Datenschutzerklärung

Mit dieser Erklärung informieren wir dich darüber, welche personenbezogenen Daten wir im Zusammenhang mit der Nutzung von EasyGAEB verarbeiten. Sie gilt sowohl für die Website easy-gaeb.de als auch für die Anwendung unter app.easy-gaeb.de.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

Aufi GmbH
Günthersbühlerstr. 46 A
90491 Nürnberg
Deutschland

Vertreten durch: Tobias Aufenanger (Geschäftsführer)
E-Mail: kontakt@aufi.de

2. Hosting

EasyGAEB wird auf Servern der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) betrieben. Die Server stehen ausschließlich in Deutschland. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Rechtsgrundlage: berechtigtes Interesse an einer zuverlässigen Bereitstellung des Dienstes (Art. 6 Abs. 1 lit. f DSGVO).

3. Server-Logfiles

Beim Aufruf unserer Seiten speichert der Webserver automatisch Zugriffsdaten in Logfiles. Dazu gehören IP-Adresse, Zeitpunkt des Zugriffs, aufgerufene URL, Referer, Browser-Typ und Betriebssystem.

Diese Daten benötigen wir, um die Funktionsfähigkeit und Sicherheit des Dienstes zu gewährleisten, etwa zur Erkennung von Angriffen oder Fehleranalyse. Die Logfiles werden nach spätestens 7 Tagen gelöscht und nicht mit anderen Datenquellen zusammengeführt.

Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

4. Cookies

Auf der Landing-Page (easy-gaeb.de) setzen wir keine Cookies und verwenden kein Tracking.

In der App (app.easy-gaeb.de) verwenden wir ein technisch notwendiges Session-Cookie, das deinen Browser der hochgeladenen GAEB-Datei zuordnet. Es wird automatisch nach 72 Stunden ungültig. Bei angemeldeten Nutzern wird die Authentifizierung über ein separates Login-Token abgewickelt.

Beide Mechanismen sind technisch notwendig für die Bereitstellung des Dienstes und nach § 25 Abs. 2 TTDSG nicht einwilligungspflichtig. Wir setzen keine Marketing-, Tracking- oder Analyse-Cookies ein.

5. Webanalyse

Wir verwenden Umami, ein selbst gehostetes, datenschutzfreundliches Analysetool. Umami setzt keine Cookies, speichert keine personenbezogenen Daten und erstellt keine individuellen Nutzerprofile. Es werden ausschließlich aggregierte Daten erhoben — etwa Seitenaufrufe, Verweisquellen, verwendete Gerätetypen und ungefähre Standorte auf Länderebene.

Die erhobenen Daten werden auf unserem eigenen Server in Deutschland gespeichert und nicht an Dritte weitergegeben.

Rechtsgrundlage: berechtigtes Interesse an der Verbesserung des Dienstes (Art. 6 Abs. 1 lit. f DSGVO).

6. Datei-Upload und Verarbeitung

Wenn du eine GAEB-Datei (X83, D83 oder P83) hochlädst, wird die Datei auf unserem Server verarbeitet und der Inhalt des Leistungsverzeichnisses in einer Datenbank gespeichert. Dabei werden neben den Positionen, Mengen und Texten auch Projektdaten und Absenderinformationen aus dem Datei-Header übernommen, soweit sie in der Datei enthalten sind.

Die Verarbeitung ist erforderlich, um die Kernfunktionen bereitzustellen (Anzeige des LV, Bepreisung, Excel-Export, X84-Export). Ohne Account läuft deine Browser-Sitzung nach 72 Stunden ab — danach ist die hochgeladene Datei über den Browser nicht mehr erreichbar. Angemeldete Nutzer können gespeicherte Projekte jederzeit über das Dashboard löschen.

Darüber hinaus können wir die bei der Nutzung anfallenden Daten verwenden, um den Dienst weiterzuentwickeln, Fehler zu erkennen und die Qualität der Verarbeitung zu verbessern.

Rechtsgrundlage: berechtigtes Interesse an der Bereitstellung und Verbesserung des Dienstes (Art. 6 Abs. 1 lit. f DSGVO), bei angemeldeten Nutzern ergänzend Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

7. KI-Zusammenfassung und KI-Assistant

Angemeldete Nutzer können optional zwei KI-gestützte Funktionen nutzen: eine automatisch erzeugte Zusammenfassung deines Leistungsverzeichnisses (LV) und einen KI-Assistant-Chat auf den Bearbeitungsseiten, der Rückfragen zum aktuellen LV beantwortet (etwa zu Positions-Inhalten, Mengen oder strukturellen Fragen). Beide Funktionen werden ausschließlich dann ausgelöst, wenn du sie aktiv aufrufst — zum Beispiel durch einen Klick auf „Zusammenfassung erzeugen" oder durch Absenden einer Chat-Nachricht. Ohne aktive Nutzung verlassen keine LV-Inhalte zum Zweck der KI-Verarbeitung unsere Server. Die Nutzung der KI-Zusammenfassung ist zusätzlich pro Monat mengenmäßig begrenzt.

