Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Marcel Schlüter
Mein-Nebenkostenrechner.de
Schwabenstraße 19
74423 Obersontheim
Deutschland
E-Mail: [email protected]

1a. Datenschutzbeauftragter

Als Einzelunternehmer sind wir nach § 38 Abs. 1 BDSG nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Die Schwelle nach § 38 Abs. 1 S. 1 BDSG (i.V.m. Art. 37 DSGVO) greift erst, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Beides trifft auf unseren Betrieb derzeit nicht zu. Bei datenschutzrechtlichen Anliegen wenden Sie sich bitte direkt an den unter "Verantwortlicher" genannten Ansprechpartner.

2. Überblick über die Datenverarbeitung

Der Schutz Ihrer persönlichen Daten ist uns ein besonderes Anliegen. Unser Nebenkostenrechner verarbeitet personenbezogene Daten nur, soweit dies für die Bereitstellung unserer Dienste erforderlich ist.

Die Kernberechnungen (Nebenkostenabrechnung, Heizkostenberechnung, Verteilerschlüssel) finden ausschließlich in Ihrem Browser (clientseitig) statt. Die hierfür eingegebenen Daten zu Mietern, Kosten, Wohnflächen und Abrechnungszeiträumen werden bei Nutzung ohne Benutzerkonto nicht an unseren Server übertragen.

Darüber hinaus verarbeiten wir personenbezogene Daten im Zusammenhang mit:

• Registrierung und Führung von Benutzerkonten
• Zahlungsabwicklung für kostenpflichtige Leistungen
• Bereitstellung der REST-API
• PDF-Erstellung und -Archivierung
• Kontaktanfragen über unser Kontaktformular
• E-Mail-Versand

Details zu den einzelnen Verarbeitungstätigkeiten finden Sie in den folgenden Abschnitten.

3. Registrierung und Benutzerkonto

Sie können sich auf unserer Website ein Benutzerkonto erstellen, um zusätzliche Funktionen zu nutzen (z.B. Projekte speichern, Objekte und Mieter verwalten, Abrechnungen erstellen).

Verarbeitete Daten bei der Registrierung:

• E-Mail-Adresse
• Name (optional)
• Passwort (wird ausschließlich als kryptografischer Hash gespeichert; das Klartext-Passwort wird nicht gespeichert)
• Zeitpunkt der Registrierung und der Zustimmung zu den AGB

Im Benutzerkonto gespeicherte Daten:

• Gespeicherte Projekte (Berechnungsdaten als JSON)
• Objekte (Bezeichnung, Adresse, PLZ, Ort, Fläche, Anzahl Einheiten)
• Mieter (Name, Wohnung, Fläche, Personenanzahl, Ein-/Auszug, Vorauszahlung)
• Abrechnungen (Zeitraum, Berechnungsdaten, Ergebnisse)

Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — die Verarbeitung ist zur Bereitstellung der von Ihnen angefragten Kontofunktionen erforderlich.

Vermieter-Profildaten: Wenn Sie ein Nutzerkonto als Vermieter anlegen, speichern wir zusätzlich auf freiwilliger Basis: Firma, vollständige Anschrift, Telefonnummer, Bankverbindung (IBAN, BIC, Bank). Diese Daten werden ausschließlich zur automatischen Befüllung Ihrer Briefvorlagen (Anschreiben, Widerspruchsbriefe etc.) und Rechnungen verwendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: für die Dauer Ihres Nutzerkontos. Löschung: jederzeit über /konto/profil oder Account-Löschung möglich.

Speicherdauer: Ihre Kontodaten werden gespeichert, solange Ihr Benutzerkonto besteht. Sie können Ihr Konto jederzeit selbstständig in den Kontoeinstellungen löschen. Bei der Kontolöschung werden sämtliche mit Ihrem Konto verknüpften Daten (Projekte, Objekte, Mieter, Abrechnungen, Zahlungen, API-Schlüssel, API-Protokolle) unwiderruflich gelöscht.

4. Cookies und Authentifizierung

Wenn Sie sich in Ihr Benutzerkonto anmelden, wird ein technisch notwendiger Cookie gesetzt, der Ihre Anmeldung aufrechterhält. Dieser Cookie:

• enthält ein signiertes JSON Web Token (JWT) zur Identifikation Ihrer Sitzung
• ist als HttpOnly markiert und kann nicht von JavaScript ausgelesen werden
• hat eine Gültigkeitsdauer von 7 Tagen
• wird bei der Abmeldung gelöscht

Ohne Anmeldung werden keine Cookies gesetzt. Es werden keine Tracking-Cookies oder Cookies von Drittanbietern verwendet.

