Datenschutzerklärung

Stand: 25.07.2025, Version: 2.0

Wir behalten diese Datenschutzerklärung aktuell und passen sie an, sobald sich rechtliche oder technische Änderungen ergeben. Frühere Fassungen dokumentieren wir am Ende dieser Seite.

---

1. Verantwortlicher

Leverage Immo GmbH Nöthnitzer Str. 34, 01187 Dresden, Deutschland E-Mail: contact@leverage.immo

Datenschutzbeauftragter: Es ist kein Datenschutzbeauftragter benannt, da die gesetzlichen Voraussetzungen nach Art. 37 DSGVO i. V. m. § 38 BDSG derzeit nicht vorliegen. Ansprechpartner für Datenschutzanfragen: Leverage Immo GmbH, contact@leverage.immo. Sollten sich die Voraussetzungen ändern, benennen wir unverzüglich einen Datenschutzbeauftragten und aktualisieren diese Datenschutzerklärung.

Zuständige Aufsichtsbehörde: Sächsische Datenschutz- und Transparenzbeauftragte (SDTB), Maternistraße 17, 01067 Dresden, E-Mail: post@sdtb.sachsen.de

Beschwerderecht: Du hast das Recht, dich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist insbesondere die Aufsichtsbehörde deines Aufenthaltsorts/Arbeitsorts oder des Orts des mutmaßlichen Verstoßes. Für unseren Sitz: Sächsische Datenschutz- und Transparenzbeauftragte (SDTB), Maternistraße 17, 01067 Dresden, post@sdtb.sachsen.de.

---

2. Grundsätzliche Informationen

2.1 Begriffe

Die in dieser Erklärung verwendeten Begriffe (z. B. „personenbezogene Daten“, „Verarbeitung“) entsprechen den Definitionen des Art. 4 DSGVO.

2.2 Anwendbare Rechtsgrundlagen

• DSGVO (EU)
• BDSG (Deutschland)
• TTDSG (Deutschland) - insbesondere für das Speichern/Auslesen von Informationen auf dem Endgerät (z. B. Cookies, Local Storage)
• ggf. EU-US Data Privacy Framework (DPF), Standardvertragsklauseln (SCCs) und Transfer Impact Assessments (TIAs) für Drittlandübermittlungen

2.3 Rechtsgrundlagen im Überblick (Art. 6 Abs. 1 DSGVO)

• a) Einwilligung
• b) Vertrag bzw. vorvertragliche Maßnahmen
• c) Rechtliche Verpflichtung
• f) Berechtigtes Interesse

Wir nennen die konkrete Rechtsgrundlage jeweils im entsprechenden Abschnitt.

2.4 Deine Rechte

Du hast - je nach Voraussetzungen - insbesondere folgende Rechte aus der DSGVO:

• Auskunft (Art. 15)
• Berichtigung (Art. 16)
• Löschung (Art. 17)
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO (Art. 21)
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77)

2.5 Pflicht zur Bereitstellung von Daten

Soweit wir Daten benötigen, um einen Vertrag zu schließen oder dir unsere Website bereitzustellen, kennzeichnen wir dies. Ohne diese Daten ist die Nutzung ggf. nicht möglich.

2.6 Datenlöschung

Wir löschen bzw. anonymisieren personenbezogene Daten, sobald die Zwecke entfallen und keine gesetzlichen Aufbewahrungspflichten (z. B. § 147 AO: 10 Jahre) entgegenstehen. Konkrete Fristen findest du im Verarbeitungsverzeichnis unten.

---

3. Sicherheit

Wir verwenden TLS/SSL-Verschlüsselung. Dadurch sind Daten, die du an uns übermittelst, vor dem Zugriff Unbefugter geschützt. Zusätzlich treffen wir technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO. Details stellen wir auf Anfrage bereit.

---

4. Hosting, CDN & Sicherheitslayer (Cloudflare)

4.1 Cloudflare Workers / CDN / WAF / DDoS-Schutz

Unsere Website wird über Cloudflare Workers betrieben und über das Content Delivery Network (CDN) von Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA ausgeliefert (weitere verbundene Gesellschaften innerhalb der EU/EWR möglich, z. B. Cloudflare Germany GmbH). Dabei können personenbezogene Daten - insbesondere IP-Adresse, User-Agent, Referrer, Request-URLs, Zeitstempel, Länderzuordnung, Sicherheits- und Performance-Metadaten - über weltweit verteilte Edge-Server verarbeitet werden. Cloudflare stellt zudem Sicherheitsfunktionen wie Web Application Firewall (WAF), Bot-/DDoS-Schutz, Rate Limiting und TLS-Termination bereit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, stabilem, schnellem und wirtschaftlichem Betrieb der Website) und - soweit Cookies / Endgeräteinformationen nicht technisch erforderlich sind - § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Drittlandtransfer: Es kann nicht ausgeschlossen werden, dass Daten in die USA übertragen werden. Eine Absicherung erfolgt durch Standardvertragsklauseln (SCCs) und - soweit anwendbar - das EU-US Data Privacy Framework (DPF) sowie zusätzliche Maßnahmen (Transfer Impact Assessments).

