Datenschutzerklärung
1. Verantwortlicher
Strudel Immobilien GmbH
Hasenbergstraße 15, 70178 Stuttgart
Deutschland
E-Mail: privacy@portalist.de
Geschäftsführer: Tobias Troendle
Ein betrieblicher Datenschutzbeauftragter ist nach § 38 BDSG nicht erforderlich. Für Datenschutzanliegen erreichen Sie uns unter privacy@portalist.de.
2. Allgemeines zur Verarbeitung
Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG). Im Folgenden informieren wir über Art, Umfang und Zweck der Verarbeitung.
3. Hosting und Infrastruktur
Die Anwendung wird auf STACKIT (STACKIT GmbH & Co. KG, Heilbronn/Neckarsulm, Deutschland) bereitgestellt, einem Cloud-Anbieter der Schwarz-Gruppe. Die Rechenzentren befinden sich in Deutschland und sind BSI-C5-Type-2-zertifiziert. Anwendungs- und Nutzerdaten werden in Supabase-Datenbanken (Supabase, Inc., USA) in der Region Frankfurt am Main (EU) gespeichert. Mit beiden Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Soweit gegenüber Supabase, Inc. eine Übermittlung in die USA stattfindet, stützen wir diese auf das EU-US Data Privacy Framework oder auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
4. Erhebung personenbezogener Daten im Rahmen der Nutzung
Bei der Registrierung, Portal-Erstellung und Nutzung verarbeiten wir folgende Daten:
- Stammdaten: Vor- und Nachname, E-Mail-Adresse, Unternehmensname, Telefonnummer (optional)
- Zugangsdaten: Passwort-Hash, OAuth-Token (Google/Microsoft bei SSO)
- Inhaltsdaten: Portale, Objekte, Kontakte, Dokumente, Vorlagen, die Sie erstellen oder hochladen
- Nutzungsdaten: Zugriffszeitpunkte, Browser-Typ, Gerätetyp, aufgerufene Funktionen
- Abrechnungsdaten: Rechnungsadresse, USt-IdNr. (optional), Zahlungsmittel-Referenz (über Stripe)
- Engagement-Daten Ihrer Endnutzer: aufgerufene Portal-Schritte, abgegebene Formulare, Dateidownloads
Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, Nutzung des SaaS-Dienstes) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und funktionsfähigen Dienst, Betrugs- und Missbrauchsprävention).
5. Cookies und vergleichbare Technologien (§ 25 TDDDG)
Wir setzen ausschließlich unbedingt erforderliche Cookies und vergleichbare Technologien ein, die dem Betrieb des Dienstes dienen (z. B. Session-Cookies zur Authentifizierung, CSRF-Schutz). Diese sind nach § 25 Abs. 2 TDDDG einwilligungsfrei, weil sie zur Erbringung des ausdrücklich vom Nutzer gewünschten Dienstes technisch erforderlich sind.
Sofern wir künftig optionale Analyse- oder Marketing-Cookies einsetzen, holen wir vorab Ihre Einwilligung über ein Cookie-Banner ein (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG).
6. Logfiles
Bei jedem Zugriff auf unsere Server werden technische Zugriffsdaten (IP-Adresse, User-Agent, Zeitpunkt, aufgerufene URL, Response-Code) kurzzeitig verarbeitet, um den Betrieb sicherzustellen und Angriffe abzuwehren. Die Speicherdauer beträgt maximal 30 Tage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
7. Zahlungsabwicklung
Die Zahlungsabwicklung erfolgt über Stripe Payments Europe Ltd. (Irland) und Stripe, Inc. (USA). Ihre Zahlungsdaten (Kartennummern, Bankdaten) werden direkt an Stripe übermittelt und nicht auf unseren Servern gespeichert. Stripe ist als Auftragsverarbeiter nach Art. 28 DSGVO eingebunden. Details: stripe.com/de/privacy.
8. E-Mail-Versand
Für transaktionale E-Mails (Authentifizierung, Magic Links, Benachrichtigungen, von Ihnen konfigurierte Portal-E-Mails) nutzen wir Resend (Resend, Inc., USA). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bzw. f DSGVO. Es besteht ein AVV nach Art. 28 DSGVO; Drittland-Transfer gestützt auf Standardvertragsklauseln.
9. KI-gestützte Funktionen
Wir nutzen Sprachmodelle der Anthropic, PBC (USA) für optionale KI-Funktionen (Text-Generierung, Smart-Notifications, Zusammenfassungen). Eingaben werden ausschließlich zur Erbringung der Funktion verarbeitet und nicht zum Training der Modelle verwendet (Enterprise-Zero-Retention-Vereinbarung). Drittland-Transfer gestützt auf Standardvertragsklauseln nach Art. 46 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Sie können KI-Funktionen in den Einstellungen deaktivieren.
