Rechtliches

Datenschutz­erklärung

Verantwortlich: Agora UG (haftungsbeschränkt) i.G., Augsburg
Stand: 11. Juni 2026
Version: 1.1
Hinweis: Diese Datenschutzerklärung ist eine Vorlage und muss vor produktivem Einsatz an die konkret eingesetzten Dienste, Cookies und Schnittstellen angepasst sowie durch eine fachkundige Datenschutzberatung geprüft werden.

§ 1 Überblick & Geltungsbereich

Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir verarbeiten, wenn Sie unsere Website agora-software.de besuchen oder unsere Software-as-a-Service-Plattform „Agora" nutzen.

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und der einschlägigen nationalen Vorschriften.

Personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

§ 2 Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Website und in der Plattform ist:

Bei Fragen zum Datenschutz erreichen Sie uns jederzeit unter der oben genannten E-Mail-Adresse.

§ 3 Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Grundlage der folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung der betroffenen Person (z. B. Newsletter)
  • Art. 6 Abs. 1 lit. b DSGVO — Erfüllung eines Vertrags oder vorvertragliche Maßnahmen (z. B. Plattform-Nutzung, Bestellung)
  • Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen Verpflichtung (z. B. handels- und steuerrechtliche Aufbewahrungspflichten)
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (z. B. sichere Bereitstellung der Website, Missbrauchsprävention)

§ 4 Kategorien verarbeiteter Daten

Je nach Nutzung verarbeiten wir insbesondere folgende Kategorien personenbezogener Daten:

  • Stammdaten (Vor- und Nachname, Firma, Rolle, geschäftliche E-Mail-Adresse)
  • Kontakt- und Kommunikationsdaten (Telefonnummer, Nachrichteninhalte)
  • Zugangsdaten (Benutzername, Passwort-Hashes, Authentifizierungs-Token)
  • Nutzungsdaten (aufgerufene Seiten, Zeitpunkt der Nutzung, IP-Adresse, Browser-/Geräte-Informationen)
  • Inhalts- und Projektdaten (Pläne, Marker, Aufgaben, Anhänge, Bautagebuch-Einträge)
  • Vertrags- und Abrechnungsdaten (Tarif, Rechnungsdaten, Zahlungsstatus)

§ 5 Hosting & Server-Logs

Diese Website wird gehostet bei der Vercel Inc., 340 Pine Street, Suite 900, San Francisco, CA 94104, USA. Vercel ist als Auftragsverarbeiter gemäß Art. 28 DSGVO vertraglich gebunden (DPA: vercel.com/legal/dpa). Die Serverless-Functions werden in der EU-Region Frankfurt (fra1) ausgeführt; statische Assets werden über Vercels Edge-Netzwerk weltweit ausgeliefert.

Die Übermittlung von Daten in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO) sowie des EU-US Data Privacy Framework (DPF), dem Vercel beigetreten ist.

Bei jedem Seitenaufruf erhebt der Webserver automatisch technisch notwendige Verbindungsdaten (Server-Logs):

  • IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und HTTP-Statuscode
  • Übertragene Datenmenge
  • Referrer-URL (sofern übermittelt)
  • User-Agent (Browser- und Betriebssystem-Informationen)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse besteht in der sicheren und stabilen Bereitstellung der Dienste sowie der Abwehr missbräuchlicher Zugriffe. Server-Logs werden nach maximal 30 Tagen gelöscht oder anonymisiert.

§ 6 Cookies, Tracking & Web-Analyse

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Plattform und der Website erforderlich sind (z. B. Session- und Authentifizierungs-Cookies). Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TTDSG in Verbindung mit Art. 6 Abs. 1 lit. b und f DSGVO.

Wir setzen keine Tracking-, Marketing- oder Analyse-Cookies ein. Ein Consent-Banner ist aus diesem Grund nicht erforderlich.

Vercel Web Analytics

Diese Website nutzt Vercel Web Analytics, einen cookiefreien Analysedienst der Vercel Inc. (USA). Vercel Web Analytics erhebt keine personenbezogenen Profile, verwendet keine geräteübergreifende Verfolgung und setzt keine Cookies. Die erhobenen aggregierten Metriken (Seitenaufrufe, Herkunftsland, verwendetes Gerät) enthalten keine direkt personenbeziehbaren Informationen.

Da kein Personenbezug hergestellt wird und keine Cookies gesetzt werden, ist nach unserer Einschätzung kein Consent-Banner gemäß § 25 TTDSG erforderlich. Rechtsgrundlage für die damit verbundene minimale Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der anonymen Nutzungsanalyse zur Verbesserung des Angebots).