Die Verwendung des Authentifizierungs-Cookies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendiger Cookie).

5. Zahlungsabwicklung (Stripe)

Für die Abwicklung kostenpflichtiger Leistungen (PDF-Export, Abo-Zahlungen) nutzen wir den Zahlungsdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland. Stripe Payments Europe Ltd. ist der für EU-Kunden verantwortliche Stripe-Vertragspartner.

Wenn Sie eine Zahlung vornehmen, werden die eingegebenen Zahlungsdaten (z.B. Kreditkartennummer) direkt an Stripe übermittelt und von Stripe verarbeitet. Wir selbst speichern keine Kreditkartendaten.

Bei uns gespeicherte Zahlungsdaten:

• Stripe-Session-ID und Payment-Intent-ID (zur Zuordnung der Zahlung)
• Zahlungsbetrag, Währung und Produkt
• E-Mail-Adresse (aus dem Stripe-Checkout)
• Zahlungsstatus
• Bei Abonnements: Abo-ID, Zeitraum und Kündigungsstatus

Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Verarbeitung findet primär innerhalb der EU bei Stripe Payments Europe Ltd. (Irland) statt. Eine Übermittlung an Subverarbeiter in den USA (insbesondere Stripe, Inc.) ist möglich und wird durch das EU-U.S. Data Privacy Framework (DPF) sowie zusätzlich durch Standardvertragsklauseln gemäß Art. 46 DSGVO abgesichert. Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe.

Speicherdauer: Zahlungsdaten werden gemäß den handels- und steuerrechtlichen Aufbewahrungsfristen für bis zu 10 Jahre gespeichert (§ 147 AO, § 257 HGB). Bei Kontolöschung werden Zahlungsdaten ebenfalls gelöscht.

6. REST-API

Registrierte Nutzer können API-Schlüssel erstellen, um die Funktionen des Nebenkostenrechners programmatisch über eine REST-API zu nutzen.

Verarbeitete Daten:

• API-Schlüssel (kryptografisch generiert), Name und Berechtigungen
• API-Nutzungsprotokolle: Endpunkt, HTTP-Methode, Statuscode, IP-Adresse und Zeitpunkt des Zugriffs
• Rate-Limit-Informationen (Anzahl der Anfragen pro Zeitfenster)

Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die API-Bereitstellung sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für die IP-Protokollierung zur Missbrauchserkennung und Rate-Limiting.

Speicherdauer: API-Schlüssel und Protokolle werden gespeichert, solange Ihr Benutzerkonto besteht, und bei Kontolöschung vollständig entfernt.

7. PDF-Export und Archivierung

Nach dem Kauf eines PDF-Exports wird die erstellte Nebenkostenabrechnung als PDF-Datei auf unserem Server temporär gespeichert und kann Ihnen per E-Mail zugesendet werden.

Verarbeitete Daten: E-Mail-Adresse (aus dem Stripe-Checkout), PDF-Dokument (enthält die von Ihnen eingegebenen Abrechnungsdaten), Dateiname und Dateigröße.

Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Zustellung des gekauften Produkts).

Speicherdauer: Archivierte PDFs werden nach spätestens 30 Tagen automatisch gelöscht.

8. Kontaktformular

Über unser Kontaktformular können Sie uns Anfragen, Feedback oder Fehlermeldungen senden.

Verarbeitete Daten:

• Name
• E-Mail-Adresse
• Betreff und Kategorie der Anfrage
• Nachrichtentext

Ihre Anfrage wird als Ticket gespeichert, damit wir sie bearbeiten und Ihnen antworten können. Die Antwort erfolgt per E-Mail an die von Ihnen angegebene Adresse.

Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Kundenanfragen).

Speicherdauer: Kontaktanfragen werden nach Abschluss der Bearbeitung und Ablauf etwaiger gesetzlicher Aufbewahrungsfristen gelöscht.

Spam-Schutz: Zum Schutz vor automatisierten Anfragen verwenden wir ein Honeypot-Verfahren (verstecktes Formularfeld) sowie eine Begrenzung der Anfragen pro IP-Adresse. IP-Adressen werden dabei nur temporär im Arbeitsspeicher gehalten und nicht dauerhaft gespeichert.

9. E-Mail-Versand

Wir versenden E-Mails in folgenden Fällen:

• Zustellung des gekauften PDF-Exports nach einer Zahlung
• Antwort auf Ihre Kontaktanfrage (Ticket)

Der Versand erfolgt über unseren eigenen Mailserver (mail.mschlueter.net), der in Deutschland bei Hetzner gehostet wird. Es werden keine Daten an externe E-Mail-Dienstleister übermittelt.

Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

10. Web-Analytics (Umami, self-hosted)

Wir nutzen die Open-Source-Analyse-Software Umami auf eigenem Server (analytics.mschlueter.net, Hetzner DE). Es werden ausschließlich anonymisierte Daten verarbeitet (gekürzte IP-Adressen, keine Cookies, kein Cross-Site-Tracking). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenanalyse). Keine Übermittlung an Dritte. Speicherdauer: 14 Monate aggregiert.

10a. Internes Conversion- und Funnel-Tracking

Zur Optimierung unseres Angebots erfassen wir intern: aufgerufene Seiten, Verweildauer, anonymisierte IP (SHA256-Hash der auf 0 gekürzten letzten Oktett-Stelle), Browser-Klasse, Geräte-Klasse, UTM-Quellparameter, sowie freiwillige Aktionen (Rechner-Nutzung, Klicks auf CTAs, Download-Versuche, Checkout-Schritte).

Pseudonyme Funnel-Korrelation: Um zu verstehen, wie viele Besucher vom Rechner-Start bis zum Checkout gelangen, vergeben wir je Besucher eine pseudonyme, täglich rotierende Sitzungs-ID. Diese wird serverseitig aus dem IP-Hash, dem Browser-Klassifikator und einem geheimen Salt gebildet (SHA256, irreversibel). Sie wird ausschließlich zur tagesweisen Korrelation der oben genannten Aktionen verwendet und ist über den Tag hinaus weder reidentifizierbar noch zusammenführbar. Es werden keine Cookies und kein LocalStorage gesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweiten- und Funnel-Analyse, Pseudonymisierung nach Art. 4 Nr. 5 DSGVO) sowie § 25 Abs. 2 Nr. 2 TTDSG (technisch erforderlich für die anonyme Reichweitenmessung, kein Setzen von Endgeräte-Speicher). Speicherdauer: 90 Tage. Sie können der Verarbeitung jederzeit per E-Mail an [email protected] widersprechen (Art. 21 DSGVO).

11. Server-Logfiles

Beim Aufruf unserer Website erhebt der Hosting-Provider automatisch Informationen in sogenannten Server-Logfiles, die Ihr Browser automatisch übermittelt. Dies sind:

• Browsertyp und -version
• Verwendetes Betriebssystem
• Referrer-URL (zuvor besuchte Seite)
• IP-Adresse des zugreifenden Rechners
• Uhrzeit der Serveranfrage

Diese Daten sind nicht bestimmten Personen zuordenbar. Eine Zusammenführung mit anderen Datenquellen wird nicht vorgenommen. Die Daten werden nach spätestens 7 Tagen gelöscht. Grundlage der Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb der Website).

12. Hosting

Diese Website wird bei Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) gehostet. Der Server-Standort ist Deutschland. Hetzner verarbeitet die oben genannten Daten in unserem Auftrag. Grundlage ist ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Weitere Informationen finden Sie in der Datenschutzerklärung von Hetzner.

13. Content Delivery Network (Cloudflare)

Wir nutzen den Dienst Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) als Content Delivery Network (CDN) und zum Schutz vor DDoS-Angriffen. Dabei wird der Datenverkehr zwischen Ihrem Browser und unserem Server über die Infrastruktur von Cloudflare geleitet.

Cloudflare kann dabei folgende Daten verarbeiten: IP-Adresse, Sicherheits- und Zugangs-Logdaten, Informationen zu Ihrem Browser und Betriebssystem. Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an einem sicheren und performanten Betrieb der Website gemäß Art. 6 Abs. 1 lit. f DSGVO.

Cloudflare ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert, was ein angemessenes Datenschutzniveau für die Datenübermittlung in die USA gewährleistet. Zusätzlich gelten die Standardvertragsklauseln (SCCs) der EU-Kommission. Weitere Informationen finden Sie in der Datenschutzerklärung von Cloudflare.

14. SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an dem Schloss-Symbol in der Adresszeile Ihres Browsers sowie daran, dass die Adresszeile mit "https://" beginnt. Dadurch können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

15. Übersicht der Speicherdauern

16. Ihre Rechte nach der DSGVO

Ihnen stehen folgende Rechte gegenüber dem Verantwortlichen zu:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre verarbeiteten personenbezogenen Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermittelt werden. Als registrierter Nutzer können Sie Ihre Daten jederzeit selbst unter Mein Konto → Profil → „Meine Daten herunterladen“ als JSON-Datei exportieren (maximal 5 Exporte pro Tag). Der Export enthält Ihr Profil, Objekte, Mieter, Abrechnungen, Verbrauchsdaten, Tickets, Rechnungen, Zahlungen und weitere mit Ihrem Konto verknüpfte Datensätze.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO beruht.
• Art. 22 DSGVO — Sie haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet. Unser KI-Check liefert ausdrücklich KEINE rechtsverbindliche Entscheidung, sondern lediglich eine technische Auswertung als Hilfestellung. Eine endgültige rechtliche Bewertung sollte stets von einem Fachanwalt oder Mieterverein erfolgen.

Kontolöschung: Als registrierter Nutzer können Sie Ihr Benutzerkonto jederzeit selbstständig unter Mein Konto löschen. Dabei werden sämtliche mit Ihrem Konto verknüpften Daten (Projekte, Objekte, Mieter, Abrechnungen, Zahlungen, API-Schlüssel, API-Protokolle) unwiderruflich und vollständig gelöscht (Art. 17 DSGVO).

Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an: [email protected]

17. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist in der Regel die Aufsichtsbehörde Ihres Bundeslandes.

Die für uns zuständige Aufsichtsbehörde ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart.

18. Abonnements und Testphase

Bei Abschluss eines Abonnements (Vermieter Basis oder Pro) speichern wir: Abo-Plan, Status (aktiv/trialing/gekündigt), Abrechnungszeitraum, Stripe-Subscription-ID und Kündigungsstatus. Die 30-tägige kostenlose Testphase wird über Stripe verwaltet. Nach Ablauf erfolgt die automatische Umwandlung in ein kostenpflichtiges Abo, sofern nicht vorher gekündigt wird. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

19. Newsletter und Lead-Erfassung

Beim Kauf einer Premium-Vorlage (je 2,00 €) erfassen wir Ihre E-Mail-Adresse zum Zweck der Zustellung des Download-Links und der Bestätigungs-Mail. Optional können Sie beim Kauf der Zusendung von Informationen über Neuigkeiten und neue Vorlagen zustimmen (Newsletter) — diese Zustimmung ist nicht Bedingung für den Kauf. Die Zustimmung erfolgt über eine separate Checkbox und wird per Double-Opt-In (Bestätigungsklick in der E-Mail) rechtsverbindlich verifiziert. Sie können die Einwilligung jederzeit widerrufen — per E-Mail an [email protected] oder über den Abmeldelink in jeder E-Mail. Rechtsgrundlage für die Vertragsabwicklung (Vorlage-Kauf): Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Rechtsgrundlage für den Newsletter: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

20. Audit-Logging

Zur Gewährleistung der Sicherheit und Nachweisbarkeit protokollieren wir sicherheitsrelevante Aktionen in einem Audit-Log. Gespeicherte Daten: Art der Aktion (z.B. Kündigung, DSGVO-Bestätigung, Kontolöschung), Zeitpunkt, IP-Adresse und User-ID. Die Daten werden unbegrenzt gespeichert, soweit sie für rechtliche Nachweiszwecke erforderlich sind. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

21. Passwort-Zurücksetzen

Bei Anforderung eines Passwort-Reset-Links senden wir eine E-Mail mit einem einmalig gültigen Link (1 Stunde Gültigkeit). Gespeicherte Daten: Token, User-ID, Ablaufdatum. Nach Nutzung oder Ablauf werden die Token-Daten als verwendet markiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

22. Datensicherung (Backups)

Zur Datensicherheit erstellen wir regelmäßige Backups der Datenbank und hochgeladener Dateien. Die Backups werden auf einem separaten Speichermedium am gleichen Serverstandort (Hetzner, Deutschland) gespeichert. Echtzeit-Backups werden über Litestream erstellt und bis zu 7 Tage aufbewahrt. Stündliche Snapshots werden 48 Stunden, tägliche Backups 30 Tage aufbewahrt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Datensicherheit).

23. PDF-Archivierung

Von Kunden erstellte PDF-Dokumente (Abrechnungen, Übergabeprotokolle) werden für 30 Tage auf einem separaten Speicher archiviert und danach automatisch gelöscht. Die Archivierung erfolgt nach Kunden-E-Mail organisiert. Rechnungen unterliegen der gesetzlichen Aufbewahrungsfrist von 10 Jahren (§ 147 AO, § 14b UStG) und werden entsprechend länger gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für Rechnungen, Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für sonstige PDFs.

