selbstverwalten
Datenschutz

Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Vogel & Schmiedeberg GmbH i.G.
Hamburger Str. 3
22952 Lütjensee, Deutschland
Vertretungsberechtigte Geschäftsführer: Lukas Vogel, Alexander Schmiedeberg
E-Mail: kontakt@selbstverwalten.com

Die Gesellschaft befindet sich in Gründung. Mit Eintragung im Handelsregister werden Registergericht und Handelsregisternummer sowie ggf. die Umsatzsteuer-Identifikations­nummer in Impressum und Datenschutzerklärung ergänzt.

Datenschutzbeauftragter

Eine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten besteht für uns aufgrund der aktuellen Unternehmensgröße nicht (§ 38 BDSG, Art. 37 DSGVO). Datenschutzanfragen erreichen Sie unter datenschutz@selbstverwalten.com oder postalisch unter obiger Adresse mit dem Zusatz "Datenschutz".

2. Unsere Rolle: Verantwortlicher und Auftragsverarbeiter

Wir verarbeiten personenbezogene Daten in zwei unterschiedlichen Rollen. Diese Unterscheidung ist wichtig, weil sich Pflichten und Ansprechpartner unterscheiden.

2.1 Als Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Für Daten unserer registrierten Nutzerinnen und Nutzer (Kontoinhaber, d. h. Personen, die ein Konto bei uns anlegen) sind wir selbst Verantwortlicher. Das betrifft beispielsweise: E-Mail-Adresse und Name zum Login, Zahlungsdaten, Nutzungsdaten der Plattform, Kommunikation mit unserem Support.

2.2 Als Auftragsverarbeiter (Art. 28 DSGVO)

Für Daten, die unsere Kunden im Rahmen der WEG-Verwaltung in die Plattform eingeben (insbesondere Daten weiterer Eigentümer, Beiräte, Dienstleister und Mieter sowie deren Adressen, Finanz-, Beschluss- und Kommunikationsdaten), sind wir Auftragsverarbeiter im Auftrag unserer Kunden. Verantwortlich bleibt die jeweilige WEG bzw. deren Verwaltung. Mit jedem zahlenden Kunden schließen wir automatisch einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO; dieser ist Bestandteil der Nutzungsbedingungen und jederzeit im Konto abrufbar.

3. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Plattform für die WEG-Selbstverwaltung erforderlich ist.

Arten der verarbeiteten Daten

  • Bestandsdaten (Name, Adresse, Kontaktdaten)
  • Inhaltsdaten (Dokumente, Beschlüsse, Finanzdaten der WEG, Kommunikations­inhalte mit Dienstleistern)
  • Nutzungsdaten (aufgerufene Seiten, Zugriffszeiten)
  • Meta-/Kommunikationsdaten (IP-Adressen, Geräteinformationen, E-Mail-Header)
  • Kontaktdaten (E-Mail-Adresse, ggf. Telefonnummer)
  • Vertragsdaten (Tarif, Zahlungsinformationen)
  • Bankbezogene Metadaten (Kontoinhaber, IBAN, Umsatz­informationen, bei Nutzung der optionalen Bankanbindung)

Betroffene Personen

  • Nutzer der Plattform (Wohnungseigentümer, Beiräte, Verwalter)
  • Weitere in der Plattform erfasste Personen (Mit-Eigentümer, Dienstleister, Mieter); hier sind unsere Kunden Verantwortliche und wir Auftragsverarbeiter
  • Kontaktanfragende und Interessenten

4. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): zur Bereitstellung unserer Plattform und Durchführung des Nutzungsvertrags.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): zur Sicherstellung der IT-Sicherheit, zur Missbrauchsprävention und zur Verbesserung unseres Angebots.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): z. B. steuerliche und handelsrechtliche Aufbewahrungspflichten (§ 147 AO, § 257 HGB).
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): sofern Sie uns eine Einwilligung erteilt haben (z. B. für Marketing-E-Mails).

5. Hosting und Infrastruktur

5.1 Anwendungs-Hosting (Vercel)

Unsere Webanwendung wird über Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, bereitgestellt. Serverless Functions werden in der Region Frankfurt (fra1) ausgeführt. Beim Zugriff auf unsere Plattform werden automatisch Verbindungsdaten (IP-Adresse, Zeitpunkt, Browser-Typ) verarbeitet.

