Custodi

Datenschutzrichtlinie

Diese Datenschutzrichtlinie erklärt, wie wir Ihre personenbezogenen Daten sammeln, verwenden und schützen.

Datenverantwortlicher

David Huh - Software-as-a-Service & IT-Dienstleistungen

Lucian-Reich-Str. 16

76473 Iffezheim

impressum@davidhuh.de

Datenschutzbeauftragter

Unseren Datenschutzbeauftragten erreichen Sie unter impressum@davidhuh.de.

Zwecke der Verarbeitung

  • Benutzerauthentifizierung und Kontoverwaltung
  • Organisations- und Immobilienverwaltung
  • Zählerablesung und Versorgungsdatenverarbeitung
  • Standortbasierte Immobilienidentifizierung und Näherungserkennung
  • Sicherheit und Betrugsprävention
  • Analytics und Service-Verbesserung

Ihre Rechte

  • Recht auf Zugang zu Ihren personenbezogenen Daten
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Recht auf Einreichung einer Beschwerde

Unterauftragsverarbeiter

Wir verwenden die folgenden Unterauftragsverarbeiter, um unsere Dienste bereitzustellen

Vercel Inc.

Hinzugefügt: 5. Okt. 2025
Zweck:Hosting & CDN
Standort:USA
Server-Standort:Deutschland (Frankfurt)
Schutzmaßnahmen:Standardvertragsklauseln (SCC)

Neon Tech Inc.

Hinzugefügt: 5. Okt. 2025
Zweck:Datenbank-Hosting
Standort:USA
Server-Standort:Deutschland (Frankfurt)
Schutzmaßnahmen:Standardvertragsklauseln (SCC)

Resend Inc.

Hinzugefügt: 5. Okt. 2025
Zweck:E-Mail-Dienst
Standort:USA
Server-Standort:Irland
Schutzmaßnahmen:Standardvertragsklauseln (SCC)

Meta Platforms, Inc. / Google LLC

Hinzugefügt: 16. Jan. 2026
Zweck:KI-gestützte Zählerstandsanalyse (über Vercel AI Gateway)
Standort:USA
Server-Standort:USA
Schutzmaßnahmen:Standardvertragsklauseln (SCC)
Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO - Vertragserfüllung; Art. 6 Abs. 1 lit. f DSGVO - Berechtigtes Interesse an automatisierter Zählerstandslesung
Datenkategorien:
  • Zählerstandsbilder (Verbrauchsdaten)
  • Objektidentifikationsdaten
  • Zeitstempel- und Standort-Metadaten
  • Verarbeitungsergebnisse und Genauigkeitsmetriken

Mapbox Inc.

Hinzugefügt: 12. Nov. 2025
Zweck:Adress-Geocoding, Kartenvisualisierung und Standortdienste
Standort:USA
Server-Standort:Globales CDN (EU-Knoten verfügbar)
Schutzmaßnahmen:Standardvertragsklauseln (SCC)
Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO - Vertragserfüllung; Art. 6 Abs. 1 lit. f DSGVO - Berechtigtes Interesse an der Bereitstellung genauer standortbezogener Dienste
Datenkategorien:
  • Objektadressen (Suchanfragen)
  • Geografische Koordinaten (Breitengrad/Längengrad)
  • IP-Adresse (zur Ratenbegrenzung)
  • Browser-User-Agent (technische Anforderung)

Bright Sky API / Deutscher Wetterdienst (DWD)

Hinzugefügt: 5. Jan. 2026
Zweck:Wetterdaten- und Vorhersagedienste
Standort:Deutschland
Server-Standort:Deutschland (DWD Offenbach)
Schutzmaßnahmen:Öffentlicher Datenanbieter (DWD ist eine deutsche Bundesbehörde); Nur serverseitige API-Aufrufe (keine Client-IP-Adressen übertragen); Koordinaten auf 2 Dezimalstellen gerundet (~1,1km Genauigkeit) zur Datenminimierung; Daten lizenziert unter CC BY 4.0
Rechtsgrundlage:Art. 6 Abs. 1 lit. f DSGVO - Berechtigtes Interesse an der Bereitstellung von Wetterwarnungen und Vorhersagen für die Immobilienverwaltung; Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) durch Koordinatenrundung und serverseitige Verarbeitung angewandt
Datenkategorien:
  • Geografische Koordinaten der Immobilien (auf 2 Dezimalstellen gerundet aus Datenschutzgründen)
  • Wettervorhersagedaten (Temperatur, Niederschlag, Schneefall)
  • Standortbezogene Wetterwarnungen
  • Hinweis: API-Aufrufe erfolgen serverseitig über Vercel; keine Nutzer-IP-Adressen werden an DWD übermittelt

Stripe, Inc.

