Datenschutzerklärung

Stand: 20. März 2026

1. Verantwortlicher

Moritz Knape
Einzelunternehmen (in Gründung)
Braunschweig, Niedersachsen, Deutschland

E-Mail: datenschutz@rappo.app
Telefon: +49 174 5320747

2. Übersicht der Verarbeitungen

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb unserer Webseite und der darauf angebotenen SaaS-Anwendung Rappo (nachfolgend zusammen als „Dienst“ bezeichnet), erreichbar unter https://rappo.app.

Rappo ist eine Progressive Web App zur digitalen Erfassung von Arbeitsberichten, Projektdokumentation und Zeiterfassung für Bauunternehmen. Der Dienst umfasst sowohl die öffentliche Landing Page als auch den geschützten Anwendungsbereich für registrierte Nutzer.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Basis folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Sofern Sie uns eine Einwilligung zur Verarbeitung erteilt haben, z. B. für Analyse-Cookies oder den Newsletter.
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Soweit die Verarbeitung zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen erforderlich ist, insbesondere bei der Nutzung unserer SaaS-Anwendung.
  • Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Soweit wir einer rechtlichen Verpflichtung unterliegen, z. B. steuer- oder handelsrechtliche Aufbewahrungspflichten.
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich ist, z. B. für die technische Bereitstellung und Sicherheit des Dienstes.
  • § 25 Abs. 1 TDDDG (Einwilligung für Cookies): Soweit der Zugriff auf Informationen auf Ihrem Endgerät oder die Speicherung von Informationen auf Ihrem Endgerät nicht unbedingt erforderlich ist.
  • § 25 Abs. 2 TDDDG (Technisch notwendige Cookies): Soweit der Zugriff auf Informationen oder die Speicherung auf dem Endgerät unbedingt erforderlich ist.

4. Kategorien verarbeiteter Daten

4.1 Beim Besuch der Website (Landing Page und App)

Bei jedem Zugriff auf unseren Dienst werden automatisch folgende Daten erhoben und in Server-Logfiles gespeichert:

  • IP-Adresse (ggf. anonymisiert)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene Seite / URL
  • Referrer-URL (zuvor besuchte Seite)
  • Verwendeter Browser und Browserversion
  • Verwendetes Betriebssystem
  • Übertragene Datenmenge
  • Statuscode des Zugriffs (z. B. 200, 404)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technisch fehlerfreien Bereitstellung und Optimierung des Dienstes sowie der Gewährleistung der Sicherheit unserer IT-Systeme.

Speicherdauer: Server-Logfiles werden nach spätestens 30 Tagen gelöscht, sofern keine weitergehende Aufbewahrung zu Beweiszwecken erforderlich ist.

4.2 Bei Registrierung und Nutzung des SaaS-Dienstes

Wenn Sie sich für Rappo registrieren oder von Ihrem Arbeitgeber als Nutzer angelegt werden, verarbeiten wir:

  • Stammdaten: Vor- und Nachname, E-Mail-Adresse, Telefonnummer (optional)
  • Zugangsdaten: E-Mail-Adresse als Benutzername, Passwort (verschlüsselt gespeichert, niemals im Klartext)
  • Organisationsdaten: Zugehörigkeit zu einer Organisation, zugewiesene Benutzerrolle, zugewiesene Projekte
  • Arbeitsberichtsdaten: Datum, Arbeitszeiten (Beginn, Ende, Pausen), ausgewählte Projekte, durchgeführte Tätigkeiten, Wetterbedingungen, Anmerkungen, eingereichte Status-Informationen
  • Bilddaten: Hochgeladene Fotos (Nachweisbilder, Mängelbilder) inkl. Dateimetadaten
  • GPS-Daten: Standortdaten bei der Erfassung von Arbeitsberichten (sofern vom Nutzer freigegeben, derzeit noch nicht aktiv)
  • Protokolldaten: Genehmigungsvermerke, Ablehnungsgründe, Zeitstempel aller Statusänderungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Verarbeitung ist erforderlich, um den vereinbarten SaaS-Dienst bereitzustellen.

