Datenschutzerklärung
Stand: 7. Juli 2025
1. Überblick und Kontaktdaten
1.1. Verantwortlicher für die Datenverarbeitung
Der für die Verarbeitung Ihrer personenbezogenen Daten Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Innovative Bahnbau UG (haftungsbeschränkt)
Ringstr. 35
45879 Gelsenkirchen
Deutschland
Vertreten durch den Geschäftsführer: Ihsan Mowaket
Telefon: 017640179770
E-Mail: info@inno-bahnbau.de
2. Ihre Rechte als betroffene Person
Ihnen stehen umfassende Rechte bezüglich der Verarbeitung Ihrer personenbezogenen Daten zu. Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) sowie auf Datenübertragbarkeit (Art. 20 DSGVO). Einmal erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).
Beschwerderecht bei der Aufsichtsbehörde
Unbeschadet anderweitiger Rechtsbehelfe haben Sie das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt (Art. 77 DSGVO). Die für uns zuständige Behörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4
40213 Düsseldorf
Telefon: 0211/38424-0
E-Mail: poststelle@ldi.nrw.de
Webseite: www.ldi.nrw.de
3. Datenverarbeitung auf unserer öffentlichen Webseite (inno-bahnbau.de)
3.1. Server-Logfiles und Hosting
Bei jedem Besuch unserer Webseite erfasst unser System automatisiert Daten (Logfiles), die für die Auslieferung und sichere Bereitstellung der Webseite technisch notwendig sind. Hierzu zählen Ihre IP-Adresse, Datum und Uhrzeit des Zugriffs, Browsertyp und aufgerufene Seiten. Rechtsgrundlage hierfür ist unser berechtigtes Interesse an einem sicheren und funktionsfähigen Betrieb unserer Webseite (Art. 6 Abs. 1 lit. f DSGVO). Diese Daten werden nach 7 Tagen gelöscht.
3.2. Cookies und eingesetzte Dienste
Wir setzen auf unserer Webseite Cookies und andere Technologien ein. Technisch notwendige Dienste dienen der Grundfunktionalität der Webseite (§ 25 Abs. 2 Nr. 2 TTDSG, Art. 6 Abs. 1 lit. f DSGVO). Alle anderen Dienste (für Analyse, Marketing etc.) werden nur nach Ihrer ausdrücklichen Einwilligung über unseren Consent-Manager eingesetzt (§ 25 Abs. 1 TTDSG, Art. 6 Abs. 1 lit. a DSGVO). Ihre Einwilligung können Sie jederzeit über die Einstellungen des Consent-Managers widerrufen.
| Dienst/Tool | Anbieter | Zweck | Drittstaatentransfer |
|---|---|---|---|
| Google Analytics 4 | Google Ireland Limited | Statistische Analyse der Webseitennutzung. | USA (abgesichert durch EU-U.S. Data Privacy Framework). |
| Cloudflare CDN | Cloudflare, Inc. | Sicherheit und schnelle Auslieferung von Inhalten. | USA (abgesichert durch EU-U.S. Data Privacy Framework). |
| Google Maps | Google Ireland Limited | Anzeige interaktiver Karten. | USA (abgesichert durch EU-U.S. Data Privacy Framework). |
| PayPal | PayPal (Europe) S.à r.l. et Cie, S.C.A. | Abwicklung von Zahlungen. | USA-Transfer möglich (abgesichert durch EU-U.S. Data Privacy Framework / SCC). |
| Akismet | Automattic Inc., USA | Schutz vor Spam-Kommentaren. | USA (abgesichert durch Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO). |
4. Datenverarbeitung auf unserer internen Management-Plattform
Unsere interne Laravel-Plattform dient der umfassenden Steuerung unserer Geschäftsprozesse. Die Verarbeitung der dort erfassten Daten ist für die Durchführung unserer Verträge und die Erfüllung gesetzlicher Pflichten unerlässlich.
Datenschutz-Folgenabschätzung (DPIA) und interne Dokumentation
Für Verarbeitungen mit potenziell hohem Risiko für die Rechte und Freiheiten von Personen, insbesondere das GPS-Tracking von Fahrzeugen und die KI-gestützte Schichtplanung, haben wir gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung durchgeführt, um die Risiken zu bewerten und zu minimieren. Alle Verarbeitungsvorgänge sind zudem in unserem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO dokumentiert. Auf Anfrage stellen wir Ihnen gerne weitere Informationen zu den Ergebnissen und den getroffenen Schutzmaßnahmen zur Verfügung.
