Immolibero
Menü
Immobilien suchen So funktioniert's Login Kostenlos registrieren

Datenschutzerklärung

Stand: 02. Mai 2026

1. Verantwortlicher

Olaf Meyer
Am Eichberg 1
07552 Gera
Mail: info@immolibero.com
Telefon: 0365-20417160

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. a, b und f DSGVO sowie § 25 TTDSG für Cookies und vergleichbare Technologien.

3. Notwendige Daten beim Aufruf der Website

Beim bloßen Aufruf unserer Seiten erfasst unser Server automatisch einige technische Daten (sog. Server-Logfiles): IP-Adresse (anonymisiert nach 7 Tagen), Datum und Uhrzeit, aufgerufene Seite, Browser, Betriebssystem, Referrer. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse besteht in der technischen Auslieferung und Sicherheit der Website.

4. Nutzerkonto, Inserate, Anfragen

Für ein Konto verarbeiten wir Name, E-Mail-Adresse, Passwort (Hash), Rolle (Suchender / Anbieter), Verifikationsstatus, ggf. Telefonnummer und Profildaten. Wenn du ein Inserat erstellst, werden die von dir eingegebenen Inseratsdaten und Bilder verarbeitet. Wenn du eine Anfrage zu einem Inserat schickst, übermittelt das Portal die von dir eingegebenen Anfrage-Daten an den Anbieter des Inserats. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Aufbewahrungsfristen. Wir folgen dem DSGVO-Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e). Konkret gelten die folgenden Standard-Fristen, jeweils gerechnet ab der letzten Aktivität:

  • Anfragen und Nachrichten (365 Tage): Threads, einzelne Nachrichten und der Block-Status werden nach dieser Frist automatisch gelöscht.
  • Anhänge zu Nachrichten (180 Tage): Hochgeladene Dateien wie Selbstauskünfte oder Gehaltsnachweise werden früher gelöscht als die Texte, weil sie besonders schützenswert sind.
  • Sensible Profilfelder (730 Tage Inaktivität): Einkommen, Schufa, Vermieter-Historie und Mietrückstände werden bei Inaktivität deines Kontos automatisch geleert. Das Konto selbst bleibt erhalten.
  • Audit-Log (1095 Tage): Siehe Punkt 14.

Du kannst die sensiblen Felder deiner Selbstauskunft (Einkommen, Schufa, Vermieter-Historie, Mietrückstände, Pfändungen, Beschäftigungsdaten) jederzeit selbst über deinen Konto-Bereich löschen. In der Nachrichten-Ansicht zeigen wir dir pro Unterhaltung das voraussichtliche Lösch-Datum direkt an, damit du Daten rechtzeitig sichern oder selbst löschen kannst.

Vorlauf-Benachrichtigung. Wir schicken dir eine E-Mail 30 Tage vor der automatischen Löschung einer Unterhaltung, damit du Inhalte oder Anhänge vorher sichern kannst. Eine neue Nachricht in der Unterhaltung verschiebt das Lösch-Datum automatisch.

Technische Umsetzung. Ein täglicher Cron-Job (Artisan-Command inquiries:retention-sweep) prüft die Aufbewahrungsfristen und führt die Löschungen sowie die Vorlauf-Mails idempotent durch. Jede Löschung wird im internen Audit-Log (siehe Punkt 14) als System-Aktion protokolliert.

5. Zwei-Faktor-Authentifizierung

Für privilegierte Konten (Admin, Makler, Hausverwaltung) ist die Zwei-Faktor-Authentifizierung verpflichtend; alle anderen Nutzer können sie freiwillig aktivieren. Dabei speichern wir das verschlüsselte TOTP-Secret und einmalig nutzbare Recovery-Codes auf unseren Servern. Cookies vertrauenswürdiger Geräte enthalten nur einen zufälligen Token; die Datenbank speichert davon nur einen SHA-256-Hash.

