Datenschutzerklärung
Stand: 18. Mai 2026
Geltungsbereich: mieter-mappe.de und alle Subdomains.
Kurzfassung — das Wichtigste in 30 Sekunden
- Wir sammeln so wenig wie möglich — nur, was wir wirklich brauchen.
- Alle Server stehen in der EU (Supabase: Frankfurt).
- Kein Tracking. Keine Google Analytics, keine Werbe-Cookies, keine Session-Recordings.
- Keine Weitergabe an Dritte. Außer du sendest deine Mappe selbst an einen Vermieter.
- Free-Account-Auto-Löschung nach 90 Tagen Inaktivität. Du kannst auch jederzeit selbst sofort löschen.
- 5 technische Dienstleister (Hoster, Datenbank, Zahlung, KI, E-Mail) — alle mit Auftragsverarbeitungsvertrag (AVV).
1. Verantwortlicher
Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Matthias Henkert
Birkenstraße 52c
16321 Bernau b. Berlin
Deutschland
E-Mail: datenschutz@mieter-mappe.de
Ein externer Datenschutzbeauftragter ist nach § 38 BDSG bei unserer Unternehmensgröße nicht erforderlich.
2. Was wir speichern — Übersicht und Speicherdauer
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Account-Daten (E-Mail, Name) | bis Account-Löschung | Art. 6 Abs. 1 lit. b DSGVO |
| Mieter-Profil (Beruf, Einkommen, Wohnsituation) | bis Löschung durch dich oder 90 Tage Inaktivität (Free) | Art. 6 Abs. 1 lit. b DSGVO |
| Hochgeladene Dokumente (Schufa, Gehalt, Ausweis …) | bis Löschung durch dich oder Account-Auflösung | Art. 6 Abs. 1 lit. b DSGVO |
| Generierte Bewerbungs-PDFs | bis Löschung durch dich oder Account-Auflösung | Art. 6 Abs. 1 lit. b DSGVO |
| Zahlungs-Stammdaten (Stripe-Customer-ID, Betrag, Datum) | 10 Jahre (steuerliche Aufbewahrungspflicht) | Art. 6 Abs. 1 lit. c DSGVO + § 147 AO |
| Server-Logs (IP, User-Agent, Zeitpunkt) | max. 7 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Audit-Log (sicherheits- & abrechnungsrelevante Vorgänge) | 90 Tage nach Vorgang, danach anonymisiert | Art. 6 Abs. 1 lit. f DSGVO |
| Versand-Metadaten Transaktions-Mails (Resend) | 30 Tage beim Anbieter | Art. 6 Abs. 1 lit. b DSGVO |
Auto-Löschung Free-Tier: Wird ein Free-Account 90 Tage nicht genutzt, löschen wir Account, Profil, Dokumente und PDFs automatisch und vollständig. 7 Tage vorher bekommst du eine Erinnerungs-Mail — eine erneute Anmeldung setzt den Zähler zurück.
Auto-Löschung unbestätigter Accounts: Wenn die E-Mail-Bestätigung nach Registrierung nicht innerhalb von 7 Tagen erfolgt, löschen wir den Account-Datensatz automatisch. Erinnerungs-Mails kommen nach 24 h und 72 h.
Zahlende Accounts (Starter / Profi): werden während der gebuchten Laufzeit (30 bzw. 90 Tage) und danach unbegrenzt aufbewahrt, bis du den Account aktiv löschst. Inaktivitäts-Auto-Löschung greift hier nicht.
3. Welche Daten wir warum verarbeiten
3.1 Beim Besuch der Website
Wenn du mieter-mappe.de aufrufst, erfasst unser Server technische Daten zur Bereitstellung der Website: IP-Adresse, Zeitpunkt des Zugriffs, aufgerufene URL, Browser-Typ, Betriebssystem, Referrer-URL.
Zweck: Bereitstellung der Website, Schutz vor Angriffen, Stabilität. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Speicherdauer: max. 7 Tage, danach automatische Löschung der Server-Logs. Wir erstellen aus diesen Daten weder Nutzungsprofile noch verknüpfen wir sie mit anderen Daten.
3.2 Bei der Registrierung
Für die Erstellung eines Accounts benötigen wir:
- E-Mail-Adresse (Pflicht) — zur Authentifizierung und Kommunikation.
- Passwort — wird gehasht (bcrypt) gespeichert, niemals im Klartext.
Die Registrierung ist über E-Mail + Passwort möglich. Wir bieten aktuell keine Anmeldung über Drittanbieter (Google, Apple, Facebook) an.
