Geschäftsunterlagen
10 Jahre (§ 147 AO, § 257 HGB)
Datenschutzerklärung · Stand 2026-06-10
Datenschutzerklärung
ENTWURF
Wie VermieterPro mit Daten, Anfragen und Aufbewahrung umgeht.
1. Einleitung
1.1 Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist:
Demoangaben
VermieterPro GmbH
Musterstraße 1, 12345 Musterstadt, Deutschland
Handelsregister: HRB 123456, Amtsgericht Musterstadt
Geschäftsführer: Max Mustermann
E-Mail (Datenschutz): datenschutz@vermieterpro.de
E-Mail (Support): support@vermieterpro.de
Telefon: +49 123 456789-0
Website: https://www.vermieterpro.de
1.2 Datenschutzbeauftragter
Datenschutzkontakt
Externer Datenschutzbeauftragter: [Name, Kanzlei, Anschrift, E-Mail]
1.3 Geltungsbereich
Diese Datenschutzerklärung gilt für die Nutzung der SaaS-Plattform VermieterPro. Die Plattform besteht aus zwei Komponenten:
- Verwaltungsplattform: Webanwendung für Vermieter zur Verwaltung von Immobilien, Mietern, Verträgen, Nebenkosten, Dokumenten, WEG und Finanzierungen.
- Mieterportal (PWA): Separater Zugang für Mieter zu eigenen Daten, Abrechnungen, Dokumenten, Zählerständen und Nachrichten.
1.4 Rollenverteilung im Datenschutz
Die Plattform arbeitet in einem Dreiecksverhältnis:
- VermieterPro GmbH ist Auftragsverarbeiter (Art. 28 DSGVO) für die vom Vermieter gespeicherten Mieterdaten.
- Der jeweilige Vermieter ist Verantwortlicher (Art. 4 Nr. 7 DSGVO) für die Daten seiner Mieter.
- Der Mieter ist Betroffener (Art. 4 Nr. 1 DSGVO).
Für die eigenen Vertragsdaten des Vermieters (Account, Rechnungen) ist die VermieterPro GmbH selbst Verantwortlicher.
2. Allgemeine Informationen zur Datenverarbeitung
2.1 Rechtsgrundlagen
Die Verarbeitung erfolgt auf folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Nutzungsvertrag SaaS; Mietvertrag)
- Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung (§ 147 AO, § 257 HGB)
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (IT-Sicherheit, Missbrauchsprävention)
Ergänzend gelten BDSG-neu, BetrKV, HeizkostenV, CO2KostAufG (DE) sowie DSG/MRG/HeizKG (AT) und revDSG/OR (CH).
2.2 Speicherdauer und Löschkonzept
Die Plattform unterscheidet zwischen Archivierung (Soft Delete) und dauerhafter Löschung (Hard Delete).
Mietverträge & Abrechnungen
3 Jahre nach Vertragsende (§ 195 BGB)
Server-Logs (IP)
7 Tage (gekürzt)
Session-Cookies
Bis zum Schließen des Browsers
Modulspezifische Löschregeln: Immobilien werden archiviert (Hard-Delete nur ohne Abhängigkeiten). Mieter werden deaktiviert/reaktiviert (Hard-Delete nur ohne Fremddaten). Operative Verträge werden nicht hart gelöscht. Dokumente werden archiviert und wiederhergestellt. Nachrichten und Konversationen sind hart löschbar. Abrechnungen sind hart löschbar (kein Restore-Flow).
2.3 Datenminimierung
Pflichtfelder sind im UI gekennzeichnet. Optionale Felder können freiwillig befüllt werden. Mieter sehen im Portal ausschließlich ihre eigenen Daten.
2.4 Auftragsverarbeitung
Für Mieterdaten wird ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Der AVV regelt Weisungsgebundenheit, TOM, Subunternehmer und Unterstützung bei Betroffenenrechten.
2.5 Weitergabe an Dritte
Hosting-Provider
[Platzhalter] — Server-Betrieb, DB-Hosting, Backup
E-Mail-Dienstleister
[Platzhalter] — Benachrichtigungen, Passwort-Reset
S3-Storage-Anbieter
[Platzhalter] — Dokumenten- und Logo-Speicherung (optional)
2.6 Drittlandtransfer
Die Plattform wird auf Servern in Deutschland betrieben. Eine Übermittlung in Drittländer findet grundsätzlich nicht statt. Bei Nutzung eines S3-Anbieters außerhalb der EU/des EWR ist dies eine eigenverantwortliche Entscheidung des Kunden.
