Custodi

Datenschutzrichtlinie

Diese Datenschutzrichtlinie erklärt, wie wir Ihre personenbezogenen Daten sammeln, verwenden und schützen.

Datenverantwortlicher

David Huh - Software-as-a-Service & IT-Dienstleistungen

Lucian-Reich-Str. 16

76473 Iffezheim

impressum@davidhuh.de

Datenschutzbeauftragter

Unseren Datenschutzbeauftragten erreichen Sie unter impressum@davidhuh.de.

Zwecke der Verarbeitung

  • Benutzerauthentifizierung und Kontoverwaltung
  • Organisations- und Immobilienverwaltung
  • Zählerablesung und Versorgungsdatenverarbeitung
  • Standortbasierte Immobilienidentifizierung und Näherungserkennung
  • Sicherheit, Missbrauchsvermeidung und protokollierte API-Zugriffe (Art. 6 Abs. 1 lit. f DSGVO)
  • Analyse, Produktverbesserung und Messung abgeschlossener Feature-Nutzung auf Basis Ihrer Einwilligung

Ihre Rechte

  • Recht auf Zugang zu Ihren personenbezogenen Daten
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Recht auf Einreichung einer Beschwerde

Unterauftragsverarbeiter

Wir verwenden die folgenden Unterauftragsverarbeiter, um unsere Dienste bereitzustellen

Vercel Inc.

Hinzugefügt: 5. Okt. 2025
Zweck:Hosting & CDN
Standort:USA
Server-Standort:Deutschland (Frankfurt)
Schutzmaßnahmen:Standardvertragsklauseln (SCC)

Neon Tech Inc.

Hinzugefügt: 5. Okt. 2025
Zweck:Datenbank-Hosting
Standort:USA
Server-Standort:Deutschland (Frankfurt)
Schutzmaßnahmen:Standardvertragsklauseln (SCC)

Resend Inc.

Hinzugefügt: 5. Okt. 2025
Zweck:E-Mail-Dienst
Standort:USA
Server-Standort:Irland
Schutzmaßnahmen:Standardvertragsklauseln (SCC)

Meta Platforms, Inc. / Google LLC

Hinzugefügt: 16. Jan. 2026
Zweck:KI-gestützte Zählerstandsanalyse (über Vercel AI Gateway)
Standort:USA
Server-Standort:USA
Schutzmaßnahmen:Standardvertragsklauseln (SCC)
Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO - Vertragserfüllung; Art. 6 Abs. 1 lit. f DSGVO - Berechtigtes Interesse an automatisierter Zählerstandslesung
Datenkategorien:
  • Zählerstandsbilder (Verbrauchsdaten)
  • Objektidentifikationsdaten
  • Zeitstempel- und Standort-Metadaten
  • Verarbeitungsergebnisse und Genauigkeitsmetriken

Mapbox Inc.

Hinzugefügt: 12. Nov. 2025
Zweck:Adress-Geocoding, Kartenvisualisierung und Standortdienste
Standort:USA
Server-Standort:Globales CDN (EU-Knoten verfügbar)
Schutzmaßnahmen:Standardvertragsklauseln (SCC)
Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO - Vertragserfüllung; Art. 6 Abs. 1 lit. f DSGVO - Berechtigtes Interesse an der Bereitstellung genauer standortbezogener Dienste
Datenkategorien:
  • Objektadressen (Suchanfragen)
  • Geografische Koordinaten (Breitengrad/Längengrad)
  • IP-Adresse (zur Ratenbegrenzung)
  • Browser-User-Agent (technische Anforderung)

Bright Sky API / Deutscher Wetterdienst (DWD)

Hinzugefügt: 5. Jan. 2026
Zweck:Wetterdaten- und Vorhersagedienste
Standort:Deutschland
Server-Standort:Deutschland (DWD Offenbach)
Schutzmaßnahmen:Öffentlicher Datenanbieter (DWD ist eine deutsche Bundesbehörde); Nur serverseitige API-Aufrufe (keine Client-IP-Adressen übertragen); Koordinaten auf 2 Dezimalstellen gerundet (~1,1km Genauigkeit) zur Datenminimierung; Daten lizenziert unter CC BY 4.0
Rechtsgrundlage:Art. 6 Abs. 1 lit. f DSGVO - Berechtigtes Interesse an der Bereitstellung von Wetterwarnungen und Vorhersagen für die Immobilienverwaltung; Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) durch Koordinatenrundung und serverseitige Verarbeitung angewandt
Datenkategorien:
  • Geografische Koordinaten der Immobilien (auf 2 Dezimalstellen gerundet aus Datenschutzgründen)
  • Wettervorhersagedaten (Temperatur, Niederschlag, Schneefall)
  • Standortbezogene Wetterwarnungen
  • Hinweis: API-Aufrufe erfolgen serverseitig über Vercel; keine Nutzer-IP-Adressen werden an DWD übermittelt

Stripe, Inc.

