Datenschutzerklärung

Stand: 18. Mai 2026

Geltungsbereich: mieter-mappe.de und alle Subdomains.

Kurzfassung — das Wichtigste in 30 Sekunden

  • Wir sammeln so wenig wie möglich — nur, was wir wirklich brauchen.
  • Alle Server stehen in der EU (Supabase: Frankfurt).
  • Kein Tracking. Keine Google Analytics, keine Werbe-Cookies, keine Session-Recordings.
  • Keine Weitergabe an Dritte. Außer du sendest deine Mappe selbst an einen Vermieter.
  • Free-Account-Auto-Löschung nach 90 Tagen Inaktivität. Du kannst auch jederzeit selbst sofort löschen.
  • 5 technische Dienstleister (Hoster, Datenbank, Zahlung, KI, E-Mail) — alle mit Auftragsverarbeitungsvertrag (AVV).

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Matthias Henkert
Birkenstraße 52c
16321 Bernau b. Berlin
Deutschland

E-Mail: datenschutz@mieter-mappe.de

Web: https://mieter-mappe.de

Ein externer Datenschutzbeauftragter ist nach § 38 BDSG bei unserer Unternehmensgröße nicht erforderlich.

2. Was wir speichern — Übersicht und Speicherdauer

DatenkategorieSpeicherdauerRechtsgrundlage
Account-Daten (E-Mail, Name)bis Account-LöschungArt. 6 Abs. 1 lit. b DSGVO
Mieter-Profil (Beruf, Einkommen, Wohnsituation)bis Löschung durch dich oder 90 Tage Inaktivität (Free)Art. 6 Abs. 1 lit. b DSGVO
Hochgeladene Dokumente (Schufa, Gehalt, Ausweis …)bis Löschung durch dich oder Account-AuflösungArt. 6 Abs. 1 lit. b DSGVO
Generierte Bewerbungs-PDFsbis Löschung durch dich oder Account-AuflösungArt. 6 Abs. 1 lit. b DSGVO
Zahlungs-Stammdaten (Stripe-Customer-ID, Betrag, Datum)10 Jahre (steuerliche Aufbewahrungspflicht)Art. 6 Abs. 1 lit. c DSGVO + § 147 AO
Server-Logs (IP, User-Agent, Zeitpunkt)max. 7 TageArt. 6 Abs. 1 lit. f DSGVO
Audit-Log (sicherheits- & abrechnungsrelevante Vorgänge)90 Tage nach Vorgang, danach anonymisiertArt. 6 Abs. 1 lit. f DSGVO
Versand-Metadaten Transaktions-Mails (Resend)30 Tage beim AnbieterArt. 6 Abs. 1 lit. b DSGVO

Auto-Löschung Free-Tier: Wird ein Free-Account 90 Tage nicht genutzt, löschen wir Account, Profil, Dokumente und PDFs automatisch und vollständig. 7 Tage vorher bekommst du eine Erinnerungs-Mail — eine erneute Anmeldung setzt den Zähler zurück.

Auto-Löschung unbestätigter Accounts: Wenn die E-Mail-Bestätigung nach Registrierung nicht innerhalb von 7 Tagen erfolgt, löschen wir den Account-Datensatz automatisch. Erinnerungs-Mails kommen nach 24 h und 72 h.

Zahlende Accounts (Starter / Profi): werden während der gebuchten Laufzeit (30 bzw. 90 Tage) und danach unbegrenzt aufbewahrt, bis du den Account aktiv löschst. Inaktivitäts-Auto-Löschung greift hier nicht.

3. Welche Daten wir warum verarbeiten

3.1 Beim Besuch der Website

Wenn du mieter-mappe.de aufrufst, erfasst unser Server technische Daten zur Bereitstellung der Website: IP-Adresse, Zeitpunkt des Zugriffs, aufgerufene URL, Browser-Typ, Betriebssystem, Referrer-URL.

Zweck: Bereitstellung der Website, Schutz vor Angriffen, Stabilität. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Speicherdauer: max. 7 Tage, danach automatische Löschung der Server-Logs. Wir erstellen aus diesen Daten weder Nutzungsprofile noch verknüpfen wir sie mit anderen Daten.

3.2 Bei der Registrierung

Für die Erstellung eines Accounts benötigen wir:

  • E-Mail-Adresse (Pflicht) — zur Authentifizierung und Kommunikation.
  • Passwort — wird gehasht (bcrypt) gespeichert, niemals im Klartext.

Die Registrierung ist über E-Mail + Passwort möglich. Wir bieten aktuell keine Anmeldung über Drittanbieter (Google, Apple, Facebook) an.

