Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

2. Kontakt in Datenschutzfragen

Für Fragen zum Datenschutz und zur Geltendmachung Ihrer Rechte erreichen Sie uns unter: datenschutz@kulatrix.com

Ein Datenschutzbeauftragter ist nach § 38 BDSG derzeit nicht zu bestellen.

3. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO), zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), aufgrund einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) oder berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

4. Bereitstellung der Website und Server-Logfiles

Beschreibung

Bei jedem Aufruf unserer Website erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners. Folgende Daten werden hierbei erhoben:

• IP-Adresse (gekürzt/anonymisiert nach 7 Tagen)
• Datum und Uhrzeit des Zugriffs
• aufgerufene URL und HTTP-Statuscode
• übertragene Datenmenge
• Referrer-URL
• verwendeter Browser, Betriebssystem und Sprache

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherstellung des Betriebs, der IT-Sicherheit und der Missbrauchsabwehr.

Speicherdauer

Logfiles werden nach maximal 14 Tagen gelöscht oder anonymisiert.

5. Registrierung und Nutzerkonto

Beschreibung

Für die Nutzung unserer Plattform ist eine Registrierung erforderlich. Dabei verarbeiten wir folgende Daten:

Endkunden: Vor- und Nachname, E-Mail-Adresse, Passwort (gehasht), optional Telefonnummer und Avatar.

Handwerker (zusätzlich): Unternehmensdaten (Firmenname, Rechtsform, Anschrift), Steuerinformationen (USt-ID/Steuernummer), Stundensatz/Grundpreis, Aktionsradius, Gewerke und Spezialisierungen, Galeriebilder, Qualifikations- und Versicherungsnachweise (Dokumente).

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

Speicherdauer

Bis zur Löschung des Nutzerkontos. Gesetzliche Aufbewahrungsfristen (Handels- und Steuerrecht: 6 bzw. 10 Jahre; Plattformsteuertransparenz nach PStTG: 10 Jahre für Handwerker-Stammdaten und Transaktionsdaten) bleiben unberührt.

6. Anmeldung über Drittanbieter (OAuth)

Beschreibung

Wir bieten die Anmeldung über folgende Drittanbieter an:

• Google (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland)
• Apple (Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland)

Bei Anmeldung über einen dieser Dienste werden personenbezogene Daten (mindestens E-Mail, Name, eindeutige Anbieter-ID) vom jeweiligen Anbieter an uns übermittelt. Eine Übermittlung in Drittländer kann erfolgen; die Anbieter haben sich auf entsprechende Garantien (Standardvertragsklauseln) verpflichtet.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-durchführung). Die Datenverarbeitung durch den Drittanbieter erfolgt auf Grundlage Ihrer dortigen Einwilligung.

7. Anfrage- und Vermittlungsprozess

Beschreibung

Im Rahmen einer Auftragsanfrage verarbeiten wir:

• Antworten auf den geführten Wizard (z. B. Gewerk, Umfang, Wunschtermin)
• Ihre Anschrift und Postleitzahl (zur Geo-Suche, siehe Ziff. 8)
• hochgeladene Fotos und Notizen
• die ausgewählte Auftragsfreigabe an passende Handwerker im definierten Umkreis

Handwerker erhalten zunächst nur ein eingeschränktes Profil der Anfrage ohne genaue Straße. Die vollständigen Kontaktdaten werden erst nach Buchung freigegeben.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

Speicherdauer

Anfragedaten werden für die Dauer der laufenden Anfrage und anschließend für die Dauer gesetzlicher Aufbewahrungsfristen gespeichert. Nicht zu Buchungen führende Anfragen werden nach 12 Monaten anonymisiert.

8. Geocoding (Postleitzahl/Adresse)

Beschreibung

Zur Umkreissuche verwenden wir den OpenStreetMap-Geocoding-Dienst Nominatim (OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge CB4 0WS, Vereinigtes Königreich). Bei Eingabe einer PLZ oder Adresse wird die Eingabe an Nominatim übermittelt, um Geokoordinaten (Längen- und Breitengrad) zu ermitteln. Eine Übermittlung in Drittländer findet nicht statt.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der ortsbasierten Vermittlung).

