Imalia

Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung.

Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung auf dieser Website?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Abschnitt „Hinweis zur Verantwortlichen Stelle“ in dieser Datenschutzerklärung entnehmen.

Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z. B. um Daten handeln, die Sie in ein Kontaktformular eingeben. Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z. B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie diese Website betreten.

Wofür nutzen wir Ihre Daten?
Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können zur Analyse Ihres Nutzerverhaltens verwendet werden.

Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Wenn Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese Einwilligung jederzeit für die Zukunft widerrufen. Außerdem haben Sie das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.

Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit an uns wenden.

2. Hosting

Wir hosten die Inhalte unserer Website bei folgendem Anbieter:

Hetzner Online GmbH

Anbieter ist die Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland (nachfolgend „Hetzner“). Wenn Sie unsere Website besuchen, werden Ihre personenbezogenen Daten auf den Servern von Hetzner verarbeitet. Alle Daten verbleiben ausschließlich auf Servern in Deutschland (Rechenzentrum Frankfurt am Main). Es findet kein Transfer in Drittländer außerhalb der EU statt.

Die Verwendung von Hetzner erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer möglichst zuverlässigen Darstellung unserer Website. Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO.

Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Weitere Informationen: https://www.hetzner.com/de/legal/privacy/

3. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Wenn Sie diese Website benutzen, werden verschiedene personenbezogene Daten erhoben. Personenbezogene Daten sind Daten, mit denen Sie persönlich identifiziert werden können. Die vorliegende Datenschutzerklärung erläutert, welche Daten wir erheben und wofür wir sie nutzen. Sie erläutert auch, wie und zu welchem Zweck das geschieht.

Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Hinweis zur verantwortlichen Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

Imalia GmbH
Musterstraße 123
80331 München

Telefon: +49 (0) 89 123456789
E-Mail: datenschutz@imalia.de

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z. B. Namen, E-Mail-Adressen o. Ä.) entscheidet.

Speicherdauer

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Wenn Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung zur Datenverarbeitung widerrufen, werden Ihre Daten gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung Ihrer personenbezogenen Daten haben (z. B. steuer- oder handelsrechtliche Aufbewahrungsfristen); im letztgenannten Fall erfolgt die Löschung nach Fortfall dieser Gründe.

Widerruf Ihrer Einwilligung zur Datenverarbeitung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Widerspruchsrecht

Sofern wir Ihre personenbezogenen Daten auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen diese Verarbeitung Widerspruch einzulegen (Art. 21 DSGVO). Nach Ihrem Widerspruch verarbeiten wir Ihre personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Um Ihr Widerspruchsrecht auszuüben, wenden Sie sich bitte an: datenschutz@imalia.de

Beschwerderecht bei der zuständigen Aufsichtsbehörde

Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde zu. Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach

Recht auf Datenübertragbarkeit

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist. Alternativ können Sie den Export per E-Mail an datenschutz@imalia.de anfordern.

Auskunft, Löschung und Berichtigung

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung oder Löschung dieser Daten. Zur Löschung Ihres Kontos siehe Abschnitt „Recht auf Löschung (Account-Löschung)“. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit an uns wenden.

Recht auf Löschung (Account-Löschung)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen (Art. 17 DSGVO). Dies umfasst die vollständige Löschung Ihres Nutzerkontos und aller damit verbundenen Daten.

So löschen Sie Ihr Konto:Melden Sie sich an und gehen Sie zu „Einstellungen“. Klicken Sie im Bereich „Gefahrenzone“ auf „Konto löschen“ und bestätigen Sie die Löschung.

Kostenloser Plan (Free): Ihr Konto und alle Daten (Profil, Exposés, Bilder, Anfragen) werden sofort und unwiderruflich gelöscht.

Bezahlte Pläne (Starter/Professional/Professional+): Ihr Abonnement wird zum Ende der aktuellen Abrechnungsperiode gekündigt. Die Löschung erfolgt automatisch am letzten Tag Ihres bezahlten Zeitraums. Bis dahin können Sie den Dienst weiterhin nutzen und die geplante Löschung jederzeit rückgängig machen.

