Datenschutzhinweise
Datenschutz
Diese Datenschutzhinweise erklären, welche personenbezogenen Daten wir bei BaufiQuadrat verarbeiten und wofür sie genutzt werden.
Stand: 9. Juni 2026
Kurzfassung
BaufiQuadrat verarbeitet Daten, die für Konto, Projektplanung, Haushaltsrechnung, Dokumentenverwaltung, Inseratsimport und Finanzierungsvorbereitung erforderlich sind. Wir nutzen notwendige Cookies bzw. Session-Technologien für Login und Sicherheit. Bei der KI-gestützten Inseratserkennung sowie beim KI-Assistenten „Laro" werden die jeweils erforderlichen Inhalte an die Mistral-API (Mistral AI SAS, Paris) gesendet. Hochgeladene Dokumente werden projekt- oder nutzerbezogen gespeichert und bei Kontolöschung entfernt, soweit keine gesetzlichen Pflichten entgegenstehen.
Verantwortlicher
Verantwortlich für die Datenverarbeitung ist: Jobli UG (haftungsbeschränkt) Heimgartenstr. 6 81539 München Deutschland E-Mail: jonas@baufiquadrat.de
Hosting und technische Bereitstellung
BaufiQuadrat wird als Web-App sowie als native iOS- und Android-App betrieben. Beim Aufruf werden technisch notwendige Daten wie IP-Adresse, Geräte- und Browserinformationen, Zeitpunkt, angeforderte URLs und Server-Logs verarbeitet. Diese Verarbeitung dient der Bereitstellung, Sicherheit, Fehleranalyse und Stabilität der App. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung der App erforderlich ist, sowie Art. 6 Abs. 1 lit. f DSGVO für Sicherheit und Missbrauchsprävention.
Konto, Authentifizierung und Sessions
Für Registrierung und Login verarbeiten wir Name, E-Mail-Adresse, Passwort-Hash, E-Mail-Verifikationsstatus, Verifikations- und Reset-Token, Session-Token, Ablaufzeiten, IP-Adresse und User-Agent. Die Authentifizierung erfolgt mit Better Auth. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Session- und Sicherheitsdaten verarbeiten wir zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
Projekt-, Objekt-, Finanzierungs- und Haushaltsdaten
Wenn Nutzer Projekte anlegen oder bearbeiten, verarbeiten wir die eingegebenen Objekt- und Finanzierungsdaten, Kaufpreise, Eigenkapital, Darlehensdaten, Einnahmen, Ausgaben, Haushaltsbudget, vorhandene Verpflichtungen, verfügbare Eigenmittel, Szenarien und berechnete Ergebnisse. Ebenso verarbeiten wir gespeicherte Investment-Cases bzw. Kapitalanlage-Berechnungen (z. B. Objekt-, Finanzierungs-, Miet- und Steuerannahmen, Szenario-Eingaben und daraus berechnete Kennzahlen). Diese Daten werden genutzt, um Projekte zu speichern, Kennzahlen zu berechnen, Finanzierungsanfragen vorzubereiten und die App-Funktionen bereitzustellen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
Dokumente und Dateien
Nutzer können Dokumenten-Checklisten pflegen und PDF-, JPG- oder PNG-Dateien hochladen. Dabei verarbeiten wir Dokumenttyp, Projektbezug, Dateiname, Dateigröße, MIME-Typ, Speicherpfad und Upload-Zeitpunkt sowie den Dateiinhalt. Die Verarbeitung dient der Zusammenstellung von Finanzierungsunterlagen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Bitte laden Sie nur Unterlagen hoch, die für Ihr Vorhaben erforderlich sind.
Browser-Erweiterung und KI-gestützte Inseratserkennung
Die BaufiQuadrat Browser-Erweiterung kann Seiteninhalte, URL, Seitentitel, Meta-Daten, strukturierte Daten und Textinhalte eines geöffneten Online-Exposés an BaufiQuadrat übermitteln. BaufiQuadrat sendet diese Inhalte zur strukturierten Auswertung an die Mistral-API, um Objektdaten wie Kaufpreis, Adresse, Wohnfläche oder Baujahr zu erkennen. Mistral AI verarbeitet API-Daten nach eigener Dokumentation nicht zum Training. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, wenn Nutzer den Import aktiv auslösen. Bitte nutzen Sie die Erweiterung nur für Inserate, die Sie in BaufiQuadrat übernehmen möchten.