9. Authentifizierung (Session-Cookie)

Wir verwenden einen technisch notwendigen, http-only-Session-Cookie zur Aufrechterhaltung Ihrer Anmeldung. Dieser Cookie speichert eine zufällige Sitzungs-ID für maximal 7 Tage (gleitend). Details siehe Cookie-Richtlinie.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich).

9a. Webanalyse mit Google Analytics 4

Beschreibung

Nach Ihrer ausdrücklichen Einwilligung über unser Cookie-Banner nutzen wir Google Analytics 4, einen Webanalysedienst der Google Ireland Ltd. (Gordon House, Barrow Street, Dublin 4, Irland; im Verhältnis zu Nutzern außerhalb sowie für die Verarbeitung in den USA: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Der Dienst dient der Reichweiten- und Nutzungsanalyse, um unser Angebot statistisch auszuwerten und zu verbessern.

Google Analytics setzt Cookies (insbesondere _ga und _ga_*) und verarbeitet dabei insbesondere folgende Daten: gekürzte IP-Adresse (IP-Anonymisierung ist in GA4 standardmäßig aktiv), Geräte- und Browserinformationen, ungefährer Standort (Land/Region), aufgerufene Seiten und Nutzungsverhalten sowie eine pseudonyme Nutzer-/Sitzungs-Kennung. Ein Personenbezug zu Ihrer Identität wird von uns nicht hergestellt. „Google-Signale" sind in unserer Property deaktiviert.

Einwilligung und Widerruf

Das Analyse-Skript wird erst geladen, nachdem Sie im Cookie-Banner aktiv zugestimmt haben (Consent Mode v2, Standardeinstellung „denied"). Vor einer Einwilligung findet weder ein Zugriff auf Ihr Endgerät noch eine Datenübertragung an Google statt. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über den Link „Cookie-Einstellungen" im Footer widerrufen; bereits gesetzte Analytics-Cookies werden dabei gelöscht.

Rechtsgrundlage

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TDDDG.

Drittlandübermittlung (USA)

Bei der Nutzung von Google Analytics können personenbezogene Daten an Server von Google in den USA übermittelt werden. Google LLC ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert; die Übermittlung erfolgt auf dieser Grundlage. Ergänzend hat sich Google auf die EU-Standardvertragsklauseln verpflichtet. Es besteht das grundsätzliche Risiko, dass US-Behörden Zugriff auf die Daten nehmen können.

Speicherdauer

Die Cookies _ga/_ga_* haben eine Laufzeit von bis zu 24 Monaten. Die Aufbewahrungsdauer der Nutzungs- und Ereignisdaten auf Ebene der GA4-Property ist auf die kürzeste verfügbare Stufe begrenzt. Details zu den von Google gesetzten Cookies siehe Cookie-Richtlinie.

10. Foto- und Dokumenten-Upload

Hochgeladene Fotos und Dokumente werden auf unseren Servern in Deutschland gespeichert. Sie können diese im Bereich „Mein Konto" jederzeit einsehen und löschen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

10a. Verarbeitung von Mängelfall-Daten

Beschreibung

Im Rahmen einer Mängelmeldung verarbeiten wir folgende Daten:

• Beschreibung des Mangels
• Hochgeladene Fotos, Videos oder Dokumente (Beweismittel)
• Kommunikation zwischen Endkunde und Handwerker im Vermittlungsverfahren
• Entscheidungen unseres Service-Teams (für statistische Auswertung nach Abschluss anonymisiert)

Bei Foto-Uploads werden Geo-Standortdaten (EXIF) automatisch entfernt, bevor die Daten unsere Server erreichen — das clientseitige Stripping erfolgt im Wizard noch vor dem Upload. Das Aufnahmedatum und die -uhrzeit werden beibehalten, weil sie für die Beweiskraft im Vermittlungsverfahren relevant sind.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Streitbeilegung und Plattform-Integrität).

Speicherdauer

Mängelfälle und zugehörige Beweismittel werden während der Vertragslaufzeit zuzüglich 3 Jahre Verjährungsfrist aufbewahrt (§§ 195, 199 BGB). Bei Buchhaltungs­relevanz (Refund) gilt zusätzlich § 147 AO mit 10 Jahren.

