Datenschutzerklärung.

Verantwortlicher im Sinne der DSGVO ist:

Fabian Meyer
Marbacher Str. 11/1
78086 Brigachtal
Deutschland
E-Mail: kontakt@meyso.de

Anfragen zu Datenschutz, Auskunft oder Löschung richten Sie bitte an die oben genannte E-Mail-Adresse. Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich (§ 38 BDSG).

Halveo ist eine Web-App zur Verwaltung privater Mietwohnungen. Wir unterscheiden zwei Nutzergruppen:

• Vermieter registrieren sich selbst und verwalten ihre Immobilien, Mieter, Belege und Verträge. Vermieter sind im Verhältnis zu ihren Mietern eigene Verantwortliche (siehe Ziffer 12 zur Auftragsverarbeitung).
• Mieter werden vom Vermieter eingeladen und nutzen die App kostenfrei. Sie sehen nur Daten, die ihre eigene Wohnung betreffen.

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der App-Funktionen, Verwaltung Ihrer Mietverhältnisse, Versand transaktionaler E-Mails (Login-Bestätigung, Passwort-Reset, Schadensmeldung-Benachrichtigung).
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Stabilität und Sicherheit der App (Fehlertracking, Rate-Limits, Logfiles), Schutz vor Missbrauch und DDoS-Angriffen, Produktverbesserung anhand aggregierter, nicht-personenbezogener Nutzungsdaten.
• Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung steuer- und handelsrechtlich relevanter Belege gemäß § 147 AO und § 257 HGB für bis zu 10 Jahre.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Aktivierung optionaler Funktionen wie E-Mail-Inbox-Anbindung, Push-Benachrichtigungen, KI-gestützte Belegerkennung. Einwilligungen sind jederzeit widerrufbar.

Halveo nutzt das Sprachmodell Google Gemini (Anbieter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) zur automatischen Klassifizierung und Extraktion strukturierter Daten aus PDF-Dokumenten (Verträge, Belege), aus Schadens-Beschreibungen und aus E-Mail-Inhalten.

Konkrete Verarbeitungs-Zwecke:

• OCR und Feld-Extraktion von Belegen (Händler, Betrag, Datum, USt., Rechnungsnummer, IBAN, Leistungsbeschreibung)
• Klassifizierung von Belegen (Versorger, Versicherung, Handwerker, Material, Hausverwaltung, Grundsteuer)
• Vorschlag der Steuer-Klassifizierung (Werbungskosten, Erhaltungsaufwand, Anschaffung, Herstellungskosten)
• Erkennung von wiederkehrenden Ausgaben und Anlagegütern
• Klassifizierung von E-Mails der Vermieter-Inbox (Schaden, Rechnung, Behörde, sonstiges)
• Strukturierung von Mieter-Schadensmeldungen in Kategorien

Verarbeitet werden Ihre hochgeladenen Inhalte, einschließlich personenbezogener Daten Dritter (z. B. Handwerker-Namen auf Rechnungen, Mieter-Namen auf Anschreiben, IBAN auf Belegen). Google verarbeitet die Anfragen über die kostenpflichtige Gemini API. Google verwendet die Inhalte vertraglich nicht zum Training von KI-Modellen (Google Cloud Customer Agreement und Gemini API Additional Terms, Stand 2026). Eingegebene Daten werden für maximal 24 Stunden bei Google zur Missbrauchsprüfung zwischengespeichert und danach gelöscht.

Keine automatisierte Entscheidung nach Art. 22 DSGVO. Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung findet nicht statt. KI-Vorschläge dienen ausschließlich der Vereinfachung manueller Eingaben. Jede KI-Aussage zeigt einen Konfidenz-Wert; Ergebnisse unter dem Schwellwert werden als "zu prüfen" markiert. Der Vermieter prüft und akzeptiert oder ändert die Vorschläge vor steuer- oder rechtsrelevanter Verwendung eigenständig.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) für die Kernfunktion der App; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Belegverarbeitung) für die KI-Unterstützung. Berechtigtes Interesse: Reduzierung manueller Eingaben und damit Fehlerquote bei Klein-Vermietern ohne Buchhaltungs-Erfahrung.

Widerspruchsrecht und Deaktivierung: Die KI-Funktion kann jederzeit pro Organisation in den Einstellungen (Smart Belege / KI-Verarbeitung) deaktiviert werden. Daraufhin werden neue Belege nur noch ohne KI-Hilfe gespeichert; bereits an Google übermittelte Daten unterliegen dem 24-Stunden-Löschungs-Regime.

Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen wir Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen haben. Die folgende Tabelle nennt alle aktiven Empfänger:

Eine aktualisierte Liste finden Sie jederzeit unter dieser Adresse. Wir informieren Sie vorab über geplante neue Auftragsverarbeiter.

