Datenschutzerklärung

Pataluha Ventures S.L. · Zuletzt aktualisiert: 22 May 2026 · Version 2.6

Sie suchen den Datenschutzhinweis für unsere Marketing-Website? Siehe https://solidmaint.com/privacy.

Wir halten die EU-Datenschutz-Grundverordnung (GDPR) sowie das spanische Organgesetz zum Schutz personenbezogener Daten (LOPDGDD 3/2018) ein.

1. Verantwortlicher

Pataluha Ventures S.L. („wir", „uns"), NIF B26627539, eingetragen in Spanien, betreibt die SolidMaint-Plattform (Kunden-App, Crew-App, Web-Backoffice) und ist der Verantwortliche für Ihre personenbezogenen Daten. SolidMaint S.L. (NIF B27612159, eingetragener Sitz c/o The Pool, Avda. Bulevar Príncipe Alfonso de Hohenlohe 2, 29602 Marbella, Málaga, Spanien) ist eine Tochtergesellschaft von Pataluha Ventures S.L., eingetragen am 7 May 2026. Bis zur Übertragung der Plattform auf SolidMaint S.L. bleibt Pataluha Ventures S.L. alleiniger Verantwortlicher. Kontakt: privacy@solidmaint.com

2. Von uns erhobene personenbezogene Daten

Wir erheben je nach verwendeter App (Kunden-App oder Crew-App) unterschiedliche Datenkategorien. Sofern eine Kategorie nur für eine App gilt, wird dies entsprechend vermerkt.

• Kontodaten (beide Apps) — Name, E-Mail-Adresse, Telefonnummer, Profilfoto, Sprachpräferenz, Rolle.
• Authentifizierungsdaten (beide Apps) — Gehashtes Passwort, Sitzungstoken, optionaler Apple Sign In- oder Google Sign In-Verbundidentifikator, optionaler biometrischer Entsperrungsstatus (Face ID / Fingerabdruck verbleibt auf dem Gerät und wird niemals übertragen).
• Immobiliendaten (Kunden-App) — Adresse, Katasterreferenz, Baudaten, Geräte und Haushaltsgeräte, hochgeladene Dokumente.
• Leistungsdaten (beide Apps) — Serviceanfragen, Aufgabenverlauf, Fotos (vor / während / nach der Arbeit), Beschriftungen, Bewertungen, Logbucheinträge.
• Zahlungsdaten (Kunden-App) — SEPA-Mandatsreferenzen, Stripe-Kunden-IDs, die letzten vier Kartenziffer, die von Stripe gespeichert werden (wir speichern keine vollständigen Kartennummern). Auszahlungen an die Crew erfolgen über Stripe Connect; die Crew-App erfasst keine Kartendaten.
• Sprachaufnahmen (Crew-App) — Sprachnotizen für Arbeitsberichte und den KI-gestützten Co-Driving-Modus. Serverseitige Transkription über Google Gemini; die Audiodatei wird 30 Tage nach dem Hochladen gelöscht, die Transkription wird mit dem Aufgabendatensatz aufbewahrt.
• Belegdaten (OCR) (Crew-App) — Für die Spesenabrechnung hochgeladene Belegbilder; serverseitige Extraktion von Zeilenpositionen (Geschäftsname, Datum, Artikel, Gesamtbeträge), die im Spesendatensatz gespeichert werden.
• Standortdaten (Crew-App) — Präzise GPS-Koordinaten, während ein Aufgaben-Timer aktiv ist; verwendet für die 100-Meter-Geofence-Überprüfung und für die Vordergrunddienstbenachrichtigung „Standortverfolgung bei aktiver Aufgabe". Der Hintergrundstandortzugriff wird nur angefordert, wenn Sie die Timer-Ankunftserinnerung aktivieren oder ein aktiver Timer bei ausgeschaltetem Bildschirm läuft. Koordinaten werden 8 Wochen nach Aufgabenabschluss und Rechnungsausstellung gelöscht.
• Kommunikationsdaten (beide Apps) — Chat-Nachrichten zwischen Ihnen und HQ, der Crew, Kunden oder Aufgabengruppenteilnehmern. WhatsApp-Eingangsnachrichten werden über Twilio weitergeleitet.
• Push-Token (beide Apps) — FCM (Android) / APNs (iOS) Geräte-Push-Token, die mit Ihrem Benutzerkonto verknüpft sind und zur Zustellung von Benachrichtigungen über Serviceanfragen, Aufgabenzuweisungen, Genehmigungen und Nachrichten verwendet werden.
• Absturzdiagnostik (beide Apps) — Sentry-Absturzberichte, Breadcrumbs (Benutzerinteraktionsereignisse, Leistungstraces) und ein `userId`-Tag zur Fehlerdiagnose.
• Nutzungsdaten (beide Apps) — Anmeldezeitstempel, Geräteinformationen (Modell, Betriebssystemversion), IP-Adresse (kurzzeitig für Ratenbegrenzung und Sicherheitsprüfungen verwendet; wird nicht als Profilfeld gespeichert).
• Vom Betreiber verarbeitete Daten (HQ-Backoffice) — Unsere Mitarbeiter können Ihre Kontakt- und Immobiliendaten in Ihrem Namen im Rahmen interner Betriebsabläufe eingeben, importieren oder anderweitig verarbeiten (z. B. während des Onboardings, der Terminplanung, der Nachverfolgung oder der Dienstleistungskoordination). Eine solche Verarbeitung kann KI-Unterstützung umfassen — siehe §10 für die von uns verwendeten KI-Auftragsverarbeiter.

