Datenschutzerklärung der estateco.ai
Stand: Januar 2026
1. Verantwortlicher und Kontakt
1.1 Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Tuari AI UG (haftungsbeschränkt)
Niedermerzer Str. 18
52457 Aldenhoven
Deutschland
E-Mail: estateco@tuariai.com
1.2 Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist derzeit nicht bestellt, sofern keine gesetzliche Pflicht hierzu besteht.
Für Fragen zum Datenschutz erreichen Sie uns unter:
E-Mail: datenschutz@tuariai.com
2. Grundlegendes
2.1 Datenschutz bei estateco.ai
Der Schutz Ihrer personenbezogenen Daten hat für uns höchste Priorität. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, BDSG) sowie – für Cookies/Tracking-Technologien – nach den Vorgaben des TTDSG.
2.2 Was wir nicht tun
- Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte.
- Wir nutzen Ihre Daten nicht für Werbezwecke Dritter.
- Wir verwenden Inhalte aus der Nutzung der Plattform nicht zum Training eigener KI-Modelle.
- Soweit wir KI-Dienstleister per API einsetzen, erfolgt die Übermittlung zur Vertragserfüllung; eine Nutzung übermittelter API-Daten zum Training von KI-Modellen erfolgt nicht, sofern dies nach den Bedingungen/Verträgen des jeweiligen Anbieters ausgeschlossen ist oder nicht aktiviert wurde (z. B. kein Opt-in).
3. Datenverarbeitung im Überblick
3.1 Hosting und Infrastruktur
| Dienst | Anbieter | Standort | Zweck |
|---|---|---|---|
| Datenbank | Supabase | Frankfurt, Deutschland (AWS eu-central-1) | Speicherung aller Anwendungsdaten |
| Hosting | Vercel | EU | Bereitstellung der Webanwendung |
| Dateispeicher | Supabase Storage | Frankfurt, Deutschland | Speicherung von Dokumenten und Bildern |
3.2 Drittanbieter (Empfänger)
| Dienst | Anbieter | Zweck | Datenschutz-Link |
|---|---|---|---|
| Zahlungen | Stripe | Zahlungsabwicklung | stripe.com/privacy |
| Bankanbindung | banksapi | Transaktionsabruf | banksapi.io/privacy |
| KI-Verarbeitung (Text/Dokumente) | OpenAI | AI Assistant, Dokumentenanalyse | openai.com/privacy |
| KI-Bildgenerierung (Inferenz/Hosting) | Replicate | Ausführung von Bildmodellen | replicate.com/privacy |
| Modellanbieter (KI-Bild) | Modell(e) wie „Nano Banana Pro“ (über Replicate) | – | |
| E-Mail Versand (transaktional) | Resend | Versand von System-E-Mails | resend.com/privacy |
4. Welche Daten wir erheben
4.1 Registrierung und Kontodaten
Bei der Registrierung erheben wir:
- E-Mail-Adresse (Pflicht)
- Name (Pflicht)
- Passwort (verschlüsselt/gehasht gespeichert)
- Organisationsname (optional, bei Erstellung)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
4.2 Abrechnungs- und Zahlungsdaten
Für die Abrechnung verarbeiten wir:
- Rechnungsadresse
- Zahlungsstatus/Transaktionsdaten (Zahlungsdetails werden bei Stripe verarbeitet)
- Rechnungs- und Belegdaten
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten)
4.3 Nutzungsdaten (Anwendungsdaten)
Im Rahmen der Nutzung speichern wir (je nach Nutzung):
- Immobilien- und Einheitendaten
- Mieterdaten (Name, Kontakt, Vertragsdaten)
- Finanzdaten (Mieten, Transaktionen, Belege)
- Dokumente (Verträge, Rechnungen, Fotos)
- Chat-Verläufe mit dem AI Assistant
- KI-Outputs (z. B. generierte Texte/Bilder), soweit diese in der Plattform gespeichert werden
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
4.4 Technische Daten / Logdaten
Bei jedem Zugriff können technisch bedingt verarbeitet werden:
- IP-Adresse (ggf. gekürzt)
- Browsertyp und -version, Betriebssystem
- Datum und Uhrzeit des Zugriffs
- Referrer-URL
- Sicherheits- und Fehlerprotokolle (Logs)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit, Stabilität, Missbrauchsprävention)
5. Besondere Verarbeitungen
5.1 AI Assistant und KI-Funktionen (OpenAI)
Was passiert:
- Ihre Anfragen an den AI Assistant sowie ggf. notwendige Inhalte/Auszüge werden zur Verarbeitung an die OpenAI API übermittelt.
