Bestandsdepot

Datenschutzerklärung

Stand: 17. Juni 2026

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:

bestandsdepot
Inh.: Jochen Hesse
Schloßstr. 12
38179 Schwülper
Deutschland

Telefon: 05303 9902924
E-Mail: mail@bestandsdepot.de

2. Datenschutzbeauftragter

Die Benennung eines Datenschutzbeauftragten ist nicht erforderlich, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG).

3. Zweck der Anwendung

Bestandsdepot ist eine Webanwendung zur Verwaltung von Immobilienbeständen. Die Anwendung unter app.bestandsdepot.de dient der Erfassung und Verwaltung von Objekten, Einheiten, Mietern, Verträgen, Buchungen, Dokumenten und Abrechnungen für private Vermieter. Das Mieterportal unter mieter.bestandsdepot.de ermöglicht eingeladenen Mietern den Zugriff auf freigegebene Unterlagen und Anliegen.

4. Verarbeitete Datenkategorien und Zwecke

4.1 Nutzerkonto und Authentifizierung

Bei der Registrierung und Anmeldung verarbeiten wir: E-Mail-Adresse, Name, Passwort (als Bcrypt-Hash), ggf. TOTP-Secret (verschlüsselt) für Zwei-Faktor-Authentifizierung, Rolle und Mandantenzugehörigkeit. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.2 Immobilien- und Mieterverwaltung

Zur Verwaltung von Mietverhältnissen verarbeiten wir: Stammdaten von Mietern (Name, Anrede, Kontaktdaten, Adresse), Vertragsdaten (Miethöhe, Laufzeiten, Kautionen), Buchungen und Abrechnungen. Diese Daten werden durch den Nutzer (Vermieter) eingegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an geordneter Hausverwaltung).

4.3 Dokumentenverwaltung

Hochgeladene Dokumente werden serverseitig mit AES-256-GCM verschlüsselt gespeichert. Metadaten (Dateiname, Dokumententyp, Zuordnung) werden in der Datenbank abgelegt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.4 Steuer-Export und Betriebskostenabrechnung

Die Anwendung erstellt Zusammenfassungen für die Steuererklärung (Anlage V) und Betriebskostenabrechnungen auf Basis der vom Nutzer eingegebenen Daten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.5 Sicherheits- und Protokolldaten

Zur Absicherung der Anwendung werden Login-Versuche (IP-Hash, Zeitpunkt, Erfolg/Misserfolg) und sicherheitsrelevante Aktionen (Audit-Log) protokolliert. IP-Adressen werden dabei nur als Hash gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).

4.6 KI-Hilfechat

Der optionale Hilfechat auf der öffentlichen Website und in der Anwendung beantwortet Fragen zu Bestandsdepot und allgemeinen Abläufen der Mietverwaltung. Übermittelt werden die eingegebene Frage, kuratierte Hilfetexte und in der Anwendung nur ein minimaler Kontext wie Seitenbereich, Paket und Rollenklasse. Bestandsdaten wie Namen, Adressen, Vertrags-, Zahlungs- oder Dokumentdaten werden nicht aktiv an den KI-Dienstleister übermittelt und sollen nicht in den Chat eingegeben werden. Chatverläufe werden nicht dauerhaft gespeichert.

5. Rechtsgrundlagen im Überblick

  • Art. 6 Abs. 1 lit. b DSGVO – Verarbeitung zur Vertragserfüllung (Bereitstellung der Software, Nutzerkonto)
  • Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Pflichten (steuerliche Aufbewahrungsfristen)
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen (IT-Sicherheit, Betrugsprävention, geordneter Betrieb)

6. Empfänger und Auftragsverarbeiter

6.1 IONOS SE (Hosting: Server und Datenbank)

Die Anwendung und die zugehörige Datenbank werden auf einem gemieteten virtuellen Server (VPS) der IONOS SE (Elgendorfer Str. 57, 56410 Montabaur) in einem Rechenzentrum in Deutschland betrieben. Dabei können auf dem Server Access-Logs (IP-Adresse, Zeitstempel, aufgerufene URL) anfallen. Mit IONOS besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

6.2 IONOS SE (verschlüsselter Objektspeicher für Dokumente)

Hochgeladene Dokumente werden in einem privaten, S3-kompatiblen Objektspeicher der IONOS SE in Deutschland abgelegt. Die Inhalte werden bereits in der Anwendung mit AES-256-GCM verschlüsselt, bevor sie dort gespeichert werden; der Speicher-Bucket ist privat und stellt keine öffentlichen URLs bereit. Auch hierfür gilt der AVV mit IONOS.

6.3 OVH (Domain, DNS und E-Mail)

Die Domain bestandsdepot.de ist bei der OVH SAS (2 rue Kellermann, 59100 Roubaix, Frankreich) registriert; OVH betreibt auch die DNS-Verwaltung der Domain. Der Versand systembezogener E-Mails (z. B. Passwortzurücksetzung) sowie das Postfach mail@bestandsdepot.de werden ebenfalls über OVH abgewickelt. Dabei werden E-Mail-Adresse und Inhalt der jeweiligen Nachricht verarbeitet. Die Rechenzentren von OVH befinden sich innerhalb der EU. Mit OVH besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

6.4 Optionale KI-Dokumentenauswertung

Nur wenn der Betreiber die optionale KI-Dokumentenauswertung aktiviert, werden hochgeladene Dokumente zur automatischen Voranalyse kurzfristig an einen KI-Dienstleister (derzeit Mistral AI, Frankreich/EU) übermittelt. Ohne aktivierte Funktion findet keine solche Übermittlung statt.