KI-Assistent „Laro"
BaufiQuadrat stellt mit „Laro" einen KI-gestützten Assistenten bereit, der auf einem Sprachmodell von Mistral AI (Mistral AI SAS, Paris, Frankreich) basiert. Laro hilft beim Verständnis von Kennzahlen, beim Auffinden von Förderprogrammen, bei der Navigation in der App und kann auf ausdrücklichen Wunsch des Nutzers Eingaben übernehmen oder ändern. Laro ist innerhalb der angemeldeten App verfügbar. Einwilligung: Laro wird erst aktiv, nachdem Sie in der App ausdrücklich eingewilligt haben (Einwilligungs-Dialog beim ersten Öffnen des Chats). Ohne Einwilligung bleibt der Chat mit Ihrem persönlichen Berater uneingeschränkt nutzbar; es werden dann keine Daten an das Sprachmodell übermittelt. Sie können die Einwilligung jederzeit in den App-Einstellungen („Laro (KI-Assistent)") mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Welche Daten werden im angemeldeten Bereich verarbeitet? Wir verarbeiten die von Ihnen eingegebenen Chatnachrichten, eine Kennung Ihres Nutzerkontos, die aktuell geöffnete Route in der App (z. B. „/projects/<id>"), sowie — wenn Sie Laro eine entsprechende Frage stellen — die zu Ihrem Konto gehörenden Projekt-, Finanzierungs- und Haushaltsdaten in datensparsamer Form, soweit Laro diese über die jeweilige Funktion abruft: Kreditnehmer werden dabei pseudonymisiert dargestellt (z. B. „Person 1" statt des Namens), Geburtsdaten als Alter in Jahren und Adressen nur als Postleitzahl-Region. Name, vollständige Adresse, E-Mail, Telefonnummer, Geburtsdatum und Steuer-ID werden nicht an das Sprachmodell übermittelt, es sei denn, Sie geben sie selbst im Chat-Text ein oder weisen Laro ausdrücklich an, sie in eine Antwort zu übernehmen. An wen werden die Daten weitergegeben? Die Chatinhalte und die jeweils erforderlichen Kontextdaten werden zur Beantwortung an die Mistral-API übermittelt. Auftragsverarbeiter ist die Mistral AI SAS, 15 rue des Halles, 75001 Paris, Frankreich. Mistral verarbeitet API-Daten nach eigener Dokumentation nicht zum Training. Die Verarbeitung findet innerhalb der EU statt; es erfolgt keine Übermittlung in ein Drittland. Mit Mistral besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der App-Funktion) für die Verarbeitung Ihrer Nachrichten und Projektdaten; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Qualitätssicherung, Sicherheit und Compliance) für die Audit-Protokolle. Keine automatisierte Entscheidung im Einzelfall: Laro trifft keine Entscheidung über die Vergabe oder die Konditionen einer Finanzierung. Antworten von Laro stellen lediglich allgemeine Informationen dar; jede daraus abgeleitete Entscheidung treffen Sie eigenverantwortlich. Die finale Finanzierungsberatung erfolgt rechtlich ausschließlich durch unsere nach § 34i GewO zugelassenen menschlichen Berater im persönlichen Beratungsgespräch. Eine Verarbeitung im Sinne von Art. 22 DSGVO findet damit nicht statt. Transparenz nach Art. 50 EU AI Act: Sie interagieren bei Laro mit einer KI. Antworten können fehlerhaft, unvollständig oder veraltet sein. Eine Verifikation durch Sie oder im persönlichen Beratungsgespräch ist vor finanziellen, steuerlichen oder rechtlichen Entscheidungen zwingend erforderlich. Speicherdauer: Im angemeldeten Bereich werden Konversationen mit Laro bestehen gelassen, damit Sie auf vorherige Inhalte zurückgreifen können. Ältere Nachrichten werden nach Überschreiten eines Schwellenwerts in eine verdichtete Zusammenfassung (rolling summary) überführt und nach 180 Tagen aus der Datenbank gelöscht. Die zugehörigen Tool-Aufrufe (Audit-Protokoll) werden für Qualitätssicherungs- und Compliance-Zwecke länger aufbewahrt. Sie können den Gesprächsverlauf jederzeit über die Funktion „Verlauf löschen" im Laro-Panel zurücksetzen. Ihre Rechte: Sie können jederzeit die Auskunft über, Berichtigung oder Löschung Ihrer Laro-Konversationen verlangen. Bei einer Löschung Ihres Nutzerkontos werden zugehörige Konversationen, Nachrichten und Audit-Einträge mitgelöscht, soweit keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen.