Eingesetzter Dienstleister: Für die KI-Verarbeitung nutzen wir den Cortecs-Dienst als EU-Gateway. Cortecs bündelt die Anfragen und leitet sie an ausgewählte Sprachmodell-Anbieter weiter. Wir haben Cortecs auf Account-Ebene so konfiguriert, dass ausschließlich europäische Modell-Anbieter mit Zero-Data-Retention-Policy (ZDR) für die Verarbeitung eingesetzt werden. Das bedeutet: Cortecs und die über das Gateway angebundenen Anbieter verwenden deine Eingaben nicht für Modell-Training und speichern die übermittelten Inhalte nicht persistent über die Dauer der einzelnen Anfrage hinaus. Die Übertragung zu Cortecs erfolgt TLS-verschlüsselt.

Welche Daten werden übermittelt? Je nach Funktion wird an Cortecs übertragen:

• bei der Zusammenfassung: die Gliederung (Outline) deines LV sowie ausgewählte Positionstexte der darin enthaltenen Leistungen;
• beim KI-Assistant-Chat: deine Chat-Nachrichten und — sofern du dich auf einer Bearbeitungsseite befindest — der dafür relevante LV-Kontext (Outline, gegebenenfalls Positionstexte) sowie eine zuvor erzeugte Zusammenfassung, damit der Assistant deine Fragen im Kontext beantworten kann.

Welche Daten werden ausdrücklich nicht übermittelt? Dein Bieter-Profil (Firmendaten, Anschrift, USt-IdNr.), dein Passwort bzw. dessen Hash, hinterlegte Zugangsdaten für Drittanbieter-Integrationen (zum Beispiel dein Lexoffice-API-Key) sowie Bankdaten werden zu keinem Zeitpunkt an Cortecs oder die angebundenen KI-Anbieter gesendet. Auch die Original-GAEB-Datei selbst verlässt unsere Server nicht — an die KI-Funktionen geht nur der für die jeweilige Anfrage relevante Textauszug.

Aufbewahrung: Eine einmal erzeugte Zusammenfassung speichern wir in unserer Datenbank, solange dein Account bzw. das zugehörige Projekt besteht — du kannst beides jederzeit löschen. Chat-Nachrichten des KI-Assistants werden zur Anzeige der Konversation während deiner Sitzung gespeichert und können von dir beendet bzw. gelöscht werden. Bei Cortecs und den angebundenen Anbietern werden die übermittelten Inhalte gemäß der Zero-Data-Retention-Policy nicht persistent gespeichert und nach Abschluss der Anfrage verworfen.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die Einwilligung erteilst du durch die aktive Nutzung der jeweiligen KI-Funktion; sie bezieht sich jeweils auf den konkreten Verarbeitungsvorgang. Du kannst der Verarbeitung jederzeit widersprechen, indem du die KI-Funktionen schlicht nicht nutzt — ein separater Widerruf ist nicht nötig, da ohne aktive Auslösung keine Übermittlung stattfindet. Die Kernfunktionen von EasyGAEB (Upload, Bepreisung, Excel- und X84-Export) stehen dir unabhängig davon und ohne KI-Einsatz zur Verfügung.

8. Nutzerkonto

Die Registrierung ist freiwillig. Der gesamte Kern-Workflow funktioniert ohne Konto. Wenn du dich registrierst, speichern wir deine E-Mail-Adresse und ein kryptografisch gehashtes Passwort. Optional kannst du ein Bieterprofil mit Firmendaten (Name, Anschrift, Kontakt, USt-IdNr.) hinterlegen, das beim X84-Export automatisch eingetragen wird.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Daten werden gespeichert, bis du dein Konto löschst.

Du kannst dein Konto jederzeit selbst in den Einstellungen löschen. Nach Bestätigung wird dein Konto sofort deaktiviert und nach einer 30-tägigen Karenzzeit endgültig gelöscht. Innerhalb der Karenzzeit kannst du die Löschung durch erneuten Login rückgängig machen.

Bestätigung der E-Mail-Adresse

Im Anschluss an die Registrierung senden wir dir eine Bestätigungs-Mail an die angegebene Adresse. Der Versand dient ausschließlich dem Nachweis, dass die Adresse dir gehört, und der späteren Erreichbarkeit für kontorelevante Mitteilungen. An die Bestätigungs-Mail hängen wir eine Kopie dieser Datenschutzerklärung im PDF-Format an, damit du sie in der bei der Registrierung gültigen Fassung für deine Unterlagen aufbewahren kannst.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Für den technischen Versand dieser und vergleichbarer kontorelevanter Mails nutzen wir Brevo (Sendinblue SAS, 7 rue de Madrid, 75008 Paris, Frankreich) als Auftragsverarbeiter nach Art. 28 DSGVO. Übermittelt werden deine E-Mail-Adresse als Empfänger sowie der jeweilige Mail-Inhalt (z.B. Bestätigungs-Link, ggf. dein Name, falls du ihn im Bieterprofil hinterlegt hast und wir dich namentlich anschreiben). Wir haben mit Brevo einen Auftragsverarbeitungsvertrag abgeschlossen; die Verarbeitung findet auf Servern innerhalb der EU statt. Details zur Datenverarbeitung bei Brevo: Brevo-Datenschutzerklärung.