24. KI-Schnellcheck — Datenverarbeitung bei der KI-gestützten Prüfung

Bei der Nutzung des KI-Schnellchecks für Nebenkostenabrechnungen verarbeiten wir personenbezogene Daten gemäß den gesetzlichen Bestimmungen der Datenschutz-Grundverordnung (DSGVO). Mieter laden ihre Nebenkostenabrechnungen (PDF, JPG, PNG) über eine verschlüsselte Upload-Funktion hoch. Die Dokumente werden auf einem in Deutschland gehosteten Server (Hetzner Rechenzentrum) verarbeitet, um den Text mittels OCR-Technologie zu extrahieren. Der extrahierte Text wird anschließend an die Anthropic LLC (USA) übermittelt, wo die KI-Analyse (Claude) auf rechtliche Fehler und Unstimmigkeiten prüft. Nach Abschluss der OCR-Verarbeitung werden die Originaldokumente unverzüglich und unwiderruflich gelöscht.

24.1 Kategorien verarbeiteter Daten

Im Rahmen des KI-Schnellchecks werden folgende Datenkategorien verarbeitet:

• Hochgeladene Dokumente: Nebenkostenabrechnungen als PDF, JPG oder PNG. Diese können personenbezogene Daten wie Namen, Adressen und Abrechnungsbeträge enthalten.
• OCR-Text: Der aus den Dokumenten extrahierte Textinhalt.
• Analyseergebnisse: Die Ergebnisse der KI-Analyse, einschließlich identifizierter Fehler, Rechtsgrundlagen und geschätzter Erstattungsbeträge.
• IP-Adresse: Die IP-Adresse des Nutzers wird in gehashter Form temporär gespeichert, um die Rate-Limitierung sicherzustellen. Ein Rückschluss auf die Person ist nicht möglich.

24.2 Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Grundlagen:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Vor dem Upload erteilt der Nutzer durch Aktivierung einer Checkbox seine ausdrückliche Einwilligung in die Verarbeitung und Übermittlung der Daten an Dritte. Diese Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung ist erforderlich, um den KI-Schnellcheck als vertraglich vereinbarte Leistung durchzuführen.

24.3 Übermittlung an Dritte — Drittlandtransfer

Der extrahierte OCR-Text wird zur Durchführung der KI-Analyse an die Anthropic LLC (548 Market Street, San Francisco, CA 94104, USA) übermittelt. Diese Übermittlung in ein Drittland erfolgt auf Grundlage von Standardvertragsklauseln der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Anthropic LLC ist vertraglich verpflichtet, die übermittelten Daten ausschließlich zur Durchführung der beauftragten Analyse zu verwenden und gemäß den Anforderungen der DSGVO zu schützen. Eine Speicherung der Daten durch Anthropic über die Verarbeitung hinaus findet nicht statt.

24.4 Hinweise zu Risiken

Trotz umfassender technischer Schutzmaßnahmen weisen wir darauf hin, dass die Übermittlung von Daten in die USA mit einem Restrisiko hinsichtlich des dortigen Datenschutzniveaus verbunden ist. Hochgeladene Dokumente können personenbezogene Daten (Namen, Adressen, Mietvertragsdetails) enthalten, die im Rahmen der OCR-Extraktion verarbeitet werden. Die Nutzung KI-gestützter Analyse kann zudem zu unvollständigen oder fehlerhaften Ergebnissen führen. Der KI-Schnellcheck stellt ausdrücklich keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar.

24.5 Löschfristen

Wir halten uns an den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO). Konkret gelten folgende, automatisiert durchgesetzte Aufbewahrungsfristen — ein täglicher Cron-Job (03:30 Uhr) prüft die Datenbank und entfernt bzw. pseudonymisiert Datensätze nach Ablauf der jeweiligen Frist:

Anonyme Lead-Daten (z. B. abgebrochene Vorschauen ohne E-Mail-Adresse) werden spätestens nach 90 Tagen gelöscht. Die langfristige Aufbewahrung bezahlter Datensätze über zehn Jahre ergibt sich aus der gesetzlichen Pflicht zur Rechnungsaufbewahrung (§ 147 AO); inhaltliche Daten der Abrechnung (Dateiname, OCR-Text, Analyse) sind in dieser Phase bereits pseudonymisiert.