Cookies und lokale Speicherung
BaufiQuadrat nutzt notwendige Cookies bzw. vergleichbare Technologien für Login, Session-Verwaltung, Sicherheit, Speicherung der Cookie-Auswahl und den Betrieb der gewünschten App-Funktionen. Für solche notwendigen Technologien ist nach § 25 Abs. 2 TDDDG keine Einwilligung erforderlich. Daneben speichern wir kurzlebige Eingaben aus Rechnern (z. B. einen vom Nutzer ausgelösten Zwischenstand des Kapitalanlage-Rechners) sowie den Bestätigungsstatus von Hinweisen (z. B. „Steuerlicher Hinweis – Ohne Gewähr") lokal im Browser, damit die jeweilige Funktion nahtlos nutzbar ist. Diese lokalen Einträge enthalten keine personenbezogenen Daten und werden ausschließlich auf dem Endgerät verarbeitet; sie sind technisch erforderlich für die jeweils ausdrücklich gewünschte Funktion (§ 25 Abs. 2 Nr. 2 TDDDG). Nutzt der Anwender im Kapitalanlage-Rechner die Funktion „Mit AI optimieren" oder „Als Link teilen", werden die eingegebenen Berechnungsparameter (Objekt-, Finanzierungs-, Miet- und Steuerannahmen — keine personenbezogenen Daten) auf unseren Servern unter einer zufällig erzeugten Kurz-URL der Form `/k/<slug>` zwischengespeichert, damit AI-Assistenten oder Empfänger der URL den Stand der Berechnung serverseitig abrufen können. Diese Kurzlinks werden 30 Tage nach Erstellung automatisch gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Nutzbarkeit des Rechners). Beim Öffnen einer externen AI (z. B. ChatGPT, Claude) wird der Inhalt der Berechnung zudem an den jeweiligen Anbieter übertragen — darauf weisen wir vor dem Aufruf transparent hin. Wenn Nutzer in die Kategorie „Externe Dienste“ einwilligen und die Terminbuchung öffnen, kann Cal.com zusätzlich eigene Cookies bzw. Session-Technologien setzen. Für anonyme Nutzungsstatistiken setzen wir Plausible Analytics ein (siehe Abschnitt „Webanalyse“). Plausible setzt keine Cookies und erhebt keine personenbezogenen Daten. Marketing-Dienste sind aktuell nicht aktiv. Die Auswahl kann jederzeit über den Link „Cookie-Einstellungen“ im Footer geändert werden.
