Rechtliches
Verantwortlich für die Datenverarbeitung in dieser Anwendung (app.eigenheimcheck.de) im Sinne des Art. 4 Nr. 7 DSGVO ist:
Eigenheimcheck GmbH
Kronenstraße 55
10117 Berlin
Telefon: +49 (0) 30 5587 4629
Mobil: +49 (0) 178 9751554
E-Mail: info@eigenheimcheck.de
Vertreten durch den Geschäftsführer: Alexander Tochtenhagen.
Handelsregister: Amtsgericht Charlottenburg, HRB 225247 B.
Wirtschafts-Identifikationsnummer nach § 139c Abs. 1 AO: DE410565251.
Erlaubnis als Immobiliardarlehensvermittler nach § 34i Abs. 1 Satz 1 GewO, erteilt durch das Bezirksamt Mitte von Berlin, Ordnungs- und Gewerbeamt, Karl-Marx-Allee 31, 10178 Berlin.
Registrierung im Vermittlerregister unter D-W-107-MIND-41 — abrufbar unter www.vermittlerregister.info.
Berufsbezeichnung: Immobiliardarlehensvermittler. Verliehen durch: Bundesrepublik Deutschland.
Diese Datenschutzerklärung gilt ausschließlich für die App app.eigenheimcheck.de (Beratungs-, Vermittlungs- und Kundenportal-System). Für die öffentliche Webseite eigenheimcheck.de gilt eine separate Datenschutzerklärung unter eigenheimcheck.de/datenschutz.
Diese Datenschutzerklärung ist nicht das Impressum. Die nach § 5 DDG erforderlichen Pflichtangaben (insbesondere Rechtsform, Vertretungsberechtigter, Registereintrag, Aufsichtsbehörde, Berufsbezeichnung) finden Sie unter /impressum.
Die App wird auf einem Server der Alfahosting GmbH, Edmund-von-Lippmann-Straße 13-15, 06112 Halle (Saale), Deutschland betrieben. Mit Alfahosting besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO (Version 2.0 vom 16.09.2025). Die Datenverarbeitung erfolgt ausschließlich in Deutschland, einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Die Datenübertragung zwischen Ihrem Browser und der App erfolgt verschlüsselt per TLS/HTTPS.
Bei jedem Zugriff auf die App werden technisch notwendige Server-Logdaten erhoben (IP-Adresse, Zeitstempel, abgerufene URL, User-Agent, Referrer). Diese werden ausschließlich zur Gewährleistung der technischen Sicherheit verarbeitet, nicht mit anderen Daten zusammengeführt und nach 7 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit).
Die App verarbeitet personenbezogene Daten in folgenden Bereichen:
| Bereich | Wer ist betroffen? | Abschnitt |
|---|---|---|
| Berater-Konten und Zugangsschutz | Berater, Geschäftsführung, Backoffice | § 4 |
| Antragsteller- und Vorgangsdaten | Kunden im Vermittlungsprozess | § 5 |
| Hochgeladene Unterlagen | Kunden | § 6 |
| Mail-Korrespondenz | Kunden, Berater, Banken, sonstige Korrespondenz-Partner | § 7 |
| Automatisierte Prozess-E-Mails | Kunden, Leads | § 8 |
| Kalender-Sync mit Apple iCloud | Kunden (Termin-Inhaber), Berater | § 9 |
| Online-Terminbuchung | Webseiten-Besucher | § 10 |
| Konditionsrechner (öffentlich, ohne Registrierung) | Webseiten-Besucher | § 10a |
| Selbstauskunfts-Formular | Kunden | § 11 |
| Kundenportal | Kunden | § 12 |
| Lead-Verwaltung | potenzielle Kunden | § 13 |
| Maklerportal (für externe Vermittler) | Makler, von Maklern angelegte Leads | § 14 |
| Drittsysteme: Europace / Banken | Antragsteller im Vermittlungsprozess | § 15 |
| Audit-Log und Sicherheits-Protokolle | alle App-Nutzer (Berater + Kunden) | § 16 |
| Interne Auswertungen / Kennzahlen | aggregiert | § 17 |
Berater, Backoffice-Mitarbeitende und Administratoren melden sich mit einem persönlichen Konto an der App an. Verarbeitet werden:
HttpOnly-Cookie hinterlegt, mit Secure- und SameSite=Lax-Schutz).Zweck: Zugangsschutz, Verhinderung unbefugter Zugriffe, Nachweis von Anmelde-Vorgängen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung Dienst-/Arbeitsverhältnis) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit).
