ImmoPrüfungDatenschutzerklärung
Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst und behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.
§1 Verantwortlicher
ImmoPrüfung, betrieben von LeadMedia LLC, 5830 E 2ND ST, STE. 7000 #511, CASPER, WY 82609, USA — E-Mail: [email protected]
§2 Erhobene Daten
- E-Mail-Adresse (bei Registrierung)
- Hochgeladene Dokumente (Exposés, Grundbuchauszüge etc.)
- IP-Adresse (Server-Logs)
- Zahlungsdaten (über Stripe, nicht direkt bei uns gespeichert)
§3 Verarbeitungszwecke
- Bereitstellung des Analyse-Dienstes
- Authentifizierung und Kontoverwaltung
- Zahlungsabwicklung
- Kommunikation und Support
§4 Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Analyse und Authentifizierung
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Server-Logs und Sicherheit
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für steuerrechtliche Aufbewahrung
§5 Auftragsverarbeiter
Google LLC (Gemini API)
Zweck: KI-Analyse
Standort: USA
Grundlage: SCCs (Art. 46 DSGVO)
Supabase Inc.
Zweck: Datenbank, Auth, Storage
Standort: EU (Frankfurt)
Grundlage: Art. 28 DSGVO
Stripe Inc.
Zweck: Zahlungsabwicklung
Standort: EU/USA
Grundlage: SCCs (Art. 46 DSGVO)
Microsoft Corporation (Clarity)
Zweck: Heatmaps, Session-Aufzeichnungen, UX-Analyse
Standort: EU/USA
Grundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Plausible Insights OÜ
Zweck: Cookielose Website-Analytics (keine personenbezogenen Daten)
Standort: EU (Estland)
Grundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Sentry (Functional Software Inc.)
Zweck: Fehlerüberwachung, Performance-Monitoring (keine PII)
Standort: EU (Frankfurt)
Grundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Brevo (Sendinblue SAS)
Zweck: Transaktionale E-Mails (Bestätigungen, Rechnungen, Magic-Link, Newsletter-Drip)
Standort: EU (Frankreich)
Grundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) + Art. 6 Abs. 1 lit. a (Newsletter-Einwilligung)
Resend, Inc.
Zweck: Reservekanal für transaktionale E-Mails (Fallback)
Standort: USA
Grundlage: SCCs (Art. 46 DSGVO) + Art. 6 Abs. 1 lit. b DSGVO
Cloudflare, Inc.
Zweck: CDN, DDoS-Schutz, DNS-Resolution, Edge-Caching (keine persistierten PII)
Standort: EU/USA
Grundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — IT-Sicherheit) + EU-US DPF
IDrive Inc. (IDrive E2)
Zweck: S3-kompatibler Object-Storage für hochgeladene Immobilien-Dokumente (verschlüsselt)
Standort: EU (Frankfurt, eu-fra-1)
Grundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
PayPal (Europe) S.à.r.l. et Cie, S.C.A.
Zweck: Alternativer Zahlungsdienstleister (neben Stripe)
Standort: EU (Luxemburg) — Daten teilweise an PayPal USA
Grundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) + SCCs (Art. 46 DSGVO) für USA-Transfer
| Anbieter | Zweck | Standort | Grundlage |
|---|---|---|---|
| Google LLC (Gemini API) | KI-Analyse | USA | SCCs (Art. 46 DSGVO) |
| Supabase Inc. | Datenbank, Auth, Storage | EU (Frankfurt) | Art. 28 DSGVO |
| Stripe Inc. | Zahlungsabwicklung | EU/USA | SCCs (Art. 46 DSGVO) |
| Microsoft Corporation (Clarity) | Heatmaps, Session-Aufzeichnungen, UX-Analyse | EU/USA | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Plausible Insights OÜ | Cookielose Website-Analytics (keine personenbezogenen Daten) | EU (Estland) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Sentry (Functional Software Inc.) | Fehlerüberwachung, Performance-Monitoring (keine PII) | EU (Frankfurt) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Brevo (Sendinblue SAS) | Transaktionale E-Mails (Bestätigungen, Rechnungen, Magic-Link, Newsletter-Drip) | EU (Frankreich) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) + Art. 6 Abs. 1 lit. a (Newsletter-Einwilligung) |
| Resend, Inc. | Reservekanal für transaktionale E-Mails (Fallback) | USA | SCCs (Art. 46 DSGVO) + Art. 6 Abs. 1 lit. b DSGVO |
| Cloudflare, Inc. | CDN, DDoS-Schutz, DNS-Resolution, Edge-Caching (keine persistierten PII) | EU/USA | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — IT-Sicherheit) + EU-US DPF |
| IDrive Inc. (IDrive E2) | S3-kompatibler Object-Storage für hochgeladene Immobilien-Dokumente (verschlüsselt) | EU (Frankfurt, eu-fra-1) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| PayPal (Europe) S.à.r.l. et Cie, S.C.A. | Alternativer Zahlungsdienstleister (neben Stripe) | EU (Luxemburg) — Daten teilweise an PayPal USA | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) + SCCs (Art. 46 DSGVO) für USA-Transfer |
§6 Speicherdauer
- Hochgeladene Dokumente: 90 Tage nach Analyse
- Analyseergebnisse: 2 Jahre
- Server-Logs: 30 Tage
- Zahlungsdaten (bei Stripe): gemäß gesetzlicher Aufbewahrungspflicht (10 Jahre)
§7 Betroffenenrechte
Sie haben folgende Rechte gemäß DSGVO:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
Sie haben außerdem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren.
§8 Datentransfer in Drittländer
Bei der Nutzung folgender Dienste werden personenbezogene Daten in die USA oder in gemischte EU/USA-Infrastruktur übertragen: Google Gemini API (KI-Analyse), Resend (E-Mail-Fallback), Cloudflare (CDN/DNS), Stripe (Zahlung, EU-US Data Privacy Framework zertifiziert), PayPal (Zahlung — Daten teilweise an PayPal USA), Microsoft Clarity (Heatmaps, EU-US DPF zertifiziert).
Rechtsgrundlage: Für DPF-zertifizierte Anbieter (Stripe, Clarity, Cloudflare): EU-US Data Privacy Framework. Für nicht-zertifizierte Anbieter (Gemini, Resend, PayPal-USA): Standardvertragsklauseln (SCCs) der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Es besteht kein Angemessenheitsbeschluss für die USA; Restrisiken (insb. Zugriff durch US-Behörden nach FISA 702 / CLOUD Act) wurden durch zusätzliche Maßnahmen (Verschlüsselung, Datenminimierung) reduziert. Eine Übersicht je Anbieter findet sich in §5.
§9 Kontakt Datenschutz
§10 KI Act Compliance (EU AI Act)
Transparenz
Hinweis auf KI-Analyse auf jeder Ergebnisseite
Menschliche Aufsicht
Nutzer trifft Kaufentscheidung selbst; Score ist Entscheidungshilfe
Kein autonomes Hochrisiko-Scoring
Score ist informativer Hinweis, kein Art. 6 Hochrisiko-System nach EU AI Act
| Anforderung | Umsetzung |
|---|---|
| Transparenz | Hinweis auf KI-Analyse auf jeder Ergebnisseite |
| Menschliche Aufsicht | Nutzer trifft Kaufentscheidung selbst; Score ist Entscheidungshilfe |
| Kein autonomes Hochrisiko-Scoring | Score ist informativer Hinweis, kein Art. 6 Hochrisiko-System nach EU AI Act |