Immobilien Butler
Zurück zur StartseiteAnmelden

Datenschutz

Verarbeitungstätigkeiten, Speicherorte, Auftragsverarbeiter und Betroffenenrechte — vollständige Übersicht.

Worum es hier geht

Volltext-Übersicht aller Datenverarbeitungs-Vorgänge der Software

Diese Seite beschreibt vollständig und transparent, welche personenbezogenen Daten in der Software „Immobilien Butler“ verarbeitet werden, wo sie gespeichert sind, mit welchen Auftragsverarbeitern wir zusammenarbeiten und wie lange Daten aufbewahrt werden. Maßgeblich ist der jeweils auf dieser Seite veröffentlichte Stand; die Seite ist versionskontrolliert mit dem Quellcode der Software und wird bei jeder Änderung am Datenfluss aktualisiert.

Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Mandanten) sowie, soweit gesetzliche Aufbewahrungspflichten betroffen sind, Art. 6 Abs. 1 lit. c DSGVO. Soweit der Mandant über die Software personenbezogene Daten Dritter verarbeitet (insbesondere von Mietern), ist er datenschutzrechtlich Verantwortlicher; wir handeln als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Grundlage der separat akzeptierten Vereinbarung zur Auftragsverarbeitung (AVV).

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und Anbieter der Software:

IP Strategy UG (haftungsbeschränkt)
Niederrheinstraße 46f, 41472 Neuss
Deutschland
E-Mail allgemein: legal@siyaya-digital.com · E-Mail Datenschutz: legal@siyaya-digital.com
Vertretungsberechtigt: Ilya Piontek · Amtsgericht Neuss, HRB 23546 · Steuernummer 122/573/900/49
Verantwortlich für den Inhalt nach § 55 Abs. 2 RStV: Ilya Piontek, Niederrheinstraße 46f, 41472 Neuss, Deutschland

2. Verarbeitete Datenkategorien und Zwecke

Was die Software tatsächlich verarbeitet — pro Kategorie

DatenkategorieKonkrete DatenZweckRechtsgrundlage
Mandant-Konto- und AuthentisierungsdatenName, E-Mail-Adresse, gehashtes Passwort, verschlüsseltes TOTP-Geheimnis (AES-256-GCM), gehashte Backup-Codes, IP-Adresse beim Login, ISO-2-Land und Stadt des letzten Zugriffs (aus Vercel-Edge-Headern, kein neuer Subprozessor), User-Agent, Audit-Log-EinträgeBereitstellung des Software-Zugangs, Sicherheit der Authentisierung (Mehr-Faktor / 2FA), Nachvollziehbarkeit von Aktionen, Master-Admin-Übersicht über letzten Zugriff je MandantArt. 6 Abs. 1 lit. b DSGVO (Vertrag), Art. 32 DSGVO (Sicherheit)
Stammdaten Eigentümer / VermieterName, Anschrift, Steuer-Identifikationsnummer, IBAN (für Mietzahlungs-Reporting), E-Mail, TelefonBewirtschaftung der Liegenschaften, Anlage V (Steuererklärung), DATEV-ExportArt. 6 Abs. 1 lit. b DSGVO; Aufbewahrung gem. § 147 AO
Stammdaten MieterName, Anschrift, Geburtsdatum (optional), Bankverbindung (für Lastschrift-/SEPA-Reporting), E-Mail, TelefonVerwaltung des Mietverhältnisses, Mietzahlungs-Abgleich, Mahnwesen, NebenkostenabrechnungArt. 6 Abs. 1 lit. b DSGVO (Mandant ist Verantwortlicher gegenüber dem Mieter)
Belege und RechnungenPDF / Bilder von Rechnungen, Quittungen, Kontoauszügen; daraus extrahierte Felder (Rechnungsnummer, Beträge, Lieferanten)Buchhaltung der Liegenschaften (SKR 03 V+V), Anlage V, DATEV-ExportArt. 6 Abs. 1 lit. b DSGVO; Aufbewahrung 10 Jahre gem. § 147 AO
Bank-TransaktionenBuchungstexte, Beträge, Verwendungszweck, IBANs der Kontoinhaber und GeschäftspartnerAutomatischer Abgleich von Mietzahlungen, Kautionsbewegungen und Beleg-ZahlungenArt. 6 Abs. 1 lit. b DSGVO; Import erfolgt aktuell ausschließlich über CSV-Upload durch den Mandanten
DokumenteBeliebige Dateien (PDF, Bilder), die der Mandant der Software übergibt — Mietverträge, Übergabeprotokolle, Versicherungsscheine, Fotos, SteuerbescheideDokumentenverwaltung mit Volltextsuche, Anhang an Belege / Mietverträge / LiegenschaftenArt. 6 Abs. 1 lit. b DSGVO; ggf. Aufbewahrung gem. § 147 AO / § 257 HGB
Mandant-ausgehende E-Mails (Mahnwesen, NK-Abrechnungen, Einladungen)Empfänger-Adresse, Betreff, Inhalt, ggf. PDF-Anlage; Versandprotokoll (delivered / bounced)Kommunikation des Mandanten mit Mietern, Lieferanten oder Mit-Nutzern; alle ausgehenden Nachrichten erfordern eine explizite Freigabe-Aktion (kein Auto-Versand)Art. 6 Abs. 1 lit. b DSGVO
KI-Belegerkennung (Anthropic Claude API)Bytes der hochgeladenen Beleg-Datei werden zur Inferenz an Anthropic übermittelt; Rückgabe sind strukturierte Felder (Lieferant, Betrag, Datum, USt.).Automatische Vorbefüllung der Beleg-FelderArt. 6 Abs. 1 lit. b DSGVO; Anthropic verarbeitet als Auftragsverarbeiter ohne dauerhafte Speicherung der Anfrage und ohne Modelltraining auf Mandanten-Daten
Butler-Assistent (Anthropic Claude API)Die Frage des Nutzers im Chat-Fenster sowie ein kompakter Aggregat-Schnappschuss des Mandanten (Anzahlen — z.B. „12 Liegenschaften, 3 offene Mietzahlungen“). KEINE personenbezogenen Daten, keine Namen, keine IBAN, keine Beträge im Klartext.Beantwortung von Bedienungsfragen zur Software (z.B. „wie erstelle ich eine Mahnung?“); strikt auf Software-Themen begrenzt durch Tool-Use-Constraints und Server-seitige Validierung der Antwort.Art. 6 Abs. 1 lit. b DSGVO; Anthropic verarbeitet als Auftragsverarbeiter ohne dauerhafte Speicherung der Anfrage und ohne Modelltraining auf Mandanten-Daten

