Datenschutzerklärung

Stand: 29. Juni 2026

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:

bestandsdepot
Inh.: Jochen Hesse
Schloßstr. 12
38179 Schwülper
Deutschland

Telefon: 05303 9902924
E-Mail: mail@bestandsdepot.de

2. Datenschutzbeauftragter

Die Benennung eines Datenschutzbeauftragten ist nicht erforderlich, da keine der Voraussetzungen des Art. 37 Abs. 1 DSGVO vorliegt und weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG).

3. Zweck der Anwendung

Bestandsdepot ist eine Webanwendung zur Verwaltung von Immobilienbeständen. Die Anwendung unter app.bestandsdepot.de dient der Erfassung und Verwaltung von Objekten, Einheiten, Mietern, Verträgen, Buchungen, Dokumenten und Abrechnungen für private Vermieter. Das Mieterportal unter mieter.bestandsdepot.de ermöglicht eingeladenen Mietern den Zugriff auf freigegebene Unterlagen und Anliegen.

4. Verarbeitete Datenkategorien und Zwecke

4.1 Nutzerkonto und Authentifizierung

Bei der Registrierung und Anmeldung verarbeiten wir: E-Mail-Adresse, Name, Passwort (als Bcrypt-Hash), TOTP-Secret (verschlüsselt) oder Passkey (öffentlicher WebAuthn-Schlüssel) für die verpflichtende Zwei-Faktor-Authentifizierung, Rolle und Mandantenzugehörigkeit. Alternativ ist eine Anmeldung über Google oder Microsoft möglich; dabei werden Name und E-Mail-Adresse vom jeweiligen Anbieter übermittelt und kein Passwort gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.2 Immobilien- und Mieterverwaltung

Zur Verwaltung von Mietverhältnissen verarbeiten wir: Stammdaten von Mietern (Name, Anrede, Kontaktdaten, Adresse), Vertragsdaten (Miethöhe, Laufzeiten, Kautionen), Buchungen und Abrechnungen. Diese Daten werden durch den Nutzer (Vermieter) eingegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an geordneter Hausverwaltung).

4.3 Dokumentenverwaltung

Hochgeladene Dokumente werden serverseitig mit AES-256-GCM verschlüsselt gespeichert. Metadaten (Dateiname, Dokumententyp, Zuordnung) werden in der Datenbank abgelegt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.4 Steuer-Export und Betriebskostenabrechnung

Die Anwendung erstellt Zusammenfassungen für die Steuererklärung (Anlage V) und Betriebskostenabrechnungen auf Basis der vom Nutzer eingegebenen Daten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.5 Sicherheits- und Protokolldaten

Zur Absicherung der Anwendung werden Login-Versuche (IP-Hash, Zeitpunkt, Erfolg/Misserfolg) und sicherheitsrelevante Aktionen (Audit-Log) protokolliert. IP-Adressen werden dabei nur als Hash gespeichert. Aus diesen Protokolldaten leiten wir zusätzlich ausschließlich aggregierte, anonyme Nutzungskennzahlen (z. B. Funktionsnutzung und Abschlussquote des Registrierungsablaufs) zur Verbesserung unseres Angebots ab; ein Personenbezug wird dabei nicht hergestellt und es werden keine zusätzlichen Daten erhoben. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und an der Verbesserung des Angebots).

4.6 KI-Hilfechat

Der optionale Hilfechat auf der öffentlichen Website und in der Anwendung beantwortet Fragen zu Bestandsdepot und allgemeinen Abläufen der Mietverwaltung. Übermittelt werden die eingegebene Frage, kuratierte Hilfetexte und in der Anwendung nur ein minimaler Kontext wie Seitenbereich, Paket und Rollenklasse. Bestandsdaten wie Namen, Adressen, Vertrags-, Zahlungs- oder Dokumentdaten werden nicht aktiv an den KI-Dienstleister übermittelt und sollen nicht in den Chat eingegeben werden. Chatverläufe werden nicht dauerhaft gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung des gebuchten Dienstes).

