Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

NextGen IT Solutions GmbH
Stockholmer Platz 1
70173 Stuttgart
Deutschland
E-Mail: datenschutz@nextgenitsolutions.de

2. Datenschutzbeauftragter

Sie erreichen unseren Datenschutzbeauftragten unter: dpo@nextgenitsolutions.de. Postalisch ist der Datenschutzbeauftragte über die oben genannte Geschäftsanschrift mit dem Zusatz „Der Datenschutzbeauftragte“ erreichbar.

3. Datenerhebung und -verarbeitung

Wir erheben und verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienstleistungen erforderlich ist oder Sie ausdrücklich eingewilligt haben. Die Verarbeitung erfolgt auf Basis der folgenden Rechtsgrundlagen der DSGVO:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)

Bei der Registrierung und Nutzung von ImmoVault erheben wir folgende Daten: Name, E-Mail-Adresse, Immobiliendaten, Mieterdaten (inkl. Bonitäts- und Bankdaten bei Nutzung entsprechender Module) und Transaktionsdaten. Diese Daten werden ausschließlich zur Erbringung unserer Verwaltungsdienstleistungen verwendet.

4. Hosting

Alle produktiven Anwendungsdaten werden auf Servern in Deutschland bei der Hetzner Online GmbH (Nürnberg) gespeichert und verarbeitet. Hetzner ist nach ISO 27001 zertifiziert und unterliegt dem deutschen und europäischen Datenschutzrecht. Für einzelne Verarbeitungszwecke setzen wir zusätzlich sorgfältig ausgewählte Auftragsverarbeiter ein (siehe §6 sowie unsere Übersicht der Auftragsverarbeiter).

5. Cookies und Reichweitenmessung

Wir verwenden ausschließlich technisch notwendige Cookies zur Session-Verwaltung und Authentifizierung. Diese Cookies sind für den Betrieb der Plattform erforderlich und können nicht deaktiviert werden; ihre Verarbeitung ist nach §25 Abs. 2 Nr. 2 TTDSG ohne Einwilligung zulässig.

Für die anonyme Reichweitenmessung setzen wir Plausible Analytics ein. Plausible arbeitet cookielos, speichert keine IP-Adressen personenbezogen und erstellt keine nutzerbezogenen Profile. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der statistischen Reichweitenanalyse). Sie können dieser Verarbeitung gemäß Art. 21 DSGVO jederzeit widersprechen; eine formlose E-Mail an datenschutz@nextgenitsolutions.de genügt.

6. Auftragsverarbeiter und Datenweitergabe

Wir geben personenbezogene Daten nur an sorgfältig ausgewählte Auftragsverarbeiter weiter, mit denen Verträge nach Art. 28 DSGVO bestehen. Zu den Kategorien der Empfänger zählen Hosting (Hetzner), Zahlungsabwicklung (Stripe, Revolut), KI-Dienste (Anthropic, Microsoft Azure OpenAI, Google Gemini, Mistral AI), Transaktionsmails (Resend), Fehler- und Verfügbarkeits-Monitoring (Sentry, BetterStack), Produkt-Analytics (PostHog) sowie optionale Buchhaltungs- und Banking-Integrationen (SevDesk, DATEV, FinTS-Provider). Die vollständige Liste mit Zweck, Sitz und Übermittlungsgrundlage finden Sie in unserer Übersicht der Auftragsverarbeiter. Eine darüber hinausgehende Weitergabe erfolgt nur, wenn wir hierzu gesetzlich verpflichtet sind.

7. Drittlandtransfer

Für einzelne Verarbeitungen können personenbezogene Daten in Drittländer außerhalb des EWR übermittelt werden, insbesondere in die USA (u. a. Anthropic, Microsoft Azure OpenAI, Google, Stripe, Resend). Für diese Übermittlungen stützen wir uns auf (1) die Zertifizierung der Empfänger unter dem EU-US Data Privacy Framework (DPF), soweit verfügbar, (2) EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 und (3) ein dokumentiertes Transfer Impact Assessment (TIA). Für die Schweiz gilt ergänzend der vom EDÖB anerkannte Swiss Annex zu den SCC.

8. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:

  • Handels- und Rechnungsdaten: 10 Jahre (§147 AO, §257 HGB)
  • Vertragsdaten nach Kündigung: 30 Tage Exportfenster, danach vollständige Löschung (Art. 17 DSGVO)
  • Account-Stammdaten nach Kündigung: 30 Tage Karenz, danach anonymisierende Löschung
  • Audit- und KI-Logs (z. B. AiInteractionLog): 6 Jahre (§257 HGB analog, EU AI Act Art. 19)
  • Mieter-Kommunikationsdaten nach Mietende: 3 Jahre (Verjährung §195 BGB)

9. Ihre Rechte (Art. 15–21 DSGVO)

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten Daten verlangen. Wir stellen Ihnen die Daten innerhalb von 72 Stunden zur Verfügung.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie haben das Recht auf Berichtigung unrichtiger Daten.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen. Wir löschen Ihre Daten innerhalb von 30 Tagen vollständig.
  • Einschränkungsrecht (Art. 18 DSGVO): Sie haben das Recht, die Verarbeitung einzuschränken.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem gängigen, maschinenlesbaren Format erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@nextgenitsolutions.de

Unbeschadet davon haben Sie das Recht, bei der zuständigen Datenschutz-Aufsichtsbehörde Beschwerde einzulegen (Art. 77 DSGVO). In Baden-Württemberg ist dies der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

10. KI und automatisierte Entscheidungen

ImmoVault setzt seit dem 14.04.2026 eine Multi-Provider-KI-Architektur ein (siehe ADR-0001). Folgende Modelle werden je nach Aufgabe ausgewählt: Anthropic Claude Sonnet bzw. Opus 4.6 (Chat, Rechtsrecherche, Krisenmodul), Microsoft Azure OpenAI GPT-4o (Fallback, Region Deutschland West Central), Google Gemini 2.5 Pro (Dokumentenextraktion) sowie Mistral Large 2 (europäische Souveränitäts-Option). Welches Modell Ihre konkrete Anfrage beantwortet hat, wird im AiInteractionLog protokolliert und ist auf Anfrage im Rahmen Ihres Auskunftsrechts einsehbar (Art. 15 DSGVO).

Die KI-Systeme treffen keine vollautomatisierten Entscheidungen mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO. Alle KI-generierten Ausgaben werden als solche gekennzeichnet und dienen ausschließlich der Unterstützung — die abschließende Entscheidung trifft stets der Nutzer. Gemäß EU AI Act werden Konfidenzwerte und Quellen stets angezeigt.

11. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Wir schützen Ihre Daten durch angemessene technische und organisatorische Maßnahmen:

  • TLS 1.3 mit HSTS für sämtliche Datenübertragungen
  • AES-256-Verschlüsselung ruhender Daten
  • pgcrypto-Verschlüsselung besonders sensibler Felder (z. B. Steuer-ID, IBAN, Bonitätsdaten)
  • Argon2id-Passwort-Hashing
  • Rollenbasierte Zugriffskontrolle (RBAC) und Multi-Faktor-Authentifizierung
  • Hosting bei Hetzner Nürnberg (ISO 27001)
  • 30-Tage-Löschzyklus gemäß DSGVO Art. 17
  • Fehler-Redaction in Sentry, jährlicher Penetrationstest

12. Auftragsverarbeitung für gewerbliche Vermieter (AVV)

Wenn Sie ImmoVault als gewerblicher Vermieter oder Hausverwalter nutzen und hierbei personenbezogene Daten Ihrer Mieter verarbeiten, sind Sie Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO; die NextGen IT Solutions GmbH agiert insoweit als Auftragsverarbeiterin nach Art. 28 DSGVO. Einen Auftragsverarbeitungsvertrag (AVV) erhalten Sie auf Anfrage unter support@immovault.de oder direkt im Self-Service unter Dashboard → Einstellungen → Rechtliches.

13. Ergänzende Hinweise für Österreich (DSG)

Für Nutzer aus Österreich gelten zusätzlich die Bestimmungen des österreichischen Datenschutzgesetzes (DSG, BGBl. I Nr. 165/1999 idgF). Zuständige Aufsichtsbehörde ist die Österreichische Datenschutzbehörde (DSB):

Österreichische Datenschutzbehörde
Barichgasse 40–42
1030 Wien, Österreich
E-Mail: dsb@dsb.gv.at
Web: www.dsb.gv.at

14. Hinweise zur Schweiz (revDSG)

ImmoVault richtet sich nicht aktiv an Nutzer in der Schweiz. Es findet keine gezielte Vermarktung oder Kundenakquise in der Schweiz statt; ein Vertreter nach Art. 14 revDSG ist daher derzeit nicht bestellt. Sollte ImmoVault in Zukunft aktiv am Schweizer Markt auftreten, werden wir einen entsprechenden Vertreter benennen und diese Datenschutzerklärung aktualisieren.

Stand: April 2026