Datenschutzerklärung

1. Überblick & Verantwortlicher

Diese Datenschutzerklärung gilt für die App „Mieterschutz" (Android-App und Web-App), betrieben von:

devMonkeys GmbH
Obergasse 16, 63694 Limeshain
hello@devmonkeys.de
+49 1512 0178537

Hinweis zu den Rechtsgrundlagen: Nicht jede Verarbeitung in der App stützt sich auf dieselbe Rechtsgrundlage. Soweit Daten zur Bereitstellung des Nutzerkontos, zur Speicherung eigener Inhalte oder zur Ausführung gebuchter Premium-Funktionen verarbeitet werden, erfolgt dies regelmäßig auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Soweit Daten zur Abwehr von Missbrauch, zur Sicherung der Integrität von Nachweisen oder zur Verarbeitung personenbezogener Daten Dritter innerhalb mietrechtlicher Dokumentationen erforderlich sind, kann die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Soweit Google im Rahmen des Google-Sign-In eigenverantwortlich Daten auf Grundlage des OAuth-Consent-Screens verarbeitet, richtet sich dies nach der Einwilligung gegenüber Google.

Mindestalter: Die App richtet sich an natürliche Personen ab 16 Jahren. Personen unter 16 Jahren dürfen die App nicht nutzen (Art. 8 DSGVO i. V. m. § 2 Abs. 1 TTDSG).

2. Welche Daten wir erheben

2.1 Registrierung & Anmeldung

2.2 Zählerstandserfassung

GPS-Standort ist optional. Die App fragt die Standortberechtigung über den Browser bzw. das Betriebssystem ab. Bei Ablehnung wird kein Standort erfasst; die App funktioniert weiterhin vollständig.

Serverseitige Integritätsprüfung: Unmittelbar nach dem Hochladen eines Fotos berechnet eine serverseitige Cloud Function einen SHA-256-Hash (kryptografischen Fingerabdruck) der Bilddatei. Dieser Hash wird in den Metadaten der Datei sowie im zugehörigen Firestore-Dokument gespeichert und kann nachträglich weder vom Nutzer noch von Dritten verändert werden (Schreibschutz durch Security Rules). Der Hash dient als Nachweis, dass das hochgeladene Foto seit dem Upload-Zeitpunkt nicht manipuliert wurde.

2.3 Vorfälle dokumentieren

Hinweis zu Zeugendaten: Nutzer können Namen und Kontaktdaten von Zeugen eingeben. Hierbei handelt es sich um personenbezogene Daten Dritter. Die Verarbeitung erfolgt auf Grundlage des berechtigten Interesses an der Dokumentation mietrechtlich relevanter Sachverhalte (Art. 6 Abs. 1 lit. f DSGVO). Die App weist den Nutzer bei der Eingabe darauf hin, die betroffenen Personen über die Speicherung zu informieren.

2.4 WhatsApp-Chat-Import

Hinweis zu Daten Dritter: Importierte WhatsApp-Chats — insbesondere Gruppenchats — enthalten Nachrichten und Namen anderer Personen. Die Verarbeitung dieser Drittdaten erfolgt auf Grundlage des berechtigten Interesses des Nutzers (Art. 6 Abs. 1 lit. f DSGVO), da die Dokumentation und Analyse der Kommunikation mit dem Vermieter der Wahrnehmung und Durchsetzung mietrechtlicher Ansprüche dient.

Der Nutzer sollte nur Chats importieren, die für die Dokumentation des Mietverhältnisses relevant sind. Die App anonymisiert alle personenbezogenen Daten automatisch, bevor Nachrichten zur KI-Analyse übermittelt werden (siehe §3). Betroffene Dritte können jederzeit Auskunft, Berichtigung oder Löschung ihrer Daten verlangen (siehe §8).

2.5 Mietvertragsanalyse

Getrennte Speicherung: Das Originaldokument und die vom Nutzer geschwärzten Seiten werden getrennt in Firebase Cloud Storage gespeichert. Das Original verbleibt ausschließlich im Konto des Nutzers und wird zu keinem Zeitpunkt an die KI übermittelt.

