Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Immobiliengutachten24 GmbH
Frankfurter Straße 73a
53773 Hennef
Geschäftsführer: Falko Reuschel

Telefon: 02242.9696159
Fax: 02242.9183520
E-Mail: [email protected]
Internet: www.abschreibung-erhoehen.de

2. Hosting & Infrastruktur

DigitalOcean App Platform

Wir hosten unsere Anwendung bei DigitalOcean LLC, 101 Avenue of the Americas, 10th Floor, New York, NY 10013, USA (nachfolgend „DigitalOcean").

DigitalOcean stellt uns Serverkapazitäten, Speicherplatz, Datenbanken und weitere Dienstleistungen zur Verfügung, die wir zum Betrieb dieser Anwendung benötigen. Dabei werden alle Daten, die Sie in unserer Anwendung verarbeiten, auf Servern von DigitalOcean gespeichert. Der bevorzugte Serverstandort ist Frankfurt am Main, Deutschland.

Die Verwendung von DigitalOcean erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen und sicheren Bereitstellung unserer Dienste).

Da DigitalOcean ein US-Unternehmen ist, haben wir Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 DSGVO mit DigitalOcean abgeschlossen, um ein angemessenes Datenschutzniveau für die Übermittlung personenbezogener Daten in die USA zu gewährleisten.

Details entnehmen Sie der Datenschutzerklärung von DigitalOcean: https://www.digitalocean.com/legal/privacy-policy

DigitalOcean Managed Database

Für die Speicherung Ihrer Daten nutzen wir eine verwaltete MySQL-Datenbank von DigitalOcean. In dieser Datenbank werden folgende Daten gespeichert:

• Benutzerdaten (Name, E-Mail-Adresse, verschlüsseltes Passwort)
• Fragebogendaten (Immobilieninformationen, Modernisierungsangaben)
• Zahlungsinformationen (Transaktions-IDs, Beträge, keine Kreditkartendaten)
• Aktivitätsprotokolle (Systemzugriffe zur Sicherheit)

Die Datenbankverbindungen sind SSL-verschlüsselt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

DigitalOcean Spaces (Datei-Speicher)

Für die Speicherung hochgeladener Dateien (Bilder, Dokumente, PDF-Berichte) nutzen wir DigitalOcean Spaces, einen S3-kompatiblen Objektspeicher mit Standort Frankfurt am Main.

Folgende Dateitypen werden gespeichert:

• Von Ihnen hochgeladene Dokumente zur Immobilie
• Fotos Ihrer Immobilie
• Generierte PDF-Gutachten und Berichte
• PDF-Vorlagen für die Gutachtenerstellung

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Auftragsverarbeitung

Wir haben mit DigitalOcean einen Vertrag über Auftragsverarbeitung (Data Processing Agreement, DPA) abgeschlossen, der gewährleistet, dass DigitalOcean personenbezogene Daten unserer Nutzer nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

3. E-Mail-Versand

Resend

Für den Versand von E-Mails (Benachrichtigungen, Bestätigungen, PDF-Berichte) nutzen wir den E-Mail-Dienst Resend, Inc., San Francisco, USA.

Folgende E-Mail-Typen werden über Resend versendet:

• Fragebogen-Bestätigungen
• Nutzungsdauer-Gutachten als PDF-Anhang
• Passwort-Reset-E-Mails
• E-Mail-Verifizierungen bei Registrierung
• Benachrichtigungen über Bearbeitungsstatus

Dabei werden folgende Daten an Resend übermittelt: E-Mail-Adresse, Name, E-Mail-Inhalt. Kreditkartendaten oder Zahlungsinformationen werden niemals per E-Mail versendet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für die Datenübermittlung in die USA haben wir Standardvertragsklauseln mit Resend abgeschlossen.

Weitere Informationen: Resend Privacy Policy

4. Content Delivery Networks (CDN)

Fonts Bunny

Zur Darstellung von Webschriften nutzen wir Fonts Bunny, einen DSGVO-konformen Schriftarten-Dienst von BunnyWay d.o.o., Slowenien (EU). Fonts Bunny ist eine datenschutzfreundliche Alternative zu Google Fonts und speichert keine personenbezogenen Daten oder Cookies.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einheitlicher Darstellung der Website). Weitere Informationen: fonts.bunny.net

jsDelivr CDN

Für UI-Komponenten (Flowbite) nutzen wir jsDelivr, einen Open-Source-CDN-Dienst von ProspectOne, Polen (EU). Es werden nur minimale technische Daten (IP-Adresse, User-Agent) temporär zur Auslieferung der Ressourcen verarbeitet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

5. Zahlungsabwicklung

Stripe

Wir bieten die Bezahlung via Stripe an. Anbieter ist die Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland für europäische Kunden. Die Muttergesellschaft Stripe, Inc. hat ihren Sitz in San Francisco, USA.