6. Cookies und vergleichbare Technologien

Wir setzen drei Kategorien von Cookies/Storage ein:

  • Notwendig — Session, CSRF-Token, Login, Zwei-Faktor-Trust-Cookie. Diese werden ohne Einwilligung gesetzt, weil sie für den Betrieb der Seite zwingend erforderlich sind (§ 25 Abs. 2 Nr. 2 TTDSG).
  • Statistik — Google Analytics 4 (siehe unten). Nur nach aktiver Einwilligung im Banner.
  • Marketing — derzeit nicht aktiv. Sollten wir später Werbe-Tags einbinden, erscheinen sie als zusätzliche Kategorie im Banner und laufen ebenfalls nur mit deiner Einwilligung.

Die Einwilligung wird in einem Cookie namens consent dokumentiert (Laufzeit 12 Monate). Du kannst deine Auswahl jederzeit widerrufen, indem du den Banner erneut öffnest oder den Cookie in deinem Browser löschst.

7. Google Analytics 4

Soweit du der Statistik-Kategorie zustimmst, nutzen wir Google Analytics 4, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google"). Google verwendet dazu Cookies und vergleichbare Technologien, die eine pseudonymisierte Analyse deiner Nutzung der Website ermöglichen.

Die Property-ID ist G-FFVFYJRE47. Erfasst werden insbesondere: aufgerufene Seiten, Verweildauer, Quelle des Besuchs, Gerätekategorie, Land/Region (anonymisierte IP). Wir haben in GA4 die IP-Anonymisierung aktiviert und Google-Signale (geräteübergreifendes Tracking) ausgeschaltet. Die Aufbewahrungsfrist der Nutzerdaten in GA4 beträgt 14 Monate; aggregierte Berichte bleiben darüber hinaus erhalten.

Wir setzen Google Consent Mode v2 (Advanced) ein. Vor deiner Einwilligung sendet GA4 ausschließlich aggregierte, anonymisierte Pings ohne personenbezogene Daten. Erst nach Einwilligung werden Cookies gesetzt und individuelle Sessions erfasst.

Datenübermittlung in die USA: Google ist unter dem EU-US Data Privacy Framework zertifiziert (Adäquanzbeschluss der EU-Kommission vom 10. Juli 2023, gerichtlich bestätigt durch das Allgemeine Gericht der EU im September 2025). Damit besteht für die Übermittlung von Daten an Google LLC ein Angemessenheitsbeschluss im Sinne des Art. 45 DSGVO. Mit Google Ireland Limited haben wir zusätzlich einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und § 25 Abs. 1 TTDSG.

Mehr zum Datenschutz bei Google: https://policies.google.com/privacy

8. Server-seitige Conversion-Telemetrie

Zusätzlich zu Google Analytics führen wir eine eigene, auf unseren Servern liegende Tabelle mit Konversions-Ereignissen (z. B. Inserat veröffentlicht, Anfrage gesendet). Diese enthält pro Ereignis nur eine User-ID (für eingeloggte Nutzer) bzw. einen Session-Hash (für nicht eingeloggte Nutzer), Ereignisname, Zeitstempel und nicht-personenbezogene Metadaten zum Ereignis. Diese Daten verlassen unsere Infrastruktur nicht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse ist die Auswertung des Funnels und die Sicherstellung der Datenkontinuität unabhängig von externen Anbietern.

9. Hosting

Die Website wird in einem Rechenzentrum innerhalb der EU gehostet. Mit dem Hosting-Anbieter besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

10. E-Mail-Versand

Transaktions-Mails (Bestätigungen, Anfragen, Sicherheits-Hinweise) werden über einen Mail-Provider versendet. Mit diesem besteht ein Auftragsverarbeitungsvertrag.

11. Externes Error-Tracking

Wir nutzen BetterStack für Uptime-Monitoring und Error-Tracking. Dabei werden ausschließlich technische Fehler-Stacktraces, anonymisierte URLs und Server-Metriken übertragen. Mit BetterStack besteht ein Auftragsverarbeitungsvertrag. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse ist die Sicherstellung des Betriebs.

12. Betroffenenrechte

Du hast jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO). Eine erteilte Einwilligung kannst du nach Art. 7 Abs. 3 DSGVO jederzeit widerrufen.