Schwärzungsprozess: PDFs werden lokal im Browser des Nutzers in Einzelbilder gerendert. Der Nutzer kann auf jeder Seite personenbezogene Daten (Namen, Adressen, Unterschriften, Bankverbindungen) manuell schwärzen. Erst nach abgeschlossener Schwärzung und ausdrücklicher Bestätigung werden die geschwärzten Bilder zur Analyse übermittelt.

Hinweis zu Daten Dritter: Mietverträge enthalten regelmäßig personenbezogene Daten des Vermieters oder der Hausverwaltung (Name, Anschrift, Bankverbindung, Unterschrift). Die Speicherung erfolgt auf Grundlage des berechtigten Interesses an der Prüfung des eigenen Mietvertrags (Art. 6 Abs. 1 lit. f DSGVO). Der Nutzer wird aufgefordert, diese Daten vor der KI-Analyse zu schwärzen. Betroffene Dritte können ihre Rechte gemäß §8 geltend machen.

2.6 Tarifeinstellungen & Kostenanalyse

2.7 Abo-Verwaltung

3. KI-Verarbeitung (Google Vertex AI)

Für die KI-Features (Kommunikations-Scorecard, Situations-Barometer, Vertragsanalyse) verwenden wir Google Vertex AI (Modell: Gemini 2.5 Flash). Die Verarbeitung erfolgt serverseitig über Cloud Functions.

Rechtsgrundlage: Die KI-Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), da sie Bestandteil des vom Nutzer gebuchten Premium-Dienstes ist. Die ausdrückliche Bestätigung vor jeder Analyse (Countdown-Dialog) dient der zusätzlichen Transparenz und Kontrolle, stellt jedoch keine Einwilligung im Sinne von Art. 7 DSGVO dar.

3.1 Welche Daten an die KI gesendet werden

3.2 Datenschutz bei Vertex AI

• Keine Nutzung als Trainingsdaten: Google Vertex AI nutzt die übermittelten Daten nicht zum Training von KI-Modellen (gemäß Google Cloud DPA).
• Auftragsverarbeitung: Die Verarbeitung erfolgt auf Basis des Google Cloud Data Processing Addendum.
• Verarbeitungsort: Google Cloud Infrastruktur, Region europe-west3 (Frankfurt).
• Serverseitige Verarbeitung: Die Übermittlung an Vertex AI erfolgt ausschließlich serverseitig über unsere Cloud Functions; direkte KI-Anfragen aus der App des Nutzers finden nicht statt.
• Speicherdauer: Gemäß Google Cloud Data Processing Addendum werden API-Anfragen nicht dauerhaft gespeichert. Verarbeitungslogs können für bis zu 30 Tage zur Fehlerbehebung aufbewahrt werden.

3.3 Grenzen der Anonymisierung

Unsere automatische Anonymisierung arbeitet musterbasiert (Regex) und erkennt folgende Datenkategorien zuverlässig:

• Namen: Alle im Chat genannten Teilnehmernamen und deren Bestandteile werden durch neutrale Platzhalter ersetzt (z. B. „Teilnehmer 1", „Gegenseite").
• Telefonnummern: Deutsche Festnetz- und Mobilnummern, internationale Nummern mit Landesvorwahl.
• E-Mail-Adressen: Alle gängigen Formate.
• IBANs: Deutsche und internationale IBANs, auch mit Leerzeichen, Punkten oder Bindestrichen als Trennzeichen.
• Anschriften: Deutsche Straßennamen mit Hausnummern (z. B. „Musterstraße 12a", „Am Alten Markt 4-6").
• PLZ + Ort: Deutsche Postleitzahlen mit Ortsnamen (z. B. „10115 Berlin").
• Datumsangaben: Formate wie TT.MM.JJJJ, TT/MM/JJJJ, TT-MM-JJJJ.
• Lange Zahlenfolgen: Sequenzen von 6 oder mehr Ziffern (z. B. Kontonummern, Steuer-IDs, Versicherungsnummern, Aktenzeichen).

