Datenschutzerklärung
Stand: 15. Juni 2026
Mit dieser Datenschutzerklärung informieren wir Sie gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung von briven — einem Dienst zur automatisierten technischen Analyse von Gebäuden. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
1. Verantwortlicher & Datenschutzbeauftragter
Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:
briven UG (haftungsbeschränkt)
vertreten durch den Geschäftsführer Ayosha Aghazadeh
Overbergstraße 87
45663 Recklinghausen
Deutschland
E-Mail: kontakt@briven.de
Datenschutzbeauftragter
Wir haben keinen Datenschutzbeauftragten bestellt. Nach dokumentierter Schwellenprüfung besteht hierzu keine gesetzliche Verpflichtung: In unserem Unternehmen sind nicht ständig mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 BDSG); unsere Kerntätigkeit besteht zudem weder in einer umfangreichen regelmäßigen und systematischen Überwachung von Personen noch in einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 37 Abs. 1 DSGVO). In Datenschutzangelegenheiten erreichen Sie uns unter kontakt@briven.de.
2. Überblick der Verarbeitungen
Die nachfolgende Übersicht fasst die wesentlichen Verarbeitungen, ihre Zwecke und die jeweilige Rechtsgrundlage zusammen. Einzelheiten finden Sie in den nachfolgenden Abschnitten.
| Verarbeitung | Zweck | Rechtsgrundlage |
|---|---|---|
| Gebäudeanalyse (Adresse, Dokumente, Fotos) | Erbringung der beauftragten Analyse | Art. 6 Abs. 1 lit. b |
| Benutzerkonto | Registrierung, Login, Verwaltung | Art. 6 Abs. 1 lit. b |
| Zahlungs- & Vertragsabwicklung | Abrechnung, Bestellbestätigung, Buchhaltung | Art. 6 Abs. 1 lit. b und lit. c |
| Server-Logfiles, Sicherheit, Missbrauchsabwehr | Stabiler und sicherer Betrieb | Art. 6 Abs. 1 lit. f |
| Reichweitenmessung (Plausible) | Statistische Auswertung der Nutzung | Art. 6 Abs. 1 lit. a (Einwilligung) |
3. Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten auf Grundlage folgender Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), Vertragserfüllung und vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO), rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO, z. B. handels- und steuerrechtliche Aufbewahrung) sowie berechtigte Interessen(Art. 6 Abs. 1 lit. f DSGVO).
Soweit wir die Verarbeitung auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) stützen, benennen wir das konkrete Interesse jeweils beim betreffenden Abschnitt. Unser berechtigtes Interesse liegt insbesondere im sicheren, stabilen und missbrauchsfreien Betrieb der Anwendung, in der Abwehr von Angriffen sowie in der bedarfsgerechten Weiterentwicklung des Dienstes. Bei der Abwägung überwiegen Ihre schutzwürdigen Interessen nicht, weil wir die Daten ausschließlich für diese eng umgrenzten Zwecke und nicht für Werbung oder umfassendes Profiling verwenden.
4. Hosting und Infrastruktur
Die Webanwendung und unsere eigenen Verarbeitungsdienste (u. a. die Anonymisierungs-Dienste, siehe Abschnitt 6) werden auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, in deutschen Rechenzentren betrieben. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wird vor Inbetriebnahme mit echten Nutzerdaten abgeschlossen.
Datenbank, Authentifizierung und Datei-Speicher werden über Supabase Pte. Ltd bereitgestellt; die Datenbankinstanz befindet sich in der EU (AWS-Region Frankfurt, eu-central-1). Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO wird vor Inbetriebnahme mit echten Nutzerdaten abgeschlossen.
5. Server-Logfiles und IP-Adressen
Beim Aufruf der Anwendung werden automatisch technisch notwendige Verbindungsdaten in Server-Logfiles verarbeitet: IP-Adresse, Datum und Uhrzeit des Zugriffs, abgerufene Ressource, HTTP-Statuscode, übertragene Datenmenge, Referrer-URL sowie der verwendete Browser-/Gerätetyp (User-Agent).