Hinzugefügt: 14. Feb. 2026
Zweck:Zahlungsabwicklung und Betrugsprävention
Standort:USA
Server-Standort:USA / Global
Schutzmaßnahmen:Standardvertragsklauseln (SCC)
Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO - Vertragserfüllung; Art. 6 Abs. 1 lit. f DSGVO - Berechtigtes Interesse an Betrugsprävention
Datenkategorien:
  • Zahlungsinformationen (Kreditkartendaten, Bankverbindungen)
  • Rechnungsadresse
  • Transaktionsmetadaten
  • Kundenidentifikationsdaten

Cookies

Wir verwenden Cookies und ähnliche Technologien, um die Funktionalität unserer Website zu gewährleisten, die Nutzung zu analysieren und Ihre Einstellungen zu speichern. Detaillierte Informationen zu den von uns verwendeten Cookies, deren Zweck, Speicherdauer und Rechtsgrundlagen finden Sie in unserer ausführlichen Cookie-Richtlinie unter /legal/cookie-policy.

Informationen zur Cookie-Nutzung

Unsere Website verwendet verschiedene Kategorien von Cookies:

Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Website essentiell und können nicht deaktiviert werden. Dazu gehören Authentifizierungs-Cookies (custodi_session), Spracheinstellungen (custodi_locale), Theme-Einstellungen (custodi_theme) sowie Fraud-Prevention-Cookies von Stripe (__stripe_mid, __stripe_sid). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Analyse-Cookies

Wir verwenden Vercel Analytics zur Erfassung anonymisierter Nutzungsdaten. Diese Cookies werden nur nach Ihrer ausdrücklichen Einwilligung gesetzt und helfen uns, die Performance und Benutzerfreundlichkeit zu verbessern. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Marketing-Cookies

Derzeit verwenden wir keine Marketing-Cookies oder Tracking-Tools für Werbezwecke.

Zur ausführlichen Cookie-Richtlinie

Sicherheitsmaßnahmen

Wir implementieren umfangreiche technische und organisatorische Maßnahmen (TOMs) zum Schutz Ihrer Daten gemäß Art. 32 DSGVO. Detaillierte Informationen zu unseren Sicherheitsmaßnahmen finden Sie in den Unterlagen zu unserem Auftragsverarbeitungsvertrag (AVV) und den nachfolgend aufgeführten Maßnahmen.

Technische und organisatorische Maßnahmen (TOMs)

Zum Schutz Ihrer personenbezogenen Daten haben wir folgende Maßnahmen implementiert:

Verschlüsselung

Alle Datenübertragungen erfolgen über HTTPS/TLS 1.3. Passwörter werden mit bcrypt gehasht gespeichert. Session-Tokens werden verschlüsselt gespeichert. Datenbankverbindungen sind SSL-verschlüsselt.

Zugriffskontrolle

Rollenbasierte Zugriffskontrolle (RBAC) auf Organisationsebene mit strikter Mandantentrennung. Unterstützung von Zwei-Faktor-Authentifizierung (2FA/TOTP) für erhöhte Sicherheit. Automatische Audit-Logs für sicherheitsrelevante Ereignisse (Anmeldungen, Passwortänderungen, 2FA-Aktivierung).

Speicherung und Backups

Tägliche automatisierte Backups der Datenbank beim Cloud-Provider Neon Tech in Frankfurt. 30-tägige Backup-Aufbewahrung mit geo-redundanter Speicherung kritischer Daten. Zusätzliche lokale Cold-Storage-Archivierung beim Auftragnehmer.

KI-Verarbeitung

Bei der KI-gestützten Zählerstandsanalyse werden Bilder über den Vercel AI Gateway an Meta/Google übermittelt. Die Verarbeitung erfolgt unter Anwendung von Standardvertragsklauseln (SCC). Ergebnisse werden zwischengespeichert, um API-Aufrufe zu minimieren.

