Datenschutzerklärung
Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 und Art. 14 DSGVO.
1. Verantwortlicher
Rentarion UG (haftungsbeschränkt)
Am Hochstand 32
81827 München
Deutschland
E-Mail: info@rentarion.de
[ANWALT PRÜFEN: Muss ein Datenschutzbeauftragter benannt werden? Ab 20 Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG).]
2. Verarbeitungszwecke und Rechtsgrundlagen
2.1 Bereitstellung der SaaS-Plattform
Wir verarbeiten Ihre Daten, um Ihnen die RENTARION-Plattform zur Verfügung zu stellen — insbesondere die Verwaltung von Mietverträgen, Fristen, Nebenkostenabrechnungen und zugehörigen Dokumenten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.2 Benutzerkonto und Authentifizierung
Bei der Einladung und Anmeldung verarbeiten wir Name, E-Mail-Adresse und ein gehashtes Passwort (bcrypt). Die Anmeldung erfolgt ausschließlich über Einladung durch den Tenant-Administrator.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.3 Dokumentenverarbeitung (OCR)
Hochgeladene PDF-Dokumente werden mittels optischer Zeichenerkennung (OCR) verarbeitet, um Vertragsdaten automatisch zu extrahieren. Die Verarbeitung erfolgt über Azure Document Intelligence (Standort: West Europe) und Azure OpenAI GPT-4o (Standort: Sweden Central, EU Data Boundary). Es findet kein Training mit Ihren Daten statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.4 E-Mail-Benachrichtigungen
Wir versenden transaktionale E-Mails im Rahmen des Nutzungsverhältnisses: Einladungen, Passwort-Reset, Fristen-Erinnerungen und wöchentliche Zusammenfassungen. Kein Newsletter, keine Werbung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.5 Sicherheit und Missbrauchsschutz
Wir setzen Rate Limiting (Anfragenbegrenzung) ein, um Brute-Force-Angriffe und Missbrauch zu verhindern. Dabei werden IP-Adressen und Anfragezähler kurzfristig in Redis gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Plattform).
2.6 Protokollierung (Audit-Logs)
Alle Änderungen an Vertragsdaten werden in einem Audit-Log protokolliert. Dies dient der Nachvollziehbarkeit, der Einhaltung der Vier-Augen-Validierung und der Erfüllung handelsrechtlicher Aufbewahrungspflichten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung, § 257 HGB) und lit. f (berechtigtes Interesse an Nachvollziehbarkeit).
2.7 Prüfung auf kompromittierte Passwörter
Beim Festlegen oder Ändern eines Passworts prüfen wir, ob dieses in öffentlich bekannten Datenlecks aufgetaucht ist, und warnen Sie in diesem Fall. Dazu wird das Passwort in Ihrem Browser mit dem Verfahren der k-Anonymität in einen nicht umkehrbaren Prüfwert (SHA-1) umgewandelt; ausschließlich dessen erste fünf Zeichen werden an den Dienst „Have I Been Pwned" (Pwned Passwords Range-API) übermittelt. Das Passwort selbst verlässt Ihr Gerät zu keinem Zeitpunkt; der Abgleich des vollständigen Prüfwerts erfolgt lokal im Browser. Der Anbieter erhält weder Ihr Passwort noch Ihren Namen oder Ihre E-Mail-Adresse. Schlägt die Prüfung fehl (z. B. keine Verbindung), können Sie ohne Abgleich fortfahren.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kontosicherheit).
[ANWALT PRÜFEN: Bei diesem Aufruf wird die IP-Adresse des Geräts gegenüber dem Betreiber von „Have I Been Pwned" (Sitz Australien, Auslieferung über Cloudflare) offengelegt. Drittland-Bezug nach Art. 44 ff. DSGVO bewerten bzw. Verzicht auf den externen Abgleich erwägen.]
3. Auftragsverarbeiter
Wir setzen die folgenden Dienstleister als Auftragsverarbeiter ein. Mit allen Anbietern besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. [ANWALT PRÜFEN: AVV mit allen Anbietern abgeschlossen? Insbesondere mit der Hetzner Online GmbH (Backup, Nürnberg) ist ein AVV nach Art. 28 DSGVO abzuschließen.]
| Anbieter | Zweck | Standort |
|---|---|---|
| Supabase Inc. | PostgreSQL-Datenbank und Dateispeicher (Storage) | EU-Region (Frankfurt) |
| Microsoft Azure — Document Intelligence | OCR-Verarbeitung hochgeladener PDF-Dokumente | West Europe |
| Microsoft Azure — OpenAI Service | Strukturierte Feldextraktion aus OCR-Text (GPT-4o). EU Data Boundary, kein Training mit Kundendaten. | Sweden Central (EU) |
| Resend Inc. | Versand transaktionaler E-Mails | EU-Rechenzentrum |
| Vercel Inc. | Hosting der Webanwendung (Edge Network) | Frankfurt (fra1) |
| Upstash Inc. | Redis für Rate Limiting (Missbrauchsschutz) | Frankfurt (EU) |
| Hetzner Online GmbH | Off-site-Backup (Datei-Storage und Datenbank) | Nürnberg (Deutschland) |
[ANWALT PRÜFEN: Supabase und Resend sind US-Unternehmen mit EU-Datenverarbeitung. Prüfen ob EU-US Data Privacy Framework oder Standardvertragsklauseln (SCC) als Garantie ausreichen.]