Zweck: Auslieferung der Anwendung, Gewährleistung der Systemsicherheit, Erkennung und Abwehr von Angriffen und Missbrauch sowie die Begrenzung der Zugriffshäufigkeit (Rate-Limiting). Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren und stabilen Betrieb (Art. 6 Abs. 1 lit. f DSGVO); das berechtigte Interesse besteht in der Abwehr von Angriffen und der Missbrauchsverhinderung. Diese Daten werden nicht für Werbung oder Profiling genutzt. Zähler zur Zugriffsbegrenzung werden nach spätestens 24 Stunden gelöscht; technische Zugriffs-Logs werden nach spätestens 7 Tagen gelöscht.
6. Datenerhebung bei Nutzung der Webanwendung
a) Gebäudeadresse
Zur Durchführung der Gebäudeanalyse geben Sie eine Immobilienadresse ein. Diese wird zur Geocodierung an unseren eigenen Geocoding-Server (Nominatim, betrieben auf unserer Infrastruktur in Deutschland) übermittelt und in der Analyse-Datenbank Ihrem Benutzerkonto zugeordnet. Die Adresse ist Vertragsgegenstand der Analyse.
Wichtig: An die KI-Komponente (siehe Abschnitt 8) wird die vollständige Adresse nicht übermittelt. Zur räumlichen Verortung erhält die KI ausschließlich Postleitzahl, Ort, Bundesland und Land; Straße und Hausnummer werden vor jeder Übermittlung an die KI entfernt. Die zur Kartendarstellung verwendeten Koordinaten werden gesondert behandelt (siehe Abschnitt 11). Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
b) Hochgeladene Dokumente und Fotos
Sie können optional Dokumente (z. B. Exposés, Energieausweise, Grundrisse) und Fotos hochladen. Alle Uploads durchlaufen vor der KI-Analyse automatisch eine mehrschichtige Pseudonymisierungs- und Schwärzungs-Pipeline: Gesichter und Personen werden erkannt und unkenntlich gemacht, Kfz-Kennzeichen, Klingelschilder, Briefkasten- und Türschilder werden geschwärzt, in Bildern enthaltene Texte werden per Texterkennung (OCR) ausgewertet und personenbezogene Stellen geschwärzt, und personenbezogene Angaben im Dokumenttext werden redaktiert (Mustererkennung sowie eine auf unserer eigenen Infrastruktur betriebene Namenserkennung). EXIF-Metadaten (u. a. GPS, Kamera, Aufnahmezeitpunkt) sowie PDF-Metadaten (Autor, Ersteller, Titel) werden vor der Speicherung entfernt. Diese Verarbeitung erfolgt vollständig auf unseren Servern in Deutschland.
Trotz dieser Defense-in-Depth-Maßnahmen kann ein Restrisiko der Wiedererkennung einzelner Personen nicht vollständig ausgeschlossen werden. Die an die KI übermittelten Inhalte gelten daher rechtlich weiterhin als personenbezogene Daten; sie werden auf Grundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und im Rahmen der Auftragsverarbeitung (Art. 28 DSGVO) verarbeitet (siehe Abschnitt 8).
Mitwirkung & Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Bitte laden Sie nach Möglichkeit keine Fotos mit erkennbaren Personen, Klingelschildern, Briefkästen, Türschildern, Kennzeichen oder Spiegelungen hoch. Unsere Pipeline ersetzt nicht das Prinzip der Datensparsamkeit. Sie sichern mit dem Upload zu, zur Verarbeitung der jeweiligen Inhalte berechtigt zu sein (siehe Abschnitt 9).
c) Benutzerkonto und Anmeldung
Bei der Registrierung verarbeiten wir: E-Mail-Adresse, Name (optional) sowie die gewählte Authentifizierungsmethode (E-Mail/Passwort oder Anmeldung über einen externen Anbieter — „OAuth“ — via Google, Apple oder Microsoft). Bei Wahl der OAuth-Anmeldung übermittelt der jeweilige Anbieter uns lediglich Ihre E-Mail-Adresse und ggf. Ihren Namen. Die OAuth-Anbieter sind für die Verarbeitung auf ihrer Seite eigenständig Verantwortliche (siehe Abschnitte 12 und 14); die Übermittlung erfolgt nur, wenn Sie diese Login-Methode aktiv wählen. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
d) Warteliste / Vorab-Anmeldung
Solange briven noch nicht allgemein verfügbar ist, können Sie sich über ein Eintragsformular auf eine Warteliste setzen, um zum Marktstart benachrichtigt zu werden. Wir verarbeiten dabei Ihre E-Mail-Adresse und — sofern Sie zuvor eine Adresse eingegeben haben — optional die angegebene Immobilienadresse, die wir ausschließlich als Notiz für Ihre Benachrichtigung speichern (es findet hierbei keine Geocodierung oder Analyse statt). Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie beim Eintrag aktiv erteilen.
