Stand: Dezember 2024
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
BauPay UG (haftungsbeschränkt)
Landsberger Str. 394
81241 München
Deutschland
Geschäftsführer: Paul Glaser
E-Mail: info@baupay.eu
Website: www.baupay.eu
(Art. 4 Nr. 7, Art. 13 Abs. 1 lit. a DSGVO)
Diese Datenschutzerklärung gilt für
Unser Produkt richtet sich ausschließlich an juristische Personen (B2B). Dennoch verarbeiten wir personenbezogene Daten natürlicher Personen (insbesondere Ansprechpartner und Mitarbeiter unserer Kunden sowie Endkunden unserer Kunden), sodass die DSGVO vollumfänglich Anwendung findet (Erwägungsgrund 14 DSGVO).
Für alle Fragen zum Datenschutz sowie zur Ausübung Ihrer Rechte (vgl. Abschnitt 12) können Sie sich jederzeit an uns wenden:
BauPay UG (haftungsbeschränkt)
Stichwort: Datenschutz
E-Mail: info@baupay.eu
Wir verarbeiten insbesondere Daten folgender Personengruppen:
Je nach Nutzung verarbeiten wir u.a. folgende Kategorien personenbezogener Daten:
Stammdaten:
Name, Vorname, geschäftliche E-Mail-Adresse, geschäftliche Telefonnummer, Unternehmensname, Funktion/Rolle.
Kundendaten & Vertragsdaten:
Kundennummer, Vertrags-/Tarifinformationen, Anzahl Nutzer, Nutzungsvolumen, ggf. USt-ID, Rechnungsadresse.
Nutzungs-/Accountdaten:
Login-E-Mail, Passwörter (verschlüsselt), Rollen und Berechtigungen, interne IDs, Zeitpunkte von Logins und bestimmten Aktionen.
Finanz- und Zahlungsdaten:
Zahlungsart, Stripe-Customer-ID, Informationen zu abgerechneten Leistungen und Abrechnungszeiträumen. Vollständige Zahlungsdaten werden ausschließlich von Stripe verarbeitet und nicht in unserer Datenbank gespeichert.
Bank- und Transaktionsdaten:
Bankverbindungsdaten (IBAN, Kontoname, Kontotyp, Saldo), Transaktionsdaten (Buchungsdatum, Betrag, Währung, Verwendungszweck, Name und ggf. IBAN des Zahlungspflichtigen/Zahlungsempfängers).
Endkundendaten (Kunden unserer Kunden):
Stammdaten (Name, Vorname, ggf. Firma), Kontaktdaten (Adresse, E-Mail, Telefonnummer), Kundennummer, ggf. Bankdaten, Projektinformationen.
Kommunikationsdaten:
Inhalte von Support-Anfragen, E-Mails, Kontaktformularmeldungen, ggf. angehängte Dateien.
Server- und Protokolldaten:
IP-Adresse, Datum/Uhrzeit der Anfrage, Request-URL, HTTP-Statuscode, Referrer-URL, verwendeter Browser und Betriebssystem.
Push-Benachrichtigungsdaten:
Geräte- bzw. Browser-Tokens, technische Metadaten zum Versand und Empfang von Push-Nachrichten.
Wir verarbeiten personenbezogene Daten nach den in Art. 6 Abs. 1 DSGVO vorgesehenen Rechtsgrundlagen.
Zweck:
Bereitstellung der Website und Web-Applikation, Stabilität und Sicherheit (Fehleranalyse, Missbrauchs- und Angriffserkennung), Protokollierung technischer Vorgänge.
Daten:
Server- und Protokolldaten (vgl. 4.2).
Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, stabilen und nutzbaren Online-Angebot).
Speicherdauer:
Logdaten werden in der Regel für 7 Tage gespeichert und anschließend gelöscht oder anonymisiert, sofern keine weitergehende Aufbewahrung zu Beweiszwecken erforderlich ist.
Zweck:
Daten:
Stammdaten, Accountdaten, Vertrags- und Nutzungsdaten (vgl. 4.2).
Rechtsgrundlagen:
Wir nutzen Stripe (Stripe Payments Europe / Stripe, Inc.) zur Zahlungsabwicklung und zum Management von Abonnements.
Zweck:
Daten:
Von uns an Stripe übermittelt: Unternehmensname, Unternehmens-E-Mail, interne Referenz-IDs, gebuchter Tarif, ggf. Rechnungsadresse/USt-ID. Direkt bei Stripe eingegebene Daten: Zahlungsdaten (Kreditkarte, SEPA-Mandat). Diese werden ausschließlich von Stripe verarbeitet und nicht in unseren Systemen gespeichert.
Rechtsgrundlagen:
Empfänger / Verantwortlichkeit:
Stripe agiert überwiegend als eigenständig Verantwortlicher für die Zahlungsabwicklung. Näheres entnehmen Sie der Datenschutzerklärung von Stripe (https://stripe.com/de/privacy).
Wir verwenden die Dienste der FinAPI GmbH (BaFin-regulierter Kontoinformationsdienst) zur Anbindung von Bankkonten und zum Abruf von Kontoinformationen.
Zweck:
Daten:
Bankverbindung des Unternehmens (IBAN, Kontoname, Kontotyp, Währung, Saldo), Transaktionsdaten (Buchungsdatum, Betrag, Währung, Verwendungszweck, Name und ggf. IBAN des Zahlenden/Empfängers).
Rechtsgrundlagen:
Empfänger / Verantwortlichkeit:
FinAPI betreibt seine Server ausschließlich in der EU (Deutschland). FinAPI agiert als eigenständig Verantwortlicher für die PSD2-konforme Kontenzugriffs-Dienstleistung.
