FLATHUNTER24

Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

edge24 Benjamin Riemer
Lübener Weg 24f
13407 Berlin
Telefon: +49 156 7869 2957
E-Mail: [email protected]

2. Welche Daten wir erheben und warum

2.1 Registrierung und Authentifizierung (Firebase Auth)

Die Authentifizierung erfolgt über Firebase Authentication (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Dabei werden deine E-Mail-Adresse sowie eine interne Firebase-Benutzer-ID (UID) verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.2 Nutzerprofil und Suchkonfigurationen

Zur Erbringung des Dienstes speichern wir in unserer Datenbank:

  • E-Mail-Adresse und Firebase UID,
  • gewählter Tarif (Free, Premium, Hunter) und Abonnementstatus,
  • Suchprofile (Ort, Preis, Zimmerzahl, bevorzugte Portale, Pendelziel),
  • Einstellungen für Benachrichtigungskanäle (E-Mail, Telegram, Discord),
  • Push-Subscription-Objekt für Browser-Push-Benachrichtigungen,
  • Freiwillige Profilangaben für KI-Bewerbungsschreiben: Vorname, Nachname, Telefonnummer, aktuelle Adresse, Geburtsdatum, Nationalität, Beschäftigungsstatus, Arbeitgeber, Beruf, Netto-Monatseinkommen, Haushaltsgröße, Kinder (ja/nein), Haustiere (ja/nein, Details), SCHUFA-Verfügbarkeit, Umzugsgrund.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.3 KI-Bewerbungsschreiben

Nutzer der Pläne Premium und Hunter können KI-gestützte Bewerbungsschreiben generieren lassen. Dazu werden deine Profilangaben (Name, Beschäftigung, persönliche Angaben) sowie Daten des jeweiligen Inserats an unser selbst gehostetes KI-System (Ollama) auf unseren eigenen Servern in der EU übermittelt. Es findet keine Übertragung an externe Drittanbieter statt. Die Verarbeitung erfolgt auf der Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO. Generierte Schreiben werden in unserem System gespeichert, bis du sie löschst oder dein Konto löschst.

2.4 Zahlungsabwicklung (Stripe)

Kostenpflichtige Tarife werden über Stripe (Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA) abgewickelt. Stripe erhebt und verarbeitet Zahlungsdaten eigenverantwortlich als separater Verantwortlicher. Wir erhalten von Stripe lediglich eine Kunden-ID und den Abonnementstatus — Kreditkartennummern sehen wir nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.5 E-Mail-Benachrichtigungen (Resend)

Zum Versand von E-Mail-Benachrichtigungen nutzen wir Resend (Resend, Inc.). Dabei wird deine E-Mail-Adresse an Resend übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.6 Kontaktanfragen an Immobilien-Anbieter

Wenn du über unseren Bot eine Kontaktanfrage an einen Immobilien-Anbieter sendest (z. B. auf ImmoScout24), werden deine Nachricht und dein Name an den jeweiligen Anbieter übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung auf deine Anfrage hin).

2.7 Benachrichtigungen (Telegram, Discord, Web Push)

Du kannst optional Benachrichtigungskanäle einrichten:

  • Telegram: Deine Telegram-Chat-ID wird gespeichert und Benachrichtigungen werden über die Telegram Bot API gesendet. Die Verarbeitung erfolgt durch Telegram (Telegram FZ-LLC, Dubai).
  • Discord: Deine Discord-Webhook-URL wird gespeichert und Benachrichtigungen werden über die Discord Webhook API gesendet. Die Verarbeitung erfolgt durch Discord (Discord Inc., USA; EU-Standardvertragsklauseln).
  • Web Push: Bei Aktivierung wird ein Push-Subscription-Objekt (Endpunkt-URL, Schlüssel) in deinem Profil gespeichert. Push-Benachrichtigungen werden über das standardisierte Web Push Protocol (VAPID) zugestellt. Das Subscription-Objekt wird bei Deaktivierung gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — du aktivierst die Kanäle selbst).

2.8 Server-Logs

Beim Aufruf unserer Website werden durch den Hosting-Anbieter DigitalOcean (DigitalOcean, LLC, 101 Avenue of the Americas, 10th Floor, New York, NY 10013, USA) automatisch Server-Logfiles erhoben. Diese enthalten IP-Adresse, Browser-Typ, aufgerufene URL, Datum und Uhrzeit sowie HTTP-Statuscode. Die Logs werden nach spätestens 30 Tagen gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Fehlerbehebung).

3. Cookies und Tracking

3.1 Technisch notwendige Cookies

Wir setzen ein verschlüsseltes Session-Cookie (flatbot-session) ein, das die Authentifizierungsinformationen speichert. Dieses Cookie ist für den Betrieb des eingeloggten Bereichs zwingend erforderlich. Ohne dieses Cookie funktioniert der Login nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.2 Google Analytics 4 (GA4)

Wir verwenden Google Analytics 4 (Google Ireland Limited) zur Analyse der Website-Nutzung. GA4 kann Nutzungsdaten an Google-Server in die USA übertragen. Deine IP-Adresse wird dabei anonymisiert. Die Datenübertragung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Rechtsgrundlage für die Analyse ist deine Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO, die du über unser Cookie-Banner erteilen kannst. Du kannst deine Einwilligung jederzeit über den Banner oder die Einstellungen widerrufen.

3.3 Fehlerdiagnose (Sentry)

Wir nutzen Sentry (Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA) zur Echtzeit-Fehlererkennung. Dabei werden ausschließlich technische Daten zum Fehlerkontext (z. B. Browsertyp, Betriebssystem, Fehler-Stacktrace) übertragen. Personenbezogene Daten (wie IP-Adressen) werden nicht erfasst (sendDefaultPii: false). Session-Replays sind deaktiviert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Stabilität und Fehlerbehebung).