Vercel ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert, sodass ein angemessenes Datenschutzniveau für etwaige Datentransfers in die USA gewährleistet ist (Angemessenheitsbeschluss gem. Art. 45 DSGVO). Zusätzlich besteht ein Auftragsverarbeitungsvertrag (DPA) gem. Art. 28 DSGVO.

Weitere Informationen: vercel.com/legal/privacy-policy

5.2 Datenbank, Authentifizierung und Datei­speicher (Supabase)

Für Datenspeicherung, Benutzerauthentifizierung und Dateispeicherung nutzen wir Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992. Unser Supabase-Projekt ist in der AWS-Region EU West / Irland (eu-west-1) angesiedelt, sodass alle Nutzerdaten (einschließlich Eigentümerdaten, Finanzdaten, Dokumente und Beschlüsse) ausschließlich auf Servern innerhalb der EU (Irland) gespeichert werden.

Es besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO. Weitere Informationen: supabase.com/privacy

5.3 E-Mail-Versand und -Empfang (Lettermint)

Für den Versand transaktionaler E-Mails (z. B. Registrierungs­bestätigung, Passwort-Reset, Benachrichtigungen, Einladungen) sowie für den Empfang eingehender E-Mails an plattform-interne Adressen (z. B. Antworten auf Dienstleister-Kommunikation, die automatisch dem jeweiligen Vorgang zugeordnet werden) nutzen wir Lettermint B.V., Niederlande. Die Verarbeitung erfolgt ausschließlich auf Servern innerhalb der EU. Es besteht ein Auftragsverarbeitungs­vertrag gem. Art. 28 DSGVO.

Eingehende E-Mails werden zur Zuordnung zu Vorgängen in der Plattform gespeichert und so lange aufbewahrt, wie es für die Bearbeitung des jeweiligen Vorgangs erforderlich ist, längstens jedoch bis zur Löschung des zugehörigen Vorgangs. Absender externer E-Mails werden durch eine Fußzeile in unseren ausgehenden Nachrichten darauf hingewiesen, dass Antworten in der Plattform gespeichert werden.

Weitere Informationen: lettermint.co/privacy

5.4 Zahlungsabwicklung (Stripe)

Für die Abwicklung kostenpflichtiger Abonnements setzen wir Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland, ein. Stripe verarbeitet hierfür Name, E-Mail-Adresse, Rechnungsadresse und Zahlungsdaten (z. B. SEPA-Mandat oder Kreditkarteninformationen). Die Kreditkarten-Daten werden ausschließlich bei Stripe erhoben und gespeichert; wir erhalten nur ein Token.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe ist selbst Verantwortlicher für regulatorische Pflichten (Geldwäsche, Betrugsprävention) und in diesem Umfang eigenständig verantwortlich. Mit Stripe besteht ein Auftragsverarbeitungsvertrag. Datentransfers in die USA stützen wir auf EU-Standardvertragsklauseln und den DPF-Status von Stripe.

Weitere Informationen: stripe.com/privacy

5.5 Bankanbindung über PSD2-Schnittstelle (BANKSapi)

Die optionale Bankanbindung erfolgt über die BANKSapi Technology GmbH, München, einen in Deutschland von der BaFin beaufsichtigten Kontoinformations- und Zahlungsauslösedienst gemäß PSD2. BANKSapi stellt die Verbindung zu Ihrem Kreditinstitut her, wir selbst haben zu keinem Zeitpunkt Zugang zu Ihren Online-Banking-Zugangsdaten. Jede Zahlung wird ausschließlich durch Sie persönlich per TAN freigegeben.

BANKSapi ist bezüglich der PSD2-Leistungen gegenüber Ihnen eigenständig Verantwortlicher. Wir erhalten ausschließlich die von Ihnen freigegebenen Konto- und Umsatzinformationen zur Darstellung in der Plattform. Hinweise zur Datenverarbeitung durch BANKSapi finden Sie unter banksapi.de/datenschutzbestimmungen.

5.6 KI-gestützte Funktionen (Mistral AI, EU)

Für KI-gestützte Funktionen (z. B. Analyse hochgeladener Teilungs­erklärungen, Rechnungen, Heizkosten- und ETV-Protokolle, Chat-Assistenz, Extraktion strukturierter Daten aus PDFs) nutzen wir Mistral AI SAS, 15 Rue des Halles, 75001 Paris, Frankreich (Mistral La Plateforme + Mistral OCR API).

