qm 2 .io

Datenschutzerklärung

Stand: 4.7.2026

Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten beim Besuch unserer Marketing-Website (qm².io) sowie bei Nutzung unserer SaaS-Anwendung unter app.qm2.io. Sie gilt zusätzlich zu einem etwaigen mit Ihnen geschlossenen Auftragsverarbeitungsvertrag (AVV).

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und sonstiger nationaler Datenschutzgesetze ist:

Daniel Kreusch
Einzelunternehmen webblick
Im Sionstal 29, 50678 Köln
Deutschland
E-Mail: [email protected]

2. Datenschutzbeauftragter

Da wir als Einzelunternehmer derzeit weniger als 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen und keine Verarbeitungen mit hohem Risiko durchführen, sind wir nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet (§ 38 Abs. 1 BDSG). Bei Fragen zum Datenschutz wenden Sie sich an die oben genannte Kontaktadresse.

3. Verarbeitung beim Besuch der Marketing-Website

Beim rein informatorischen Besuch von qm².io werden technisch notwendige Daten verarbeitet, die Ihr Browser automatisch übermittelt:

  • IP-Adresse (anonymisiert nach 24 Stunden)
  • Datum und Uhrzeit der Anfrage
  • Aufgerufene URL und HTTP-Statuscode
  • User-Agent / Browser-Kennung
  • Referrer (vorher besuchte URL, sofern vorhanden)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: stabiler Betrieb und Sicherheit der Website (Angriffserkennung).

Speicherdauer: Server-Logs werden nach 7 Tagen automatisch gelöscht, sofern kein Sicherheitsvorfall die Aufbewahrung erfordert.

4. Cookies und ähnliche Technologien

Wir verwenden auf der Marketing-Website keine Tracking-, Analyse- oder Marketing-Cookies. Es kommen ausschließlich technisch notwendige Cookies zum Einsatz (z. B. zur Speicherung der Theme-Auswahl Hell/Dunkel). Eine Einwilligung nach § 25 Abs. 1 TTDSG ist hierfür nicht erforderlich, da diese Cookies unbedingt erforderlich sind, um den vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen (§ 25 Abs. 2 Nr. 2 TTDSG).

Innerhalb der SaaS-Anwendung verwenden wir zusätzlich Session-Cookies zur Authentifizierung (httpOnly, Secure, SameSite=Lax). Diese sind ebenfalls technisch notwendig.

5. Kontaktformular und Demo-Anfrage

Bei Nutzung unseres Kontakt- oder Demo-Anfrage-Formulars verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, optional Telefonnummer / Firma / Wunschtermin, sowie Ihre Nachricht) zum Zweck der Bearbeitung Ihrer Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage).

Speicherdauer: Wir löschen Ihre Daten, sobald die Anfrage bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen, spätestens jedoch 24 Monate nach letzter Kommunikation.

6. Registrierung und Nutzung der SaaS-Anwendung

Bei Registrierung in der App verarbeiten wir Ihre Stammdaten (E-Mail, Name, Passwort-Hash). Während der Nutzung verarbeiten wir alle von Ihnen eingegebenen Daten — insbesondere:

  • Immobilien-, Einheiten- und Mietvertragsdaten
  • Mieter-Stammdaten (Name, Anschrift, Bank, ggf. Geburtsdatum)
  • Buchungen, Belege und Finanzdaten
  • Tickets, Bewerbungen, Kommunikation mit Mietern
  • Hochgeladene Dateien (PDFs, Fotos, Verträge)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Soweit Sie als Vermieter Daten Dritter (Ihrer Mieter, Bewerber, Lieferanten) in unsere Anwendung einpflegen, sind Sie der Verantwortliche im Sinne der DSGVO. Wir verarbeiten diese Daten in Ihrem Auftrag (Auftragsverarbeitung gem. Art. 28 DSGVO). Auf Anfrage schließen wir mit Ihnen einen Auftragsverarbeitungsvertrag.

Speicherdauer: Solange Ihr Konto aktiv ist. Nach Vertragsende löschen wir Ihre Daten innerhalb von 30 Tagen, soweit keine gesetzlichen Aufbewahrungsfristen (z. B. § 147 AO, § 257 HGB) entgegenstehen.

7. Eingesetzte Auftragsverarbeiter

Zur Erbringung unserer Leistung nutzen wir die folgenden Dienstleister. Mit allen unten genannten Anbietern wurden — soweit erforderlich — Auftragsverarbeitungsverträge nach Art. 28 DSGVO abgeschlossen.

