Informationen gemäß Art. 13, 14 DSGVO über die Verarbeitung personenbezogener Daten.
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Michael KönigEin Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen des Art. 37 DSGVO i.V.m. § 38 BDSG nicht erfüllt sind.
ArboPolar Inspect ist eine webbasierte Anwendung für professionelle Bauminspektionen. Wir verarbeiten folgende Kategorien personenbezogener Daten:
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf folgenden Rechtsgrundlagen:
| Verarbeitung | Rechtsgrundlage | Erläuterung |
|---|---|---|
| Benutzerkonto, Login | Art. 6 Abs. 1 lit. b DSGVO | Vertragserfüllung |
| KI-Analyse und Berichterstellung | Art. 6 Abs. 1 lit. b DSGVO | Wesentlicher Vertragsbestandteil |
| Cloud-Synchronisierung | Art. 6 Abs. 1 lit. b DSGVO | Vertragserfüllung |
| Session-Cookies | Art. 6 Abs. 1 lit. f DSGVO | Berechtigtes Interesse (Sicherheit) |
| Sicherheitsprotokollierung | Art. 6 Abs. 1 lit. f DSGVO | Berechtigtes Interesse (IT-Sicherheit) |
| Standorterfassung (GPS) | Art. 6 Abs. 1 lit. a DSGVO | Einwilligung (Browser-Berechtigung) |
Bei der Registrierung erheben wir:
Bei jeder Anmeldung werden verarbeitet:
Im Rahmen der Nutzung der Anwendung verarbeiten wir folgende fachliche Daten:
Hinweis: Sofern in Fotos oder Dokumenten personenbezogene Daten Dritter enthalten sind (z.B. Eigentümer, Anwohner), liegt die Verantwortung für die rechtmäßige Verarbeitung beim Nutzer.
ArboPolar Inspect nutzt Künstliche Intelligenz (KI) als wesentlichen Bestandteil des Dienstes für die Analyse von Baumfotos und die Erstellung von Gutachten. Die Nutzung der KI-Funktionen ist integraler Teil der Anwendung und nicht optional.
| Anbieter | Modelle | Zweck | Standort |
|---|---|---|---|
| OpenAI, Inc. | unterschiedliche GPT-Versionen | Bildanalyse, Berichterstellung | USA |
| Google LLC | unterschiedliche Gemini-Versionen | Bildanalyse, Berichterstellung | USA |
Bei der KI-Analyse werden folgende Daten an die KI-Anbieter übertragen:
Die übertragenen Daten werden von den KI-Anbietern gemäß deren Datenschutzrichtlinien verarbeitet. Beide Anbieter haben zugesichert, API-Daten nicht für das Training ihrer Modelle zu verwenden:
Die KI-generierten Analysen und Gutachten dienen als Unterstützung für den Sachverständigen. Alle Ergebnisse werden vor der endgültigen Verwendung vom Nutzer geprüft und können bearbeitet werden. Es erfolgt keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO mit rechtlicher Wirkung gegenüber Dritten.
Gemäß der Verordnung (EU) 2024/1689 (EU AI Act) informieren wir Sie über den Einsatz von KI-Systemen in unserer Anwendung:
ArboPolar Inspect setzt generative KI-Systeme (Large Language Models mit Vision-Fähigkeit) für folgende Zwecke ein:
Nach unserer Einschätzung handelt es sich um ein KI-System mit begrenztem Risiko gemäß Art. 50 EU AI Act. Die Anwendung fällt nicht unter die Hochrisiko-KI-Systeme des Anhangs III, da:
Wir informieren Sie hiermit, dass:
Alle KI-generierten Ergebnisse werden dem Nutzer zur Überprüfung vorgelegt. Der Nutzer hat die Möglichkeit, Ergebnisse zu bearbeiten, zu verwerfen oder die Analyse zu wiederholen. Die KI trifft keine eigenständigen Entscheidungen.
Medien (Fotos, Dokumente, 3D-Scans) werden in Cloudflare R2 gespeichert. Die Daten werden verschlüsselt übertragen (TLS) und gespeichert.
Standort: Die Daten werden ausschließlich im Cloudflare-Rechenzentrum in Frankfurt am Main (Deutschland) gespeichert. Es erfolgt keine Replikation in Drittländer.
Der Zugriff auf Cloud-Daten erfolgt über zeitlich begrenzte, signierte URLs (Presigned URLs). Diese URLs sind nur für den authentifizierten Nutzer und für einen begrenzten Zeitraum gültig.
Die Anwendung nutzt lokale Browser-Speicher für eine bessere Nutzererfahrung und Offline-Fähigkeit:
Folgende Daten werden lokal im Browser gespeichert:
Konfigurationsdaten werden in localStorage gespeichert:
Sie können lokale Daten jederzeit über die Browser-Einstellungen löschen (Website-Daten löschen). Bei Abmeldung werden Session-Daten automatisch bereinigt.
Wir verwenden ausschließlich technisch notwendige Cookies. Marketing- oder Tracking-Cookies werden nicht eingesetzt.
| Name | Zweck | Speicherdauer | Typ |
|---|---|---|---|
| session_id | Authentifizierung, Session-Verwaltung | Bis Logout oder 7 Tage Inaktivität | HttpOnly, Secure, SameSite=Lax |
Da wir ausschließlich technisch notwendige Cookies verwenden, ist gemäß § 25 Abs. 2 Nr. 2 TTDSG keine Einwilligung erforderlich. Diese Cookies sind für die Bereitstellung des Dienstes unbedingt erforderlich.
