Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Immonerd GmbH (in Gründung)

Kerkrader Straße 9

35394 Gießen

Deutschland

Vertreten durch: Maximilian Fischer (Geschäftsführer)

E-Mail: team@immonerd.de

Telefon: +49 (0)176 96980129

Datenschutz

Die Betreiber dieser Plattform nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

SSL-/TLS-Verschlüsselung

Die Plattform nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an der Zeichenfolge „https://" und dem Schloss-Symbol in Ihrer Browserzeile.

Widerruf Ihrer Einwilligung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Vercel Inc.

Die Plattform wird bei Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA („Vercel") gehostet. Beim Aufruf der Plattform werden technisch notwendige Daten (IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL, Zeitpunkt des Aufrufs) automatisch erfasst und in Server-Logs verarbeitet.

Vercel ist nach dem EU-U.S. Data Privacy Framework zertifiziert, wodurch eine Übermittlung personenbezogener Daten in die USA auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission erfolgt. Zusätzlich wurde mit Vercel ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem zuverlässigen und sicheren Betrieb).

Weitere Informationen: vercel.com/legal/privacy-policy

a) Server-Log-Dateien

Beim Zugriff auf die Plattform werden automatisch Informationen in sogenannten Server-Log-Dateien erfasst, die Ihr Browser übermittelt. Dies sind:

• Browsertyp und Browserversion
• verwendetes Betriebssystem
• Referrer-URL
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Sicherheit der Plattform).

b) Cookies und vergleichbare Technologien

Diese Plattform verwendet ausschließlich technisch notwendige und funktionale Cookies. Es werden keine Marketing-, Werbe- oder Tracking-Cookies gesetzt. Folgende Cookies werden verwendet:

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch notwendige Cookies) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an benutzerfreundlicher Bedienung).

Sie können die Annahme von Cookies in Ihrem Browser jederzeit deaktivieren oder bereits gesetzte Cookies löschen. Dies kann die Funktionsfähigkeit der Plattform einschränken — insbesondere Login-Funktionen setzen aktivierte Cookies voraus.

Für die Nutzung der kostenpflichtigen Funktionen der Plattform ist die Einrichtung eines Nutzerkontos erforderlich. Bei der Registrierung verarbeiten wir insbesondere:

• Name, Vorname
• E-Mail-Adresse
• ggf. Unternehmensname
• Passwort (ausschließlich verschlüsselt gespeichert)
• Zeitpunkt der Registrierung sowie letzter Login

Authentifizierung und Kontoverwaltung erfolgen über den Dienst Supabase (Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992; bzw. für EU-Nutzer über europäische Rechenzentren). Mit Supabase besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Ein Transfer in Drittländer erfolgt ausschließlich unter Verwendung der EU-Standardvertragsklauseln sowie ergänzender Schutzmaßnahmen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. Durchführung vorvertraglicher Maßnahmen).

Weitere Informationen: supabase.com/privacy

Im Rahmen der Nutzung verarbeiten wir die von Ihnen eingegebenen oder hochgeladenen Inhalte, darunter:

• Objekt- und Projektdaten (Adressen, Kaufpreise, Zustand, Finanzkennzahlen)
• Aufgaben, Notizen, Kommentare
• Hochgeladene Dokumente, Exposés, PDFs, Bilder
• Kontaktdaten von Geschäftspartnern, Dienstleistern, Eigentümern, Interessenten
• Kommunikationsinhalte (E-Mail-Nachrichten innerhalb der Plattform)
• Kalkulationen, Sanierungsplanungen, Finanzierungsunterlagen

Die Inhalte werden in unserer Datenbank sowie unserem Storage-System (beides Supabase) gespeichert. Die Verarbeitung dient der Bereitstellung der vertraglichen Funktionen der Plattform.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Sofern Sie Daten Dritter (z. B. Kontakte, Eigentümer) einpflegen, sind Sie für deren datenschutzkonforme Erhebung und Einbindung verantwortlich. Wir agieren insoweit als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

a) Transaktions-E-Mails (SendGrid)

Für den Versand systembezogener E-Mails (z. B. Registrierungs-Bestätigungen, Passwort-Resets, Benachrichtigungen, Aufgabenerinnerungen) nutzen wir den Dienst SendGrid (Twilio Inc., 101 Spear Street, Fifth Floor, San Francisco, CA 94105, USA). Mit Twilio besteht ein AVV nach Art. 28 DSGVO. Twilio ist nach dem EU-U.S. Data Privacy Framework zertifiziert.

b) Ein- und ausgehender E-Mail-Verkehr aus der Plattform

Die Plattform bietet die Möglichkeit, E-Mails im Kontext einer Immobilie oder eines Kontakts direkt aus der Anwendung heraus zu empfangen und zu versenden. Eingehende E-Mails werden über eine dedizierte Domain über SendGrid Inbound Parse empfangen, verarbeitet und dem entsprechenden Nutzerkonto und Projekt zugeordnet. Ausgehende E-Mails werden ebenfalls über SendGrid versendet.

c) Anbindung eigener SMTP-Server

Nutzer können optional eigene SMTP-Zugangsdaten (z. B. Gmail, Outlook, Yahoo oder eigene Server) hinterlegen, um E-Mails unter ihrer eigenen Absenderadresse zu versenden. Diese Zugangsdaten werden verschlüsselt in der Datenbank gespeichert und ausschließlich zum Versand der vom Nutzer initiierten E-Mails verwendet. Sie können diese Daten in den Einstellungen jederzeit ändern oder löschen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässigem Kommunikationsbetrieb).