Anbieter Zweck Sitz / Region
netcup GmbH Server-Hosting (vServer); Datenbank- und Anwendungsbetrieb Deutschland (Karlsruhe / Nürnberg)
Cloudflare, Inc. DNS-Auflösung, CDN, DDoS-Schutz, TLS-Terminierung USA / EU-Datacenter (Standardvertragsklauseln + DPF)
Amazon Web Services EMEA SARL (AWS) Datei-Speicher (S3) für hochgeladene Belege/Dokumente; E-Mail-Versand (SES) für Verifizierungs- und Benachrichtigungs-Mails Frankfurt / Luxemburg (Region eu-central-1)
MongoDB Limited (Atlas) Verwaltete Datenbank — Speicherung der Anwendungsdaten Frankfurt (EU-Region)
Stripe Payments Europe Ltd. Zahlungsabwicklung von Subscriptions, Rechnungs-Erstellung, Customer-Portal Irland (Stripe-eigene Datenschutzerklärung gilt zusätzlich)
OpenAI Ireland Ltd. Optional — KI-Belegerkennung. Hochgeladene Belege werden über die OpenAI-API ausgewertet, um Lieferant, Betrag, Datum und Kategorie zu extrahieren. Inhalte werden laut Anbieter nicht zum Modell-Training verwendet (OpenAI Enterprise-API-Zusicherung). Sie können die KI-Funktion in Ihrem Account jederzeit komplett deaktivieren. Irland

Drittlandtransfer: Bei Cloudflare und OpenAI kann es zu Übermittlungen in die USA kommen. Diese erfolgen auf Grundlage der EU-US Data Privacy Framework (DPF) sowie der Standardvertragsklauseln (SCC) der EU-Kommission. Eine aktuelle Liste aller Subprocessors stellen wir Ihnen auf Anfrage bereit.

8. Datenverarbeitung von Mietern, Bewerbern, Lieferanten

Wenn Sie als Vermieter qm².io nutzen, geben Sie ggf. Daten Dritter ein (Mieter, Bewerber, Lieferanten, Mitarbeiter). Sie sind in diesem Fall selbst der datenschutzrechtlich Verantwortliche und tragen die Pflicht, die Betroffenen entsprechend zu informieren (Art. 13/14 DSGVO) sowie eine Rechtsgrundlage für die Verarbeitung sicherzustellen.

Wir handeln in diesen Fällen ausschließlich als Auftragsverarbeiter in Ihrem Auftrag und gemäß Ihren Weisungen. Bewerbungs-Daten abgelehnter Bewerber werden nach 90 Tagen automatisch gelöscht.

9. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen (TOM):

  • TLS 1.2+ Transportverschlüsselung auf allen Verbindungen
  • AES-256-Verschlüsselung gespeicherter Daten (at rest) bei AWS S3 und MongoDB Atlas
  • Passwörter mit bcrypt gehasht (Cost-Factor ≥ 12)
  • Session-Cookies httpOnly, Secure, SameSite=Lax
  • Tägliche, georedundante Datenbank-Backups
  • Granulare Rollen- und Rechtesteuerung pro Nutzerkonto
  • Audit-Logs für sicherheitskritische Aktionen
  • Regelmäßige Security-Updates der Server-Komponenten

10. Ihre Rechte

Sie haben uns gegenüber folgende Rechte:

  • Auskunft über Ihre verarbeiteten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten („Recht auf Vergessenwerden", Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit in einem strukturierten Format (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung dieser Rechte schreiben Sie uns formlos unter [email protected]. Datenexport und Komplett-Löschung können Sie zusätzlich direkt in der App durchführen.

11. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Zuständig ist insbesondere die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts oder die für unseren Sitz zuständige Behörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2–4, 40213 Düsseldorf
www.ldi.nrw.de

12. Bereitstellungspflicht

Die Bereitstellung Ihrer Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne die Bereitstellung der notwendigen Daten ist eine Vertragserfüllung jedoch nicht möglich (z. B. ohne E-Mail keine Registrierung, ohne Zahlungsdaten kein kostenpflichtiges Abo).

13. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO (einschließlich Profiling) findet bei uns nicht statt. Die KI-Belegerkennung ist kein Profiling, sondern ein technisches Hilfsmittel zur Datenextraktion aus Belegen.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder Änderungen unserer Leistungen umsetzt. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Fassung. Bei wesentlichen Änderungen informieren wir registrierte Kunden vorab per E-Mail.