Datenschutzerklärung
1. Verantwortlicher
Strudel Immobilien GmbH
Hasenbergstraße 15, 70178 Stuttgart
Deutschland
E-Mail: privacy@onportalist.de
Geschäftsführer: Tobias Troendle
Ein betrieblicher Datenschutzbeauftragter ist nach § 38 BDSG nicht erforderlich. Für Datenschutzanliegen erreichen Sie uns unter privacy@onportalist.de.
2. Allgemeines zur Verarbeitung
Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG). Im Folgenden informieren wir über Art, Umfang und Zweck der Verarbeitung.
3. Hosting und Infrastruktur
Die Anwendung wird über Vercel Inc. (USA) bereitgestellt. Anwendungs- und Nutzerdaten werden in Supabase-Datenbanken (Supabase, Inc., USA) in der Region Frankfurt am Main (EU) gespeichert. Mit beiden Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Soweit eine Übermittlung in die USA stattfindet, stützen wir diese auf das EU-US Data Privacy Framework oder auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
4. Erhebung personenbezogener Daten im Rahmen der Nutzung
Bei der Registrierung, Portal-Erstellung und Nutzung verarbeiten wir folgende Daten:
- Stammdaten: Vor- und Nachname, E-Mail-Adresse, Unternehmensname, Telefonnummer (optional)
- Zugangsdaten: Passwort-Hash, OAuth-Token (Google/Microsoft bei SSO)
- Inhaltsdaten: Portale, Objekte, Kontakte, Dokumente, Vorlagen, die Sie erstellen oder hochladen
- Nutzungsdaten: Zugriffszeitpunkte, Browser-Typ, Gerätetyp, aufgerufene Funktionen
- Abrechnungsdaten: Rechnungsadresse, USt-IdNr. (optional), Zahlungsmittel-Referenz (über Stripe)
- Engagement-Daten Ihrer Endnutzer: aufgerufene Portal-Schritte, abgegebene Formulare, Dateidownloads
Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, Nutzung des SaaS-Dienstes) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und funktionsfähigen Dienst, Betrugs- und Missbrauchsprävention).
5. Cookies und vergleichbare Technologien (§ 25 TDDDG)
Wir setzen ausschließlich unbedingt erforderliche Cookies und vergleichbare Technologien ein, die dem Betrieb des Dienstes dienen (z. B. Session-Cookies zur Authentifizierung, CSRF-Schutz). Diese sind nach § 25 Abs. 2 TDDDG einwilligungsfrei, weil sie zur Erbringung des ausdrücklich vom Nutzer gewünschten Dienstes technisch erforderlich sind.
Sofern wir künftig optionale Analyse- oder Marketing-Cookies einsetzen, holen wir vorab Ihre Einwilligung über ein Cookie-Banner ein (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG).
6. Logfiles
Bei jedem Zugriff auf unsere Server werden technische Zugriffsdaten (IP-Adresse, User-Agent, Zeitpunkt, aufgerufene URL, Response-Code) kurzzeitig verarbeitet, um den Betrieb sicherzustellen und Angriffe abzuwehren. Die Speicherdauer beträgt maximal 30 Tage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
7. Zahlungsabwicklung
Die Zahlungsabwicklung erfolgt über Stripe Payments Europe Ltd. (Irland) und Stripe, Inc. (USA). Ihre Zahlungsdaten (Kartennummern, Bankdaten) werden direkt an Stripe übermittelt und nicht auf unseren Servern gespeichert. Stripe ist als Auftragsverarbeiter nach Art. 28 DSGVO eingebunden. Details: stripe.com/de/privacy.
8. E-Mail-Versand
Für transaktionale E-Mails (Authentifizierung, Magic Links, Benachrichtigungen, von Ihnen konfigurierte Portal-E-Mails) nutzen wir Resend (Resend, Inc., USA). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bzw. f DSGVO. Es besteht ein AVV nach Art. 28 DSGVO; Drittland-Transfer gestützt auf Standardvertragsklauseln.
9. KI-gestützte Funktionen
Wir nutzen Sprachmodelle der Anthropic, PBC (USA) für optionale KI-Funktionen (Text-Generierung, Smart-Notifications, Zusammenfassungen). Eingaben werden ausschließlich zur Erbringung der Funktion verarbeitet und nicht zum Training der Modelle verwendet (Enterprise-Zero-Retention-Vereinbarung). Drittland-Transfer gestützt auf Standardvertragsklauseln nach Art. 46 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Sie können KI-Funktionen in den Einstellungen deaktivieren.
10. CRM-Integrationen
Sofern Sie eine Integration mit externen CRM-Systemen aktivieren (z. B. Propstack), werden von Ihnen freigegebene Kontakt- und Objektdaten zwischen Portalist und dem jeweiligen CRM synchronisiert. Die Verarbeitung erfolgt auf Grundlage Ihres Vertrags mit dem CRM-Anbieter; Portalist tritt als Auftragsverarbeiter gegenüber Ihnen und als Verantwortlicher für den eigenen Synchronisationsbetrieb auf.
11. Auftragsverarbeiter und Subunternehmer
Wir setzen folgende Dienstleister als Auftragsverarbeiter nach Art. 28 DSGVO ein. Die aktuelle Liste ist jederzeit abrufbar und wird bei Änderungen vorab angekündigt.
| Anbieter | Zweck | Sitz / Datenstandort |
|---|---|---|
| Vercel Inc. | Hosting, Content Delivery | USA; EU-Edge |
| Supabase, Inc. | Datenbank, Auth, Storage | USA; Daten in Frankfurt (EU) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland / USA |
| Resend, Inc. | Transaktionale E-Mails | USA |
| Anthropic, PBC | KI-Textgenerierung | USA |
| Cloudflare, Inc. | DNS, DDoS-Schutz | USA; EU-Edge |
Mit allen genannten Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Drittland-Transfers erfolgen auf Grundlage von Angemessenheitsbeschlüssen (EU-US DPF) oder Standardvertragsklauseln (Art. 46 DSGVO).
12. Speicher- und Löschfristen
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Nach Beendigung des Vertragsverhältnisses werden Ihre Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. §§ 147 AO, 257 HGB – bis zu 10 Jahre für Rechnungsunterlagen) entgegenstehen. Für die Zeit der Aufbewahrung schränken wir die Verarbeitung ein.
13. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung einschließlich Profiling nach Art. 22 DSGVO findet nicht statt.
14. Ihre Rechte
Sie haben das Recht auf:
- Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Zur Ausübung Ihrer Rechte wenden Sie sich an privacy@onportalist.de. Sie haben zudem das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO).
15. Zuständige Aufsichtsbehörde
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
Telefon: +49 711 615541-0
E-Mail: poststelle@lfdi.bwl.de
16. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich rechtliche Rahmenbedingungen oder unsere Leistungen ändern. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.
Stand: April 2026