Was wird gelöscht? Ihr Nutzerkonto, alle Exposés, hochgeladene Bilder, Kontaktanfragen, Termine, Agent-Sitzungen (Chat-Verläufe des Exposé-Agents), CRM-Verbindungen (inkl. gespeicherter API-Keys) und Nutzungsstatistiken.

Was wird nicht gelöscht? Rechnungen und Zahlungsdaten (gesetzliche Aufbewahrungspflicht: 10 Jahre nach HGB/AO) sowie anonymisierte Statistiken ohne Personenbezug.

Alternativ können Sie die Löschung auch per E-Mail an datenschutz@imalia.de anfordern. Wir werden Ihren Antrag innerhalb von 30 Tagen bearbeiten.

4. Datenerfassung auf dieser Website

Cookies

Unsere Internetseiten verwenden so genannte „Cookies“. Cookies sind kleine Datenpakete und richten auf Ihrem Endgerät keinen Schaden an. Sie werden entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert. Session-Cookies werden nach Ende Ihres Besuchs automatisch gelöscht. Permanente Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese selbst löschen oder eine automatische Löschung durch Ihren Webbrowser erfolgt.

Wir verwenden ausschließlich technisch notwendige Cookies, die für die Funktionsfähigkeit unseres Dienstes erforderlich sind. Es werden keine Marketing- oder Tracking-Cookies gesetzt.

Konkret gesetzte Cookies:

  • sb-*-auth-token – Authentifizierung (Login-Session), Anbieter: Supabase, Gültigkeit: 7 Tage
  • sb-*-auth-token-code-verifier – OAuth-Verifizierung (Google Login), Anbieter: Supabase, Gültigkeit: 1 Stunde

localStorage: Zusätzlich verwenden wir den Browser-Speicher (localStorage) für folgende technisch notwendige Einstellungen:

  • chat-consent-accepted – Speichert Ihre Einwilligung zur Nutzung des KI-Chat-Assistenten, Gültig: bis zur manuellen Löschung
  • chat-fab-seen – Merkt sich, ob der Chat-Button bereits gesehen wurde (für Animations-Steuerung), Gültig: bis zur manuellen Löschung

Diese localStorage-Einträge enthalten keine personenbezogenen Daten und dienen ausschließlich der Funktionalität. Sie können diese jederzeit über die Browser-Einstellungen löschen.

Die Speicherung dieser Cookies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) und § 25 Abs. 2 Nr. 2 TTDSG (technisch notwendige Cookies). Der Websitebetreiber hat ein berechtigtes Interesse an der Speicherung von Cookies zur technisch fehlerfreien und optimierten Bereitstellung seiner Dienste.

Da wir ausschließlich technisch notwendige Cookies verwenden, benötigen wir gemäß § 25 Abs. 2 Nr. 2 TTDSG keine Einwilligung (Cookie-Banner). Sie können Cookies in Ihren Browsereinstellungen jederzeit löschen oder blockieren. Beachten Sie, dass dann möglicherweise nicht alle Funktionen unseres Dienstes nutzbar sind (insbesondere kein Login möglich).

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • Browsertyp und Browserversion
  • verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung seiner Website – hierzu müssen die Server-Log-Files erfasst werden.

Speicherdauer: Die Server-Log-Dateien werden automatisch nach 7 Tagen gelöscht. Eine längerfristige Speicherung erfolgt nur in anonymisierter Form.

Kontaktformular

Kontakt per E-Mail: Wenn Sie uns per E-Mail kontaktieren (z. B. an datenschutz@imalia.de), werden Ihre Angaben (E-Mail-Adresse, optional Name und Nachricht) zur Bearbeitung Ihrer Anfrage gespeichert.

Kontaktformular auf öffentlichen Exposés: Auf öffentlich freigegebenen Immobilien-Exposés stellen wir ein Kontaktformular bereit, über das Interessenten direkt mit dem Makler Kontakt aufnehmen können. Dabei werden folgende Daten erfasst: Name (Pflichtfeld), E-Mail-Adresse (Pflichtfeld), Telefonnummer (optional), Nachricht (optional) sowie DSGVO-Einwilligung (Pflichtfeld) und Zeitstempel.

