Datenschutzerklärung
1. Verantwortlicher
Keyperion Germany GmbH
Große Gallusstraße 14
60311 Frankfurt am Main
E-Mail: legal@metrioffice.de
Web: https://metrioffice.de
Bei Fragen zum Datenschutz: datenschutz@metrioffice.de
2. Überblick der Verarbeitungen
2.1 Registrierung und Nutzerkonto
Beim Anlegen eines Kontos verarbeiten wir:
- Vorname, Nachname
- E-Mail-Adresse
- Passwort (verschlüsselt, nicht lesbar)
- Unternehmensname und Adresse
- Telefonnummer (optional)
- Rolle (Makler, Verwalter, Investor)
- § 34c GewO Lizenznummer (optional)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Bis Kontolöschung + 30 Tage.
2.2 Nutzung der Plattform
Bei aktiver Nutzung verarbeiten wir:
- CRM-Daten (Kontakte, Leads, Deals)
- Immobiliendaten (Objekte, Einheiten)
- Mietvertragsdaten
- Sollstellungen und Zahlungsdaten
- Kommunikationsverlauf (E-Mails, Anrufe)
- Kalender und Termine
- Besichtigungs-Protokolle
- IS24-Anfragen und Kontaktdaten
- Handwerker-Aufträge
- Portfolio- und Renditedaten
- Log-Daten (IP, Zeitstempel, Browser)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
2.3 Mieterdaten (besonders schutzbedürftig)
MetriOffice verarbeitet im Verwalter-Modus umfangreiche Mieterdaten:
- Name, Adresse, Kontaktdaten von Mietern
- Mietvertragsdaten (Laufzeit, Miete, Kaution)
- Sollstellungen und Zahlungsverhalten
- Mahnungsverlauf
- Nebenkostenabrechnungen
- Bankverbindungen (lesend via FinAPI/HBCI)
- Kommunikation mit Mietern
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Verwaltungsvertrags).
Als Nutzer sind Sie verantwortlicher Verarbeiter für Mieterdaten. Keyperion Germany GmbH ist Auftragsverarbeiter. Es gilt unser AVV unter /avv.
Speicherdauer:
- Aktive Mieterdaten: Dauer Mietverhältnis
- Nach Auszug: + 3 Jahre (Verjährungsfristen)
- Abrechnungsdaten: + 10 Jahre (§ 257 HGB)
2.4 Bankdaten (Mieteingangskontrolle)
MetriOffice kann Bankkonten des Nutzers per FinAPI (Open Banking) oder HBCI/FinTS verbinden. Dabei verarbeiten wir:
- Kontoumsätze (Zeitraum, Betrag, Verwendungszweck, IBAN Absender)
- KI-Matching von Zahlungen zu Mietern
Wichtige Hinweise:
- Nur LESEZUGRIFF — keine Zahlungen möglich
- Bankzugangsdaten werden nicht dauerhaft gespeichert (Session-basiert)
- Kontoumsätze werden nur so lange gespeichert wie für das Matching nötig
- Rohdaten werden nach 30 Tagen gelöscht
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
2.5 IS24-Anfragen und Lead-Daten
Über die IS24-Integration empfangen wir Kontaktanfragen von Kaufinteressenten:
- Name, E-Mail, Telefon des Interessenten
- Nachrichteninhalt
- Anfragezeitpunkt
- Verknüpftes Inserat
Diese Daten werden automatisch als CRM-Kontakte und Deals angelegt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO (Anbahnung eines Maklervertrages).
IS24 hat eine eigene Datenschutzerklärung: immobilienscout24.de/datenschutz
2.6 SEPA-Lastschrift (GoCardless)
Bei Nutzung des optionalen SEPA-Mieteinzugs:
- Name und IBAN des Mieters
- SEPA-Mandat-Referenz
- Transaktionsdaten
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Dauer Mietverhältnis + 3 Jahre.
2.7 Zahlungsdaten (eigenes Abonnement)
Zahlungsabwicklung über Stripe. Wir speichern:
- Zahlungsreferenz (Stripe Transaction ID)
- Betrag, Datum, gebuchter Plan
- Rechnungsadresse
Rechtsgrundlage: Art. 6 Abs. 1 lit. b + c. Speicherdauer: 10 Jahre (§ 257 HGB, § 147 AO).
2.8 Kommunikation und E-Mail-Integration
Bei Verknüpfung mit Gmail/Outlook:
- Absender und Empfänger von E-Mails
- Betreff und Inhalt (soweit für CRM relevant)
- Zeitstempel
Hinweis: E-Mails werden nur mit ausdrücklicher Autorisierung des Nutzers synchronisiert. Inhalte werden nur verarbeitet wenn der Nutzer die Integration aktiviert hat.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
2.9 KI-Verarbeitung
MetriOffice nutzt die Anthropic Claude API für:
- Exposé-Textgenerierung
- Interessenten-Matching
- Mieteingangskontrolle (Zuordnung)
- Mahnungsentwürfe
Dabei werden Objekt- und Transaktionsdaten verarbeitet. Keine dauerhafte Speicherung durch Anthropic.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Standardvertragsklauseln (SCCs) für USA-Transfer.
