Datenschutzerklärung

Mein Immobilienassistent
Inhaber: Patrick Kordus
Mittelfeldring 10
15344 Strausberg
Deutschland

E-Mail Datenschutz: datenschutz@mein-immobilienassistent.de
Allgemeiner Kontakt: kontakt@mein-immobilienassistent.de

Wir verarbeiten personenbezogene Daten zur Organisation einzelner Immobilien-Besichtigungstermine. Konkret:

• Erstellung eines Besichtigungstermins durch den Anbieter (Makler oder privater Verkäufer)
• Buchung eines Termins durch Interessenten und Versand der Bestätigungsmail
• Stornierung von Buchungen durch beide Seiten
• Versand der Sammelübersicht aller Anmeldungen an den Anbieter nach Buchungsschluss

3.1 Anbieter (Makler / Verkäufer)

• Name des Ansprechpartners
• E-Mail-Adresse
• Telefonnummer (optional)
• Objektdaten (Bezeichnung, Beschreibung, Adresse — optional)
• Firmen-Logo (optional, beim Anlegen hochgeladen)

3.2 Interessent (Buchender)

• Vorname und Nachname
• E-Mail-Adresse
• Telefonnummer
• Termin-Auswahl (Datum und Uhrzeit der gewünschten Besichtigung)

3.3 Technische Daten

• IP-Adresse in rotierenden Webserver-Logs (max. 7 Tage, zur Sicherheits-Diagnose)
• Cloudflare-Turnstile-Token zur Bot-Erkennung (nur kurzzeitig im Speicher, nicht persistiert)

3.4 Zahlungsdaten des Anbieters (nur beim kostenpflichtigen Anlegen eines Objekts)

Das Anlegen eines neuen Objekts ist im Standard kostenpflichtig (eine einmalige Gebühr pro Objekt; aktueller Preis im Anlage-Formular ausgewiesen). Für die Zahlungsabwicklung leiten wir den Anbieter an unseren Zahlungsdienstleister Stripe weiter. Folgende Daten werden dabei zwischen Stripe und uns ausgetauscht beziehungsweise direkt von Stripe verarbeitet:

• Name und E-Mail-Adresse des Anbieters (für die Checkout-Sitzung und Rechnungs-Erstellung)
• Rechnungsadresse (von Stripe automatisch aus den Zahlungsdaten übernommen)
• Optional Umsatzsteuer-Identifikationsnummer (für die Rechnungs-Erstellung)
• Zahlungsdaten (Kartennummer, SEPA-Mandatsdaten, gegebenenfalls Drittanbieter-Zahlungen) — diese Daten werden ausschließlich von Stripe verarbeitet und sind uns zu keinem Zeitpunkt zugänglich
• Transaktions-Metadaten (Stripe-Customer-ID, Stripe-Checkout-Session-ID, Stripe-Payment-Intent-ID, Betrag, Erfolgs-Status) — diese speichern wir bei dem zugehörigen Objekt zur Rechnungs-Zuordnung

• Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahme): für die Termin-Erstellung des Anbieters sowie für die Termin-Buchung des Interessenten als Anbahnung des Besichtigungs-Termins. Auf dieser Grundlage erfolgt auch die Übermittlung der für die Zahlungsabwicklung notwendigen Daten an Stripe.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): für die Aufbewahrung zahlungs- und buchhaltungsrelevanter Daten (Rechnungen, Quittungen) nach handels- und steuerrechtlichen Aufbewahrungsfristen (insbesondere §§ 257 HGB, 147 AO — bis zu 10 Jahre).
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): für die technische Sicherheit, insbesondere IP-Adressen in rotierenden Server-Logs sowie den Bot-Schutz via Cloudflare Turnstile.

Personenbezogene Daten der Termin-Organisation werden 48 Stunden nach Termin-Ende automatisch gelöscht. Dies ist das Kernversprechen dieses Tools und technisch durch einen automatisierten Lifecycle-Worker abgesichert.

• Stornierte Einzelbuchungen: sofortige Löschung der personenbezogenen Daten der stornierten Buchung.
• Termin komplett abgesagt: Löschung aller personenbezogenen Daten 48 Stunden nach der Absage.
• Objekt-Verwaltung: Stammdaten des Anbieters und seines Objekts bleiben 30 Tage nach dem letzten Besichtigungstag erreichbar (damit der Anbieter weitere Termine ergänzen kann); danach werden auch sie automatisch gelöscht.
• Datenbank-Backups: Verschlüsselte Backups werden 14 Tage rotierend aufbewahrt. Bei einer Wiederherstellung wird der Lifecycle-Worker unmittelbar nach dem Einspielen synchron ausgeführt, sodass auch im Backup gespeicherte überfällige Daten sofort gelöscht werden, bevor die Anwendung wieder erreichbar ist.
• Webserver-Zugriffs-Logs: max. 7 Tage rotierend.
• E-Mail-Versand-Logs und Empfänger-Datensätze bei Mailjet: unser Mail-Provider Mailjet legt für jeden versendeten Empfänger einen Kontakt-Datensatz an (E-Mail-Adresse und Versand-Statistik) und bewahrt Versand-Logs (Absender, Empfänger, Betreff, Zustellungs-Status, ohne Nachrichten-Inhalt) gemäß seinem Auftragsverarbeitungsvertrag zur Erfüllung von Zustellung, Reputations- und Missbrauchsschutz auf. Wir reduzieren diese Aufbewahrung zusätzlich durch ein automatisches Bereinigungs-Skript, das nicht mehr aktive Empfänger-Datensätze nach spätestens 14 Tagen DSGVO-konform aus dem Mailjet-Konto löscht. Die 48-Stunden-Frist unseres Kernversprechens bezieht sich auf die eigene Termin-Datenbank dieses Tools; die hier beschriebene Mailjet-Ebene ist eine getrennte Datenkategorie unter dem Mailjet-AVV.
• Zahlungs- und Rechnungsdaten bei Stripe: werden zur Erfüllung der handels- und steuerrechtlichen Aufbewahrungspflichten (insbesondere § 257 HGB, § 147 AO) bis zu 10 Jahre aufbewahrt. Diese Aufbewahrung erfolgt sowohl bei Stripe als Zahlungsdienstleister als auch in unseren internen Buchhaltungs-Aufzeichnungen.