Speicherdauer: Kontodaten so lange das Arbeits-/Dienstverhältnis besteht; Login-Aktivitäten 12 Monate.
Die Zwei-Faktor-Authentifizierung ist für alle Konten verpflichtend.
Im Beratungs- und Vermittlungsprozess werden personenbezogene Daten der Antragsteller verarbeitet. Dazu gehören:
Zweck: Vermittlung der Finanzierung, Beratungsdokumentation, Erfüllung gesetzlicher Vermittlungs- und Geldwäschepflichten.
Rechtsgrundlage:
Datenkategorien besonderer Art: Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO erheben wir nicht gezielt. In hochgeladenen Unterlagen können solche Angaben jedoch beiläufig enthalten sein — etwa Religionszugehörigkeit (Kirchensteuer auf Lohnabrechnungen), Gesundheitsdaten (Apotheken- oder Versicherungsbelege auf Kontoauszügen) oder Gewerkschaftsbeiträge. Bitte schwärzen Sie nicht erforderliche sensible Angaben vor dem Upload, soweit sie für die Finanzierungsprüfung nicht benötigt werden.
Empfänger: Berater intern (mandantenscharf), Europace-Plattform und die jeweiligen kreditgebenden Banken (siehe § 15).
Speicherdauer: siehe § 18.
Im Rahmen des Antragsprozesses werden Nachweis-Dokumente verarbeitet, die Kunden selbst hochladen oder die der Berater im Auftrag des Kunden ablegt. Typische Kategorien:
Zweck: Nachweisführung gegenüber kreditgebenden Banken, Erfüllung der Identifizierungspflicht nach § 10 GwG, Vermittlungsdokumentation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung aus GwG und ImmVermV).
Empfänger: zuständige Berater intern; die ausgewählte kreditgebende Bank (nach ausdrücklicher Freigabe pro Antrag); soweit für die Übermittlung erforderlich, die eingesetzte Vermittlungsplattform bzw. Pool-Anbindung (Europace, Starpool, Forum — siehe § 15).
Speicherort: verschlüsseltes Server-Volume des App-Hosters mit strenger Zugriffsbeschränkung pro Mandant und Vorgang.
Speicherdauer: siehe § 18.
Dokumente sind in der App ausschließlich für den zuständigen Berater sowie — bei Freigabe — für die jeweils ausgewählte Bank zugänglich. Eine Veröffentlichung oder Weitergabe an Dritte außerhalb der Vermittlungskette findet nicht statt.
Die App synchronisiert das vollständige geschäftliche E-Mail-Postfach des zuständigen Beraters (Microsoft 365), um Mails, die im Vermittlungs-Kontext eingehen oder ausgehen, in die zugehörige Beratungs-Akte einzuordnen.
Datenarten: Absender, Empfänger, Betreff, Mail-Inhalt, Anhänge, Mail-Header, Sende-/Empfangszeitpunkt.
Organisatorische Trennung: Das Postfach ist für die geschäftliche Korrespondenz vorgesehen und wird hierfür im Regelfall ausschließlich genutzt.
Zweck: Beratungs- und Vermittlungs-Dokumentation, Antrags-Kommunikation, Beweiserhalt im Sinne von § 257 HGB und § 147 AO für die geschäftliche Korrespondenz.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufzeichnungs-/Aufbewahrungspflichten) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Vermittlungs-Dokumentation).
Empfänger: Microsoft Ireland Operations Limited (Mail-Speicher), App-Datenbank (interne Spiegelung in die Beratungs-Akte).
