Datenschutzerklärung

Präambel

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten.

Stand: Mai 2026

Verantwortlicher

Philipp Paul
Zillertalstraße 37
13187 Berlin
E-Mail: info@vergabo.de
Website: https://www.vergabo.de

Arten der verarbeiteten Daten

• Bestandsdaten (z.B. Namen, Adressen, Organisationsbezeichnungen)
• Kontaktdaten (z.B. E-Mail-Adressen, Telefonnummern)
• Inhaltsdaten (z.B. Auftragsbeschreibungen, Angebote, Kalkulationen)
• Nutzungsdaten (z.B. Seitenaufrufe, Zugriffszeiten)
• Meta- und Kommunikationsdaten (z.B. IP-Adressen, Geräteinformationen)
• Vertragsdaten (z.B. Vertragsgegenstand, Laufzeit, Kundenkategorie)
• Zahlungsdaten (z.B. Bankverbindungen, Rechnungen)
• Dokumente (z.B. Gewerbeanmeldungen, Versicherungsnachweise, Meisterbriefe)

Zwecke der Verarbeitung

• Bereitstellung und Betrieb der Vergabo-Plattform
• Durchführung von Vergabeverfahren nach UVgO
• Authentifizierung und Kontoverwaltung
• Kommunikation zwischen Auftraggebern und Anbietern
• Erstellung von Vergabeprotokollen und Audit-Logs
• Abrechnung und Zahlungsabwicklung
• Erfüllung gesetzlicher Verpflichtungen
• Sicherheit und Missbrauchsprävention

Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Verarbeitung zur Bereitstellung unserer Plattformleistungen
• Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: z.B. steuerrechtliche Aufbewahrungspflichten
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen: z.B. Sicherheit der Plattform, Missbrauchsprävention
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: z.B. für optionale Benachrichtigungen

Registrierung und Nutzerkonto

Zur Nutzung von Vergabo ist eine Registrierung erforderlich. Dabei erheben wir folgende Daten:

Auftraggeber (Kommunen, Schulen, Behörden):

• Organisationsname und -typ
• Name und Kontaktdaten des Ansprechpartners
• Postleitzahl, Ort und Bundesland
• E-Mail-Adresse und Passwort
• Telefonnummer (optional)

Anbieter (Handwerksbetriebe und Dienstleister):

• Firmenname, Inhaber, Rechtsform
• Vollständige Geschäftsadresse
• Steuernummer und USt-ID (optional)
• Angebotene Gewerke und Aktionsradius
• E-Mail-Adresse und Passwort
• Firmenlogo (optional)
• Bankverbindung (optional, für Angebots-PDFs)

Vergabeverfahren und Auftragsdaten

Im Rahmen von Vergabeverfahren werden folgende Daten verarbeitet:

• Auftragsbeschreibungen, Leistungsverzeichnisse und Anhänge
• Angebote inkl. Kalkulationen und Preisangaben
• Eignungsnachweise und Eigenerklärungen
• Wertungsmatrizen und Zuschlagsentscheidungen
• Vergabeprotokolle und Audit-Logs
• Einladungsdaten (Firmenname, ggf. Name und E-Mail-Adresse eingeladener Betriebe) zur Dokumentation des Teilnehmerkreises nach § 6 UVgO
• Rückfragen und Kommunikation zwischen den Parteien

Diese Daten werden ausschließlich zur Durchführung des jeweiligen Vergabeverfahrens sowie zur Erfüllung der gesetzlichen Dokumentationspflicht (§ 6 UVgO) verarbeitet und gespeichert. Rechtsgrundlage für die Verarbeitung von Einladungsdaten ist Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) in Verbindung mit der vergaberechtlichen Dokumentationspflicht.

Eigenerklärungen und Nachweise

Anbieter können auf der Plattform Eigenerklärungen und Nachweise (z.B. Gewerbeanmeldung, Haftpflichtversicherung, Meisterbrief) hinterlegen. Diese Dokumente werden:

• Verschlüsselt auf Servern in der EU gespeichert
• Durch Vergabo-Administratoren geprüft und freigegeben
• Im Rahmen von Vergabeverfahren den einladenden Auftraggebern zugänglich gemacht
• Ausschließlich für den genannten Zweck verwendet

Auftragsverarbeitung

Wir haben mit folgenden Dienstleistern Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen:

• Vercel Inc. (San Francisco, USA) – Hosting und Deployment. Datenübertragung in die USA auf Basis der EU-Standardvertragsklauseln.
• Supabase Inc. – Datenbank, Authentifizierung und Dateispeicherung. Server in Frankfurt, Deutschland.
• Resend Inc. – E-Mail-Versand. Übermittlung von E-Mail-Adressen zum Zweck des Versands von Benachrichtigungen.

Webhosting und Serverlogfiles

Unsere Website wird bei Vercel gehostet. Bei jedem Aufruf werden automatisch folgende Daten erfasst und in Serverlogfiles gespeichert:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit der Anfrage
• Aufgerufene URL
• HTTP-Statuscode
• Übertragene Datenmenge
• Browser und Betriebssystem

Diese Daten werden nach 30 Tagen automatisch gelöscht.