Vor dem ersten Login musst du deine E-Mail-Adresse mit einem 6-stelligen Bestätigungscode verifizieren, der dir per E-Mail zugeschickt wird. Unbestätigte Accounts werden nach 7 Tagen automatisch gelöscht.
Zweck: Vertragserfüllung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: bis zur Account-Löschung.
3.3 Beim Anlegen eines Mieter-Profils
Wenn du den Onboarding-Wizard ausfüllst, speichern wir die von dir eingegebenen Daten zur Bewerbungsmappe:
- Persönliche Daten: Voller Name, Geburtsdatum, Familienstand, Staatsangehörigkeit, Telefonnummer (alle optional außer Name).
- Wohnsituation: aktuelle Adresse, seit wann dort, ggf. Vermieter-Kontakt, Umzugsgrund.
- Beruf & Einkommen: Beruf, Arbeitgeber, Beschäftigt seit, Arbeitsverhältnis, Netto-Einkommen.
- Haushalt: Größe, Kinder, Haustiere, Co-Bewerber.
- Selbstauskunft: Angaben zu Insolvenz, Räumung oder Mietrückständen — nur falls du sie aktiv angibst.
Was wir bewusst nicht tun:
- Wir nehmen keine eigene Bonitätsprüfung vor.
- Wir greifen nicht auf dein Bankkonto zu (kein PSD2, keine Konto-Informationsdienste).
- Wir verbinden uns nicht mit Schufa, CRIF oder anderen Auskunfteien.
- Wir bewerten dich nicht algorithmisch (kein Scoring, keine Ampel, keine Black-Box).
Was du in dein Profil schreibst, bleibt bei dir und fließt nur in die Mappen, die du selbst erstellst und versendest.
Zweck: Vertragserfüllung (Erstellung der Bewerbungsmappe). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: bis Löschung durch dich oder Account-Auflösung.
3.4 Beim Hochladen von Dokumenten
Du kannst optional folgende Dokumente hochladen:
- Schufa-Bonitätsauskunft (selbst angefordert)
- Gehaltsabrechnungen
- Personalausweis (Vorder- / Rückseite)
- Arbeitsvertrag
- Mietzahlungsnachweise
- Mietschuldenfreiheitsbescheinigung
- Referenzen von Vor-Vermietern
- Foto
Diese Dokumente erhalten wir nur, wenn du sie aktiv hochlädst. Wir betten sie technisch in die PDF-Mappe ein, führen aber keine OCR/Textanalyse, keine inhaltliche Bewertung und keine Echtheitsprüfung durch. Sie werden nicht an Drittanbieter zur Analyse weitergegeben.
Speicherort: Supabase Storage in der EU (Frankfurt), verschlüsselt at-rest. Speicherdauer: bis Löschung durch dich oder Account-Auflösung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
3.5 Beim Erstellen einer Bewerbung
Wenn du eine konkrete Wohnungs-Bewerbung anlegst, speichern wir zusätzlich Wohnungs-Daten (Adresse, Größe, Miete, ggf. Vermieter-Kontakt), das Anschreiben, das gewählte Template, das generierte PDF und den Status der Bewerbung (Entwurf, gesendet, zugesagt, abgelehnt).
Zweck: Bewerbungs-Tracker, persistente Speicherung deiner Mappen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: wie Profil.
3.6 Bei den KI-Funktionen (Profi-Tarif)
Im Profi-Tarif bieten wir drei KI-gestützte Funktionen — den Anschreiben-Generator, die Mappe-Review und den Follow-up-Mail-Generator. Dafür übermitteln wir die jeweils benötigten Profil- und Bewerbungs-Daten an unseren KI-Dienstleister Anthropic PBC (USA).
Anthropic verarbeitet die Anfrage und gibt das generierte Ergebnis zurück. Gemäß Anthropic-Policy werden API-Eingaben nicht zum Training der Modelle verwendet. Wir nutzen die Standard-API von Anthropic ohne eigene Trainings-Erlaubnis.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Profi-Tarif gebucht). Drittlandtransfer: USA — Anthropic ist Mitglied im EU-US Data Privacy Framework (DPF). Zusätzlich bestehen Standardvertragsklauseln (SCC).
Was wir mit KI nicht tun: keine automatische Bewertung deiner Person, keine automatisierte Einzelentscheidung im Sinne von Art. 22 DSGVO, keine Profilbildung über mehrere Bewerbungen hinweg.
Du kannst die KI-Funktionen jederzeit nicht nutzen — sie werden nur ausgelöst, wenn du aktiv auf den jeweiligen Button klickst.