3. Speicherorte und Übertragungs-Sicherheit

Was wo liegt — und wie es geschützt ist

VerarbeitungAnbieterRegionIn TransitAt Rest
Application-Hosting (Web-Frontend, API-Routen, Edge-Funktionen)Vercel Inc.EU-Region „fra1“ (Frankfurt am Main, Deutschland)TLS 1.2+ enforcedKeine persistente Speicherung auf der Compute-Schicht
PostgreSQL-Datenbank (alle Stammdaten, Buchungen, Audit-Log)Supabase Inc. (auf AWS Frankfurt)AWS eu-central-1 (Frankfurt)TLS 1.2+ erzwungenAES-256, automatische tägliche Backups + Point-in-Time-Recovery (7 Tage)
Dokumentenspeicher (Belege, Verträge, Fotos, exportierte PDFs)Cloudflare, Inc. (R2)EU-Bucket (Cloudflare R2 EU jurisdiction)TLS 1.2+ erzwungen, signierte Presigned URLs (TTL 5 Minuten)AES-256
KI-Inferenz für BelegerkennungAnthropic, PBC (Claude API)USA — Übertragung zur Inferenz, KEINE dauerhafte SpeicherungTLS 1.2+Anthropic Zero-Data-Retention (Commercial Terms)
Ausgehende E-MailsResend Inc.EU (eu-west-1)TLS-SMTPVersandprotokoll bis zu 30 Tage
Eingehende Beleg-E-Mails (belege@<tenant>.immobilien-butler.com)ActiveCampaign / Wildbit (Postmark Inbound)USA — Übergabe via Webhook, anschließende LöschungTLS 1.2+Automatische Löschung nach erfolgreichem Webhook-Empfang

4. Auftragsverarbeiter (Subunternehmer)

Mit wem wir zusammenarbeiten — und warum

Eine vollständige, jeweils aktuelle Liste der eingesetzten Subunternehmer einschließlich Sitz, Verarbeitungsregion und der Rechtsgrundlage für etwaige Drittlandtransfers findet sich in Anlage 2 der Vereinbarung zur Auftragsverarbeitung.

Mit jedem dort genannten Subunternehmer besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Bei Subunternehmern mit Sitz außerhalb der EU/EWR (insbesondere Anthropic für die KI-Belegerkennung) erfolgt die Übermittlung auf Grundlage der EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914). Wir treffen ergänzende technische Maßnahmen (Verschlüsselung, Datenminimierung, Zero-Data-Retention), die in Anlage 1 der AVV beschrieben sind.

