Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an unseren Datenschutzbeauftragten unter der oben genannten E-Mail-Adresse.

2. Überblick

3. Welche Daten wir verarbeiten

Je nach genutzten Funktionen der Plattform verarbeiten wir folgende Kategorien personenbezogener Daten:

3.1 Kontodaten

• Name und Vorname
• E-Mail-Adresse (als primärer Identifikator)
• Passwort (ausschließlich als sicherer Hash über Supabase Auth, nie im Klartext)
• Rolle und Berechtigungen innerhalb des Workspaces
• Datum der Kontoerstellung und letzter Anmeldung

3.2 Unternehmensdaten

• Name der Hausverwaltung oder des Unternehmens
• Unternehmensadresse und Kontaktdaten
• Logo und Branding-Einstellungen (bei White-Label-Nutzung)
• Rechnungsadresse und steuerliche Angaben
• Abonnement-Status und Zahlungshistorie (ohne Zahlungsdaten selbst)

3.3 Immobiliendaten

• Objekte: Adresse, Baujahr, Ausstattungsmerkmale, Objekttyp
• Einheiten: Wohnungs- und Gewerbeeinheiten, Größe, Lage
• Mietverhältnisse: Mietbeginn, Mietende, Kaltmiete, Nebenkosten, Kaution
• Vertragsdaten: Vertragskonditionen, Sondervereinbarungen, Indexierungen
• Zählerstände und Verbrauchsdaten

3.4 Kontaktdaten Dritter

Als Auftragsverarbeiter verarbeiten wir in Ihrem Auftrag Kontaktdaten Ihrer Kunden und Geschäftspartner:

• Mieter: Name, E-Mail, Telefonnummer, Anschrift
• Eigentümer: Name, E-Mail, Telefonnummer, Anschrift, Bankverbindung
• Dienstleister und Handwerker: Name, Unternehmen, E-Mail, Telefonnummer

Für diese Verarbeitung sind Sie als Nutzer datenschutzrechtlich Verantwortlicher. Bitte schließen Sie mit uns einen Auftragsverarbeitungsvertrag (AVV) ab – dieser steht in den Plattformeinstellungen unter „Datenschutz" bereit.

3.5 Kommunikationsdaten

• E-Mails (Absender, Empfänger, Betreff, Inhalt, Anhänge) bei aktivierter E-Mail-Integration
• WhatsApp-Nachrichten (bei aktivierter WhatsApp Business API-Integration)
• Telegram-Nachrichten (bei aktivierter Telegram-Bot-Integration)
• Interne Notizen und Kommentare zu Vorgängen

Kommunikationsdaten werden nur verarbeitet, wenn Sie die jeweilige Integration aktiv aktiviert haben. Sie können Integrationen jederzeit in den Einstellungen deaktivieren.

3.6 Finanzdaten

• Kontobewegungen und Buchungsdaten (bei CSV/MT940-Import)
• Kontonummer (IBAN) und Bankverbindungen (bei Open Banking / PSD2-Integration)
• Mietzahlungen, Nebenkostenabrechnungen, Rücklageentwicklungen
• Rechnungen und Belege

Open-Banking-Funktionen werden nur aktiviert, wenn Sie diese Integration explizit einrichten und der Weitergabe an den PSD2-Dienstleister YAXI GmbH zustimmen.

3.7 Dokumente

• Mietverträge, Übergabeprotokolle, Kündigungsschreiben
• Nebenkostenabrechnungen, Jahresabrechnungen
• Fotos und Schadensdokumentationen
• Sonstige hochgeladene Dateien

3.8 Nutzungsdaten

• IP-Adresse (anonymisiert für Analysezwecke)
• Browser-Typ, -Version und Betriebssystem
• Aufgerufene Seiten und Funktionen, Verweildauer
• Session-Tokens (für die Authentifizierung, Sitzungscookie)
• Server-Logs mit Zeitstempeln (für Sicherheit und Fehlerdiagnose)

3.9 KI-Interaktionsdaten

• Nachrichten und Vorgangstexte, die zur KI-Verarbeitung übermittelt werden
• Relevanter Kontext (z. B. Objektdaten, Mieterdaten) für die KI-Antwortgenerierung
• KI-generierte Antwortvorschläge

KI-Interaktionsdaten werden nur verarbeitet, wenn Sie KI-Funktionen aktiv nutzen. Details zur KI-Verarbeitung finden Sie in Abschnitt 5.

4. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre Daten auf Basis folgender Rechtsgrundlagen nach Art. 6 DSGVO:

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die Verarbeitung von Kontodaten, Unternehmensdaten, Immobiliendaten und Nutzungsdaten ist erforderlich, um Ihnen die vertragsgemäße Nutzung der Havera-Plattform zu ermöglichen. Ohne diese Verarbeitung können wir die Plattformfunktionen nicht bereitstellen.