24.6 Sicherheitsmaßnahmen

• Transportverschlüsselung: Sämtliche Datenübertragungen erfolgen ausschließlich über HTTPS (TLS 1.2+).
• OCR-Verarbeitung in Deutschland: Die Texterkennung erfolgt ausschließlich auf Servern im Hetzner Rechenzentrum in Deutschland.
• Sofortige Dokumentenlöschung: Hochgeladene Originaldateien werden unmittelbar nach der OCR-Verarbeitung gelöscht und zu keinem Zeitpunkt dauerhaft gespeichert.
• IP-Hashing: IP-Adressen werden ausschließlich als kryptographischer Hash gespeichert (SHA-256). Ein Rückschluss auf die ursprüngliche IP-Adresse ist technisch nicht möglich.

24.7 Betroffenenrechte

Im Zusammenhang mit der Verarbeitung Ihrer Daten im KI-Schnellcheck stehen Ihnen folgende Rechte zu:

• Auskunftsrecht (Art. 15 DSGVO): Sie können jederzeit Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die unverzügliche Löschung Ihrer Daten verlangen.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen.
• Widerruf der Einwilligung: Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird.
• Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, z. B. beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

Für datenschutzrechtliche Anfragen zum KI-Schnellcheck wenden Sie sich bitte an: [email protected]

24.8 Datenverarbeitung von Dritten (Art. 14 DSGVO)

Beim Upload von Nebenkostenabrechnungen werden gegebenenfalls auch personenbezogene Daten des Vermieters (Name, Adresse, Bankverbindung, Hausverwaltungs-Kontakte) verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer Überprüfung der Abrechnung durch den Vertragspartner). Es erfolgt keine eigenständige Kontaktaufnahme mit diesen Dritten. Die Daten werden ausschließlich zur Analyse durch die KI verarbeitet, nicht an weitere Empfänger übermittelt und nach 24 Stunden aus der Datenbank gelöscht.

Sie als Nutzer stellen sicher, dass Sie berechtigt sind, die Abrechnung hochzuladen (als Mieter bezüglich Ihrer eigenen Wohnung bzw. als bevollmächtigter Dritter). Wenn Sie uns Abrechnungen fremder Mietverhältnisse zur Verfügung stellen, sind Sie für die Rechtsgrundlage der Datenerhebung verantwortlich.

24a. NK 2.0 Verwaltungs-Features (Pro-Abo)

Im Rahmen der Pro-Abo-Verwaltung speichern wir:

• Energieausweise: Aussteller, Ausstelldatum, Gültigkeit, Endenergie-/Primärenergiewerte, Effizienzklasse
• Verbrauchsdaten: Kategorien (Heizung, Wasser, Strom, Müll), Jahr/Monat, Verbrauch, Kosten, Zählerstände
• Mietpreisbremse-Dokumente: Auskunftsschreiben, Stichtage, Ergebnisse

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: für die Dauer Ihres Nutzerkontos, Löschung jederzeit über das jeweilige Modul. Keine Übermittlung an Dritte.

25. Feedback-System (Service-Bewertungen)

Wir versenden gelegentlich Feedback-Anfragen an unsere Kunden, um den Service zu verbessern. Diese E-Mails enthalten eine 5-stufige Bewertungsskala (Smileys) sowie ein optionales Notizfeld. Mit einem Klick gelangen Sie auf eine Landing-Page, auf der Sie Ihre Bewertung bestätigen können.

Erhobene Daten: Bewertung (1–5), optionale Notiz, Public-Consent (Checkbox), Kontakt-Wunsch bei niedriger Bewertung, gehashte IP zur Missbrauchs-Erkennung, User-Agent.

Anonymisierte Veröffentlichung: Wenn Sie das Häkchen »Mein Feedback darf anonymisiert auf der Website veröffentlicht werden« setzen, können wir nur Ihren Vornamen (z. B. »Markus«), Ihren Plan und Ihre Notiz auf der Website (z. B. /preise) anzeigen. Niemals werden E-Mail-Adresse, Nachname oder vollständige Daten veröffentlicht. Sie können Ihre Zustimmung jederzeit per E-Mail an [email protected] widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Service-Verbesserung). Bei Public-Consent zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Abmeldung: Jede Feedback-E-Mail enthält einen 1-Klick-Abmelde-Link. Nach Abmeldung erhalten Sie keine weiteren Feedback-Anfragen mehr. Service-relevante E-Mails (Rechnungen, Sicherheits-Hinweise) sind davon nicht betroffen.

Speicherdauer: bis zur Konto-Löschung oder bis zum Widerruf der Einwilligung. Bei Konto-Löschung werden alle Feedback-Antworten unwiderruflich gelöscht.