5. Aufbewahrungsfristen

Wann was gelöscht wird

DatenkategorieAufbewahrungRechtsgrundlage
Belege, Rechnungen, Buchungen, Bank-Transaktionen10 Jahre§ 147 Abs. 1 Nr. 4, Abs. 3 AO
Mietverträge, Geschäftskorrespondenz6 Jahre§ 147 Abs. 1 Nr. 2, 3 AO; § 257 Abs. 1 Nr. 2, 3 HGB
Audit-Log (Sicherheits-relevante Vorgänge)Mindestens 12 Monate, faktisch durch Backups längerArt. 32 DSGVO
User-Konten und AuthentisierungsdatenWährend der Vertragslaufzeit; Löschung nach Vertragsende, soweit keine Aufbewahrungspflicht entgegenstehtArt. 17 DSGVO
TOTP-Geheimnis und Recovery-CodesBis zum Widerruf der 2FA durch den NutzerArt. 32 DSGVO
KI-Inferenz-Daten (Belege an Anthropic)Keine dauerhafte Speicherung beim Provider (Zero Data Retention)Anthropic Commercial Terms

6. Technisch-organisatorische Maßnahmen (TOMs)

Wie wir die Daten schützen

Die wichtigsten Schutzmaßnahmen im Überblick:

  • Verschlüsselung in Transit (TLS 1.2+) für jede Kommunikation zwischen Browser, Anwendung und allen Subunternehmern.
  • Verschlüsselung at-rest (AES-256) bei Datenbank und Dokumentenspeicher.
  • Drei-Stufen-Rollenmodell (master_admin / admin / user) mit feingranularen Permissions.
  • Mandantenscharfe Datenisolation auf Anwendungsebene, schrittweise Postgres Row-Level-Security.
  • Audit-Log aller geld-, daten- und sicherheitsrelevanten Vorgänge — einsehbar unter „System → Audit-Log“.
  • Zwei-Faktor-Authentisierung (TOTP nach RFC 6238) für alle Nutzer aktivierbar; AES-256-GCM- Verschlüsselung der TOTP-Geheimnisse at rest; 5-Versuch-Lockout über 15 Minuten; mandantenweite Verpflichtung durch den Mandant-Administrator konfigurierbar.
  • Automatische Abmeldung bei Inaktivität (Standard 10 Minuten, pro Benutzer in den Einstellungen anpassbar).
  • Secret-Management ausschließlich über Vercel-Environment-Variablen — niemals im Quellcode.
  • Tägliche Backups mit Point-in-Time-Recovery; regelmäßige Restore-Tests.

Die vollständige, audit-grade Fassung der Maßnahmen gem. Art. 32 DSGVO inkl. Kontroll- Matrix (DSGVO/ISO/BSI), verbleibender Risiken und Versionsstand finden Sie im TOM-Dokument; eine kurzgefasste Beschreibung ist zudem in Anlage 1 der AVV enthalten.

7. Ihre Rechte als betroffene Person

Sie haben jederzeit folgende Rechte uns gegenüber bzw. gegenüber dem Mandant, wenn Sie als Mieter, Eigentümer, Lieferant oder Dienstleister erfasst sind:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO), soweit keine gesetzliche Aufbewahrungspflicht entgegensteht
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch (Art. 21 DSGVO)
  • Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Anfragen zu Ihren Rechten richten Sie bitte direkt an den verantwortlichen Mandanten. Anfragen, die uns als Auftragsverarbeiter erreichen, leiten wir unverzüglich an den Mandanten weiter und unterstützen ihn bei der Beantwortung. Für Fragen zur Datenverarbeitung durch uns selbst erreichen Sie uns unter legal@siyaya-digital.com.

8. Datenübermittlung in Drittländer

Drei der eingesetzten Subunternehmer haben ihren rechtlichen Sitz außerhalb der Europäischen Union (Vercel, Cloudflare, Anthropic), speichern die Daten jedoch überwiegend in EU-Regionen. Eine tatsächliche Übermittlung von Daten in die USA findet regelmäßig nur bei der KI-Belegerkennung (Anthropic) statt.

Rechtsgrundlage dieser Übermittlung sind die EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914. Ergänzende technische und organisatorische Maßnahmen — insbesondere die ausschließliche Inferenz ohne dauerhafte Speicherung beim Provider und der vertraglich zugesicherte Verzicht auf Modelltraining mit Mandanten-Daten — runden den Schutz ab.

9. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung wird laufend an die tatsächliche Verarbeitung in der Software angepasst. Sie ist Teil des Quellcodes der Software und wird bei jeder Änderung am Datenfluss zeitgleich mit dem Release veröffentlicht. Die jeweils aktuelle Fassung ist unter /datenschutz jederzeit abrufbar.