Adresssuche (Geocoding)

Zur Vereinfachung der Adresseingabe bieten wir eine Vorschlagsfunktion an. Während der Eingabe wird das von Ihnen getippte Adressfragment an die Photon-Schnittstelle der Komoot GmbH (Berlin, Deutschland) übermittelt, um passende Adressvorschläge zu erhalten. Die Datenbasis ist OpenStreetMap. Die Verarbeitung findet auf Servern in Deutschland (EU) statt; es werden keine Cookies gesetzt und es findet keine Übermittlung in ein Drittland statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Eingabeunterstützung im Rahmen der Vertragsdurchführung). Die Funktion wird ausschließlich bei aktiver Adresseingabe ausgelöst; ohne Adresseingabe werden keine Daten übermittelt.

Passwortsicherheit (Datenleck-Prüfung)

Bei der Registrierung prüfen wir Ihr gewähltes Passwort darauf, ob es in bekannten Datenlecks aufgetaucht ist, und warnen Sie gegebenenfalls. Dies geschieht datensparsam nach dem k-Anonymitäts-Verfahren über die „Pwned Passwords"-Schnittstelle von Have I Been Pwned (technisch ausgeliefert über Cloudflare): Ihr Browser berechnet den SHA-1-Hash des Passworts lokal und übermittelt ausschließlich dessen erste fünf Zeichen – niemals das Passwort selbst oder den vollständigen Hash. Ein Rückschluss auf das Passwort oder Ihre Person ist dadurch technisch ausgeschlossen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Zugangsdaten). Die Prüfung erfolgt nur während der Passworteingabe; ohne Eingabe werden keine Daten übermittelt.

Cookies und Authentifizierung

Wir verwenden ausschließlich technisch notwendige Cookies für die Authentifizierung (Session-Cookies). Diese Cookies sind für den Betrieb der Plattform zwingend erforderlich und können nicht deaktiviert werden. Es werden keine Marketing-, Tracking- oder Analyse-Cookies eingesetzt.

Reichweitenmessung mit Vercel Web Analytics

Wir nutzen Vercel Web Analytics zur Analyse der Nutzung unserer Website. Der Dienst arbeitet vollständig ohne Cookies und ohne die Erhebung personenbezogener Daten. Es werden ausschließlich aggregierte, anonyme Nutzungsdaten erfasst (z.B. Seitenaufrufe und aufgerufene Seiten). Eine Identifizierung einzelner Besucher oder eine geräteübergreifende Zusammenführung von Daten findet nicht statt. Anbieter ist die Vercel Inc., mit der ein Auftragsverarbeitungsvertrag besteht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der statistischen Auswertung der Websitenutzung).

Benachrichtigungen

Nutzer erhalten E-Mail- und In-App-Benachrichtigungen zu Ereignissen auf der Plattform (z.B. neue Bewerbungen, Zuschläge, Einladungen). Die Benachrichtigungseinstellungen können jederzeit im Dashboard unter "Einstellungen" angepasst werden.

Speicherdauer

Wir speichern personenbezogene Daten nur so lange wie es für die jeweiligen Zwecke erforderlich ist:

• Nutzerdaten: Bis zur Löschung des Kontos
• Vergabedaten: 10 Jahre (gesetzliche Aufbewahrungspflicht für öffentliche Auftraggeber)
• Rechnungen und Zahlungsdaten: 10 Jahre (§ 147 AO)
• Serverlogfiles: 30 Tage

Recht auf Löschung

Nutzer können ihr Konto und alle zugehörigen Daten jederzeit löschen:

• Über die Funktion "Konto löschen" im Dashboard
• Per E-Mail an info@vergabo.de

Sind Sie an keinem abgeschlossenen Vergabeverfahren beteiligt, werden Ihr Konto und alle zugehörigen Daten unwiderruflich gelöscht. Waren Sie an einem abgeschlossenen Verfahren (Zuschlag erteilt) beteiligt, wird Ihr Zugang gelöscht und Ihre personenbezogenen Kontaktdaten werden entfernt bzw. anonymisiert. Die Unterlagen des abgeschlossenen Vergabeverfahrens (z. B. Angebot, Wertung, Vergabeprotokoll) müssen wir jedoch aufgrund gesetzlicher Aufbewahrungspflichten noch bis zu 10 Jahre aufbewahren (Art. 17 Abs. 3 lit. b DSGVO) und löschen sie erst nach Fristablauf endgültig.

Rechte der betroffenen Personen

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO) – Sie können Auskunft über Ihre gespeicherten Daten verlangen
• Berichtigungsrecht (Art. 16 DSGVO) – Sie können unrichtige Daten berichtigen lassen
• Recht auf Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer Daten verlangen
• Recht auf Einschränkung (Art. 18 DSGVO) – Sie können die Verarbeitung einschränken lassen
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Sie können Ihre Daten in einem strukturierten Format erhalten
• Widerspruchsrecht (Art. 21 DSGVO) – Sie können der Verarbeitung widersprechen

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@vergabo.de

Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Die zuständige Behörde für Berlin ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
E-Mail: mailbox@datenschutz-berlin.de

Sicherheitsmaßnahmen

Wir setzen folgende technische und organisatorische Sicherheitsmaßnahmen ein:

• Verschlüsselte Datenübertragung über HTTPS/TLS
• Verschlüsselte Datenspeicherung
• Row Level Security (RLS) in der Datenbank
• Zugriffsbeschränkungen auf Basis von Nutzerrollen
• Signierte URLs für private Dateizugriffe
• Regelmäßige Sicherheitsupdates

Änderung der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche oder technische Änderungen ergeben. Die aktuelle Version ist stets unter vergabo.de/datenschutz abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.