3. Rechtsgrundlage der Verarbeitung

• Vertragserfüllung (GDPR Art. 6(1)(b)) — Verarbeitung, die zur Erbringung der von Ihnen angeforderten Instandhaltungsdienstleistungen und zur Auszahlung an Crew-Mitglieder erforderlich ist.
• Berechtigtes Interesse (GDPR Art. 6(1)(f)) — Plattformsicherheit, Betrugsprävention, Absturzdiagnostik, anonyme Dienstqualitätsanalysen.
• Einwilligung (GDPR Art. 6(1)(a)) — Marketingkommunikation (nur per Opt-in); Persistenz von KI-Trainingsdaten (siehe §10).
• Rechtliche Verpflichtung (GDPR Art. 6(1)(c)) — Steueraufzeichnungen und Aufbewahrung von Rechnungen (bis zu 10 Jahre — mindestens 6 Jahre gemäß *Código de Comercio* Art. 30, verlängert auf 10 Jahre, sofern Aufzeichnungen eine *base imponible negativa* gemäß *Ley General Tributaria* Art. 66 bis belegen).

4. Verwendung Ihrer Daten

• Bereitstellung und Verbesserung unserer Immobilien-Instandhaltungsdienstleistungen.
• Zahlungsabwicklung (Kundenseite) und Crew-Auszahlungen (Crew-Seite über Stripe Connect).
• Kommunikation über Serviceanfragen, Aufgaben, Genehmigungen und Nachrichten.
• Automatische Übersetzung von Chat-Nachrichten zwischen Nutzern unterschiedlicher Sprachen.
• KI-gestützte Funktionen: Fotoerkennung (Smart Scan), Sprachtranskription (Crew-Sprachberichte, KI-Co-Driving), Beleg-OCR, Agentenhilfe, Bildanalyse.
• Überprüfung der Anwesenheit der Crew an der Immobilie mittels Geofence.
• Absturzdiagnostik und Produktanalysen.
• Benachrichtigungen über den Ablauf der Garantie für registrierte Geräte.

In-App-Gespräche sind uns gegenüber NICHT vertraulich

Nachrichten in Serviceanfrage-Chats (Kunde ↔ Crew, Kunde ↔ HQ, Crew ↔ HQ), In-App-KI-Chats mit unserem Assistenten sowie WhatsApp-Gespräche, die über unsere Plattform geleitet werden, sind für autorisierte HQ-Mitarbeiter einsehbar, und zwar zu folgenden Zwecken:

• Überwachung der Dienstqualität — Stichprobenartige Prüfung, ob das Gespräch zwischen Ihnen und dem Ihnen zugewiesenen Crew-Mitglied konstruktiv verläuft, ob Angebote mit dem Vereinbarten übereinstimmen und ob Probleme frühzeitig gemeldet werden.
• Routinemäßige Systemwartung und Fehlerbehebung — Nachvollziehen, was Nutzer den KI-Assistenten gefragt haben, wenn ein Gesprächsschritt fehlschlägt, warum eine Übersetzung ein unerwartetes Ergebnis geliefert hat, warum eine Benachrichtigung nicht zugestellt wurde. Wir minimieren dies — aber ein pauschaler Bericht „das System funktioniert nicht" kann ohne Lektüre des fehlgeschlagenen Schritts nicht diagnostiziert werden.
• Streitbeilegung — Wenn ein Kunde oder ein Crew-Mitglied meldet, dass die andere Partei X versprochen und Y geliefert hat, prüft HQ den Chat, um mit dokumentierten Belegen fair zu vermitteln.

Nachrichten sind während der Übertragung und im Ruhezustand verschlüsselt (HTTPS bei der Übertragung; von AWS verwaltete Verschlüsselung auf dem S3-Spiegel und in der Neon Postgres-Datenbank). Die Verschlüsselung schützt vor dem Abfangen durch Dritte und dem Zugriff durch Infrastrukturanbieter — sie macht Gespräche jedoch nicht vertraulich gegenüber dem SolidMaint-Betriebspersonal. Für vertrauliche Angelegenheiten (Rechtsbeschwerden, HR-ähnliche Anliegen) wenden Sie sich bitte per E-Mail an privacy@solidmaint.com.

Dies gilt gleichermaßen für direkte Chats zwischen Kunde ↔ Crew; die Plattform wird als verwalteter Dienst betrieben, nicht als Peer-to-Peer-Nachrichtenübermittlungstool.

5. Datenweitergabe / Unterauftragsverarbeiter

Wir geben Ihre Daten nur an die nachstehend aufgeführten Auftragsverarbeiter und Unterauftragsverarbeiter weiter. Wir verkaufen Ihre personenbezogenen Daten nicht. Die Liste gibt die tatsächlichen Datenflüsse in den Apps wieder; wir aktualisieren sie bei einem Wechsel der Auftragsverarbeiter.

| Empfänger | Standort | Was wir weitergeben | Zweck |

| --- | --- | --- | --- |

| Stripe Payments Europe Ltd | Irland (Muttergesellschaft: Stripe Inc., USA, mit SCCs) | Kartendaten, SEPA-Mandatsreferenzen, Kunden-/Auftragnehmer-IDs, Zahlungsmetadaten. Die Kunden-App erfasst Karten in der App über das Stripe SDK; die Crew-App empfängt nur Auszahlungen — keine Kartenerfassung. | Zahlungsabwicklung (Kunden) und Crew-Auszahlungen über Stripe Connect Express. |

| Neon Inc. | EU (AWS eu-central-1, Frankfurt) | Primärdatenbank — alle relationalen Daten. | Verwaltetes Postgres-Hosting. |

| Fly.io | EU (Frankfurt `fra`-Region) | API-Server-Laufzeit. | API-Hosting. |

| Amazon Web Services (S3 + CloudFront) | S3-Buckets in der EU (eu-central-1); globaler CloudFront-Edge-Cache | Fotos, Sprachaufnahmen, Belegbilder, hochgeladene Dokumente. | Dateispeicherung und CDN-Bereitstellung. Der CloudFront-Edge-Cache kann Inhalte außerhalb der EU zwischenspeichern; SCCs finden Anwendung. (Wir haben im März 2026 aufgrund von Sperren spanischer Internetanbieter für das frühere CDN von Cloudflare R2 migriert.) |

| Google LLC — Gemini API | USA, mit SCCs | KI-Chat-Inhalte, zur Bildanalyse gesendete Fotos, zur Transkription gesendete Sprachaufnahmen, zur Auswertung/OCR gesendete Beleg- und Dokumentinhalte sowie personenbezogene Daten (wie Name, E-Mail, Telefon, Adresse), die von der KI-Unterstützung in kunden- oder betreiberorientierten Tools verarbeitet werden. Wir nutzen Googles kostenpflichtigen Gemini-Tarif, unter dem Google vertraglich zusichert, Eingaben und Ausgaben nicht zum Training seiner Modelle zu verwenden. | KI-Unterstützung für kunden- und betreiberorientierte Funktionen. |

