1. Verantwortlicher
Innosirius UG (haftungsbeschränkt), Stuttgarter Straße 13, 70806 Kornwestheim. E-Mail: info@innosirius.de.
2. Welche Daten wir verarbeiten und warum
a) Adress-Suche und Akte-Vorschau (Art. 6 Abs. 1 lit. b DSGVO): Bei der Eingabe einer Adresse senden wir die Suchanfrage an unseren Geocoding-Dienst Photon. Wir speichern Adressangaben pseudonymisiert zusammen mit einer GEN-ID. Ohne eigene Anmeldung bleibt diese Akte anonym in Ihrem Browser; sie wird endgültig erst persistiert, wenn Sie sich per Login-Link registrieren.
b) Login-Link (Art. 6 Abs. 1 lit. b DSGVO):Zur Authentifizierung speichern wir Ihre E-Mail-Adresse und einen einmal nutzbaren Token (gehasht, 15 Minuten gültig). Wir verwenden keine Passwörter.
c) Dokumente und Datenraum (Art. 6 Abs. 1 lit. b DSGVO): Sie können Dokumente zu Ihrer Immobilie hochladen. Wir speichern sie verschlüsselt in der EU, lesen sie per KI aus und führen ein Aktivitätsprotokoll über jeden Zugriff. Sie kontrollieren granular, welcher Akteur welche Ebene wie lange sieht.
d) Stripe-Zahlungen (Art. 6 Abs. 1 lit. b DSGVO): Für kostenpflichtige Pakete verwenden wir Stripe Payments Europe Ltd. Wir geben dabei nur die für die Zahlung notwendigen Daten weiter; Karten-/Kontodaten verlassen unseren Server nicht.
3. Speicherdauer
Login-Tokens werden nach 15 Minuten gelöscht oder bei Einlösung verbraucht. Akten und Dokumente bleiben gespeichert, solange Ihr Konto besteht. Sie können jederzeit die Löschung verlangen (info@innosirius.de).
4. Empfänger
Stripe (Zahlung), AWS Frankfurt (Hosting/S3), Hetzner (Server, Falkenstein), Brevo (E-Mail-Versand). Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Eine Übermittlung in Drittländer findet nicht statt.
5. Ihre Rechte
Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Zuständig ist der Landesbeauftragte für den Datenschutz Baden-Württemberg.
6. Sicherheit
Wir setzen TLS-Verschlüsselung für die Übertragung und serverseitige Verschlüsselung für die Speicherung Ihrer Dokumente ein. Zugriff ist auf authentifizierte Nutzer mit granularen Rollen beschränkt.
7. Cookies und Tracking-Technologien
Wir verwenden eine bewusst minimale Tracking-Architektur. Ihre Wahl wird in Ihrem Browser in localStorage unter dem Schlüssel ximmo.consent.v1 gespeichert (drei Zustände: unknown · accepted · essential) und kann jederzeit über den Cookie-Banner am Seitenfuß geändert oder zurückgesetzt werden.
a) Immer aktiv (essenziell, ohne Einwilligung):
- Session-Authentifizierung über kurzlebige Sanctum-Tokens (
localStorage, kein Cookie). - Plausible-Webanalyse — selbstgehostet, ohne Cookies, ohne IP-Erfassung, ohne personenbezogene Daten. Auf Basis Art. 6 Abs. 1 lit. f DSGVO als berechtigtes Interesse an aggregierter Reichweitenmessung. Vier Ereignisse werden gezählt:
akte.claimed,share-link.minted,partner-click,payment.completed. - Consent-Status selbst (technisch erforderlich, damit das Banner nicht bei jedem Aufruf erneut erscheint).
b) Nur nach Einwilligung (Art. 6 Abs. 1 lit. a DSGVO):
- Kartenmaterial (Carto Positron-Basemap,
basemaps.cartocdn.com): das Laden der Kacheln sendet Ihre IP-Adresse an den EU-Anbieter Carto. Wir zeigen daher in der Standardansicht einen gesperrten Karten-Platzhalter — die Karte wird erst geladen, sobald Sie „Alle akzeptieren" klicken oder den Button „Karte aktivieren" in der Sperranzeige drücken. - Künftige eingebettete Inhalte (Stripe-Zahlungs-Iframe sobald aktiv, weitere Drittanbieter): werden ebenfalls erst nach Ihrer Zustimmung geladen.
c) Widerruf: Ihre Einwilligung können Sie jederzeit widerrufen, indem Sie den Eintrag ximmo.consent.v1 in localStorage löschen oder im Cookie-Banner erneut entscheiden. Der Widerruf gilt ab Speicherung; bereits geladene Iframes/Karten werden mit der nächsten Seitennavigation deaktiviert.