Datenschutzerklärung

Unsere Website und der Dienst werden bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA gehostet. Vercel betreibt ein globales Edge-Netzwerk; serverseitige Verarbeitung erfolgt vorrangig in der Region Frankfurt (fra1).

Beim Aufruf der Seiten verarbeitet Vercel automatisch Server-Logfiles, die Ihr Browser übermittelt:

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• angeforderte URL und HTTP-Statuscode
• User-Agent (Browser, Betriebssystem)
• Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Bereitstellung einer funktions­fähigen Website, IT-Sicherheit).

Speicherdauer: Server-Logs werden nach maximal 30 Tagen gelöscht oder zu Sicherheits­zwecken anonymisiert.

Drittlandübermittlung: Vercel ist nach dem EU-US Data Privacy Framework zertifiziert. Wir haben mit Vercel einen Auftrags­verarbeitungs­vertrag inkl. EU-Standardvertragsklauseln (SCC) geschlossen. Details: vercel.com/legal/privacy-policy.

Für die Authentifizierung und das Speichern Ihrer Account-Daten nutzen wir Supabase (Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992). Die Datenbank und der Speicher werden in der Region EU (Frankfurt) betrieben.

Verarbeitete Daten:

• E-Mail-Adresse, Name
• Passwort (gehasht) bzw. OAuth-Tokens (Google, Apple)
• Organisations- und Rollen­zugehörigkeit
• Aktivitäts­zeitpunkte (Login, Logout)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).

Mit Supabase besteht ein Auftrags­verarbeitungs­vertrag inkl. SCC.

Innerhalb des Dienstes verarbeiten wir die Daten, die Sie zur Erfüllung Ihrer Aufgaben anlegen (Projekte, Immobilien, Kunden, Reservierungen, Tickets, Notizen, Dateianhänge u. a.). Diese Daten sind streng nach Organisation getrennt (Row-Level-Security in der Datenbank).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag mit Ihnen als gewerblichem Kunden) bzw. Art. 28 DSGVO (Auftragsverarbeitung, soweit Sie eigene Kunden­daten in den Dienst einstellen — hierfür schließen wir auf Anforderung unter kontakt@deal-pipe.de einen Auftragsverarbeitungs­vertrag mit Ihnen ab).

Hochgeladene Dateien (z. B. Exposés, Verträge, Bilder) werden in Supabase Storage in der Region EU (Frankfurt) gespeichert. Der Zugriff ist auf Mitglieder der jeweiligen Organisation beschränkt und durch Row-Level-Security abgesichert.

Bestimmte Funktionen verwenden KI-Modelle zur Auswertung von Dokumenten (z. B. Exposé-Extraktion, Klassifizierung, Zusammen­fassungen, Ticket-Triage). Hierzu übermitteln wir Dokumentinhalte an folgende Anbieter:

• Vercel AI Gateway (Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA) — leitet Anfragen ohne Daten­speicherung („Zero Data Retention") an nachgelagerte Modelle weiter.
• Google (Gemini-Modelle) — Vertragspartner für Kunden im EWR ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Die Modell­inferenz erfolgt auf Google-Servern, ggf. auch außerhalb des EWR.

Die Eingaben werden ausschließlich zur Beantwortung Ihrer Anfrage verwendet. Wir haben vertraglich sichergestellt, dass die Anbieter die übermittelten Daten nicht zum Training ihrer Modelle nutzen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) sowie Art. 6 Abs. 1 lit. f DSGVO (effiziente Bereitstellung des Dienstes).

Drittlandübermittlung: Bei US-Anbietern erfolgt die Übermittlung auf Grundlage des EU-US Data Privacy Framework bzw. der EU-Standardvertragsklauseln.

Für Benachrichtigungen, Einladungen, Magic-Link-Logins und sonstige Transaktions-Mails nutzen wir Resend (Resend, Inc., 2261 Market Street, San Francisco, CA 94114, USA). Resend verarbeitet hierzu Ihre E-Mail-Adresse, den Inhalt der Nachricht sowie Zustellungs­metadaten (z. B. Versand-, Öffnungs- und Zustell­zeitpunkt).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) bzw. Art. 6 Abs. 1 lit. f DSGVO (verlässliche Zustellung).

Mit Resend besteht ein Auftrags­verarbeitungs­vertrag inkl. SCC.

Zur Stabilitäts- und Fehlerüberwachung nutzen wir Sentry (Functional Software, Inc. d/b/a Sentry, 132 Hawthorne Street, San Francisco, CA 94107, USA). Bei einem Anwendungs­fehler werden technische Daten an Sentry übermittelt:

• Browser, Betriebssystem, Bildschirmauflösung
• aufgerufene Seite, Zeitstempel
• Stacktrace und Fehlermeldung
• ggf. anonymisierte Nutzer-ID (zur Korrelation mehrerer Fehler eines Nutzers, ohne Klartext-Identifikation)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen Dienst, IT-Sicherheit).

