Datenschutzerklärung
Stand: 23.01.2026, Version: 2.1
Wir behalten diese Datenschutzerklärung aktuell und passen sie an, sobald sich rechtliche oder technische Änderungen ergeben. Frühere Fassungen dokumentieren wir am Ende dieser Seite.
1. Verantwortlicher
Leverage Immo GmbH
Nöthnitzer Str. 34, 01187 Dresden, Deutschland
E-Mail:contact@leverage.immo
Datenschutzbeauftragter:
Es ist kein Datenschutzbeauftragter benannt, da die gesetzlichen Voraussetzungen nachArt. 37 DSGVO i. V. m. § 38 BDSG derzeit nicht vorliegen.
Ansprechpartner für Datenschutzanfragen: Leverage Immo GmbH, contact@leverage.immo.
Sollten sich die Voraussetzungen ändern, benennen wir unverzüglich einen Datenschutzbeauftragten und aktualisieren diese Datenschutzerklärung.
Zuständige Aufsichtsbehörde:
Sächsische Datenschutz- und Transparenzbeauftragte (SDTB), Maternistraße 17, 01067 Dresden, E-Mail:post@sdtb.sachsen.de
Beschwerderecht:
Du hast das Recht, dich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist insbesondere die Aufsichtsbehörde deines Aufenthaltsorts/Arbeitsorts oder des Orts des mutmaßlichen Verstoßes. Für unseren Sitz: Sächsische Datenschutz- und Transparenzbeauftragte (SDTB), Maternistraße 17, 01067 Dresden,post@sdtb.sachsen.de.
2. Grundsätzliche Informationen
2.1 Begriffe
Die in dieser Erklärung verwendeten Begriffe (z. B. „personenbezogene Daten“, „Verarbeitung“) entsprechen den Definitionen des Art. 4 DSGVO.
2.2 Anwendbare Rechtsgrundlagen
- DSGVO (EU)
- BDSG (Deutschland)
- TTDSG (Deutschland) - insbesondere für das Speichern/Auslesen von Informationen auf dem Endgerät (z. B. Cookies, Local Storage)
- ggf. EU-US Data Privacy Framework (DPF),Standardvertragsklauseln (SCCs) undTransfer Impact Assessments (TIAs) für Drittlandübermittlungen
2.3 Rechtsgrundlagen im Überblick (Art. 6 Abs. 1 DSGVO)
- a) Einwilligung
- b) Vertrag bzw. vorvertragliche Maßnahmen
- c) Rechtliche Verpflichtung
- f) Berechtigtes Interesse
Wir nennen die konkrete Rechtsgrundlage jeweils im entsprechenden Abschnitt.
2.4 Deine Rechte
Du hast - je nach Voraussetzungen - insbesondere folgende Rechte aus der DSGVO:
- Auskunft (Art. 15)
- Berichtigung (Art. 16)
- Löschung (Art. 17)
- Einschränkung der Verarbeitung (Art. 18)
- Datenübertragbarkeit (Art. 20)
- Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO (Art. 21)
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3)
- Beschwerde bei einer Aufsichtsbehörde (Art. 77)
2.5 Pflicht zur Bereitstellung von Daten
Soweit wir Daten benötigen, um einen Vertrag zu schließen oder dir unsere Website bereitzustellen, kennzeichnen wir dies. Ohne diese Daten ist die Nutzung ggf. nicht möglich.
2.6 Datenlöschung
Wir löschen bzw. anonymisieren personenbezogene Daten, sobald die Zwecke entfallen und keine gesetzlichen Aufbewahrungspflichten (z. B. § 147 AO: 10 Jahre) entgegenstehen. Konkrete Fristen findest du im Verarbeitungsverzeichnis unten.
3. Sicherheit
Wir verwenden TLS/SSL-Verschlüsselung. Dadurch sind Daten, die du an uns übermittelst, vor dem Zugriff Unbefugter geschützt. Zusätzlich treffen wir technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO. Details stellen wir auf Anfrage bereit.
4. Hosting, CDN & Sicherheitslayer (Cloudflare)
4.1 Cloudflare Workers / CDN / WAF / DDoS-Schutz
Unsere Website wird über Cloudflare Workers betrieben und über das Content Delivery Network (CDN) vonCloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USAausgeliefert (weitere verbundene Gesellschaften innerhalb der EU/EWR möglich, z. B. Cloudflare Germany GmbH). Dabei können personenbezogene Daten - insbesondereIP-Adresse, User-Agent, Referrer, Request-URLs, Zeitstempel, Länderzuordnung, Sicherheits- und Performance-Metadaten- über weltweit verteilte Edge-Server verarbeitet werden. Cloudflare stellt zudem Sicherheitsfunktionen wieWeb Application Firewall (WAF),Bot-/DDoS-Schutz, Rate Limiting undTLS-Termination bereit.
Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, stabilem, schnellem und wirtschaftlichem Betrieb der Website) und - soweit Cookies / Endgeräteinformationen nicht technisch erforderlich sind - § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Drittlandtransfer:
Es kann nicht ausgeschlossen werden, dass Daten in die USA übertragen werden. Eine Absicherung erfolgt durchStandardvertragsklauseln (SCCs) und - soweit anwendbar - das EU-US Data Privacy Framework (DPF) sowie zusätzliche Maßnahmen (Transfer Impact Assessments).
Speicherdauern (Logs):
Cloudflare speichert sicherheitsrelevante Logdaten in der Regel kurzzeitig. Wir löschen/anonymisieren personenbezogene Logdaten grundsätzlich innerhalb von 14 Tagen, es sei denn, ein Sicherheitsvorfall erfordert eine längere Aufbewahrung.
4.2 Cloudflare Web Analytics
Wir nutzen Cloudflare Web Analytics. Der Dienst arbeitetohne Cookies, ohne Identifier und ohne Fingerprinting. Es werden ausschließlich aggregierte Metriken (z. B. Seitenaufrufe, Referrer, Performance-Daten, Browser-/Geräteinformationen auf aggregierter Ebene) bereitgestellt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datenschutzfreundlichen Reichweitenmessung ohne den Einsatz von Cookies bzw. Identifiern). Eine Einwilligung nach § 25 TTDSG ist nicht erforderlich, da keine Informationen auf deinem Endgerät gespeichert oder von diesem ausgelesen werden.
Speicherdauer: 12 Monate.
5. Verarbeitungsvorgänge im Detail
5.1 Edge-/Server-Logfiles (Cloudflare)
Daten: IP-Adresse, Datum/Uhrzeit, aufgerufene URL, Referrer-URL, User-Agent, Betriebssystem, Hostname, Sicherheits-Events (z. B. WAF-Regeln).
Zwecke: Betrieb, Sicherheit, DDoS-/Bot-Abwehr, Fehleranalyse, Performance.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: max. 14 Tage, Verlängerung im Incident-Fall.
Empfänger: Cloudflare (Auftragsverarbeiter).
5.2 Cookies, Local Storage & Consent-Management (CCM19)
Wir nutzen das Consent-Management-Tool CCM19 derPapoo Software & Media GmbH, Deutschland, um Einwilligungen nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG einzuholen, zu verwalten und zu dokumentieren. CCM19 setzt ein technisch notwendiges Cookie, um den von dir gewählten Einwilligungsstatus (Opt-in/Opt-out) zu speichern.
Verarbeitete Daten: Einwilligungsstatus, Consent-ID, Zeitstempel, (anonymisierte) IP-Adresse, Browser-Informationen, ggf. Referrer-URL, Domain/URL der besuchten Seite, verwendetes Endgerät/Browser.
Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Nachweispflichten),
- Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an der rechtssicheren, dokumentierten Verwaltung von Einwilligungen),
- § 25 Abs. 2 Nr. 2 TTDSG (für das technisch notwendige Consent-Cookie),
- § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO(für sämtliche nicht technisch notwendigen Cookies/Tracker, die erst nach deiner Einwilligung gesetzt werden).
Speicherdauer der Consent-Protokolle: 3 Jahre (empfohlen: bis zum Ablauf möglicher Verjährungsfristen von Ansprüchen).
Du kannst deine Einwilligungen jederzeit imConsent-Tool (CCM19) ändern oder widerrufen.
5.3 Nutzerkonto & Pflichtangaben im Profil
Für die Nutzung unserer Plattform ist ein Nutzerkonto erforderlich. Bestimmte Profilangaben müssen wir verpflichtend abfragen, damit wir den Dienst bereitstellen, Verträge korrekt erfüllen und gesetzlichen Pflichten (z. B. Rechnungsstellung/Steuerrecht, Altersprüfung) nachkommen können.
Rechtsgrundlagen (Art. 6 Abs. 1 DSGVO):
- lit. b (Vertrag / vorvertragliche Maßnahmen): Bereitstellung der Plattform, Kontoführung, Support, vertragsbezogene Kommunikation.
- lit. c (rechtliche Verpflichtung): Rechnungs- und Aufbewahrungspflichten, gesetzliche Anforderungen an Rechnungsangaben.