4.7 Zahlungsabwicklung

Bei kostenpflichtigen Buchungen werden Zahlungsdaten sowie Rechnungsadresse und E-Mail-Adresse zur Abwicklung an den Zahlungsdienstleister Stripe übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.8 Programmatischer Zugriff (API und MCP)

Bestandsdepot stellt eine REST-API sowie eine MCP-Schnittstelle (Model Context Protocol) bereit, über die der Nutzer externen Programmen oder KI-Agenten (z. B. Claude Desktop) mittels OAuth-2.0-Token einen begrenzten Zugriff auf seine Daten gewähren kann. Zugängliche Datenkategorien richten sich nach den erteilten Berechtigungen (Scopes: Lesezugriff auf Stammdaten, Schreiben von Buchungen und Vorgängen, Dokumenten-Upload). Die Schnittstellen verarbeiten keine anderen Datenkategorien als die in § 4.1–4.5 beschriebenen. Der Nutzer ist selbst dafür verantwortlich, welchen Programmen er Token-Zugriff erteilt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5. Rechtsgrundlagen im Überblick

  • Art. 6 Abs. 1 lit. b DSGVO – Verarbeitung zur Vertragserfüllung (Bereitstellung der Software, Nutzerkonto)
  • Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Pflichten (steuerliche Aufbewahrungsfristen)
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen (IT-Sicherheit, Betrugsprävention, geordneter Betrieb, cookielose Reichweitenmessung, Fehlerprotokollierung, Produktverbesserung)

6. Empfänger und Auftragsverarbeiter

6.1 IONOS SE (Hosting: Server und Datenbank)

Die Anwendung und die zugehörige Datenbank werden auf einem gemieteten virtuellen Server (VPS) der IONOS SE (Elgendorfer Str. 57, 56410 Montabaur) in einem Rechenzentrum innerhalb der EU betrieben. Dabei können auf dem Server Access-Logs (IP-Adresse, Zeitstempel, aufgerufene URL) anfallen. Mit IONOS besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

6.2 IONOS SE (verschlüsselter Objektspeicher für Dokumente)

Hochgeladene Dokumente werden in einem privaten, S3-kompatiblen Objektspeicher der IONOS SE innerhalb der EU abgelegt. Die Inhalte werden bereits in der Anwendung mit AES-256-GCM verschlüsselt, bevor sie dort gespeichert werden; der Speicher-Bucket ist privat und stellt keine öffentlichen URLs bereit. Auch hierfür gilt der AVV mit IONOS.

6.3 OVH (Domain, DNS und E-Mail)

Die Domain bestandsdepot.de ist bei der OVH SAS (2 rue Kellermann, 59100 Roubaix, Frankreich) registriert; OVH betreibt auch die DNS-Verwaltung der Domain. Der Versand systembezogener E-Mails (z. B. Passwortzurücksetzung) sowie das Postfach mail@bestandsdepot.de werden ebenfalls über OVH abgewickelt. Dabei werden E-Mail-Adresse und Inhalt der jeweiligen Nachricht verarbeitet. Die Rechenzentren von OVH befinden sich innerhalb der EU. Mit OVH besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

6.4 Stripe Payments Europe, Limited (Zahlungsabwicklung)

Kostenpflichtige Buchungen werden über den Zahlungsdienstleister Stripe Payments Europe, Limited (1 Grand Canal Street Lower, Dublin 2, Irland) abgewickelt. Stripe verarbeitet dabei Zahlungsdaten, Rechnungsadresse und E-Mail-Adresse des Nutzers auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Stripe handelt insoweit als eigenständiger Verantwortlicher gemäß eigener Datenschutzerklärung. Die Rechenzentren von Stripe befinden sich innerhalb der EU.