3.7 Bei der Zahlungsabwicklung
Für kostenpflichtige Tarife (Starter 9 €, Profi 19 €) verarbeiten wir Zahlungsdaten über Stripe Payments Europe Ltd. (Irland). Stripe erhält direkt von dir die Zahlungsmethode (Kreditkartendaten, SEPA-Daten, PayPal), die Rechnungsadresse und die Transaktionsdaten.
Bei uns speichern wir nur:
- Stripe-Customer-ID (zur Account-Zuordnung)
- Höhe, Datum und Status der Zahlung
- Gekaufter Tarif
- Niemals: Kreditkartennummern, CVV, Bankzugangsdaten — diese sind bei Stripe und werden uns nicht übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO + § 147 AO (steuerliche Aufbewahrungspflicht für Rechnungsdaten, 10 Jahre).
Hinweis: Preise verstehen sich gemäß § 19 UStG ohne Ausweis der Umsatzsteuer.
3.8 Beim E-Mail-Versand
Transaktions-E-Mails (Bestätigungs-Code, Zahlungsbestätigung, Ablauf-Erinnerung, Inaktivitäts-Warnung, Passwort-Reset, Bürgschafts-Einladung) versenden wir über Resend Inc. Resend erhält dazu deine E-Mail-Adresse und den jeweiligen Mail-Inhalt.
Wir versenden keine Newsletter und keine Marketing-Mails. Sollten wir in Zukunft Newsletter anbieten, geschieht das nur mit ausdrücklicher Einwilligung (Double-Opt-In).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Transaktions-Mails. Speicherdauer: Versand-Metadaten 30 Tage bei Resend, danach Löschung.
3.9 Bei Support-Anfragen
Wenn du uns an kontakt@mieter-mappe.de schreibst, verarbeiten wir die in der Mail enthaltenen Daten (E-Mail-Adresse, Name, Inhalt der Nachricht). Rechtsgrundlage: Art. 6 Abs. 1 lit. b oder lit. f DSGVO. Speicherdauer: bis zur abschließenden Bearbeitung, danach 6 Monate für Folge-Anfragen, dann Löschung.
4. Mit wem wir zusammenarbeiten (Auftragsverarbeiter)
Wir setzen folgende technische Dienstleister ein, mit denen jeweils ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO besteht oder geschlossen wird:
4.1 Supabase Inc. (USA, EU-Datenverarbeitung)
Funktion: Authentication, Datenbank-Hosting, Datei-Speicherung.
Server-Region: EU (Frankfurt, AWS eu-central-1).
Was verarbeitet wird: Account-Daten, Mieter-Profile, Dokumente, generierte PDFs, alle Datenbank-Inhalte.
Garantien: AVV abgeschlossen. EU-US Data Privacy Framework zertifiziert.
Datenschutz-Info: supabase.com/privacy
4.2 Hostinger International Ltd. (EU)
Funktion: Webhosting des Anwendungs-Servers und der Domain mieter-mappe.de.
Server-Region: EU.
Was verarbeitet wird: Server-Logs, technische Request-Daten.
Garantien: AVV gemäß Art. 28 DSGVO.
Datenschutz-Info: hostinger.de/datenschutzrichtlinie
4.3 Stripe Payments Europe Ltd. (Irland)
Funktion: Zahlungsabwicklung für Starter und Profi.
Server-Region: EU (Subverarbeitung in USA für globale Antifraud-Prüfung möglich, abgedeckt durch EU-US DPF).
Was verarbeitet wird: Zahlungsdaten, Rechnungsadresse, Transaktionsdaten.
Garantien: AVV abgeschlossen, EU-US DPF, PCI-DSS Level 1.
Datenschutz-Info: stripe.com/de/privacy
4.4 Anthropic PBC (USA) — nur Profi-Tarif
Funktion: KI-Textgenerierung für Anschreiben, Mappe-Review und Follow-up-Mails.
Server-Region: USA.
Was verarbeitet wird: Profil-Daten und Wohnungs-Daten, die für die jeweilige Generierung relevant sind.
Garantien: EU-US Data Privacy Framework. API-Eingaben werden laut Anthropic-Policy nicht zum Modell-Training verwendet.
Datenschutz-Info: anthropic.com/legal/privacy
4.5 Resend Inc. (USA)
Funktion: Versand transaktionaler E-Mails (Bestätigungs-Code, Zahlungsbestätigungen, Erinnerungs-Mails).
Server-Region: USA, Mail-Routing teilweise EU.
Was verarbeitet wird: Empfänger-E-Mail-Adresse, Mail-Inhalt, Versand-Metadaten.