Self-Service Datenexport. In deinem Konto kannst du jederzeit deine bei uns gespeicherten Daten als JSON-Datei herunterladen — Konto, Profil, Inserate, Anfragen, Merkliste, gespeicherte Suchen und ein Auszug des Audit-Logs zu deinem Konto. Damit erfüllen wir Art. 15 (Auskunft) und Art. 20 (Datenübertragbarkeit) ohne weitere Zwischenschritte.

Anonymisierung statt Cascade-Löschung. Bei einer Konto-Löschung bleiben Anfragen für die jeweils andere Seite sichtbar, jedoch ohne deine personenbezogenen Daten: Sender-Name, E-Mail-Adresse und Telefonnummer in den Nachrichten werden auf „Gelöschter Nutzer" bzw. leer gesetzt; deine hochgeladenen Anhänge werden komplett entfernt. So erfüllen wir gleichzeitig DSGVO Art. 17 (Recht auf Löschung deiner Daten) und Art. 17 Abs. 3 lit. e (legitimes Interesse der Gegenseite an der Konversations-Historie).

Berechtigte Aufbewahrung trotz Lösch-Wunsch (Legal Hold). Bei laufenden Streitfällen, behördlichen Ersuchen oder gemeldeten strafrechtlich relevanten Inhalten können wir einzelne Datensätze von der automatischen Löschung ausschließen. Dies ist eine Maßnahme nach Art. 17 Abs. 3 lit. b und e DSGVO, wird intern nachvollziehbar dokumentiert und endet automatisch mit dem Abschluss des Verfahrens.

Gesetzliche Aufbewahrungspflichten. Nach Art. 17 Abs. 3 lit. b DSGVO geht eine gesetzliche Aufbewahrungspflicht dem Recht auf Löschung vor. Konkret betrifft das bei uns Datensätze mit gewerblichem Bezug:

  • Anfragen mit gewerblichen Anbietern (Makler, Hausverwaltung): 5 Jahre nach §8 Geldwäschegesetz (GwG).
  • Geschäftsbriefe und Handelskorrespondenz mit gewerblichen Anbietern: 6 Jahre nach §257 Handelsgesetzbuch (HGB).
  • Buchungsbelege, Rechnungen und steuerrelevante Unterlagen: 10 Jahre nach §147 Abgabenordnung (AO) bzw. §257 HGB. Greift, sobald wir kostenpflichtige Pro-Anbieter-Funktionen anbieten.
  • Gemeldete strafrechtlich relevante Inhalte: 10 Wochen Bereithaltung für Behörden nach NetzDG / DSA.

Wenn du eine Löschung verlangst und ein Datensatz unter eine dieser Aufbewahrungspflichten fällt, anonymisieren wir ihn unverzüglich (Name, E-Mail, Telefon, Login-Daten werden entfernt oder durch Platzhalter ersetzt) und bewahren nur das Mindestgerüst der aufbewahrungspflichtigen Daten bis zum Ablauf der jeweiligen Frist auf. Sobald die Frist abläuft, wird der Datensatz automatisch endgültig gelöscht.

Wende dich für alle Anliegen an info@immolibero.com. Du hast außerdem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist für uns der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit.

14. Internes Audit-Log

Aus betrieblichen und sicherheitsrelevanten Gründen führen wir ein internes Audit-Log über relevante Lebenszyklus-Ereignisse: Konto-Erstellung, Rollen-Änderungen durch Admins, Sperrungen, Aktivierung und Deaktivierung von Zwei-Faktor-Authentifizierung, Inseratsstatus, Erstellung und Lebenszyklus von Anfragen (erstellt, blockiert, archiviert, gelöscht, gemeldet) sowie durch Cron ausgelöste Lösch-Aktionen.

Das Log enthält bewusst keine Inhalte deiner Nachrichten, sondern nur Metadaten: Zeitstempel, ausführende Person (User selbst, Admin oder System), Ereignistyp, technische Details des betroffenen Datensatzes (IDs), und – bei Aktionen aus Browser-Sessions – IP-Adresse und User-Agent zur Forensik im Streitfall. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse ist der ordnungsgemäße Betrieb, die Nachvollziehbarkeit für den Support und die Beweisbarkeit bei Streitfällen.