Mit Sentry besteht ein Auftrags­verarbeitungs­vertrag inkl. SCC.

Für In-App- und kanalübergreifende Benachrichtigungen setzen wir Knock Labs, Inc. (228 Park Ave S, PMB 41040, New York, NY 10003, USA) ein. Verarbeitet werden Nutzer-ID, Empfänger­daten und Nachrichten­inhalt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag). AV-Vertrag inkl. SCC vorhanden.

Zur Abwehr automatisierter Angriffe (Bots, Credential Stuffing) setzen wir auf der Login-Seite und ausgewählten Endpunkten Vercel BotID ein. Dabei werden technische Signale Ihres Geräts ausgewertet; eine personenbezogene Profilbildung findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit).

Für die Abwicklung kostenpflichtiger Abonnements nutzen wir Stripe. Vertragspartner für Kunden im EWR ist Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Die technische Verarbeitung erfolgt mit Unterstützung der Konzernmutter Stripe, Inc., 354 Oyster Point Boulevard, South San Francisco, CA 94080, USA.

An Stripe übermittelte Daten:

• Name und Rechnungsadresse
• E-Mail-Adresse
• USt-Identifikations­nummer (sofern angegeben)
• Zahlungsmittel-Token (Karten- bzw. SEPA-Daten werden direkt von Stripe erhoben und nicht an uns übermittelt — wir erhalten lediglich einen Token sowie die letzten 4 Stellen / Ablaufdatum zur Anzeige)
• Rechnungs- und Abonnement­metadaten (Plan, Laufzeit, Betrag)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung steuer- und handelsrechtlicher Aufbewahrungs­pflichten).

Speicherdauer: Rechnungs- und Zahlungsdaten werden entsprechend der gesetzlichen Aufbewahrungs­fristen (i. d. R. 10 Jahre nach § 147 AO) gespeichert.

Drittland­übermittlung: Stripe Inc. (USA) ist nach dem EU-US Data Privacy Framework zertifiziert. Mit Stripe besteht ein Auftrags­verarbeitungs­vertrag inkl. EU-Standardvertragsklauseln (SCC). Details: stripe.com/privacy.

Wir verwenden technisch notwendige Cookies und lokale Speicher­objekte, um den Dienst funktionsfähig zu halten — insbesondere für:

• Authentifizierung und Session-Management (Login)
• Schutz vor Cross-Site-Request-Forgery (CSRF)
• Sprach- und Theme-Auswahl
• Speichern Ihrer Einstellungen innerhalb der Anwendung

Diese Cookies sind nach § 25 Abs. 2 Nr. 2 TTDSG einwilligungs­frei, da sie für den vom Nutzer ausdrücklich angeforderten Dienst unbedingt erforderlich sind. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionsfähigen Dienst).

Zur statistischen Auswertung der Nutzung unserer Website setzen wir Vercel Web Analytics ein, einen Dienst der Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Vercel Web Analytics arbeitet ohne Cookies und ohne dauerhaftes Tracking einzelner Nutzer.

Verarbeitet werden folgende Daten:

• aufgerufene URL und Zeitstempel
• Referrer-URL
• User-Agent (Browser, Betriebssystem, Gerätekategorie)
• Bildschirmauflösung
• Herkunftsland (abgeleitet aus der IP-Adresse; die IP wird unmittelbar verworfen und nicht gespeichert)
• ein täglich rotierender, gehashter Tagessalt zur Unterscheidung wiederkehrender Besucher (kein dauerhafter Identifier)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der bedarfsgerechten Gestaltung der Website).

Drittland­übermittlung: Vercel Inc. ist nach dem EU-US Data Privacy Framework zertifiziert; mit Vercel besteht ein Auftrags­verarbeitungs­vertrag inkl. EU-Standardvertragsklauseln (SCC). Details: vercel.com/docs/analytics/privacy-policy.

Zur Messung der tatsächlich beim Nutzer erreichten Ladezeiten und Web Vitals (LCP, FID/INP, CLS u. a.) setzen wir Vercel Speed Insights ein, ebenfalls von Vercel Inc. (Anschrift wie oben). Der Dienst arbeitet ohne Cookies und ohne dauerhafte Identifikation des Nutzers.

Verarbeitet werden technische Performance-Daten (Render-Zeitpunkte, Interaktions-Latenzen, Layout-Verschiebungen), aufgerufene URL, User-Agent und Verbindungsqualität — keine personenbezogenen Inhalte und keine IP-Adresse im Klartext.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Optimierung).

Details: vercel.com/docs/speed-insights/privacy-policy.

Wir setzen keine Marketing-, Werbe- oder Profiling-Cookies ein. Es findet keine kanal­übergreifende Nutzerverfolgung und keine Weitergabe von Nutzungsdaten an Werbenetzwerke statt.