Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Steffen Heidrich
In den Kläuern 4, 55129 Mainz
E-Mail: datenschutz@klarmiete.de

1.1 Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Bei datenschutzrechtlichen Fragen wenden Sie sich bitte an die oben genannte Adresse.

2. Erhebung und Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienste erforderlich ist. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 DSGVO.

2.1 Registrierung und Benutzerkonto

Bei der Registrierung erheben wir:

• E-Mail-Adresse (Pflichtfeld, zur Identifikation und Kommunikation)
• Vor- und Nachname (optional)
• Passwort (verschlüsselt gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

2.2 Immobilien- und Mietdaten

Zur Erbringung unserer Immobilienverwaltungsdienste verarbeiten wir:

• Objektdaten (Adresse, Baujahr, Energieausweis)
• Mieterdaten (Name, Kontaktdaten, IBAN)
• Mietvertragsdaten (Miethöhe, Laufzeit, Kaution)
• Finanzdaten (Buchungen, Nebenkostenabrechnungen)
• Dokumente (Verträge, Rechnungen, Fotos)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

2.3 Sensible Finanzdaten

IBAN-Nummern und andere sensible Finanzdaten werden mittels Fernet-Verschlüsselung (AES-128-CBC) verschlüsselt in der Datenbank gespeichert. In Listenansichten werden IBAN-Nummern maskiert angezeigt (nur die letzten 4 Ziffern sichtbar).

2.4 Bankanbindung (BANKSapi/PSD2)

Bei Nutzung der automatischen Bankanbindung werden Transaktionsdaten über den BaFin-lizenzierten, PSD2-zertifizierten Dienstleister BANKSapi Technology GmbH (Finconomy AG) abgerufen. Der PSD2-Consent ist maximal 180 Tage gültig und muss danach erneuert werden. Es gelten zusätzlich die Datenschutzbestimmungen von BANKSapi.

2.5 KI-Funktionen (Anthropic Claude)

Bei Nutzung der KI-gestützten Funktionen (Abrechnungsprüfung, KI-Chat) werden relevante Daten zur Verarbeitung an die Anthropic API übermittelt. Die Daten werden nur zur Beantwortung Ihrer Anfrage verwendet und nicht für das Training von KI-Modellen genutzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

2.6 Newsletter

Sie können sich freiwillig für unseren Newsletter anmelden. Der Versand erfolgt über unseren eigenen E-Mail-Server.

Erhobene Daten:

• E-Mail-Adresse (Pflichtfeld)
• Zeitpunkt der Anmeldung (für Nachweiszwecke)

Die Anmeldung erfolgt über ein Double-Opt-In-Verfahren: Nach Eingabe Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungs-E-Mail. Erst nach Klick auf den Bestätigungslink werden Sie in den Verteiler aufgenommen.

Sie können den Newsletter jederzeit über den Abmelden-Link in jeder E-Mail oder per Nachricht an uns abbestellen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

3. Hosting und Datenstandort

Diese Anwendung wird auf Clever Cloud gehostet, einem europäischen Cloud-Anbieter mit Sitz in Frankreich. Alle Daten werden ausschließlich in der Europäischen Union gespeichert und verarbeitet.

Clever Cloud ist ISO 27001:2022 zertifiziert und unterliegt vollständig der DSGVO. Es findet keine Übermittlung personenbezogener Daten in Drittstaaten statt (mit Ausnahme der optionalen KI-Funktionen, siehe Abschnitt 2.5).

4. Datensicherheit

Wir setzen folgende technische und organisatorische Maßnahmen ein:

• SSL/TLS-Verschlüsselung aller Verbindungen (HSTS)
• Verschlüsselung sensibler Datenfelder (Fernet/AES)
• Datenbankbasierte Sessions (keine Cookie-Speicherung)
• Zwei-Faktor-Authentifizierung (TOTP)
• CSRF- und XSS-Schutz
• Strikte Datenisolierung zwischen Benutzerkonten

5. Mieterportal

KlarMiete bietet ein Mieterportal, über das Vermieter ihren Mietern Zugang zu bestimmten Daten gewähren können.

5.1 Zugang und Authentifizierung

Der Zugang zum Mieterportal erfolgt über einen individuellen, vom Vermieter generierten Token-Link. Mieter benötigen keine eigene Registrierung und kein Benutzerkonto bei KlarMiete.

5.2 Sichtbare Daten für Mieter

Im Mieterportal können Mieter ausschließlich folgende Daten einsehen:

• Nebenkostenabrechnungen, die ihnen zugeordnet sind
• Dokumente, die vom Vermieter explizit als „für Mieter sichtbar“ freigegeben wurden
• Schadensmeldungen, die sie selbst erstellt haben

Der Vermieter kann den Portal-Zugang jederzeit deaktivieren oder den Token regenerieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung zwischen Vermieter und Mieter)

6. Steuerberater-Schnittstelle

Vermieter können ihrem Steuerberater über KlarMiete einen Lesezugriff auf ihre steuerlich relevanten Daten gewähren.

6.1 Datenfreigabe

Die Datenfreigabe erfolgt ausschließlich auf Initiative und Einwilligung des Vermieters durch Einladung per E-Mail. Der Steuerberater erhält daraufhin Lesezugriff auf:

• Jahresübersicht und Anlage-V-Daten
• Buchungen und Finanzdaten
• DATEV-Export

Der Steuerberater hat keinen Schreibzugriff und kann keine Daten verändern.

6.2 Widerruf

Der Vermieter kann die Datenfreigabe an den Steuerberater jederzeit widerrufen. Nach Widerruf hat der Steuerberater keinen Zugriff mehr auf die Daten des Vermieters.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Vermieters)

7. Ihre Rechte nach DSGVO

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können unrichtige Daten berichtigen lassen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen. Sie können Ihr Konto und alle zugehörigen Daten jederzeit über die Kontoeinstellungen löschen.
• Recht auf Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten Format exportieren (JSON/CSV) über die Datenexport-Funktion.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung widersprechen.

8. Cookies und externe Dienste

Diese Anwendung verwendet ausschließlich technisch notwendige Cookies:

• Session-Cookie (sessionid): Für die Authentifizierung, Lebensdauer: Sitzung bzw. 2 Wochen
• CSRF-Cookie (csrftoken): Zum Schutz vor Cross-Site-Request-Forgery
• Cookie-Einwilligung (cookie_consent): Speicherung Ihrer Cookie-Präferenz

Für die Darstellung werden CDN-Dienste verwendet (Tailwind CSS, Alpine.js, HTMX, Chart.js). Dabei können IP-Adressen an die jeweiligen CDN-Betreiber übermittelt werden.

9. Auftragsverarbeitung

Mit folgenden Dienstleistern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO:

• Clever Cloud SAS (Hosting, Datenbank) - Sitz: Frankreich, EU
• BANKSapi Technology GmbH / Finconomy AG (Bankanbindung) - Sitz: Deutschland, EU (optional)
• Anthropic PBC (KI-Funktionen) - Sitz: USA, Standardvertragsklauseln (optional)

10. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt. Bei Löschung Ihres Kontos werden alle zugehörigen Daten unverzüglich gelöscht. Gesetzliche Aufbewahrungspflichten (z. B. steuerrechtliche Aufbewahrungsfristen von 10 Jahren) bleiben unberührt.

11. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für Sie zuständige Aufsichtsbehörde richtet sich nach Ihrem Wohnsitz oder Arbeitsort.

12. Änderungen

Diese Datenschutzerklärung kann bei Bedarf aktualisiert werden. Die aktuelle Version ist stets auf dieser Seite abrufbar.

Stand: Februar 2026