Datenschutzerklärung

Stand: Mai 2026 · Version 1.0

Kurzfassung: Wir verarbeiten so wenig Daten wie nötig. Tracking-Cookies werden erst nach deiner Einwilligung gesetzt. Lead-Daten, die deine Website-Besucher über das Widget eingeben, gehören dem jeweiligen Makler — wir leiten sie nur durch und speichern sie auf seinem Mandanten-Account.

Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Niklas Germerott
Bernhard-Uhde-Str. 33
31137 Hildesheim
Deutschland
E-Mail: datenschutz@immowidget.de
Telefon: +49 170 5070707

Allgemeines & Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten ausschließlich auf Basis der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG), des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) sowie weiterer einschlägiger deutscher Gesetze.

Je nach Verarbeitungsvorgang stützen wir uns auf eine der folgenden Rechtsgrundlagen:

Art. 6 Abs. 1 lit. a DSGVO – deine Einwilligung (z. B. für Marketing-Cookies)
Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen (z. B. Account-Anlage)
Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtungen (z. B. Aufbewahrungsfristen nach HGB/AO)
Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (z. B. IT-Sicherheit, Server-Logfiles)

Deine Rechte als betroffene Person

Du hast jederzeit folgende Rechte:

Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
Berichtigung unrichtiger Daten (Art. 16 DSGVO)
Löschung deiner Daten, soweit keine gesetzliche Aufbewahrung entgegensteht (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit in einem strukturierten, gängigen Format (Art. 20 DSGVO)
Widerspruch gegen Verarbeitungen, die auf einem berechtigten Interesse beruhen (Art. 21 DSGVO)
Widerruf einer einmal erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO)

Eine formlose E-Mail an datenschutz@immowidget.de reicht aus.

Hosting & Server-Logfiles

Unsere Website wird bei einem externen Dienstleister gehostet, der die Auslieferung der Inhalte technisch ermöglicht. Bei jedem Aufruf werden automatisch sogenannte Server-Logfiles erfasst, die dein Browser an den Server überträgt.

Erfasst werden:

IP-Adresse (gekürzt bzw. anonymisiert, sobald technisch möglich)
Datum und Uhrzeit der Anfrage
aufgerufene URL und HTTP-Statuscode
übertragene Datenmenge
User-Agent (Browser-Typ, Version, Betriebssystem)
Referrer-URL (die zuvor besuchte Seite)

Zweck & Rechtsgrundlage: Sicherstellung des stabilen Betriebs, Abwehr von Angriffen, Fehleranalyse. Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO.

Vercel Inc. USA · EU-Edge

Wir nutzen Vercel als Hosting- und Edge-Plattform. Die Auslieferung erfolgt vorrangig über EU-Standorte; eine Übermittlung in die USA kann jedoch nicht ausgeschlossen werden.

Anbieter: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA
Garantie: Standardvertragsklauseln, EU-US Data Privacy Framework
Mehr: vercel.com/legal/privacy-policy

Cookies & Consent

Wir setzen Cookies und vergleichbare Technologien (z. B. localStorage) nur ein, soweit dies technisch erforderlich ist oder du eingewilligt hast. Beim ersten Besuch erscheint ein Cookie-Banner, in dem du selbst entscheidest, welche Kategorien du erlaubst.

Notwendige Cookies (kein Consent erforderlich)

Session-Cookies für deinen eingeloggten Zustand (Supabase-Auth)
Consent-Speicher in deinem localStorage, damit wir uns deine Cookie-Auswahl merken
CSRF-Schutz für sichere Formularübertragungen

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich) i. V. m. Art. 6 Abs. 1 lit. f DSGVO.

Statistik-Cookies (mit Consent)

Wenn du dem zustimmst, erfassen wir aggregierte und pseudonymisierte Nutzungsstatistiken zur Reichweitenmessung.

Marketing-Cookies (mit Consent)

Wenn du dem zustimmst, kommen Tools wie Google Ads zum Einsatz, um Conversions zu messen und Werbeanzeigen zu optimieren. Details siehe Abschnitt Marketing & Tracking.

Rechtsgrundlage für nicht notwendige Cookies: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Du kannst deine Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.

Account & Login (Magic Link)

Für die Nutzung des Makler-Dashboards benötigst du einen Account. Die Anmeldung erfolgt passwortlos per Magic-Link: Du gibst deine E-Mail-Adresse ein, wir senden dir einen einmaligen Login-Link zu.

Wir verarbeiten in diesem Zusammenhang:

E-Mail-Adresse
optional: Firmenname, Telefonnummer, Adresse, Logo (für die White-Label-Konfiguration)
Login-Zeitpunkte und IP-Adresse zum Schutz vor unbefugten Zugriffen

Zweck & Rechtsgrundlage: Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO sowie IT-Sicherheit gemäß Art. 6 Abs. 1 lit. f DSGVO.

Supabase Inc. — Auth, Datenbank, Storage EU-Region (Frankfurt)

Account-, Lead- und Logo-Daten werden in einer Postgres-Datenbank von Supabase im Region Frankfurt (eu-central-1) gespeichert. Auftragsverarbeitungsvertrag (AVV) ist abgeschlossen.

Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992
Verarbeitung: EU (Frankfurt), Sub-Verarbeitung kann USA tangieren
Mehr: supabase.com/privacy

Das Immowidget-Widget ist auf den Websites unserer Makler-Kunden eingebunden. Wenn ein Endnutzer das Widget ausfüllt, werden folgende Daten erhoben:

Angaben zur Immobilie (Typ, Lage, Größe, Baujahr, Zustand)
Kontaktdaten (Name, E-Mail, optional Telefon)
Verkaufsabsicht und Zeitrahmen
technische Metadaten (Zeitstempel, IP-Adresse, User-Agent)

Rolle in der Verarbeitung

Wenn du als Endnutzer das Widget auf der Website eines Maklers ausfüllst, ist dieser Makler datenschutzrechtlich der Verantwortliche für deine Daten. Immowidget ist nur Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Wende dich für Auskunft/Löschung in erster Linie an den Makler.

Wir leiten die Daten als Auftragsverarbeiter durch — sie werden in der Datenbank des Makler-Mandanten gespeichert und per E-Mail an den Makler zugestellt.

Double-Opt-In

Bevor die Bewertungsanfrage abgesendet wird, muss der Endnutzer aktiv der Kontaktaufnahme zustimmen (Checkbox). Diese Einwilligung wird mit Zeitstempel protokolliert.

E-Mail-Versand

Lead-Benachrichtigungen, Magic-Login-Links und transaktionale System-E-Mails werden über einen externen E-Mail-Dienst versendet.

Resend Inc. USA · DPF

Versand transaktionaler E-Mails wie Magic-Link-Login und Lead-Benachrichtigungen.

Anbieter: Resend Inc., 2261 Market St #5039, San Francisco, CA 94114, USA
Garantie: Standardvertragsklauseln, EU-US Data Privacy Framework, AVV abgeschlossen
Mehr: resend.com/legal/privacy-policy

Schriftarten (Google Fonts)

Wir laden die Schriftarten Inter und Inter Tight von den Servern von Google. Dabei wird deine IP-Adresse an Google übertragen, damit die Schriftart in deinem Browser angezeigt werden kann.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Rechtsgrundlage: berechtigtes Interesse an einer einheitlichen Darstellung der Inhalte (Art. 6 Abs. 1 lit. f DSGVO).
Mehr: policies.google.com/privacy

Hinweis: Auf Wunsch können wir die Schriftarten auch lokal hosten — dann entfällt die Drittlandübermittlung an Google.

Marketing & Tracking

Marketing-Tools werden ausschließlich nach deiner Einwilligung im Cookie-Banner aktiv. Solange du nicht zustimmst, werden keine entsprechenden Cookies gesetzt und keine Daten übertragen (Google Consent Mode v2 mit Default „denied").

Google Ads / Google Tag Manager USA · DPF · nur mit Consent

Conversion-Tracking unserer eigenen Werbeanzeigen sowie Anzeigen unserer Makler-Kunden, sofern diese im Dashboard ihre eigene Conversion-ID hinterlegen.

Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland
Daten: Klick-IDs, Conversion-Events, gehashte E-Mail-Adressen (Enhanced Conversions, optional)
Mehr: policies.google.com/privacy

Drittlandübermittlung

Einige unserer Auftragsverarbeiter haben ihren Hauptsitz in den USA (Vercel, Resend, Google). Eine Übermittlung in die USA findet nur statt, wenn:

der jeweilige Anbieter unter dem EU-US Data Privacy Framework zertifiziert ist, oder
EU-Standardvertragsklauseln (SCC) abgeschlossen wurden, oder
du im Cookie-Banner zugestimmt hast (Art. 49 Abs. 1 lit. a DSGVO).

Wir sind uns der Risiken einer Drittland-Übermittlung bewusst und reduzieren sie technisch (z. B. Standort-Pinning bei Supabase auf Frankfurt).

Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:

Account-Daten: für die Dauer des Vertragsverhältnisses, danach Löschung innerhalb von 30 Tagen — soweit keine gesetzlichen Aufbewahrungsfristen entgegenstehen (z. B. § 257 HGB, § 147 AO: bis zu 10 Jahre für Rechnungen)
Lead-Daten: in der Verantwortung des Makler-Kunden, längstens jedoch 24 Monate
Server-Logfiles: 14 Tage
Cookie-Consent: 12 Monate, danach erneute Abfrage

Kontakt & Beschwerden

Bei Fragen, Auskunftsersuchen oder Löschwünschen: datenschutz@immowidget.de.

Du hast außerdem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem du wohnst, arbeitest oder die mutmaßliche Verletzung stattgefunden hat.

Für uns als Diensteanbieter mit Sitz in Hildesheim ist zuständig:

Die Landesbeauftragte für den Datenschutz Niedersachsen

Prinzenstraße 5

30159 Hannover

Telefon: +49 511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Web: lfd.niedersachsen.de

Hinweis: Diese Datenschutzerklärung wurde individuell für Immowidget verfasst und beschreibt den tatsächlichen Datenfluss (Vercel · Supabase · Resend · Cookie-Consent). Sie ersetzt keine anwaltliche Prüfung. Vor Live-Schaltung empfehlen wir dir dringend, die Erklärung durch einen auf Datenschutz spezialisierten Anwalt oder einen externen Datenschutzbeauftragten prüfen zu lassen — insbesondere wenn du eigene Tools (Stripe, Plausible, Newsletter) ergänzt.

Stand: Mai 2026 Impressum · AGB · Cookie-Einstellungen