Datenschutzerklärung
Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13, 14 DSGVO
Inhaltsverzeichnis
- Verantwortlicher und Datenschutzbeauftragter
- Welche Daten wir verarbeiten
- Zwecke und Rechtsgrundlagen
- Speicherdauer
- Übermittlung in Drittländer (USA)
- Auftragsverarbeiter und Drittanbieter
- Cookies und Tracking
- KI-gestützte Dokumentenanalyse
- Ihre Rechte als Betroffener
- Datensicherheit
- Aufsichtsbehörde
- Änderungen dieser Datenschutzerklärung
1. Verantwortlicher und Datenschutzbeauftragter
Verantwortlicher im Sinne der DSGVO:
[FIRMENNAME] [RECHTSFORM]
[STRASSE_NUMMER]
[PLZ] [STADT]
Deutschland
E-Mail: [EMAIL]
Telefon: [TELEFON]
Datenschutzbeauftragter:
Bei Fragen zum Datenschutz wenden Sie sich bitte an:
[DATENSCHUTZ_EMAIL]
2. Welche Daten wir verarbeiten
Wir verarbeiten folgende Kategorien personenbezogener Daten:
| Datenkategorie | Beschreibung | Erfassung |
|---|---|---|
| Account-Daten | E-Mail-Adresse, vollständiger Name, Passwort (verschlüsselt) | Bei Registrierung |
| Profil-Daten | Abonnement-Stufe, Nutzerrolle, Präferenzen | Bei Nutzung |
| Session-Daten | Session-Tokens, Refresh-Tokens, Login-Zeitstempel | Bei Anmeldung |
| Dokument-Uploads | Hochgeladene PDFs, JPG, PNG (Grundrisse, Energieausweise, Verträge) | Bei Upload im KI-Assistenten |
| Nutzungsdaten | Immobiliensuchen, Adressen, Analyse-Anfragen, Kategorie-Klicks | Bei Plattform-Nutzung |
| Standortdaten | Geo-Koordinaten (für Karte), IP-Adresse | Bei Kartennutzung |
| Analytics-Daten | Event-Typ, Zeitstempel, Viewport-Änderungen (nur eingeloggte Nutzer) | Bei Plattform-Nutzung |
| Technische Daten | Browser-Typ, Betriebssystem, Geräte-Informationen, User-Agent | Automatisch |
Wichtig: Wir erfassen nur die minimal notwendigen Daten zur Bereitstellung unserer Dienste. Eine Datenverarbeitung über das notwendige Maß hinaus erfolgt nur mit Ihrer ausdrücklichen Einwilligung.
3. Zwecke und Rechtsgrundlagen der Verarbeitung
Ihre Daten werden ausschließlich für folgende Zwecke verarbeitet:
3.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
- Benutzerkonto-Verwaltung: Registrierung, Authentifizierung, Account-Verwaltung
- Dienstleistungsbereitstellung: KI-basierte Immobilienanalysen, Standortbewertungen, Kartenvisualisierung
- Kommunikation: Kundensupport, Service-Benachrichtigungen
- Abonnement-Verwaltung: Verwaltung Ihres Abonnements und Abrechnungen
3.2 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
- KI-Dokumentenanalyse: Analyse hochgeladener Immobiliendokumente durch Anthropic Claude
- KI-Modell-Training (optional): Nutzung Ihrer Daten zur Verbesserung von KI-Modellen (Sie können jederzeit widersprechen)
3.3 Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
- Nutzungsanalyse: Verbesserung unserer Dienste, Fehlerbehebung, Performance-Optimierung
- Sicherheit: Betrugsprävention, Account-Schutz (z.B. Login-Sperrung bei fehlerhaften Versuchen)
- Kartendienste: Bereitstellung interaktiver Karten (Mapbox)
3.4 Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
- Steuerrechtliche Aufbewahrungspflichten: Speicherung von Rechnungsdaten gemäß § 147 AO
- Handelsrechtliche Aufbewahrungspflichten: Aufbewahrung von Geschäftsdokumenten gemäß § 257 HGB
Widerruf Ihrer Einwilligung: Sofern die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
4. Speicherdauer
Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:
| Datenkategorie | Speicherdauer |
|---|---|