Einschränkungen — was möglicherweise nicht erkannt wird:

• Natürlichsprachlich eingebettete Informationen (z. B. „ich wohne seit März zweitausendzwanzig in Altona")
• Kreativ oder ungewöhnlich formatierte Daten (z. B. IBANs ohne Ländercode, Nummern mit Buchstaben dazwischen)
• Firmennamen, Vereinsnamen oder Institutionen
• Kurze Zahlenkombinationen unter 6 Ziffern (z. B. Wohnungsnummer „204")
• Im Freitext genannte Verwandtschaftsverhältnisse oder persönliche Details, die keinem bekannten Muster folgen

Vorschau- und Schwärzungsfunktion: Vor jeder KI-Analyse wird dem Nutzer eine Vorschau der anonymisierten Daten angezeigt. Der Nutzer kann prüfen, ob sensible Informationen noch enthalten sind, zusätzlich Text manuell schwärzen und die Analyse abbrechen. Die Daten werden erst nach ausdrücklicher Bestätigung gesendet.

Medien: Bei der Chat-Analyse werden ausschließlich Textnachrichten verarbeitet. Medien (Bilder, Videos, Sprachnachrichten, Dokumente) werden niemals an die KI gesendet.

Vertragsanalyse — Besonderheiten: Im Gegensatz zur Chat-Analyse erfolgt bei der Vertragsanalyse keine automatische Anonymisierung. Mietverträge werden als Bilder verarbeitet, bei denen eine musterbasierte Texterkennung technisch nicht möglich ist. Die App stellt hierfür ein manuelles Schwärzungswerkzeug mit Vorschaufunktion bereit, mit dem der Nutzer personenbezogene Daten (Namen, Anschriften, Unterschriften, Bankverbindungen, Steuer-IDs) vor der Übermittlung überdecken kann. Die KI wird zusätzlich angewiesen, geschwärzte Bereiche zu ignorieren und keine personenbezogenen Daten zu reproduzieren. Dennoch können nicht geschwärzte personenbezogene Daten mit den Bildern an Google Vertex AI übermittelt werden.

Wir setzen mehrere technische Schutzschichten ein, um personenbezogene Daten vor der KI-Verarbeitung zu entfernen: automatische musterbasierte Anonymisierung, eine Vorschau der anonymisierten Daten, eine manuelle Schwärzungsfunktion sowie die Möglichkeit, die Analyse jederzeit abzubrechen. Trotz dieser Maßnahmen kann bei Freitexten nicht ausgeschlossen werden, dass ungewöhnlich formatierte oder kontextuell eingebettete Informationen nicht erkannt werden.

4. Auftragsverarbeiter und Drittdienste

4.1 Google Firebase / Google Cloud

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
DPA: Google Cloud Data Processing Addendum
Serverstandort: europe-west3 (Frankfurt, Deutschland)

4.2 RevenueCat

Anbieter: RevenueCat, Inc., San Francisco, CA, USA
DPA: RevenueCat Data Processing Agreement
Datentransfer USA: Auf Basis von Standardvertragsklauseln (SCC) und dem EU-US Data Privacy Framework.

4.3 Zahlungsabwicklung

Die Zahlungsabwicklung für Abonnements erfolgt je nach Plattform über Google Play (Android) oder Stripe (Web-App, via RevenueCat). Die App selbst erhält keine Zahlungsdaten. Die jeweiligen Anbieter verarbeiten Zahlungsdaten eigenverantwortlich gemäß ihrer Datenschutzerklärungen.

Stripe, Inc., San Francisco, CA, USA
Datentransfer USA: Auf Basis von Standardvertragsklauseln (SCC) und dem EU-US Data Privacy Framework.
Verarbeitete Daten: E-Mail-Adresse, Zahlungsmethode, Transaktionshistorie.