6.5 Optionaler KI-Hilfechat

Wenn der KI-Hilfechat aktiviert ist, werden Chatfragen kurzfristig an einen KI-Dienstleister (derzeit Mistral AI, Frankreich/EU) übermittelt. Der Chat ist auf Produkt- und Orientierungshilfe beschränkt, nutzt keine gespeicherten Bestandsdaten und speichert keine Chatverläufe in Bestandsdepot.

6.6 Sonstige Weitergabe

Eine Weitergabe an sonstige Dritte erfolgt nicht, es sei denn, dies ist zur Erfüllung gesetzlicher Pflichten erforderlich.

7. Übermittlung in Drittländer

Die eingesetzten Auftragsverarbeiter (IONOS, OVH und – sofern aktiviert – der KI-Dienstleister) verarbeiten die Daten innerhalb der Europäischen Union bzw. des EWR. Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EWR) findet nicht statt.

8. Cookies und Session-Management

Die Anwendung verwendet ausschließlich technisch notwendige Cookies. Ein Cookie-Banner ist daher nicht erforderlich. Im Einzelnen:

CookieZweckDauer
authjs.session-tokenAuthentifizierung (JWT)Sitzung / max. 30 Tage
authjs.csrf-tokenCSRF-SchutzSitzung
localeSpracheinstellung1 Jahr
sidebar_stateUI-Zustand (Sidebar)7 Tage

Die öffentliche Website bestandsdepot.de nutzt kein Analytics und kein Newsletter-Tracking.

9. Server-Logfiles

Der Anwendungsserver (VPS bei IONOS) kann bei jedem Zugriff automatisch Informationen in Server-Logfiles speichern: aufgerufene Seite, Datum und Uhrzeit, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp und -version, Betriebssystem, Referrer-URL und die anfragende IP-Adresse. Diese Daten werden zur Sicherstellung eines störungsfreien Betriebs und zur Erkennung von Angriffen ausgewertet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Logfiles werden nach spätestens 30 Tagen gelöscht.

10. E-Mail-Versand

Bestandsdepot versendet E-Mails ausschließlich für systemrelevante Vorgänge wie Passwortzurücksetzung oder sicherheitsrelevante Benachrichtigungen. Ein E-Mail-Newsletter wird nicht betrieben. Der Versand sowie das Postfach mail@bestandsdepot.de werden über unseren E-Mail-Dienstleister OVH (OVH SAS, Frankreich, Rechenzentren innerhalb der EU) abgewickelt.

11. Speicherdauer

  • Nutzerkonto-Daten: Bis zur Löschung des Kontos durch den Nutzer oder den Betreiber.
  • Immobilien- und Mieterdaten: Bis zur Löschung durch den Nutzer. Gesetzliche Aufbewahrungspflichten (insbesondere § 147 AO: 10 Jahre für steuerlich relevante Unterlagen) bleiben unberührt.
  • Login-Versuche: Fehlgeschlagene Versuche werden nach Ablauf der Sperrzeit automatisch bereinigt.
  • Audit-Logs: Sicherheitsrelevante Ereignisse werden für bis zu 12 Monate aufbewahrt.
  • Server-Logfiles: Maximal 30 Tage.
  • Dokumente: Bis zur Löschung durch den Nutzer; verschlüsselt gespeichert.
  • KI-Hilfechat: Chatverläufe werden nicht dauerhaft gespeichert; technische Rate-Limit- und Fehlerdaten fallen nur im Rahmen der allgemeinen Server-Logfiles an.

12. Technische und organisatorische Maßnahmen

Zum Schutz der verarbeiteten Daten setzen wir insbesondere folgende Maßnahmen ein:

  • Verschlüsselung hochgeladener Dokumente mit AES-256-GCM
  • Passwort-Hashing mit Bcrypt
  • Optionale Zwei-Faktor-Authentifizierung (TOTP)
  • JWT-Sessions mit httpOnly- und secure-Flags
  • CSRF-Schutz
  • Rate-Limiting und Account-Sperrung bei fehlgeschlagenen Login-Versuchen
  • IP-Adressen werden in Audit-Logs nur als Hash gespeichert
  • Mandantentrennung (Multi-Tenancy) in der Datenbank
  • HTTPS-Verschlüsselung aller Verbindungen

13. Auftragsverarbeitung (SaaS-Modell)

Soweit Nutzer von Bestandsdepot personenbezogene Daten Dritter (z. B. Mieterdaten) in die Anwendung eingeben, handelt der Betreiber als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Ein entsprechender Auftragsverarbeitungsvertrag wird den Nutzern zur Verfügung gestellt.

14. Ihre Rechte als betroffene Person

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen folgende Rechte:

  • Auskunft (Art. 15 DSGVO) – über die von uns verarbeiteten Daten
  • Berichtigung (Art. 16 DSGVO) – unrichtiger personenbezogener Daten
  • Löschung (Art. 17 DSGVO) – Ihrer Daten, soweit keine gesetzliche Aufbewahrungspflicht besteht
  • Einschränkung (Art. 18 DSGVO) – der Verarbeitung unter bestimmten Voraussetzungen
  • Datenübertragbarkeit (Art. 20 DSGVO) – Erhalt Ihrer Daten in maschinenlesbarem Format
  • Widerspruch (Art. 21 DSGVO) – gegen Verarbeitungen auf Basis berechtigter Interessen

Zur Ausübung Ihrer Rechte wenden Sie sich an: mail@bestandsdepot.de

15. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
www.lfd.niedersachsen.de

16. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand vom 17. Juni 2026. Sie wird angepasst, sobald sich Funktionsumfang, technische Dienstleister, E-Mail-Versand, Tracking, externe Backups oder vergleichbare Verarbeitungsvorgänge ändern.