Überwachung

Kontinuierliche Überwachung der Systeme auf verdächtige Aktivitäten. Implementierung von Rate-Limiting für API-Endpunkte. Regelmäßige Sicherheitsüberprüfungen und Updates.

Organisatorische Maßnahmen

Strikte Organisationstrennung: Jede Organisation kann ausschließlich auf ihre eigenen Daten zugreifen. Automatische Filterung aller Datenbankabfragen nach Organisations-ID. Keine Cross-Organisation-Zugriffe möglich.

Internationale Datenübertragungen

Als globales Unternehmen arbeiten wir mit Dienstleistern zusammen, die sich außerhalb des Europäischen Wirtschaftsraums (EWR) befinden. Für alle Datenübertragungen in Drittländer stellen wir angemessene Garantien gemäß Art. 44-49 DSGVO sicher.

Informationen zu Datenübertragungen

Wir übermitteln personenbezogene Daten an Unterauftragsverarbeiter in den USA. Für diese Übermittlungen gelten folgende Sicherheitsmaßnahmen:

Standardvertragsklauseln (SCC)

Für alle Datenübermittlungen in die USA verwenden wir EU-Standardvertragsklauseln (SCC) gemäß der Durchführungsentscheidung (EU) 2021/914 der Kommission. Diese Klauseln wurden zwischen uns und allen US-amerikanischen Dienstleistern geschlossen und enthalten zusätzliche technische und organisatorische Maßnahmen.

Beteiligte Dienstleister

Die folgenden Unterauftragsverarbeiter befinden sich in den USA: Vercel Inc. (Hosting & CDN), Neon Tech Inc. (Datenbank-Hosting), Resend Inc. (E-Mail-Dienst), Meta Platforms/Google LLC (KI-Analyse), Mapbox Inc. (Kartendienste), Stripe Inc. (Zahlungsabwicklung). Alle Server dieser Anbieter stehen in Deutschland (Frankfurt), mit Ausnahme von Resend (Irland).

KI-Verarbeitung in den USA

Bei der automatisierten Zählerstandsanalyse werden Bilder zur Verarbeitung an Server von Meta/Google in den USA übermittelt. Dies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b und f DSGVO (Vertragserfüllung und berechtigtes Interesse) unter Anwendung von Standardvertragsklauseln.

Zusätzliche technische Maßnahmen

Serverseitige API-Aufrufe, um Nutzer-IP-Adressen zu schützen. Koordinatenrundung bei Wetterdaten (2 Dezimalstellen = ~1,1km Präzision) zur Datenminimierung. Keine Übermittlung von personenbezogenen Daten an KI-Dienste außer anonymisierte Objekt-IDs.

Ihre Rechte bei internationalen Übertragungen

Sie haben das Recht, eine Kopie der Standardvertragsklauseln bei uns anzufordern. Bei Fragen zu internationalen Datenübertragungen kontaktieren Sie uns bitte unter unserer E-Mail-Adresse.

Datenaufbewahrung

Wie lange wir Ihre Daten aufbewahren

  • Benutzerkonten: Bis zur Kontolöschung
  • Zählerablesungen: Bis zur Kontolöschung oder gesetzliche Aufbewahrungspflicht
  • Aktivitätsprotokolle: 12 Monate
  • Sicherungskopien: 30 Tage
  • Zustimmungsaufzeichnungen: 3 Jahre

Zusätzliche Aufbewahrungsinformationen

Wetterdaten und Attribution

Unsere Plattform nutzt Wetterdaten für standortbezogene Wettervorhersagen und -warnungen für Ihre Immobilien.

Datenquelle

Wetterdaten bereitgestellt von Bright Sky / Deutscher Wetterdienst (DWD). Lizenziert unter CC BY 4.0.

Datenschutz-Implementierung

  • API-Aufrufe erfolgen ausschließlich serverseitig über Vercel – keine IP-Adressen von Nutzern werden an DWD übermittelt
  • Immobilienkoordinaten werden auf 2 Dezimalstellen gerundet (~1,1km Präzision) zur Datenminimierung
  • Keine personenbezogenen Daten werden mit Wetterdaten verknüpft; nur anonyme Standortkoordinaten werden verwendet

Zuletzt aktualisiert: 14. Februar 2026