Rechtliche Informationen · Plattform

Datenschutz­erklärung.

Für Nutzer der immorivo-Plattform (B2B) gemäß Art. 13/14 DSGVO. Wir behandeln personenbezogene Daten vertraulich und entsprechend den gesetzlichen Vorschriften sowie dieser Erklärung.

Stand: Juni 2026

Hinweis Diese Erklärung betrifft die Verarbeitung von Daten innerhalb der eingeloggten Plattform. Für den Besuch unserer öffentlichen Website (www.immorivo.de) gilt unsere separate Datenschutzerklärung Website.

01 Verantwortlicher

Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne der DSGVO ist:

Firma
immorivo GmbH i. G.
Anschrift
Luxemburger Str. 249, 50939 Köln
Register
in Gründung (Eintragung beim Amtsgericht Köln vorgesehen)
Vertretung
Maximilian Wermke und Jeremy Michael Griesmeier
E-Mail
datenschutz@immorivo.de

02 Unsere Rolle (Verantwortlicher / Auftragsverarbeiter)

Je nach Verarbeitungssituation sind wir datenschutzrechtlich unterschiedlich einzuordnen:

Als Verantwortlicher (Art. 4 Nr. 7 DSGVO) verarbeiten wir personenbezogene Daten insbesondere für die Bereitstellung und Verwaltung von Nutzer-Accounts, Login und Authentifizierung, Abrechnung, Kommunikation sowie für IT-Sicherheit und Fehleranalyse (Logdaten).

Als Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) verarbeiten wir die Inhalte der Dokumente, die unsere Nutzer (z. B. Makler) auf der Plattform hochladen, im Rahmen eines Vertrags zur Auftragsverarbeitung (Art. 28 DSGVO) und nach Weisung des jeweiligen Nutzers. In diesen Fällen ist der Nutzer der Verantwortliche.

Betroffene Personen, deren Daten in solchen Dokumenten enthalten sind (z. B. Eigentümer, Käufer, Bevollmächtigte), wenden sich zur Geltendmachung ihrer Rechte in der Regel an den jeweiligen Verantwortlichen (z. B. den Makler). Wir unterstützen den Verantwortlichen dabei im Rahmen des Art. 28 Abs. 3 DSGVO.

03 Welche Daten verarbeiten wir — und warum?

3.1 Registrierung und Vertragsdurchführung

Bei der Registrierung und im Rahmen der Nutzung erheben wir folgende Daten:

  • Name, Vorname, E-Mail-Adresse und berufliche Kontaktdaten der Nutzer-Accounts
  • Unternehmensdaten (Firmenname, Adresse, Steuernummer für Rechnungsstellung)
  • Zahlungsdaten (werden direkt über Stripe verarbeitet — immorivo speichert keine Kartendaten)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.2 Verarbeitung hochgeladener Dokumente

Dokumente, die Nutzer auf der Plattform hochladen (z. B. Grundbuchauszüge, Kaufvertragsentwürfe, Eigentümerausweise), werden auf unseren Servern gespeichert und durch KI-Systeme analysiert. Diese Dokumente können personenbezogene Daten Dritter (Eigentümer, Käufer, Bevollmächtigte) enthalten.

Rechtsgrundlage: Die Verarbeitung der Dokumentinhalte erfolgt durch immorivo als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Grundlage des Auftragsverarbeitungsvertrags und nach Weisung des jeweiligen Nutzers. Die datenschutzrechtliche Rechtsgrundlage für die Verarbeitung der ggf. enthaltenen Daten Dritter (z. B. Art. 6 Abs. 1 lit. b oder f DSGVO) liegt beim Nutzer als Verantwortlichem und richtet sich nach dessen Datenschutzhinweisen. Der Nutzer muss insbesondere sicherstellen, dass für das Hochladen und die Verarbeitung dieser Dokumente eine gültige Rechtsgrundlage besteht.

3.3 Nutzungsdaten und Plattform-Analytics

Wir erheben Nutzungsdaten zur Verbesserung der Plattform (z. B. aufgerufene Funktionen, Fehlerprotokolle, Ladezeiten) über PostHog (EU-Cloud Frankfurt) und Sentry (EU-Region).

Für die Produktanalyse mit PostHog holen wir Ihre Einwilligung über unser Cookie-Banner ein, soweit dabei nicht notwendige Cookies oder vergleichbare Technologien auf Ihrem Endgerät zum Einsatz kommen (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG); die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerrufbar. Das Fehler-Monitoring mit Sentry dient der technischen Betriebssicherheit und Fehlerbehebung und erfolgt auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO). Ihre Auswahl können Sie jederzeit über die Cookie-Einstellungen anpassen.