Auftragsverarbeitung: Microsoft, Auftragsverarbeitungsvertrag besteht. Datenverarbeitung primär in der EU; im Rahmen der Konzernstruktur kann eine Übermittlung in Drittländer (z. B. USA) nicht vollständig ausgeschlossen werden. Microsoft Corporation ist nach dem EU-US Data Privacy Framework (DPF) auf der Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission vom 10. Juli 2023 (Art. 45 DSGVO) zertifiziert; ergänzend nutzt Microsoft Standardvertragsklauseln gemäß Art. 46 DSGVO als Fallback-Garantie.
Speicherdauer: Der App-Spiegel orientiert sich am Postfach-Stand. Löschungen im Postfach werden im Rahmen der technischen Synchronisation nachvollzogen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Geschäftliche Mails mit Vermittlungsbezug fallen unter die Aufbewahrungsfristen aus § 18.
Im Rahmen der Vermittlungsanbahnung versendet die App automatisch E-Mails:
Die genannten E-Mails dienen ausschließlich der konkreten Anfrage, der Vertragsanbahnung oder der Vertragsdurchführung. Es handelt sich nicht um Newsletter, nicht um allgemeine Werbung und nicht um andere werbliche Kommunikation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung / Vertragsdurchführung).
Empfänger: ausschließlich die jeweils adressierten Empfänger (Kunde, Lead, zuständiger Berater).
Versanddienstleister: Microsoft Graph als Versandinfrastruktur (siehe § 7).
Hinweis bei extern zugeleiteten Leads: Wenn wir Ihre Daten von einer dritten Stelle erhalten haben (z. B. von einem Makler-Partner, über ImmoScout24 oder einen vergleichbaren Vermittlungskanal), informieren wir Sie beim Erstkontakt — insbesondere in der ersten automatisierten E-Mail — über die Quelle Ihrer Daten, den Verarbeitungszweck, die Rechtsgrundlage und Ihr Widerspruchsrecht. Diese Information erfolgt gemäß Art. 14 DSGVO.
Eine Doppelung von Versand wird durch einen technischen Idempotenz-Mechanismus (eindeutige Kontext-Kennung pro automatischer Auslösung) verhindert.
Beratungs- und Kundentermine werden mit dem geschäftlichen iCloud-Kalender des zuständigen Beraters synchronisiert (CalDAV-Protokoll). Das iCloud-Konto wird ausschließlich für die berufliche Termin- und Kontaktverwaltung genutzt; private personenbezogene Daten Dritter werden in diesem Konto nicht verarbeitet. Soweit der Berater ergänzend eigene private Termine aus einem separaten privaten iCloud-Konto in diesen geschäftlichen Kalender einspiegelt, um Terminkonflikte auf seinen Endgeräten zu vermeiden, betrifft dies ausschließlich seine eigenen Termin-Daten — Kunden-Termine fließen in keinem Fall in das private iCloud-Konto.
Datenarten: Termin-Datum, Termin-Uhrzeit, Termin-Titel (kann den Namen des Kunden enthalten) und ein interner Vorgangs-Bezug. Telefonnummer und E-Mail-Adresse des Kunden werden im iCloud-Kalender nicht gespeichert. Wir setzen die Termin-Felder so, dass diese Kontaktdaten ausschließlich im Beratungssystem der App verbleiben.
Empfänger / externer Kalenderdienst: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA.
Rolle von Apple: Apple stellt iCloud auf Grundlage der iCloud-Geschäftsbedingungen bereit und sieht sich nach diesen Bedingungen nicht als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Apple ist für die in iCloud verarbeiteten Termin-Daten datenschutzrechtlich eigenständiger Verantwortlicher. Die Übermittlung der oben genannten Termin-Daten an Apple stellt damit eine Datenübermittlung an einen eigenständig Verantwortlichen dar.