Vor dem ersten Login musst du deine E-Mail-Adresse mit einem 6-stelligen Bestätigungscode verifizieren, der dir per E-Mail zugeschickt wird. Unbestätigte Accounts werden nach 7 Tagen automatisch gelöscht.

Zweck: Vertragserfüllung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: bis zur Account-Löschung.

3.3 Beim Anlegen eines Mieter-Profils

Wenn du den Onboarding-Wizard ausfüllst, speichern wir die von dir eingegebenen Daten zur Bewerbungsmappe:

  • Persönliche Daten: Voller Name, Geburtsdatum, Familienstand, Staatsangehörigkeit, Telefonnummer (alle optional außer Name).
  • Wohnsituation: aktuelle Adresse, seit wann dort, ggf. Vermieter-Kontakt, Umzugsgrund.
  • Beruf & Einkommen: Beruf, Arbeitgeber, Beschäftigt seit, Arbeitsverhältnis, Netto-Einkommen.
  • Haushalt: Größe, Kinder, Haustiere, Co-Bewerber.
  • Selbstauskunft: Angaben zu Insolvenz, Räumung oder Mietrückständen — nur falls du sie aktiv angibst.

Was wir bewusst nicht tun:

  • Wir nehmen keine eigene Bonitätsprüfung vor.
  • Wir greifen nicht auf dein Bankkonto zu (kein PSD2, keine Konto-Informationsdienste).
  • Wir verbinden uns nicht mit Schufa, CRIF oder anderen Auskunfteien.
  • Wir bewerten dich nicht algorithmisch (kein Scoring, keine Ampel, keine Black-Box).

Was du in dein Profil schreibst, bleibt bei dir und fließt nur in die Mappen, die du selbst erstellst und versendest.

Zweck: Vertragserfüllung (Erstellung der Bewerbungsmappe). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: bis Löschung durch dich oder Account-Auflösung.

3.4 Beim Hochladen von Dokumenten

Du kannst optional folgende Dokumente hochladen:

  • Schufa-Bonitätsauskunft (selbst angefordert)
  • Gehaltsabrechnungen
  • Personalausweis (Vorder- / Rückseite)
  • Arbeitsvertrag
  • Mietzahlungsnachweise
  • Mietschuldenfreiheitsbescheinigung
  • Referenzen von Vor-Vermietern
  • Foto

Diese Dokumente erhalten wir nur, wenn du sie aktiv hochlädst. Wir betten sie technisch in die PDF-Mappe ein, führen aber keine OCR/Textanalyse, keine inhaltliche Bewertung und keine Echtheitsprüfung durch. Sie werden nicht an Drittanbieter zur Analyse weitergegeben.

Speicherort: Supabase Storage in der EU (Frankfurt), verschlüsselt at-rest. Speicherdauer: bis Löschung durch dich oder Account-Auflösung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.5 Beim Erstellen einer Bewerbung

Wenn du eine konkrete Wohnungs-Bewerbung anlegst, speichern wir zusätzlich Wohnungs-Daten (Adresse, Größe, Miete, ggf. Vermieter-Kontakt), das Anschreiben, das gewählte Template, das generierte PDF und den Status der Bewerbung (Entwurf, gesendet, zugesagt, abgelehnt).

Zweck: Bewerbungs-Tracker, persistente Speicherung deiner Mappen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: wie Profil.

3.6 Bei den KI-Funktionen (Profi-Tarif)

Im Profi-Tarif bieten wir drei KI-gestützte Funktionen — den Anschreiben-Generator, die Mappe-Review und den Follow-up-Mail-Generator. Dafür übermitteln wir die jeweils benötigten Profil- und Bewerbungs-Daten an unseren KI-Dienstleister Anthropic PBC (USA).

Anthropic verarbeitet die Anfrage und gibt das generierte Ergebnis zurück. Gemäß Anthropic-Policy werden API-Eingaben nicht zum Training der Modelle verwendet. Wir nutzen die Standard-API von Anthropic ohne eigene Trainings-Erlaubnis.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Profi-Tarif gebucht). Drittlandtransfer: USA — Anthropic ist Mitglied im EU-US Data Privacy Framework (DPF). Zusätzlich bestehen Standardvertragsklauseln (SCC).

Was wir mit KI nicht tun: keine automatische Bewertung deiner Person, keine automatisierte Einzelentscheidung im Sinne von Art. 22 DSGVO, keine Profilbildung über mehrere Bewerbungen hinweg.

Du kannst die KI-Funktionen jederzeit nicht nutzen — sie werden nur ausgelöst, wenn du aktiv auf den jeweiligen Button klickst.