Aufbewahrungsdauer: 1095 Tage. Die Frist orientiert sich an der Regelverjährung von 3 Jahren nach BGB §195. Auf Auskunftsanfragen nach Art. 15 DSGVO geben wir dir auf Wunsch einen Auszug aus dem Audit-Log heraus, der dich betrifft.

15. Mobile Apps für iOS und Android

Die Immolibero-Apps für iOS und Android verarbeiten dieselben Stammdaten wie die Webseite plus die folgenden zusätzlichen Datenflüsse:

  • Push-Tokens (Firebase Cloud Messaging). Wenn du Push-Benachrichtigungen erlaubst, generieren iOS/Android einen anonymen Geräte-Identifier (FCM-Token), den die App beim Server registriert. Der Server verbindet den Token mit deinem Konto, um dir Benachrichtigungen zu deinen gespeicherten Suchen und Anfragen zu schicken. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Der Token wird gelöscht, wenn du Push in den App-Einstellungen oder den iOS/Android-Systemeinstellungen widerrufst oder dein Konto löschst. Anbieter: Google Ireland Limited (Firebase Cloud Messaging).
  • Crash-Reporting (Sentry). Bei einem App-Absturz übermitteln wir anonymisierte technische Daten (Stack-Trace, Gerätemodell, OS-Version, App-Version, Zeitstempel) an unseren Crash-Tracker, damit wir Fehler reproduzieren und beheben können. IP-Adressen, Konto-IDs und Inhalte werden nicht übertragen. Anbieter: BetterStack / Sentry, Datenstandort EU. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität).
  • Standort. Wenn du der App den Standort erlaubst, nutzt sie deine Position ausschließlich, um Inserate in deiner Nähe anzuzeigen — und nur, solange die App aktiv ist. Es gibt keinen Hintergrund-Standort-Zugriff. Du kannst die Berechtigung jederzeit in den iOS/Android-Systemeinstellungen widerrufen.
  • In-App-Werbung (Google AdMob). Wir blenden in der App Native-Anzeigen ein (Such-Liste, Foto-Galerie, Detailseite) — klar als „Anzeige" gekennzeichnet. Anbieter: Google Ireland Limited (Google Mobile Ads SDK, Publisher-ID pub-1308881138244630). Beim ersten App-Start fragen wir über Googles User Messaging Platform (UMP, IAB TCF v2.2) deine Einwilligung zu personalisierter Werbung ab; auf iOS zusätzlich Apples App Tracking Transparency (ATT) für den Werbe-Identifier IDFA. Auf Android wird die Advertising ID (AAID) unter denselben Bedingungen genutzt. Bei Ablehnung serven wir ausschließlich kontextuelle, nicht-personalisierte Anzeigen — die Werbung selbst läuft also weiter, nur ohne Geräte-/Verhaltens-Targeting. Rechtsgrundlage bei Einwilligung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie § 25 Abs. 1 TTDSG; bei kontextueller Werbung: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am wirtschaftlichen Betrieb). Du kannst deine Einwilligung jederzeit in der App unter Profil → Datenschutz-Einstellungen für Werbung ändern oder widerrufen; auf iOS zusätzlich systemweit über Einstellungen → Datenschutz & Sicherheit → Tracking. Weitere Informationen zur Datenverarbeitung durch Google findest du unter policies.google.com/privacy und zu IAB-Vendoren unter iabeurope.eu/vendor-list-tcf.
  • Konto-Authentifizierung. Identische Datenflüsse wie auf der Webseite. Die App speichert das Sanctum-Authentifizierungs-Token ausschließlich im verschlüsselten Schlüsselbund (iOS Keychain bzw. Android Keystore), nicht in den allgemeinen Einstellungen.

Du kannst dein Konto direkt in den Apps löschen (Konto-Tab → „Konto löschen"). Eine öffentlich erreichbare Anleitung findest du auch unter immolibero.com/konto-loeschen. Bei Fragen zur Datenverarbeitung in den Apps wende dich an noreply@immolibero.com.

16. Änderungen

Wir aktualisieren diese Datenschutzerklärung, wenn sich Änderungen an der Datenverarbeitung oder an gesetzlichen Anforderungen ergeben. Den jeweils aktuellen Stand findest du oben am Beginn dieses Dokuments.