Drittland-Übermittlung: Die Verarbeitung erfolgt teilweise in den USA. Apple Inc. ist nach dem EU-US Data Privacy Framework (DPF) auf der Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission vom 10. Juli 2023 (Art. 45 DSGVO) für die Übermittlung personenbezogener Daten aus der EU in die USA zertifiziert. Sollte der DPF-Beschluss zukünftig wegfallen, stützen wir die Übermittlung ergänzend auf Standardvertragsklauseln gemäß Art. 46 DSGVO.
Zweck: Konsistente Termin-Sicht für den Berater auf seinen Endgeräten (Mobil + Desktop).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem einheitlichen Berater-Kalender); für den Termin-Inhaltsbezug zu einem konkreten Kundentermin auch Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).
Speicherdauer: Der Termin verbleibt im iCloud-Kalender, solange der Berater ihn dort nicht löscht. Die App pflegt eine eigene Termin-Tabelle, die der Aufbewahrungs-Logik aus § 18 folgt.
Über die App können Webseiten-Besucher öffentlich einen Beratungstermin buchen (app.eigenheimcheck.de/buchung/…). Verarbeitet werden:
Zweck: Terminvereinbarung mit dem zuständigen Berater.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Anfrage des Betroffenen).
Empfänger: Berater intern; iCloud-Kalender (siehe § 9).
Speicherdauer: Termin und Buchungs-Datensatz bis 1 Jahr nach Termin-Abhaltung; bei Übergang in eine Beratung folgt die weitere Verarbeitung den Vorgangs-Fristen aus § 18.
Eine Stornierung ist über den in der Bestätigungs-E-Mail enthaltenen Link jederzeit möglich.
Unter app.eigenheimcheck.de/rechner stellen wir einen Konditionsrechner zur Verfügung, der ohne Registrierung und ohne direkte Identifizierung indikative Finanzierungs-Konditionen liefert.
Was Sie eingeben: Kaufpreis, Eigenkapital, gewünschte Tilgung, Sondertilgung, Sollzinsbindung, Bereitstellungszinsfreie Zeit, monatliches Nettoeinkommen. Diese Angaben sind rein finanzieller Natur.
Was Sie nicht eingeben — und nicht angeben müssen: Der Rechner erhebt keinen Namen, keine Adresse, keine E-Mail-Adresse und keine Telefonnummer. Beim Aufruf entstehen lediglich technische Server-Logdaten gemäß § 2.
Was technisch passiert: Europace nutzt für die Berechnung einen vordefinierten Mock-Vorgang. Wir übertragen Europace ausschließlich Ihre finanziellen Eckdaten und Ihr Nettoeinkommen — keine Adresse. Die im Mock-Vorgang bei Europace hinterlegte Template-Adresse bleibt unverändert stehen.
Übertragungs-Pfad: Der Aufruf der Europace-Konditions-API erfolgt serverseitig durch unseren App-Server. Ihr Browser kommuniziert ausschließlich mit unserem Server (app.eigenheimcheck.de/api/public/pricing); Ihre IP-Adresse, Ihr User-Agent und vergleichbare Browser-Kennungen werden nicht an Europace übermittelt.
Empfänger: Eigenheimcheck App (eigener Server), darüber Europace-Plattform für die Konditionsberechnung.
Zweck: Indikative Konditionen für eine erste Orientierung. Keine verbindliche Zusage, keine Bonitätsprüfung, keine Antragstellung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer informativen Konditionen-Anzeige).
Speicherdauer: Die Anfrage wird nicht dauerhaft gespeichert. Der Mock-Vorgang in Europace wird bei jeder Anfrage überschrieben. Auf unseren Servern entstehen Server-Logs gemäß § 2.
Vor einem ersten persönlichen Termin können Sie auf Wunsch über einen individuell erzeugten Link Ihre Selbstauskunft direkt online abgeben (app.eigenheimcheck.de/selbstauskunft/[Token]/…).
Datenarten: Alle Felder analog zu § 5 (Stammdaten, Bonität, Haushalt, Vorhaben). Alle Felder sind freiwillig. Eingaben werden automatisch zwischengespeichert (Auto-Save), sodass das Formular auch in mehreren Schritten ausgefüllt werden kann.
