Datenschutzerklärung
Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 und Art. 14 DSGVO.
1. Verantwortlicher
[FIRMENNAME]
[ADRESSE]
[PLZ ORT]
Deutschland
E-Mail: [E-MAIL]
Telefon: [TELEFON]
[ANWALT PRÜFEN: Muss ein Datenschutzbeauftragter benannt werden? Ab 20 Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG).]
2. Verarbeitungszwecke und Rechtsgrundlagen
2.1 Bereitstellung der SaaS-Plattform
Wir verarbeiten Ihre Daten, um Ihnen die RENTARION-Plattform zur Verfügung zu stellen — insbesondere die Verwaltung von Mietverträgen, Fristen, Nebenkostenabrechnungen und zugehörigen Dokumenten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.2 Benutzerkonto und Authentifizierung
Bei der Einladung und Anmeldung verarbeiten wir Name, E-Mail-Adresse und ein gehashtes Passwort (bcrypt). Die Anmeldung erfolgt ausschließlich über Einladung durch den Tenant-Administrator.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.3 Dokumentenverarbeitung (OCR)
Hochgeladene PDF-Dokumente werden mittels optischer Zeichenerkennung (OCR) verarbeitet, um Vertragsdaten automatisch zu extrahieren. Die Verarbeitung erfolgt über Azure Document Intelligence (Standort: West Europe) und Azure OpenAI GPT-4o (Standort: Sweden Central, EU Data Boundary). Es findet kein Training mit Ihren Daten statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.4 E-Mail-Benachrichtigungen
Wir versenden transaktionale E-Mails im Rahmen des Nutzungsverhältnisses: Einladungen, Passwort-Reset, Fristen-Erinnerungen und wöchentliche Zusammenfassungen. Kein Newsletter, keine Werbung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.5 Sicherheit und Missbrauchsschutz
Wir setzen Rate Limiting (Anfragenbegrenzung) ein, um Brute-Force-Angriffe und Missbrauch zu verhindern. Dabei werden IP-Adressen und Anfragezähler kurzfristig in Redis gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Plattform).
2.6 Protokollierung (Audit-Logs)
Alle Änderungen an Vertragsdaten werden in einem Audit-Log protokolliert. Dies dient der Nachvollziehbarkeit, der Einhaltung der Vier-Augen-Validierung und der Erfüllung handelsrechtlicher Aufbewahrungspflichten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung, § 257 HGB) und lit. f (berechtigtes Interesse an Nachvollziehbarkeit).
3. Auftragsverarbeiter
Wir setzen die folgenden Dienstleister als Auftragsverarbeiter ein. Mit allen Anbietern besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. [ANWALT PRÜFEN: AVV mit allen Anbietern abgeschlossen?]
| Anbieter | Zweck | Standort |
|---|---|---|
| Supabase Inc. | PostgreSQL-Datenbank und Dateispeicher (Storage) | EU-Region (Frankfurt) |
| Microsoft Azure — Document Intelligence | OCR-Verarbeitung hochgeladener PDF-Dokumente | West Europe |
| Microsoft Azure — OpenAI Service | Strukturierte Feldextraktion aus OCR-Text (GPT-4o). EU Data Boundary, kein Training mit Kundendaten. | Sweden Central (EU) |
| Resend Inc. | Versand transaktionaler E-Mails | EU-Rechenzentrum |
| Vercel Inc. | Hosting der Webanwendung (Edge Network) | Frankfurt (fra1) |
| Upstash Inc. | Redis für Rate Limiting (Missbrauchsschutz) | Frankfurt (EU) |
[ANWALT PRÜFEN: Supabase und Resend sind US-Unternehmen mit EU-Datenverarbeitung. Prüfen ob EU-US Data Privacy Framework oder Standardvertragsklauseln (SCC) als Garantie ausreichen.]