Die Plattform bietet KI-gestützte Funktionen zur automatisierten Analyse von Dokumenten und Objektinformationen (z. B. Auslesen von Kennzahlen aus Exposés, Extraktion von Objektdaten aus PDFs). Für diese Funktionen nutzen wir die API des Dienstes OpenRouter (OpenRouter, Inc., San Francisco, CA, USA).

OpenRouter ist ein Routing-Dienst, der API-Anfragen an verschiedene nachgelagerte KI-Modellanbieter (z. B. Anthropic, OpenAI, Google, Meta) weiterleitet. Welches Modell im Einzelfall eingesetzt wird, hängt von der jeweiligen Funktion in der Anwendung ab und kann sich ändern.

Die analysierten Inhalte werden an OpenRouter und über OpenRouter an das für die jeweilige Anfrage ausgewählte Modell übermittelt. Nach den Nutzungsbedingungen von OpenRouter werden API-Daten nicht zum Training der Modelle verwendet, solange die entsprechende Option in den Account-Einstellungen deaktiviert bleibt. Für den Transfer in die USA bestehen mit OpenRouter sowie mit den von OpenRouter eingesetzten Modellanbietern die in Ziffer 13 genannten Garantien.

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt. KI-generierte Ergebnisse sind unverbindlich und werden vom Nutzer geprüft und verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Automatisierung üblicher Analyse-Aufgaben).

Weitere Informationen: openrouter.ai/privacy

Zur Darstellung von Kartenansichten, Straßenzügen und Standortinformationen von Immobilien nutzen wir die Dienste Google Maps und Google Street View (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland).

Bei der Nutzung von Google Maps werden Ihre IP-Adresse und weitere technische Daten an Google-Server übermittelt (in der Regel in den USA). Mit Google besteht ein AVV gemäß Art. 28 DSGVO. Google ist nach dem EU-U.S. Data Privacy Framework zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an komfortabler Bereitstellung von Kartendiensten für Objektstandorte).

Weitere Informationen: policies.google.com/privacy

Zur Messung der Zugriffszahlen und allgemeinen Nutzung der Plattform verwenden wir Vercel Analytics (Vercel Inc., USA). Vercel Analytics arbeitet ohne Cookies und ohne individuelle Nutzer-Identifikatoren. Die Besucheridentifikation erfolgt serverseitig über eine tagesweise rotierende, pseudonymisierte Kennung, die aus IP-Adresse, User-Agent und einer seiteninternen Salt-ID abgeleitet wird und nicht auf einzelne Personen zurückführbar ist.

Erfasst werden ausschließlich aggregierte Kennzahlen wie Seitenaufrufe pro URL, Herkunftsland, Referrer und Browsertyp. Eine individuelle Profilbildung findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an statistischer Auswertung der Plattformnutzung zur Optimierung des Angebots).

Weitere Informationen: vercel.com/legal/privacy-policy

Im eingeloggten Bereich der Plattform steht Ihnen ein Support-Formular zur Verfügung, über das Sie Fehler melden oder Feedback einreichen können. Beim Absenden eines Support-Tickets werden folgende Daten an unseren Ticket-Dienstleister JetBrains YouTrack Cloud (JetBrains s.r.o., Na Hřebenech II 1718/10, 14000 Prag, Tschechien) übermittelt:

• Ihre Beschreibung des Anliegens
• User-Agent (Browser und Betriebssystem)
• aktuelle URL, auf der das Ticket erstellt wurde
• ggf. letzte Browser-Konsolen-Fehlermeldungen zur Fehleranalyse
• ggf. ein von Ihnen beigefügter Screenshot
• Ihre Nutzerkennung

Die Daten dienen ausschließlich der Bearbeitung Ihres Support-Anliegens. Mit JetBrains besteht ein AVV gemäß Art. 28 DSGVO. Die Daten werden in EU-Rechenzentren von JetBrains gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Support als Vertragsbestandteil) sowie Art. 6 Abs. 1 lit. f DSGVO (Sicherstellung des Plattformbetriebs).