- Die Antworten werden in der App angezeigt und können – abhängig von der Funktion – im Chatverlauf gespeichert werden.
- Der Chatverlauf kann (sofern die Funktion angeboten wird) vom Nutzer gelöscht werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
5.2 KI-Bildgenerierung (Replicate / Modellanbieter z. B. Google)
Was passiert:
- Bei der KI-Bildgenerierung werden Bilddaten und erforderliche Parameter/Prompts an Replicate übermittelt, um das jeweilige Modell auszuführen (z. B. „Nano Banana Pro“).
- Die Verarbeitung erfolgt zur Erbringung der von Ihnen angeforderten Funktion.
Hinweis zu personenbezogenen Daten in Bildern:
Bilder können personenbezogene Daten enthalten (z. B. Personen, Kennzeichen, Hausnummern). Sie sind dafür verantwortlich, nur rechtmäßig zu verarbeiten und erforderliche Rechtsgrundlagen/Einwilligungen einzuholen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
5.3 Bankanbindung (banksapi)
Was passiert:
- Die Bankanbindung erfolgt über banksapi.
- Ihre Bankzugangsdaten werden ausschließlich an banksapi übermittelt.
- Wir erhalten nur Lesezugriff auf Transaktionsdaten.
- Wir speichern keine Bankzugangsdaten.
Welche Daten wir erhalten:
- Kontoinhaber
- IBAN/BIC
- Transaktionsdaten (Datum, Betrag, Empfänger/Absender, Verwendungszweck)
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) – Sie erteilen die Einwilligung aktiv beim Verbinden Ihres Bankkontos.
5.4 Dokumentenanalyse
Was passiert:
- Hochgeladene Dokumente können optional per KI analysiert werden.
- Die Analyse extrahiert Daten wie Beträge, Datumsangaben, Namen.
- Dokumente werden gespeichert (Frankfurt, Deutschland).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
5.5 Zahlungsabwicklung (Stripe)
Was passiert:
- Zahlungen werden über Stripe abgewickelt.
- Zahlungsdetails (z. B. Karten-/Kontodaten) werden ausschließlich bei Stripe verarbeitet.
- Wir erhalten nur eine Transaktions-ID und Zahlungsbestätigung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
5.6 E-Mail Versand (Resend)
Was passiert:
- Für den Versand transaktionaler E-Mails (z. B. Registrierung, Bestätigung, Passwort-Reset, Systemhinweise, Rechnungs-/Zahlungsbenachrichtigungen) nutzen wir Resend.
- Dabei werden insbesondere E-Mail-Adresse sowie Inhalte der System-E-Mails verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb und Kommunikation)
5.7 Produktanalyse und -verbesserung
Zur Verbesserung unserer Plattform können wir Nutzungsdaten auswerten, insbesondere:
- Feature-Nutzung, Klickpfade, Interaktionsdaten
- Ladezeiten, Performance-Metriken
- Fehlerprotokolle und Crash-Reports
- A/B-Testing- und Experimentdaten
Soweit für bestimmte Technologien eine Einwilligung erforderlich ist (z. B. nicht notwendige Cookies/vergleichbare Technologien), setzen wir diese nur nach Einwilligung ein.
