Ihre Daten gehören Ihnen. Ohne Ausnahme.

Immorium ist nach DSGVO entwickelt. Hosting bei Hetzner Cloud in Nürnberg, Dokumente in Google Cloud Storage Frankfurt (europe-west3), AES-256-GCM-Feldverschlüsselung für Bankdaten (Art. 32 DSGVO), dokumentiertes Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO), Auftragsverarbeitungsvertrag zwischen Ihnen und Immorium (Art. 28 DSGVO), vollständige Betroffenenrechte (Art. 15-22). Eine externe DSGVO-Zertifizierung gibt es nicht; in Deutschland existiert aktuell kein akkreditiertes DSGVO-Zertifikat nach Art. 42 DSGVO, das ein Hersteller selbst beanspruchen könnte.

Teilweise, jeweils abgesichert. App-Server und Datenbank laufen komplett in Deutschland (Hetzner Cloud Nürnberg). Dokumente und Bilder liegen bei Google Cloud Storage in Frankfurt (europe-west3). E-Mail-Versand läuft über Scaleway SAS in Paris (Frankreich) ohne Drittlandtransfer. Zwei Subprozessoren haben USA-Bezug: Stripe Payments Europe Ltd. (Zahlungen, EU-Tochter mit USA-Konzern) und Replicate Inc. (KI-Bildbearbeitung, Verarbeitung in den USA). Beide Transfers sind durch EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO abgesichert. Google Gemini für die OCR-Extraktion läuft über Google Ireland Ltd. mit EU-Verarbeitung; eine Datenschutz-Folgenabschätzung liegt vor.

Zwei Pfade. Beim OCR-Import von Mietverträgen und Rechnungen werden personenbezogene Daten (Namen, Adressen, IBANs) vor der Übergabe an Google Gemini durch einen spaCy-NER- und Regex-Layer pseudonymisiert. Bei Ausfall der Pipeline bricht die Anfrage fail-closed mit HTTP 503 ab, Klartext verlässt den Server nicht. Bei der KI-Bildbearbeitung über Replicate Inc. findet keine automatische Anonymisierung statt; vor dem Upload sollten Sie identifizierbare Personen aus den Bildern entfernen. Eine entsprechende Hinweispflicht ist in der Datenschutzerklärung dokumentiert.

Buchhaltungs- und steuerrelevante Belege (Mietverträge, Rechnungen, Zahlungen, Daten zu beendeten Mietverhältnissen) bewahren wir nach § 257 HGB und § 147 AO bis zu 10 Jahre auf. Die Löschung läuft automatisch über einen täglichen Cron-Job (lib/db/retention.ts, /api/cron/retention-purge). Konto- und Profildaten werden bei Kündigung gelöscht; Backups rotieren danach binnen 30 Tagen. Es werden keine Tracking-Metriken erhoben.

Sie selbst als Account-Inhaber. Im technischen Notfall ein eng definierter Kreis bei Immorium-Operations, ausschließlich zur Fehlerbehebung, mit Audit-Log und vorheriger Information an Sie. Wir lesen keine Mieter-Daten zu Analyse-, Werbe- oder Trainings-Zwecken. Subprozessoren sehen jeweils nur die für ihre Funktion notwendigen Daten: Google Cloud Storage die Dokumentdateien selbst, Google Gemini die pseudonymisierten OCR-Texte, Replicate die für die Bildbearbeitung übergebenen Bilder, Scaleway die E-Mail-Adressen für Login- und Portal-Nachrichten, Stripe die Zahlungsdaten.

Verschlüsselung: TLS 1.3 für alle Verbindungen; AES-256-GCM-Feldverschlüsselung für IBAN, BIC und Bankname (lib/crypto/field.ts); LUKS-Vollverschlüsselung des Datenträgers. Authentifizierung: Better-Auth-Sessions mit httpOnly, Secure und SameSite-Lax; Google OAuth. Zugriffskontrolle: Per-Route Ownership-Checks (lib/api/with-auth.ts), per-User-Bucket-Layout in GCS, signierte URLs für Storage-Zugriffe. Datenminimierung: OCR-Pseudonymisierung vor Gemini-Aufrufen, EXIF-Metadaten werden vor Speicherung entfernt. Rate-Limiting auf zerstörerischen Endpunkten. Das vollständige VVT liegt unter docs/vvt.md.

Bei einem Datenschutzvorfall greift ein dokumentierter Incident-Response-Plan (docs/breach-runbook.md): Innerhalb von 72 Stunden meldet Immorium den Vorfall an die zuständige Aufsichtsbehörde nach Art. 33 DSGVO. Sind Mieter- oder Eigentümer-Daten betroffen, informieren wir Sie direkt mit Details zum Umfang, zum Verlauf und zu den ergriffenen Gegenmaßnahmen, sodass Sie Ihrer Informationspflicht gegenüber Mietern nach Art. 34 nachkommen können. Stand Mai 2026: kein meldepflichtiger Vorfall.

Als privater Vermieter typischerweise nicht. § 38 BDSG verpflichtet zur Bestellung eines DSB erst, wenn mindestens 20 Personen ständig mit der Datenverarbeitung beschäftigt sind oder besondere Datenkategorien nach Art. 9 DSGVO regelmäßig verarbeitet werden. Wer einen DSB hat oder Auskünfte braucht: Wir stellen VVT, Datenschutzerklärung und Bezug zu den DPAs der Subprozessoren auf Anfrage zur Verfügung.

Das Mieterportal nutzt passwortlose Magic-Link-Authentifizierung: ein zeitlich begrenzter Einmal-Link wird per E-Mail an die vom Vermieter hinterlegte Adresse gesendet. Login-Tokens sind 30 Minuten gültig, Einladungs-Tokens 30 Tage. Tokens werden nur gehasht in der Datenbank gespeichert. Beim Foto-Upload (Schadensmeldungen) werden EXIF-Metadaten inklusive GPS-Koordinaten vor der Speicherung serverseitig entfernt. Scaleway TEM bietet kein Open- oder Click-Tracking an; die E-Mail-Adresse wird nicht für Marketing verwendet.

Ja. Eine DSFA nach Art. 35 DSGVO liegt für die KI-gestützten Verarbeitungstätigkeiten (Bildbearbeitung über Replicate, OCR über Google Gemini) vor und dokumentiert Risiken (z. B. Re-Identifikation, unbeabsichtigt abgebildete Personen), Wahrscheinlichkeiten und Gegenmaßnahmen. Wir senden Ihnen die DSFA auf Anfrage als PDF.