Cookie-Übersicht
| Name | Anbieter | Zweck | Speicherdauer | Kategorie |
|---|---|---|---|---|
| baufiquadrat_consent | BaufiQuadrat | Speichert Ihre Cookie-Auswahl mit Kategorien, Version und Zeitstempel. | Bis zu 12 Monate | Notwendig |
| better-auth.session_token / __Secure-better-auth.session_token | BaufiQuadrat / Better Auth | Hält die Anmeldung technisch aufrecht. | Sessionabhängig, standardmäßig bis zu 7 Tage | Notwendig |
| better-auth.session_data / __Secure-better-auth.session_data | BaufiQuadrat / Better Auth | Kurzlebiger Session-Cache für angemeldete Nutzer. | Ca. 5 Minuten | Notwendig |
| better-auth.account_data / __Secure-better-auth.account_data | BaufiQuadrat / Better Auth | Kurzlebiger Authentifizierungs- bzw. Account-Cache, soweit von Better Auth benötigt. | Ca. 5 Minuten | Notwendig |
| extension_card_dismissed | BaufiQuadrat | Merkt, ob der Hinweis zur Browser-Erweiterung im Dashboard ausgeblendet wurde. | Bis zu 10 Jahre | Notwendig |
| uid, __Secure-next-auth.csrf-token, __Secure-next-auth.callback-url, __Secure-next-auth.session-token, __cf_bm | Cal.com | Anzeige, Sicherheit und Session-Verwaltung des Cal.com-Buchungsformulars. | Abhängig von Cal.com | Externe Dienste |
| — (keine Cookies) | Mapbox Inc. | Adress-Autovervollständigung, statische Karten-Vorschauen des Projekt-Objekts und Suche nach Points of Interest (Schulen, ÖPNV, Supermärkte, Ärzte). Mapbox setzt für unsere Aufrufe keine Cookies; bei jeder Anfrage werden Suchtext bzw. Koordinaten und technische Nutzungsdaten (IP, User-Agent) übermittelt. | Keine Speicherung auf dem Endgerät | Externe Dienste |
| — (keine Cookies) | Plausible Insights OÜ | Anonyme Webanalyse ohne Cookies, Fingerprinting oder personenbezogene Daten. | Keine Speicherung auf dem Endgerät | Analyse |
Webanalyse
Wir nutzen Plausible Analytics, einen datenschutzfreundlichen Webanalysedienst der Plausible Insights OÜ (Estland). Plausible erhebt keine personenbezogenen Daten, setzt keine Cookies, speichert keine IP-Adressen und verwendet kein Browser-Fingerprinting. Es werden ausschließlich aggregierte, anonyme Nutzungsstatistiken erfasst, etwa Seitenaufrufe, Verweisquellen und verwendete Gerätetypen. Da Plausible weder Cookies noch andere Technologien auf dem Endgerät speichert und keine personenbezogenen Daten verarbeitet, ist nach § 25 Abs. 2 TDDDG keine Einwilligung erforderlich. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der anonymen Reichweitenmessung). Weitere Informationen: https://plausible.io/data-policy
Kommunikation und E-Mails
Für E-Mail-Verifikation, Passwort-Zurücksetzung, Supportanfragen und produktbezogene Kommunikation verarbeiten wir E-Mail-Adresse, Name, Inhalt der Anfrage und technische Zustellinformationen. Der E-Mail-Versand erfolgt über Google Workspace (Gmail). Auftragsverarbeiter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google verarbeitet E-Mail-Inhalte und Metadaten zur Zustellung gemäß den Google Workspace-Datenschutzbestimmungen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO; bei allgemeinen Support- oder Sicherheitsanfragen zusätzlich Art. 6 Abs. 1 lit. f DSGVO.
Terminbuchung und Videoberatung
Für die Online-Terminbuchung nutzen wir Cal.com (Cal.com Inc., San Francisco, USA). Der Cal.com-Embed wird erst geladen, wenn Nutzer in die Kategorie „Externe Dienste“ einwilligen. Bei der Buchung werden insbesondere Name, E-Mail-Adresse, Datum und Uhrzeit des Termins, technische Nutzungsdaten sowie von Cal.com gesetzte Cookies bzw. Session-Technologien verarbeitet. Cal.com nutzt diese Daten zur Anzeige des Buchungsformulars, Terminverwaltung sowie für Bestätigungs- und Erinnerungsmails. Gebuchte Termine werden in Google Calendar (Google Ireland Limited) gespeichert. Videoberatungen finden über Google Meet statt; dabei werden Audio- und Videodaten in Echtzeit verarbeitet. Rechtsgrundlage für das Laden des Embeds und optionaler Cal.com-Technologien ist die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Die anschließende Terminabwicklung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen). Die Einwilligung kann jederzeit über die Cookie-Einstellungen widerrufen werden. Die Datenschutzhinweise von Cal.com sind unter https://cal.com/privacy abrufbar.