Die Erfassung von GPS-Koordinaten dient der Dokumentation des Baumstandorts im Rahmen der Bauminspektion.
Die Nutzung der Browser Geolocation API erfordert eine explizite Freigabe durch den Nutzer (Browser-Berechtigungsdialog). Diese Einwilligung kann jederzeit über die Browser-Einstellungen widerrufen werden.
Die erfassten Koordinaten werden auf maximal 6 Dezimalstellen gerundet (Genauigkeit ca. 10 cm), was für die fachliche Dokumentation ausreichend ist.
Die Anwendung wird bei IONOS SE in Deutschland gehostet:
IONOS SEDer Serverstandort befindet sich in Deutschland. Es erfolgt keine Übertragung von Hosting-Daten in Drittländer.
Die PostgreSQL-Datenbank für Benutzerdaten und Metadaten wird ebenfalls bei IONOS in Deutschland betrieben.
Der Server protokolliert automatisch Zugriffsdaten (Access-Logs):
Diese Daten werden zur Sicherstellung des Betriebs und zur Erkennung von Angriffen für maximal 7 Tage gespeichert und anschließend automatisch gelöscht.
Wir setzen folgende Auftragsverarbeiter gemäß Art. 28 DSGVO ein:
| Anbieter | Zweck | Standort | Garantien |
|---|---|---|---|
| IONOS SE | Webhosting, Datenbank | Deutschland | AVV nach Art. 28 DSGVO |
| Cloudflare, Inc. | Objektspeicher (R2) | Deutschland (Frankfurt) | DPA, EU-US DPF |
| OpenAI, Inc. | KI-Analyse (API) | USA | DPA, EU-US DPF |
| Google LLC | KI-Analyse (Gemini API) | USA | DPA, EU-US DPF, EU SCCs |
Legende:
AVV = Auftragsverarbeitungsvertrag
DPA = Data Processing Agreement
SCCs = Standard Contractual Clauses (Standardvertragsklauseln)
DPF = EU-US Data Privacy Framework
Bei der Nutzung der KI-Funktionen werden Daten an Server in den USA übertragen (OpenAI, Google). Die Übermittlung erfolgt auf Grundlage folgender Garantien:
OpenAI und Google sind unter dem EU-US Data Privacy Framework zertifiziert. Dieses Abkommen wurde durch den Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 (Durchführungsbeschluss (EU) 2023/1795) als angemessenes Schutzniveau anerkannt.
Zusätzlich haben wir mit den Anbietern Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 abgeschlossen, die als ergänzende Schutzmaßnahme dienen.
Wir haben eine Transfer Impact Assessment (TIA) durchgeführt. Unter Berücksichtigung der Art der übertragenen Daten (fachliche Bauminspektionsdaten, keine besonderen Kategorien personenbezogener Daten) und der getroffenen Schutzmaßnahmen halten wir das Risiko für die betroffenen Personen für vertretbar.
Die Cloudflare R2-Speicherung ist auf das Rechenzentrum Frankfurt am Main (Deutschland) konfiguriert. Es erfolgt keine Datenübertragung in Drittländer für die Speicherung. Cloudflare Inc. ist zusätzlich unter dem EU-US Data Privacy Framework zertifiziert.
| Datenkategorie | Speicherdauer | Begründung |
|---|---|---|
| Benutzerkonto | Bis zur Löschung durch Nutzer | Vertragserfüllung |
| Session-Daten | 7 Tage nach letzter Aktivität | Sicherheit |
| Audit-Logs (Sicherheit) | 90 Tage | IT-Sicherheit, Nachweispflichten |
| Server-Logs | 7 Tage | Betriebssicherheit |
| Projektdaten | Bis zur Löschung durch Nutzer | Vertragserfüllung |
| Cloud-Medien | Bis zur Löschung durch Nutzer | Vertragserfüllung |
| Lokale Browser-Daten | Bis zur manuellen Löschung | Nutzerkomfort |
Bei Löschung Ihres Benutzerkontos werden alle zugehörigen Daten gelöscht, mit Ausnahme von Audit-Log-Einträgen (anonymisiert) für Compliance-Zwecke.
Sie haben gemäß DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten:
Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen. Dies umfasst Informationen über Verarbeitungszwecke, Kategorien, Empfänger, Speicherdauer und Herkunft der Daten.
Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.
Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Kontolöschung kann direkt in der Anwendung durchgeführt werden.
Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, etwa wenn Sie die Richtigkeit der Daten bestreiten.
Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Die Anwendung bietet eine Export-Funktion (JSON/ZIP) für Ihre Projektdaten.
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:
E-Mail: datenschutz@arbopolar.de
Wir werden Ihre Anfrage unverzüglich, spätestens innerhalb eines Monats, beantworten.
Widerspruch gegen Verarbeitung aufgrund berechtigter Interessen: Sofern wir Ihre Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen.
Dies betrifft insbesondere:
Bei einem berechtigten Widerspruch werden wir die betreffenden Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.
Widerspruch per E-Mail an: datenschutz@arbopolar.de
Wir setzen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, um Ihre Daten zu schützen:
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslage oder bei Änderungen des Dienstes anzupassen.
Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert. Die aktuelle Version ist stets unter dieser URL abrufbar.
Stand: 01.02.2026