Weitere Informationen: jetbrains.com/legal/docs/company/privacy

Für die Abwicklung kostenpflichtiger Funktionen (Abonnements, Einmalzahlungen) nutzen wir den Zahlungsdienstleister Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland). Rechnungs- und Zahlungsdaten werden ausschließlich bei Stripe verarbeitet und dort gespeichert; wir selbst legen keine Bank-, Kreditkarten- oder Abrechnungsdaten in eigenen Systemen ab.

Übermittelt werden typischerweise: Name, E-Mail-Adresse, Rechnungsadresse, gewähltes Abo-Modell, Betrag, sowie die vom Nutzer direkt an Stripe übergebenen Zahlungsdaten (z. B. Kreditkartendaten, SEPA-Lastschriftmandat). Die Zahlungsdaten werden nicht an uns übertragen — wir erhalten von Stripe nur den Zahlungsstatus und eine Transaktions-ID.

Die Datenverarbeitung in der EU erfolgt durch die irische Gesellschaft. Eine Übermittlung an die US-amerikanische Stripe, Inc. kann im Einzelfall erfolgen und stützt sich auf die Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Stripe ist zudem nach dem EU-U.S. Data Privacy Framework zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Pflichten, insbesondere handels- und steuerrechtlicher Aufbewahrungspflichten).

Weitere Informationen: stripe.com/de/privacy

Einzelne der oben genannten Dienstleister haben ihren Sitz in den USA oder können Daten in den USA verarbeiten (u. a. Vercel, Twilio/SendGrid, Google, OpenRouter sowie die von OpenRouter eingesetzten Modellanbieter, ggf. Stripe Inc.). Für diese Datenübermittlungen liegen jeweils eine der folgenden Garantien vor:

• Zertifizierung nach dem EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission)
• Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO
• gegebenenfalls ergänzende technische Schutzmaßnahmen

Trotz dieser Maßnahmen weisen wir darauf hin, dass US-Behörden unter bestimmten Voraussetzungen Zugriffsrechte auf Daten haben können, die in den USA oder bei US-Dienstleistern verarbeitet werden.

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder wie es gesetzliche Aufbewahrungspflichten vorsehen:

• Nutzerkontodaten (Name, E-Mail, Profil, Einstellungen): für die Dauer des Vertragsverhältnisses. Bei Kontolöschung oder auf Antrag nach Art. 17 DSGVO werden die Daten umgehend entfernt — wir selbst speichern keine Buchungs- oder Zahlungsdaten, die einer handels- oder steuerrechtlichen Aufbewahrungspflicht unterlägen.
• Objekt- und Projektdaten: solange das Nutzerkonto besteht. Bei Löschung des Kontos oder eines einzelnen Objekts werden die Daten umgehend entfernt; eine längere Aufbewahrung findet nicht statt.
• Server-Log-Dateien: 14 Tage, sofern nicht zur Sicherheitsuntersuchung länger erforderlich.
• Support-Tickets: bis zu 3 Jahre nach Ticket-Schließung.
• Rechnungs- und Vertragsdaten: Die Zahlungsabwicklung erfolgt ausschließlich über unseren Zahlungsdienstleister Stripe. Rechnungen und zugehörige Stammdaten werden dort gemäß der gesetzlichen Aufbewahrungsfristen nach §147 AO (10 Jahre) bzw. §257 HGB (6 Jahre) vorgehalten. In unserer eigenen Datenbank werden diese Daten nicht gespeichert.

Ihnen stehen im Rahmen der DSGVO folgende Rechte zu:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können die Herausgabe Ihrer Daten in einem strukturierten, gängigen Format verlangen.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen.
• Widerruf von Einwilligungen: Sie können erteilte Einwilligungen jederzeit widerrufen.

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an team@immonerd.de.

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Für die Immonerd GmbH zuständig ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Gustav-Stresemann-Ring 1

65189 Wiesbaden

datenschutz.hessen.de

Wir treffen geeignete technische und organisatorische Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen. Dazu gehören insbesondere:

• TLS-Verschlüsselung für alle Datenübertragungen
• rollenbasierte Zugriffskontrollen (Row-Level Security auf Datenbankebene)
• verschlüsselte Speicherung sensibler Daten (z. B. SMTP-Zugangsdaten, Passwörter)
• regelmäßige Aktualisierung eingesetzter Software und Dependencies
• Content-Security-Policy und weitere Schutz-Header im Browser
• getrennte Zugangskontrollen für produktive Systeme

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Die KI-gestützten Funktionen der Plattform dienen der Unterstützung und Automatisierung wiederkehrender Auswertungsaufgaben; alle Ergebnisse sind unverbindlich und werden vom Nutzer eigenverantwortlich geprüft und verwendet.

Wir passen diese Datenschutzerklärung an, wenn sich die technischen oder rechtlichen Rahmenbedingungen ändern (etwa bei Einführung neuer Dienste oder Gesetzesänderungen). Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar. Wesentliche Änderungen kommunizieren wir zusätzlich über die Plattform oder per E-Mail.