Datenschutzerklärung

Stand: März 2026 · Aufmaß 2026 – Next-Gen Professional Suite

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Ein Datenschutzbeauftragter ist nach § 38 BDSG nicht bestellt, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

2. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten ausschließlich, soweit dies zur Bereitstellung unserer Webapplikation erforderlich ist. Im Folgenden informieren wir Sie über Art, Umfang und Zweck der Datenverarbeitung.

a) Registrierung und Kontoverwaltung

Daten	Zweck	Rechtsgrundlage	Speicherdauer
Benutzername	Identifikation, Login	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)	Bis Kontolöschung
E-Mail-Adresse	Kontowiederherstellung, Kontakt	Art. 6 Abs. 1 lit. b DSGVO	Bis Kontolöschung
Passwort	Authentifizierung	Art. 6 Abs. 1 lit. b DSGVO	Nur als bcrypt-Hash, bis Kontolöschung

Folgen der Nichtbereitstellung: Ohne Benutzername, E-Mail und Passwort ist eine Registrierung und Nutzung der Anwendung nicht möglich.

b) Aufmaß- und Projektdaten

Daten	Zweck	Rechtsgrundlage	Speicherdauer
Raummaße, Projektdaten	Kernfunktion der Anwendung	Art. 6 Abs. 1 lit. b DSGVO	Bis Löschung durch Nutzer oder Kontolöschung

c) Server-Logdateien

Daten	Zweck	Rechtsgrundlage	Speicherdauer
IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Statuscode, Browser-Kennung	IT-Sicherheit, Fehleranalyse, Missbrauchsschutz	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)	Maximal 7 Tage, dann automatisch gelöscht

Berechtigtes Interesse: Die Verarbeitung der Server-Logs ist zur Gewährleistung der IT-Sicherheit, zur Erkennung von Angriffen und zur Fehlerdiagnose unbedingt erforderlich.

3. Cookies und lokale Speicherung (§ 25 TDDDG)

Wir verwenden ausschließlich technisch notwendige Technologien auf Ihrem Endgerät. Diese sind nach § 25 Abs. 2 Nr. 2 TDDDG von der Einwilligungspflicht ausgenommen, da sie unbedingt erforderlich sind, um den von Ihnen gewünschten Dienst bereitzustellen.

Technologie	Name	Zweck	Dauer
Session-Cookie	connect.sid	Aufrechterhaltung Ihrer Anmeldesitzung	7 Tage oder Logout
localStorage	aufmass_cookie_consent	Speicherung Ihrer Kenntnisnahme dieses Hinweises	365 Tage

Wir setzen keine Tracking-Cookies, Analyse-Tools (z. B. Google Analytics), Werbe-Cookies oder Social-Media-Plugins ein. Es findet kein Tracking statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit § 25 Abs. 2 Nr. 2 TDDDG (technische Erforderlichkeit).

4. Technische Sicherheitsmaßnahmen (Art. 32 DSGVO)

Wir setzen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:

• Transportverschlüsselung: Alle Verbindungen zwischen Ihrem Gerät und unserem Server sind mit HTTPS/TLS verschlüsselt (Let's Encrypt Zertifikat).
• Datenbank-Verschlüsselung: Benutzernamen und E-Mail-Adressen werden mit AES-256-GCM verschlüsselt in der Datenbank gespeichert. Jeder Wert erhält einen eigenen zufälligen Initialisierungsvektor. Selbst bei einem Datenbank-Einbruch wären keine personenbezogenen Daten lesbar.
• Passwort-Hashing: Passwörter werden mit bcrypt (12 Salt-Runden) gehasht. Selbst Administratoren können Ihr Passwort nicht einsehen oder rekonstruieren.
• Session-Schutz: Session-Cookies sind HttpOnly (nicht per JavaScript auslesbar), Secure (nur über HTTPS), und SameSite-geschützt.
• Brute-Force-Schutz: Maximal 20 Login-Versuche pro 15 Minuten. Darüber hinaus wird der Zugang temporär gesperrt.
• CSRF-Schutz: Alle datenändernden Formulare sind mit rotierenden CSRF-Tokens abgesichert.
• Security Headers: HTTP-Sicherheitsheader (Helmet.js) schützen vor gängigen Web-Angriffen.

5. Empfänger und Auftragsverarbeitung

Hosting: Der Server wird bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, betrieben. Hetzner verarbeitet Ihre Daten in unserem Auftrag auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO. Der Serverstandort ist Deutschland.

Darüber hinaus geben wir Ihre Daten nicht an Dritte weiter. Es findet keine Weitergabe an Werbetreibende, keine Nutzung durch Drittanbieter-Analytics und keine Übermittlung in Länder außerhalb der EU/des EWR statt.

6. Ihre Rechte

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO) – Sie können Auskunft verlangen, welche Daten wir über Sie gespeichert haben.
• Berichtigung (Art. 16 DSGVO) – Sie können die Korrektur unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer Daten verlangen. In Aufmaß 2026 können Sie Ihr Konto jederzeit selbst löschen über Dashboard → Konto löschen. Dabei werden alle Ihre personenbezogenen Daten vollständig und unwiderruflich entfernt.
• Einschränkung (Art. 18 DSGVO) – Sie können die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO) – Sie können den Export Ihrer Daten in maschinenlesbarem Format (JSON) verlangen. In Aufmaß 2026 können Sie Ihre Daten jederzeit selbst exportieren über Dashboard → Meine Daten exportieren.
• Widerspruch (Art. 21 DSGVO) – Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) Widerspruch einzulegen. Wir werden die Verarbeitung dann einstellen, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an die unter Abschnitt 1 genannte Adresse.

7. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen Rechtsbehelfs haben Sie das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO). Zuständig ist die Behörde Ihres Aufenthaltsortes, Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes, z. B.:

8. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.

9. Speicherdauer im Überblick

Datenkategorie	Speicherdauer
Benutzerkonto (Name, E-Mail)	Bis zur Kontolöschung durch den Nutzer
Passwort-Hash	Bis zur Kontolöschung oder Passwortänderung
Aufmaß-/Projektdaten	Bis zur Löschung durch den Nutzer oder Kontolöschung
Session-Daten	Maximal 7 Tage nach letzter Aktivität
Server-Logdateien	Maximal 7 Tage
Cookie-Consent (localStorage)	365 Tage

Nach Löschung Ihres Kontos werden alle personenbezogenen Daten vollständig und unwiderruflich aus der Datenbank entfernt.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, z. B. bei neuen Funktionen, geänderten Rechtslagen oder behördlichen Vorgaben. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer über die Anwendung.

11. Anwendbare Rechtsgrundlagen

Diese Datenschutzerklärung basiert auf folgenden Gesetzen:

• DSGVO – Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)
• BDSG – Bundesdatenschutzgesetz
• TDDDG – Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (ehem. TTDSG, seit Mai 2024)
• DDG – Digitale-Dienste-Gesetz (ehem. TMG, seit Mai 2024)