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Wir verarbeiten technische Betriebsdaten (Server-Logs, IP-Adressen, Fehlerberichte) auf Basis unseres berechtigten Interesses an dem sicheren und stabilen Betrieb unserer Infrastruktur, der Missbrauchserkennung und der Qualitätssicherung. Wir haben sichergestellt, dass Ihre Interessen dabei nicht überwiegen, insbesondere durch Datensparsamkeit und kurze Speicherfristen.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Die Nutzung optionaler Integrationen (WhatsApp Business API, Telegram, Open Banking / PSD2) sowie der KI-gestützten Kommunikationsverarbeitung erfolgt auf Basis Ihrer ausdrücklichen Einwilligung, die Sie durch das Aktivieren der jeweiligen Integration erteilen. Diese Einwilligung können Sie jederzeit durch Deaktivierung der Integration in den Einstellungen widerrufen, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird.

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Finanzdaten (Buchungen, Rechnungen) werden gemäß den handels- und steuerrechtlichen Aufbewahrungspflichten (§ 147 AO, § 257 HGB) für die gesetzlich vorgeschriebene Dauer aufbewahrt.

5. KI-Verarbeitung und Anthropic Claude

Was ist Anthropic Claude?

Havera nutzt die Claude API von Anthropic PBC (San Francisco, USA) für KI-gestützte Funktionen wie die automatische Kategorisierung eingehender Nachrichten (Inbox Triage) und die Generierung von Antwortvorschlägen (AI Draft Replies). Diese Funktionen sind optional und können in den Einstellungen deaktiviert werden.

Welche Daten werden an Anthropic übermittelt?

Bei der Nutzung von KI-Funktionen werden ausschließlich die Daten an Anthropic übermittelt, die für die jeweilige Funktion erforderlich sind:

• Der Text der zu verarbeitenden Nachricht (z. B. E-Mail-Inhalt)
• Relevanter Kontext aus dem Vorgang (z. B. Objekt- oder Mieterdaten), soweit vom Nutzer befüllt
• Systeminstruktionen von Havera (keine personenbezogenen Daten)

Es werden keine Daten an Anthropic übermittelt, die nicht aktiv vom Nutzer in die Plattform eingegeben wurden. Havera minimiert die übermittelten Daten auf das für die Funktion notwendige Minimum (Datensparsamkeit nach Art. 5 Abs. 1 lit. c DSGVO).

Drittlandtransfer in die USA

Da Anthropic in den USA ansässig ist, handelt es sich bei der Übermittlung um einen Drittlandtransfer nach Art. 44 ff. DSGVO. Als geeignete Garantie dienen die EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO, die zwischen Havera und Anthropic abgeschlossen wurden. Zusätzliche Informationen zu den Datenschutzmaßnahmen von Anthropic finden Sie unter anthropic.com/privacy.

KI-Funktionen deaktivieren

Sie können alle KI-Funktionen jederzeit in den Plattformeinstellungen unter „Einstellungen → KI & Automatisierung" vollständig deaktivieren. In diesem Fall werden keine Daten an Anthropic übermittelt.

Verantwortung für KI-Ausgaben

KI-generierte Antwortvorschläge sind maschinell generierte Texte und müssen vor dem Versand durch Sie geprüft und freigegeben werden. Havera stellt lediglich die technische Infrastruktur bereit; die inhaltliche Verantwortung für versandte Nachrichten verbleibt beim Nutzer.

6. Auftragsverarbeiter (Dritte)

Wir setzen folgende Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge (AVV) bzw. vergleichbare Vereinbarungen:

Supabase Inc. (USA) — Datenbank & Authentifizierung

• Zweck: Betrieb der primären Datenbank (PostgreSQL) und Nutzerverwaltung (Auth)
• Datenspeicherort: EU-Region Frankfurt (eu-central-1) — primäre Daten verbleiben in der EU
• Rechtsgrundlage des Transfers: EU-Standardvertragsklauseln (SCC)
• AVV vorhanden: Ja
• Datenschutz: supabase.com/privacy

Vercel Inc. (USA) — Frontend-Hosting & CDN

• Zweck: Hosting der Webanwendung (Next.js), Content Delivery Network
• Datenspeicherort: Globales CDN; Edge-Funktionen können global ausgeführt werden
• Rechtsgrundlage des Transfers: EU-Standardvertragsklauseln (SCC)
• Datenschutz: vercel.com/legal/privacy-policy

Amazon Web Services / AWS (USA) — Backend-Infrastruktur

• Zweck: Betrieb der Backend-Dienste (Container-Infrastruktur via AWS ECS)
• Datenspeicherort: EU-Region Frankfurt (eu-central-1)
• Rechtsgrundlage des Transfers: EU-Standardvertragsklauseln (SCC)
• Zertifizierungen: ISO 27001, SOC 2, BSI C5
• Datenschutz: aws.amazon.com/privacy