Zugangsschutz: Der Zugangs-Link enthält einen Zufallswert mit 256 Bit Entropie. Auf unseren Servern wird ausschließlich ein kryptografischer Hash dieses Zufallswerts gespeichert; den Klartext erhalten Sie nur einmalig in der Einladungs-E-Mail. Der Link ist standardmäßig 30 Tage gültig.
Zweck: Vorab-Erhebung Ihrer Daten ohne Termin, damit die Beratung effizient verläuft.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme auf Ihre Anfrage).
Empfänger: ausschließlich der zuständige Berater.
Speicherdauer: Selbstauskunfts-Daten werden in den Beratungs-Vorgang übernommen und folgen dann § 18. Ohne Übernahme: Löschung mit Ablauf des Tokens.
Wenn für Sie ein Vorgang in unserem System angelegt ist, können Sie auf Wunsch über das Kundenportal (app.eigenheimcheck.de/kundenbereich/[Token]/…) Einsicht in Ihren Vorgang nehmen, Unterlagen verwalten, Ihre Selbstauskunft bearbeiten und Datenschutz-Anträge stellen.
Authentifizierung: Magic-Link-Token (URL aus Ihrer Einladungs-E-Mail) in Kombination mit einem Passwort, das Ihnen Ihr Berater auf einem zweiten Kanal übermittelt. Der Token authentifiziert den Zugang, das Passwort schaltet ihn frei. Eine Browser-Session bleibt höchstens vier Stunden aktiv; danach ist eine erneute Passwort-Eingabe erforderlich.
Bereichs-Freigabe durch den Berater: Welche Inhalte das Portal anzeigt, steuert Ihr Berater pro Zugang. Zur Wahl stehen Vorhaben, Finanzierungsoptionen, Bearbeitungsstatus, persönliche Unterlagen, Selbstauskunft, aktuelle Objekte, Einstellungen und Konditionsrechner. Nicht freigegebene Bereiche sind für Sie im Portal nicht sichtbar.
Sichtbarkeit bei gemeinsamen Vorgängen: Ein Vermittlungsvorgang kann mehrere Haushalte umfassen. Jeder Kundenportal-Zugang ist an einen Vorgang und einen Haushalt gebunden. Daraus ergeben sich zwei Sichtbarkeitsebenen:
Für Vorgänge mit mehreren Antragstellern im selben Haushalt (typischer Ehepaar-Fall) wird in der Regel ein gemeinsamer Zugang pro Haushalt vergeben — alle Antragsteller dieses Haushalts nutzen denselben Zugang und sehen dieselben Inhalte. Ihr Berater spricht den Sichtbarkeits-Modus mit Ihnen vor Vergabe des Zugangs ab.
Einwilligung zur Information eines vermittelnden Makler-Partners: Sofern ein Makler-Partner an Ihrem Vorgang beteiligt ist, fragt das Portal Sie beim ersten Login, ob dieser Makler-Partner über den Fortschritt informiert werden darf. Diese Einwilligung können Sie jederzeit über den Einstellungen-Tab des Portals widerrufen. Zeitpunkt der Erteilung, IP-Adresse und User-Agent werden als Beleg gespeichert.
Zweck: Selbst-Service-Zugang, Transparenz über die Verarbeitung Ihrer Daten, Wahrnehmung Ihrer Betroffenenrechte.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung); für die Datenschutz-Antragsbearbeitung zusätzlich Art. 6 Abs. 1 lit. c DSGVO (Art. 15, 17 DSGVO); für die Information eines Makler-Partners Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Wenn wir mit Ihnen erstmals Kontakt aufnehmen oder Ihren Kontakt aus einer externen Quelle erhalten (z. B. von einem Makler-Partner, durch CSV-Import oder über einen Lead-Anbieter), legen wir Sie in unserem Lead-Bereich an.
Datenarten: Vorname, Nachname, E-Mail, Telefon, ggf. Wohnort/PLZ, Anliegen-Beschreibung, Quelle, Wunsch-Vorhaben (Kaufpreis, Eigenkapital), Bearbeitungs-Status.