| Google LLC — Firebase Cloud Messaging | USA, mit SCCs | FCM-Geräte-Push-Token; minimale Benachrichtigungsnutzlast (keine personenbezogenen Daten in der Nutzlast selbst). | Android-Push-Benachrichtigungen. |

| Google LLC — Google Maps Platform | USA, mit SCCs | Zur Geokodierung gesendete Immobilienadressen; optionale Street-View-Anzeige. | Karten-Benutzeroberfläche in den Apps. |

| Apple Inc. — APNs | USA, mit SCCs | APNs-Geräte-Push-Token. | iOS-Push-Benachrichtigungen. |

| Sentry GmbH (Auftragsverarbeiter auf AWS USA) | Wien (Verantwortlicher); USA (Verarbeitung) | Absturzberichte, Breadcrumbs (Interaktionen, Leistung), `userId`-Tag, Geräte-Tag. | Absturzdiagnostik und Leistungsüberwachung. |

| Twilio Inc. | USA, mit SCCs und EU-Unterauftragsverarbeitern | Telefonnummer, SMS-/WhatsApp-Nachrichteninhalt. | SMS-Benachrichtigungen und WhatsApp-Eingangsweiterleitung. |

| Resend Inc. | USA, mit SCCs | E-Mail-Adresse, Nachrichtentext. | Transaktionale E-Mails (Kontobestätigungen, Benachrichtigungen). |

| Apple Inc. — Sign In with Apple | USA, mit SCCs | OAuth-ID-Token; optionale Relay-E-Mail, wenn Sie Ihre Adresse verbergen möchten. | Optionale Verbundanmeldung. |

| Google LLC — Sign In | USA, mit SCCs | OAuth-ID-Token. | Optionale Verbundanmeldung. |

| Zugewiesene Crew-Mitglieder | EU (tätig in Spanien) | Kundenname, Immobilienadresse, Zugangscodes, Aufgabendetails — nur für die dem jeweiligen Crew-Mitglied zugewiesenen Aufgaben. | Leistungserbringung. |

6. Grenzüberschreitende Datenübermittlungen

Die primäre Datenspeicherung (Datenbank, Dateispeicherung) erfolgt in der EU. Einige Auftragsverarbeiter sind für spezifische Funktionen in den Vereinigten Staaten tätig (KI-Inferenz, Push-Benachrichtigungen, Absturzdiagnostik, E-Mail, OAuth-Identität); diese internationalen Übermittlungen stützen sich auf die Standardvertragsklauseln der EU-Kommission gemäß GDPR Art. 46(2)(c). Sofern ein Auftragsverarbeiter EU-Residenzoptionen anbietet, die wir ausgewählt haben, ist dies in der Tabelle in §5 vermerkt.

7. Aufbewahrungsfristen

| Datenkategorie | Aufbewahrung |

| --- | --- |

| Kontodaten | Bis zur Kontolöschung + 30-tägige Nachfrist |

| Sprachaufnahmen (Crew) | 30 Tage; Transkription wird im Aufgabendatensatz aufbewahrt |

| Belegbilder (Crew) | Im Spesendatensatz bis zur Kontolöschung aufbewahrt |

| GPS-Koordinaten aus abgeschlossenen Arbeiten | 8 Wochen nach Aufgabenabschluss und Rechnungsausstellung |

| Chat-Nachrichten | Bis zur Kontolöschung |

| Sentry-Absturzereignisse | 90 Tage (Standard-Planaufbewahrung von Sentry) |

| Prüfprotokolle (sicherheitsrelevante Ereignisse) | 2 Jahre |

| Finanzunterlagen (Transaktionen, Rechnungen, Auszahlungsbelege, Rechnungs-PDFs, buchhalterische Belege) | Bis zu 10 Jahre — mindestens 6 Jahre gemäß *Código de Comercio* Art. 30, verlängert auf 10 Jahre für Aufzeichnungen, die eine *base imponible negativa* (Verlustvortrag) gemäß *Ley General Tributaria* Art. 66 bis belegen |

| KI-Trainingskorpus (nur bei Einwilligung) | Bis zum Widerruf der Einwilligung oder zur Kontolöschung |

| Anonymisierte Aggregatmetriken | Unbegrenzt; können nicht auf Sie zurückgeführt werden |

