hand.ware
Kostenlos testen

RECHTLICHES

Datenschutzerklärung

handware · handware.io · Stand: März 2026

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO):

Edward Lemisch

Hauptstraße 22

78647 Trossingen

Deutschland

E-Mail: support@handware.io
Telefon: +49 (0) 151 200 712 85

Es ist derzeit kein Datenschutzbeauftragter bestellt, soweit keine gesetzliche Pflicht zur Bestellung besteht.

2. Geltungsbereich und Zweck

Diese Erklärung informiert über die Verarbeitung personenbezogener Daten bei Nutzung der Web-Anwendung handware (im Folgenden „Dienst“ oder „Plattform“) – einem Projektmanagement- und Organisationstool für Handwerks- und Dienstleistungsbetriebe (u. a. Kunden, Projekte, Aufgaben, Termine, Lager, Arbeitszeit, Urlaubsplanung, Einstellungen und Berechtigungen in Organisationen / Workspaces).

Die Verarbeitung erfolgt, soweit Sie die Plattform als betroffene Person nutzen (z. B. registriertes Mitglied eines Kundenunternehmens), oder soweit Sie für Ihr Unternehmen die Plattform betreiben und darüber Daten Ihrer Kunden, Mitarbeitenden oder Geschäftspartner erfassen. In letzterem Fall sind Sie in der Regel selbst Verantwortlicher für diese Daten; der Betreiber von handware ist dann häufig Auftragsverarbeiter – dies sollte vertraglich (z. B. durch einen Auftragsverarbeitungsvertrag / AV-Vertrag) geregelt werden.

3. Welche Daten werden verarbeitet?

Je nach Nutzung können insbesondere folgende Kategorien personenbezogener Daten anfallen:

3.1 Konto und Authentifizierung

  • Kontakt- und Identifikationsdaten (z. B. E-Mail-Adresse, Name, ggf. Profildaten)
  • Anmeldedaten, Sitzungs- / Session-Informationen, technische Tokens (z. B. nach Login über E-Mail-Link / Magic Link oder Passwort)
  • Zuordnung zu Organisationen (Workspaces) und Rollen / Berechtigungen

3.2 Im Rahmen der Geschäftsfunktionen (Beispiele)

  • Kunden- und Kontaktdaten (Namen, Adressen, Kommunikationsdaten, Notizen)
  • Projekt- und Auftragsdaten (Bezeichnungen, Termine, Volumina, Fortschritt, Dokumentation)
  • Termine und Kalenderdaten (inkl. Zuordnung zu Personen / Monteurinnen)
  • Aufgaben und Abteilungen
  • Lager- und Artikeldaten (ggf. mit Bezug zu Lieferanten)
  • Arbeitszeit- und Abwesenheitsdaten (Zeiterfassung, Urlaub, Verwaltungsfreigaben)
  • Kommentare, Dateien, Bilder, soweit in der Anwendung hinterlegt (z. B. über Speicherdienste)
  • Abrechnungs- und Vertragsdaten der Organisation (z. B. Rechnungsadresse, Steuernummern, soweit erfasst; Abonnement über Zahlungsdienstleister)

3.3 Technische und Nutzungsdaten

  • Server-Logdaten (z. B. IP-Adresse in Logs, Zeitstempel, angeforderte Ressourcen – je nach Hosting-Konfiguration)
  • Fehler- und Sicherheitsprotokolle (soweit aktiviert)
  • Browser- bzw. Geräteinformationen, soweit für den Betrieb der Web-App erforderlich

3.4 Besondere Funktionen (je nach Aktivierung)

Soweit in Ihrer Instanz genutzt, können zusätzlich Daten an Drittanbieter übermittelt werden:

  • Transaktions-E-Mails (z. B. Terminbestätigungen, Lead-Stufen-Mails) über den Dienst Resend (Versand über API; Inhalte und Empfänger richten sich nach Ihrer Konfiguration).
  • Sprachverarbeitung / KI: Für die Aufbereitung von Inhalten aus Audio kann Google Generative AI (Gemini) eingesetzt werden – dabei können Tonaufnahmen oder transkribierte Texte verarbeitet werden. Nutzung und Speicherung richten sich nach der konkreten Implementierung und Ihren Einstellungen; prüfen Sie die Datenschutzhinweise von Google und ob eine Datenverarbeitungsvereinbarung oder EU-spezifische Konfiguration erforderlich ist.
  • Zahlungsabwicklung über Stripe (Zahlungs- und Abo-Daten; Stripe fungiert als eigenständiger Verantwortlicher bzw. Auftragsverarbeiter gemäß seinen Bedingungen). Datenschutz bei Stripe
  • Integrationen wie Lexware oder Leadaro: Es werden je nach Einrichtung Schnittstellen- und Geschäftsdaten ausgetauscht (z. B. Rechnungsentwürfe, Webhooks für Leads). Umfang und Empfänger ergeben sich aus der jeweiligen Integration und den Verträgen mit diesen Anbietern.

4. Zwecke und Rechtsgrundlagen (Überblick)

Je nach Konstellation kommen insbesondere in Betracht:

Zweck (Beispiel)Rechtsgrundlage (typisch)
Bereitstellung des Dienstes, Vertrag mit dem Kundenunternehmen (Workspace)Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen)
Authentifizierung, Sicherheit, MissbrauchspräventionArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Erfüllung gesetzlicher Pflichten (z. B. handels- oder steuerrechtliche Aufbewahrung)Art. 6 Abs. 1 lit. c DSGVO
Marketing / Newsletter / optionale CookiesArt. 6 Abs. 1 lit. a DSGVO (Einwilligung), soweit erforderlich

Die konkrete Ausgestaltung (z. B. ob Einwilligungen für Cookies oder KI nötig sind) hängt von Ihrer Live-Konfiguration und dem Einsatzort ab.