| Account-Daten | Bis zur Löschung Ihres Accounts + gesetzliche Aufbewahrungsfristen |
| Session-Tokens (Cookies) | 7-30 Tage (je nach Einstellung "Angemeldet bleiben") |
| Dokument-Uploads | Temporär bis zur Analyse-Fertigstellung, danach automatische Löschung |
| Analytics-Daten | [ANALYTICS_RETENTION] (z.B. 12 Monate) |
| Chat-Verlauf (KI-Assistent) | Bis zur manuellen Löschung oder Account-Löschung |
| Backup-Daten | [BACKUP_RETENTION] (z.B. 30 Tage) |
| Anthropic AI-Daten (ohne Opt-In) | 30 Tage |
| Anthropic AI-Daten (mit Opt-In) | Bis zu 5 Jahre (für Modell-Training) |
Gesetzliche Aufbewahrungsfristen: In einigen Fällen sind wir gesetzlich verpflichtet, Daten für einen bestimmten Zeitraum aufzubewahren (z.B. 10 Jahre für Rechnungen). In diesen Fällen sperren wir die Daten für andere Zwecke und löschen sie nach Ablauf der Frist.
5. Übermittlung personenbezogener Daten in Drittländer (USA)
Einige unserer Dienstleister haben ihren Sitz außerhalb der Europäischen Union (USA). Die Datenübermittlung in diese Drittländer erfolgt auf Basis geeigneter Garantien gemäß Art. 44 ff. DSGVO:
5.1 Anthropic (KI-Analyse)
Empfänger: Anthropic PBC, San Francisco, California, USA
Übermittelte Daten: Hochgeladene Dokumente (PDFs, Bilder), Chat-Nachrichten, Konversationsverläufe
Zweck: KI-gestützte Analyse von Immobiliendokumenten
Rechtsgrundlage für Übermittlung: Standardvertragsklauseln (SCCs) der EU-Kommission / EU-US Data Privacy Framework
Datenschutzniveau: Anthropic Privacy Policy
5.2 Mapbox (Kartendienste)
Empfänger: Mapbox Inc., Washington DC, USA
Übermittelte Daten: IP-Adressen, Geo-Koordinaten, Browser-Informationen
Zweck: Interaktive Kartenvisualisierung, Geocoding
Rechtsgrundlage für Übermittlung: Standardvertragsklauseln (SCCs)
Datenschutzniveau: Mapbox Privacy Policy
Speicherdauer: IP-Adressen 30 Tage, anonyme IDs 36 Monate
5.3 Google Fonts
Empfänger: Google LLC, Mountain View, California, USA
Übermittelte Daten: IP-Adresse, Browser-Informationen
Zweck: Laden der Schriftart "Inter" für einheitliche Darstellung
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an professioneller Darstellung
Datenschutzniveau: Google Privacy Policy
Ihre Rechte: Sie können eine Kopie der Garantien (z.B. Standardvertragsklauseln) anfordern unter: [DATENSCHUTZ_EMAIL]
6. Auftragsverarbeiter und Drittanbieter
Wir arbeiten mit folgenden Auftragsverarbeitern zusammen, die in unserem Auftrag personenbezogene Daten verarbeiten:
6.1 Hetzner (Hosting)
Dienstleister: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
Verarbeitete Daten: Alle auf unserer Plattform gespeicherten Daten (Datenbank, Dateien, Logs)
Zweck: Server-Hosting, Datenbank-Hosting
Standort: Deutschland (EU)
Auftragsverarbeitungsvertrag (AVV): Abgeschlossen gemäß Art. 28 DSGVO
Weitere Informationen: Hetzner Datenschutzerklärung | Hetzner AVV (PDF)
6.2 PostgreSQL/PostGIS Datenbank
Verarbeitung: Selbst gehostet auf Hetzner-Servern
Verarbeitete Daten: Alle strukturierten Daten (Nutzerkonten, Flurstücke, Gebäude, Exposés)
Standort: Deutschland (EU)
6.3 SerpAPI (optional - Vergleichsobjekte)
Dienstleister: SerpApi LLC
Verarbeitete Daten: Suchanfragen (Standort, Immobilientyp)
Zweck: Suche nach Vergleichsobjekten
Aktivierung: Nur bei expliziter Nutzung der Funktion "Vergleichsobjekte suchen"
7. Cookies und Tracking
7.1 Welche Cookies wir verwenden
Unsere Website verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung. Es findet kein Tracking zu Marketing- oder Werbezwecken statt.