Quelle der Daten (Pflicht nach Art. 14 DSGVO bei Erstkontakt): Wenn wir Ihre Daten nicht direkt von Ihnen, sondern von einer dritten Stelle erhalten haben, teilen wir Ihnen das bei erstem Kontakt mit, einschließlich der konkreten Quelle. Mögliche Quellen sind:
Zweck: Vertriebsprozess vor Abschluss eines Vermittlungsvertrags.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme bei eigener Anfrage) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Vermittlungstätigkeit) bei extern zugespielten Leads, mit Widerspruchsrecht.
Speicherdauer: Leads ohne weitere Verarbeitung werden 1 Jahr nach Statuswechsel auf „verloren" automatisch aus dem aktiven System gelöscht; Sicherungskopien werden im Rahmen der regulären Backup-Rotation (siehe § 18) überschrieben. Bei Übergang in einen Beratungs-Vorgang gelten anschließend die Fristen aus § 18.
Makler-Partner, die mit uns kooperieren, haben Zugang zu einem eigenen Makler-Portal (app.eigenheimcheck.de/makler-portal/…), in dem sie eigene Leads und ihre Provisionsabrechnungen einsehen können.
Verarbeitete Makler-Stammdaten: Name, Vorname, Anschrift, IBAN, BIC, Umsatzsteuer-ID, Steuernummer, Provisions-Konditionen.
Verarbeitete Lead-Daten: Leads, die der Makler-Partner selbst angelegt hat, sind ausschließlich für diesen Makler-Partner und den zuständigen Berater sichtbar. Datentrennung gegenüber anderen Makler-Partnern ist strikt erzwungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung Kooperationsvertrag mit dem Makler) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Provisionsabrechnung).
Makler unterliegen ihrer eigenen datenschutzrechtlichen Verantwortung für die Daten, die sie selbst erheben und an uns weitergeben.
Zur Konditionen-Ermittlung und Vermittlung Ihrer Finanzierung nutzen wir die Vermittlungsplattform „Europace". An der Plattform sind, je nach Produkt und Verarbeitungsschritt, unterschiedliche Gesellschaften der Hypoport-Gruppe beteiligt — insbesondere:
Welche Gesellschaft in welcher datenschutzrechtlichen Rolle (Auftragsverarbeiter, gemeinsam Verantwortlicher, eigenständiger Verantwortlicher) für welchen Verarbeitungsschritt steht, ergibt sich aus den jeweiligen Plattform- und Produktverträgen. Eine eigene Datenschutzerklärung der Hypoport-Gruppe finden Sie unter europace.de/europace-datenschutz-plattform.
Was wir übermitteln: Bei der Konditionen-Ermittlung übermitteln wir Ihre vermittlungsrelevanten Daten (Stammdaten, Bonitätsdaten, Immobilien-/Vorhabensdaten) an die Europace-Plattform. Im Rahmen einer Antragstellung werden diese Daten zusätzlich an die von Ihnen ausgewählte kreditgebende Bank weitergeleitet.
Empfänger: Europace-Plattform-Gesellschaften (Berlin, Deutschland) sowie die jeweils kreditgebende Bank.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vermittlungs-Vertragsdurchführung).
Eigenständige Verantwortlichkeit der Banken: Sobald Ihre Daten an eine kreditgebende Bank weitergeleitet sind, verarbeitet diese Bank Ihre Daten in eigener datenschutzrechtlicher Verantwortung für ihre Kreditentscheidung — einschließlich einer eventuellen Bonitätsabfrage bei Auskunfteien (z. B. SCHUFA). Die Datenschutzerklärung der jeweiligen Bank ist zu beachten.
Wichtig: Eine SCHUFA-Abfrage durch uns selbst findet nicht statt. Diese erfolgt ausschließlich durch die kreditgebende Bank im Rahmen ihrer eigenen Antragsbearbeitung.
Aus Gründen der Nachweisführung (Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht) und der IT-Sicherheit protokolliert die App folgende Ereignisse:
Schutz: Die Audit-Log-Tabellen sind durch einen Datenbank-Trigger gegen nachträgliches Verändern oder Löschen geschützt (append-only).