Speicherdauern (Logs): Cloudflare speichert sicherheitsrelevante Logdaten in der Regel kurzzeitig. Wir löschen/anonymisieren personenbezogene Logdaten grundsätzlich innerhalb von 14 Tagen, es sei denn, ein Sicherheitsvorfall erfordert eine längere Aufbewahrung.

4.2 Cloudflare Web Analytics

Wir nutzen Cloudflare Web Analytics. Der Dienst arbeitet ohne Cookies, ohne Identifier und ohne Fingerprinting. Es werden ausschließlich aggregierte Metriken (z. B. Seitenaufrufe, Referrer, Performance-Daten, Browser-/Geräteinformationen auf aggregierter Ebene) bereitgestellt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datenschutzfreundlichen Reichweitenmessung ohne den Einsatz von Cookies bzw. Identifiern). Eine Einwilligung nach § 25 TTDSG ist nicht erforderlich, da keine Informationen auf deinem Endgerät gespeichert oder von diesem ausgelesen werden.

Speicherdauer: 12 Monate.

---

5. Verarbeitungsvorgänge im Detail

5.1 Edge-/Server-Logfiles (Cloudflare)

Daten: IP-Adresse, Datum/Uhrzeit, aufgerufene URL, Referrer-URL, User-Agent, Betriebssystem, Hostname, Sicherheits-Events (z. B. WAF-Regeln). Zwecke: Betrieb, Sicherheit, DDoS-/Bot-Abwehr, Fehleranalyse, Performance. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: max. 14 Tage, Verlängerung im Incident-Fall. Empfänger: Cloudflare (Auftragsverarbeiter).

5.2 Cookies, Local Storage & Consent-Management (CCM19)

Wir nutzen das Consent-Management-Tool CCM19 der Papoo Software & Media GmbH, Deutschland, um Einwilligungen nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TTDSG einzuholen, zu verwalten und zu dokumentieren. CCM19 setzt ein technisch notwendiges Cookie, um den von dir gewählten Einwilligungsstatus (Opt-in/Opt-out) zu speichern.

Verarbeitete Daten: Einwilligungsstatus, Consent-ID, Zeitstempel, (anonymisierte) IP-Adresse, Browser-Informationen, ggf. Referrer-URL, Domain/URL der besuchten Seite, verwendetes Endgerät/Browser. Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Nachweispflichten),
• Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an der rechtssicheren, dokumentierten Verwaltung von Einwilligungen),
• § 25 Abs. 2 Nr. 2 TTDSG (für das technisch notwendige Consent-Cookie),
• § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (für sämtliche nicht technisch notwendigen Cookies/Tracker, die erst nach deiner Einwilligung gesetzt werden).

Speicherdauer der Consent-Protokolle: 3 Jahre (empfohlen: bis zum Ablauf möglicher Verjährungsfristen von Ansprüchen). Du kannst deine Einwilligungen jederzeit im Consent-Tool (CCM19) ändern oder widerrufen.

5.3 Eigene Datenerhebung (Formulare / Immobilienkalkulation & Vergleich)

Daten: Name, E-Mail-Adresse, Addresse, Telefonnummer. Zwecke: Durchführung vorvertraglicher Maßnahmen / Vertragserfüllung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Bis Zweckerreichung; danach Löschung, soweit keine gesetzlichen Aufbewahrungspflichten bestehen. Empfänger: Interne Stellen, Auftragsverarbeiter (z. B. Cloudflare).

5.4 Kontaktaufnahme (E-Mail, WhatsApp)

E-Mail Daten: E-Mail-Adresse, Inhaltsdaten, Metadaten. Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (allgemeine Anfragen), Art. 6 Abs. 1 lit. b DSGVO (vertragliche/ vorvertragliche Kommunikation). Speicherdauer: 3 Jahre, sofern keine längeren gesetzlichen Aufbewahrungspflichten bestehen.

WhatsApp (WhatsApp Ireland Limited, Dublin, Irland) Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 1 lit. b DSGVO. Alternativkanal: E-Mail. Speicherdauer: 3 Jahre. Drittlandtransfer: möglich (USA) - Absicherung über DPF/SCCs. Empfehlung: Business API + DPA.