4. Kategorien verarbeiteter Daten
- Bestandsdaten: Name, E-Mail-Adresse, Rolle, Tenant-Zugehörigkeit
- Authentifizierungsdaten: Gehashtes Passwort, Session-Tokens, Einladungs-/Reset-Tokens
- Vertragsdaten: Mietverträge (PDF-Dateien), extrahierte Felder (Miete, Fristen, Adressen, Mieternamen), Confidence-Scores
- Finanzdaten: Mietbeträge, Nebenkosten, Kautionen, Abrechnungsergebnisse
- Nutzungsdaten: Audit-Logs (Aktion, Zeitpunkt, User-ID), Benachrichtigungs-Logs
- Technische Daten: IP-Adresse (nur für Rate Limiting, kurzfristig), Browser-Typ (Server-Logs von Vercel)
5. Cookies
RENTARION verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt.
| Cookie | Zweck | Speicherdauer |
|---|---|---|
authjs.session-token | Authentifizierung und Session-Verwaltung | 7 Tage (Session-Laufzeit) |
rentarion-language | Bevorzugte Sprache (Deutsch/Englisch) | 1 Jahr |
rentarion-workspace | Gewählter Arbeitsbereich (Mieter-/Vermieter-Portfolio) | 1 Jahr |
cookie-consent | Speichert ob der Cookie-Hinweis bestätigt wurde | 1 Jahr |
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch notwendige Cookies sind von der Einwilligungspflicht ausgenommen).
6. Aufbewahrungsfristen
| Datenkategorie | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| Vertragsdaten und Dokumente | Dauer des Nutzungsverhältnisses + 30 Tage nach Vertragsende | Art. 6 Abs. 1 lit. b DSGVO |
| Audit-Logs — steuerlich relevant (Buchungsbelege, abrechnungsrelevante Änderungen) | 10 Jahre | Art. 6 Abs. 1 lit. c DSGVO (§ 147 AO) |
| Audit-Logs — reine Systemlogs (ohne steuerliche Relevanz) | 6 Jahre | Art. 6 Abs. 1 lit. c DSGVO (§ 257 HGB) |
| Benutzerkonten | Bis zur Löschung durch den Tenant-Administrator oder Vertragsende | Art. 6 Abs. 1 lit. b DSGVO |
| Backups | 90 Tage (automatische Rotation), gespeichert bei der Hetzner Online GmbH, Nürnberg (Deutschland); nach aktiver Löschung der Kundendaten verbleiben diese in Backups ausschließlich unter eingeschränkter Verarbeitung (kein aktiver Zugriff) bis zur nächsten Rotation | Art. 6 Abs. 1 lit. f DSGVO |
| Rate-Limiting-Daten (IP, Zähler) | Maximal 1 Stunde | Art. 6 Abs. 1 lit. f DSGVO |
7. Ihre Rechte als betroffene Person
Sie haben gemäß der DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO): Sie können eine Bestätigung verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten, und Auskunft über diese Daten erhalten.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflichten entgegenstehen. Die Löschung kann durch den Tenant-Administrator über die Plattform veranlasst werden.
- Recht auf Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten. RENTARION bietet einen JSON-Datenexport über die Einstellungen.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können gegen die Verarbeitung auf Grundlage berechtigter Interessen Widerspruch einlegen.
Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: info@rentarion.de
8. Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
https://www.lda.bayern.de
[ANWALT PRÜFEN: Anschrift des BayLDA vor Go-live kurz verifizieren.]
9. Automatisierte Entscheidungsfindung
Die OCR-Extraktion und Feldextraktion mittels GPT-4o stellt keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO dar. Alle extrahierten Werte werden dem Benutzer zur manuellen Überprüfung und Korrektur vorgelegt (Confidence-Scoring, Vier-Augen-Validierung). Es werden keine rechtsverbindlichen Entscheidungen automatisiert getroffen.
[ANWALT PRÜFEN: Bestätigung, dass die OCR-Pipeline keine automatisierte Einzelentscheidung nach Art. 22 DSGVO darstellt.]
10. Datenübermittlung in Drittländer
Alle Auftragsverarbeiter verarbeiten Daten innerhalb der EU bzw. des EWR. Backups werden bei der Hetzner Online GmbH in Nürnberg (Deutschland) gespeichert; Hetzner ist ein deutsches Unternehmen ohne Drittlandbezug. Einige Anbieter (Supabase, Resend, Vercel, Upstash) sind US-Unternehmen mit EU-Datenverarbeitung.
Beim Abgleich gegen bekannte Datenlecks (siehe Ziffer 2.7) wird zudem die IP-Adresse Ihres Geräts gegenüber dem Dienst „Have I Been Pwned" offengelegt, dessen Range-API über Cloudflare ausgeliefert wird. Vertrags- oder Kontodaten werden dabei nicht übertragen.
Die Datenübermittlung ist abgesichert durch:
- EU-US Data Privacy Framework (DPF) — soweit der Anbieter zertifiziert ist
- EU-Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO
- Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO
[ANWALT PRÜFEN: DPF-Zertifizierung aller US-Anbieter aktuell gültig? SCC-Versionen aktuell?]
11. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen der Plattform anzupassen. Die aktuelle Version ist stets unter rentarion.de/datenschutz abrufbar.
Stand: Juli 2026
Hinweis: Diese Datenschutzerklärung ist ein Entwurf. Der datenschutzrechtliche Teil steht noch unter abschließender Prüfung; alle mit [ANWALT PRÜFEN] gekennzeichneten Stellen bedürfen einer datenschutzrechtlichen Freigabe vor Veröffentlichung. Vor dem produktiven Einsatz mit echten Mieterdaten müssen zudem ein AVV-Muster (Art. 28 DSGVO) und — soweit erforderlich — eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) vorliegen.