| Cookie-Name | Zweck | Typ | Laufzeit |
|---|---|---|---|
refreshToken |
Session-Verwaltung, sichere Authentifizierung | Essential (httpOnly) | 7-30 Tage |
sessionToken |
Session-Identifikation | Essential (httpOnly) | 7 Tage |
7.2 Cookie-Einstellungen
Rechtsgrundlage: Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Diese Cookies sind technisch notwendig, damit Sie sich anmelden und unsere Dienste nutzen können.
httpOnly-Schutz: Unsere Authentifizierungs-Cookies sind als "httpOnly" markiert, d.h. sie können nicht von JavaScript gelesen werden. Dies schützt vor Cross-Site-Scripting (XSS)-Angriffen.
SameSite-Schutz: Cookies verwenden SameSite=Lax, um Cross-Site-Request-Forgery (CSRF)-Angriffe zu verhindern.
Keine Einwilligung erforderlich: Da wir ausschließlich technisch notwendige Cookies verwenden, ist kein Cookie-Banner erforderlich. Sie können Cookies jederzeit in Ihren Browser-Einstellungen deaktivieren, dies kann jedoch die Funktionalität der Website einschränken.
7.3 Analytics
Wir nutzen ein selbst gehostetes Analytics-System (keine Weitergabe an Dritte), das folgende Daten erhebt (nur für eingeloggte Nutzer):
- Karten-Ladezeiten
- Kategorie-Klicks
- Viewport-Änderungen (Karten-Interaktionen)
- IP-Adresse (anonymisiert nach [ANALYTICS_RETENTION])
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Verbesserung unserer Dienste.
Widerspruchsrecht: Sie können der Verarbeitung Ihrer Nutzungsdaten jederzeit widersprechen unter: [DATENSCHUTZ_EMAIL]
8. KI-gestützte Dokumentenanalyse
Unsere Plattform bietet eine KI-gestützte Analyse von Immobiliendokumenten. Dabei werden Ihre hochgeladenen Dokumente durch künstliche Intelligenz (Anthropic Claude) verarbeitet.
8.1 Wie funktioniert die KI-Analyse?
- Upload: Sie laden Dokumente (PDFs, Grundrisse, Energieausweise) in unserem KI-Assistenten hoch
- Übermittlung: Die Dokumente werden verschlüsselt (HTTPS) an Anthropic (USA) übermittelt
- Verarbeitung: Anthropic's Claude AI analysiert die Dokumente und extrahiert relevante Informationen
- Rückgabe: Die Analyse-Ergebnisse werden Ihnen angezeigt
- Löschung: Hochgeladene Dateien werden nach der Analyse automatisch von unserem Server gelöscht