6.5 Optionale KI-Dokumentenauswertung

Nur wenn der Betreiber die optionale KI-Dokumentenauswertung aktiviert, werden hochgeladene Dokumente zur automatischen Voranalyse kurzfristig an einen KI-Dienstleister (derzeit Mistral AI SAS, 15 rue des Halles, 75001 Paris, Frankreich) übermittelt. Ohne aktivierte Funktion findet keine solche Übermittlung statt. Mit Mistral AI besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

6.6 Optionaler KI-Hilfechat

Wenn der KI-Hilfechat aktiviert ist, werden Chatfragen kurzfristig an Mistral AI SAS (Frankreich) übermittelt. Der Chat ist auf Produkt- und Orientierungshilfe beschränkt, nutzt keine gespeicherten Bestandsdaten und speichert keine Chatverläufe in Bestandsdepot. Es gilt der AVV mit Mistral AI gemäß Art. 28 DSGVO.

6.7 GatewayAPI ApS (SMS-Versand)

Sofern der Nutzer die Funktion „Direktnachrichten per SMS" aktiviert, werden Mobilfunknummern und Nachrichteninhalte zum Versand an GatewayAPI ApS (Kongevejen 400C, 2840 Holte, Dänemark) übermittelt. GatewayAPI verarbeitet die Daten innerhalb der EU. Mit GatewayAPI besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

6.8 Google Ireland Limited (Social Login)

Wählt ein Nutzer die Anmeldung über Google, wird der OAuth-2.0-Authentifizierungsfluss über Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) abgewickelt. Google empfängt dabei die für den Login erforderlichen Daten (E-Mail-Adresse, Name, Profilbild) und handelt als eigenständiger Verantwortlicher gemäß eigener Datenschutzerklärung. Die Nutzung des Google-Logins ist freiwillig; alternativ steht die E-Mail-/Passwort-Anmeldung zur Verfügung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

6.9 Microsoft Ireland Operations Limited (Social Login)

Wählt ein Nutzer die Anmeldung über Microsoft, wird der OAuth-2.0-Authentifizierungsfluss über Microsoft Ireland Operations Limited (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland) abgewickelt. Microsoft empfängt dabei die für den Login erforderlichen Daten (E-Mail-Adresse, Name) und handelt als eigenständiger Verantwortlicher gemäß eigener Datenschutzerklärung. Die Nutzung des Microsoft-Logins ist freiwillig. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

6.10 Optionaler Routenplaner für Fahrtkosten (openrouteservice)

Nur wenn der Betreiber den optionalen Routenplaner aktiviert, werden bei der Erfassung von Fahrten die eingegebenen Abfahrts- und Zielorte (ggf. Adressen) kurzfristig an den Dienst openrouteservice der HeiGIT gGmbH (Heidelberg Institute for Geoinformation Technology, Schloss-Wolfsbrunnenweg 33, 69118 Heidelberg, Deutschland) übermittelt, ausschließlich um eine Entfernung als Vorschlagswert zu berechnen. Es werden dabei keine weiteren Bestandsdaten übertragen; der vorgeschlagene Kilometerwert bleibt frei änderbar. Ohne aktivierte Funktion findet keine solche Übermittlung statt. Die Verarbeitung erfolgt innerhalb der EU. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

6.11 Kartendarstellung (OpenStreetMap)

Ist der optionale Routenplaner (siehe 6.10) aktiviert, wird bei der Fahrterfassung zur Veranschaulichung der berechneten Strecke zusätzlich eine kleine Kartenvorschau angezeigt. Dabei lädt Ihr Browser die Kartenkacheln unmittelbar von den Servern der OpenStreetMap Foundation (St John’s Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich). Technisch bedingt wird hierbei Ihre IP-Adresse an die OpenStreetMap Foundation übermittelt, die insoweit als eigenständig Verantwortliche nach ihrer eigenen Datenschutzerklärung (https://wiki.osmfoundation.org/wiki/Privacy_Policy) handelt. Ist der Routenplaner nicht aktiviert, wird keine Karte geladen und keine solche Übermittlung ausgelöst. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer verständlichen Darstellung der vorgeschlagenen Fahrtstrecke).

6.12 Sonstige Weitergabe

Eine Weitergabe an sonstige Dritte erfolgt nicht, es sei denn, dies ist zur Erfüllung gesetzlicher Pflichten erforderlich.