Hinzugefügt: 14. Feb. 2026
Zweck:Zahlungsabwicklung und Betrugsprävention
Standort:USA
Server-Standort:USA / Global
Schutzmaßnahmen:Standardvertragsklauseln (SCC)
Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO - Vertragserfüllung; Art. 6 Abs. 1 lit. f DSGVO - Berechtigtes Interesse an Betrugsprävention
Datenkategorien:
  • Zahlungsinformationen (Kreditkartendaten, Bankverbindungen)
  • Rechnungsadresse
  • Transaktionsmetadaten
  • Kundenidentifikationsdaten

Cookies

Wir verwenden Cookies und ähnliche Technologien, um die Funktionalität unserer Website zu gewährleisten, Ihre Einstellungen zu speichern und die Nutzung nur nach Ihrer Einwilligung zu analysieren. Detaillierte Informationen zu den von uns verwendeten Cookies, zustimmungsbasierten Analyseereignissen, deren Zweck, Speicherdauer und Rechtsgrundlagen finden Sie in unserer ausführlichen Cookie-Richtlinie unter /legal/cookie-policy.

Informationen zur Cookie-Nutzung

Unsere Website verwendet verschiedene Kategorien von Cookies:

Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Website essentiell und können nicht deaktiviert werden. Dazu gehören Einwilligungs- und Präferenz-Cookies (custodi_consent, sidebar_state), Authentifizierungs-Cookies, Spracheinstellungen sowie Fraud-Prevention-Cookies von Stripe. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Analyse-Cookies

Wir verwenden Vercel Analytics und Vercel Speed Insights zur Erfassung zustimmungsbasierter Nutzungsdaten. Zusätzlich messen wir nach Ihrer ausdrücklichen Einwilligung abgeschlossene Produktinteraktionen, etwa Anmeldungen, Passwort-Resets, abgeschlossene Objekt-, Aufgaben-, Schadensmeldungs-, Zählerstands-, Abfallkalender- oder Profile-Aktionen. Dabei senden wir keine direkten Identifikatoren, keine Freitexte und keine Roh-IDs. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Marketing-Cookies

Derzeit verwenden wir keine Marketing-Cookies oder Tracking-Tools für Werbezwecke.

Zur ausführlichen Cookie-Richtlinie

Sicherheitsmaßnahmen

Wir implementieren umfangreiche technische und organisatorische Maßnahmen (TOMs) zum Schutz Ihrer Daten gemäß Art. 32 DSGVO. Für API-Aufrufe nutzen wir Vercel Runtime Logs als technische Protokolle und ergänzen diese bei authentifizierten Zugriffen um einen minimalen Auth-Kontext (userId, organizationId, Prozedurkennung) zur Sicherheitsanalyse.

Technische und organisatorische Maßnahmen (TOMs)

Zum Schutz Ihrer personenbezogenen Daten haben wir folgende Maßnahmen implementiert:

Verschlüsselung

Alle Datenübertragungen erfolgen über HTTPS/TLS 1.3. Passwörter werden mit bcrypt gehasht gespeichert. Session-Tokens werden verschlüsselt gespeichert. Datenbankverbindungen sind SSL-verschlüsselt.

Zugriffskontrolle

Rollenbasierte Zugriffskontrolle (RBAC) auf Organisationsebene mit strikter Mandantentrennung. Unterstützung von Zwei-Faktor-Authentifizierung (2FA/TOTP) für erhöhte Sicherheit. Automatische Audit-Logs für sicherheitsrelevante Ereignisse (Anmeldungen, Passwortänderungen, 2FA-Aktivierung).

Speicherung und Backups

Tägliche automatisierte Backups der Datenbank beim Cloud-Provider Neon Tech in Frankfurt. 30-tägige Backup-Aufbewahrung mit geo-redundanter Speicherung kritischer Daten. Zusätzliche lokale Cold-Storage-Archivierung beim Auftragnehmer. Nicht mehr erforderliche Blob-Mediendateien werden nach dokumentierten Aufbewahrungsregeln automatisiert entfernt.

KI-Verarbeitung

Bei der KI-gestützten Zählerstandsanalyse werden Bilder über den Vercel AI Gateway an Meta/Google übermittelt. Die Verarbeitung erfolgt unter Anwendung von Standardvertragsklauseln (SCC). Ergebnisse werden zwischengespeichert, um API-Aufrufe zu minimieren.

Überwachung

Kontinuierliche Überwachung der Systeme auf verdächtige Aktivitäten. Implementierung von Rate-Limiting für API-Endpunkte. Vercel Runtime Logs erfassen technische Request-Metadaten; zusätzlich protokollieren wir pro authentifiziertem tRPC-Zugriff nur den minimal erforderlichen Auth-Kontext (userId, organizationId, Prozedurkennung, Ergebnis, Fehlercode) ohne Request-/Response-Payloads. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Organisatorische Maßnahmen

Strikte Organisationstrennung: Jede Organisation kann ausschließlich auf ihre eigenen Daten zugreifen. Automatische Filterung aller Datenbankabfragen nach Organisations-ID. Keine Cross-Organisation-Zugriffe möglich.