3.7 Bei der Zahlungsabwicklung

Für kostenpflichtige Tarife (Starter 9 €, Profi 19 €) verarbeiten wir Zahlungsdaten über Stripe Payments Europe Ltd. (Irland). Stripe erhält direkt von dir die Zahlungsmethode (Kreditkartendaten, SEPA-Daten, PayPal), die Rechnungsadresse und die Transaktionsdaten.

Bei uns speichern wir nur:

  • Stripe-Customer-ID (zur Account-Zuordnung)
  • Höhe, Datum und Status der Zahlung
  • Gekaufter Tarif
  • Niemals: Kreditkartennummern, CVV, Bankzugangsdaten — diese sind bei Stripe und werden uns nicht übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO + § 147 AO (steuerliche Aufbewahrungspflicht für Rechnungsdaten, 10 Jahre).

Hinweis: Preise verstehen sich gemäß § 19 UStG ohne Ausweis der Umsatzsteuer.

3.8 Beim E-Mail-Versand

Transaktions-E-Mails (Bestätigungs-Code, Zahlungsbestätigung, Ablauf-Erinnerung, Inaktivitäts-Warnung, Passwort-Reset, Bürgschafts-Einladung) versenden wir über Resend Inc. Resend erhält dazu deine E-Mail-Adresse und den jeweiligen Mail-Inhalt.

Wir versenden keine Newsletter und keine Marketing-Mails. Sollten wir in Zukunft Newsletter anbieten, geschieht das nur mit ausdrücklicher Einwilligung (Double-Opt-In).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Transaktions-Mails. Speicherdauer: Versand-Metadaten 30 Tage bei Resend, danach Löschung.

3.9 Bei Support-Anfragen

Wenn du uns an kontakt@mieter-mappe.de schreibst, verarbeiten wir die in der Mail enthaltenen Daten (E-Mail-Adresse, Name, Inhalt der Nachricht). Rechtsgrundlage: Art. 6 Abs. 1 lit. b oder lit. f DSGVO. Speicherdauer: bis zur abschließenden Bearbeitung, danach 6 Monate für Folge-Anfragen, dann Löschung.

4. Mit wem wir zusammenarbeiten (Auftragsverarbeiter)

Wir setzen folgende technische Dienstleister ein, mit denen jeweils ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO besteht oder geschlossen wird:

4.1 Supabase Inc. (USA, EU-Datenverarbeitung)

Funktion: Authentication, Datenbank-Hosting, Datei-Speicherung.
Server-Region: EU (Frankfurt, AWS eu-central-1).
Was verarbeitet wird: Account-Daten, Mieter-Profile, Dokumente, generierte PDFs, alle Datenbank-Inhalte.
Garantien: AVV abgeschlossen. EU-US Data Privacy Framework zertifiziert.
Datenschutz-Info: supabase.com/privacy

4.2 Hostinger International Ltd. (EU)

Funktion: Webhosting des Anwendungs-Servers und der Domain mieter-mappe.de.
Server-Region: EU.
Was verarbeitet wird: Server-Logs, technische Request-Daten.
Garantien: AVV gemäß Art. 28 DSGVO.
Datenschutz-Info: hostinger.de/datenschutzrichtlinie

4.3 Stripe Payments Europe Ltd. (Irland)

Funktion: Zahlungsabwicklung für Starter und Profi.
Server-Region: EU (Subverarbeitung in USA für globale Antifraud-Prüfung möglich, abgedeckt durch EU-US DPF).
Was verarbeitet wird: Zahlungsdaten, Rechnungsadresse, Transaktionsdaten.
Garantien: AVV abgeschlossen, EU-US DPF, PCI-DSS Level 1.
Datenschutz-Info: stripe.com/de/privacy

4.4 Anthropic PBC (USA) — nur Profi-Tarif

Funktion: KI-Textgenerierung für Anschreiben, Mappe-Review und Follow-up-Mails.
Server-Region: USA.
Was verarbeitet wird: Profil-Daten und Wohnungs-Daten, die für die jeweilige Generierung relevant sind.
Garantien: EU-US Data Privacy Framework. API-Eingaben werden laut Anthropic-Policy nicht zum Modell-Training verwendet.
Datenschutz-Info: anthropic.com/legal/privacy

4.5 Resend Inc. (USA)

Funktion: Versand transaktionaler E-Mails (Bestätigungs-Code, Zahlungsbestätigungen, Erinnerungs-Mails).
Server-Region: USA, Mail-Routing teilweise EU.
Was verarbeitet wird: Empfänger-E-Mail-Adresse, Mail-Inhalt, Versand-Metadaten.
Garantien: EU-US Data Privacy Framework zertifiziert.
Datenschutz-Info: resend.com/legal/privacy-policy