Die Kontaktanfrage wird per E-Mail an den Makler weitergeleitet, der das jeweilige Exposé erstellt hat. Wir speichern die Anfrage zusätzlich in unserem System, damit der Makler diese in seinem Konto einsehen und verwalten kann.

Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie durch Aktivierung der DSGVO-Checkbox und Absenden des Formulars erteilen.

Die von Ihnen im Kontaktformular eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt. Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt.

Registrierung auf dieser Website

Sie können sich auf dieser Website registrieren, um zusätzliche Funktionen auf der Seite zu nutzen. Es stehen folgende Registrierungsmethoden zur Verfügung:

E-Mail/Passwort-Registrierung: Erforderliche Daten sind Vorname, Nachname, E-Mail-Adresse und Passwort. Optional kann ein Unternehmensname angegeben werden.

Google Single Sign-On (OAuth):E-Mail-Adresse und ggf. Name werden automatisch von Google übernommen. Weitere Informationen finden Sie im Abschnitt „Google OAuth“.

Nach der Registrierung erhalten Sie eine E-Mail mit einem Bestätigungslink zur Verifizierung Ihrer E-Mail-Adresse.

Für wichtige Änderungen etwa beim Angebotsumfang oder bei technisch notwendigen Änderungen nutzen wir die bei der Registrierung angegebene E-Mail-Adresse, um Sie auf diesem Wege zu informieren.

Die Verarbeitung der bei der Registrierung eingegebenen Daten erfolgt zum Zwecke der Durchführung des durch die Registrierung begründeten Nutzungsverhältnisses und ggf. zur Anbahnung weiterer Verträge (Art. 6 Abs. 1 lit. b DSGVO).

Die bei der Registrierung erfassten Daten werden von uns gespeichert, solange Sie auf dieser Website registriert sind und werden anschließend gelöscht. Gesetzliche Aufbewahrungsfristen bleiben unberührt.

5. Zahlungsanbieter

Stripe

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe. Anbieter ist die Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (nachfolgend „Stripe“).

Bei Abschluss eines kostenpflichtigen Abonnements werden folgende Daten an Stripe übermittelt: Name und E-Mail-Adresse, Rechnungsadresse, Zahlungsmethode (Kreditkarte, SEPA-Lastschrift etc.) sowie Transaktionsdaten (Betrag, Währung, Transaktionsnummer). Stripe erhält außerdem Ihre Stripe Customer ID, den Abonnement-Status und den Abrechnungszeitraum.

Wichtig: Wir speichern keine Zahlungsdaten (Kreditkartennummern, Bankverbindungen) auf unseren Servern. Diese werden ausschließlich bei Stripe gespeichert und verarbeitet.

Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe verarbeitet Zahlungsdaten auf Servern in der EU und den USA. Die Datenübertragung basiert auf den EU-Standardvertragsklauseln und dem EU-US Data Privacy Framework. Stripe ist PCI DSS Level 1 zertifiziert (höchster Sicherheitsstandard für Zahlungsdienstleister). Mit Stripe besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Speicherdauer: Stripe speichert Zahlungsdaten für die Dauer Ihres Abonnements plus 7 Jahre für steuerliche Aufbewahrungspflichten.

Weitere Informationen zum Datenschutz bei Stripe finden Sie unter: https://stripe.com/de/privacy

6. Drittanbieter und externe Dienste

Supabase (Authentifizierung und Datenbank)

Wir nutzen Supabase für die Verwaltung von Nutzerkonten und die Speicherung Ihrer Daten. Anbieter ist Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992.

Supabase Auth (Authentifizierung): E-Mail/Passwort-Login, Google OAuth (Single Sign-On), Passwort-Reset und E-Mail-Verifizierung, Session-Management (Cookies).