3. Datenverarbeitung für Vermieter/Kunden
Für diese Verarbeitungen ist die VermieterPro GmbH selbst Verantwortlicher.
3.1 Registrierung und Account-Verwaltung
Daten: Firmenname, Name, Anschrift, E-Mail, Telefon (opt.), Logo (opt.), Bankverbindung (opt.), USt-IdNr. (gewerblich)
Zweck: SaaS-Nutzungsvertrag
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Speicherdauer: Dauer des Accounts + 10 Jahre (§ 147 AO, § 257 HGB)
3.2 Nutzung der Plattform
Login: E-Mail + Passwort-Hash (Argon2id), Session-ID, Audit-Log (activity_events mit event_type='auth.login.success')
Server-Logs: IP-Adresse (gekürzt), Zeitstempel, URL, HTTP-Status — kein Passwort-Logging
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO
Speicherdauer: Logs 7 Tage; Audit-Log für Account-Dauer
3.3 Kommunikation
Daten: E-Mail-Adresse, Kommunikationsinhalte, Zeitstempel
Rechtsgrundlage: Art. 6 Abs. 1 lit. b / lit. f DSGVO
Speicherdauer: Vertragsbezogene Korrespondenz 10 Jahre; Support-Anfragen 2 Jahre
3.4 Profil und Branding
Daten: Logo-Upload (PNG, JPG, WebP; 600–1200 px, max. 1 MB), Absenderdaten für Briefe
Speicherort: Upload-Verzeichnis / S3-Bucket
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
4. Datenverarbeitung im Auftrag des Vermieters (Mieterdaten)
Wichtiger Hinweis
Für sämtliche in diesem Abschnitt beschriebenen Verarbeitungen ist nicht die VermieterPro GmbH, sondern der jeweilige Vermieter der Verantwortliche. VermieterPro verarbeitet diese Daten ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Weisung des Vermieters.
4.1 Immobilienverwaltung
Tabellen: properties, units
Daten: Objektanschrift, Baujahr, Objekttyp, Grundstücksgröße, Energieausweis, Einheiten (Gebäudeteil, Etage, Nutzungsart, Zimmer, Flächen), Einheitencode (unit_code)
Zweck: Grundlage für Mietverträge und Nebenkosten
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Zugriff: Owner, Manager (voll); Assistant (eingeschränkt); Viewer (lesend)
Speicherdauer: Dauer des Immobilienbestands + 3 Jahre nach letztem Mietverhältnis
4.2 Mieterverwaltung
Tabellen: users, account_memberships, party_profiles
Daten: Vor-/Nachname, E-Mail, Telefon (opt.), Geburtsdatum (opt.), Anschrift, vorherige Adresse (opt.), Bankverbindung (IBAN, BIC, Bankname, Kontoinhaber), Offene Posten, Zahlungseingänge, Mahnhistorie, interne Notizen (versioniert, nur Vermieter)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Mietvertrag), lit. c (gesetzliche Pflicht), lit. f (Mahnwesen, Notizen)
Zugriff: Owner, Manager (voll); Assistant (eingeschränkt); Viewer (lesend); Mieter (nur eigene Daten)
Speicherdauer: Dauer des Mietverhältnisses + 3 Jahre
4.3 Mietverträge
Tabellen: leases, lease_tenants, lease_household_members, lease_handover_keys, lease_handover_conditions, deposit_transactions
Daten: Mietbeginn/-ende, Mietzins, Kaution, Staffelmiete/Indexmiete, Haushaltsmitglieder (Name, Geburtsdatum, Ein-/Auszug), Kündigung, Übergabeprotokolle, Kautionsverwaltung, Kleinreparaturklausel, Individualvereinbarungen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, lit. c, lit. f DSGVO
Speicherdauer: Dauer des Vertrags + 3 Jahre; nur Entwürfe sind hart löschbar
4.4 WEG-Verwaltung (Add-on)
Tabellen: property_weg_owners, property_weg_unit_shares, property_weg_resolutions, property_weg_reserve_accounts, property_weg_reserve_movements
Daten: Eigentümer, Miteigentumsanteile, Beschlüsse, Rücklagen
Zugriff: Nur bei aktiviertem WEG-Add-on; Owner, Manager
Speicherdauer: Dauer der WEG-Verwaltung + 10 Jahre
4.5 Finanzierungsdaten (Add-on)
Tabellen: property_financings, property_loans, property_land_charges, property_loan_repayments, property_loan_rate_changes
Daten: Darlehensdaten, Grundschulden, Tilgungspläne, Bankverbindungen, CH-Steuerfelder (swiss_*)
CH-Besonderheit: swiss_*-Felder können im Schweizer Kontext als besondere Kategorie personenbezogener Daten gelten (revDSG).