Die Datenverarbeitung erfolgt durch Vercel Inc. (USA) auf Basis der EU-Standardvertragsklauseln (SCCs) sowie des EU-US Data Privacy Framework. Nähere Informationen: vercel.com/docs/analytics/privacy-policy.

§ 7 Nutzerkonto, Login & Plattform-Nutzung

Zur Nutzung der Plattform Agora ist die Anlage eines Nutzerkontos erforderlich. Dafür verarbeiten wir die bei der Registrierung angegebenen Stammdaten sowie alle Daten, die im Zuge der Plattform-Nutzung anfallen (Inhalte, Projektdaten, Kommunikation).

Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Daten werden für die Dauer der Vertragsbeziehung sowie im Rahmen der gesetzlichen Aufbewahrungsfristen verarbeitet.

Inhalte des Kunden werden nicht für eigene Zwecke des Anbieters verwendet, insbesondere nicht zum Training von KI-Modellen.

Authentifizierung via Supabase Auth

Die Authentifizierung erfolgt über Supabase Auth (Supabase Inc., 970 Toa Payoh North, #07-04, Singapur, und EU-Region Frankfurt/eu-central-1). Verarbeitete Daten: E-Mail-Adresse, Passwort-Hash, Refresh- und Access-Token. Session-Daten werden im Browser gespeichert (localStorage). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Supabase ist als Auftragsverarbeiter nach Art. 28 DSGVO vertraglich gebunden (DPA: supabase.com/legal/dpa).

§ 8 Kontaktaufnahme & Formulare

Wenn Sie uns per E-Mail oder über ein Kontaktformular (z. B. Kontakt-, Demo- oder Enterprise-Anfrage) kontaktieren, verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, Firma, Nachrichteninhalt) ausschließlich zur Bearbeitung Ihrer Anfrage.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage).

Formular-Daten werden in Supabase (EU-Region Frankfurt) gespeichert. Die Benachrichtigungsmail an unser Team wird über Resend Inc. (USA) versendet; Resend ist als Auftragsverarbeiter nach Art. 28 DSGVO vertraglich gebunden (DPA: resend.com/legal/dpa). Die Übermittlung an Resend erfolgt auf Basis der EU-Standardvertragsklauseln.

Zur Missbrauchsabwehr (Rate-Limiting) speichern wir einen pseudonymisierten Hash Ihrer IP-Adresse (SHA-256 mit serverseitigem Geheimnis). Die IP-Adresse im Klartext wird nicht gespeichert. Der Hash erlaubt keine Rückrechnung auf die Original-IP. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Anfragen werden gelöscht, sobald sie nicht mehr erforderlich sind, spätestens nach 24 Monaten, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

§ 9 Newsletter

Sofern Sie sich für unseren Newsletter eingetragen haben, verarbeiten wir Ihre E-Mail-Adresse und gegebenenfalls Ihren Namen, um Ihnen Produkt-Updates und Informationen zukommen zu lassen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Die Einwilligung erfolgt im Double-Opt-in-Verfahren: Nach Eintragung erhalten Sie eine Bestätigungs-Mail mit einem Link, der 72 Stunden gültig ist. Erst mit Ihrem Klick auf diesen Link wird die Anmeldung wirksam. Zum Nachweis der Einwilligung speichern wir den Zeitpunkt der Bestätigung sowie eine pseudonymisierte (gehashte) IP-Adresse des Bestätigungsklicks.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, etwa über den Abmeldelink in jedem Newsletter oder per Nachricht an info@agora-software.de.

§ 10 KI-Chat-Assistent

Diese Website bietet einen KI-gestützten Chat-Assistenten. Die Verarbeitung der Chat-Eingaben erfolgt durch die Anthropic PBC, 548 Market St PMB 90375, San Francisco, CA 94104, USA, als Auftragsverarbeiter (Commercial Terms & DPA: anthropic.com/legal/commercial-terms). Die Übermittlung erfolgt auf Basis der EU-Standardvertragsklauseln.

Chat-Eingaben werden an Anthropics API übertragen und zur Generierung der Antworten verwendet. Auf Seite der Website werden keine Chat-Verläufe dauerhaft gespeichert; die Konversation ist auf die jeweilige Browser-Sitzung begrenzt. Die Datenschutzpraktiken von Anthropic (z. B. Trainings-Opt-out) finden Sie unter anthropic.com/privacy.