Wenn Sie die Bezahlung via Stripe auswählen, werden die von Ihnen eingegebenen Zahlungsdaten direkt an Stripe übermittelt. Wir speichern keine Kreditkartendaten auf unseren Servern. Stripe ist PCI DSS Level 1 zertifiziert (höchster Sicherheitsstandard für Zahlungsdienstleister).

Folgende Daten werden an Stripe übermittelt:

• Zahlungskartendaten (direkt an Stripe, nicht über unsere Server)
• Rechnungsadresse und Name
• Betrag und Währung (EUR)
• Transaktionsmetadaten (Bestellnummer, Gutscheincodes)

Die Übermittlung Ihrer Daten an Stripe erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (Verarbeitung zur Erfüllung eines Vertrags). Sie haben die Möglichkeit, Ihre Einwilligung zur Datenverarbeitung jederzeit zu widerrufen. Ein Widerruf wirkt sich auf die Wirksamkeit von in der Vergangenheit liegenden Datenverarbeitungsvorgängen nicht aus.

Details entnehmen Sie der Datenschutzerklärung von Stripe: https://stripe.com/de/privacy

6. Cookie-Verwaltung & Cookies

Cookie-Banner

Unsere Website nutzt ein eigenes Cookie-Banner, um Ihre Einwilligung zur Speicherung bestimmter Cookies auf Ihrem Endgerät einzuholen. Das Cookie-Banner wird bei Ihrem ersten Besuch angezeigt und bietet Ihnen die Möglichkeit, zwischen verschiedenen Cookie-Kategorien zu wählen.

Das Cookie-Banner speichert Ihre Einwilligung lokal in einem Cookie (cookie_consent) mit einer Gültigkeit von 365 Tagen. Es werden keine Daten an externe Server übermittelt. Die Cookie-Einstellung wird ausschließlich auf Ihrem Gerät gespeichert.

Rechtsgrundlage für den Einsatz des Cookie-Banners ist Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Einholung der Cookie-Einwilligung gemäß § 25 TTDSG).

Verwendete Cookies

Unsere Internetseiten verwenden sog. „Cookies". Cookies sind kleine Datenpakete und richten auf Ihrem Endgerät keinen Schaden an. Sie werden entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert.

Notwendige Cookies (keine Einwilligung erforderlich):

• laravel_session: Authentifizierungs-Cookie, wird nach Sitzungsende gelöscht
• XSRF-TOKEN: CSRF-Schutz gegen Angriffe, wird nach Sitzungsende gelöscht
• cookie_consent: Speichert Ihre Cookie-Einstellungen (365 Tage Laufzeit)
• cookie_analytics: Speichert Ihre Entscheidung zu Analytics-Cookies (365 Tage Laufzeit)

Analytics-Cookies (nur mit Ihrer Einwilligung):

Wir nutzen Plausible Analytics, einen DSGVO-konformen, cookielosen Analysedienst. Plausible setzt keine Cookies und speichert keine personenbezogenen Daten. Die IP-Adresse wird nicht gespeichert. Weitere Informationen finden Sie im Abschnitt "Analytics" dieser Datenschutzerklärung.

Drittanbieter-Cookies:

• Stripe: Zahlungsabwicklung (nur auf der Zahlungsseite aktiv, technisch notwendig)

7. Datenerfassung und -verarbeitung

Benutzerregistrierung

Zur Nutzung unserer Anwendung ist eine Registrierung erforderlich. Dabei erheben wir folgende Daten:

• Name
• E-Mail-Adresse
• Passwort (verschlüsselt mit bcrypt gespeichert)
• E-Mail-Verifizierungsstatus

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Fragebogen-Daten

Im Rahmen der Nutzungsdauergutachten erfassen wir umfangreiche Daten zu Ihrer Immobilie:

• Allgemeine Angaben: Adresse, Gebäudeart, Baujahr
• Bauteile: Außenwände, Dach, Fenster, Türen, Heizung, Sanitär, Bodenbeläge
• Modernisierungen: Renovierungshistorie, Sanierungsdaten
• Kontaktdaten: Telefonnummer für Rückfragen
• Hochgeladene Dateien: Dokumente, Fotos, Pläne