27. Lena Chat-Assistentin (KI-Chatbot)

Auf jeder Seite unserer Website finden Sie unten rechts eine Chat-Sprechblase mit unserer KI-Assistentin „Lena“. Lena hilft kostenlos und ohne Anmeldung bei Fragen zur Nebenkostenabrechnung, zum Mietrecht, zur Bedienung des Rechners und zu unseren Produkten.

Verarbeitete Daten

• Ihre Chat-Eingaben (von Ihnen frei formulierter Text)
• Optional: Bilder, die Sie freiwillig per Büroklammer-Button hochladen (z.B. Fotos einer Nebenkostenabrechnung). Maximal 5 MB pro Bild, nur JPG/PNG/GIF/WebP.
• Antworten der KI
• Eine Sitzungs-ID zur Zuordnung der Konversation
• Optional: Ihre E-Mail-Adresse, falls Sie sie freiwillig im Chat angeben
• Gehashte IP-Adresse zur Rate-Limit-Kontrolle (Schutz vor Missbrauch)

Hinweis zu Bild-Uploads: Wenn Sie einen Screenshot Ihrer Abrechnung oder ein anderes Foto hochladen, wird das Bild als Base64 an Anthropic LLC übermittelt, damit Lena es analysieren kann. Bitte schwärzen Sie sensible Daten (vollständige Anschrift, IBAN, Geburts­datum) vor dem Upload. Wir empfehlen, Bilder ausschließlich mit den für die Frage notwendigen Informationen hochzuladen.

Verarbeitung durch Anthropic LLC (USA)

Die Chat-Eingaben werden an die Anthropic LLC, 548 Market St, San Francisco, CA 94104, USA übermittelt, wo das Sprachmodell Claude Haiku 4.5 die Antwort generiert. Anthropic ist Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Anthropic ist vertraglich verpflichtet, die Daten ausschließlich zur Bearbeitung Ihrer Anfrage zu nutzen und nicht für eigene Zwecke (z.B. Modell-Training).

Web-Recherche bei unbekannten Themen

Bei Fragen, die Lena aus ihrem statischen Wissen nicht beantworten kann (z.B. aktuelle BGH-Urteile, regionale Spezifika), kann sie eine Web-Suche über das Anthropic-Server-Tool web_search durchführen. Maximal drei Suchen pro Konversation. Der Suchbegriff wird Anthropic und dem Such-Provider (Brave Search) bekannt. Persönliche Daten werden dabei nicht weitergegeben — Lena formuliert die Suche neutral. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung „Customer Service“).

Speicherdauer

Chat-Sitzungen werden zur Qualitätssicherung und für mögliche Folge-Fragen bis zu 180 Tagen gespeichert. Auf Anfrage löschen wir Ihre Chat-Daten sofort und vollständig ([email protected]). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Service-Qualität).

28. KI-Antwort-Vorschläge im Support-Ticketsystem

Bei Eingang eines Support-Tickets generiert unsere KI-Assistentin Lena im Hintergrund automatisch einen Antwort-Vorschlag — aber nur als Entwurf für unser Support-Team. Die finale Antwort wird IMMER von einer natürlichen Person geprüft und bewusst freigegeben oder verworfen. Es erfolgt kein automatischer Versand.

Hierbei werden der Ticket-Inhalt (Betreff, Nachricht, bisheriger Verlauf) sowie Ihr Name an Anthropic LLC übermittelt (siehe §27 Auftragsverarbeitung). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung Kundenbetreuung). Diese Verarbeitung findet nur bei Tickets der Kategorien „Frage“ und „Sonstiges“ statt. Bei „Bug“ und „Feedback“ ist sie deaktiviert.

29. Erinnerungs-Mails bei abgebrochener Bestellung

Wenn Sie auf unserer Website eine Bestellung gestartet (z.B. KI-Schnellcheck, Vermieter-Abo) aber nicht abgeschlossen haben, senden wir Ihnen 2 bis 48 Stunden später eine einmalige Erinnerungs-E-Mail mit einem freundlichen Hinweis und einem Hilfsangebot. Wir nutzen diese Daten ausschließlich für diese Erinnerung — kein Newsletter, kein Werbenetzwerk, keine Weitergabe an Dritte.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Wiederaufnahme einer begonnenen Bestellung). Sie können der Verarbeitung jederzeit unter Verweis auf Ihren Namen oder Ihre E-Mail-Adresse widersprechen ([email protected]). Pro Bestellung verschicken wir maximal eine Reminder-Mail; nach 48 Stunden erfolgt kein Versand mehr.

