Stand: 04.03.2026

Datenschutzerklärung

Wie wir personenbezogene Daten im Rahmen unserer DACH-ausgerichteten Plattform verarbeiten.

Diese Datenschutzerklärung gilt für die Nutzung der Immobilienpool-Webanwendung und der zugehörigen Funktionen. Sie beschreibt transparent, welche Datenkategorien wir verarbeiten, zu welchen Zwecken wir dies tun, auf welcher Rechtsgrundlage wir handeln und wie lange Daten gespeichert werden.

Unser Ziel ist eine klare, nachvollziehbare und zugleich datensparsame Verarbeitung. Wir geben nur die Informationen preis, die rechtlich erforderlich sind und Ihnen helfen, Ihre Rechte wirksam auszuüben.

1) Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Die finalen Stammdaten werden unten als Pflichtangaben geführt. Nicht abschließend gepflegte Angaben sind bewusst als Platzhalter markiert.

Unternehmen	[PLACEHOLDER: Vollständiger Firmenname]
Anschrift	[PLACEHOLDER: Vollständige Postanschrift]
E-Mail	[PLACEHOLDER: Datenschutz-Kontaktadresse]
Telefon	[PLACEHOLDER: Kontakttelefon]

2) Kurzüberblick

Wir verarbeiten insbesondere Kontodaten, Kommunikationsdaten, Inhaltsdaten aus der Plattformnutzung (z. B. Objekt- und Mediendaten), abrechnungsnahe Daten sowie technische Sicherheits- und Protokolldaten. Der Schwerpunkt liegt auf Vertragserfüllung, IT-Sicherheit, Missbrauchsprävention und gesetzlicher Compliance.

Soweit möglich, werden Daten pseudonymisiert, verschlüsselt oder nur kurzfristig gespeichert. Für einzelne externe Dienste können Drittlandbezüge entstehen. In solchen Fällen setzen wir die erforderlichen vertraglichen und technischen Garantien ein.

3) Verarbeitungen im Detail

Statt einer rein stichpunktartigen Darstellung erklären wir die zentralen Verarbeitungen hier als zusammenhängende Textbausteine. Jeder Block enthält Zweck, Datenumfang, Rechtsgrundlage, Empfängerbezug und Speicherlogik.

3.1 Kontoanlage und Kontoführung

Bei Registrierung und Kontoführung verarbeiten wir Stammdaten wie Vor- und Nachname, Firmen- und Adressdaten, E-Mail-Adresse sowie sicherheitsrelevante Authentifizierungsinformationen. Diese Daten sind erforderlich, um ein nutzbares Konto bereitzustellen, Zugriffe zu steuern und den Nutzungsvertrag zu erfüllen.

Rechtsgrundlage ist primär Art. 6 Abs. 1 lit. b DSGVO. Soweit Aufbewahrungs- oder Nachweispflichten greifen, stützen wir die Verarbeitung zusätzlich auf Art. 6 Abs. 1 lit. c DSGVO.

3.2 Login, Session und Zugriffsschutz

Für die sichere Anmeldung und Sitzungsverwaltung werden Session-Informationen, Rollenmerkmale und zeitbezogene Sicherheitsinformationen verarbeitet. Dazu gehört auch die technisch notwendige Verarbeitung von IP-nahen Signalen zur Abwehr von Missbrauch.

Die Verarbeitung dient der sicheren Vertragsnutzung und dem Schutz der Plattform, also Art. 6 Abs. 1 lit. b und lit. f DSGVO.

3.3 Objekt-, Upload- und Medienfunktionen

Wenn Sie Objekte, Bilder oder sonstige Medien verwalten, verarbeiten wir die von Ihnen bereitgestellten Inhaltsdaten inklusive Dateimetadaten wie Typ, Größe und technische Referenzen. Diese Verarbeitung ist Kernbestandteil der vertraglichen Leistung.

Speicherung und Abruf erfolgen über abgesicherte Anwendungspfade; temporäre Upload-Zwischeneinträge werden nach kurzen Fristen bereinigt.

3.4 KI-gestützte Generierung

Für Funktionen wie Bildbeschreibung, Prompt-Erzeugung und Videoerstellung werden von Ihnen bereitgestellte Medien in den jeweiligen KI-Workflow übergeben. Dabei entstehen zusätzliche Verarbeitungsdaten wie Job-Status, generierte Textbausteine und providerbezogene Job-Metadaten.

Rechtsgrundlage ist in der Regel Art. 6 Abs. 1 lit. b DSGVO; für qualitäts- und stabilitätsbezogene Begleitprozesse kann Art. 6 Abs. 1 lit. f DSGVO hinzutreten.