8. Sicherheitsmaßnahmen

Wir schützen Ihre Daten mit folgenden technischen und organisatorischen Maßnahmen:

• TLS bei der Übertragung — Sämtlicher Client-Server-Verkehr verwendet HTTPS mit modernen Cipher Suites; HTTP wird am Load Balancer abgewiesen.
• Verschlüsselung im Ruhezustand — Von AWS verwaltete Verschlüsselung auf dem S3-Dateispeicher, anbieterverwaltete Verschlüsselung auf der Neon Postgres-Datenbank und von Sentry verwaltete Verschlüsselung auf Diagnosedaten.
• Passwort-Hashing — Passwörter werden als bcrypt-Hashes gespeichert, niemals im Klartext.
• Rollenbasierte Zugriffskontrolle — HQ-Backoffice- und Crew-Konten verfügen über explizite Rollen (Admin, Supervisor, Dispatcher, Support, Worker, Kunde), die regeln, welche Daten jede Rolle einsehen kann.
• Prüfprotokollierung — Sicherheitsrelevante Ereignisse (Anmeldung, Rollenänderungen, Datenexporte, Kontolöschungen, Umschaltvorgänge für KI-Trainingsdaten) werden aufgezeichnet und 2 Jahre aufbewahrt.
• Incident Response — Sentry-Absturz- und Fehlerüberwachung mit betreiberkontrolliertem Zugriff; PII-Handler sind für eine schnelle Triage bei Sicherheitsvorfällen gekennzeichnet.

9. Ihre Rechte (GDPR Artikel 15–22)

• Auskunftsrecht (Art. 15) — Laden Sie alle Ihre Daten unter Profil → Meine Daten herunterladen herunter.
• Berichtigung (Art. 16) — Bearbeiten Sie Ihr Profil jederzeit.
• Löschung (Art. 17) — Löschen Sie Ihr Konto unter Profil → Konto löschen oder folgen Sie der Anleitung zur Datenlöschung unter `/legal/data-deletion`.
• Datenübertragbarkeit (Art. 20) — Exportieren Sie Ihre Daten als maschinenlesbares ZIP-Archiv.
• Einschränkung der Verarbeitung (Art. 18) / Widerspruch (Art. 21) — Senden Sie eine E-Mail an privacy@solidmaint.com.
• Einwilligung widerrufen (Art. 7(3)) — Deaktivieren Sie die Persistenz der KI-Trainingsdaten in Ihrem Profil oder melden Sie sich über den Link in einer entsprechenden E-Mail vom Marketing-Newsletter ab.
• Beschwerde — Sie können bei der spanischen Datenschutzbehörde (AEPD) unter www.aepd.es oder bei Ihrer lokalen EU/EWR-Aufsichtsbehörde eine Beschwerde einreichen.

10. KI-Verarbeitung und Persistenz von Trainingsdaten

Bestimmte Nutzer- und Betriebsinhalte werden von KI-Modellen verarbeitet, um Funktionen zu ermöglichen (Fotoerkennung, Sprachtranskription, OCR, Agentenhilfe, Chat-Übersetzung, Dokumentenauswertung sowie sonstige kunden- und betreiberorientierte KI-Unterstützung). Es bestehen zwei unterschiedliche Abläufe:

• Inferenz (immer aktiv) — Inhalte, die für die von Ihnen genutzte Funktion oder eine im Rahmen Ihres Dienstleistungsvertrags für Sie vorgenommene Betreiberaktion relevant sind, werden an das entsprechende Modell (in der Regel Google Gemini API) gesendet, das Modell liefert ein Ergebnis, und das Ergebnis wird im zugehörigen Datensatz (Aufgabe, Nachricht, Spesen, Immobilie usw.) gespeichert. Diese Verarbeitung ist zur Erbringung der von Ihnen angeforderten Funktion oder zur Erfüllung unseres Dienstleistungsvertrags mit Ihnen erforderlich (GDPR Art. 6(1)(b)). Wir nutzen Googles kostenpflichtigen Gemini-Tarif; gemäß Googles API-Nutzungsbedingungen werden bezahlte Eingaben und Ausgaben nicht zum Training von Googles Modellen verwendet, und die transitorischen Protokolle von Google werden nicht länger als für die Missbrauchsüberwachung erforderlich aufbewahrt.
• Persistenz von Trainingsdaten (nur bei Einwilligung) — Wenn Sie KI-Trainingsdaten in Ihrem Profil aktiviert haben, speichern wir zusätzlich die Eingabe und Ausgabe jedes KI-Aufrufs, der aus Ihrer eigenen Aktivität stammt, in einem pseudonymisierten Archiv auf unserer eigenen Infrastruktur zur Modellverbesserung. Dies erfolgt auf der Grundlage einer Einwilligung (GDPR Art. 6(1)(a)), die Sie jederzeit widerrufen können. KI-Aufrufe, die von unseren Mitarbeitern im Rahmen interner Betriebsabläufe durchgeführt werden, fließen nicht in dieses Opt-in-Archiv ein; sie sind Betriebsstatus und werden nur so lange aufbewahrt, wie der entsprechende Betriebsdatensatz existiert.

Der Widerruf der Einwilligung schließt Ihre zukünftigen Aufrufe vom Trainingsarchiv aus und löst die Löschung aller zuvor archivierten Trainingsdatensätze, die mit Ihrem Konto verknüpft sind, aus. Verwenden Sie Profil → KI-Trainingsdaten, um die Einstellung umzuschalten, oder Profil → KI-Trainingsdaten löschen, um die Löschung auf Anfrage auszulösen. Die Löschroutine lautet `DELETE /v1/profile/ai-training-data` und wird auch als Teil der vollständigen Kontolöschung ausgeführt (`gdpr-delete.ts`).

Betriebstabellen, die den KI-Sitzungsstatus enthalten (`ai_sessions`, `ai_turns`, `ai_tool_calls`), sind Laufzeitdaten, keine Trainingsdaten. Sie dienen der Wiederherstellung nach einer Verbindungsunterbrechung, der nutzerbezogenen Fehlerbehebung und der anfragespezifischen Protokollierung; sie werden im gleichen Kaskadenlauf gelöscht, wenn Sie Ihr Konto löschen oder Ihre Einwilligung widerrufen.

11. Cookies und ähnliche Technologien

Wir verwenden ausschließlich technisch notwendige Cookies und Speicher. Wir setzen keine Werbe-, Verhaltensverfolgungs- oder Drittanbieter-Analyse-Cookies.

Im Einzelnen: ein Authentifizierungssitzungstoken in `localStorage` (Web) oder `expo-secure-store` (mobil), anonyme Service-Worker-/Push-Benachrichtigungsregistrierungen sowie plattformbezogene Absturzdiagnostik-Identifikatoren (Sentry).

Unsere sonstigen Auftragsverarbeiter setzen in unseren Apps keine Cookies; sie empfangen ausschließlich anfragebezogene Telemetrie.

12. Datenschutz von Kindern

Die Plattform richtet sich nicht an Nutzer unter 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Wenn Sie der Ansicht sind, dass ein Kind uns personenbezogene Daten mitgeteilt hat, wenden Sie sich bitte an privacy@solidmaint.com.

13. Änderungen dieser Erklärung

Wir werden Sie über wesentliche Änderungen mindestens 30 Tage vor deren Inkrafttreten per E-Mail und/oder durch eine In-App-Mitteilung informieren. Die Versionsnummer und das Datum oben auf dieser Seite geben an, wann die Erklärung zuletzt aktualisiert wurde.

14. Kontakt

Bei datenschutzbezogenen Fragen: privacy@solidmaint.com.

Informationen zur Kontolöschung finden Sie in der entsprechenden Anleitung unter /legal/data-deletion.