Nach der Anonymisierung verbleibende aggregierte Daten ohne Personenbezug (etwa Termin-Datum, Termin-Anzahl, Buchungs-Anzahl) unterliegen nicht der DSGVO.

Personenbezogene Daten werden ausschließlich an die jeweils am Termin beteiligte andere Seite weitergegeben:

• Der Anbieter erhält die Anmelde-Daten der Interessenten (Name, E-Mail, Telefon, gebuchter Termin) per Mail und in seiner Verwaltungs-Ansicht.
• Der Interessent erhält in seiner Bestätigungs-Mail die Kontaktdaten des Anbieters sowie die vollständige Adresse des Objekts, sofern der Anbieter sie hinterlegt hat.

Auftragsverarbeiter (Art. 28 DSGVO)

• Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland — Server- und Storage-Hosting. EU-Datenverarbeitung, Auftragsverarbeitungsvertrag in Kraft.
• Mailjet SAS, 4 rue Jules Lefebvre, 75009 Paris, Frankreich — transaktionaler E-Mail-Versand. EU-Datenverarbeitung, Standard-Auftragsverarbeitungsvertrag in Kraft.
• Cloudflare Germany GmbH, Rosental 7, 80331 München — Bot-Schutz via Turnstile. EU-Datenverarbeitung konfiguriert.
• Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland — Zahlungsabwicklung, automatische Steuerberechnung (Stripe Tax) und Erstellung von Rechnungen für das kostenpflichtige Anlegen von Objekten. EU-Sitz, Standard-Auftragsverarbeitungsvertrag (Data Processing Agreement) in Kraft. Stripe Payments Europe, Ltd. übermittelt zur globalen Zahlungsabwicklung erforderliche Daten an die Konzernmutter Stripe, Inc. (USA) — Details im folgenden Abschnitt 7.

Die Verarbeitung erfolgt im Standardfall innerhalb der Europäischen Union. Eine Übermittlung personenbezogener Daten in Drittländer findet ausschließlich im Rahmen der Zahlungsabwicklung über Stripe statt:

• Zahlungsdienstleister Stripe: Stripe Payments Europe, Ltd. (Irland) übermittelt zur globalen Zahlungsabwicklung (Karten-Netzwerke, Betrugs-Erkennung, Konzern-interne Infrastruktur) personenbezogene Daten an Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA.
• Rechtsgrundlage Drittlandübermittlung: Stripe, Inc. ist nach dem EU-US Data Privacy Framework (DPF, Beschluss der EU-Kommission vom 10. Juli 2023) zertifiziert. Ergänzend kommen die Standardvertragsklauseln der EU-Kommission (SCCs) zur Anwendung. Damit besteht ein angemessenes Datenschutzniveau im Sinne von Art. 45 / Art. 46 DSGVO.
• Umfang der Drittlandübermittlung: beschränkt auf die für die Zahlungsabwicklung notwendigen Daten — Name, E-Mail-Adresse, Zahlungsdaten, Transaktions-Metadaten. Inhalte der Termin-Organisation (Interessenten-Daten, Termin-Details) verlassen die EU nicht.

Eine ausführliche Liste der Subprozessoren von Stripe sowie das Stripe-Datenschutzversprechen finden Sie unter stripe.com/de/privacy.

Sie haben gegenüber uns die folgenden Rechte:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

Zur Wahrnehmung Ihrer Rechte genügt eine formlose Mitteilung an datenschutz@mein-immobilienassistent.de.

Darüber hinaus haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO).

Zum Schutz vor automatisierten Anfragen nutzen wir den Dienst Cloudflare Turnstile. Dabei werden technisch erforderliche Informationen wie IP-Adresse und Browser-Daten an Cloudflare übermittelt, um die Anfrage zu bewerten. Die Verarbeitung erfolgt im Rahmen unseres berechtigten Interesses am Schutz vor missbräuchlicher Nutzung (Art. 6 Abs. 1 lit. f DSGVO).

Wir setzen auf den Seiten dieses Tools selbst keine Cookies und nutzen kein Browser-Tracking, kein lokales Speichern von Profilen und keine Wiedererkennungs-Mechanismen.

Auf den Bestätigungsseiten zur Termin-Erstellung und Termin-Buchung wird zum Bot-Schutz eine Cloudflare-Turnstile-Challenge eingebunden. Cloudflare setzt dabei auf der eigenen Domain challenges.cloudflare.com kurzlebige, technisch notwendige Cookies (z. B. zur Aufgaben-Stellung und Bestätigung der Challenge). Diese Cookies sind nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei, da sie zur Bereitstellung des ausdrücklich angeforderten Dienstes (sichere Termin-Anlage/Buchung) unbedingt erforderlich sind.

Beim Abschluss der kostenpflichtigen Termin-Anlage werden Sie an unseren Zahlungsdienstleister Stripe weitergeleitet. Auf den Stripe-Seiten gelten ausschließlich die Datenschutzbestimmungen und Cookie-Hinweise von Stripe — siehe stripe.com/de/privacy.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Fassung.