Anthropic PBC (USA) — KI-Verarbeitung

• Zweck: Verarbeitung von Textnachrichten zur KI-gestützten Antwortgenerierung
• Datenspeicherort: USA
• Rechtsgrundlage des Transfers: EU-Standardvertragsklauseln (SCC)
• Kein Training von KI-Modellen mit übermittelten Daten (API-Nutzungsbedingungen)
• Nur bei aktivierter KI-Funktion; deaktivierbar in den Einstellungen

Meta Platforms / WhatsApp (USA) — Optionale Integration

• Zweck: Weiterleitung von WhatsApp-Nachrichten über die WhatsApp Business API
• Nutzung: Nur bei aktiver Aktivierung der WhatsApp-Integration durch den Nutzer
• Rechtsgrundlage des Transfers: EU-Standardvertragsklauseln (SCC)
• Datenschutz: whatsapp.com/legal/business-data-processing-terms

Telegram Messenger LLP (Dubai / internationale Infrastruktur) — Optionale Integration

• Zweck: Empfang und Versand von Nachrichten über Telegram-Bot-API
• Nutzung: Nur bei aktiver Aktivierung der Telegram-Integration durch den Nutzer
• Hinweis: Telegram-Server sind international verteilt; die Infrastruktur liegt teilweise außerhalb der EU
• Datenschutz: telegram.org/privacy

YAXI GmbH (Deutschland) — Optionale Open Banking / PSD2-Integration

• Zweck: PSD2-konforme Kontoanbindung für den automatischen Banktransaktionsimport
• Datenspeicherort: Deutschland (EU)
• Nutzung: Nur bei aktiver Aktivierung der Open-Banking-Integration durch den Nutzer
• Regulierung: BaFin-lizenzierter Zahlungsdienstleister, PSD2-konform

7. Drittlandtransfer

Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA oder betreiben Infrastruktur außerhalb der EU/des EWR. Solche Transfers in Drittländer sind nach der DSGVO nur unter bestimmten Voraussetzungen zulässig. Wir stellen die Zulässigkeit durch folgende Maßnahmen sicher:

• EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO: Mit allen US-basierten Anbietern (Supabase, Vercel, AWS, Anthropic, Meta) sind SCC abgeschlossen.
• Bevorzugung von EU-Rechenzentren: Wo technisch möglich, werden Daten in EU-Rechenzentren (bevorzugt Frankfurt/eu-central-1) gespeichert und verarbeitet.
• Datensparsamkeit: An US-Dienste werden nur die Daten übermittelt, die für den jeweiligen Zweck erforderlich sind.

Sie haben das Recht, Informationen über die im Einzelfall eingesetzten Garantien zu erhalten. Wenden Sie sich hierfür an datenschutz@havera.de.

8. Speicherdauer

Wir speichern Ihre Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

• Kontodaten: Bis zur Kündigung des Accounts; nach Kündigung werden Daten innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Immobilien- und Mieterdaten: Für die Dauer des Vertragsverhältnisses und nach Kündigung bis zum Ablauf der 30-tägigen Löschfrist.
• Kommunikationsdaten (E-Mail, WhatsApp, Telegram): Konfigurierbar durch den Nutzer über die Retention-Einstellungen in der Plattform. Standardmäßig 12 Monate; maximal 7 Jahre.
• Finanzdaten (Buchungen, Rechnungen, Belege): 10 Jahre gemäß § 147 Abs. 3 AO und § 257 HGB (steuerliche und handelsrechtliche Aufbewahrungspflicht).
• Server-Logs und IP-Adressen: 90 Tage ab Erzeugung.
• Backup-Daten: Rolling Backup mit 30 Tagen Aufbewahrungsfrist; ältere Backups werden automatisch überschrieben.
• KI-Interaktionsprotokolle: 30 Tage (für Fehlerdiagnose und Qualitätssicherung), danach automatische Löschung.

9. Ihre Rechte nach der DSGVO

Als betroffene Person stehen Ihnen folgende Rechte zu. Zur Geltendmachung Ihrer Rechte wenden Sie sich an datenschutz@havera.de:

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten, sowie eine Kopie dieser Daten und die in Art. 15 DSGVO genannten Informationen zu erhalten.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger personenbezogener Daten sowie die Vervollständigung unvollständiger Daten zu verlangen. Viele Stammdaten können Sie direkt in Ihrem Accountbereich selbst korrigieren.

Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer personenbezogenen Daten verlangen, soweit nicht gesetzliche Aufbewahrungspflichten oder berechtigte Interessen entgegenstehen. Die Konto-Löschfunktion finden Sie in den Accounteinstellungen; Finanzdaten unterliegen der gesetzlichen 10-Jahres-Aufbewahrungspflicht.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung verlangen, z. B. wenn Sie die Richtigkeit der Daten bestreiten oder der Verarbeitung widersprechen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem maschinenlesbaren Format (JSON/CSV) zu erhalten. Die Plattform bietet hierfür eine Datenexportfunktion unter „Einstellungen → Daten exportieren".

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) Widerspruch einzulegen.

Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderer Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist die Aufsichtsbehörde des Bundeslandes, in dem die Havera GmbH ihren Sitz hat. Eine Liste der Aufsichtsbehörden finden Sie unter bfdi.bund.de.

10. Cookies und Web-Analyse

Session-Cookies

Havera verwendet technisch notwendige Session-Cookies ausschließlich für die Authentifizierung (Supabase Auth). Diese Cookies sind für den Betrieb der Plattform zwingend erforderlich und werden ohne gesonderte Einwilligung gesetzt (§ 25 Abs. 2 Nr. 2 TDDDG). Sie werden nach dem Ausloggen oder nach Ablauf der Session automatisch gelöscht. Es werden keine Tracking-Cookies oder Cross-Site-Cookies eingesetzt.

Vercel Analytics

Wir nutzen Vercel Analytics zur Analyse der Websitenutzung. Vercel Analytics arbeitet ohne Cookies und ohne die Erstellung von Nutzerprofilen. Es werden ausschließlich anonymisierte, aggregierte Metriken erfasst (z. B. Seitenaufrufzahlen, Verweildauer). Eine Identifizierung einzelner Nutzer ist nicht möglich. Ein Cookie-Consent-Banner ist für Vercel Analytics daher nicht erforderlich.

Wir nutzen weder Google Analytics noch andere Cookie-basierte Analyse-Tools.

11. Datensicherheit

Wir treffen dem Stand der Technik entsprechende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

• Transportverschlüsselung: Alle Verbindungen zur Plattform sind ausschließlich über TLS 1.2/1.3 (HTTPS) möglich.
• Datenverschlüsselung at Rest: Datenbankinhalte sind verschlüsselt gespeichert (AES-256).
• Field-Level Encryption für Integrationen: OAuth-Tokens und API-Schlüssel (z. B. für E-Mail, WhatsApp) werden verschlüsselt in der Datenbank abgelegt.
• Rollenbasierte Zugriffskontrolle (RBAC): Nutzer können nur auf Daten zugreifen, für die sie explizit berechtigt sind.
• Audit-Log: Sicherheitsrelevante Aktionen werden protokolliert und können vom Account-Administrator eingesehen werden.
• Regelmäßige Backups: Automatisierte tägliche Backups mit 30 Tagen Rolling-Retention.
• Zugriffsbeschränkung: Nur autorisierte Mitarbeiter von Havera haben Zugriff auf Produktionsdaten; dieser Zugriff ist protokolliert und auf das Notwendige beschränkt (Least Privilege).
• Passwort-Hashing: Passwörter werden ausschließlich als sicherer Hash (bcrypt) gespeichert; Klartextpasswörter sind technisch nicht einsehbar.

12. Verhalten bei Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten (Datenpanne) sind wir gemäß Art. 33 DSGVO verpflichtet, die zuständige Aufsichtsbehörde unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden zu benachrichtigen, sofern die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Sofern die Verletzung voraussichtlich ein hohes Risiko für Ihre persönlichen Rechte und Freiheiten darstellt, werden wir Sie gemäß Art. 34 DSGVO unverzüglich per E-Mail informieren. Die Benachrichtigung enthält mindestens: Art der Verletzung, betroffene Datenkategorien, wahrscheinliche Folgen sowie ergriffene Maßnahmen.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Anforderungen ändern oder wir neue Funktionen oder Dienstleister einführen. Bei wesentlichen Änderungen, die Ihre Rechte oder die Art der Datenverarbeitung maßgeblich betreffen, werden wir Sie mindestens 30 Tage im Voraus per E-Mail informieren. Das Datum der letzten Aktualisierung ist am Anfang dieser Erklärung angegeben. Die jeweils aktuelle Fassung ist stets auf havera-ai.de/datenschutz abrufbar.

14. Kontakt

Für Anfragen zum Datenschutz, zur Ausübung Ihrer Rechte oder bei Fragen zu dieser Erklärung wenden Sie sich bitte an:

Wir bemühen uns, auf Datenschutzanfragen innerhalb von 30 Tagen zu antworten. Bei komplexen oder zahlreichen Anfragen kann diese Frist um bis zu zwei weitere Monate verlängert werden; wir informieren Sie in diesem Fall vorab.