Internationale Datenübertragungen

Als globales Unternehmen arbeiten wir mit Dienstleistern zusammen, die sich außerhalb des Europäischen Wirtschaftsraums (EWR) befinden. Für alle Datenübertragungen in Drittländer stellen wir angemessene Garantien gemäß Art. 44-49 DSGVO sicher.

Informationen zu Datenübertragungen

Wir übermitteln personenbezogene Daten an Unterauftragsverarbeiter in den USA. Für diese Übermittlungen gelten folgende Sicherheitsmaßnahmen:

Standardvertragsklauseln (SCC)

Für alle Datenübermittlungen in die USA verwenden wir EU-Standardvertragsklauseln (SCC) gemäß der Durchführungsentscheidung (EU) 2021/914 der Kommission. Diese Klauseln wurden zwischen uns und allen US-amerikanischen Dienstleistern geschlossen und enthalten zusätzliche technische und organisatorische Maßnahmen.

Beteiligte Dienstleister

Die folgenden Unterauftragsverarbeiter können Daten in den USA verarbeiten: Vercel Inc. (Hosting & CDN), Neon Tech Inc. (Datenbank-Hosting), Resend Inc. (E-Mail-Dienst), Meta Platforms/Google LLC (KI-Analyse), Mapbox Inc. (Kartendienste), Stripe Inc. (Zahlungsabwicklung). Je nach Dienst erfolgen Verarbeitungen in der EU (u.a. Frankfurt/Irland) und in den USA.

KI-Verarbeitung in den USA

Bei der automatisierten Zählerstandsanalyse werden Bilder zur Verarbeitung an Server von Meta/Google in den USA übermittelt. Dies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b und f DSGVO (Vertragserfüllung und berechtigtes Interesse) unter Anwendung von Standardvertragsklauseln.

Zusätzliche technische Maßnahmen

Serverseitige API-Aufrufe, um Nutzer-IP-Adressen zu schützen. Koordinatenrundung bei Wetterdaten (2 Dezimalstellen = ~1,1km Präzision) zur Datenminimierung. Keine Übermittlung von personenbezogenen Daten an KI-Dienste außer anonymisierte Objekt-IDs.

Ihre Rechte bei internationalen Übertragungen

Sie haben das Recht, eine Kopie der Standardvertragsklauseln bei uns anzufordern. Bei Fragen zu internationalen Datenübertragungen kontaktieren Sie uns bitte unter unserer E-Mail-Adresse.

Datenaufbewahrung

Wie lange wir Ihre Daten aufbewahren

  • Benutzerkonten: Bis zur Kontolöschung
  • Zählerablesungen: Ablesungsdatensaetze bleiben bis zur Kontoloeschung oder bis zum Ende gesetzlicher Aufbewahrungspflichten erhalten; verknuepfte Foto-Blobs koennen 12 Monate nach Einreichung entfernt werden
  • Medien- und Bilddateien: Objektgalerie-Bilder werden beim Archivieren eines Objekts entfernt. Fotos aus Schadensmeldungen bleiben bis zur endgueltigen Loeschung der Meldung erhalten. Fotos von Zaehlerstaenden koennen 12 Monate nach Einreichung entfernt werden, waehrend der Ablesungsdatensatz erhalten bleibt.
  • Aktivitäts- und API-Zugriffsprotokolle: Vercel Runtime Logs: bis zu 24 Stunden (planabhaengig); minimale anwendungsseitige Auth-Kontext-Protokolle: nur solange fuer Sicherheits- und Missbrauchsanalysen erforderlich
  • Sicherungskopien: 30 Tage
  • Zustimmungsaufzeichnungen: 3 Jahre

Zusätzliche Aufbewahrungsinformationen: Objektgalerie-Bilder werden beim Archivieren eines Objekts entfernt. Fotos zu Schadensmeldungen bleiben bis zur endgültigen Löschung der Schadensmeldung erhalten. Fotos zu Zählerständen können 12 Monate nach Einreichung entfernt werden, während der Ablesungsdatensatz erhalten bleibt. API-Request-Telemetrie wird über Vercel Runtime Logs verarbeitet. Im Pro-Plan beträgt die Aufbewahrung dort typischerweise bis zu 24 Stunden (planabhängig). Zusätzlich werden minimale anwendungsseitige Auth-Kontext-Protokolle nur so lange gespeichert, wie sie für Sicherheits- und Missbrauchsanalysen erforderlich sind.

Wetterdaten und Attribution

Unsere Plattform nutzt Wetterdaten für standortbezogene Wettervorhersagen und -warnungen für Ihre Immobilien.

Datenquelle

Wetterdaten bereitgestellt von Bright Sky / Deutscher Wetterdienst (DWD). Lizenziert unter CC BY 4.0.

Datenschutz-Implementierung

  • API-Aufrufe erfolgen ausschließlich serverseitig über Vercel – keine IP-Adressen von Nutzern werden an DWD übermittelt
  • Immobilienkoordinaten werden auf 2 Dezimalstellen gerundet (~1,1km Präzision) zur Datenminimierung
  • Keine personenbezogenen Daten werden mit Wetterdaten verknüpft; nur anonyme Standortkoordinaten werden verwendet

Zuletzt aktualisiert: 7. April 2026