Speicherdauer: Ihre Daten werden gespeichert, solange Ihr Nutzerkonto besteht und der Vertrag mit der Organisation läuft. Nach Vertragsende werden die Daten innerhalb von 90 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. steuerrechtlich: 10 Jahre gemäß §§ 147 AO, 257 HGB; arbeitsrechtlich: bis zu 3 Jahre gemäß § 195 BGB).

4.3 Bei Kontaktaufnahme

Wenn Sie uns per E-Mail oder über ein Kontaktformular kontaktieren, verarbeiten wir Ihre Angaben (Name, E-Mail-Adresse, Nachrichteninhalt) zur Bearbeitung Ihrer Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

Speicherdauer: Ihre Anfragedaten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

4.4 Bei Abschluss eines Vertrags (SaaS-Abonnement)

Beim Abschluss eines kostenpflichtigen Abonnements verarbeiten wir zusätzlich:

  • Rechnungsanschrift
  • Zahlungsinformationen (werden ausschließlich durch unseren Zahlungsdienstleister Stripe verarbeitet, wir speichern keine Kreditkarten- oder Kontodaten)
  • Rechnungen und Zahlungshistorie

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (steuer- und handelsrechtliche Aufbewahrungspflichten).

Speicherdauer: Rechnungsdaten werden 10 Jahre aufbewahrt (§§ 147 AO, 257 HGB).

5. Auftragsverarbeitung im Rahmen des SaaS-Dienstes

Rappo wird von Unternehmen (Organisationen) eingesetzt, um die Arbeitsberichte ihrer Mitarbeiter digital zu erfassen und zu verwalten. In diesem Verhältnis ist die Organisation der Verantwortliche im Sinne der DSGVO, und Rappo (Moritz Knape) ist der Auftragsverarbeiter gemäß Art. 28 DSGVO.

Wir schließen mit jedem Organisationskunden einen Auftragsverarbeitungsvertrag (AVV) ab, der die Art und den Zweck der Verarbeitung, die Kategorien betroffener Personen und Daten sowie die technischen und organisatorischen Maßnahmen (TOM) regelt.

Die betroffenen Personen im Rahmen der Auftragsverarbeitung sind insbesondere:

  • Mitarbeiter der Organisation
  • Führungskräfte und Bauleiter der Organisation
  • Personalverantwortliche der Organisation

6. Empfänger und Drittlandtransfers

6.1 Hosting: Vercel Inc.

Unser Dienst wird über die Cloud-Plattform Vercel gehostet. Bei jedem Zugriff auf unseren Dienst werden Daten über Server von Vercel verarbeitet.

  • Anbieter: Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA
  • Verarbeitete Daten: IP-Adressen, Zugriffsdaten, übertragene Inhalte
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung des Dienstes)
  • Drittlandtransfer: USA. Vercel ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
  • DPA: https://vercel.com/legal/dpa
  • Datenschutzerklärung: https://vercel.com/legal/privacy-policy

6.2 Datenbank, Authentifizierung und Dateispeicher: Supabase Inc.

Für Datenbankverwaltung, Benutzer-Authentifizierung und Dateispeicherung (hochgeladene Bilder) nutzen wir Supabase.

  • Anbieter: Supabase Inc., San Francisco, CA, USA
  • Serverstandort: EU (Frankfurt, Deutschland)
  • Verarbeitete Daten: Alle im Rahmen der SaaS-Anwendung gespeicherten Daten (Nutzerkonten, Arbeitsberichte, Projekte, Bilder)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Drittlandtransfer: Die Daten werden primär im EU-Rechenzentrum in Frankfurt verarbeitet und gespeichert. Zugriff durch Supabase-Personal aus Drittländern ist durch Standardvertragsklauseln (SCC) abgesichert.
  • DPA: https://supabase.com/legal/dpa
  • Datenschutzerklärung: https://supabase.com/privacy

6.3 Webanalyse: Vercel Analytics

Wir nutzen Vercel Analytics zur Analyse des Nutzungsverhaltens auf unserer Website. Vercel Analytics sammelt anonymisierte Daten über Besucherzahlen, Seitenaufrufe und Nutzungsmuster. Der Dienst verwendet keine Cookies und speichert keine personenbezogenen Daten im Browser.