3.4 Marketing & CRM (HubSpot)

Wenn du deine Einwilligung zum Erhalt von Marketing-E-Mails gegeben hast, nutzen wir HubSpot (HubSpot, Inc., 25 First Street, Cambridge, MA 02141, USA; EU-Rechenzentrum in Frankfurt) als CRM- und E-Mail-Marketing-Plattform. Dabei werden deine E-Mail-Adresse, Name und Plandetails übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst deine Einwilligung jederzeit in den Benachrichtigungseinstellungen widerrufen.

3.5 Stripe-Cookies

Auf Seiten mit Zahlungsfunktionen kann Stripe eigene Cookies setzen, die zur Betrugsprävention und Abwicklung von Zahlungen erforderlich sind. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

4. Weitergabe von Daten an Dritte

Deine Daten werden ausschließlich an Dienstleister weitergegeben, die zur Erbringung unseres Dienstes notwendig sind (Auftragsverarbeitung gem. Art. 28 DSGVO):

  • Google / Firebase — Authentifizierung, Analytics (USA; EU-U.S. Data Privacy Framework / EU-Standardvertragsklauseln)
  • DigitalOcean — Hosting und Datenbankbetrieb (USA; EU-Standardvertragsklauseln)
  • Stripe — Zahlungsabwicklung (USA; EU-U.S. Data Privacy Framework)
  • Resend — E-Mail-Versand (USA; EU-Standardvertragsklauseln)
  • Sentry — Fehlerdiagnose (USA; EU-Standardvertragsklauseln)
  • Ollama (selbst gehostet) — KI-Bewerbungsschreiben (nur bei aktiver Nutzung der Funktion; Verarbeitung auf unseren eigenen EU-Servern, keine Datenübertragung an Dritte)
  • HubSpot — Marketing-E-Mails und CRM (EU-Rechenzentrum Frankfurt; nur bei erteilter Marketing-Einwilligung)
  • Immobilien-Anbieter — Wenn du eine Kontaktanfrage über unseren Bot sendest, werden deine Nachricht und dein Name an den jeweiligen Anbieter übermittelt.

Eine Weitergabe an sonstige Dritte findet nicht statt.

5. Wo werden deine Daten gespeichert?

Deine Daten werden primär auf Servern innerhalb der EU gehostet. Da Anbieter wie Google, Stripe, Sentry und Resend US-Unternehmen sind, können Daten in die USA übertragen werden. Alle diese Partner sind nach dem EU-U.S. Data Privacy Framework zertifiziert oder nutzen EU-Standardvertragsklauseln, um deine Daten zu schützen.

6. Speicherdauer

Wir speichern deine Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

  • Nutzerkontodaten: bis zur Löschung des Kontos
  • Suchprofile und Inserate: bis zur Löschung durch den Nutzer oder Konto-Löschung
  • Bewerbungsschreiben: bis zur manuellen Löschung oder Konto-Löschung
  • Server-Logs: maximal 30 Tage
  • Duplikat-Cache (Redis): 30 Tage (technische Deduplizierung von Inseraten)
  • Marketing-Bestätigungstoken (Redis): 72 Stunden
  • Zahlungsdaten (Stripe): gemäß steuerrechtlichen Aufbewahrungspflichten (10 Jahre)

7. Deine Rechte als betroffene Person

Du hast gegenüber uns folgende Rechte hinsichtlich deiner personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Du kannst Auskunft über die von uns gespeicherten Daten verlangen.
  • Berichtigung (Art. 16 DSGVO): Du hast das Recht, unrichtige Daten berichtigen zu lassen.
  • Löschung (Art. 17 DSGVO): Du kannst dein Konto und alle zugehörigen Daten direkt in den Einstellungen löschen. Die Löschung erfolgt sofort und unwiderruflich.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Du kannst unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Du kannst deine Daten in den Einstellungen als maschinenlesbare JSON-Datei herunterladen.
  • Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen (z. B. für Analytics oder Marketing) kannst du jederzeit über die Cookie-Einstellungen im Footer oder in den Benachrichtigungseinstellungen mit Wirkung für die Zukunft widerrufen.

Widerspruchsrecht (Art. 21 DSGVO)

Du hast das Recht, jederzeit gegen die Verarbeitung deiner personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen. Dies betrifft insbesondere die Verarbeitung von Server-Logs und die Fehlerdiagnose via Sentry. Legst du Widerspruch ein, werden wir deine Daten nicht mehr zu diesen Zwecken verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.

Zur Ausübung deiner Rechte wende dich an: [email protected]

Du hast außerdem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde für Berlin ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59–61
10555 Berlin
www.datenschutz-berlin.de

8. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt. Die KI-Bewerbungsschreiben-Funktion erstellt lediglich Textvorschläge auf Basis deiner freiwilligen Angaben — es werden keine Entscheidungen getroffen, die rechtliche Wirkung entfalten oder dich in ähnlicher Weise erheblich beeinträchtigen.

9. Datensicherheit (Art. 32 DSGVO)

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um deine Daten gegen unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung oder unbefugten Zugriff zu schützen. Dazu gehören insbesondere:

  • Verschlüsselte Datenübertragung via HTTPS/TLS
  • Verschlüsselte Session-Cookies (iron-session, AES-256-GCM)
  • Datenbankzugriff ausschließlich über authentifizierte API-Token
  • Hosting auf Servern mit physischer und logischer Zugangskontrolle (DigitalOcean, EU-Region)
  • Regelmäßige Sicherheitsupdates und Dependency-Audits

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslage oder Änderungen des Dienstes anzupassen. Die jeweils aktuelle Version ist auf dieser Seite abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.

Stand: März 2026