3.5 Credits, Top-up-Anfragen und Abrechnung

Zur Führung von Guthaben, Transaktionshistorie und Top-up-Anfragen verarbeiten wir transaktionsbezogene Datensätze. Diese Verarbeitung ist für die ordnungsgemäße Vertragserbringung und abrechnungsnahe Dokumentation erforderlich.

Je nach Datenkategorie können gesetzliche Aufbewahrungsfristen gelten, die über die aktive Kontonutzung hinausreichen.

3.6 E-Mail-Kommunikation und Verifikation

Für sicherheitsrelevante E-Mails, etwa Verifikation oder Passwort-Reset, verarbeiten wir die E-Mail-Adresse sowie tokenbezogene Sicherheitsdaten (nur gehashte Token in Persistenz).

Die Token werden bewusst kurzlebig gehalten und nach Nutzung oder Ablauf aus dem aktiven Verwendungszusammenhang entfernt.

3.7 Sicherheitsprotokolle und Audit

Zur Erkennung und Nachvollziehbarkeit sicherheitsrelevanter Ereignisse führen wir Audit- und Sicherheitsprotokolle. Diese enthalten keine Klartext-Passwörter oder vergleichbare Geheimnisse und nutzen, wo möglich, pseudonymisierte Referenzen.

Die Speicherdauer ist kategoriebasiert und auf das notwendige Maß begrenzt.

3.8 Produkt- und Fehleranalyse

Zur technischen Verbesserung und Stabilisierung der Anwendung verarbeiten wir ereignisbezogene Diagnosedaten. Dies betrifft insbesondere Fehler-, Laufzeit- und Kompatibilitätsinformationen, nicht jedoch eine inhaltsfremde Profilbildung.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO, da die betriebliche Funktionsfähigkeit ein berechtigtes Interesse darstellt.

3.9 Backups und Wiederherstellung

Zur Ausfallsicherheit werden regelmäßig Sicherungen erstellt. Diese dienen ausschließlich dem Schutz der Datenintegrität und der Wiederherstellung im Störungsfall.

Backup-Retention erfolgt gestaffelt und wird regelbasiert bereinigt.

3.10 Empfehlungsprogramm (Referral)

Wenn ein Empfehlungsprogramm genutzt wird, verarbeiten wir den Referral-Code und die für die Bonuszuordnung erforderlichen Beziehungsdaten zwischen empfehlender und neu registrierter Person.

Die Verarbeitung dient der vertraglichen Programmdurchführung sowie der Missbrauchsprävention.

3.11 Kontaktformular

Wenn Sie uns über das Kontaktformular eine Anfrage zukommen lassen, werden Ihre Angaben (Name, E-Mail-Adresse, Betreff und Nachricht) sowie ein anonymisierter IP-Adress-Hash zur Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/vorvertragliche Maßnahmen). Wir speichern keine vollständige IP-Adresse — lediglich einen 16-stelligen kryptografischen Hash (SHA-256), der keine Rückschlüsse auf Ihre Identität erlaubt.

Ihre Daten werden nach vollständiger Bearbeitung der Anfrage gelöscht, spätestens nach 12 Monaten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

4) Empfänger und Auftragsverarbeiter

Wir setzen externe Dienstleister nur dort ein, wo dies für den Betrieb, die Sicherheit oder die Funktionserbringung erforderlich ist. Dienstleister werden vertraglich eingebunden und auf Datenschutz-/Sicherheitsanforderungen verpflichtet.

Dienstleister	Rolle	Sitz/Verarbeitung	Transfergrundlage
Cloudflare (R2 Object Storage)	Datei-/Objektspeicher für Uploads, Medien und Backups	EU-Region konfiguriert; Anbieter mit US-Konzernbezug	AVV/DPA; SCC und/oder Angemessenheit, soweit anwendbar
OpenAI (soweit aktiviert)	KI-Verarbeitung für Bildbeschreibung und Promptgenerierung	US-Anbieter	AVV/DPA; SCC und/oder Angemessenheit, soweit anwendbar
fal.ai (soweit aktiviert)	Video-Generierung	Anbieter mit möglicher Verarbeitung außerhalb der EU	AVV/DPA; SCC und/oder Angemessenheit, soweit anwendbar
Resend (soweit aktiviert)	Transaktionaler E-Mail-Versand	US-Anbieter	AVV/DPA; SCC und/oder Angemessenheit, soweit anwendbar
PostHog	Produkt- und Fehleranalyse	EU-Endpunkt konfigurierbar; Anbieter mit US-Konzernbezug	AVV/DPA; SCC und/oder Angemessenheit, soweit anwendbar
Stitching-/Webhook-Dienst (projektabhängig)	Asynchrone Medienverarbeitung	[PLACEHOLDER: konkreter Anbieter + Region]	[PLACEHOLDER: AVV + Transferinstrument]

5) Cookies und ähnliche Technologien

Wir setzen im Regelfall technisch notwendige Cookies sowie optional aktivierbare funktionale/analytische Technologien ein. Marketing-Technologien sind nur nach aktiver Einwilligung vorgesehen.