Diese Daten werden ausschließlich zur Erstellung Ihres Nutzungsdauergutachtens verwendet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datei-Uploads

Sie können im Rahmen des Fragebogens Dateien hochladen. Folgende Dateitypen werden akzeptiert:

• Bilder (JPEG, PNG) – max. 10 MB pro Datei
• PDF-Dokumente – max. 20 MB pro Datei

Hochgeladene Bilder werden automatisch optimiert und in verschiedenen Größen (Thumbnails) gespeichert. Alle Dateien werden verschlüsselt auf DigitalOcean Spaces (Frankfurt) gespeichert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

PDF-Generierung

Nach Abschluss des Fragebogens und Zahlung erstellen wir ein Nutzungsdauergutachten als PDF-Dokument. Dieses wird auf unseren Servern generiert (mittels TCPDF-Bibliothek) und in DigitalOcean Spaces gespeichert. Sie erhalten das PDF per E-Mail und können es jederzeit in Ihrem Account herunterladen.

PDFs werden nach 30 Tagen automatisch von unseren Servern gelöscht. Sie können das Dokument bis dahin beliebig oft herunterladen.

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

• Browsertyp und Browserversion
• verwendetes Betriebssystem
• Referrer URL
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung seiner Website sowie zur Gewährleistung der Sicherheit der IT-Systeme.

Anfragen per E-Mail oder Telefon

Wenn Sie uns per E-Mail oder Telefon kontaktieren, werden Ihre Angaben inklusive der von Ihnen mitgeteilten Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effektiven Bearbeitung von Anfragen).

8. Interne Datenverarbeitung

Aktivitätsprotokolle

Zur Sicherheit und Nachvollziehbarkeit protokollieren wir bestimmte Aktivitäten in Ihrem Account:

• Login- und Logout-Vorgänge
• Änderungen an Profildaten
• Erstellung und Bearbeitung von Fragebögen
• Zahlungsvorgänge
• Datei-Downloads

Diese Protokolle dienen der IT-Sicherheit, Missbrauchsprävention und Fehleranalyse. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit unserer Systeme).

Admin-Zugriff

Administratoren und Kundenservice-Mitarbeiter haben Zugriff auf Ihre Daten, um technischen Support zu leisten und Ihre Anfragen zu bearbeiten. Der Zugriff erfolgt nur im erforderlichen Umfang und wird protokolliert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundensupport).

9. Speicherdauer & Datenlöschung

Wir speichern Ihre Daten nur so lange, wie dies zur Erfüllung des jeweiligen Zwecks erforderlich ist oder gesetzliche Aufbewahrungsfristen dies erfordern:

• Benutzerdaten: Solange Ihr Account aktiv ist. Sie können Ihr Account jederzeit in den Profileinstellungen löschen.
• Fragebogen-Daten: Solange Ihr Account besteht oder bis Sie den Fragebogen löschen.
• Hochgeladene Dateien: Solange der zugehörige Fragebogen existiert.
• Generierte PDFs: 30 Tage nach Erstellung (automatische Löschung).
• Zahlungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht gemäß § 147 AO, § 257 HGB).
• Aktivitätsprotokolle: 90 Tage für Sicherheitszwecke.
• E-Mail-Korrespondenz: Bis zur Erledigung des Anliegens plus 6 Monate.

Nach Ablauf der Fristen werden die Daten routinemäßig gelöscht, sofern keine anderen rechtlichen Verpflichtungen bestehen.

Account-Löschung

Sie können Ihr Benutzerkonto jederzeit selbst löschen. Gehen Sie dazu in Ihre Profileinstellungen und wählen Sie "Account löschen". Dabei werden alle Ihre persönlichen Daten, Fragebögen und hochgeladenen Dateien unwiderruflich gelöscht.

Ausnahme: Zahlungsdaten müssen wir aus steuerrechtlichen Gründen 10 Jahre aufbewahren. Diese werden jedoch anonymisiert, sodass kein Personenbezug mehr besteht.