Hinweis: Bitte geben Sie im Chat keine personenbezogenen Daten (z. B. Passwörter, Sozialversicherungsnummern, vertrauliche Geschäftsdaten) ein. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung des Support-Assistenten).

§ 11 Auftragsverarbeitung

Soweit wir personenbezogene Daten unserer Kunden in deren Auftrag verarbeiten (z. B. wenn Bauleiter Daten ihrer Mitarbeitenden und Subunternehmer in der Plattform speichern), schließen wir mit dem jeweiligen Kunden einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ab.

Die Auftragsverarbeitungsverträge mit unseren Unterauftragsverarbeitern werden derzeit finalisiert. Eine AVV-Vorlage für Kunden stellen wir auf Anfrage zur Verfügung.

§ 12 Eingesetzte Dienstleister

Zur Erbringung unserer Dienste setzen wir folgende Dienstleister ein. Mit allen bestehen bzw. werden derzeit Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen:

  • Vercel Inc. (USA) — Hosting, CDN, Serverless-Functions. DPA: vercel.com/legal/dpa. EU-US DPF + SCCs. EU-Functions-Region: Frankfurt (fra1).
  • Supabase Inc. (EU-Region Frankfurt/eu-central-1) — Datenbank, Authentifizierung, Storage. DPA: supabase.com/legal/dpa.
  • Anthropic PBC (USA) — KI-Chat-Backend (LLM). DPA: anthropic.com/legal/commercial-terms. SCCs.
  • Resend Inc. (USA) — Transaktionale E-Mails (Benachrichtigungen bei Formular-Eingang). DPA: resend.com/legal/dpa. SCCs.

Schriften (lokal gehostet)

Diese Website verwendet die Schriftart Inter (rsms/inter). Die Schrift wird ausschließlich vom eigenen Server ausgeliefert — es findet kein Verbindungsaufbau zu Google Fonts oder anderen externen Font-Diensten statt. Es werden keine Daten an Dritte übermittelt.

Karten (externer Link)

Die Standortkarte auf der „Über uns"-Seite ist als statische Darstellung umgesetzt; es wird kein Google-Maps-iframe eingebettet. Beim Klick auf „Route planen" öffnet sich Google Maps als externer Link in einem neuen Tab. Die Datenverarbeitung durch Google erfolgt erst nach diesem bewussten Klick und unterliegt den Datenschutzbestimmungen von Google (policies.google.com/privacy).

§ 13 Übermittlung in Drittländer

Einige der unter § 12 genannten Dienstleister haben ihren Sitz in den USA (Vercel, Anthropic, Resend). Alle Übermittlungen in die USA erfolgen auf Basis der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Vercel und Resend sind zusätzlich dem EU-US Data Privacy Framework (DPF) beigetreten, das von der EU-Kommission als angemessenes Schutzniveau anerkannt ist.

Supabase verarbeitet die Hauptdaten in der EU-Region Frankfurt; ein Drittlandtransfer findet für diese Verarbeitungsvorgänge nicht statt.

§ 14 Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist oder eine gesetzliche Aufbewahrungspflicht besteht.

Konkret bedeutet das:

  • Vertragsdaten: bis zum Ende des Vertrags sowie für die Dauer der gesetzlichen Aufbewahrungsfristen (i. d. R. bis zu zehn Jahre nach Handels- und Steuerrecht)
  • Plattform-Inhalte (Pläne, Marker, Dokumente): während der Vertragslaufzeit; 30 Tage nach Vertragsende zur Export-Möglichkeit, anschließend unwiderrufliche Löschung
  • Server-Logs: maximal 30 Tage
  • Anfragen per E-Mail: maximal 24 Monate
  • Newsletter-Daten: bis zum Widerruf der Einwilligung

§ 15 Ihre Rechte als betroffene Person

Ihnen stehen nach der DSGVO folgende Rechte zu:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Recht, eine erteilte Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an info@agora-software.de.

§ 16 Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderweitiger Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Für uns zuständig ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

§ 17 Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen (TOM) ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder unbefugten Zugriff zu schützen. Hierzu gehören insbesondere die Verschlüsselung der Übertragung (TLS) und der Datenspeicherung, Zugriffskontrollen, regelmäßige Backups sowie laufende Sicherheits-Audits.

Unsere Sicherheitsmaßnahmen werden fortlaufend an die technische Entwicklung angepasst.

§ 18 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage, unsere Dienste oder die Datenverarbeitung ändern. Die jeweils aktuelle Fassung ist unter dieser URL einsehbar. Wesentliche Änderungen kündigen wir den Nutzern in geeigneter Form an.