5.5 Newsletter & Blog (beehiiv)

beehiiv Inc. für Newsletter & Blog (https://blog.leverage.immo). Daten: E-Mail-Adresse, IP-Adresse, Zeitpunkt, ggf. Öffnungs-/Klicktracking (falls aktiviert). Double-Opt-In: Ja Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Art. 6 Abs. 1 lit. c/f DSGVO (Nachweis). Speicherdauer: bis Widerruf; Nachweisdaten 3 Jahre. Drittlandtransfer: USA - DPF/SCCs/TIA.

5.6 Webanalyse – PostHog

Wir nutzen PostHog (Cloud) zur Webanalyse. Die Verarbeitung erfolgt gemäß unserer Konfiguration in Rechenzentren in Deutschland bzw. innerhalb der EU (Projektregion „EU Cloud“).

Verarbeitete Daten: Nutzungs- und Ereignisdaten (z. B. Seitenaufrufe, Klicks, Scrolltiefe, Events), Gerätedaten (Browser, Betriebssystem, Bildschirmauflösung), Referrer, Zeitstempel. Client-IP-Adressen werden nicht gespeichert („Discard client IP data: true“).

Cookies/Storage: Für die Analyse können Cookies bzw. vergleichbare Technologien verwendet werden. Diese werden erst nach deiner Einwilligung über CCM19 gesetzt.

Rechtsgrundlage:

• § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für das Setzen/Auslesen nicht technisch notwendiger Cookies/Identifier),
• ggf. Art. 6 Abs. 1 lit. f DSGVO für strikt notwendige Messungen ohne Endgerätezugriff.

Speicherdauer: 12 Monate.

Auftragsverarbeitung & mögliche Supportzugriffe:

• Mit PostHog besteht ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO).
• Die Verarbeitung erfolgt in der EU/DE. Ein Supportzugriff aus dem Vereinigten Königreich (UK) kann im Einzelfall erforderlich sein und ist durch den EU-Angemessenheitsbeschluss abgedeckt (Art. 45 DSGVO).
• Ein Zugriff aus weiteren Drittländern kann nicht vollständig ausgeschlossen werden. In diesem Fall erfolgt die Absicherung über Standardvertragsklauseln (SCCs) und geeignete zusätzliche Maßnahmen (TIA).

Widerruf: Du kannst deine Einwilligung jederzeit über das CCM19-Consent-Tool widerrufen.

5.7 Marketing - Meta/Facebook Pixel & Conversions API

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG). Server-Side (CAPI): ja Gemeinsame Verantwortlichkeit (Art. 26 DSGVO): https://www.leverage.immo/imprint Lookalike/Custom Audiences: nein Drittlandtransfer: USA - DPF/SCCs/TIA. Widerruf: jederzeit über das Cookie-Consent-Tool.

5.8 Mapbox

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG). Daten: IP, Nutzungsdaten; ggf. Standortdaten bei Freigabe. Drittlandtransfer: USA - DPF/SCCs/TIA. Einbindung erst nach Consent: ja

5.9 Zahlungsabwicklung - Stripe

Daten: Zahlungs-/Rechnungsdaten, Betrugspräventionsdaten. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), lit. c (gesetzliche Pflichten), lit. f (Betrugsprävention); § 25 Abs. 1 TTDSG (Stripe-Cookies nur mit Einwilligung). Zahlarten: Kreditkarte, PayPal, Lastschrift, Kreditkarte (PayPal) Speicherdauer: 10 Jahre (steuer-/handelsrechtlich). Drittlandtransfer: USA - DPF/SCCs/TIA.

---

6. Auftragsverarbeitung, Empfänger, Drittlandübermittlungen

Wir schließen mit allen Dienstleistern, die personenbezogene Daten in unserem Auftrag verarbeiten, Auftragsverarbeitungsverträge (Art. 28 DSGVO). Soweit Daten in Drittländer (insbesondere USA) übermittelt werden, erfolgt dies - sofern kein Angemessenheitsbeschluss besteht - auf Grundlage von SCCs, ggf. ergänzt durch TIAs und zusätzliche Schutzmaßnahmen. Soweit verfügbar, nutzen wir das EU-US Data Privacy Framework (DPF).

---

7. Automatisierte Entscheidungen / Profiling

Keine automatisierten Entscheidungen i. S. d. Art. 22 DSGVO, die rechtliche Wirkung entfalten oder dich in ähnlicher Weise erheblich beeinträchtigen.

---

8. Minderjährige

Unser Angebot richtet sich nicht an Kinder im Sinne von Art. 8 DSGVO.

---

9. Verarbeitungsverzeichnis (Kurzüberblick)

10. Änderungen dieser Datenschutzerklärung

Aktueller Stand: 25.07.2025 (Version 2.0 - umfassendes Re-Write) Vorherige Fassungen:

• 24.08.2023 (Erstfassung)

Änderungen veröffentlichen wir hier. Wenn erforderlich, informieren wir dich zusätzlich (z. B. per Banner oder E-Mail).