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung — Rechenschaftspflicht, GoBD), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse Sicherheit).
Empfänger: intern, nur autorisierte Administratoren und Backoffice.
Speicherdauer: gekoppelt an die zugrundeliegenden Akten — siehe § 18. Werden die zugrundeliegenden Daten gelöscht, wird der Audit-Log-Bezug entsprechend pseudonymisiert (Personenbezug fällt weg, technische Zeile bleibt erhalten).
In der Geschäftsleitungs-Ansicht der App werden tagesweise aggregierte Kennzahlen über Lead-Quellen, Konvertierungs-Raten und Volumen-Daten dargestellt. Bei kleinen Stichproben (z. B. wenn nur ein konvertierter Lead aus einer bestimmten Quelle vorliegt) kann eine faktische Re-Identifikation möglich sein — die Auswertung ist insoweit als pseudonyme Verarbeitung anzusehen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Geschäftsführungs-Kennzahlen).
Empfänger: ausschließlich Geschäftsführung und Berater im jeweiligen Mandanten.
Speicherdauer: Aggregat-Tabellen bleiben für Trend-Stabilität langfristig erhalten; die zugrundeliegenden Vorgangs- und Provisionsdaten folgen § 18.
| Datenkategorie | Frist | Rechtsgrundlage der Aufbewahrung |
|---|---|---|
| Vermittlungs-Aufzeichnungen (Name/Anschrift Auftraggeber, Entgelt, Tag und Grund der Auftragsbeendigung) | 5 Jahre ab Ende des Kalenderjahres, in dem der letzte aufzeichnungspflichtige Vorgang für den Auftrag angefallen ist | § 14 Abs. 1 und 2 ImmVermV |
| Handels-Korrespondenz mit Vermittlungs- oder Vertragsbezug | 6 Jahre | § 257 Abs. 1 Nr. 2, Abs. 4 HGB |
| Buchungsbelege (Provisionen, Honorare, Rechnungen) | 10 Jahre | § 257 Abs. 1 Nr. 4, Abs. 4 HGB; § 147 Abs. 1 Nr. 4, Abs. 3 AO |
| Identifizierungsdaten nach Geldwäschegesetz (Ausweis-Kopien, Identifizierungsprotokoll) | 5 Jahre ab Ende der Geschäftsbeziehung | § 8 Abs. 4 i. V. m. § 10 GwG |
| Steuerlich relevante Unterlagen (Steuerbescheide, BWAs) | 10 Jahre | § 147 AO |
| Leads ohne Beratungs-Abschluss (Status „verloren") | 1 Jahr ab Statuswechsel auf „verloren", danach automatische Löschung | Speicherbegrenzung Art. 5 Abs. 1 lit. e DSGVO |
| Buchungs-Datensätze (Termine) ohne Vorgangs-Übergang | 1 Jahr ab Termin | berechtigtes Interesse + Speicherbegrenzung |
| Server-Logfiles | 7 Tage | Sicherheit, Art. 6 Abs. 1 lit. f DSGVO |
| Login-Aktivitäten | 12 Monate | Sicherheit, Art. 6 Abs. 1 lit. f DSGVO |
| Audit-Log-Einträge | gekoppelt an die referenzierte Akte | Rechenschaftspflicht Art. 5 Abs. 2 DSGVO |
| Backups | bis zu 30 Tage rollierend, verschlüsselt | technisch-organisatorische Maßnahme |
Wo mehrere Aufbewahrungsfristen parallel gelten (z. B. wenn eine Vermittlungs-Akte zugleich Buchungsbelege enthält), gilt die längste anwendbare Frist für die jeweils betroffenen Daten.
Verarbeitungseinschränkung nach Löschantrag: Wenn eine Löschung wegen einer gesetzlichen Aufbewahrungsfrist nicht erfolgen kann, wird die Verarbeitung der betroffenen Daten gemäß Art. 18 DSGVO eingeschränkt. Die Daten bleiben dann erhalten, werden aber bis zum Ablauf der Frist nicht weiter aktiv verarbeitet.