Über die genannten Zwecke hinaus können wir die im Rahmen deines Kontos anfallenden Daten zur Weiterentwicklung des Dienstes nutzen und dich in diesem Zusammenhang vereinzelt kontaktieren (z.B. für Feedback zu konkreten Workflows). Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO); Widerspruch jederzeit unter kontakt@aufi.de.

9. Drittanbieter-Integrationen

EasyGAEB bietet optionale Anbindungen an externe Dienste (z.B. Buchhaltungssoftware). Wenn du eine solche Integration aktivierst, werden die dafür erforderlichen Daten (z.B. Angebotsdaten, Kontaktinformationen) an den jeweiligen Drittanbieter übermittelt. Zugangsdaten für externe Dienste werden verschlüsselt in unserer Datenbank gespeichert.

Die Datenübermittlung findet ausschließlich auf deine aktive Auslösung hin statt. Du kannst jede Integration jederzeit in den Einstellungen deaktivieren.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

10. Verschlüsselung und Sicherheit

Die gesamte Kommunikation zwischen deinem Browser und unseren Servern erfolgt über HTTPS (TLS-verschlüsselt). Sensible Daten werden zusätzlich serverseitig verschlüsselt. Passwörter werden ausschließlich als kryptografischer Hash gespeichert, nie im Klartext.

11. Weitergabe an Dritte

Wir geben personenbezogene Daten nur an Dritte weiter, soweit dies in dieser Erklärung beschrieben ist:

• Hetzner Online GmbH (Hosting, AV-Vertrag, Serverstandort Deutschland)
• Sendinblue SAS (Brevo) (Versand transaktionaler E-Mails, AV-Vertrag, Serverstandort EU; Details siehe Abschnitt 8)
• Cortecs GmbH (KI-Gateway, ausschließlich bei aktiver Nutzung der KI-Funktionen; Details siehe Abschnitt 7)
• Drittanbieter von Integrationen (nur bei aktivierter Integration, auf deine ausdrückliche Auslösung hin)

12. Aufbewahrungsfristen

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:

• Server-Logfiles: bis zu 7 Tage
• Sessions ohne Account: 72 Stunden nach letzter Aktivität
• Nutzerkonten: bis zur Löschung durch den Nutzer
• Zugangsdaten für Integrationen: bis zur Deaktivierung der jeweiligen Integration durch den Nutzer
• Zur Löschung markierte Konten: 30 Tage Karenzzeit, danach vollständige Löschung der Kontodaten (E-Mail, Passwort-Hash, Bieterprofil, Excel-Vorlagen).

Gesetzliche Aufbewahrungspflichten (z.B. steuer- oder handelsrechtlich) bleiben unberührt.

13. Deine Rechte

Du hast jederzeit das Recht, unentgeltlich Auskunft über die zu deiner Person gespeicherten Daten zu verlangen. Darüber hinaus hast du folgende Rechte:

Recht auf Berichtigung (Art. 16 DSGVO)

Du kannst die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Du kannst die Löschung deiner Daten verlangen, sofern die Verarbeitung nicht zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Die Löschung kannst du eigenständig in den Einstellungen (Konto → Konto löschen) auslösen. Nach Ablauf der 30-Tage-Frist werden deine persönlichen Kontodaten entfernt. Hochgeladene Ausschreibungs-LVs werden vom Nutzer-Account entkoppelt (Spalte user_id auf NULL gesetzt) und verbleiben zur statistischen Auswertung sowie Produktverbesserung — Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Die in den LV-Dateien enthaltenen Bieter-Daten stammen aus der ursprünglichen Upload-Datei und werden aus technischen Gründen nicht einzeln nachträglich gelöscht; ein gesonderter Löschungsantrag für konkrete Dateien ist jederzeit über kontakt@aufi.de möglich.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Du kannst die Einschränkung der Verarbeitung verlangen, etwa wenn du die Richtigkeit der Daten bestreitest oder die Verarbeitung unrechtmäßig ist, du aber statt der Löschung die Einschränkung bevorzugst.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Du hast das Recht, die dich betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen, soweit dies technisch machbar ist.

Widerspruchsrecht (Art. 21 DSGVO)

Soweit wir Daten auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, kannst du jederzeit Widerspruch einlegen. Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die deine Interessen überwiegen.

Widerruf einer Einwilligung

Soweit eine Verarbeitung auf deiner Einwilligung beruht (z.B. Lexoffice-Integration), kannst du diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Zur Ausübung deiner Rechte wende dich an kontakt@aufi.de.

14. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren. Die für uns zuständige Behörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de

15. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung bei Bedarf an, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die jeweils aktuelle Version findest du immer unter dieser Adresse.

Stand: 18. Mai 2026