10. Datenübermittlung in Drittländer

Einige unserer Dienstleister haben ihren Sitz in den USA oder verarbeiten Daten in den USA. Um ein angemessenes Datenschutzniveau zu gewährleisten, haben wir folgende Maßnahmen ergriffen:

USA-Transfers mit Standardvertragsklauseln

Für Dienstleister in den USA ohne DPF-Zertifizierung nutzen wir die von der EU-Kommission genehmigten Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 DSGVO:

• DigitalOcean LLC: Hosting, Datenbank, Speicher (SCCs abgeschlossen)
• Resend, Inc.: E-Mail-Versand (SCCs abgeschlossen)

EU-US Data Privacy Framework (DPF)

Folgende Dienstleister sind nach dem „EU-US Data Privacy Framework" zertifiziert, das die Einhaltung europäischer Datenschutzstandards in den USA gewährleistet:

• Stripe, Inc.: Zahlungsabwicklung (Stripe Payments Europe verarbeitet für EU-Kunden)

EU-basierte Dienstleister

Folgende Dienstleister sind in der EU ansässig und unterliegen direkt der DSGVO:

• Fonts Bunny (BunnyWay): Slowenien
• Stripe Payments Europe Ltd.: Irland (verarbeitet für EU-Kunden)

11. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO verschiedene Rechte. Weitere Details ergeben sich insbesondere aus den Artikeln 15 bis 21 DSGVO:

• Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen, einschließlich einer Kopie dieser Daten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen. Sie können Ihre Daten in den Profileinstellungen selbst bearbeiten.
• Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die weitere Verarbeitung erforderlich ist (z.B. gesetzliche Aufbewahrungsfristen). Sie können Ihr Account selbst in den Profileinstellungen löschen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Voraussetzungen erfüllt sind (z.B. Richtigkeit wird bestritten).
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen übermitteln zu lassen.
• Recht auf Widerspruch (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen, wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.
• Recht auf Widerruf der Einwilligung: Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
• Recht auf Beschwerde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Die zuständige Aufsichtsbehörde für Nordrhein-Westfalen ist:
  
  Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
  Kavalleriestraße 2-4
  40213 Düsseldorf
  Tel.: 0211/38424-0
  E-Mail: [email protected]
  Web: www.ldi.nrw.de

Kontakt für Datenschutzanfragen:
Für die Ausübung Ihrer Rechte oder bei Fragen zum Datenschutz wenden Sie sich bitte an:
E-Mail: [email protected]

12. Sicherheitsmaßnahmen

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen unbeabsichtigte oder unrechtmäßige Löschung, Veränderung oder gegen Verlust und unbefugten Zugriff zu schützen:

• SSL/TLS-Verschlüsselung: Alle Datenübertragungen zwischen Ihrem Browser und unseren Servern erfolgen verschlüsselt über HTTPS (TLS 1.2 oder höher).
• Passwort-Hashing: Passwörter werden mit bcrypt gehasht und niemals im Klartext gespeichert.
• CSRF-Schutz: Schutz vor Cross-Site-Request-Forgery-Angriffen durch Token-Validierung.
• SQL-Injection-Schutz: Verwendung von Prepared Statements und ORM (Eloquent).
• XSS-Schutz: Automatisches Escaping von Ausgaben in Templates.
• Rate Limiting: Begrenzung von Anfragen auf sensible Endpunkte (Login, Zahlungen, Downloads).
• Datei-Upload-Validierung: Typen-, Größen- und Inhaltsvalidierung hochgeladener Dateien.
• Datenbankzugriff: SSL-verschlüsselte Verbindungen zur Datenbank.
• Zugriffskontrolle: Rollenbasierte Zugriffskontrolle für Admin-Bereich.
• Regelmäßige Updates: Zeitnahe Installation von Sicherheitsupdates für alle Softwarekomponenten.

13. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Widerruf Ihrer Einwilligung zur Datenverarbeitung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Empfänger von personenbezogenen Daten

Im Rahmen unserer Geschäftstätigkeit arbeiten wir mit verschiedenen externen Stellen zusammen (siehe Abschnitt 2-5 dieser Datenschutzerklärung). Dabei ist teilweise auch eine Übermittlung von personenbezogenen Daten an diese externen Stellen erforderlich. Wir geben personenbezogene Daten nur dann an externe Stellen weiter, wenn dies im Rahmen einer Vertragserfüllung erforderlich ist, wenn wir gesetzlich hierzu verpflichtet sind (z.B. Weitergabe von Daten an Steuerbehörden) oder wenn wir ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO an der Weitergabe haben.

Beim Einsatz von Auftragsverarbeitern geben wir personenbezogene Daten unserer Kunden nur auf Grundlage eines gültigen Vertrags über Auftragsverarbeitung weiter.