Garantien: EU-US Data Privacy Framework zertifiziert.
Datenschutz-Info: resend.com/legal/privacy-policy
4.6 Was wir bewusst NICHT einsetzen
- Google Analytics, Google Tag Manager, Google Ads-Tracking
- Meta-Pixel, Facebook-Tracking, LinkedIn-Insight-Tag
- Session-Recording-Tools (Hotjar, Mouseflow, Fullstory)
- Heatmaps, Klick-Maps, Maus-Bewegungs-Erfassung
- Customer.io, Marketing-Automation, Cross-Site-Tracking
- Werbe-Cookies, Tracking-Cookies
- Konto-Informationsdienste (kein Banking-Login)
- Biometrische Identitätsprüfung
- Eigene Bonitätsprüfung mit Auskunfteien
5. Cookies und ähnliche Technologien
Mieter-Mappe nutzt ausschließlich technisch erforderliche Cookies (§ 25 Abs. 2 Nr. 2 TTDSG / TDDDG). Ein Consent-Banner ist daher nicht erforderlich.
| Cookie / Storage | Zweck | Dauer |
|---|---|---|
sb-<projekt>-auth-token | Authentifizierung (Login-Sitzung, Supabase) | bis zum Logout |
theme (localStorage) | Speichert deine Hell/Dunkel-Präferenz | bis du sie änderst / löschst |
mieter-mappe-wizard (localStorage) | Zwischenstand beim Profil-Anlegen-Wizard | bis Wizard abgeschlossen oder manuell gelöscht |
Auf der Stripe-Checkout-Seite (separate Domain) setzt Stripe eigene Cookies — diese liegen außerhalb unseres Einflussbereichs und sind in der Datenschutzerklärung von Stripe dokumentiert.
6. Reichweitenmessung (Umami)
Wir nutzen Umami Analytics zur anonymen Reichweitenmessung. Umami ist eine Open-Source-Analytics-Lösung, die wir selbst hosten auf umami.mieter-mappe.de (EU-Server). Es werden keine Cookies gesetzt und keine IP-Adressen gespeichert — IPs werden ausschließlich kurz zur Sitzungs-Differenzierung gehasht und anschließend verworfen. Der Hash-Salt wechselt täglich, so dass keine Wiedererkennung über Tage hinweg möglich ist.
Was wir messen: Seitenaufrufe pro URL, aggregierte Browser-, OS- und Geräte-Typ-Statistiken, aggregierte Länder-Statistik (nicht Stadt-genau), Referrer.
Was wir nicht messen: keine individuellen Nutzungsprofile, keine Maus-Bewegungen, keine Session-Replays, keine geräteübergreifende Wiedererkennung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an datensparsamer Reichweitenmessung). Du kannst der Messung widersprechen, indem du den Do-Not-Track-Header in deinem Browser aktivierst — Umami respektiert diesen Header.
7. Datensicherheit
- TLS-Verschlüsselung (HTTPS) für alle Datenübertragungen, Mindeststandard TLS 1.2.
- Verschlüsselung at-rest für gespeicherte Dokumente in Supabase Storage (AES-256).
- Gehashte Passwörter (bcrypt) — niemals im Klartext gespeichert.
- Row Level Security auf Datenbank-Ebene — User können ausschließlich eigene Daten lesen.
- Tägliche, verschlüsselte Backups über Supabase.
- Audit-Log für alle sicherheits- und abrechnungsrelevanten Vorgänge.
- Sicherheits-Updates werden zeitnah eingespielt; Abhängigkeiten regelmäßig auf CVEs geprüft.
- Begrenzte Zugriffe — Admin-Zugang nur für den Inhaber.
Sicherheitsvorfälle (z. B. fremder Zugriff auf deinen Account) bitte umgehend an security@mieter-mappe.de.
8. Deine Rechte
Du hast nach DSGVO umfassende Rechte. Für die meisten kannst du uns formlos an datenschutz@mieter-mappe.de schreiben — wir antworten binnen 30 Tagen, in der Regel deutlich schneller.
- Auskunft (Art. 15) — Was haben wir über dich gespeichert? Anfrage per E-Mail.
- Berichtigung (Art. 16) — Profil-Daten kannst du selbst im eingeloggten Bereich ändern.
- Löschung (Art. 17) — Account-Löschung per Self-Service unter Einstellungen → „Account löschen". Es werden sofort gelöscht: Profile, Dokumente, generierte PDFs. Aus gesetzlicher Aufbewahrungspflicht bleibt nur die Zahlungs-Stammdaten-Spur (10 Jahre, § 147 AO), pseudonymisiert.