9a. Sprachassistent („Concierge“)
Sofern Ihr Makler den Portalist Concierge in seinem Käufer- oder Verkäuferportal aktiviert, können Sie als Portalnutzer freiwillig ein Sprachgespräch mit einem KI-Sprachassistenten führen. Vor dem ersten Gespräch fragen wir Sie ausdrücklich um Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Bei Aktivierung werden folgende personenbezogene Daten verarbeitet:
- Audioaufnahme Ihrer gesprochenen Sprache während des Anrufs
- Textuelles Transkript des Gesprächs
- Kontextdaten zum laufenden Verkaufs- bzw. Kaufprozess (Adresse des Objekts, aktueller Schritt im Portal, hinterlegte Dokumenttitel, Ihr Vorname soweit beim Makler hinterlegt)
Verarbeitungspartner: Die Echtzeit-Sprach -verarbeitung (Speech-to-Text, Sprachsynthese und Modell-Inferenz für den Dialog) erfolgt über ElevenLabs, Inc. (169 Madison Avenue, STE 2700, New York, NY 10016, USA) auf Grundlage eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO) und EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO, Beschluss 2021/914). ElevenLabs verarbeitet die Audiodaten in den USA. Eine Verarbeitung ausschließlich in der EU ist im aktuell genutzten Tarif nicht möglich. ElevenLabs speichert Audio und Transkript bis zu 30 Tage zur Bereitstellung der Funktion (Standard-Retention) und nutzt sie nicht zum Training eigener Modelle.
Speicherung bei uns: Audioaufnahme und Transkript werden auf unseren EU-Servern (Supabase Frankfurt) gespeichert und nach 30 Tagen automatisch gelöscht. Die KI-generierte Zusammenfassung des Gesprächs sowie ggf. abgeleitete Folgeaufgaben werden auch darüber hinaus aufbewahrt, um die Nachbereitung durch Ihren Makler zu ermöglichen (Art. 6 Abs. 1 lit. b DSGVO).
Ihre Rechte: Sie können das Gespräch jederzeit beenden, eine Löschung Ihrer Aufzeichnung vorzeitig verlangen und dem zukünftigen Einsatz des Concierge widersprechen, ohne dass Ihnen dadurch Nachteile entstehen. Bitte wenden Sie sich dafür an privacy@portalist.de oder direkt an Ihren Makler.
10. CRM-Integrationen
Sofern Sie eine Integration mit externen CRM-Systemen aktivieren (z. B. Propstack), werden von Ihnen freigegebene Kontakt- und Objektdaten zwischen Portalist und dem jeweiligen CRM synchronisiert. Die Verarbeitung erfolgt auf Grundlage Ihres Vertrags mit dem CRM-Anbieter; Portalist tritt als Auftragsverarbeiter gegenüber Ihnen und als Verantwortlicher für den eigenen Synchronisationsbetrieb auf.
11. Auftragsverarbeiter und Subunternehmer
Wir setzen folgende Dienstleister als Auftragsverarbeiter nach Art. 28 DSGVO ein. Die aktuelle Liste ist jederzeit abrufbar und wird bei Änderungen vorab angekündigt.
| Anbieter | Zweck | Sitz / Datenstandort |
|---|---|---|
| STACKIT GmbH & Co. KG | Anwendungs-Hosting, Compute, Netzwerk | Heilbronn/Neckarsulm (DE); BSI C5 |
| Supabase, Inc. | Datenbank, Auth, Storage | USA; Daten in Frankfurt (EU) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland / USA |
| Resend, Inc. | Transaktionale E-Mails | USA |
| Anthropic, PBC | KI-Textgenerierung | USA |
| ElevenLabs, Inc. | KI-Sprachverarbeitung (Concierge) | USA |
| Cloudflare, Inc. | DNS, DDoS-Schutz | USA; EU-Edge |
Mit allen genannten Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Drittland-Transfers erfolgen auf Grundlage von Angemessenheitsbeschlüssen (EU-US DPF) oder Standardvertragsklauseln (Art. 46 DSGVO).
12. Speicher- und Löschfristen
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Nach Beendigung des Vertragsverhältnisses werden Ihre Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. §§ 147 AO, 257 HGB – bis zu 10 Jahre für Rechnungsunterlagen) entgegenstehen. Für die Zeit der Aufbewahrung schränken wir die Verarbeitung ein.
13. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung einschließlich Profiling nach Art. 22 DSGVO findet nicht statt.
14. Ihre Rechte
Sie haben das Recht auf:
- Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Zur Ausübung Ihrer Rechte wenden Sie sich an privacy@portalist.de. Sie haben zudem das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO).
15. Zuständige Aufsichtsbehörde
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
Telefon: +49 711 615541-0
E-Mail: poststelle@lfdi.bwl.de
16. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich rechtliche Rahmenbedingungen oder unsere Leistungen ändern. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.
Stand: April 2026