4.1. GPS-Tracking von Fahrzeugen
Unsere Firmenfahrzeuge sind mit GPS-Modulen ausgestattet. Die Verarbeitung der Standort- und Fahrzeugdaten erfolgt ausschließlich zu folgenden Zwecken:
- Disposition und Routenplanung: Effiziente Einsatzplanung der Fahrzeuge und Mitarbeiter zu den Baustellen.
- Diebstahlsicherung: Ortung des Fahrzeugs im Falle eines Diebstahls.
- Nachweis der Leistungserbringung: Dokumentation von An- und Abfahrtszeiten auf Baustellen zur Abrechnung.
Eine darüberhinausgehende Verhaltens- oder Leistungskontrolle der Mitarbeiter findet ausdrücklich nicht statt. Rechtsgrundlage ist die Durchführung des Beschäftigungsverhältnisses (§ 26 Abs. 1 BDSG) sowie unser berechtigtes Interesse an der Sicherheit unseres Eigentums und einer effizienten Betriebssteuerung (Art. 6 Abs. 1 lit. f DSGVO). Sollte ein Betriebsrat bestehen, erfolgt die Verarbeitung auf Basis einer Betriebsvereinbarung. Andernfalls wird eine gesonderte Einwilligung der Mitarbeiter eingeholt. Die Erteilung der Einwilligung ist freiwillig. Eine Verweigerung hat für das Beschäftigungsverhältnis keine negativen Konsequenzen.
4.2. KI-gestützte Schichtplanung (Profiling)
Wir setzen Algorithmen ein, die auf Basis von Mitarbeiterqualifikationen, Verfügbarkeiten, Arbeitszeitkonten und Projektanforderungen optimierte Vorschläge für Schichtpläne erstellen. Hierbei handelt es sich um ein Profiling im Sinne der DSGVO, welches jedoch nicht zu einer automatisierten Entscheidung im Einzelfall (gem. Art. 22 DSGVO) führt. Jeder Planentwurf wird von einem menschlichen Disponenten geprüft und final freigegeben. Rechtsgrundlage ist unser berechtigtes Interesse an einer fehlerreduzierten und fairen Personalplanung sowie die Erfordernis zur Durchführung des Arbeitsvertrags (Art. 6 Abs. 1 lit. f DSGVO, § 26 BDSG).
4.3. Bild- und Dokumenten-Upload
Mitarbeiter und Partner können Bilder und Dokumente zur Dokumentation des Baufortschritts oder zur Qualitätssicherung (z. B. Mängelrügen) auf die Plattform hochladen. Diese Daten werden ausschließlich zu diesen betrieblichen Zwecken verarbeitet. Sollten auf Bildern Personen erkennbar sein, erfolgt die Verarbeitung auf Grundlage unseres berechtigten Interesses an der Beweissicherung und Baudokumentation. Sofern Bilder nicht als bloßes "Beiwerk" zum abgebildeten Baugeschehen gelten, sondern eine Person gezielt abbilden, holen wir zuvor eine Einwilligung ein. Eine Veröffentlichung der Bilder oder eine Nutzung für andere Zwecke findet nicht statt.
5. Empfänger, Auftragsverarbeiter und Drittstaatentransfer
Wir geben Ihre Daten nur dann an Dritte weiter, wenn dies gesetzlich erlaubt ist oder Sie eingewilligt haben. Alle externen Dienstleister, die in unserem Auftrag Daten verarbeiten (z.B. Hosting-Anbieter), sind von uns sorgfältig ausgewählt und durch einen Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO gebunden.
Findet eine Datenübermittlung in Länder außerhalb der EU/des EWR statt, stellen wir sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist. Dies geschieht entweder durch das EU-U.S. Data Privacy Framework für zertifizierte US-Anbieter oder durch den Abschluss von EU-Standardvertragsklauseln (SCC), ergänzt um technische und organisatorische Maßnahmen. Sie können eine Kopie dieser Garantien bei uns anfordern.
6. Speicherdauer und Löschkonzept
Wir speichern Ihre Daten nur so lange, wie es für den jeweiligen Zweck notwendig ist und gesetzliche Vorschriften es erfordern. Unser Löschkonzept sieht folgende Fristen vor:
- Steuer- und handelsrechtliche Daten (z.B. Rechnungen, Verträge): 10 Jahre nach Ende des Geschäftsjahres.
- Bewerbungsunterlagen: 6 Monate nach Abschluss des Bewerbungsverfahrens.
- GPS-Rohdaten von Fahrzeugen: 3 Monate zur Disposition, danach nur noch in aggregierter oder anonymisierter Form für Abrechnungszwecke.
- Bilder zur Baudokumentation: Bis zum Ablauf der Gewährleistungsfristen (z.B. 5 Jahre) und anschließender gesetzlicher Verjährungsfristen.
- Server-Logfiles der Webseite: 7 Tage.