7. Übermittlung in Drittländer

Die eingesetzten Auftragsverarbeiter und Dienstleister (IONOS, OVH, Mistral AI, HeiGIT/openrouteservice) verarbeiten Daten innerhalb der Europäischen Union bzw. des EWR. Ist der optionale Routenplaner aktiviert, werden bei der Kartenvorschau Kartenkacheln von der OpenStreetMap Foundation im Vereinigten Königreich geladen; für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission vom 28. Juni 2021. Bei Nutzung des Google- oder Microsoft-Logins können Authentifizierungsdaten auf Grundlage des EU-US-Datenschutzrahmens (Data Privacy Framework, Angemessenheitsbeschluss der EU-Kommission vom Juli 2023) in die USA übermittelt werden. Google und Microsoft sind unter dem Data Privacy Framework zertifiziert.

8. Cookies und Session-Management

Die Anwendung verwendet ausschließlich technisch notwendige Cookies. Ein Cookie-Banner ist daher nicht erforderlich. Im Einzelnen:

CookieZweckDauer
authjs.session-tokenAuthentifizierung (JWT)Sitzung / max. 30 Tage
authjs.csrf-tokenCSRF-SchutzSitzung
localeSpracheinstellung1 Jahr
sidebar_stateUI-Zustand (Sidebar)7 Tage

Die öffentliche Website bestandsdepot.de nutzt eine cookielose, anonymisierte Reichweitenmessung (siehe Abschnitt 16) und kein Newsletter-Tracking. Es werden dabei keine Tracking-Cookies gesetzt.

9. Server-Logfiles

Der Anwendungsserver (VPS bei IONOS) kann bei jedem Zugriff automatisch Informationen in Server-Logfiles speichern: aufgerufene Seite, Datum und Uhrzeit, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp und -version, Betriebssystem, Referrer-URL und die anfragende IP-Adresse. Diese Daten werden zur Sicherstellung eines störungsfreien Betriebs und zur Erkennung von Angriffen ausgewertet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Logfiles werden nach spätestens 30 Tagen gelöscht.

10. E-Mail-Versand

Bestandsdepot versendet E-Mails ausschließlich für systemrelevante Vorgänge wie Passwortzurücksetzung oder sicherheitsrelevante Benachrichtigungen. Ein E-Mail-Newsletter wird nicht betrieben. Der Versand sowie das Postfach mail@bestandsdepot.de werden über unseren E-Mail-Dienstleister OVH (OVH SAS, Frankreich, Rechenzentren innerhalb der EU) abgewickelt.

11. Speicherdauer

  • Nutzerkonto-Daten: Bis zur Löschung des Kontos durch den Nutzer oder den Betreiber.
  • Immobilien- und Mieterdaten: Bis zur Löschung durch den Nutzer. Gesetzliche Aufbewahrungspflichten (insbesondere § 147 AO: 10 Jahre für steuerlich relevante Unterlagen) bleiben unberührt.
  • Login-Versuche: Fehlgeschlagene Versuche werden nach Ablauf der Sperrzeit automatisch bereinigt.
  • Audit-Logs: Sicherheitsrelevante Ereignisse werden für bis zu 12 Monate aufbewahrt.
  • Server-Logfiles: Maximal 30 Tage.
  • Dokumente: Bis zur Löschung durch den Nutzer; verschlüsselt gespeichert.
  • KI-Hilfechat: Chatverläufe werden nicht dauerhaft gespeichert; technische Rate-Limit- und Fehlerdaten fallen nur im Rahmen der allgemeinen Server-Logfiles an.

12. Technische und organisatorische Maßnahmen

Zum Schutz der verarbeiteten Daten setzen wir insbesondere folgende Maßnahmen ein:

  • Verschlüsselung hochgeladener Dokumente mit AES-256-GCM
  • Passwort-Hashing mit Bcrypt
  • Verpflichtende Zwei-Faktor-Authentifizierung (TOTP oder Passkey/WebAuthn)
  • JWT-Sessions mit httpOnly- und secure-Flags
  • CSRF-Schutz
  • Rate-Limiting und Account-Sperrung bei fehlgeschlagenen Login-Versuchen
  • IP-Adressen werden in Audit-Logs nur als Hash gespeichert
  • Mandantentrennung (Multi-Tenancy) in der Datenbank
  • HTTPS-Verschlüsselung aller Verbindungen

13. Auftragsverarbeitung (SaaS-Modell)

Soweit Nutzer von Bestandsdepot personenbezogene Daten Dritter (z. B. Mieterdaten) in die Anwendung eingeben, handelt der Betreiber als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Ein entsprechender Auftragsverarbeitungsvertrag wird den Nutzern zur Verfügung gestellt.