4.4 Google Sign-In

Bei der Anmeldung über Google Sign-In werden Profildaten (Name, E-Mail, Profilbild) von Google übermittelt. Die Übermittlung durch Google an die App erfolgt aus Sicht von Google auf Basis der Einwilligung des Nutzers im OAuth-Consent-Screen. Die anschließende Verarbeitung dieser Daten innerhalb der App zum Zweck der Kontoerstellung und Anmeldung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

4.5 Google reCAPTCHA Enterprise & Firebase App Check

Zum Schutz vor Missbrauch, automatisierten Angriffen und nicht autorisierten API-Aufrufen setzt die App Firebase App Check in Kombination mit Google reCAPTCHA Enterprise (Web) bzw. Google Play Integrity (Android) ein.

Es handelt sich nicht um ein Tracking- oder Analyse-Tool. reCAPTCHA Enterprise bewertet ausschließlich, ob eine Anfrage von einem legitimen Gerät stammt — es werden weder Nutzerprofile erstellt noch Verhaltensdaten zu Marketing- oder Werbezwecken verarbeitet.

5. Datenspeicherung und Löschung

5.1 Speicherdauer

Es gibt keine automatische Datenlöschung nach einem bestimmten Zeitraum. Alle Daten bleiben erhalten, bis der Nutzer sie aktiv löscht.

5.2 Löschmöglichkeiten

Einzelne Daten löschen:

• Einzelne Vorfälle, Chats, Zählerstände und Mietverträge können innerhalb der App gelöscht werden.

Selektive Datenlöschung:

• In den App-Einstellungen gibt es die Funktion „Daten löschen". Der Nutzer kann aus folgenden Kategorien auswählen: Zählerstände, Vorfälle, Chat-Verläufe, Mietverträge, KI-Analysen (Scorecards, Barometer-Berichte, Vertragsanalysen) und Einstellungen (Tarife, Preise). Alle Kategorien können einzeln oder gemeinsam gelöscht werden.
• Nicht gelöscht werden dabei: Firebase-Auth-Konto, Abo-Status und RevenueCat-Kundendaten.

5.3 Kontolöschung

Unter „Einstellungen“ → „Konto endgültig löschen“ können Nutzer ihr gesamtes Konto löschen. Dabei werden alle Daten in Firestore und Cloud Storage (einschließlich Chat-Nachrichten, Medien, Fotos, Vorfälle, Mietverträge, KI-Analyseergebnisse, Integritäts-Hashes und alle hochgeladenen Dateien), das Firebase-Auth-Konto sowie die bei RevenueCat gespeicherten Kundendaten unwiderruflich gelöscht. Der Vorgang kann nicht rückgängig gemacht werden.

6. Berechtigungen der App

7. Datensicherheit und technisch-organisatorische Maßnahmen (TOM)

Wir treffen unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO.

7.1 Öffentlich beschriebene TOM

Die vorstehende Beschreibung dient der allgemeinen Information. Sie ersetzt kein internes Sicherheits- oder TOM-Verzeichnis und enthält aus Sicherheitsgründen nicht sämtliche betrieblichen Einzelmaßnahmen im Detail.

7.2 Grenzen der Darstellung

Aus Sicherheitsgründen veröffentlichen wir nicht sämtliche technischen Details unserer Schutzmaßnahmen. Soweit wir mit Auftragsverarbeitern zusammenarbeiten, stützen wir uns ergänzend auf deren vertragliche und technische Sicherheitsstandards, insbesondere bei Google Cloud / Firebase und RevenueCat.