Supabase Database (PostgreSQL): Speicherung Ihrer Profildaten (Name, E-Mail, Abo-Status), Ihrer Exposés (Objektdaten, generierte Texte), Kontaktanfragen, Termine und hochgeladener Bilder.

Serverstandort: Unsere Supabase-Instanz läuft in der EU-Region (Frankfurt, Deutschland). Alle Daten werden ausschließlich auf EU-Servern gespeichert.

Die Nutzung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer und skalierbarer Infrastruktur). Mit Supabase besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Speicherdauer:Ihre Daten werden gespeichert, solange Ihr Konto besteht. Nach Löschung Ihres Kontos werden alle Daten vollständig gelöscht (siehe „Recht auf Löschung“).

Weitere Informationen: https://supabase.com/privacy

Google OAuth (Single Sign-On)

Sie haben die Möglichkeit, sich über Ihr Google-Konto bei unserem Dienst zu registrieren und anzumelden („Single Sign-On“ / „OAuth 2.0“). Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Verarbeitete Daten: E-Mail-Adresse, Vor- und Nachname (falls in Google-Profil hinterlegt), Google-User-ID (zur eindeutigen Zuordnung).

Zweck: Authentifizierung und Registrierung ohne separates Passwort.

Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung des Nutzerkontos).

Die Authentifizierung erfolgt über Google-Server. Es werden Daten in die USA übertragen. Die Datenübertragung basiert auf den EU-Standardvertragsklauseln und dem EU-US Data Privacy Framework. Die von Google erhaltenen Daten speichern wir, solange Ihr Nutzerkonto besteht.

Weitere Informationen: https://policies.google.com/privacy | Google-Berechtigungen verwalten

KI-Dienste (Anthropic Claude)

Für die Generierung von Exposé-Texten nutzen wir KI-Sprachmodelle:

Anthropic Claude: Anbieter ist Anthropic PBC, 548 Market St #75843, San Francisco, CA 94104, USA. Verwendet für die Textgenerierung (alle Pläne). Anthropic speichert übermittelte API-Daten nicht dauerhaft (Zero Data Retention Policy).

Übermittelte Daten: Objekttyp, Adressdaten (Straße, Stadt, Stadtteil), Immobilienmerkmale (Fläche, Zimmer, Ausstattung, Zustand), Preisangaben sowie optional Ihre Freitexteingaben (z. B. Besonderheiten) sowie optionale Marktdaten (Bodenrichtwert in EUR/m², Gemeindename), wenn die Marktdaten-Funktion aktiviert ist (Professional- und Team-Plan). Nicht übermittelt werden persönliche Daten (Name, E-Mail, Telefon), Zahlungsdaten oder interne Notizen.

Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Kernfunktion unseres Dienstes). Die Daten werden verschlüsselt (TLS) an Server in den USA übertragen. Die Übermittlung basiert auf den EU-Standardvertragsklauseln. Anthropic verarbeitet die Daten ausschließlich zur Textgenerierung und nutzt API-Anfragen nicht für das Training ihrer Modelle.

Weitere Informationen: Anthropic Datenschutz

KI-Chat-Assistent

Innerhalb unserer Anwendung bieten wir einen KI-gestützten Chat-Assistenten an, der eingeloggte Nutzer bei Fragen zur Nutzung von Imalia unterstützt. Der Chat-Assistent basiert auf dem KI-Modell Anthropic Claude (siehe oben).

Zweck: In-App-Hilfe und Beantwortung von Fragen zu Imalia-Funktionen, Plänen und der Exposé-Erstellung.

Verarbeitete Daten: Ihre Chat-Nachrichten, die aktuelle Seiten-URL, Ihr Plan-Name und Ihr Exposé-Kontingent. Nicht übermittelt werden Ihre E-Mail-Adresse, Ihr Name, Zahlungsdaten oder Exposé-Inhalte.

Empfänger: Anthropic PBC (USA) via API. Es gelten die gleichen Datenschutzstandards wie bei der Exposé-Generierung (EU-Standardvertragsklauseln, Zero Data Retention Policy).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Nutzung des Chat-Assistenten erfordert eine explizite Zustimmung, die beim ersten Öffnen des Chats eingeholt wird.