Verarbeitet werden nur diejenigen Inhalte, die Sie der KI explizit zur Verarbeitung zuführen (z. B. durch Upload eines Dokuments oder Nutzung einer KI-Funktion). Nach den AGB von Mistral La Plateforme werden API-Inhalte nicht zum Training verwendet und standardmäßig nach maximal 30 Tagen gelöscht.

Kein Drittlandtransfer: Mistral AI ist ein französisches Unternehmen mit Verarbeitung im EWR. Ihre Daten verlassen die EU nicht; eine Übermittlung in die USA oder ein anderes Drittland findet bei der KI-Verarbeitung nicht statt. Mit Mistral besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO. Bitte geben Sie besonders sensible personenbezogene Daten dennoch nur ein, wenn Sie dies für erforderlich halten; die KI-Funktionen sind in der Regel optional.

Weitere Informationen: mistral.ai/terms

5.7 Videokonferenz-Infrastruktur (Hetzner / Jitsi Meet)

Für Online-Eigentümerversammlungen (Online-ETV) betreiben wir einen selbst­gehosteten Jitsi Meet-Server auf einem dedizierten Server der Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland. Der Server steht im ISO-27001-zertifizierten Rechenzentrum von Hetzner in Nürnberg, Deutschland. Es besteht ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO.

Bei der Nutzung der Online-ETV werden Verbindungs­metadaten (IP-Adresse, Zeitstempel, Anzeigename) sowie, bei aktivierter Funktion, Audio-/Videodaten verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Durchführung der WEG-Versammlung).

Aufzeichnung: Eine Aufzeichnung der Eigentümerversammlung ist technisch möglich, startet jedoch nur nach einer Einwilligungs­abfrage in der Plattform, der alle anwesenden Teilnehmer zustimmen müssen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. §§ 201 ff. StGB. Aufzeichnungen werden in Ihrem WEG-Dokumentenspeicher abgelegt und sind nur für Mitglieder Ihrer WEG zugänglich.

Weitere Informationen: hetzner.com/de/legal/privacy

5.8 Aktuelle Liste aller Sub-Auftragsverarbeiter

Eine tagesaktuelle Liste aller von uns eingesetzten Sub-Auftragsverarbeiter (inklusive Sitz, Verarbeitungs­zweck, Rechtsgrundlage etwaiger Drittlands­transfers und Links zu den jeweiligen Datenschutz­erklärungen) finden Sie unter selbstverwalten.com/sub-auftragsverarbeiter. Änderungen an dieser Liste zeigen wir unseren zahlenden Kunden rechtzeitig an.

6. Registrierung und Nutzerkonto

Zur Nutzung unserer Plattform ist eine Registrierung erforderlich. Dabei verarbeiten wir:

  • E-Mail-Adresse (als Login-Kennung)
  • Name (Vor- und Nachname)
  • Optional: Telefonnummer
  • WEG-bezogene Daten (Objektname, Einheiten, MEA-Anteile)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Daten werden gespeichert, solange das Nutzerkonto besteht, und nach Löschung des Kontos innerhalb von 30 Tagen entfernt, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. Verarbeitung von WEG-Daten

Im Rahmen der Nutzung unserer Plattform werden folgende Kategorien von WEG-Daten verarbeitet:

  • Eigentümerdaten: Namen, Adressen, E-Mail-Adressen, Miteigentumsanteile (MEA)
  • Finanzdaten: Hausgeldbeträge, Wirtschaftspläne, Abrechnungen, Kontobewegungen
  • Beschlussdaten: Beschlusstexte, Abstimmungsergebnisse, ETV-Protokolle
  • Dokumente: Hochgeladene Dateien, Teilungserklärungen, Verträge
  • Kommunikationsdaten: Nachrichten mit Dienstleistern und innerhalb der WEG, eingehende und ausgehende E-Mails

Diese Daten werden ausschließlich auf EU-Servern (Supabase, AWS EU West / Irland) gespeichert. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der ordnungsgemäßen Verwaltung der WEG). Für die Eingabe von Daten Dritter (insbesondere weiterer Eigentümer und Dienstleister) sind unsere Kunden Verantwortliche; wir handeln insoweit als Auftragsverarbeiter (siehe Abschnitt 2.2).