Zugriff: Nur bei aktiviertem Finanzierungs-Add-on; Owner, Manager
Speicherdauer: Dauer der Finanzierung + 10 Jahre
4.6 Belege und Dokumente
Tabellen: documents, document_categories
Daten: Hochgeladene PDFs/Bilder/Textdateien, MIME-Typ, Dateigröße, Upload-Datum, Zuordnungen (Objekt, Einheit, Mieter, Vertrag, Darlehen, Grundschuld)
Zugriff: Mieter sehen nur ihnen zugewiesene Dokumente
Speicherdauer: Archivierung/Wiederherstellung; Frist je Dokumenttyp 3–10 Jahre
4.7 Nebenkostenabrechnung
Tabellen: utility_cost_entries, utility_settlements, utility_settlement_tenant_allocations, co2_cost_splitting_results, energy_invoices, fuel_inventory_lots, dunning_logs, receivables, payments
Daten: Kostenpositionen, Verteilregeln, Abrechnungen, CO₂-Aufteilung (CO2KostAufG), Mahnwesen, Zahlungen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, lit. c (HeizkostenV, BetrKV, CO2KostAufG), lit. f (Mahnwesen)
Speicherdauer: Abrechnungen hart löschbar; gesetzliche Aufbewahrung 10 Jahre
4.8 Zählerstände
Tabellen: meters, meter_readings
Daten: Zählertyp, Seriennummer, Ablesedatum, Zählerstand, Belegfotos (opt.)
Zugriff: Mieter: nur eigene Zähler, mit Meldefunktion
Speicherdauer: Zähler über Statuswechsel; Messwerte hart löschbar
4.9 Nachrichten
Tabellen: conversations, conversation_participants, messages
Daten: Betreff, Teilnehmer, Nachrichteninhalte, Zeitstempel, Lesestatus, Dateianhänge
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, lit. f DSGVO
Zugriff: Nur Konversationsteilnehmer
Speicherdauer: Nachrichten und Konversationen hart löschbar
4.10 Aufgaben und Fristen
Tabellen: tasks, task_categories
Daten: Beschreibung, Priorität, Status, Fälligkeit, Zuweisung zu Objekt/Einheit/Mieter
Speicherdauer: Aufgaben archiviert/wiederhergestellt; Kategorien hart löschbar
4.11 Aktivitäten-Log (Audit-Trail)
Tabelle: activity_events
Daten: Zeitstempel, Aktionstyp, Entität, Benutzer, Payload (JSONB)
Zweck: Nachvollziehbarkeit, Revisionssicherheit
Zugriff: Owner, Manager; kein Zugriff für Mieter
5. Datenverarbeitung für Mieter (Mieterportal)
5.1 Login und Authentifizierung
JWT-basierte Authentifizierung mit E-Mail + Passwort (Argon2id). IP-Adresse (gekürzt, 7 Tage). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
5.2 Sichtbare Daten
Mieter sehen ausschließlich eigene Daten: Stammdaten, Bankverbindung, Mietverträge, Nebenkostenabrechnungen, Zählerstände, Dokumente, Nachrichten.
5.3 Aktionen des Mieters
Zählerstand melden (mit Belegfoto), Mangel melden (max. 3 Fotos), Nachrichten senden, Bankverbindung bearbeiten, Profil einsehen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
5.4 Cookies und Caching
JWT-Token im Browser-Speicher (kein Cookie). PWA-Service-Worker cached statische Assets (CSS, JS, Icons). Kein Caching personenbezogener Daten. Keine Analyse-/Marketing-Cookies.