- Einschränkung der Verarbeitung (Art. 18) — Anfrage per E-Mail.
- Datenübertragbarkeit (Art. 20) — auf Anfrage per E-Mail. Ein Self-Service-Export ist in Planung.
- Widerruf einer Einwilligung (Art. 7 Abs. 3) — falls du irgendwann eine Einwilligung erteilt hast (z. B. für Newsletter, sobald wir einen anbieten), jederzeit widerrufbar.
- Widerspruch (Art. 21) — gegen Verarbeitung auf Grundlage berechtigten Interesses, z. B. Reichweitenmessung. Per E-Mail.
- Beschwerderecht (Art. 77) — bei der zuständigen Aufsichtsbehörde. Für uns: Die Landesbeauftragte für den Datenschutz Brandenburg (Sitz Bernau b. Berlin). Liste aller deutschen Datenschutzbehörden: bfdi.bund.de/anschriften.
9. Was Mieter-Mappe bewusst NICHT tut
Im Sinne maximaler Transparenz hier nochmal explizit, was wir nicht tun — jede Aussage hier ist als Selbstverpflichtung zu verstehen:
Keine automatisierte Bewertung deiner Person
- Keine eigene Bonitätsprüfung.
- Kein Scoring, keine Ampel-Bewertung.
- Keine automatisierten Einzelentscheidungen im Sinne von Art. 22 DSGVO. Das von dir generierte PDF enthält genau die Daten, die du selbst eingegeben hast.
Keine Datenweitergabe zwischen Vermietern
- Wir sind keine Schufa, kein zentrales Mieter-Register.
- Erfahrungen, die ein Vermieter mit dir macht, werden nicht an andere Vermieter weitergegeben.
- Deine Mappe geht ausschließlich zu Vermietern, denen du sie aktiv schickst.
Kein Banking-Zugriff
- Wir verbinden uns niemals mit deinem Bankkonto.
- Wir nutzen keine PSD2- / Konto-Informationsdienste (finAPI, Tink, o. ä.).
- Die Schufa-Auskunft, die du hochlädst, hast du selbst bei der Schufa angefordert (kostenlos einmal jährlich nach Art. 15 DSGVO).
Kein Werbe-Tracking, kein Re-Marketing
- Keine personalisierte Werbung.
- Kein Tracking auf anderen Websites.
- Keine geräteübergreifende Wiedererkennung.
- Kein Lead- oder Datenverkauf.
10. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn:
- sich Funktionen ändern, die die Datenverarbeitung betreffen
- neue Auftragsverarbeiter hinzukommen oder wechseln
- Gesetzes-Änderungen das erforderlich machen
Bei wesentlichen Änderungen (z. B. neuer Drittanbieter, neue Datenkategorie, längere Speicherdauer) informieren wir dich aktiv per E-Mail mit mindestens 30 Tagen Vorlauf. Du kannst der Änderung widersprechen und das Nutzungsverhältnis beenden — wir löschen dann alle deine Daten.
Die jeweils aktuelle Version findest du immer unter mieter-mappe.de/datenschutz.
11. Kontakt
Bei allen Fragen zum Datenschutz:
E-Mail: datenschutz@mieter-mappe.de
Postanschrift: Matthias Henkert, Birkenstraße 52c, 16321 Bernau b. Berlin
Glossar
- DSGVO — Datenschutz-Grundverordnung der EU. Schützt deine personenbezogenen Daten.
- Auftragsverarbeiter — externer Dienstleister, der Daten in unserem Auftrag verarbeitet (z. B. Server-Hoster). Sie dürfen die Daten nur gemäß unserer Weisung nutzen, nicht eigenständig verwerten.
- Personenbezogene Daten — alle Daten, mit denen du identifiziert werden kannst (Name, E-Mail, Adresse, etc.).
- Verantwortlicher — die Stelle, die entscheidet, wie und warum Daten verarbeitet werden. Hier: wir.
- AVV (Auftragsverarbeitungsvertrag) — Vertrag zwischen uns und unseren Dienstleistern, regelt den Umgang mit deinen Daten.
- Pseudonymisierung — Daten werden so verändert, dass sie ohne Zusatzinformation nicht mehr einer Person zugeordnet werden können.
- SCC (Standard Contractual Clauses) — Standardvertragsklauseln der EU für Datenübermittlung in Nicht-EU-Länder, als Garantie nach Art. 46 DSGVO.
- DPF (EU-US Data Privacy Framework) — Angemessenheitsbeschluss der EU-Kommission, der den Datentransfer in DPF-zertifizierte US-Unternehmen erleichtert.