3.4 Transaktions-E-Mails

Für den Versand transaktionaler E-Mails (Registrierungsbestätigung, Rechnungen, Systembenachrichtigungen) setzen wir Postmark und ActiveCampaign ein. Dabei werden E-Mail-Adresse und ggf. Name übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.5 Server-Logs sowie Zugriffs- und Aktivitätsprotokolle

Server-Log-Dateien: Beim Aufruf der Plattform werden durch unseren Hosting-Dienstleister automatisch Informationen in Server-Log-Dateien erfasst, die Ihr Browser übermittelt (insbesondere Browsertyp und -version, Betriebssystem, Referrer-URL, Hostname des zugreifenden Rechners, Uhrzeit der Serveranfrage, IP-Adresse). Eine Zusammenführung mit anderen Datenquellen erfolgt nicht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (technisch fehlerfreie Darstellung und Sicherheit). Speicherdauer: automatische Löschung nach 1 Tag.

Zugriffs- und Aktivitätsprotokolle: Zur Gewährleistung von Sicherheit, Integrität und Nachvollziehbarkeit protokollieren wir bestimmte Vorgänge innerhalb der Anwendung (u. a. durchgeführte Aktion, Zeitpunkt, IP-Adresse). Dies betrifft interne Nutzeraktionen sowie externe Zugriffe auf bereitgestellte Datenräume.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit und Missbrauchsprävention) bzw. — soweit es um die Bereitstellung des Datenraums im Rahmen eines Vertragsverhältnisses geht — Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: automatische Löschung nach 24 Monaten.

04 Aufbewahrungsfristen und Löschkonzept

Wir unterscheiden zwischen den im Auftrag verarbeiteten Inhalten (von Nutzern hochgeladene Dokumente und die daraus erzeugten Daten), die wir als Auftragsverarbeiter nach Beendigung des Vertragsverhältnisses löschen und nicht aus eigenem Recht aufbewahren, und unseren eigenen Geschäftsunterlagen (z. B. Rechnungen und Vertragsdaten), für die uns als Verantwortlichem gesetzliche Aufbewahrungsfristen treffen.

DatenkategorieAufbewahrungsfristGrundlage
Hochgeladene Original-Dokumente (PDFs)Bis Vertragsende, zzgl. 30 Tage Export-ÜbergangsfristAuftragsverarbeitung (Art. 28 DSGVO)
OCR-VolltexteWie zugehöriges Dokument; + 30 Tage nach Soft-DeleteAuftragsverarbeitung (Art. 28 DSGVO)
KI-Analyse-ErgebnisseWie zugehöriges DokumentAuftragsverarbeitung (Art. 28 DSGVO)
LLM-Prompts / Outputs (intern)Wie zugehöriges DokumentAuftragsverarbeitung (Art. 28 DSGVO)
Eigene Abrechnungs- / Vertragsdaten (immorivo)10 Jahre§ 257 HGB / § 147 AO
Server-Log-Dateien1 Tag (automatisiert gelöscht)Berechtigtes Interesse
Zugriffs- / Aktivitätsprotokolle24 Monate (automatisiert gelöscht)Berechtigtes Interesse / Vertragszweck
E-Mail-Log12 MonateBerechtigtes Interesse
Nutzungsdaten / Analytics12 Monate, danach anonymisiertBerechtigtes Interesse
BackupsÜberschreibung bzw. Löschung spätestens nach 180 TagenDatensicherheit (Art. 32 DSGVO)

Die Löschung erfolgt über automatisierte Cron-Jobs. Auf Antrag kann ein manueller Hard-Delete gemäß Art. 17 DSGVO durchgeführt werden.

05 Empfänger und Sub-Processor

Im Rahmen des Betriebs der Plattform setzen wir Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten (Art. 28 DSGVO). Die wichtigsten Empfänger:

  • Vercel Inc. — Web-Hosting / Server-Functions (Frankfurt)
  • Supabase Inc. — Datenbank, Authentifizierung, Objekt-Speicher (Frankfurt)
  • Fly.io Inc. — Virenscan-Container (ClamAV) (Frankfurt)
  • Upstash Inc. — Cache / Rate-Limiting (Frankfurt)
  • Inngest Inc. — Workflow-Orchestrierung (AWS US-Region, Ende-zu-Ende-verschlüsselt)
  • AWS Bedrock — KI-Inferenz (EU-Region Frankfurt)
  • Google Cloud Vertex AI — KI-Inferenz (EU-Region Frankfurt / NL)
  • Google Cloud Document AI — OCR / Layout-Analyse (EU-Region Frankfurt)
  • Stripe Payments Europe Ltd. — Zahlungsabwicklung (Irland)
  • Postmark / ActiveCampaign — Versand transaktionaler E-Mails
  • PostHog — Produkt-Analytics (EU-Cloud, Frankfurt)
  • Sentry — Fehler-Monitoring (EU-Region)
  • Better Stack — Log-Aggregation / Monitoring (EU-Region)
  • Langfuse — LLM-Observability (EU-Cloud)
  • Aikido Security — Code-/Cloud-Security-Scanning (Belgien)
  • DocuSign Germany GmbH — Elektronische Signaturen (Frankfurt)

Einige Anbieter haben ihre Konzernmutter in den USA. Übermittlungen erfolgen auf Basis von Standardvertragsklauseln (SCC, Art. 46 DSGVO) in Verbindung mit dem EU-US-Data-Privacy-Framework (DPF). Die Verarbeitung findet grundsätzlich in EU/EWR-Rechenzentren statt; soweit einzelne Dienste ausnahmsweise außerhalb des EWR verarbeiten (insbesondere beim Versand transaktionaler E-Mails), erfolgt dies auf Grundlage der vorgenannten Garantien.

Die vollständige Liste aller Sub-Processor ist im Auftragsverarbeitungsvertrag (AVV) Anlage 1 dokumentiert.

06 Keine KI-Trainingsdaten-Nutzung

Die von Nutzern hochgeladenen Dokumente und Inhalte werden nicht für das Training oder Fine-Tuning von KI-Modellen verwendet — weder durch immorivo noch durch eingesetzte KI-API-Anbieter. Dies ist vertraglich mit allen eingesetzten KI-Infrastrukturanbietern gesichert. Die KI-Inferenz erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Analyseleistungen.

07 Datenraumfreigabe

Nutzer können über die Datenraumfunktion Dokumente (nicht Analyseergebnisse) an Kaufinteressenten oder Eigentümer freigeben. Dabei wird dem Empfänger ein zeitlich begrenzter Zugriffslink zugestellt. immorivo verarbeitet dabei die E-Mail-Adresse des Empfängers im Auftrag des Nutzers (Verantwortlicher).

Nutzern wird empfohlen, die empfangenden Personen gemäß Art. 13/14 DSGVO über die Datenverarbeitung zu informieren.

08 Keine automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Wir treffen keine ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidungen im Sinne des Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Die KI-gestützte Analyse der hochgeladenen Dokumente dient ausschließlich der Unterstützung und Aufbereitung; sie ersetzt keine eigenverantwortliche Prüfung und Entscheidung durch den Nutzer.

09 Rechte der betroffenen Personen

Nutzer und Personen, deren Daten auf der Plattform verarbeitet werden, haben folgende Rechte:

Auskunft
Recht auf Auskunft über die verarbeiteten Daten (Art. 15 DSGVO)
Berichtigung
Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
Löschung
Recht auf Löschung — „Recht auf Vergessenwerden" (Art. 17 DSGVO)
Einschränkung
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Portabilität
Recht auf Herausgabe der Daten in maschinenlesbarem Format (Art. 20 DSGVO)
Widerspruch
Recht auf Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)
Beschwerde
Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde: LDI NRW, Postfach 20 04 44, 40102 Düsseldorf (Art. 77 DSGVO)

Anfragen richten Sie bitte an datenschutz@immorivo.de.

10 Cookies und Tracking

Die Plattform setzt technisch notwendige Cookies für Authentifizierung und Session-Management ein (Art. 6 Abs. 1 lit. f DSGVO). Für die Produktanalyse mit PostHog holen wir Ihre Einwilligung über unser Cookie-Banner ein, soweit dabei nicht notwendige Cookies oder vergleichbare Technologien zum Einsatz kommen (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG); die Einwilligung ist jederzeit widerrufbar. Es werden keine Drittanbieter-Werbe-Cookies eingesetzt.

11 Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung hat Stand: Juni 2026. Bei wesentlichen Änderungen der Verarbeitung oder des Sub-Processor-Verzeichnisses werden Nutzer informiert.

Hinweis

Diese Datenschutzerklärung richtet sich an Nutzer der B2B-Plattform (Makler und Immobiliendienstleister). Für Fragen zum Datenschutz wenden Sie sich an datenschutz@immorivo.de. Für den Besuch unserer öffentlichen Website gilt die separate Datenschutzerklärung Website.