6. Betroffenenrechte (Art. 12–23 DSGVO)
6.1 Für Vermieter/Kunden
Auskunft (Art. 15)
Dashboard, Profilseiten; strukturierte Auskunft per E-Mail
Berichtigung (Art. 16)
Profilformulare, Einstellungen; selbstständig korrigierbar
Löschung (Art. 17)
Account-Löschung auf Anfrage; gesetzliche Fristen bleiben unberührt
Einschränkung (Art. 18)
Auf Anfrage; technisch durch Account-Deaktivierung
Datenübertragbarkeit (Art. 20)
Export als strukturiertes JSON/CSV; Dokumente als PDF
Widerspruch (Art. 21)
Bei Verarbeitung auf Basis Art. 6 Abs. 1 lit. f; E-Mail an datenschutz@vermieterpro.de
6.2 Für Mieter
Wichtig
Für Mieterdaten ist der Vermieter der primäre Ansprechpartner. VermieterPro unterstützt den Vermieter technisch bei der Umsetzung der Betroffenenrechte, ist aber nicht selbst Verantwortlicher für Mieterdaten.
Auskunft
Mieterportal zeigt eigene Daten; Vermieter kann strukturierte Auskunft exportieren
Berichtigung
Mieter kann Bankverbindung selbst bearbeiten; andere Änderungen über Vermieter-UI
Löschung
Hard-Delete-Funktionen pro Modul; technische Anleitung für Vermieter
Datenübertragbarkeit
Export als JSON/CSV; Abrechnungen und Dokumente als PDF
7. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Zugangskontrolle
Login mit E-Mail + Passwort (Argon2id). Rate-Limiting: 10 Fehlversuche / 5 Min. Session-Cookie: HttpOnly, Secure, SameSite=Lax. CSRF-Schutz auf allen mutierenden Endpunkten. Startup-Warnung bei unsicheren Defaults.
Zugriffskontrolle
Fünf Rollen: Owner, Manager, Assistant, Viewer, Tenant. Mandantenisolation über account_id in allen Business-Tabellen. Composite Foreign Keys. Mieter-Portal-Filter über tenant_membership_id. Dev-Wechsler in Produktion deaktiviert.
Weitergabekontrolle
TLS/HTTPS für alle Datenübertragungen. SESSION_COOKIE_SECURE=1 in Produktion. SESSION_COOKIE_HTTPONLY=1. SESSION_COOKIE_SAMESITE=Lax.
Speicherkontrolle
Passwort-Hashing mit Argon2id. Datenbank-Verschlüsselung at-rest [Platzhalter]. Uploads nur über Anwendungslogik, nicht direkt über Dateisystem.
Eingabekontrolle
Audit-Log (activity_events) protokolliert alle Änderungen. Versionierte Notizen (tenant_internal_notes_history). Audit-Log nicht manipulierbar.
Verfügbarkeitskontrolle
Tägliche automatisierte DB-Backups, verschlüsselt. Docker-basierte Wiederherstellbarkeit. Definierte Ressourcen-Grenzen im Container.
Trennungskontrolle
account_id in allen Business-Tabellen. Composite Foreign Keys (Migration 20260530_01 ff.). Alle Service-Queries filtern nach Account-Kontext. Account-bezogene Upload-Speicherung.
Pseudonymisierung
IP-Adressen in Logs um letztes Oktett gekürzt. Export-Daten für Testzwecke pseudonymisiert.
8. Cookies und Tracking
Die Plattform verwendet ein technisch notwendiges Session-Cookie (session): HttpOnly, Secure (in Produktion), SameSite=Lax, läuft beim Schließen des Browsers ab. Ein CSRF-Token dient ausschließlich der Sicherheit.
Kein Einsatz von: Analyse-Cookies (Google Analytics, Matomo), Marketing-Cookies (Facebook Pixel, Google Ads), Third-Party-Cookies, Browser-Fingerprinting, Profiling, automatisierten Einzelentscheidungen (Art. 22 DSGVO).
9. Änderungen dieser Datenschutzerklärung
Änderungen werden bei Gesetzesänderungen, Funktionserweiterungen, neuen Dienstleistern oder Unternehmensänderungen vorgenommen. Vermieter werden per E-Mail informiert, Mieter per In-App-Benachrichtigung oder Mitteilung durch den Vermieter.
10. Kontakt und Beschwerde
Verantwortlicher
[Demodaten]
VermieterPro GmbH
Musterstraße 1, 12345 Musterstadt
datenschutz@vermieterpro.de
+49 123 456789-0
Datenschutzbeauftragter
[Platzhalter]
[Name, Kanzlei, Anschrift, E-Mail]
Aufsichtsbehörde
[Platzhalter]
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit [Bundesland]
10.4 Beschwerderecht
Betroffene Personen haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Für Mieter sind Beschwerden primär an den Vermieter als Verantwortlichen zu richten.