Speicherdauer: Keine dauerhafte Speicherung. Chat-Nachrichten existieren ausschließlich während Ihrer Browser-Session und werden beim Schließen des Browsers oder Neuladen der Seite gelöscht. Es erfolgt kein serverseitiges Logging der Chat-Inhalte.

Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Browser-Daten (localStorage) löschen. Nach dem Widerruf wird beim nächsten Öffnen des Chats erneut eine Einwilligung eingeholt.

Exposé-Agent (KI-Copilot)

Der Exposé-Agent ist ein KI-gestützter Copilot zur iterativen Optimierung von Exposé-Texten. Er steht Nutzern mit Professional- oder Professional+-Plan zur Verfügung.

Verarbeitete Daten: Chat-Nachrichten, Objektdaten (Adresse, Preis, Fläche etc.), Exposé-Texte (Portal, Website, Social Media), Textänderungsvorschläge (Diffs) sowie Token-Verbrauch. Nicht übermittelt werden personenbezogene Nutzerdaten (Name, E-Mail, Telefon) an den KI-Provider.

Empfänger: Anthropic PBC (San Francisco, USA) als LLM-Provider. Es gelten die gleichen Datenschutzstandards wie bei der Exposé-Generierung (EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, Zero Data Retention Policy). Optional kann AWS Bedrock (Amazon Web Services, Frankfurt, eu-central-1) als alternativer KI-Provider konfiguriert werden. In diesem Fall verbleiben alle Daten innerhalb der EU.

Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – der Agent ist ein gebuchtes Feature des Professional-Plans).

Speicherdauer: Chat-Sitzungen werden in unserer Datenbank gespeichert und nach 90 Tagen Inaktivität automatisch gelöscht. Bei Löschung eines Exposés werden zugehörige Agent-Sitzungen ebenfalls gelöscht.

Widerruf:Sie können die Nutzung des Exposé-Agents jederzeit einstellen. Bei Löschung Ihres Kontos werden alle Agent-Sitzungen vollständig gelöscht (siehe „Recht auf Löschung“).

Standortdaten (OpenStreetMap)

Zur Anreicherung von Exposés mit Standortinformationen (Entfernungen zu ÖPNV, Schulen, Ärzten, Supermärkten etc.) nutzen wir die OpenStreetMap-Dienste Nominatim (Geocoding) und Overpass API (Points of Interest).

Anbieter:OpenStreetMap Foundation (OSMF), St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, United Kingdom.

Übermittelte Daten: PLZ, Stadt, Straße und Stadtteil der Immobilie. Die Daten werden zur Berechnung von Koordinaten und Suche nach nahegelegenen Einrichtungen (Points of Interest) verwendet.

Zweck: Automatische Generierung von Standortbeschreibungen für Exposé-Texte (Kernfunktion unseres Dienstes).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: OpenStreetMap speichert API-Anfragen in Server-Logs für maximal 7 Tage. Die von uns abgerufenen Koordinaten und POI-Daten werden bis zu 30 Tage gecacht.

Hinweis: Die übermittelten Adressen sind in der Regel Objektadressen, keine Privatadressen des Nutzers. Sollten Sie personenbezogene Adressen eingeben (z. B. Privatverkauf des eigenen Hauses), werden diese wie beschrieben verarbeitet.

Serverstandort: OpenStreetMap-Server stehen weltweit, primär in der EU und UK.

Lizenz:Die von OpenStreetMap abgerufenen Daten unterliegen der Open Database License (ODbL). Bei Veröffentlichung von Exposés mit Standortdaten sollte die Quelle angegeben werden: „Standortdaten © OpenStreetMap contributors“.

Weitere Informationen: OpenStreetMap Datenschutz

Marktdaten (BORIS-D / Bundesamt für Kartographie und Geodäsie)

Zur Integration amtlicher Bodenrichtwerte in Exposé-Texte nutzen wir den BORIS-D-Dienst des Bundesamts für Kartographie und Geodäsie (BKG). Anbieter: Bundesamt für Kartographie und Geodäsie, Richard-Strauss-Allee 11, 60598 Frankfurt am Main.