8.2 Welche Daten werden übermittelt?
- Inhalte der hochgeladenen Dokumente
- Ihre Chat-Nachrichten und Fragen
- Konversationsverlauf (zur Kontextualisierung)
8.3 Datenspeicherung bei Anthropic
Standard (ohne Opt-In):
- Ihre Daten werden 30 Tage gespeichert
- Werden NICHT für KI-Training verwendet
Mit Opt-In (freiwillig):
- Daten können bis zu 5 Jahre gespeichert werden
- Werden zur Verbesserung der KI-Modelle verwendet
- Sie können jederzeit widersprechen
8.4 Keine automatisierten Entscheidungen
Die KI-Analyse dient ausschließlich zur Informationsgewinnung und Empfehlung. Es werden keine automatisierten Entscheidungen mit rechtlicher Wirkung getroffen. Investitionsentscheidungen liegen vollständig in Ihrer Verantwortung.
8.5 Ihre Rechte
- Widerruf: Sie können Ihre Einwilligung zur KI-Analyse jederzeit widerrufen
- Opt-Out KI-Training: Sie können der Nutzung Ihrer Daten für KI-Training widersprechen (in Ihren Profil-Einstellungen oder per E-Mail)
- Menschliche Überprüfung: Sie können eine menschliche Überprüfung der KI-Ergebnisse anfordern
Wichtiger Hinweis zur Dokumentensicherheit: Laden Sie keine Dokumente hoch, die besonders sensible personenbezogene Daten enthalten (z.B. Gesundheitsdaten, strafrechtliche Verurteilungen), es sei denn, dies ist für die Analyse zwingend erforderlich.
9. Ihre Rechte als Betroffener
Gemäß der DSGVO stehen Ihnen folgende Rechte zu:
9.1 Recht auf Auskunft (Art. 15 DSGVO)
Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten sowie auf folgende Informationen:
- Verarbeitungszwecke
- Kategorien personenbezogener Daten
- Empfänger oder Kategorien von Empfängern
- Geplante Speicherdauer
- Herkunft der Daten (falls nicht bei Ihnen erhoben)
Antwortfrist: Wir beantworten Ihre Anfrage innerhalb von 1 Monat.
9.2 Recht auf Berichtigung (Art. 16 DSGVO)
Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Dies können Sie auch selbst in Ihren Account-Einstellungen vornehmen.
9.3 Recht auf Löschung / "Recht auf Vergessenwerden" (Art. 17 DSGVO)
Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, wenn:
- Die Daten für die Zwecke nicht mehr erforderlich sind
- Sie Ihre Einwilligung widerrufen haben
- Sie der Verarbeitung widersprochen haben
- Die Daten unrechtmäßig verarbeitet wurden
Ausnahmen: Das Löschungsrecht besteht nicht, soweit die Verarbeitung erforderlich ist zur Erfüllung rechtlicher Verpflichtungen (z.B. Aufbewahrungspflichten) oder zur Geltendmachung von Rechtsansprüchen.
9.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie können die Einschränkung der Verarbeitung verlangen, wenn:
- Sie die Richtigkeit der Daten bestreiten (für die Dauer der Überprüfung)
- Die Verarbeitung unrechtmäßig ist, Sie aber keine Löschung wünschen
- Wir die Daten nicht mehr benötigen, Sie diese aber zur Geltendmachung von Rechtsansprüchen benötigen
9.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Dies umfasst:
- Account-Daten (JSON-Format)
- Analyse-Historie
- Gespeicherte Favoriten und Präferenzen
Sie können die Übertragung dieser Daten an einen anderen Dienstanbieter verlangen, soweit dies technisch machbar ist.
9.6 Widerspruchsrecht (Art. 21 DSGVO)
Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen, wenn die Verarbeitung auf berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) beruht. Dies betrifft insbesondere:
- Analytics und Nutzungsanalyse
- Personalisierung
Direktmarketing: Sie haben ein absolutes Widerspruchsrecht gegen die Verarbeitung Ihrer Daten zu Direktmarketingzwecken.