Der Eintrag dient allein der einmaligen Benachrichtigung zum Start; ein laufender Newsletter ist damit nicht verbunden. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — formlos per E-Mail an kontakt@briven.de; wir löschen Ihren Eintrag dann umgehend, spätestens jedoch nach dem Marktstart bzw. wenn die Benachrichtigung versandt wurde. Der Versand der Start-Benachrichtigung erfolgt über unseren E-Mail-Dienstleister Scaleway TEM (siehe Abschnitt 12).
e) Kontaktformular & E-Mail-Anfragen
Wenn Sie unser Kontaktformular nutzen oder uns per E-Mail schreiben, verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail-Adresse und Ihre Nachricht), um Ihre Anfrage zu bearbeiten und zu beantworten. Rechtsgrundlage ist — je nach Anliegen — die Anbahnung oder Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO) bzw. unser berechtigtes Interesse an der Beantwortung Ihrer Anfrage (Art. 6 Abs. 1 lit. f DSGVO). Die Angabe ist freiwillig; ohne Name, E-Mail-Adresse und Nachricht können wir Ihre Anfrage jedoch nicht bearbeiten.
Der Versand der Formularnachricht an unser Postfach erfolgt über unseren E-Mail-Dienstleister Scaleway TEM (siehe Abschnitt 12). Wir speichern Ihre Anfrage nur so lange, wie es zur Bearbeitung erforderlich ist, und löschen sie anschließend, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
7. Zahlungs- und Vertragsabwicklung
Die Zahlungsabwicklung erfolgt über den Zahlungsdienstleister Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande. Mollie verarbeitet Ihre Zahlungsdaten als eigenständig Verantwortlicher (Art. 4 Nr. 7 DSGVO), u. a. zur Zahlungsausführung, Betrugsprävention und zur Erfüllung eigener gesetzlicher Pflichten. Wir selbst speichern keine vollständigen Karten- oder Kontodaten; bei uns verbleiben lediglich eine Zahlungs- bzw. Kundenreferenz sowie der Zahlungsstatus und — bei Abonnements — die Abo-Verwaltungsdaten (Abo-Kennung, Status, Laufzeitende).
Abonnements (wiederkehrende Zahlung): Bei den Monatstarifen erteilen Sie ein wiederkehrendes Zahlungsmandat (bei SEPA-Lastschrift ein SEPA-Mandat); die monatliche Buchung erfolgt anschließend automatisiert über Mollie. Die Mandats-/Gläubigerdaten liegen bei Mollie; Ihre IBAN speichern wir nicht. Rechtsgrundlage für die Abo-Vertragsdaten ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Zahlart-spezifische Anbieter: Je nach gewählter Zahlart (z. B. PayPal, Klarna, Kreditkarte) können weitere Anbieter eingebunden sein, die als eigenständig Verantwortliche agieren und ggf. eine eigene Identitäts- oder Bonitätsprüfung durchführen (insbesondere Klarna und PayPal). Einzelheiten entnehmen Sie den Datenschutzhinweisen des jeweiligen Anbieters sowie der Datenschutzerklärung von Mollie. Mollie hat ihren Sitz in der EU; je nach Zahlart können nachgelagerte Zahlungsnetzwerke (z. B. Kartensysteme) Daten auch außerhalb der EU verarbeiten (siehe Abschnitt 14).
Bestellbestätigung & Rechnung: Nach Vertragsschluss erhalten Sie eine Bestätigung auf einem dauerhaften Datenträger (§ 312f BGB) per E-Mail. Rechnungs- und Buchungsdaten bewahren wir aufgrund handels- und steuerrechtlicher Pflichten auf (Art. 6 Abs. 1 lit. c DSGVO; § 147 AO, § 257 HGB). Einzelheiten zum Vertrag und zum Widerrufsrecht finden Sie in unseren AGB und in der Widerrufsbelehrung.