Übermittelte Daten: Koordinaten der Immobilie (Längen- und Breitengrad, abgeleitet aus der eingegebenen Adresse) als URL-Parameter des WMS-Dienstes.

Zweck: Abruf des amtlichen Bodenrichtwerts (EUR/m²) für den Immobilienstandort zur Einbindung in Exposé-Texte. Diese Funktion ist ausschließlich für Professional- und Team-Plan-Nutzer verfügbar und kann im Exposé-Formular deaktiviert werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Serverstandort: Deutschland (EU). Kein Drittlandtransfer.

Speicherdauer: Abgerufene Bodenrichtwerte werden bis zu 30 Tage auf unseren Servern zwischengespeichert.

Lizenz:BORIS-D-Daten unterliegen der Datenlizenz Deutschland – Namensnennung – Version 2.0 (dl-de/by-2-0). Die Quelle wird im Exposé-Text als „Gutachterausschuss / BORIS-D“ ausgewiesen.

Hinweis: Das BKG ist kein Auftragsverarbeiter im Sinne des Art. 28 DSGVO, sondern stellt öffentliche Open Data bereit.

Exposé-Aufrufsstatistik / Portal-Analytics

Wenn ein öffentlich freigegebenes Exposé aufgerufen wird, erfassen wir statistische Daten zur Analyse der Herkunft von Exposé-Aufrufen. Ziel ist die Optimierung der Vermarktungsstrategie der Makler, die unseren Dienst nutzen.

Verarbeitete Daten:

  • Pseudonymisierte Besucher-ID (SHA-256-Hash aus IP-Adresse, User-Agent und Tagesdatum – keine Klartext-IP-Speicherung)
  • Referrer-Domain (Herkunftswebsite)
  • Gerätetyp (Desktop / Mobil / Tablet)
  • UTM-Parameter (Quellportal, Medium, Kampagne) – nur bei Aufruf über Portal-Tracking-Links
  • Zeitpunkt des Aufrufs

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Das berechtigte Interesse liegt in der Analyse der Wirksamkeit von Immobilienportalen zur Optimierung der Vermarktungsstrategie.

Kein Cookie-Einsatz: Für die Statistik werden keine Cookies eingesetzt. Es findet kein seitenübergreifendes Tracking statt.

Speicherdauer: Die Daten werden je nach Tarif des Maklers nach 7, 30, 90 oder 365 Tagen automatisch gelöscht.

Empfänger: Die Daten werden ausschließlich auf Servern in der EU (Frankfurt am Main) bei unserem Auftragsverarbeiter Supabase Inc. verarbeitet. Eine Weitergabe an Dritte findet nicht statt.

Widerspruchsrecht:Sie können der Verarbeitung jederzeit widersprechen (Art. 21 DSGVO). Kontaktdaten: datenschutz@imalia.de (siehe Abschnitt „Hinweis zur verantwortlichen Stelle“).

CRM-Integration (Propstack / onOffice)

Nutzer mit einem Starter- oder höherem Plan können ihr CRM-System (aktuell Propstack, zukünftig onOffice) mit Imalia verbinden, um Immobiliendaten direkt zu importieren.

Verarbeitete Daten: CRM-API-Zugangsdaten (API-Key), die AES-256-GCM-verschlüsselt in unserer Datenbank gespeichert werden; Metadaten der Verbindung (CRM-Anbieter, Verbindungsstatus, Verbindungsdatum, Anzahl der Objekte im CRM). Beim Import werden Objektdaten (Adresse, Preis, Fläche, Beschreibungen) temporär auf unseren Servern verarbeitet. Es werden keine personenbezogenen Kontaktdaten (Käufer, Mieter) aus dem CRM importiert.

Zweck: Authentifizierung gegenüber dem CRM-System und Abruf von Immobiliendaten für die Exposé-Generierung (Kernfunktion unseres Dienstes).