4.6 Was wir bewusst NICHT einsetzen

  • Google Analytics, Google Tag Manager, Google Ads-Tracking
  • Meta-Pixel, Facebook-Tracking, LinkedIn-Insight-Tag
  • Session-Recording-Tools (Hotjar, Mouseflow, Fullstory)
  • Heatmaps, Klick-Maps, Maus-Bewegungs-Erfassung
  • Customer.io, Marketing-Automation, Cross-Site-Tracking
  • Werbe-Cookies, Tracking-Cookies
  • Konto-Informationsdienste (kein Banking-Login)
  • Biometrische Identitätsprüfung
  • Eigene Bonitätsprüfung mit Auskunfteien

5. Cookies und ähnliche Technologien

Mieter-Mappe nutzt ausschließlich technisch erforderliche Cookies (§ 25 Abs. 2 Nr. 2 TTDSG / TDDDG). Ein Consent-Banner ist daher nicht erforderlich.

Cookie / StorageZweckDauer
sb-<projekt>-auth-tokenAuthentifizierung (Login-Sitzung, Supabase)bis zum Logout
theme (localStorage)Speichert deine Hell/Dunkel-Präferenzbis du sie änderst / löschst
mieter-mappe-wizard (localStorage)Zwischenstand beim Profil-Anlegen-Wizardbis Wizard abgeschlossen oder manuell gelöscht

Auf der Stripe-Checkout-Seite (separate Domain) setzt Stripe eigene Cookies — diese liegen außerhalb unseres Einflussbereichs und sind in der Datenschutzerklärung von Stripe dokumentiert.

6. Reichweitenmessung (Umami)

Wir nutzen Umami Analytics zur anonymen Reichweitenmessung. Umami ist eine Open-Source-Analytics-Lösung, die wir selbst hosten auf umami.mieter-mappe.de (EU-Server). Es werden keine Cookies gesetzt und keine IP-Adressen gespeichert — IPs werden ausschließlich kurz zur Sitzungs-Differenzierung gehasht und anschließend verworfen. Der Hash-Salt wechselt täglich, so dass keine Wiedererkennung über Tage hinweg möglich ist.

Was wir messen: Seitenaufrufe pro URL, aggregierte Browser-, OS- und Geräte-Typ-Statistiken, aggregierte Länder-Statistik (nicht Stadt-genau), Referrer.

Was wir nicht messen: keine individuellen Nutzungsprofile, keine Maus-Bewegungen, keine Session-Replays, keine geräteübergreifende Wiedererkennung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an datensparsamer Reichweitenmessung). Du kannst der Messung widersprechen, indem du den Do-Not-Track-Header in deinem Browser aktivierst — Umami respektiert diesen Header.

7. Datensicherheit

  • TLS-Verschlüsselung (HTTPS) für alle Datenübertragungen, Mindeststandard TLS 1.2.
  • Verschlüsselung at-rest für gespeicherte Dokumente in Supabase Storage (AES-256).
  • Gehashte Passwörter (bcrypt) — niemals im Klartext gespeichert.
  • Row Level Security auf Datenbank-Ebene — User können ausschließlich eigene Daten lesen.
  • Tägliche, verschlüsselte Backups über Supabase.
  • Audit-Log für alle sicherheits- und abrechnungsrelevanten Vorgänge.
  • Sicherheits-Updates werden zeitnah eingespielt; Abhängigkeiten regelmäßig auf CVEs geprüft.
  • Begrenzte Zugriffe — Admin-Zugang nur für den Inhaber.

Sicherheitsvorfälle (z. B. fremder Zugriff auf deinen Account) bitte umgehend an security@mieter-mappe.de.

8. Deine Rechte

Du hast nach DSGVO umfassende Rechte. Für die meisten kannst du uns formlos an datenschutz@mieter-mappe.de schreiben — wir antworten binnen 30 Tagen, in der Regel deutlich schneller.