8. KI-gestützte Analyse
Die Gebäudeanalyse nutzt KI-Modelle, die auf europäischer Cloud-Infrastruktur betrieben werden. Eingesetzt werden — je nach Verfügbarkeit und zur Sicherstellung des Betriebs — folgende Anbieter (die konkrete Auswahl kann variieren):
- OVHcloud (OVH SAS), Frankreich — EU
- Scaleway (Scaleway SAS), Frankreich — EU
- Mistral AI (Mistral AI SAS), Paris, Frankreich — EU
An die KI übermittelt werden: die räumliche Verortung (nur Postleitzahl, Ort, Bundesland, Land — siehe Abschnitt 6a), öffentliche Geo- und Sachdaten (siehe Abschnitt 10) sowie hochgeladene Dokumente und Fotos ausschließlich in pseudonymisierter, geschwärzter Form (siehe Abschnitt 6b). Da ein Restrisiko der Re-Identifikation nicht vollständig ausgeschlossen werden kann, behandeln wir diese Daten weiterhin als personenbezogen. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) in Verbindung mit der Auftragsverarbeitung (Art. 28 DSGVO).
Die genannten Anbieter verarbeiten die Daten weisungsgebunden als Auftragsverarbeiter. Nach den vertraglichen Vereinbarungen werden die übermittelten Daten nicht zum Training der KI-Modelle verwendet und nicht über die Verarbeitung hinaus gespeichert (Zero-Retention). Status der Auftragsverarbeitungsverträge je Anbieter: Die entsprechenden Auftragsverarbeitungsverträge nach Art. 28 DSGVO werden vor Inbetriebnahme mit echten Nutzerdaten abgeschlossen; die Zero-Retention- bzw. Trainings-Opt-out-Eigenschaft wird dabei je Anbieter vertraglich abgesichert.
Die KI-Analyse wird automatisiert erstellt und dient ausschließlich als fachliche Entscheidungsgrundlage für Sie. Sie hat diagnostischen Charakter, stellt keine rechtsverbindliche Prüfung dar und ersetzt keine Prüfung vor Ort durch eine Fachperson. Zur Frage der automatisierten Entscheidungsfindung siehe Abschnitt 18.
9. Daten Dritter in Ihren Uploads (Art. 14 DSGVO)
Von Ihnen hochgeladene Dokumente und Fotos können personenbezogene Daten dritter Personen enthalten, die nicht Nutzer von briven sind (z. B. Mieter, Voreigentümer, Handwerker oder Nachbarn — etwa auf Klingelschildern, in Mietverträgen oder Nebenkostenabrechnungen). Quelle dieser Daten sind allein die von Ihnen bereitgestellten Uploads.
Wir verarbeiten solche Dritt-Daten ausschließlich, um die Anonymisierung und die beauftragte Analyse technisch durchzuführen, und schwärzen erkannte personenbezogene Stellen so früh wie möglich (siehe Abschnitt 6b). Eine individuelle Benachrichtigung der betroffenen Dritten ist uns in aller Regel nicht möglich oder nur mit unverhältnismäßigem Aufwand möglich; wir stützen uns insoweit auf Art. 14 Abs. 5 lit. b DSGVO und informieren über diese öffentlich abrufbare Datenschutzerklärung. Als hochladende Person stellen Sie sicher, dass Sie zur Verarbeitung der enthaltenen Daten berechtigt sind.
10. Öffentliche Datenquellen
Zur Analyse rufen wir öffentlich zugängliche Geo- und Sachdaten ab, u. a.: amtliches Liegenschaftskataster (ALKIS WFS), OpenStreetMap (ODbL-Lizenz, über unsere eigene bzw. eine öffentliche Overpass-Schnittstelle), amtliche Luftbilder der Landesvermessungsämter (WMS), Hochwasser-, Starkregen-, Radon-, Erdbeben-, Lärm-, Denkmal- und Bergbaudaten der jeweils zuständigen Stellen. Die Adress-Geocodierung erfolgt über unseren eigenen Nominatim-/Photon-Dienst (mit öffentlicher Schnittstelle als Ausfallfallback).