5. Speicherdauer

  • Konten- und Geschäftsdaten werden gespeichert, solange das Nutzungsverhältnis besteht und danach nur soweit gesetzliche Aufbewahrungsfristen oder berechtigte Interessen (z. B. Beweise in Rechtsstreitigkeiten) dies erfordern.
  • Logdaten können nach einem festgelegten Rotationsschema gelöscht werden (in der Regel 30 Tage).
  • Stripe- und Resend-bezogene Metadaten richten sich nach den Aufbewahrungsregeln dieser Anbieter und Ihren Einstellungen.

Konkrete Fristen werden intern dokumentiert und können bei Bedarf gegenüber Betroffenen mitgeteilt werden.

6. Weitergabe von Daten / Auftragsverarbeitung

Zur Erbringung des Dienstes können personenbezogene Daten an Auftragsverarbeiter oder weitere Dienstleister übermittelt werden, insbesondere:

KategorieAnbieter (typisch in dieser Software)Zweck
Backend, Datenbank, Auth, DateispeicherSupabase Inc. (Supabase)Speicherung und Abruf der Anwendungsdaten, Authentifizierung
E-Mail-Versand (konfigurierbar)ResendTransaktions-E-Mails
Zahlungen / AbonnementsStripeAbrechnung
KI / Audioverarbeitung (falls genutzt)Google (Gemini / GenAI)Verarbeitung von Audio bzw. generierte Texte
Integration Buchhaltung (optional)Lexware (Haufe-Lexware)Datenaustausch je nach Integration
Lead-Übernahme (optional)Leadaro (über Webhooks)Einspeisung von Lead-Daten

Ergänzend kann ein Frontend-Hosting-Anbieter (z. B. für diese Website oder die App) eingesetzt werden; Rolle, Speicherorte und ggf. Drittlandbezug ergeben sich aus der jeweiligen Konfiguration und den Anbieterinformationen. Die gewählte Region bei Supabase (EU / USA / …) ist für Drittlandtransfers und Standardvertragsklauseln relevant.

Mit allen Auftragsverarbeitern sollten Verträge gem. Art. 28 DSGVO geschlossen werden, soweit erforderlich.

7. Drittlandtransfer

Sofern Datenverarbeitung außerhalb des Europäischen Wirtschaftsraums (EWR) stattfindet (z. B. bei US-Anbietern), erfolgt dies nur unter den Voraussetzungen der DSGVO, z. B. Angemessenheitsbeschluss, Standardvertragsklauseln (SCC) oder ausdrückliche Einwilligung, soweit anwendbar.

Für die Produktivumgebung sind insbesondere die gewählte Region, die Nutzung von Resend, Stripe und Google sowie die vertraglichen Garantien zu berücksichtigen. Bei Rückfragen wenden Sie sich an die Kontaktadresse in Abschnitt 1.

8. Sicherheit

Es werden technische und organisatorische Maßnahmen (TOM) eingesetzt, die dem Stand der Technik entsprechen, z. B.:

  • Verschlüsselte Übertragung (HTTPS)
  • Authentifizierung und rollenbasierte Zugriffskontrolle in der Anwendung
  • Row Level Security auf Datenbankebene (soweit in der Architektur vorgesehen)

Eine Garantie gegen alle Sicherheitsvorfälle kann nicht gegeben werden.

9. Ihre Rechte

Betroffene Personen haben – vorbehaltlich der gesetzlichen Voraussetzungen – insbesondere:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Außerdem besteht das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO), z. B. für Deutschland bei der für Sie zuständigen Landesbehörde.

Kontakt für die Geltendmachung der Rechte: siehe Abschnitt 1.

10. Cookies und lokale Speicherung

Die Anwendung kann Session-Informationen und notwendige technische Speicherung (z. B. im Browser oder über den Auth-Anbieter) verwenden, um Login-Status und Sicherheit zu gewährleisten. Soweit nicht notwendige Cookies oder Tracking eingesetzt werden, ist dies gesondert zu benennen und ggf. einwilligungspflichtig.

11. Änderungen

Diese Datenschutzerklärung kann angepasst werden, wenn sich der Dienst, die Rechtslage oder die eingesetzten Anbieter ändern. Es gilt die jeweils auf dieser Website unter /datenschutz veröffentlichte Fassung mit ausgewiesenem Standdatum. Das Impressum finden Sie separat.

12. Hinweis zur Aktualität

Vor der Veröffentlichung sollten insbesondere folgende Punkte zur Live-Umgebung konkretisiert und rechtlich geprüft werden:

  1. Vollständige Angaben zum Verantwortlichen (Abschnitt 1)
  2. URL dieser Erklärung und Verlinkung aus der Website
  3. Konkrete Auftragsverarbeiter und Hosting-Regionen
  4. Ob Google GenAI / Audio produktiv genutzt wird – dann eigener Unterpunkt mit Zweck, Speicherdauer und Opt-out
  5. Kontaktdaten für Betroffenenanfragen mit angemessener Bearbeitungsfrist