7.3 Konkrete Schutzmaßnahmen in der App

• Alle Daten werden verschlüsselt übertragen (TLS/HTTPS).
• Daten in Cloud Firestore und Cloud Storage werden serverseitig verschlüsselt (AES-256, Google-managed encryption keys).
• Zugriffskontrolle: Firestore Security Rules und Storage Security Rules stellen sicher, dass jeder Nutzer ausschließlich auf seine eigenen Daten zugreifen kann.
• Authentifizierung: Alle Datenbankzugriffe erfordern eine gültige Firebase-Authentifizierung.
• Abo-Status: Wird serverseitig über Cloud Functions geschrieben und kann clientseitig nicht manipuliert werden.
• Analyse-Status und Kontingente: Analyse-Jobs, Kontingent-Reservierungen, Analyse-Ergebnisse und serverseitige Sperrmechanismen werden durch Cloud Functions verwaltet und nicht clientseitig autoritativ gesetzt.
• Integritätssicherung: Für jedes hochgeladene Beweis­foto berechnet eine serverseitige Cloud Function einen SHA-256-Hash (kryptografischen Fingerabdruck). Dieser Hash wird unveränderlich gespeichert (Schreibschutz durch Firestore Security Rules und Storage Security Rules) und dient dem Nachweis, dass eine Datei seit dem Upload nicht verändert wurde. Das Verfahren stärkt die Beweiskette bei mietrechtlichen Auseinandersetzungen.
• Serverseitige KI-Verarbeitung: KI-Funktionen werden ausschließlich über serverseitige Cloud Functions an Google Vertex AI weitergeleitet; direkte Client-Anfragen an Vertex AI finden nicht statt.
• Missbrauchsschutz: Firebase App Check wird eingesetzt, um automatisierte, manipulierte oder nicht autorisierte Zugriffe auf Backend-Dienste zu erschweren (siehe § 4.5). Die technische Durchsetzung hängt zusätzlich von der Aktivierung bzw. dem Enforcement auf den jeweiligen Backend-Diensten ab.

8. Betroffenenrechte

Betroffene Personen haben nach der DSGVO folgende Rechte:

• Auskunftsrecht (Art. 15 DSGVO): Betroffene können Auskunft über ihre gespeicherten Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Betroffene können die Berichtigung unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Betroffene können die Löschung ihrer Daten verlangen. Über „Einstellungen" stehen die Funktionen „Daten löschen" (selektive Löschung einzelner Datenkategorien) und „Konto unwiderruflich löschen" (vollständige Löschung aller Daten und des Kontos) zur Verfügung. Dies umfasst auch alle KI-Analyseergebnisse (Scorecards, Barometer-Berichte, Vertragsanalysen), die potenziell Zitate oder Zusammenfassungen aus Chats enthalten.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Betroffene haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Unter „Einstellungen" → „Alle Daten exportieren" können Nutzer einen vollständigen Export aller gespeicherten Daten (Zählerstände, Vorfälle, Chats, Mietverträge, Analysen, Einstellungen sowie alle zugehörigen Dateien) als ZIP-Archiv herunterladen. Die Daten werden im JSON-Format bereitgestellt.
• Widerspruchsrecht (Art. 21 DSGVO): Betroffene können der Verarbeitung auf Basis berechtigter Interessen widersprechen. Dies gilt insbesondere für die Verarbeitung von Drittdaten in importierten Chats (Art. 6 Abs. 1 lit. f DSGVO).
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit eine Verarbeitung auf einer Einwilligung beruht (z. B. Google Sign-In), kann diese jederzeit mit Wirkung für die Zukunft widerrufen werden.

Kontakt für Datenschutzanfragen:
hello@devmonkeys.de

Beschwerderecht: Betroffene haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).
Zuständige Aufsichtsbehörde: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

9. Analyse- und Tracking-Tools

Die App verwendet keine Analyse- oder Tracking-Tools. Es werden keine Nutzungsstatistiken, Crashberichte oder Nutzerverhaltensdaten an Dritte übermittelt. Es gibt keine Cookies zu Marketing- oder Analysezwecken.

Der in § 4.5 beschriebene Einsatz von reCAPTCHA Enterprise dient ausschließlich dem Missbrauchsschutz und stellt kein Tracking dar.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Datenverarbeitung oder bei gesetzlichen Änderungen anzupassen. Die aktuelle Version ist jederzeit in der App einsehbar. Bei wesentlichen Änderungen werden die Nutzer innerhalb der App informiert.