Einige der oben genannten Dienste haben ihren Sitz in den USA. Halveo hat das Risiko dieser Drittlandsübermittlungen nach den Vorgaben des EuGH-Urteils Schrems II (C-311/18) und den Empfehlungen 01/2020 des Europäischen Datenschutzausschusses (EDSA) im Rahmen eines Transfer Impact Assessment (TIA) bewertet. Übermittlungen erfolgen auf folgender mehrstufiger Rechtsgrundlage:

Primäre Grundlage: EU-US Data Privacy Framework (DPF)

Der Adäquanzbeschluss der EU-Kommission vom 10.07.2023 erkennt das DPF als Grundlage gemäß Art. 45 DSGVO an. Halveo überträgt personenbezogene Daten ausschließlich an US-Anbieter, die unter dem DPF zertifiziert sind:

• Vercel Inc. - DPF-zertifiziert (Liste prüfbar unter dataprivacyframework.gov)
• Google LLC (Gemini API) - DPF-zertifiziert
• Stripe Inc. - DPF-zertifiziert
• Resend Inc. - DPF-zertifiziert
• GitHub Inc. (Microsoft) - DPF-zertifiziert

Subsidiäre Grundlage: EU-Standardvertragsklauseln (SCC)

Mit allen genannten Anbietern wurden zusätzlich die EU- Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 (Modul 2 - Controller to Processor) als Rückfall-Grundlage abgeschlossen. Sollte das DPF durch erneute EuGH-Rechtsprechung ungültig werden, greifen die SCC unverändert weiter.

Ergänzende technische und organisatorische Maßnahmen

• Transportverschlüsselung (TLS 1.2+) bei allen Übermittlungen
• Ruhe-Verschlüsselung (AES-256) bei Supabase Storage und Postgres
• Pseudonymisierung: Halveo überträgt Vermieter-Daten nicht im Klartext mit Realnamen-Identifikation an Drittparteien; KI-Anfragen tragen interne UUIDs statt Klarnamen
• Minimal-Prinzip: an Stripe geht nur die E-Mail-Adresse + Tarif, keine Mieter- oder Belegdaten
• Keine Speicherung sensitiver Daten nach Art. 9 DSGVO durch Halveo (z. B. Gesundheits-, Religions-, Gewerkschaftsdaten)
• Lange Backup-Aufbewahrungsfristen ausschließlich in EU-Regionen (Supabase Frankfurt, Vercel CDG/FRA)

Risiken durch US-Behördenzugriffe

Trotz DPF und SCC besteht ein theoretisches Risiko, dass US- Behörden (FBI, NSA) nach Section 702 FISA oder Executive Order 12333 auf Daten zugreifen, die bei US-Anbietern liegen. Das DPF enthält ein Beschwerdeverfahren über den Data Protection Review Court (DPRC). Halveo bewertet das Risiko für Vermieter-Daten als gering, da keine politisch oder geheimdienstlich interessanten Daten verarbeitet werden, und überträgt nur die für die jeweilige Funktion notwendigen Daten (z. B. nur Beleg-Inhalte an Gemini, keine Login-Daten oder Bankverbindungen).

Sie können der Verarbeitung durch US-Drittanbieter widersprechen, indem Sie die KI-Funktion deaktivieren (siehe Abschnitt 5) und auf US-basierten Push-Versand (Apple/Google Push-Notification-Services) verzichten. Halveo selbst läuft auf EU-Infrastruktur (Supabase EU Frankfurt, Vercel Frankfurt/CDG).

Halveo verwendet ausschließlich technisch notwendige Cookies und ähnliche Technologien im Sinne von § 25 Abs. 2 Nr. 2 TDDDG. Eine Einwilligung ist hierfür nicht erforderlich. Konkret:

• sb-access-token / sb-refresh-token: Login-Sitzung (Supabase Auth, HttpOnly, 1 Stunde / 30 Tage)
• active_org_id: zuletzt ausgewählte Organisation für Mehr-Konten-Nutzer (HttpOnly, 1 Jahr)
• view_mode: Umschaltung zwischen Vermieter- und Mieter-Ansicht (HttpOnly, 1 Jahr)
• Service Worker für Push-Benachrichtigungen und PWA-Offline-Funktion (nur nach ausdrücklicher Aktivierung im Profil)

Es kommen keine Tracking-Cookies, kein Google Analytics, kein Facebook Pixel, kein Hotjar und keine Marketing-Cookies zum Einsatz. Vercel Web Analytics ist cookieless und aggregiert.

