BWB Immobilien Logo
HomeÜbersichtFinanzierung

Datenschutzerklärung

Stand: 22.3.2026

📋 Zusammenfassung (TL;DR)

• Wir nutzen Clerk für sichere Authentifizierung (USA, EU-SCCs)
• Ihre Finanzdaten werden niemals ohne Einwilligung weitergegeben
• Hosting: Vercel (USA), DB: AWS Frankfurt (EU), Storage: Cloudflare R2 EU
• Security-Store: Redis-basiertes Rate Limiting + Webhook-Replay-Schutz(Upstash Frankfurt bei Aktivierung)
TLS 1.3 Verschlüsselung für alle Daten
• Account-Löschung: 30-Tage-Frist
• Keine Tracking-Cookies, nur technische Session-Cookies

Verantwortlich für die Datenverarbeitung gemäß Art. 4 Nr. 7 DSGVO:

BWB Immobilien
[Firmenname/Inhaber]
[Straße und Hausnummer]
[PLZ und Ort]

E-Mail: kontakt@bwb-immobilien.de
Telefon: [Telefonnummer]

Datenschutzbeauftragter: [Falls erforderlich ab 20 Mitarbeitern]

Der Schutz Ihrer personenbezogenen Daten ist uns ein besonderes Anliegen. Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung im Rahmen unserer Immobilien-Finanzierungsplattform.

SSL/TLS-Verschlüsselung:Diese Plattform nutzt TLS 1.3 für alle Datenübertragungen. Erkennbar am Schloss-Symbol in der Browserzeile und "https://".

3.1 Authentifizierung (Clerk)

Provider: Clerk Inc. (USA), Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Daten: E-Mail, Name (opt.), Profilbild (opt.), IP, Login-Zeitpunkt, OAuth-Provider (Google/LinkedIn)
Zweck: Login, Passwort-Reset, Session-Management
Drittlandtransfer: EU-Standardvertragsklauseln + EU-US DPF
Clerk Datenschutz

3.2 Finanzdaten

Immobiliendaten: Kaufpreis, Adresse (Google Places API), Wohnfläche, Baujahr
Finanzdaten: Eigenkapital, Einkommen, Mieteinnahmen
Berechnungen: Cashflow, Rendite, AfA, Amortisation
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.3 Rollen-System (RBAC)

USER (Standard), PRO (erweitert), ADMIN (Verwaltung)
Gespeichert in: Clerk User Metadata
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Systemsicherheit)

3.4 Technische Daten

IP-Adresse (temporär, max. 60s für Security-Store-basiertes Rate Limiting)
Webhook-Event-IDs (z. B. Svix-ID, temporär für Replay-Schutz)
Browser-Typ, OS, Zugriffszeitpunkte, Referrer-URL

4.1 Hosting (Vercel)

Standort: USA (CDN weltweit)
AVV: Ja, EU-Standardvertragsklauseln
Vercel Privacy

4.2 Datenbank (AWS RDS Frankfurt)

PostgreSQL in EU-Region Frankfurt (eu-central-1)
AVV: Ja (AWS EMEA SARL, Luxemburg)

4.3 Storage (Cloudflare R2)

Zweck: Property-Images, Profilbilder
Standort: Europäische Rechenzentren
AVV: Ja
Cloudflare Privacy

4.4 Security Store (Upstash Redis)

Aktiv bei gesetzter Redis-Konfiguration (optional, empfohlen für Produktion)
Standort: Frankfurt (EU) (bei Upstash-Aktivierung)
Daten: IP-Adressen (temporär, max. 60s Sliding Window) + Webhook-Event-IDs
Zweck: DDoS-Schutz, Brute-Force-Prävention, Replay-Schutz für Webhooks
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit)
Upstash DPA

4.5 Google Places API

Zweck: Adresssuche (Autocomplete)
Daten: Eingaben (keine dauerhafte Speicherung)
Google Privacy

4.6 E-Mail-Versand (SMTP)

NUR für Kontaktformular (nicht für Passwort-Reset!)
Daten: Name, E-Mail, Telefon, Nachricht
⚠️ Passwort-Reset erfolgt durch Clerk (siehe 3.1)

4.7 TanStack Query (Client-Side Cache)

Speicherort: Lokaler Browser (kein Upload)
Dauer: Max. 5 Min., gelöscht nach Logout
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Performance)

• Art. 6 Abs. 1 lit. a: Einwilligung (Profilbilder)
• Art. 6 Abs. 1 lit. b: Vertragserfüllung (Finanzrechner)
• Art. 6 Abs. 1 lit. c: Rechtliche Verpflichtung (Aufbewahrung)
• Art. 6 Abs. 1 lit. f: Berechtigte Interessen (IT-Sicherheit, Performance)

Nur technisch notwendige Cookies:

__session (Clerk): HttpOnly, Secure, SameSite=Lax, Max. 7 Tage
__client_uat (Clerk): Client-Update-Timestamp

Keine Tracking-Cookies, keine Analyse-Tools.

Verschlüsselung: TLS 1.3 (alle Übertragungen)
Datenbank: PostgreSQL SSL (AWS RDS)
Zugriffskontrolle: RBAC + Optional 2FA (Clerk)
Input-Validierung: Zod-Schemas (Anti-Injection)
Security-Store: Redis-basiertes Rate Limiting + Webhook-Replay-Schutz

Speicherdauer: Bis Account-Löschung + 30 Tage

Nur bei:

• Ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a)
• Gesetzlicher Verpflichtung (behördliche Anordnung)
• Auftragsverarbeiter (Clerk, Vercel, AWS, Cloudflare, optional Upstash)

⛔ Keine kommerzielle Weitergabe an Banken/Makler!

• Art. 15: Auskunftsrecht
• Art. 16: Berichtigung
• Art. 17: Löschung ("Recht auf Vergessenwerden")
• Art. 18: Einschränkung
• Art. 20: Datenübertragbarkeit (JSON-Export)
• Art. 21: Widerspruch
• Art. 77: Beschwerderecht (BfDI)

Kontakt: datenschutz@bwb-immobilien.de
Antwortfrist: 30 Tage (Art. 12 Abs. 3 DSGVO)

Vertraulichkeit: Höchste Sicherheitsstandards für Finanzdaten

Keine automatische Weitergabe: Nur mit ausdrücklicher Einwilligung

Datensparsamkeit: Nur technisch erforderliche Daten

E-Mail: datenschutz@bwb-immobilien.de
Postanschrift: Siehe Punkt 1
Antwortfrist: 30 Tage

Aktueller Stand: Januar 2026
Aktuelle Fassung stets unter: bwb-immobilien.de/datenschutz

← Zurück zur Startseite