Daten von Nutzern der Plattform werden nach Beendigung des Vertragsverhältnisses gesperrt und nach Ablauf aller gesetzlichen Fristen endgültig gelöscht.
7. Datensicherheit, Integrität und Vertraulichkeit
Wir treffen umfassende technische und organisatorische Sicherheitsmaßnahmen (TOMs) gemäß Art. 32 DSGVO, um Ihre Daten vor Verlust, Zerstörung, unbefugtem Zugriff und Manipulation zu schützen. Wir verfolgen dabei den Ansatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy by Design“ & „Privacy by Default“).
Zu unseren Maßnahmen zählen unter anderem:
- Verschlüsselung: Konsequente SSL/TLS-Verschlüsselung aller Datenübertragungen und Verschlüsselung sensibler Daten in unseren Datenbanken (Encryption at Rest).
- Zugriffskontrolle: Ein striktes, rollenbasiertes Berechtigungssystem („Need-to-know-Prinzip“) stellt sicher, dass Nutzer nur auf die für ihre Aufgaben zwingend erforderlichen Daten zugreifen können.
- Systemintegrität: Regelmäßige Sicherheitsüberprüfungen, das zeitnahe Einspielen von Sicherheitspatches sowie die Nutzung moderner Web-Application-Firewalls (WAF) sichern die Systeme ab.
- Verfügbarkeit & Resilienz: Redundante Systemarchitekturen und regelmäßige, verschlüsselte Backups an geografisch getrennten Orten stellen die Datenverfügbarkeit und eine schnelle Wiederherstellbarkeit sicher.
7.1. Incident-Response-Plan (Notfallmanagement bei Datenpannen)
Für den Fall einer Verletzung des Schutzes personenbezogener Daten haben wir einen Incident-Response-Plan etabliert. Dieser Plan regelt die Zuständigkeiten und Prozesse zur Identifizierung, Bewertung und Eindämmung von Sicherheitsvorfällen. Er stellt sicher, dass wir unseren gesetzlichen Meldepflichten gegenüber der Aufsichtsbehörde (innerhalb von 72 Stunden, Art. 33 DSGVO) sowie unseren Informationspflichten gegenüber den betroffenen Personen (Art. 34 DSGVO) nachkommen.
Jeder Vorfall, die ergriffenen Maßnahmen sowie das Ergebnis der Untersuchung werden intern sorgfältig dokumentiert, um unserer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen.
8. Datenverarbeitung im Bewerbungsverfahren
Wir bieten Ihnen die Möglichkeit, sich bei uns auf elektronischem Wege, z. B. per E-Mail oder über ein Webformular, zu bewerben. Im Folgenden informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten im Rahmen des Bewerbungsprozesses.
- Zweck der Verarbeitung: Ihre Bewerbungsdaten werden ausschließlich zum Zweck der Besetzung der ausgeschriebenen Stelle und der Durchführung des Bewerbungsverfahrens verarbeitet.
- Verarbeitete Datenkategorien: Hierzu gehören in der Regel Ihr Name, Ihre Kontaktdaten, Ihr Anschreiben, Ihr Lebenslauf, Ihre Zeugnisse sowie alle weiteren Informationen, die Sie uns im Rahmen Ihrer Bewerbung zur Verfügung stellen.
- Rechtsgrundlage: Die Verarbeitung Ihrer Bewerberdaten erfolgt zur Anbahnung eines Beschäftigungsverhältnisses auf Grundlage von § 26 Abs. 1 S. 1 BDSG.
- Speicherdauer: Im Falle einer Absage werden Ihre Bewerbungsunterlagen spätestens sechs Monate nach Bekanntgabe der Absageentscheidung gelöscht. Dies geschieht zur Verteidigung gegen eventuelle Rechtsansprüche aus dem Allgemeinen Gleichbehandlungsgesetz (AGG).
- Weiterbeschäftigung & Talent Pool: Kommt es zu einem Beschäftigungsverhältnis, werden Ihre Daten zur Durchführung des Beschäftigungsverhältnisses in unsere Personalverwaltungssysteme überführt. Sollten wir Ihnen aktuell keine Stelle anbieten können, aber Ihre Bewerbung für zukünftige Positionen für interessant halten, werden wir Sie um Ihre ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) bitten, Ihre Daten in unserem Talent Pool speichern zu dürfen.