- lit. f (berechtigtes Interesse): zwingend erforderliche Sicherheits-/Missbrauchsprävention, Identitäts- und Kontoschutz.
Pflichtfelder & Zwecke (DSGVO-konform):
- Anrede
- Zweck: Korrekte und eindeutige Kommunikation in Profil-, Support- und Vertragsprozessen.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
- Vorname & Nachname
- Zweck: Eindeutige Identifikation des Nutzers, Führung eines rechtsgültigen Kontos und Erstellung rechtsverbindlicher Dokumente (z. B. Rechnungen/Vertragsunterlagen).
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
- Firmenname(bei Nutzung als Unternehmen verpflichtend)
- Zweck: Zuordnung des Kontos zur juristischen Person und ordnungsgemäße Rechnungsstellung.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. c und lit. b DSGVO.
- Website (optional, sofern angegeben)
- Zweck: Unternehmenszuordnung und Verifizierung geschäftlicher Nutzung (Missbrauchsprävention), Zuordnung zu Unternehmensprofilen.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO und – soweit erforderlich für bestimmte Funktionen – Art. 6 Abs. 1 lit. b DSGVO.
- Art des Unternehmens
- Zweck: Bereitstellung der korrekten Plattformfunktionen (z. B. Makler/Investor/Entwickler), ohne die die Funktionalität unvollständig oder fehlerhaft wäre.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
- Position im Unternehmen
- Zweck: Rollenzuordnung, Berechtigungskontrolle und Freischaltung rollenbasierter Funktionen.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
- Adresse (Straße/Hausnummer, PLZ, Stadt)
- Zweck: Rechnungsstellung, Vertragsunterlagen, eindeutige Zuordnung von Nutzerprofilen im geschäftlichen Umfeld.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO.
- Land
- Zweck: Steuerliche Behandlung, länderspezifische rechtliche Hinweise und Funktionen.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. c und lit. b DSGVO.
- Telefonnummer
- Zweck: Identitätsbestätigung, sicherheitsrelevante Verifizierungen, Rückfragen bei Kontoproblemen und Supportfällen.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO und Art. 6 Abs. 1 lit. b DSGVO.
- Anzahl Immobilien
- Zweck: Einrichtung und korrekte Konfiguration von Plattformfunktionen (Portfolio-Management, Analysefunktionen, personalisierte Dashboards).
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
- Geburtstag
- Zweck: Altersprüfung (Mindestalter für Verträge) sowie eindeutige Identifikation in Ausnahmefällen.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO.
Speicherdauer: Für die Dauer des Nutzerkontos; darüber hinaus nur, soweit gesetzliche Aufbewahrungspflichten bestehen (z. B. 6-10 Jahre für abrechnungsrelevante Unterlagen).
Empfänger: Interne Stellen, Auftragsverarbeiter (z. B. Hosting/Cloudflare), soweit erforderlich.
5.4 Kontaktaufnahme (E-Mail, WhatsApp)
E-Mail
Daten: E-Mail-Adresse, Inhaltsdaten, Metadaten.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (allgemeine Anfragen), Art. 6 Abs. 1 lit. b DSGVO (vertragliche/ vorvertragliche Kommunikation).
Speicherdauer: 3 Jahre, sofern keine längeren gesetzlichen Aufbewahrungspflichten bestehen.
WhatsApp (WhatsApp Ireland Limited, Dublin, Irland)
Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 1 lit. b DSGVO.
Alternativkanal: E-Mail.
Speicherdauer: 3 Jahre.
Drittlandtransfer: möglich (USA) - Absicherung über DPF/SCCs.
Empfehlung: Business API + DPA.
5.5 Newsletter & Blog (beehiiv)
beehiiv Inc. für Newsletter & Blog (https://blog.leverage.immo).
Daten: E-Mail-Adresse, IP-Adresse, Zeitpunkt, ggf. Öffnungs-/Klicktracking (falls aktiviert).
Double-Opt-In: Ja
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Art. 6 Abs. 1 lit. c/f DSGVO (Nachweis).
Speicherdauer: bis Widerruf; Nachweisdaten 3 Jahre.
Drittlandtransfer: USA - DPF/SCCs/TIA.
5.6 Webanalyse – PostHog
Wir nutzen PostHog (Cloud) zur Webanalyse. Die Verarbeitung erfolgt gemäß unserer Konfigurationin Rechenzentren in Deutschland bzw. innerhalb der EU(Projektregion „EU Cloud“).