Die im hier abgerufenen Umfang verarbeiteten Geodaten enthalten regelmäßig keine personenbezogenen Daten; amtliche Luftbilder werden von den Vermessungsverwaltungen vor Veröffentlichung auf Personenbezug vorgefiltert. Quelle dieser Daten sind die jeweils genannten öffentlichen Stellen (Art. 14 Abs. 2 lit. f DSGVO).
11. Kartendarstellung (Mapbox)
Zur Darstellung von Satellitenkarten setzen wir Kartenkacheln der Mapbox, Inc. (740 15th Street NW, Washington, DC 20005, USA) ein. Die Kartenkacheln werden über unseren eigenen Server ausgeliefert; Ihr Browser stellt dabei keine direkte Verbindung zu Mapbox her, sodass Ihre IP-Adresse beim Kachelabruf nicht unmittelbar an Mapbox übermittelt wird.
Im Zuge des serverseitigen Kachelabrufs werden die Koordinaten des dargestellten Kartenausschnitts (und damit mittelbar der Standort des analysierten Gebäudes) an Mapbox übermittelt; eine Verbindung zu Ihrer Person erfolgt dabei nicht. Mapbox ist ein US-Unternehmen; zu den Garantien für die Übermittlung in die USA siehe Abschnitt 14. Rechtsgrundlage: Vertragserfüllung bzw. berechtigtes Interesse an einer funktionsfähigen Kartendarstellung (Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO).
12. Empfänger und Auftragsverarbeiter
Zur Erbringung der Leistung setzen wir Auftragsverarbeiter (Art. 28 DSGVO) ein und übermitteln Daten an weitere Empfänger, die teils eigenständig verantwortlich sind. Eine ausführliche Verfahrensbeschreibung enthält unser internes Verarbeitungsverzeichnis (Art. 30 DSGVO), das wir der Aufsichtsbehörde auf Anfrage zur Verfügung stellen.
a) Auftragsverarbeiter (Art. 28 DSGVO)
| Anbieter | Sitz / Region | Zweck | AVV |
|---|---|---|---|
| Hetzner Online GmbH | Deutschland | Server-Hosting, eigene Dienste | EU; AVV abgeschlossen (01.07.2026) |
| Supabase Pte. Ltd | Singapur | Datenbank, Authentifizierung, Datei-Speicher (Datenverarbeitung: EU/Frankfurt) | Drittland (SCC); AVV abgeschlossen (30.06.2026) — siehe Abschnitt 14 |
| AppSignal B.V. | Niederlande (EU) | Error-Tracking und Performance-Monitoring (APM) | EU; AVV abgeschlossen (01.07.2026) |
| OVHcloud (OVH SAS) | Frankreich (EU) | KI-Verarbeitung pseudonymisierter Inputs | EU; AVV in Vorbereitung |
| Scaleway SAS | Frankreich (EU) | KI-Verarbeitung pseudonymisierter Inputs | EU; AVV in Vorbereitung |
| Mistral AI SAS | Frankreich (EU) | KI-Verarbeitung pseudonymisierter Inputs | EU; AVV in Vorbereitung |
| Scaleway TEM | Frankreich (EU) | Transaktionale E-Mails (Bestätigung, Benachrichtigungen) | EU; AVV in Vorbereitung |
b) Eigenständig Verantwortliche / weitere Empfänger
| Empfänger | Sitz / Region | Zweck | Grundlage |
|---|---|---|---|
| Mollie B.V. (inkl. PayPal, Klarna) | Niederlande (EU); ggf. Drittland | Zahlungsabwicklung; ggf. Identitäts-/Bonitätsprüfung | Eigenständig Verantwortliche/r |
| Google / Apple / Microsoft | USA | OAuth-Login (nur bei aktiver Wahl durch Sie) | Eigenständig Verantwortliche/r |
| Mapbox, Inc. | USA | Kartenkacheln (serverseitig abgerufen, siehe Abschnitt 11) | Empfänger; Drittland siehe Abschnitt 14 |
Empfänger-Kategorien: Hosting- und IT-Dienstleister, Error-Tracking-/Monitoring-Dienstleister, KI-Dienstleister, Zahlungsdienstleister, E-Mail-Dienstleister, Anbieter von Anmelde- und Kartendiensten. Diese Liste wird bei Änderungen aktualisiert; maßgeblich ist die zum Bestellzeitpunkt veröffentlichte Fassung.