Karten und Adress-Suche (Mapbox)
Für die Adress-Autovervollständigung bei der Anlage eines Projekt-Objekts, die Anzeige von Karten-Vorschauen des Objekts im Chat sowie die Suche nach Points of Interest (Schulen & Kitas, ÖPNV, Supermärkte, Ärzte & Apotheken) im Umfeld eines Objekts nutzen wir Mapbox (Mapbox, Inc., Washington D.C., USA). Mapbox wird erst geladen, wenn Nutzer in die Kategorie „Externe Dienste“ einwilligen. Bei jeder Suchanfrage werden der eingegebene Suchtext bzw. die Objektkoordinaten sowie technische Nutzungsdaten (IP-Adresse, User-Agent) an Mapbox übermittelt. Für ausgewählte Adressen speichern wir die zurückgegebenen Koordinaten gemeinsam mit dem Objekt in unserer Datenbank, um spätere Karten- und Umgebungs-Abrufe ohne erneute Geocoding-Anfrage durchführen zu können. Rechtsgrundlage für das Laden der Mapbox-Dienste und die Übermittlung an Mapbox ist die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Die Speicherung der Koordinaten zum Projekt erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Nutzung der vom Nutzer gewünschten Projekt-Funktion). Die Einwilligung kann jederzeit über die Cookie-Einstellungen widerrufen werden. Die Datenschutzhinweise von Mapbox sind unter https://www.mapbox.com/legal/privacy abrufbar.
Empfänger und Dienstleister
Innerhalb der Jobli UG erhalten nur Personen Zugriff, die diesen für Betrieb, Support oder Weiterentwicklung benötigen. Externe Empfänger können Hosting- und Infrastruktur-Dienstleister, E-Mail-Dienstleister, Datenbank- und Speicheranbieter, Mistral AI SAS (Frankreich) für die Inseratserkennung und für den KI-Assistenten Laro, Cal.com Inc. (USA) für die Terminbuchung, Mapbox Inc. (USA) für Adress-Suche, Karten und Umgebungs-Infos sowie Google Ireland Limited bzw. Google LLC (USA) für E-Mail, Kalender und Videoberatung sein. Google LLC (USA) ist als Unterauftragsverarbeiter unter dem EU-US Data Privacy Framework zertifiziert. Mistral AI verarbeitet API-Daten innerhalb der EU. Mit Auftragsverarbeitern schließen wir Verträge nach Art. 28 DSGVO, soweit erforderlich. Eine Übermittlung an Behörden erfolgt nur, wenn wir gesetzlich dazu verpflichtet sind.
Speicherdauer
Kontodaten, Projekte, Haushaltsdaten, Dokumenten-Checklisten und Uploads speichern wir grundsätzlich so lange, wie das Nutzerkonto besteht oder die Daten für die jeweilige Funktion benötigt werden. Bei Kontolöschung werden zugehörige Daten gelöscht, soweit keine gesetzlichen Aufbewahrungs- oder Nachweispflichten entgegenstehen. Session-, Sicherheits- und Logdaten werden nur so lange gespeichert, wie es für Sicherheit, Fehleranalyse und Missbrauchsprävention erforderlich ist.
Betroffenenrechte
Betroffene Personen haben nach Maßgabe der DSGVO Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Soweit eine Verarbeitung auf Einwilligung beruht, kann die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden. Anfragen können an jonas@baufiquadrat.de gerichtet werden.
Sicherheit
Wir treffen technische und organisatorische Maßnahmen, um personenbezogene Daten gegen Verlust, Missbrauch und unbefugten Zugriff zu schützen. Dazu gehören unter anderem sessionbasierte Authentifizierung, serverseitige Validierung, begrenzte Dateitypen und Dateigrößen, getrennte nutzerbezogene Speicherung von Uploads und Zugriffskontrollen.
Beschwerderecht bei der Aufsichtsbehörde
Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für nicht-öffentliche Stellen in Bayern ist regelmäßig zuständig: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18 91522 Ansbach
Änderungen dieser Datenschutzhinweise
Wir passen diese Datenschutzhinweise an, wenn sich BaufiQuadrat, unsere Datenverarbeitung oder rechtliche Anforderungen ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.