  • Auskunft (Art. 15) — Was haben wir über dich gespeichert? Anfrage per E-Mail.
  • Berichtigung (Art. 16) — Profil-Daten kannst du selbst im eingeloggten Bereich ändern.
  • Löschung (Art. 17) — Account-Löschung per Self-Service unter Einstellungen → „Account löschen". Es werden sofort gelöscht: Profile, Dokumente, generierte PDFs. Aus gesetzlicher Aufbewahrungspflicht bleibt nur die Zahlungs-Stammdaten-Spur (10 Jahre, § 147 AO), pseudonymisiert.
  • Einschränkung der Verarbeitung (Art. 18) — Anfrage per E-Mail.
  • Datenübertragbarkeit (Art. 20) — auf Anfrage per E-Mail. Ein Self-Service-Export ist in Planung.
  • Widerruf einer Einwilligung (Art. 7 Abs. 3) — falls du irgendwann eine Einwilligung erteilt hast (z. B. für Newsletter, sobald wir einen anbieten), jederzeit widerrufbar.
  • Widerspruch (Art. 21) — gegen Verarbeitung auf Grundlage berechtigten Interesses, z. B. Reichweitenmessung. Per E-Mail.
  • Beschwerderecht (Art. 77) — bei der zuständigen Aufsichtsbehörde. Für uns: Die Landesbeauftragte für den Datenschutz Brandenburg (Sitz Bernau b. Berlin). Liste aller deutschen Datenschutzbehörden: bfdi.bund.de/anschriften.

9. Was Mieter-Mappe bewusst NICHT tut

Im Sinne maximaler Transparenz hier nochmal explizit, was wir nicht tun — jede Aussage hier ist als Selbstverpflichtung zu verstehen:

Keine automatisierte Bewertung deiner Person

  • Keine eigene Bonitätsprüfung.
  • Kein Scoring, keine Ampel-Bewertung.
  • Keine automatisierten Einzelentscheidungen im Sinne von Art. 22 DSGVO. Das von dir generierte PDF enthält genau die Daten, die du selbst eingegeben hast.

Keine Datenweitergabe zwischen Vermietern

  • Wir sind keine Schufa, kein zentrales Mieter-Register.
  • Erfahrungen, die ein Vermieter mit dir macht, werden nicht an andere Vermieter weitergegeben.
  • Deine Mappe geht ausschließlich zu Vermietern, denen du sie aktiv schickst.

Kein Banking-Zugriff

  • Wir verbinden uns niemals mit deinem Bankkonto.
  • Wir nutzen keine PSD2- / Konto-Informationsdienste (finAPI, Tink, o. ä.).
  • Die Schufa-Auskunft, die du hochlädst, hast du selbst bei der Schufa angefordert (kostenlos einmal jährlich nach Art. 15 DSGVO).

Kein Werbe-Tracking, kein Re-Marketing

  • Keine personalisierte Werbung.
  • Kein Tracking auf anderen Websites.
  • Keine geräteübergreifende Wiedererkennung.
  • Kein Lead- oder Datenverkauf.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn:

  • sich Funktionen ändern, die die Datenverarbeitung betreffen
  • neue Auftragsverarbeiter hinzukommen oder wechseln
  • Gesetzes-Änderungen das erforderlich machen

Bei wesentlichen Änderungen (z. B. neuer Drittanbieter, neue Datenkategorie, längere Speicherdauer) informieren wir dich aktiv per E-Mail mit mindestens 30 Tagen Vorlauf. Du kannst der Änderung widersprechen und das Nutzungsverhältnis beenden — wir löschen dann alle deine Daten.

Die jeweils aktuelle Version findest du immer unter mieter-mappe.de/datenschutz.

11. Kontakt

Bei allen Fragen zum Datenschutz:

E-Mail: datenschutz@mieter-mappe.de
Postanschrift: Matthias Henkert, Birkenstraße 52c, 16321 Bernau b. Berlin

Glossar

  • DSGVO — Datenschutz-Grundverordnung der EU. Schützt deine personenbezogenen Daten.
  • Auftragsverarbeiter — externer Dienstleister, der Daten in unserem Auftrag verarbeitet (z. B. Server-Hoster). Sie dürfen die Daten nur gemäß unserer Weisung nutzen, nicht eigenständig verwerten.
  • Personenbezogene Daten — alle Daten, mit denen du identifiziert werden kannst (Name, E-Mail, Adresse, etc.).
  • Verantwortlicher — die Stelle, die entscheidet, wie und warum Daten verarbeitet werden. Hier: wir.
  • AVV (Auftragsverarbeitungsvertrag) — Vertrag zwischen uns und unseren Dienstleistern, regelt den Umgang mit deinen Daten.
  • Pseudonymisierung — Daten werden so verändert, dass sie ohne Zusatzinformation nicht mehr einer Person zugeordnet werden können.
  • SCC (Standard Contractual Clauses) — Standardvertragsklauseln der EU für Datenübermittlung in Nicht-EU-Länder, als Garantie nach Art. 46 DSGVO.
  • DPF (EU-US Data Privacy Framework) — Angemessenheitsbeschluss der EU-Kommission, der den Datentransfer in DPF-zertifizierte US-Unternehmen erleichtert.