Unsere Kunden (Bauunternehmen) nutzen BauPay, um Daten über ihre eigenen Kunden (Endkunden), Projekte und Rechnungen zu verarbeiten. Hier verarbeiten wir personenbezogene Daten im Auftrag unserer Kunden:
In diesen Fällen sind unsere Kunden Verantwortliche im Sinne der DSGVO; wir handeln als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Einzelheiten sind in einem separaten Auftragsverarbeitungsvertrag (AVV) geregelt.
Zweck:
Bearbeitung von Anfragen (Produkt-/Vertragsanfragen, Support, Feedback), Beantwortung von E-Mails.
Daten:
E-Mail-Adresse, Name, ggf. Telefonnummer, Unternehmenszugehörigkeit, Inhalt der Nachricht, Anhänge.
Rechtsgrundlagen:
Speicherdauer:
Wir speichern Kommunikationsdaten, solange dies für die Bearbeitung erforderlich ist. Bei geschäftsrelevanter Korrespondenz erfolgt eine Aufbewahrung im Rahmen der gesetzlichen Aufbewahrungsfristen (regelmäßig 6–10 Jahre).
Wir nutzen Firebase Cloud Messaging (FCM) von Google zur Versendung von Push-Benachrichtigungen.
Zweck:
Zustellung von Benachrichtigungen zu Rechnungen, Zahlungseingängen oder Statusänderungen.
Daten:
Geräte-/Browser-Token, Zeitpunkt und Art der Benachrichtigung, Inhalt der Nachricht.
Rechtsgrundlagen:
Für die Authentifizierung und Sitzungsverwaltung werden technisch notwendige Speichertechnologien eingesetzt. Diese sind für den Betrieb der Plattform zwingend erforderlich und bedürfen keiner Einwilligung (§ 25 Abs. 2 TDDDG).
Wir geben personenbezogene Daten nur weiter, soweit dies zur Vertragsdurchführung erforderlich ist, wir oder Dritte ein berechtigtes Interesse haben, eine gesetzliche Pflicht besteht oder Sie eingewilligt haben.
Empfängerkategorien:
Hosting & Infrastruktur:
Zahlungsdienstleister:
Bank-Integrationsdienst:
Kommunikation & E-Mail:
Soweit wir Dienstleister als Auftragsverarbeiter einsetzen, sind diese durch Verträge nach Art. 28 DSGVO an unsere Weisungen gebunden.
Eine Übermittlung personenbezogener Daten in Staaten außerhalb der EU/des EWR (Drittländer) findet nur statt, wenn für das betreffende Drittland ein Angemessenheitsbeschluss der EU-Kommission besteht (Art. 45 DSGVO), geeignete Garantien nach Art. 46 DSGVO vorliegen oder eine gesetzliche Ausnahme nach Art. 49 DSGVO greift.
Stripe, Inc. und Google LLC sind nach dem EU-US Data Privacy Framework (DPF) zertifiziert; für Übermittlungen personenbezogener Daten an diese Unternehmen besteht ein Angemessenheitsbeschluss der EU-Kommission i.S.d. Art. 45 DSGVO.
Zusätzlich stützen sich die jeweiligen Datenverarbeitungsverträge auf Standardvertragsklauseln der EU-Kommission und ergänzende Sicherheitsmaßnahmen.
FinAPI, Hetzner sowie unsere AWS-Ressourcen werden ausschließlich innerhalb der EU betrieben. Es findet hierbei kein Drittlandtransfer statt.
Soweit in dieser Datenschutzerklärung nicht anders angegeben, gilt:
Wir verarbeiten und speichern personenbezogene Daten nur solange, wie es für die jeweiligen Zwecke erforderlich ist. Darüber hinaus bewahren wir Daten auf, soweit und solange gesetzliche Aufbewahrungspflichten bestehen oder die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden.
Richtwerte:
Für die Nutzung unserer SaaS-Plattform ist die Bereitstellung bestimmter Daten (insb. Stammdaten und Accountdaten) erforderlich. Ohne diese Daten kann kein Nutzerkonto erstellt und kein Vertrag durchgeführt werden.
Die Bereitstellung von Daten für FinAPI-Bankintegrationen ist freiwillig, aber Voraussetzung für die Nutzung der entsprechenden Funktionen.
Werden erforderliche Daten nicht bereitgestellt, kann dies dazu führen, dass die entsprechenden Funktionen nicht genutzt werden können (Art. 13 Abs. 2 lit. e DSGVO).
Es findet keine automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling im Sinne von Art. 22 DSGVO statt, die gegenüber natürlichen Personen rechtliche Wirkungen entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Sie haben – bei Vorliegen der gesetzlichen Voraussetzungen – folgende Rechte in Bezug auf Ihre personenbezogenen Daten:
Zur Ausübung dieser Rechte können Sie sich jederzeit an uns wenden (Kontaktdaten siehe Abschnitt 3).
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung personenbezogener Daten, die wir auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO vornehmen, Widerspruch einzulegen.
Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen diese Verarbeitung einzulegen. Im Fall des Widerspruchs werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Zuständig ist insbesondere die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.
Für BauPay mit Sitz in Bayern ist zuständig:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Deutschland
Wir treffen angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten (Art. 32 DSGVO). Dazu gehören u.a.:
Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage, unsere Verarbeitungsprozesse oder die eingesetzten Dienste ändern.
Die jeweils aktuelle Fassung ist jederzeit unter www.baupay.eu/datenschutz abrufbar.
Werden Sie Beta-Tester und nutzen Sie BauPay ein ganzes Jahr kostenlos. Revolutionieren Sie Ihre Zahlungsprozesse noch heute.