10b. SEPA-Lastschriftmandat (nur Handwerker)

Beschreibung

Erteilt der Handwerker im Onboarding ein SEPA-Lastschriftmandat, verarbeiten wir folgende Daten als Audit-Nachweis: Zeitpunkt der Erteilung, IP-Adresse, Browser-Identifikation (User-Agent), ein Hash der hinterlegten IBAN sowie die generierte Mandatsreferenz.

Die volle IBAN wird nicht bei uns gespeichert; sie liegt ausschließlich beim Zahlungsdienstleister Stripe. Wir speichern lediglich einen kryptographischen Hash zur Mandat-Identifikation.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Beitreibung offener Forderungen).

Speicherdauer

Audit-Daten zum Mandat werden auch nach Widerruf des Mandats für die Verjährungsfrist von 3 Jahren aufbewahrt — zur Nachweisführung gegenüber Banken bei Rückbuchungen (§ 675x BGB).

11. Empfänger personenbezogener Daten / Auftragsverarbeitung

Personenbezogene Daten werden nur weitergegeben, soweit dies zur Vertragsdurchführung oder aufgrund gesetzlicher Pflicht erforderlich ist. Empfänger sind insbesondere:

• der bei Buchung ausgewählte Handwerker (Kontakt- und Auftragsdaten)
• der Endkunde (im Rahmen abgegebener Angebote)
• IT-Dienstleister im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO
• Steuerbehörden (insbes. Bundeszentralamt für Steuern im Rahmen des PStTG, sofern anwendbar)
• Behörden bei gesetzlicher Verpflichtung

12. Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)

Soweit Endkunden und Handwerker im Rahmen der Vermittlung Daten austauschen und Craftly hierfür den Rahmen vorgibt (Profilanzeige, Anfrage-Routing, Bewertungen), liegt eine gemeinsame Verantwortlichkeit zwischen Kulatrix UG und dem jeweiligen Handwerker im Sinne von Art. 26 DSGVO vor.

Wesentliche Inhalte der Vereinbarung über die gemeinsame Verantwortlichkeit:

• Kulatrix UG ist primärer Ansprechpartner für Betroffenenrechte und übernimmt die Erstinformation der Nutzer.
• Der Handwerker ist verantwortlich für die rechtmäßige Verarbeitung der nach Buchung übermittelten Endkundendaten (z. B. Kontaktdaten, Adresse) sowie der Daten, die im Rahmen der Auftragsdurchführung anfallen (z. B. Rechnungen).
• Beide Parteien gewähren Betroffenen jeweils sämtliche Rechte gemäß Art. 15 ff. DSGVO. Anfragen können an einen der Beteiligten gerichtet werden; die Bearbeitung erfolgt in Abstimmung.

Betroffene können ihre Rechte unabhängig von dieser Aufgabenverteilung gegenüber jedem der gemeinsam Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO).

13. Plattformsteuertransparenz (DAC7 / PStTG)

Soweit ein Handwerker als „Anbieter" im Sinne des Plattformen-Steuertransparenzgesetzes (PStTG) gilt und die Schwellen überschreitet (mehr als 30 relevante Tätigkeiten oder mehr als 2.000 € Vergütung im Kalenderjahr), sind wir gesetzlich verpflichtet, Stammdaten (Name, Anschrift, Steueridentifikationsnummer, USt-ID, Bankverbindung), Vergütungen und Provisionen jährlich an das Bundeszentralamt für Steuern zu melden und für 10 Jahre aufzubewahren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. PStTG.

14. Speicherdauer / Löschung

Wir speichern personenbezogene Daten nur so lange, wie es zur Erreichung des jeweiligen Zwecks erforderlich ist oder wie wir gesetzlich dazu verpflichtet sind. Anschließend werden die Daten gelöscht oder anonymisiert. Die wichtigsten Fristen:

15. Ihre Rechte als betroffene Person

Sie haben jederzeit das Recht auf:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Eine Datenexport-Funktion („Mein Konto" → „Daten exportieren") steht Ihnen zur direkten Wahrnehmung des Auskunfts- und Übertragbarkeitsrechts zur Verfügung.

16. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für uns ist:

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt die jeweils aktuelle Fassung.