4. Kategorien verarbeiteter Daten
- Bestandsdaten: Name, E-Mail-Adresse, Rolle, Tenant-Zugehörigkeit
- Authentifizierungsdaten: Gehashtes Passwort, Session-Tokens, Einladungs-/Reset-Tokens
- Vertragsdaten: Mietverträge (PDF-Dateien), extrahierte Felder (Miete, Fristen, Adressen, Mieternamen), Confidence-Scores
- Finanzdaten: Mietbeträge, Nebenkosten, Kautionen, Abrechnungsergebnisse
- Nutzungsdaten: Audit-Logs (Aktion, Zeitpunkt, User-ID), Benachrichtigungs-Logs
- Technische Daten: IP-Adresse (nur für Rate Limiting, kurzfristig), Browser-Typ (Server-Logs von Vercel)
5. Cookies
RENTARION verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt.
| Cookie | Zweck | Speicherdauer |
|---|---|---|
authjs.session-token | Authentifizierung und Session-Verwaltung | 7 Tage (Session-Laufzeit) |
rentarion-language | Bevorzugte Sprache (Deutsch/Englisch) | 1 Jahr |
rentarion-workspace | Gewählter Arbeitsbereich (Mieter-/Vermieter-Portfolio) | 1 Jahr |
cookie-consent | Speichert ob der Cookie-Hinweis bestätigt wurde | 1 Jahr |
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch notwendige Cookies sind von der Einwilligungspflicht ausgenommen).
6. Aufbewahrungsfristen
| Datenkategorie | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| Vertragsdaten und Dokumente | Dauer des Nutzungsverhältnisses + 30 Tage nach Vertragsende | Art. 6 Abs. 1 lit. b DSGVO |
| Audit-Logs | 6 Jahre [ANWALT PRÜFEN: 6 Jahre HGB § 257 oder 10 Jahre AO § 147 je nach Buchungsrelevanz?] | Art. 6 Abs. 1 lit. c DSGVO (HGB § 257) |
| Benutzerkonten | Bis zur Löschung durch den Tenant-Administrator oder Vertragsende | Art. 6 Abs. 1 lit. b DSGVO |
| Backups | 30 Tage (automatische Rotation) | Art. 6 Abs. 1 lit. f DSGVO |
| Rate-Limiting-Daten (IP, Zähler) | Maximal 1 Stunde | Art. 6 Abs. 1 lit. f DSGVO |
7. Ihre Rechte als betroffene Person
Sie haben gemäß der DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO): Sie können eine Bestätigung verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten, und Auskunft über diese Daten erhalten.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflichten entgegenstehen. Die Löschung kann durch den Tenant-Administrator über die Plattform veranlasst werden.
- Recht auf Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten. RENTARION bietet einen JSON-Datenexport über die Einstellungen.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können gegen die Verarbeitung auf Grundlage berechtigter Interessen Widerspruch einlegen.
Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: [E-MAIL]
8. Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
[AUFSICHTSBEHÖRDE — z. B. Landesbeauftragter für den Datenschutz und die Informationsfreiheit, Anschrift, Website]
[ANWALT PRÜFEN: Zuständige Behörde abhängig vom Sitz des Unternehmens.]
9. Automatisierte Entscheidungsfindung
Die OCR-Extraktion und Feldextraktion mittels GPT-4o stellt keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO dar. Alle extrahierten Werte werden dem Benutzer zur manuellen Überprüfung und Korrektur vorgelegt (Confidence-Scoring, Vier-Augen-Validierung). Es werden keine rechtsverbindlichen Entscheidungen automatisiert getroffen.
[ANWALT PRÜFEN: Bestätigung, dass die OCR-Pipeline keine automatisierte Einzelentscheidung nach Art. 22 DSGVO darstellt.]
10. Datenübermittlung in Drittländer
Alle Auftragsverarbeiter verarbeiten Daten innerhalb der EU bzw. des EWR. Einige Anbieter (Supabase, Resend, Vercel, Upstash) sind US-Unternehmen mit EU-Datenverarbeitung.
Die Datenübermittlung ist abgesichert durch:
- EU-US Data Privacy Framework (DPF) — soweit der Anbieter zertifiziert ist
- EU-Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO
- Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO
[ANWALT PRÜFEN: DPF-Zertifizierung aller US-Anbieter aktuell gültig? SCC-Versionen aktuell?]
11. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen der Plattform anzupassen. Die aktuelle Version ist stets unter rentarion.de/datenschutz abrufbar.
Stand: April 2026
Hinweis: Diese Datenschutzerklärung ist ein Entwurf. Alle mit [ANWALT PRÜFEN] gekennzeichneten Stellen bedürfen einer anwaltlichen Prüfung vor Veröffentlichung.