Wenn Sie ein kostenpflichtiges Halveo-Abo abschließen, wickeln wir die Zahlung über Stripe ab. Halveo selbst speichert keine Kreditkarten- oder Bankdaten. Stripe erhält von uns lediglich Ihre E-Mail-Adresse, den gewählten Tarif und eine interne Organisations-Kennung. Stripe ist eigenständig Verantwortlicher für die Zahlungs-Daten, die Sie dort eingeben. Datenschutzhinweise: stripe.com/de/privacy.

Halveo bietet eine Funktion zur elektronischen Unterzeichnung von Dokumenten an. Bei Nutzung dieser Funktion werden folgende personenbezogene Daten verarbeitet:

• E-Mail-Adresse und ggf. Name des Unterzeichners (zur Identifikation)
• Unterschrift als Bilddatei (PNG, aus Canvas-Zeichnung)
• Audit-Daten: Zeitpunkt der Unterschrift, IP-Adresse, User-Agent (Browser-/Gerätekennung), Token-ID

Zweck: rechtssichere Dokumentation des Zustimmungs-Vorgangs als Beweis-Mittel im Streitfall (Beweiskraft nach § 286 ZPO i. V. m. Art. 25 eIDAS).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) für die Signatur selbst; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Beweisbarkeit) für die Audit-Daten.

Signatur-Art: Es handelt sich um eine einfache elektronische Signatur (EES) nach Art. 3 Nr. 10 eIDAS, nicht um eine qualifizierte (QES) oder fortgeschrittene (FES) Signatur. Für gesetzlich schriftformpflichtige Erklärungen (z. B. Kündigung eines Mietverhältnisses, langfristige Mietverträge über 1 Jahr) ist die EES nicht ausreichend. Details siehe § 13 der AGB.

Speicherdauer: Signaturen und Audit-Daten werden für die Dauer der Aufbewahrungsfrist des unterzeichneten Dokuments gespeichert (in der Regel 10 Jahre analog § 147 AO, § 257 HGB).

• Konto-Stammdaten: für die Dauer Ihres aktiven Halveo-Vertrags, danach 30 Tage Wiederherstellungs-Frist, anschließend Löschung.
• Mieter-Daten: für die Dauer des Mietverhältnisses plus 3 Jahre nach Auszug (allgemeine Verjährungsfrist § 195 BGB).
• Steuer- und handelsrechtlich relevante Belege: 10 Jahre (§ 147 AO, § 257 HGB).
• Schadensfotos und freie Anhänge: 6 Monate nach Abschluss des Vorgangs, sofern keine längere Aufbewahrungspflicht besteht.
• Server-Logs: maximal 14 Tage.
• Sentry-Fehlerberichte: 30 Tage.
• Gemini-API-Anfragen: bei Google maximal 24 Stunden zur Missbrauchskontrolle.

Sie haben jederzeit folgende Rechte uns gegenüber:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit -- Export Ihrer Daten in einem strukturierten, gängigen Format (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Anfragen senden Sie bitte an kontakt@meyso.de. Wir antworten innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).

Sie haben außerdem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Königstraße 10a, 70173 Stuttgart
poststelle@lfdi.bwl.de
baden-wuerttemberg.datenschutz.de

Wenn Sie Halveo als Vermieter nutzen, sind Sie für die in der App gespeicherten Daten Ihrer Mieter datenschutzrechtlich Verantwortlicher. Halveo verarbeitet diese Daten in Ihrem Auftrag (Art. 28 DSGVO). Den dafür notwendigen Auftragsverarbeitungsvertrag schließen wir mit Ihnen automatisch beim Abschluss des Halveo-Abos. Den vollständigen AVV-Text finden Sie unter /legal/avv.

Wir treffen technische und organisatorische Maßnahmen nach dem Stand der Technik, um Ihre Daten gegen Verlust, Zerstörung, Manipulation und unbefugten Zugriff zu schützen. Hierzu zählen insbesondere:

• TLS-Verschlüsselung sämtlicher Verbindungen (HTTPS)
• Verschlüsselung der Datenbank und der Datei-Uploads im Ruhezustand
• Row-Level-Security in der Datenbank: jede Anfrage prüft Berechtigung
• Passwörter werden nur als bcrypt-Hash gespeichert
• Regelmäßige Sicherheits-Audits, automatisierte Tests, Code-Review
• Tagesbasierte automatische Backups, Aufbewahrung 30 Tage

Wir aktualisieren diese Datenschutzerklärung, wenn neue Funktionen, neue Auftragsverarbeiter oder neue Rechtsgrundlagen hinzukommen. Maßgeblich ist die jeweils zum Zeitpunkt der Datenerhebung gültige Fassung. Bei wesentlichen Änderungen informieren wir Sie aktiv per E-Mail oder in der App.

Stand dieser Fassung: 06.05.2026.