Empfänger: Der jeweilige CRM-Anbieter erhält bei jedem Datenabruf den API-Key als Authentifizierungsmerkmal. Aktuell: Propstack GmbH, Valentinskamp 24, 20354 Hamburg, Deutschland. Zukünftig: onOffice GmbH, Charlottenburger Allee 5, 52068 Aachen, Deutschland. Imalia sendet keine Imalia-Nutzerdaten an das CRM-System. Die Verarbeitung erfolgt auf Servern von Hetzner (siehe Abschnitt Hosting) sowie bei dem jeweiligen CRM-Anbieter.

Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – die CRM-Integration ist ein vertragsgemäßer Dienst ab dem Starter-Plan).

Speicherdauer: Die CRM-Verbindungsdaten (inkl. verschlüsseltem API-Key) werden gespeichert, bis die Verbindung durch den Nutzer getrennt wird oder das Nutzerkonto gelöscht wird. Bei Account-Löschung werden alle CRM-Verbindungen und gespeicherten API-Keys unwiderruflich gelöscht.

Drittlandtransfer: Propstack und onOffice sind deutsche Unternehmen mit Sitz in Deutschland. Es findet kein Transfer in Drittländer statt. Alle CRM-Daten verbleiben in der EU. Propstack stellt einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO bereit.

Transaktions-E-Mails (Resend)

Für den Versand von Service-E-Mails (z. B. Willkommens-E-Mail, Passwort-Reset, Kontaktanfragen, Terminbestätigungen) nutzen wir den E-Mail-Dienstleister Resend. Anbieter ist Resend Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA.

Verarbeitete Daten: E-Mail-Adresse (Empfänger), Name (falls vorhanden), Inhalt der jeweiligen E-Mail (z. B. Immobilien-Titel, Termindaten) sowie Metadaten (Zeitstempel, Zustellstatus).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Service-E-Mails. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für optionale Benachrichtigungen (Nutzungslimits), sofern Sie diese in den Einstellungen aktiviert haben.

Die E-Mail-Zustellung erfolgt über Server in den USA. Resend verarbeitet E-Mails ausschließlich in unserem Auftrag und speichert diese nicht dauerhaft (maximal 30 Tage für Zustellungs-Logs). Die Datenübertragung basiert auf den EU-Standardvertragsklauseln. Mit Resend besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Weitere Informationen: https://resend.com/legal/privacy-policy | Auftragsverarbeitungsvertrag (DPA)

7. Übersicht der Auftragsverarbeiter

Folgende Drittanbieter verarbeiten personenbezogene Daten in unserem Auftrag:

  • Hetzner Online GmbH (Deutschland) – Website-Hosting
  • Supabase Inc. (Singapur/EU-Server) – Authentifizierung und Datenbank
  • Stripe Payments Europe Ltd. (Irland) – Zahlungsabwicklung
  • Anthropic PBC (USA) – KI-Textgenerierung
  • Resend Inc. (USA) – E-Mail-Versand
  • OpenStreetMap Foundation (UK) – Geocoding und Standortdaten
  • Google Ireland Ltd. (Irland) – OAuth-Authentifizierung
  • Propstack GmbH (Deutschland) – CRM-Datenimport

Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO. Für Datenübermittlungen in die USA werden EU-Standardvertragsklauseln und/oder das EU-US Data Privacy Framework als Rechtsgrundlage herangezogen.

8. Kartenmaterial (OpenStreetMap)

Auf unseren öffentlichen Exposé-Seiten verwenden wir Kartenmaterial des Dienstes OpenStreetMap (Betreiber: OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Großbritannien).

Die interaktive Karte wird erst nach Ihrem Klick auf den Karten-Placeholder geladen. Erst dann werden Kartenkacheln direkt vom Server tile.openstreetmap.org abgerufen, wobei Ihre IP-Adresse an die OpenStreetMap Foundation übermittelt wird. Die Nutzung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Interaktion). Weitere Informationen finden Sie in der Datenschutzerklärung der OpenStreetMap Foundation.

Stand: März 2026 (aktualisiert: Hetzner-Hosting, EU AI Act, Anthropic-Section)