Rechtsgrundlage:
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung und Sicherheit)
- Art. 6 Abs. 1 lit. a DSGVO i. V. m. TTDSG, soweit einwilligungspflichtig
Widerspruch/Opt-out:
Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen (Art. 21 DSGVO). Soweit technisch bereitgestellt, können Sie Einstellungen zur Analyse in Ihrem Konto unter „Einstellungen → Datenschutz“ vornehmen.
6. Speicherdauer
6.1 Grundsatz
Wir speichern Ihre Daten nur so lange, wie es für die Erfüllung des Vertragszwecks erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.
6.2 Konkrete Speicherfristen
| Datenart | Speicherdauer | Grund |
|---|---|---|
| Kontodaten | Während der Vertragslaufzeit | Vertragserfüllung |
| Anwendungsdaten | Während der Vertragslaufzeit | Vertragserfüllung |
| Rechnungen | 10 Jahre | Gesetzliche Aufbewahrungspflicht (§ 147 AO) |
| Chat-Verläufe | Bis zur Löschung durch Nutzer / während der Vertragslaufzeit | Vertragserfüllung |
| Technische Logs | i. d. R. 30 Tage | Sicherheit und Fehlerbehebung |
6.3 Nach Vertragsende
Nach Vertragsende werden Ihre Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
6.4 Backups
Backups werden turnusgemäß überschrieben. Dadurch kann sich eine endgültige Löschung technisch verzögern; dies betrifft ausschließlich Sicherungskopien.
7. Ihre Rechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde
Kontakt für Datenschutzanfragen:
E-Mail: datenschutz@tuariai.com
8. Datensicherheit und Sicherheitsvorfälle
8.1 Technische Maßnahmen
- Verschlüsselung bei Übertragung (TLS)
- Zugriffskontrollen und Rollen-/Rechtesysteme
- Monitoring und Protokollierung sicherheitsrelevanter Ereignisse
- Regelmäßige Backups
8.2 Organisatorische Maßnahmen
- Beschränkter Mitarbeiterzugriff (Need-to-know)
- Vertraulichkeitsverpflichtungen
- Regelmäßige Sicherheitsüberprüfungen
8.3 Umgang mit Sicherheitsvorfällen (Data Breach)
Bei Sicherheitsvorfällen ergreifen wir unverzüglich Maßnahmen zur Eindämmung und Analyse. Sofern gesetzlich erforderlich, melden wir Vorfälle an Aufsichtsbehörden (Art. 33 DSGVO) und informieren betroffene Personen (Art. 34 DSGVO). Bei Vorfällen bei Unterauftragnehmern koordinieren wir die Aufklärung und informieren im gesetzlich erforderlichen Umfang.
9. Cookies und Tracking
9.1 Notwendige Cookies
Wir verwenden technisch notwendige Cookies für:
- Authentifizierung und Session-Management
- Speicherung von Benutzereinstellungen
- Sicherheitsfunktionen
Diese Cookies sind für den Betrieb der Plattform erforderlich und können nicht deaktiviert werden.
9.2 Optionale Cookies/Technologien
Nicht notwendige Cookies und vergleichbare Technologien setzen wir nur nach Einwilligung, soweit dies gesetzlich erforderlich ist. Sie können Ihre Einwilligung jederzeit in den Einstellungen ändern.
10. Datenübermittlung in Drittländer
Soweit Diensteanbieter Daten außerhalb der EU/des EWR verarbeiten, erfolgt dies – soweit erforderlich – auf Grundlage geeigneter Garantien (z. B. EU-Standardvertragsklauseln) oder anderer zulässiger Mechanismen.
- OpenAI: Verarbeitung kann außerhalb der EU erfolgen (je nach Konfiguration).
- Stripe: Verarbeitung kann außerhalb der EU erfolgen.
- Replicate: Verarbeitung kann außerhalb der EU erfolgen.