Verarbeitete Daten: Nutzungs- und Ereignisdaten (z. B. Seitenaufrufe, Klicks, Scrolltiefe, Events), Gerätedaten (Browser, Betriebssystem, Bildschirmauflösung), Referrer, Zeitstempel.Client-IP-Adressen werden nicht gespeichert („Discard client IP data: true“).
Cookies/Storage: Für die Analyse können Cookies bzw. vergleichbare Technologien verwendet werden. Diese werdenerst nach deiner Einwilligung über CCM19 gesetzt.
Rechtsgrundlage:
- § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO(Einwilligung für das Setzen/Auslesen nicht technisch notwendiger Cookies/Identifier),
- ggf. Art. 6 Abs. 1 lit. f DSGVO für strikt notwendige Messungen ohne Endgerätezugriff.
Speicherdauer: 12 Monate.
Auftragsverarbeitung & mögliche Supportzugriffe:
- Mit PostHog besteht einAuftragsverarbeitungsvertrag (Art. 28 DSGVO).
- Die Verarbeitung erfolgt in der EU/DE. Ein Supportzugriff aus dem Vereinigten Königreich (UK) kann im Einzelfall erforderlich sein und ist durch denEU-Angemessenheitsbeschluss abgedeckt (Art. 45 DSGVO).
- Ein Zugriff aus weiteren Drittländern kann nicht vollständig ausgeschlossen werden. In diesem Fall erfolgt die Absicherung überStandardvertragsklauseln (SCCs) und geeignete zusätzliche Maßnahmen (TIA).
Widerruf: Du kannst deine Einwilligung jederzeit über dasCCM19-Consent-Tool widerrufen.
5.7 Marketing - Meta/Facebook Pixel & Conversions API
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG).
Server-Side (CAPI): ja
Gemeinsame Verantwortlichkeit (Art. 26 DSGVO):Impressum
Lookalike/Custom Audiences: nein
Drittlandtransfer: USA - DPF/SCCs/TIA.
Widerruf: jederzeit über das Cookie-Consent-Tool.
5.8 Mapbox
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG).
Daten: IP, Nutzungsdaten; ggf. Standortdaten bei Freigabe.
Drittlandtransfer: USA - DPF/SCCs/TIA.
Einbindung erst nach Consent: ja
5.9 Zahlungsabwicklung - Stripe
Daten: Zahlungs-/Rechnungsdaten, Betrugspräventionsdaten.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), lit. c (gesetzliche Pflichten), lit. f (Betrugsprävention); § 25 Abs. 1 TTDSG (Stripe-Cookies nur mit Einwilligung).
Zahlarten: Kreditkarte, PayPal, Lastschrift, Kreditkarte (PayPal)
Speicherdauer: 10 Jahre (steuer-/handelsrechtlich).
Drittlandtransfer: USA - DPF/SCCs/TIA.
6. Auftragsverarbeitung, Empfänger, Drittlandübermittlungen
Wir schließen mit allen Dienstleistern, die personenbezogene Daten in unserem Auftrag verarbeiten,Auftragsverarbeitungsverträge (Art. 28 DSGVO). Soweit Daten in Drittländer (insbesondere USA) übermittelt werden, erfolgt dies - sofern kein Angemessenheitsbeschluss besteht - auf Grundlage von SCCs, ggf. ergänzt durchTIAs und zusätzliche Schutzmaßnahmen. Soweit verfügbar, nutzen wir das EU-US Data Privacy Framework (DPF).
Den Vertrag zur Auftragsverarbeitung zwischen dir und uns findest du unterAV-Vertrag (DSGVO).
7. Automatisierte Entscheidungen / Profiling
Keine automatisierten Entscheidungen i. S. d. Art. 22 DSGVO, die rechtliche Wirkung entfalten oder dich in ähnlicher Weise erheblich beeinträchtigen.
8. Minderjährige
Unser Angebot richtet sich nicht an Kinder im Sinne von Art. 8 DSGVO.