8. Aufbewahrung und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Nach Kündigung des Vertragsverhältnisses löschen wir die Daten innerhalb von 90 Tagen, ausgenommen Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (insbesondere § 147 AO und § 257 HGB, idR 6 bis 10 Jahre für Rechnungen und buchungsrelevante Unterlagen). Diese werden für die Dauer der Aufbewahrungspflicht in einem zugriffs­beschränkten Archiv vorgehalten und anschließend gelöscht.

9. Kontaktaufnahme

Wenn Sie uns per E-Mail oder Kontaktformular kontaktieren, werden die von Ihnen mitgeteilten Daten (Name, E-Mail-Adresse, Nachrichteninhalt) zur Bearbeitung Ihrer Anfrage verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO. Wir löschen die Anfragen, sofern diese nicht mehr erforderlich sind.

10. Cookies und lokale Speicherung

Wir verwenden Cookies und vergleichbare Technologien (LocalStorage, SessionStorage) sparsam und ohne Reichweitenmessung oder Werbe-Profilbildung.

10.1 Technisch notwendige Speicherungen (ohne Einwilligung)

Folgende Speicherungen sind erforderlich, damit unsere Website funktioniert. Sie werden ohne Einwilligung gesetzt (§ 25 Abs. 2 Nr. 2 TDDDG):

  • Authentifizierung & Sitzung (in der Plattform-App): Supabase-Auth-Cookie sb-…-auth-token (HttpOnly, Secure, SameSite=Lax). Lebensdauer Session; Refresh über RefreshToken.
  • Theme-Auswahl (Hell/Dunkel/System): LocalStorage-Eintrag theme. Dauerhaft, keine personenbezogene Übertragung.
  • Vertriebs-Chat-Session (auf der Marketing-Site): SessionStorage-Einträge sv_chat_session_id, sv_chat_messages, sv_vertrieb_persona. Werden beim Schließen des Tabs automatisch gelöscht.
  • Routing- und Sicherheits-Cookies des Hosters (Vercel): z. B. __vercel_proxy*, __vercel_jwt*. Erforderlich für Auslieferung und Schutz gegen Missbrauch.
  • Cookie-Einwilligung selbst: Cookie sv_consent_v1 mit Ihrer Auswahl, Zeitpunkt und einem Hash der zugestimmten Texte. Lebensdauer 1 Jahr.

10.2 Optionale Speicherungen (nur mit Einwilligung)

Folgende Speicherungen werden ausschließlich gesetzt, wenn Sie über unser Cookie-Banner aktiv eingewilligt haben:

  • Marketing-Attribution: Wenn Sie über einen Empfehlungs-Link auf unsere Seite kommen (z. B. ?ref=ABC123), speichern wir den Code im SessionStorage Ihrer Endeinrichtung (sv_ref), damit wir die Empfehlung Ihrem späteren Account zuordnen und ggf. einen Bonus auszahlen können. Speicherung endet beim Schließen des Tabs; Widerruf jederzeit über „Cookie-Einstellungen“ im Footer.

Wir setzen keine Tracking-Cookies, keine Reichweitenmessung (kein Google Analytics, kein Plausible, kein Matomo, kein Meta-Pixel) und keine Cookies für Werbezwecke. Sollten wir künftig eine Reichweitenmessung einführen, wird diese als zusätzliche optionale Kategorie über das Banner abfragbar sein.

10.3 Widerruf und Anpassung

Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Footer unserer Website widerrufen oder anpassen. Der Widerruf wirkt nur für die Zukunft; bereits gesetzte optionale Einträge werden bei Widerruf entfernt.

11. Ihre Rechte

Sie haben jederzeit das Recht auf:

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Sind Sie nicht selbst Kunde, sondern werden Ihre Daten lediglich durch eine unserer Kunden-WEGs bzw. -Verwaltungen in der Plattform verarbeitet, richten Sie Ihre Anfragen nach Möglichkeit direkt an die jeweilige Verantwortliche; wir unterstützen die Verantwortliche bei der Erfüllung Ihrer Betroffenenrechte. Zur Ausübung Ihrer Rechte gegenüber uns genügt eine E-Mail an datenschutz@selbstverwalten.com.

12. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str. 22, 7. OG
20459 Hamburg
datenschutz-hamburg.de

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Plattform anzupassen. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.