Gutachten
Datenschutzerklärung
Stand: 2026-06-10
1. Verantwortlicher
Thomas Alexander, Krim 1, 58540 Meinerzhagen, Deutschland — E-Mail: kontakt@aestimia.de.
2. Rollenverteilung: zwei Datenbereiche
Kontodaten: Für Konto-, Profil- und Abrechnungsdaten der Gutachter:innen ist der Betreiber selbst Verantwortlicher (Art. 4 Nr. 7 DSGVO).
Bewertungsdaten: Für Auftraggeber-, Eigentümer- und Objektdaten in Bewertungen ist die Gutachterin / der Gutachter Verantwortlicher; der Betreiber handelt als Auftragsverarbeiter (Art. 28 DSGVO) auf Grundlage eines AVV.
3. Verarbeitungen, Rechtsgrundlagen und Speicherdauer
Bereitstellung des Nutzerkontos (Registrierung, Anmeldung per Magic-Link, Gutachterprofil mit Kanzleidaten und Logo)
Datenkategorien: E-Mail-Adresse; Name und Kanzleidaten; Profil-Logo; optionaler eigener KI-API-Schlüssel (nur serverseitig).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Nutzungsverhältnis).
Speicherdauer: Bis zur Konto-Löschung durch die Nutzerin / den Nutzer; danach unverzügliche Löschung.
Erstellung und Verwaltung von Wertgutachten (Objekt-, Flurstücks- und Gebäudedaten, Berechnungen, Gutachten-Texte)
Datenkategorien: Objektadressen und Flurstücksdaten; Auftraggeber-Daten; Grundbuchauszüge (Eigentümer, Abt. II/III); Fotos, Pläne und Dokumente; Vor-Ort-Notizen inkl. Sprachaufnahmen und Transkripte.
Rechtsgrundlage: Auftragsverarbeitung (Art. 28 DSGVO) für die Gutachter:in als Verantwortliche; deren Rechtsgrundlage i. d. R. Art. 6 Abs. 1 lit. b DSGVO (Gutachtenvertrag).
Speicherdauer: Bis zur Löschung der Bewertung bzw. des Kontos durch die Nutzerin / den Nutzer.
KI-gestützte Textbausteine (Lagebeschreibung, Würdigungen, Baubeschreibung), Dokument-Extraktion (Grundbuch, Marktdaten) und Transkription von Sprachnotizen
Datenkategorien: Bewertungs- und Lagedaten; Grundbuchinhalte; Sprachaufnahmen.
Rechtsgrundlage: Auftragsverarbeitung; Übermittlung ausschließlich an EU-Anbieter (Mistral, Frankreich).
Speicherdauer: Keine dauerhafte Speicherung beim KI-Anbieter beauftragt; Ergebnisse werden in der Bewertung gespeichert.
Audit-Log sicherheits- und nachweisrelevanter Aktionen (Gutachten-Export, KI-Aufrufe, Datenexport, Löschanträge)
Datenkategorien: Nutzer-ID; Aktion und Zeitpunkt; betroffene Bewertung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Nachweis- und Transparenzpflichten, u. a. EU-AI-Act).
Speicherdauer: Bis zur Konto-Löschung (Einträge werden mit dem Konto entfernt).
4. Empfänger und Auftragsverarbeiter (Subprozessoren)
| Dienst | Zweck | Daten | Region | Garantien |
|---|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Datei-Speicher | Alle in der App gespeicherten Daten | EU (Frankfurt, AWS eu-central-1); US-Anbieter | AVV + EU-Standardvertragsklauseln (SCC); dokumentierter Exit-Pfad zu selbst gehostetem Postgres |
| Mistral AI | Einziger KI-Anbieter: Textgenerierung, Dokument-OCR, Sprach-Transkription | Zur Generierung übermittelte Bewertungs-/Lagedaten, Dokumentinhalte, Sprachaufnahmen | EU (Frankreich) | AVV; EU-Datenverarbeitung |
| Hetzner Online GmbH | Hosting der Anwendung (ab Launch-Stufe 1) | Technische Verbindungsdaten (IP, Logs) | Deutschland | AVV |
| Statistisches Bundesamt (Destatis GENESIS) | Baupreisindizes und Statistikdaten | Keine personenbezogenen Daten (reine Statistik-Abfragen) | Deutschland (Behörde) | Nicht erforderlich (keine pbD) |
| GeoSN / Geobasis NRW / LUIS Sachsen | Flurkarten, Bodenrichtwerte, Denkmal-/Umweltdaten | Koordinaten und Flurstückskennzeichen (eigentümerbeziehbar) | Deutschland (Behörden) | Öffentliche Geodienste; Abruf serverseitig |
| OpenStreetMap Overpass / Nominatim | Umfeld-Informationen (POIs) und Adress-Auflösung | Objektkoordinaten | EU-Instanzen (Drittbetreiber) | Dokumentiert; mittelfristig eigene Instanz geplant |
Künstliche Intelligenz wird ausschließlich über EU-Anbieter eingesetzt; jeder KI-generierte Gutachtentext durchläuft eine technische Verifikation und die Prüfung durch die Gutachterin / den Gutachter, bevor er exportiert werden kann.
5. Ihre Rechte
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO) — als Selbstbedienung unter Einstellungen → Profil → Daten & Konto
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) — als Selbstbedienung (JSON-Export) unter Einstellungen → Profil
- Widerspruch (Art. 21 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)