1. Verantwortlicher
Best IT-Solutions GmbHGesellschaft mit beschränkter Haftung (GmbH)
Otto-Hahn-Straße 25
61381 Friedrichsdorf
Deutschland
E-Mail: mail@bestitgmbh.de
Datenschutzkontakt: mail@bestitgmbh.de
Ein Datenschutzbeauftragter ist nicht benannt.
2. Grundsätze der Verarbeitung
Wir verarbeiten personenbezogene Daten nur, soweit dies für den Betrieb des Heizungsplaners, die Erfüllung eines Vertrags, die Sicherheit des Angebots oder gesetzliche Pflichten erforderlich ist. Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. b, c und f DSGVO. Eine Verarbeitung auf Grundlage einer Einwilligung erfolgt nach Art. 6 Abs. 1 lit. a DSGVO; eine Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
3. Hosting und Serverprotokolle
Das Angebot wird auf Infrastruktur der Hetzner Online GmbH in Deutschland betrieben. Beim Aufruf können technisch erforderliche Protokolldaten verarbeitet werden: IP-Adresse, Zeitpunkt, angeforderte Adresse, Referrer, Browser-/Betriebssystemangaben, übertragene Datenmenge und HTTP-Status. Die Verarbeitung dient der sicheren, stabilen Auslieferung und Fehleranalyse (Art. 6 Abs. 1 lit. f DSGVO). Protokolle werden grundsätzlich nur so lange gespeichert, wie dies für Betrieb und Sicherheit erforderlich ist; sicherheitsrelevante Protokolle können bei einem konkreten Anlass bis zur abschließenden Klärung aufbewahrt werden.
4. Gastnutzung
Die Zeichen- und Planungsfunktionen können grundsätzlich ohne Konto genutzt werden. Projektinhalte bleiben dabei zunächst im Arbeitsspeicher des Browsers und werden nicht automatisch als Projekt auf dem Server gespeichert. Ein erworbener Gast-Export wird über ein technisch notwendiges, auf 24 Stunden begrenztes Cookie zugeordnet.
5. Benutzerkonto, Anmeldung und Passkeys
Bei Registrierung verarbeiten wir Name, E-Mail-Adresse, einen kryptografischen Passwort-Hash sowie Konto- und Vertragsstatus. Für Passkeys werden eine öffentliche Berechtigungsinformation, Kennung, Zähler und unterstützte Transportarten gespeichert; biometrische Merkmale verlassen das Endgerät nicht und werden von uns nicht gespeichert. Zweck und Rechtsgrundlage sind Kontobereitstellung und Authentifizierung (Art. 6 Abs. 1 lit. b DSGVO). Sitzungen laufen standardmäßig nach 14 Tagen ab. Kontodaten werden bis zur Löschung des Kontos und danach nur im Umfang gesetzlicher Aufbewahrungs- oder Nachweispflichten gespeichert.
6. Projekte und Exporte
Angemeldete Abonnenten können Projektnamen und Planungsdaten – etwa Räume, Maße, Heizkreise, Elektrokomponenten und Hintergrundbilder – auf dem Server speichern. Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Nutzer sollten keine nicht benötigten personenbezogenen Angaben in Projektbezeichnungen oder hochgeladenen Plänen eintragen. Projekte werden bis zur Löschung durch den Nutzer, zur Kontolöschung oder bis zum Ende einer erforderlichen Sicherungsfrist gespeichert.
7. Zahlungen über PayPal
Für Einmal-Exporte, KI-Guthaben und Abonnements leiten wir nach ausdrücklicher Auswahl zu PayPal weiter. Dabei werden Bestellkennung, Produkt, Betrag, Währung und – bei angemeldeten Nutzern – eine interne Nutzerreferenz verarbeitet. Zahlungsdaten wie Karten- oder Bankdaten erhalten wir nicht. Rechtsgrundlagen sind Vertragserfüllung und gesetzliche Abrechnungs-/Nachweispflichten (Art. 6 Abs. 1 lit. b und c DSGVO). Für die eigenständige Verarbeitung durch PayPal gelten die Datenschutzhinweise von PayPal.