9. Verarbeitungsverzeichnis (Kurzüberblick)
| Verarbeitung | Datenkategorien | Zweck | Rechtsgrundlage | Empfänger | Drittland | Speicherdauer |
|---|---|---|---|---|---|---|
| Cloudflare Logs (Workers/CDN/WAF) | IP, Timestamp, URL, User-Agent, Sicherheits-Events | Betrieb, Sicherheit, DDoS/Bot-Abwehr, Fehleranalyse | Art. 6 Abs. 1 lit. f DSGVO | Cloudflare (AVV) | USA (DPF/SCCs) | 14 Tage |
| Cloudflare Web Analytics | Aggregierte Nutzungs-/Performance-Daten (ohne Cookies/Identifier) | Reichweitenmessung ohne Cookies | Art. 6 Abs. 1 lit. f DSGVO | Cloudflare | USA (DPF/SCCs) | 12 Monate |
| Consent-Management (CCM19) | Consent-ID, (anonym.) IP, Browser-/Gerätedaten, Zeitstempel, Status | Dokumentation & Verwaltung von Einwilligungen | Art. 6 Abs. 1 lit. c, f DSGVO; § 25 Abs. 2 Nr. 2 TTDSG (techn. nötiges Cookie); § 25 Abs. 1 TTDSG i.V.m. Art. 6 Abs. 1 lit. a DSGVO (nicht notwendige Cookies) | Papoo Software & Media GmbH (CCM19) | nein | 3 Jahre |
| Cloudflare R2 (öffentliche Assets) | — (derzeit keine personenbezogenen Daten) | Auslieferung statischer Inhalte | Art. 6 Abs. 1 lit. f DSGVO | Cloudflare | USA (DPF/SCCs) | n/a |
| Formulare (Kalkulation/Vergleich) | Name, E-Mail, ggf. weitere | Vertrag/Anbahnung | Art. 6 Abs. 1 lit. b DSGVO | Interne Stellen, Cloudflare | nein | Bis Zweckerfüllung / gesetzliche Pflichten |
| Kontakt (E-Mail) | E-Mail, Inhalts-/Metadaten | Kommunikation | Art. 6 Abs. 1 lit. b/f DSGVO | E-Mail-Provider | nein | 3 Jahre |
| Kontakt (WhatsApp) | Telefonnummer, Nachrichten | Kommunikation/Support | Art. 6 Abs. 1 lit. b/f DSGVO | USA (DPF/SCCs) | Bis Abschluss;regelmäßige Löschung nach 6 Monaten | |
| Newsletter/Blog (beehiiv) | E-Mail, IP, ggf. Öffnungs-/Klickdaten | Versand, Analyse | Art. 6 Abs. 1 lit. a DSGVO; (Nachweis) Art. 6 Abs. 1 lit. c/f DSGVO | beehiiv | USA (DPF/SCCs) | Bis Widerruf; Nachweis 3 Jahre |
| Analyse (PostHog – Cloud, EU/DE) | Nutzungs-/Ereignisdaten, Gerätedaten;Client-IP: verworfen | UX-/Produktverbesserung, Reichweitenmessung | § 25 Abs. 1 TTDSG; Art. 6 Abs. 1 lit. a DSGVO | PostHog (AVV) | Kein Drittlandtransfer für reguläre Verarbeitung;Support UK (Angemessenheit), ggf. weitere Drittländer via SCCs/TIA | 12 Monate |
| Marketing (Meta Pixel/ggf. CAPI) | Nutzungs-/Eventdaten | Remarketing, Conversion-Messung | § 25 Abs. 1 TTDSG; Art. 6 Abs. 1 lit. a DSGVO | Meta | USA (DPF/SCCs) | Bis Widerruf;bei uns keine langfristige Speicherung personenbezogener Rohdaten (nur aggregierte Reports) |
| Google reCAPTCHA | Interaktionsdaten, IP | Bot-/Missbrauchsschutz | § 25 Abs. 1 TTDSG; Art. 6 Abs. 1 lit. a DSGVO | USA (DPF/SCCs) | variabel | |
| Mapbox | IP, Nutzungsdaten, ggf. Standortdaten | Kartendarstellung | § 25 Abs. 1 TTDSG; Art. 6 Abs. 1 lit. a DSGVO | Mapbox | USA (DPF/SCCs) | variabel |
| Stripe | Zahlungs-/Rechnungsdaten, Betrugspräventionsdaten | Zahlungsabwicklung, Betrugsprävention | Art. 6 Abs. 1 lit. b, c, f DSGVO; § 25 Abs. 1 TTDSG (Cookies nur mit Einwilligung) | Stripe | USA (DPF/SCCs) | 6-10 Jahre |
10. Änderungen dieser Datenschutzerklärung
Aktueller Stand: 23.01.2026 (Version 2.1)
Vorherige Fassungen:
- 25.07.2025 (Version 2.0 – umfassendes Re-Write)
- 24.08.2023 (Erstfassung)
Änderungen veröffentlichen wir hier. Wenn erforderlich, informieren wir dich zusätzlich (z. B. per Banner oder E-Mail).