14. Ihre Rechte als betroffene Person

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen folgende Rechte:

  • Auskunft (Art. 15 DSGVO) – über die von uns verarbeiteten Daten
  • Berichtigung (Art. 16 DSGVO) – unrichtiger personenbezogener Daten
  • Löschung (Art. 17 DSGVO) – Ihrer Daten, soweit keine gesetzliche Aufbewahrungspflicht besteht
  • Einschränkung (Art. 18 DSGVO) – der Verarbeitung unter bestimmten Voraussetzungen
  • Datenübertragbarkeit (Art. 20 DSGVO) – Erhalt Ihrer Daten in maschinenlesbarem Format
  • Widerspruch (Art. 21 DSGVO) – gegen Verarbeitungen auf Basis berechtigter Interessen

Zur Ausübung Ihrer Rechte wenden Sie sich an: mail@bestandsdepot.de

15. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
www.lfd.niedersachsen.de

16. Reichweitenmessung und Fehlerprotokollierung

Reichweitenmessung (Web-Analyse)

Zur statistischen Auswertung der Nutzung unserer öffentlichen Webseiten und des Registrierungsablaufs setzen wir die selbst gehostete Open-Source-Software Matomo ein. Rechtsgrundlage ist unser berechtigtes Interesse an einer bedarfsgerechten Gestaltung unseres Angebots (Art. 6 Abs. 1 lit. f DSGVO). Matomo arbeitet cookieless – es werden keine Cookies gesetzt und keine geräteübergreifenden Kennungen gespeichert. Ihre IP-Adresse wird vor jeder Speicherung gekürzt (anonymisiert), die „Do Not Track“-Einstellung Ihres Browsers wird respektiert, und es werden ausschließlich gekürzte, von personenbezogenen Bestandteilen bereinigte Seitenpfade (ohne Adresszusätze und Tokens) erfasst. Die Daten werden ausschließlich auf unserer eigenen Infrastruktur in der EU verarbeitet und nicht an Dritte übermittelt. Die eingeloggte Anwendung und das Mieter-Portal sind von der Reichweitenmessung ausgenommen.

Fehlerprotokollierung (Stabilität)

Zur Gewährleistung eines technisch fehlerfreien Betriebs erfassen wir bei Programmfehlern automatisiert technische Fehlerberichte (z. B. Fehlermeldung, Stacktrace, betroffene Programmfunktion, Browser-/Gerätetyp) mit der selbst gehosteten Software GlitchTip. Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses am sicheren und stabilen Betrieb (Art. 6 Abs. 1 lit. f DSGVO). Es werden keine Cookies gesetzt und keine Daten an Dritte übermittelt; personenbezogene Inhalte (z. B. E-Mail-Adressen, Namen, IBAN, Mieterdaten) werden vor der Speicherung automatisch entfernt. Das Mieter-Portal ist von der clientseitigen Fehlererfassung ausgenommen. Die Speicherdauer ist auf das für die Fehleranalyse erforderliche Maß begrenzt.

Da beide Verfahren ohne Cookies und ohne Gerätespeicherung arbeiten, ausschließlich technisch notwendige bzw. anonymisierte Daten auf eigener EU-Infrastruktur verarbeiten und keine Daten an Dritte weitergeben, bleibt es bei ausschließlich technisch notwendigen Cookies; ein Cookie-Banner ist nicht erforderlich.

17. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand vom 6. Juli 2026. Sie wird angepasst, sobald sich Funktionsumfang, technische Dienstleister, E-Mail-Versand, Tracking, externe Backups oder vergleichbare Verarbeitungsvorgänge ändern.