8. KI-Grundrisserkennung mit Google Gemini
Nur wenn der Nutzer die Funktion „Automatisch nachzeichnen“ auslöst, werden das ausgewählte Grundrissbild und ein technischer Analyseauftrag serverseitig an die Google-Gemini-API übermittelt. Enthält der Grundriss Namen, Adressen oder andere personenbezogene Angaben, werden auch diese übertragen. Je nach Google-Vertrags- und Serverkonfiguration kann eine Verarbeitung außerhalb der EU/des EWR stattfinden. Rechtsgrundlage ist die vom Nutzer angeforderte Funktion (Art. 6 Abs. 1 lit. b DSGVO); vor produktivem Einsatz sind Auftragsverarbeitung und geeignete Drittlandgarantien zu dokumentieren. Ein vom Nutzer eingegebener Gemini-API-Schlüssel wird nur für die Browsersitzung gehalten und bei der Analyse an unseren Server übertragen; er wird nicht dauerhaft im Browser gespeichert. Ohne aktives Auslösen findet keine Übermittlung an Google statt.
9. Cookies und lokale Speichertechniken
Wir verwenden derzeit nur technisch notwendige Cookies für Sitzung, Passkey-Vorgänge und Gast-Export-Credits. Die Rechtsgrundlage für den Zugriff auf das Endgerät ist § 25 Abs. 2 Nr. 2 TDDDG; die nachfolgende Verarbeitung erfolgt je nach Funktion auf Grundlage von Art. 6 Abs. 1 lit. b oder f DSGVO. Analyse-, Marketing- oder Profiling-Cookies werden nicht eingesetzt. Einzelheiten stehen unter Cookies & Speichertechniken.
10. Vertragsverwaltung, Kündigung und Widerruf
Angaben aus den Online-Funktionen zur Kündigung oder zum Widerruf werden zur Bearbeitung der Erklärung, zur Vertragszuordnung und als Zugangs-/Rechtsnachweis verarbeitet (Art. 6 Abs. 1 lit. b und c DSGVO). Dazu gehören Name, E-Mail, Vertragsreferenz, Erklärungsinhalt, Datum und Uhrzeit. Die Daten werden entsprechend der gesetzlichen zivil-, handels- und steuerrechtlichen Nachweisfristen gespeichert.
11. Empfänger und Auftragsverarbeiter
Empfänger können Hosting-/IT-Dienstleister, PayPal als Zahlungsdienstleister, Google bei aktiv genutzter KI-Analyse sowie Behörden oder Berater bei gesetzlicher Verpflichtung oder Rechtsverteidigung sein. Zugriffe werden auf das erforderliche Maß begrenzt. Soweit Anbieter als Auftragsverarbeiter tätig werden, sind Verträge nach Art. 28 DSGVO abzuschließen.
12. Betroffenenrechte
Betroffene haben – bei Vorliegen der gesetzlichen Voraussetzungen – Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch sowie das Recht, erteilte Einwilligungen für die Zukunft zu widerrufen. Anfragen können an den oben genannten Datenschutzkontakt gerichtet werden. Außerdem besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde, insbesondere bei der für den Sitz des Verantwortlichen zuständigen Behörde.
13. Sicherheit, Pflichtangaben und automatisierte Entscheidungen
Die Übertragung erfolgt verschlüsselt per TLS. Zugangsdaten werden gehasht bzw. durch Passkeys abgesichert. Pflichtangaben sind in Formularen als solche gekennzeichnet; ohne sie kann die jeweilige Funktion nicht bereitgestellt werden. Eine ausschließlich automatisierte Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO findet nicht statt.
14. Aktualisierung
Diese Erklärung wird angepasst, wenn Funktionen, Dienstleister oder Rechtslage dies erfordern. Maßgeblich ist die auf dieser Seite veröffentlichte Fassung.