9.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Sofern die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
Betrifft insbesondere:
- KI-Dokumentenanalyse
- Nutzung von Daten für KI-Training (Opt-Out jederzeit möglich)
9.8 Recht auf menschliche Überprüfung bei automatisierten Entscheidungen (Art. 22 DSGVO)
Sie haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie erheblich beeinträchtigt.
In unserem Fall: Unsere KI-Analysen sind rein informativ und treffen keine automatisierten Entscheidungen mit rechtlicher Wirkung. Dennoch können Sie jederzeit eine menschliche Überprüfung der Ergebnisse anfordern.
9.9 Ausübung Ihrer Rechte
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:
E-Mail: [DATENSCHUTZ_EMAIL]
Betreff: "Betroffenenrecht - [Ihr Anliegen]"
Antwortfrist: Wir beantworten Ihre Anfrage innerhalb von 1 Monat. Bei komplexen Anfragen können wir die Frist um weitere 2 Monate verlängern (mit Begründung).
Identitätsnachweis: Zum Schutz Ihrer Daten können wir Sie bitten, Ihre Identität nachzuweisen, bevor wir Ihrer Anfrage nachkommen (z.B. durch Bestätigung Ihrer E-Mail-Adresse).
10. Datensicherheit
Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen Verlust, Zerstörung, Manipulation und unbefugten Zugriff zu schützen:
10.1 Technische Maßnahmen
- TLS/HTTPS-Verschlüsselung: Alle Datenübertragungen erfolgen verschlüsselt (TLS 1.3)
- Passwort-Hashing: Passwörter werden mit bcrypt gehasht und niemals im Klartext gespeichert
- httpOnly-Cookies: Session-Cookies sind vor JavaScript-Zugriff geschützt (XSS-Schutz)
- SameSite-Cookies: Schutz vor Cross-Site-Request-Forgery (CSRF)
- Account-Sperrung: Automatische Sperrung bei wiederholten Fehlversuchen
- Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC)
- Regelmäßige Backups: Automatisierte Datensicherungen mit [BACKUP_RETENTION] Aufbewahrung
10.2 Organisatorische Maßnahmen
- Zugriffsberechtigungen: Nur autorisierte Mitarbeiter haben Zugriff auf personenbezogene Daten
- Schulungen: Regelmäßige Datenschutz-Schulungen unserer Mitarbeiter
- Vertraulichkeitsverpflichtungen: Alle Mitarbeiter sind zur Vertraulichkeit verpflichtet
- Incident Response: Notfallplan für Datenschutzverletzungen
10.3 Datenschutzverletzungen (Data Breach)
Im Falle einer Datenschutzverletzung, die ein hohes Risiko für Ihre Rechte und Freiheiten darstellt, werden wir:
- Die zuständige Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen
- Sie unverzüglich über die Verletzung informieren
- Maßnahmen zur Schadensbegrenzung ergreifen
11. Aufsichtsbehörde und Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.
Zuständige Aufsichtsbehörde:
[BUNDESLAND_DATENSCHUTZBEHOERDE]
(wird basierend auf Ihrem Standort eingefügt)
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI):
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Graurheindorfer Str. 153
53117 Bonn
Telefon: +49 (0)228 997799-0
E-Mail: poststelle@bfdi.bund.de
Website: https://www.bfdi.bund.de
Hinweis: Das Beschwerderecht besteht unbeschadet anderer verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.
12. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienste sowie der Datenverarbeitung anzupassen.
Benachrichtigung bei wesentlichen Änderungen:
- Bei wesentlichen Änderungen werden wir Sie per E-Mail oder prominentem Hinweis auf der Website informieren
- Die jeweils aktuelle Datenschutzerklärung finden Sie stets unter /datenschutz.html
- Das Datum der letzten Aktualisierung finden Sie am Ende dieser Seite
Empfehlung: Wir empfehlen Ihnen, diese Datenschutzerklärung regelmäßig zu lesen, um über den Schutz Ihrer Daten informiert zu bleiben.