeder E-Mail möglich.

8. KI-Verarbeitung

Mehrere Apps nutzen KI-Modelle zur Analyse von Dokumenten und zur Sprachverarbeitung:

Nachtrag Navigator: Google Gemini 3 Flash Preview — analysiert hochgeladene VOB-Dokumente per Streaming. Dokumente werden zur Analyse an die API übertragen und nicht dauerhaft bei Google gespeichert.

Plan Clarity AI: Google Gemini 2.5 Flash — führt Doppel-Pass-LV-Prüfungen durch. Gleiche Verarbeitungslogik.

HOAI-TGA-Manager: Base44 InvokeLLM — für KI-Abrechnungsvorschläge, Projektkostenschätzungen und Dashboard-Zusammenfassungen.

Sprachassistentin Bärbel: OpenAI Whisper API (Spracherkennung) + Anthropic Claude API (Textstrukturierung). Audiodaten werden nur zur Transkription übertragen und nicht dauerhaft gespeichert.

Wichtig: Die KI-Ergebnisse sind Entscheidungshilfen, kein Ersatz für fachliche Prüfung. Der Mensch entscheidet.

9. Cookies & Lokale Speicherung

TGAassist verwendet:

Session-Cookies für die Authentifizierung (technisch notwendig)
LocalStorage für Anwendungseinstellungen und Offline-Caching (technisch notwendig)

Es werden keine Tracking-Cookies, keine Werbe-Cookies und keine Cookies von Drittanbietern zu Marketingzwecken eingesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Funktionsfähigkeit)

10. Betroffenenrechte

Sie haben folgende Rechte gemäß DSGVO:

Auskunft über die gespeicherten Daten (Art. 15)
Berichtigung unrichtiger Daten (Art. 16)
Löschung Ihrer Daten (Art. 17)
Einschränkung der Verarbeitung (Art. 18)
Datenübertragbarkeit / Export (Art. 20)
Widerspruch gegen die Verarbeitung (Art. 21)
Widerruf erteilter Einwilligungen (Art. 7 Abs. 3)

Zur Ausübung Ihrer Rechte wenden Sie sich an: one@tgaassist.app

Sie haben außerdem das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren:
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg
www.baden-wuerttemberg.datenschutz.de

11. Datensicherheit

Verschlüsselte Übertragung (TLS/HTTPS) für alle Anwendungen
Verschlüsselte Passwortspeicherung (Hashing)
Firewalls, fail2ban und regelmäßige Sicherheitsupdates auf Hetzner-Servern
Row Level Security (RLS) auf Supabase-Datenbanken
Regelmäßige verschlüsselte Datenbank-Backups
Security Monitoring via Sentry (EU) und BetterUptime

12. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt:

Account-Daten: Bei Löschung des Accounts, spätestens 30 Tage nach Kündigung
Projektdaten: Bei Löschung durch den Nutzer oder nach Account-Löschung
Rechnungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht, §147 AO, §257 HGB)
Server-Logs: Max. 30 Tage
Brevo-Kontaktdaten: Bis zum Widerruf der Einwilligung

13. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, insbesondere bei Änderungen der eingesetzten Dienste oder der Rechtslage. Die aktuelle Fassung ist stets unter tgaassist.app/datenschutz abrufbar.

Stand: März 2026