13. Cookies und Reichweitenmessung
Wir verwenden technisch notwendige Cookies für die Authentifizierung (Supabase-Auth-Session, Cookies mit dem Präfix sb-) sowie ein Cookie zur Speicherung Ihrer Cookie-Entscheidung (briven_consent, Lebensdauer 1 Jahr). Diese Cookies sind zur Bereitstellung des von Ihnen ausdrücklich gewünschten Dienstes bzw. zur Umsetzung Ihrer Datenschutz-Entscheidung erforderlich und bedürfen keiner Einwilligung (§ 25 Abs. 2 Nr. 2 TDDDG).
Für die Reichweitenmessung setzen wir Plausible Analyticsein (cookielos, kein Fingerprinting, keine Weitergabe der Daten an Dritte zu eigenen Zwecken). Plausible wird erst nach Ihrer ausdrücklichen Einwilligung geladen (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen; der Widerruf ist so einfach wie die Erteilung und wirkt sofort. Nutzen Sie dazu den Link „Cookie-Einstellungen“ im Footer oder direkt hier: .
Für Error-Tracking und Performance-Monitoring (APM) setzen wir AppSignal (AppSignal B.V., Niederlande) ein. AppSignal setzt keine Cookies und greift nicht auf Informationen auf Ihrem Endgerät zu; eine Einwilligung nach § 25 TDDDG ist daher nicht erforderlich, der Einsatz erfolgt unabhängig von Ihrer Cookie-Entscheidung. Die dabei verarbeiteten personenbezogenen Daten (u. a. Ihre IP-Adresse) verarbeiten wir auf Grundlage unseres berechtigten Interesses an der technischen Stabilität und Fehlerbehebung unseres Dienstes (Art. 6 Abs. 1 lit. f DSGVO); die Verarbeitung erfolgt für die Dauer unserer Vertragsbeziehung mit AppSignal bzw. gemäß AppSignals eigenen produktspezifischen Aufbewahrungsfristen. Näheres zu Auftragsverarbeitung und Sitz finden Sie in Abschnitt 12.
Es werden keine Marketing- oder Werbe-Cookies eingesetzt.
14. Übermittlung in Drittländer
Unsere Server-Infrastruktur steht in Deutschland; die KI-Verarbeitung sowie die eigentliche Speicherung und Verarbeitung der Datenbank erfolgen innerhalb der EU. In folgenden Fällen kann dennoch eine Übermittlung in ein Drittland erfolgen — entweder weil der vertragschließende Anbieter dort ansässig ist, oder weil die Verarbeitung selbst dort stattfindet:
- Datenbank, Authentifizierung und Datei-Speicher über Supabase — die Datenverarbeitung selbst findet in der EU statt (AWS-Region Frankfurt, eu-central-1), der vertragschließende Anbieter Supabase Pte. Ltd hat seinen Sitz jedoch in Singapur, siehe Abschnitt 12a.
- OAuth-Anmeldung über Google, Apple oder Microsoft — nur bei aktiver Wahl dieser Login-Methode durch Sie.
- Kartendarstellung über Mapbox, Inc. (USA) — serverseitiger Kachelabruf, siehe Abschnitt 11.
- Zahlungsabwicklung — je nach Zahlart können nachgelagerte Zahlungsnetzwerke Daten außerhalb der EU verarbeiten (siehe Abschnitt 7).
Soweit ein Empfänger in den USA ansässig ist, stützen wir die Übermittlung je Empfänger auf eine Zertifizierung nach dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission) oder, falls keine Zertifizierung vorliegt, auf Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) nebst ergänzenden Maßnahmen. Für Empfänger in anderen Drittländern ohne Angemessenheitsbeschluss — etwa Singapur — stützen wir die Übermittlung auf Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) nebst ergänzenden Maßnahmen. Den konkreten Mechanismus je Empfänger sowie dessen Zertifizierungsstatus prüfen und dokumentieren wir in unserem internen Verarbeitungsverzeichnis (Art. 30 DSGVO). Eine Kopie der geeigneten Garantien (z. B. der Standardvertragsklauseln) können Sie bei uns unter kontakt@briven.de anfordern.
15. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Soweit nachstehend keine feste Frist genannt ist, richtet sich die Dauer nach dem Zweck der Verarbeitung; nach Zweckfortfall werden die Daten gelöscht oder anonymisiert.
| Datenkategorie | Speicherdauer (Obergrenze) |
|---|---|
| Benutzerkonto, Analysen, Uploads, Ergebnisse, von Ihnen erfasste Korrekturen | für die Dauer des Vertragsverhältnisses bzw. bis zur Kontolöschung |
| Anonymisierte Klärungs-Vorschaubilder (Speicher) | bis zu 7 Tage nach Entscheidung |
| Offene Klärungsanfragen (ohne Reaktion) | bis zu 30 Tage, danach verworfen |
| Verworfene Klärungs-Datensätze; ungenutzte Klartext-Hinweise | bis zu 90 Tage |
| Anonymisierungs-Zwischenspeicher (Text/Bild) | bis zu 30 Tage |
| Chat-Verläufe und Sitzungsdaten der Reanalyse | bis zu 30 Tage |
| Zähler zur Zugriffsbegrenzung (Rate-Limiting) | bis zu 24 Stunden |
| Verarbeitungs-/Abrechnungsprotokolle (technische Logs) | für die Dauer des Kontos bzw. nach Erforderlichkeit |
| Rechnungs- und Buchungsdaten | 10 Jahre (§ 147 AO, § 257 HGB) |
Bei Kontolöschung werden die zugehörigen Daten innerhalb von 30 Tagen unwiderruflich gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
16. Ihre Rechte
Sie haben bezüglich Ihrer personenbezogenen Daten folgende Rechte:
Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO), Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) sowie Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft.
Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) umfasst die von Ihnen bereitgestellten Daten (z. B. Adresse, Uploads, Kontodaten), nicht jedoch die von uns errechneten Analyseergebnisse (z. B. Bewertungen, Kosteneinschätzungen).
Widerspruchsrecht (Art. 21 DSGVO): Soweit wir Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen.
Zur Ausübung Ihrer Rechte wenden Sie sich an kontakt@briven.de. Wir beantworten Anträge unverzüglich, spätestens innerhalb eines Monats nach Eingang; bei Komplexität kann sich die Frist um zwei weitere Monate verlängern (Art. 12 Abs. 3 DSGVO), worüber wir Sie informieren. Zum Schutz Ihrer Daten können wir zur Bestätigung Ihrer Identität zusätzliche Informationen anfordern (Art. 12 Abs. 6 DSGVO).
17. Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Für uns (Sitz in Nordrhein-Westfalen) zuständige Aufsichtsbehörde:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf
www.ldi.nrw.de
18. Keine automatisierte Entscheidungsfindung
Eine ausschließlich automatisierte Entscheidung im Einzelfall einschließlich Profiling, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO), findet nicht statt. Gegenstand der KI-Analyse ist die technische Bewertung eines Gebäudes, nicht die Bewertung Ihrer Person; es findet kein Personen-Scoring (etwa zu Bonität oder Verhalten) statt. Die KI-gestützte Bewertung wird zwar automatisiert erstellt, dient aber ausschließlich Ihrer fachlichen Entscheidungsunterstützung; die Bewertung und Nutzung der Ergebnisse liegen bei Ihnen. Auf Wunsch erläutern wir die grundsätzliche Funktionsweise der eingesetzten diagnostischen Modelle.
19. Bereitstellungspflicht und Änderungen dieser Erklärung
Die Bereitstellung bestimmter Daten ist zur Vertragserfüllung erforderlich: Ohne Gebäudeadresse kann die Analyse nicht durchgeführt, ohne Konto- und Zahlungsdaten der Vertrag nicht abgewickelt werden. Stellen Sie diese Daten nicht bereit, kann der Vertrag nicht oder nicht vollständig erbracht werden. Die Bereitstellung weiterer Angaben (z. B. zusätzliche Dokumente und Fotos) ist freiwillig und verbessert lediglich die Aussagekraft der Analyse.
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Fassung.