- Resend: Verarbeitung kann außerhalb der EU erfolgen.
11. Verarbeitung von Mieterdaten
11.1 Sie als Verantwortlicher
Wenn Sie als Vermieter/Verwalter Daten Ihrer Mieter in estateco.ai speichern, sind Sie datenschutzrechtlich Verantwortlicher für diese Daten. Wir verarbeiten diese Daten in Ihrem Auftrag.
11.2 Auftragsverarbeitung
Für die Verarbeitung von Mieterdaten schließen wir mit Ihnen einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.
11.3 Ihre Pflichten
Als Verantwortlicher sind Sie verpflichtet:
- Ihre Mieter über die Datenverarbeitung zu informieren
- Erforderliche Einwilligungen einzuholen
- Auskunftsersuchen Ihrer Mieter zu bearbeiten
12. Auftragsverarbeitung (AVV) – Kurzbeschreibung
12.1 Gegenstand und Dauer
Wir verarbeiten personenbezogene Daten in Ihrem Auftrag im Rahmen der Bereitstellung der estateco.ai Plattform. Die Dauer entspricht der Vertragslaufzeit.
12.2 Art und Zweck der Verarbeitung
- Speicherung und Verwaltung von Immobilien-, Mieter- und Finanzdaten
- Bereitstellung der Plattformfunktionen
- Technischer Support
12.3 Kategorien betroffener Personen
- Mieter des Kunden
- Kontaktpersonen und Dienstleister
- Mitarbeiter des Kunden (bei Team-Nutzung)
12.4 Kategorien personenbezogener Daten
- Stammdaten (Name, Adresse, Kontaktdaten)
- Vertragsdaten (Mietverträge, Zahlungsinformationen)
- Kommunikationsdaten
- Finanzdaten
- Dokumente
12.5 Unterauftragnehmer
Folgende Unterauftragnehmer können eingesetzt werden:
| Unterauftragnehmer | Leistung | Standort |
|---|---|---|
| Supabase Inc. | Datenbankhosting | Frankfurt, DE |
| Vercel Inc. | Webhosting | EU |
| OpenAI | KI-Verarbeitung (Text/Dokumente) | ggf. USA/weitere |
| Replicate | KI-Bildgenerierung (Inferenz/Hosting) | ggf. USA/weitere |
| Stripe | Zahlungsabwicklung | USA/EU |
| banksapi | Bankanbindung | München, DE |
| Resend | E-Mail Versand | ggf. USA/weitere |
12.6 Ihre Weisungsrechte
Sie können uns jederzeit Weisungen zur Verarbeitung erteilen. Weisungen bedürfen der Textform.
12.7 Löschung und Rückgabe
Nach Vertragsende werden Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Ein Datenexport ist nur während der aktiven Vertragslaufzeit möglich.
13. Aggregierte/Anonymisierte Auswertungen
Wir können Daten in aggregierter, anonymisierter und/oder statistischer Form auswerten, um:
- die Plattform zu verbessern (z. B. Produktoptimierung, Fehleranalyse), und/oder
- Marktkennzahlen/Statistiken zu erstellen und zu veröffentlichen oder Dritten bereitzustellen (auch entgeltlich),
sofern diese Auswertungen keine Rückschlüsse auf einzelne Personen, Nutzer, Mieter, konkrete Objekte oder konkrete Vertrags-/Zahlungsdaten zulassen und keine personenbezogenen Daten (mehr) enthalten.
Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen (Art. 21 DSGVO).
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version ist stets auf unserer Website abrufbar. Bei wesentlichen Änderungen informieren wir Sie per E-Mail.
15. Kontakt
Bei Fragen zum Datenschutz erreichen Sie uns unter:
E-Mail: datenschutz@tuariai.com
Post: Tuari AI UG (haftungsbeschränkt), Niedermerzer Str. 18, 52457 Aldenhoven, Deutschland
Letzte Aktualisierung: Januar 2026