Sie haben uns gegenüber folgende Rechte:
Auskunfts- und Löschanträge können Sie direkt im Kundenportal stellen (app.eigenheimcheck.de/kundenbereich/[Token]/datenschutz). Wir bearbeiten Anträge innerhalb der gesetzlichen Frist von einem Kalendermonat (Art. 12 Abs. 3 DSGVO) und informieren Sie schriftlich über das Ergebnis. Bei besonderer Komplexität kann die Frist um bis zu zwei weitere Monate verlängert werden — wir teilen Ihnen das in diesem Fall innerhalb der Erstfrist mit.
Alternativ können Sie sich jederzeit unter info@eigenheimcheck.de an uns wenden.
Unbeschadet eines anderweitigen Rechtsbehelfs steht Ihnen das Recht zu, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Arbeitsorts oder Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO).
Zuständige Aufsichtsbehörde für Eigenheimcheck (Sitz Berlin):
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
Telefon: 030 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Wir setzen technische und organisatorische Maßnahmen ein, die dem Risiko der Verarbeitung angemessen sind, insbesondere:
tenant_id, mehrdeutige Treffer werden hart abgewehrt und protokolliert,Die App verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Anwendung erforderlich sind:
ehc_session — Anmelde-Cookie für interne Konten (Berater, Backoffice, Geschäftsleitung, Makler-Partner im Maklerportal). HttpOnly, Secure, SameSite=Lax. Inhalt: signiertes Session-Token. Lebensdauer: bis zu 24 Stunden, danach ist ein erneutes Login mit Passwort und Zwei-Faktor-Code nötig.ehc_challenge — kurzlebiges Übergangs-Cookie zwischen Passwort-Eingabe und Zwei-Faktor-Bestätigung. HttpOnly, Secure, SameSite=Lax. Lebensdauer: 5 Minuten; wird nach erfolgreicher 2FA-Bestätigung automatisch gelöscht.ehc_kundenbereich — Session-Cookie beim Kundenportal (Login mit Magic-Link-Token plus Passwort). HttpOnly, Secure, SameSite=Strict. Inhalt: signiertes Session-Token. Endet spätestens vier Stunden nach Login oder mit Schließen des Browsers.ehc_kunden_upload — Session-Cookie für tokenbasierte Kunden-Funktionen (Selbstauskunft-Formular, Datei-Upload ohne Konto). HttpOnly, Secure in Produktion, SameSite=Strict. Inhalt: kryptografischer Hash des Upload-Tokens. Lebensdauer: bis zu 24 Stunden.Cookies für Statistik-, Marketing- oder Tracking-Zwecke werden in der App nicht gesetzt. Die genannten Cookies sind im Sinne von § 25 Abs. 2 Nr. 2 TDDDG unbedingt erforderlich, damit die App ihre vom Nutzer angeforderten Funktionen erbringen kann — eine Einwilligung nach § 25 Abs. 1 TDDDG ist daher nicht erforderlich.
Zur Transparenz halten wir ausdrücklich fest, dass über die App nicht stattfinden:
Automatisierte Entscheidung im Einzelfall (Art. 22 DSGVO): Eine ausschließlich automatisierte Entscheidung gemäß Art. 22 DSGVO mit rechtlicher Wirkung für Sie findet in dieser App nicht statt. Die Annahme oder Ablehnung Ihrer Finanzierungsanfrage erfolgt durch die kreditgebende Bank in deren eigener Verantwortung.
Wir aktualisieren diese Datenschutzerklärung, wenn sich Änderungen in unseren Verarbeitungs-Prozessen oder in der Rechtslage ergeben. Die jeweils aktuelle Fassung finden Sie ständig unter dieser URL.
Stand dieser Fassung: 2026-05-18.
Für Fragen zur Verarbeitung Ihrer Daten in dieser App wenden Sie sich an:
Eigenheimcheck GmbH
Kronenstraße 55
10117 Berlin
E-Mail: info@eigenheimcheck.de