Ihre Auswahl verwalten Sie jederzeit über den Link "Cookie-Einstellungen" im Footer. Die aktuell verwendeten Speichertechnologien sind in der folgenden Tabelle zusammengefasst.

Technologie	Zweck	Speicherdauer	Rechtsgrundlage
ip_consent_v1	Speichert Ihre Consent-Auswahl (notwendig für Consent-Management)	Bis zu 180 Tage	Art. 6 Abs. 1 lit. c/f DSGVO, TDDDG Paragraph 25 Abs. 2 Nr. 2
Auth.js Session-Cookies (frameworkbedingt)	Anmeldung, Session-Fortführung und Zugriffsschutz	Bis Sessionende bzw. gemäß Sessionkonfiguration (max. 30 Tage Rolling Session)	Art. 6 Abs. 1 lit. b DSGVO, TDDDG Paragraph 25 Abs. 2 Nr. 2
NEXT_LOCALE / preferred_locale	Sprachauswahl und persistente Sprachpräferenz	Bis zu 1 Jahr	Art. 6 Abs. 1 lit. b/f DSGVO, TDDDG Paragraph 25 Abs. 2 Nr. 2
referral_code	Zuordnung einer Empfehlung im Registrierungsprozess	Bis zu 7 Tage oder bis zur Verarbeitung	Art. 6 Abs. 1 lit. b/f DSGVO, TDDDG Paragraph 25 Abs. 2 Nr. 2
sidebar-collapsed	Speicherung der Dashboard-Layoutpräferenz	Bis zu 1 Jahr	Art. 6 Abs. 1 lit. f DSGVO, TDDDG Paragraph 25 Abs. 2 Nr. 2
email_verify_banner_dismissed	Speicherung der Banner-Ausblendung	Bis zu 30 Tage	Art. 6 Abs. 1 lit. f DSGVO, TDDDG Paragraph 25 Abs. 2 Nr. 2
localStorage: image-upload-recovery-v1	Lokale Wiederaufnahme unterbrochener Uploads (nur bei funktionaler Einwilligung)	Bis manuell entfernt	Art. 6 Abs. 1 lit. a DSGVO, TDDDG Paragraph 25 Abs. 1
localStorage: referral-popup-dismissed	Merkt die Ausblendung des Referral-Popups (nur bei funktionaler Einwilligung)	Bis manuell entfernt	Art. 6 Abs. 1 lit. a DSGVO, TDDDG Paragraph 25 Abs. 1

6) Ihre Rechte

Sie haben nach den gesetzlichen Voraussetzungen insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zudem steht Ihnen ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Ortes des vermuteten Verstoßes.

7) Drittlandtransfers

Wenn Daten an Empfänger außerhalb der EU/des EWR übermittelt werden, erfolgt dies nur auf zulässiger Rechtsgrundlage und mit den erforderlichen Schutzmaßnahmen.

Hierzu gehören je nach Fall insbesondere Angemessenheitsbeschlüsse sowie Standardvertragsklauseln (SCC) und ergänzende technische/organisatorische Maßnahmen.

8) Pflicht zur Bereitstellung von Daten

Bestimmte Angaben sind für Vertragsschluss und Leistungserbringung erforderlich, insbesondere Konto- und Login-Daten. Ohne diese Pflichtangaben kann die Plattform nicht vollumfänglich bereitgestellt werden.

Optionale Felder bleiben optional und haben keinen zwingenden Einfluss auf den Vertragsschluss.

9) Keine ausschließlich automatisierte Entscheidung

Es erfolgt keine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO mit rechtlicher oder vergleichbar erheblicher Wirkung für betroffene Personen.

10) Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung, wenn sich Verarbeitungen, rechtliche Anforderungen oder technische Rahmenbedingungen wesentlich ändern. Maßgeblich ist die jeweils auf dieser Seite veröffentlichte Fassung.

11) Offene Pflichtangaben (Platzhalter)

Folgende Angaben sind absichtlich als Platzhalter gekennzeichnet und vor finaler Freigabe zu vervollständigen: Verantwortlicher (Firma/Anschrift/Kontakt), zuständige Aufsichtsbehörde sowie konkrete AVV-/Transferdetails für projektspezifische Dienste.