Rechtsgrundlage
Die Verarbeitung Ihrer Daten erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Add-Ins verarbeiten Daten ausschließlich, um den von Ihnen beauftragten Dienst zu erbringen — das Erstellen von Befundunterlagen und das Extrahieren von Tabellendaten.Verantwortliche Stelle
Immobefund GmbH Kirchengasse 11, Top 8 1070 Wien, Österreich E-Mail: info@immobefund.aiVerarbeitete Datenkategorien
Liegenschaftsadressen
Liegenschaftsadressen
Was: Straße, Hausnummer, PLZ, Ort, ggf. KoordinatenWann: Bei jeder Befund-Abfrage im Word Add-inZweck: Abruf von Kartenmaterial, Geodaten und KI-generierten TextenSpeicherung: Adressdaten werden primär für die jeweilige Anfrage verarbeitet; projekt- oder betriebsbezogene Metadaten können in EU-Systemen gemäß Retention gespeichert werden.
Dokumentinhalte (bei Vorlage-Analyse)
Dokumentinhalte (bei Vorlage-Analyse)
Was: Textinhalte aus bestehenden Gutachten (.docx/.pdf)Wann: Wenn Sie ein altes Gutachten zur Vorlage-Erstellung hochladen oder als Stilreferenz verwendenZweck: KI-Analyse der Dokumentstruktur und des SchreibstilsSpeicherung: Keine dauerhafte Volltextspeicherung auf Anwendungsebene. StyleDNA wird im Dokument selbst gespeichert (Custom XML Part); technische Metadaten/Fehlerdaten können gemäß Retention anfallen.
PDF-Inhalte (bei Extraktion)
PDF-Inhalte (bei Extraktion)
Was: PDF-Dokumente (Mietzinslisten, Nutzwertgutachten, Energieausweise)Wann: Wenn Sie ein PDF im Excel Add-in zur Tabellenextraktion hochladenZweck: Strukturierte Datenextraktion mittels Reducto AISpeicherung: Keine langfristige Produktspeicherung der PDF in der App-Datenbank. Für die Verarbeitung gelten die dokumentierten Aufbewahrungs- und Löschregeln der eingesetzten EU-Dienste.
Dokumentinhalte (bei Document Sweep)
Dokumentinhalte (bei Document Sweep)
Was: Textinhalte des aktuellen GutachtensWann: Wenn Sie den Document Sweep ausführenZweck: Prüfung auf Inkonsistenzen, alte Adressen und vergessene PlatzhalterSpeicherung: Der Text wird primär request-basiert verarbeitet; technische Betriebs-/Sicherheitsmetadaten können gemäß Retention gespeichert werden.
Speicherung und Aufbewahrung
Immobefund verarbeitet Dokumentinhalte überwiegend request-basiert und speichert zusätzlich notwendige Betriebsdaten in EU-Systemen (z.B. Authentifizierung, Organisation, Einwilligungen, Abrechnung, Nutzungs- und Fehlertelemetrie). Cloud Run ist stateless, ersetzt aber nicht die Datenhaltung in angebundenen Systemen.- Keine dauerhafte Volltext-Dokumentdatenbank für Gutachteninhalte
- Speicherung nur für technisch/vertraglich notwendige Datenkategorien
- Löschung nach definierten Fristen und nachvollziehbaren Prozessen
Technisch-organisatorische Maßnahmen (TOMs)
| Maßnahme | Umsetzung |
|---|---|
| Verschlüsselung in Transit | TLS 1.3 für alle Verbindungen (Client ↔ Backend, Backend ↔ Dienste) |
| Datenminimierung & Löschkonzept | Dokumentinhalte primär request-basiert; persistente Daten je Kategorie mit Retention-/Löschregeln |
| EU-only Verarbeitung | Vertex AI in europe-west3, Reducto in EU, Cloud Run in europe-west1 |
| Authentifizierung | Better Auth (self-hosted), Datenbank bei Supabase (EU Frankfurt) |
| Zugriffskontrolle | Nur authentifizierte Nutzer können Anfragen stellen |
| Stateless Architecture | Container skalieren auf null, kein persistenter State |
| Minimale Datenverarbeitung | Nur die für die Abfrage notwendigen Daten werden verarbeitet |
Betroffenenrechte (Art. 15-22 DSGVO)
Betroffenenrechte bestehen grundsätzlich. Die konkrete Ausübung hängt von der jeweiligen Datenkategorie und etwaigen gesetzlichen Aufbewahrungspflichten ab:| Recht | Status | Begründung |
|---|---|---|
| Auskunft (Art. 15) | Anwendbar | Für gespeicherte Konto-, Betriebs- und Vertragsdaten im jeweiligen Verantwortungsbereich |
| Berichtigung (Art. 16) | Anwendbar | Für unrichtige gespeicherte Daten |
| Löschung (Art. 17) | Anwendbar mit Ausnahmen | Soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen |
| Einschränkung (Art. 18) | Anwendbar | Nach DSGVO-Voraussetzungen |
| Datenübertragbarkeit (Art. 20) | Anwendbar | Für vom Nutzer bereitgestellte Daten, soweit technisch/rechtlich möglich |
| Widerspruch (Art. 21) | Anwendbar | Nach DSGVO-Voraussetzungen |
| Beschwerde (Art. 77) | Jederzeit möglich | Österreichische Datenschutzbehörde (dsb.gv.at) |
Für die Authentifizierung via Better Auth (Daten bei Supabase, EU) und die Abrechnung via Stripe gelten deren eigene Datenschutzbestimmungen. Konto-Daten (E-Mail, Name) werden in unserer Supabase-Datenbank (EU) gespeichert.
Aufbewahrungsfristen
| Datenart | Frist |
|---|---|
| Verarbeitete Adressen | Nur während der Anfrage (Sekunden) |
| Verarbeitete Dokumente | Nur während der Anfrage (Sekunden) |
| Authentifizierungsdaten | Supabase (EU), 30 Tage Session-Gültigkeit |
| Abrechnungsdaten | Verwaltet von Stripe (deren Richtlinien) |
| Fehlerberichte (Sentry) | Anonymisiert, 90 Tage |
| Nutzungsanalyse (PostHog) | Anonymisiert, nach deren Richtlinien |