9. Spezifische Hinweise zu Diensten und Technologien
Nachfolgend finden Sie eine detaillierte Aufstellung zu den von uns auf der Webseite eingesetzten Diensten, deren Zwecken, den rechtlichen Grundlagen und den Spezifika bei der Datenverarbeitung.
| Dienst/Tool | Zweck | Speicherdauer & Daten | Opt-Out & weitere Informationen |
|---|---|---|---|
| Google Analytics 4 Anbieter: Google Ireland Ltd. |
Reichweitenmessung und statistische Analyse zur Optimierung der Webseite. Die IP-Anonymisierung ist standardmäßig aktiviert. Datenerfassung erfolgt nur nach Ihrer Einwilligung. Wir haben einen AV-Vertrag abgeschlossen. | Cookies bis zu 2 Jahre; Nutzerdaten auf Google-Servern bis 14 Monate. | Widerruf jederzeit über den Consent-Manager oder dauerhaft über das Google Analytics Opt-out Browser Add-on. |
| Cloudflare CDN Anbieter: Cloudflare, Inc. |
Sicherheit (Schutz vor DDoS-Angriffen) und Performance. Essenzielle Sicherheitsfunktionen laufen auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO). | Cookie `__cf_bm` (30 Min.). Sicherheitsrelevante Logfiles (u.a. IP-Adressen) werden i.d.R. für 24 Stunden gespeichert. | Als technisch notwendiger Dienst zur Absicherung nicht direkt deaktivierbar. Weitere Infos in der Datenschutzerklärung von Cloudflare. |
| PayPal Anbieter: PayPal (Europe) S.à r.l. et Cie |
Sichere Abwicklung von Zahlungen. Datenübermittlung in die USA (an PayPal, Inc.) ist möglich, abgesichert durch DPF und/oder SCC. | Diverse Session- und Persistenz-Cookies zur technischen Abwicklung und Betrugsprävention. | Nutzung ist optional. Es gelten die Datenschutzbestimmungen von PayPal. |
| Akismet Anbieter: Automattic Inc. |
Schutz vor Spam in Kommentarfunktionen oder Formularen (berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO). Datenübermittlung in die USA ist durch SCC abgesichert. | Eingabedaten (z.B. IP-Adresse, Name, E-Mail, Kommentartext) werden zur Prüfung an Akismet gesendet und dort zur Service-Verbesserung kurzzeitig gespeichert. | Die Nutzung ist optional (indem Sie keine Kommentare/Formulare nutzen). Weitere Infos in der Datenschutzerklärung von Automattic. |
10. Weitere Verarbeitungstätigkeiten
10.1. GPS-Tracking & § 26 BDSG
Die Verarbeitung von GPS-Daten zur Disposition, Diebstahlsicherung und zum Leistungsnachweis ist für die Durchführung der Arbeitsverhältnisse sowie zur Erfüllung unserer Dienstleistungsverträge zwingend erforderlich (§ 26 Abs. 1 S. 1 BDSG). Zusätzlich dient unser berechtigtes Interesse an einem sicheren und effizienten Betrieb (Art. 6 Abs. 1 lit. f DSGVO) als Rechtsgrundlage, welches nach unserer durchgeführten Interessenabwägung überwiegt.
10.2. Bild-Uploads & § 23 KUG
Bei der Verarbeitung von Bildern zur Baudokumentation stellen wir sicher, dass die Rechte abgebildeter Personen gewahrt werden. Eine Verarbeitung erfolgt nur, wenn dies zur Erfüllung unserer vertraglichen Dokumentationspflichten erforderlich ist. Aufnahmen von Personen erfolgen nur mit deren Einwilligung oder wenn sie als sogenanntes "Beiwerk" neben der eigentlichen Landschaft oder Örtlichkeit erscheinen bzw. als Abbildungen von Versammlungen oder ähnlichen Vorgängen gelten, an denen die dargestellten Personen teilgenommen haben (§ 23 KunstUrhG).
11. Automatisierte Entscheidungsfindung und Profiling
Wie in den Abschnitten zum GPS-Tracking und zur KI-gestützten Schichtplanung beschrieben, setzen wir teilweise Profiling-Technologien ein, um unsere betrieblichen Abläufe zu optimieren. Wir stellen jedoch klar: Es findet keine automatisierte Entscheidungsfindung im Einzelfall im Sinne des Art. 22 DSGVO statt, die Ihnen gegenüber eine rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Alle Entscheidungen, die sich auf Ihr Vertragsverhältnis auswirken, werden stets von einer natürlichen Person getroffen.
12. Änderung dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen oder die Einführung neuer Technologien abzubilden. Für Ihren erneuten Besuch unserer Webseite oder die Nutzung unserer Plattform gilt dann die neue, jeweils aktuelle Datenschutzerklärung.
Bei wesentlichen Änderungen, die die Nutzer unserer internen Plattform betreffen, werden wir Sie auf geeignete Weise informieren. Ältere Versionen dieser Datenschutzerklärung sind auf Anfrage erhältlich, um unserer Rechenschaftspflicht nachzukommen.