  • Anbieter: Vercel Inc. (siehe oben)
  • Verarbeitete Daten: Anonymisierte Zugriffsdaten (Seitenaufrufe, Verweiser, Standort auf Länderebene, Betriebssystem, Browser)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse und Optimierung unseres Dienstes). Da Vercel Analytics keine Cookies setzt und keine personenbezogenen Daten speichert, ist eine Einwilligung nach § 25 TDDDG nicht erforderlich.
  • Drittlandtransfer: USA (siehe Abschnitt 6.1)

6.4 Webanalyse: Google Analytics

Wir nutzen Google Analytics, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“). Google Analytics verwendet Cookies und ähnliche Technologien, die auf Ihrem Endgerät gespeichert werden und eine Analyse der Benutzung unseres Dienstes ermöglichen.

  • Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA)
  • Verarbeitete Daten: IP-Adresse (anonymisiert durch IP-Anonymisierung), Geräteinformationen, Nutzungsdaten (Seitenaufrufe, Verweildauer, Absprungrate), Standortdaten (auf Stadtebene), Referrer, demografische Daten (sofern aktiviert)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und § 25 Abs. 1 TDDDG (Einwilligung für die Speicherung von Cookies). Google Analytics wird erst nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Banner aktiviert.
  • IP-Anonymisierung: Wir verwenden Google Analytics mit der Erweiterung zur IP-Anonymisierung. Ihre IP-Adresse wird innerhalb der EU/des EWR vor der Übermittlung an Google-Server gekürzt.
  • Drittlandtransfer: USA. Google ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich bestehen Standardvertragsklauseln (SCC).
  • Widerspruch: Sie können die Erfassung durch Google Analytics verhindern, indem Sie Ihre Einwilligung im Cookie-Banner verweigern oder widerrufen. Alternativ können Sie das Browser-Add-on von Google zur Deaktivierung von Google Analytics herunterladen: https://tools.google.com/dlpage/gaoptout
  • Speicherdauer: Die von uns gesendeten und mit Cookies verknüpften Daten werden nach 14 Monaten automatisch gelöscht. Die Löschung von Daten, deren Aufbewahrungsdauer erreicht ist, erfolgt automatisch einmal im Monat.
  • Datenschutzerklärung: https://policies.google.com/privacy
  • Nutzungsbedingungen: https://marketingplatform.google.com/about/analytics/terms/de/

6.5 E-Mail-Versand: Resend

Für den Versand transaktionaler E-Mails (z. B. Passwort-Zurücksetzung, Benachrichtigungen) nutzen wir Resend.

  • Anbieter: Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA
  • Verarbeitete Daten: E-Mail-Adresse, Name, E-Mail-Inhalt
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, soweit die E-Mail zur Erbringung des Dienstes erforderlich ist)
  • Drittlandtransfer: USA. Resend ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Standardvertragsklauseln (SCC) sind vereinbart.
  • Datenschutzerklärung: https://resend.com/legal/privacy-policy
  • Hinweis: Der E-Mail-Versand ist derzeit noch nicht aktiviert. Sollte er aktiviert werden, wird dies in dieser Datenschutzerklärung aktualisiert.

6.6 Zahlungsabwicklung (geplant): Stripe

Für die Abwicklung von Zahlungen planen wir den Einsatz von Stripe.

  • Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland
  • Verarbeitete Daten: Zahlungsdaten (Kreditkarten-/Kontoinformationen werden ausschließlich durch Stripe verarbeitet und nicht auf unseren Servern gespeichert), Rechnungsadresse, Transaktionshistorie
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Drittlandtransfer: Stripe verarbeitet Daten primär in der EU. Soweit Daten in die USA übermittelt werden, ist Stripe unter dem EU-US DPF zertifiziert.
  • Datenschutzerklärung: https://stripe.com/de/privacy

7. Cookies und Einwilligungsmanagement

7.1 Technisch notwendige Cookies

Unser Dienst verwendet technisch notwendige Cookies, die für den Betrieb der Website und der Anwendung unerlässlich sind:

  • Session-Cookies: Enthalten verschlüsselte Sitzungsdaten zur Authentifizierung eingeloggter Nutzer. Ohne diese Cookies ist die Nutzung des geschützten Anwendungsbereichs nicht möglich.
  • Sicherheits-Cookies: Schützen vor webseitenübergreifenden Angriffen (CSRF-Schutz).