30. Internes E-Mail-Audit-Log

Zu Audit-, Compliance- und Qualitätssicherungszwecken speichern wir alle ausgehenden E-Mails an Kunden in einer internen Datenbank (Empfänger, Betreff, Inhalt, Versanddatum, Status). Diese Tabelle ist ausschließlich für Administratoren zugänglich. Speicherdauer: 24 Monate; danach automatische Löschung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nachweisbarkeit der Customer-Service-Kommunikation und an einem konsistenten Support-Verlauf).

Bei einer DSGVO-Löschanfrage (Art. 17) werden auch die in dieser Tabelle gespeicherten Mails Ihrer Person unwiderruflich entfernt.

31. Werbe-E-Mails nach Vorlagen-Kauf (§ 7 Abs. 3 UWG)

Wenn Sie auf unserer Website eine Premium-Vorlage (z.B. Excel-Tabelle, Widerspruchs-Muster, Checkliste) für 2,00 € gekauft und dabei Ihre E-Mail-Adresse angegeben haben, dürfen wir Sie gemäß § 7 Abs. 3 UWGgelegentlich auf eigene ähnliche Produkte hinweisen — namentlich auf unseren kostenlosen Online-Rechner unter /rechner und unsere Vermieter-Abos. Eine zusätzliche Einwilligung ist dafür nicht erforderlich, weil mit dem Kauf zwischen Ihnen und uns eine entgeltliche Geschäftsbeziehung entstanden ist.

Was wir tun, um Sie nicht zu überfordern

• Cooldown von 14 Tagen zwischen zwei Marketing-Mails an dieselbe Adresse
• Kein Bombardement: maximal eine Handvoll Mails pro Jahr und Empfänger
• Inhaltlich bewusst auf Mehrwert statt Verkaufsdruck

Ihr Widerspruchsrecht (Art. 21 Abs. 3 DSGVO)

Sie können jederzeit der weiteren Nutzung Ihrer E-Mail-Adresse für Marketing-Zwecke widersprechen — ohne dass Ihnen daraus Nachteile entstehen. Folgende Wege stehen Ihnen offen:

• 1-Klick-Abmelde-Link in jeder Marketing-E-Mail (Footer und Mail-Header List-Unsubscribe nach RFC 8058 — funktioniert auch direkt aus Gmail/Outlook über den eingeblendeten Abmelde-Button).
• Direkte Abmeldung jederzeit unter /marketing/abmelden (Sie benötigen den Token aus der zuletzt erhaltenen Mail).
• Formlose E-Mail an [email protected].

Nach Widerspruch wird Ihre Adresse in einer separaten Sperrliste markiert (marketing_unsubscribed_at), so dass Sie aus weiteren Kampagnen automatisch ausgeschlossen sind. Transaktionale E-Mails (Bestellbestätigungen, Konto-Hinweise) bleiben davon unberührt, da sie keine Werbung sind.

Hinweis bei Vorlagen-Download: Auf der Download-Seite weisen wir Sie zusätzlich explizit darauf hin, dass nach § 7 Abs. 3 UWG Werbe-Mails an Ihre Adresse möglich sind und dass Sie jederzeit widersprechen können.

32. Bewertungsplattform Trustpilot

Auf unserer Website verlinken wir an mehreren Stellen (Footer, nach erfolgreicher Berechnung sowie als QR-Code im PDF-Export) auf unser Profil bei der Bewertungsplattform Trustpilot. Anbieter ist die Trustpilot A/S, Pilestræde 58, 5. Stock, 1112 Kopenhagen, Dänemark.

Beim bloßen Aufruf unserer Website werden keine Daten an Trustpilot übertragen — wir binden weder Skripte noch Widgets ein. Erst wenn Sie aktiv auf einen Trustpilot-Link klicken oder den QR-Code scannen, verlässt Ihr Browser unsere Seite und Sie werden zu Trustpilot weitergeleitet. Dabei übermittelt Ihr Browser an Trustpilot die übliche Verbindungsinformation (IP-Adresse, User-Agent, ggf. Referrer-URL).

Rechtsgrundlage für die Verlinkung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer authentischen Reputation und Feedback unserer Nutzer). Trustpilot kann personenbezogene Daten auch in Drittländer außerhalb der EU übertragen. Weitere Informationen finden Sie in der Datenschutzerklärung von Trustpilot: de.legal.trustpilot.com/end-user-privacy-terms.

33. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Es gilt die jeweils aktuelle, auf dieser Seite veröffentlichte Fassung.

Stand: 10.05.2026