3. Eingesetzte Dienste und Auftragsverarbeiter
Supabase (Datenbank und Auth)
Anbieter: Supabase Inc., USA. Serverstandort: EU-West (Frankfurt). Zweck: Datenbankhosting, Authentifizierung.
Stripe (Zahlungsabwicklung)
Anbieter: Stripe Payments Europe, Ltd., The One Building, Dublin, Irland. Zweck: Abonnement-Zahlungen. Zertifizierung: PCI DSS Level 1.
Resend (E-Mail-Versand)
Anbieter: Resend Inc., USA. Zweck: Transaktionale E-Mails. Serverstandort: EU verfügbar.
Anthropic Claude (KI)
Anbieter: Anthropic PBC, San Francisco, USA. Zweck: KI-Textgenerierung, Matching. Datenübertragung: USA (SCCs).
Vercel (Hosting)
Anbieter: Vercel Inc., USA. Serverstandort: EU (Frankfurt).
FinAPI (Open Banking)
Anbieter: FinAPI GmbH, München. Zweck: Bankkonto-Verbindung für Mieteingangskontrolle (lesend). Regulierung: BaFin-lizenziert, PSD2-konform. DPA: abgeschlossen.
GoCardless (SEPA-Lastschrift)
Anbieter: GoCardless Ltd., London. Zweck: Optionaler SEPA-Mieteinzug. Regulierung: FCA-reguliert, PSD2-konform.
ImmobilienScout24 (Portal-API)
Anbieter: Immobilien Scout GmbH, Berlin. Zweck: CRM-Anfragen empfangen, Inserate verwalten. DPA: IS24 AGB + API-Nutzungsvertrag.
Immowelt (Portal-API)
Anbieter: AVIV Germany GmbH, Nürnberg. Zweck: Inserate verwalten und veröffentlichen.
4. Cookies und Tracking
4.1 Technisch notwendige Cookies
| Cookie | Zweck | Laufzeit |
|---|---|---|
| sb-auth-token | Supabase Auth | Session |
| metrioffice-session | Sitzungsverwaltung | 7 Tage |
| csrf-token | CSRF-Schutz | Session |
| cookie_consent | Einwilligungsstatus | 1 Jahr |
Rechtsgrundlage: § 25 Abs. 2 TTDSG.
4.2 Keine Tracking-Cookies
MetriOffice verwendet kein Google Analytics, kein Meta Pixel, keine Werbe-Cookies. Plausible Analytics (privacy-friendly, kein IP-Tracking) mit Einwilligung.
5. Betroffenenrechte
5.1 Auskunftsrecht (Art. 15 DSGVO)
Antrag: datenschutz@metrioffice.de. Frist: 30 Tage.
5.2 Berichtigungsrecht (Art. 16 DSGVO)
Im Nutzerprofil oder per E-Mail.
5.3 Löschungsrecht (Art. 17 DSGVO)
Konto-Löschung: Settings → Account löschen ODER datenschutz@metrioffice.de. Ausnahme: gesetzliche Aufbewahrungspflichten.
5.4 Datenübertragbarkeit (Art. 20 DSGVO)
Export: Settings → Daten exportieren (JSON/CSV).
5.5 Widerspruchsrecht (Art. 21 DSGVO)
Bei berechtigtem Interesse als Rechtsgrundlage.
5.6 Widerruf der Einwilligung
Jederzeit möglich (z.B. E-Mail-Integration deaktivieren unter Settings → Integrationen).
5.7 Beschwerderecht
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163, 65021 Wiesbaden
poststelle@datenschutz.hessen.de
https://datenschutz.hessen.de
6. Besondere Hinweise für Nutzer als Verantwortliche
Als Nutzer von MetriOffice sind Sie für folgende Daten selbst Verantwortlicher im Sinne der DSGVO:
Mieterdaten
- Information der Mieter (Art. 13 DSGVO)
- Rechtsgrundlage sicherstellen
- Löschfristen einhalten
Interessenten-Daten
- DSGVO-konforme Erhebung sicherstellen
- Speicherdauer begrenzen
- Löschung nach Ablauf sicherstellen
IS24-Anfragen
- Automatisch als Leads gespeichert
- Nicht benötigte Daten löschen
Es gilt unser AVV unter /avv.
7. Datensicherheit
- TLS 1.3-Verschlüsselung
- AES-256 für Datenbankdaten
- Row Level Security (Supabase RLS)
- Organisations-Isolation (Mandantentrennung)
- 2-Faktor-Authentifizierung verfügbar
- Tägliche Backups (90 Tage)
- ISO 27001-zertifizierte Rechenzentren
8. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Kontodaten | Bis Löschung + 30 Tage |
| CRM-Daten | Bis Löschung |
| Mieterdaten aktiv | Dauer Mietverhältnis |
| Mieterdaten nach Auszug | + 3 Jahre |
| Rechnungsdaten | 10 Jahre (§ 257 HGB) |
| Bankdaten (Rohdaten) | 30 Tage |
| IS24-Anfragen | Bis manuelle Löschung |
| Log-Daten | 30 Tage |
| Backup-Daten | 90 Tage |
| Einwilligungsnachweise | 3 Jahre nach Widerruf |
9. Änderungen dieser Erklärung
Änderungen werden per E-Mail angekündigt. Aktuelle Version: metrioffice.de/datenschutz
Stand: April 2026 · Version 1.0