Rechtsgrundlage: § 25 Abs. 2 TDDDG (unbedingt erforderlich) i.V.m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Speicherdauer: Session-Cookies werden bei Abmeldung oder nach Ablauf der Sitzung automatisch gelöscht.

7.2 Analyse-Cookies

Google Analytics setzt Cookies auf Ihrem Endgerät, die eine Analyse Ihrer Nutzung unseres Dienstes ermöglichen. Diese Cookies werden ausschließlich nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Banner gesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (Einwilligung).

7.3 Cookie-Banner / Einwilligungsmanagement

Beim ersten Besuch unseres Dienstes wird Ihnen ein Cookie-Banner angezeigt, über den Sie Ihre Einwilligung für nicht notwendige Cookies erteilen oder verweigern können. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen erneut aufrufen.

8. Sicherheit der Verarbeitung (Technische und organisatorische Maßnahmen)

Wir treffen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

  • Verschlüsselung: Alle Datenübertragungen erfolgen ausschließlich über verschlüsselte Verbindungen (TLS/HTTPS). Passwörter werden nach aktuellem Stand der Technik verschlüsselt gespeichert.
  • Zugriffskontrolle: Ein rollenbasiertes Berechtigungssystem stellt sicher, dass Nutzer nur auf Daten zugreifen können, die ihrer Organisation und Rolle zugeordnet sind. Es besteht eine strikte Mandantentrennung.
  • Schutz vor Angriffen: Unsere Systeme sind durch Maßnahmen gegen Brute-Force-Angriffe, Injection-Angriffe und weitere gängige Bedrohungen geschützt. Alle Nutzereingaben werden serverseitig validiert.
  • Protokollierung: Sicherheitsrelevante Aktionen werden zu Nachvollziehbarkeitszwecken protokolliert.
  • Serverstandort: Die primäre Datenbank und der Dateispeicher befinden sich in einem Rechenzentrum in Frankfurt am Main, Deutschland (EU).
  • Datensicherung: Automatische tägliche Backups gewährleisten die Wiederherstellbarkeit der Daten.

9. Ihre Rechte als betroffene Person

Ihnen stehen gemäß DSGVO folgende Rechte zu:

9.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die bei uns zu Ihrer Person gespeicherten personenbezogenen Daten zu erhalten, einschließlich einer Kopie dieser Daten.

9.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

9.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt, z. B. wenn die Daten für den ursprünglichen Verarbeitungszweck nicht mehr erforderlich sind.

9.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen gegeben ist.

9.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Rappo unterstützt den Export Ihrer Daten als PDF und Excel.

9.6 Widerspruchsrecht (Art. 21 DSGVO)

Sofern wir Ihre personenbezogenen Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen.

9.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

9.8 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde. Die für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon: +49 511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Website: https://www.lfd.niedersachsen.de

10. Pflicht zur Bereitstellung von Daten

Die Bereitstellung personenbezogener Daten ist teilweise gesetzlich vorgeschrieben (z. B. steuerrechtliche Vorschriften) oder kann sich aus vertraglichen Regelungen ergeben. Im Rahmen der Nutzung unseres SaaS-Dienstes ist die Bereitstellung bestimmter Daten (Name, E-Mail-Adresse, Arbeitszeitdaten) erforderlich, um den Dienst erbringen zu können. Ohne diese Daten können wir den Dienst nicht bereitstellen.

11. Automatisierte Entscheidungsfindung / Profiling

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO statt.

12. Minderjährige

Unser Dienst richtet sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen.

13. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslagen, technische Änderungen oder Änderungen unseres Dienstes anzupassen. Die jeweils aktuelle Fassung ist auf unserer Website abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail oder In-App-Benachrichtigung informiert.

14. Kontakt für Datenschutzanfragen

Für alle Fragen zum Datenschutz, zur Ausübung Ihrer Betroffenenrechte oder bei Beschwerden wenden Sie sich bitte an:

Moritz Knape
E-Mail: datenschutz@rappo.app
Telefon: +49 174 5320747

Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang, beantworten (Art. 12 Abs. 3 DSGVO).