← Zurück zur App

Datenschutzerklärung

Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 und 14 DSGVO bei der Nutzung von LageIQ.

Hinweis – interne Erprobung (Testbetrieb). Diese Datenschutzerklärung gilt für eine geschlossene, nicht öffentlich zugängliche Testphase von LageIQ (interne Erprobung). Die Verarbeitungen und Rechtsgrundlagen sind vollständig beschrieben; gold als Platzhalter gekennzeichnet sind nur die Angaben zum Verantwortlichen und einzelne organisatorische Punkte, die mit dem regulären Markteintritt (Gründung der Betreibergesellschaft) ergänzt werden.
Datensparsames Design: LageIQ speichert eingegebene Adressen nicht im Klartext in Betriebs-Protokollen (protokolliert wird nur die Zeichenlänge), lädt Kartenkacheln server-seitig als Proxy (Ihre IP erreicht die OpenStreetMap-Kachelserver nicht) und übermittelt an die meisten Drittdienste ausschließlich Koordinaten – keine Adressen. Es werden keine Tracking-, Analyse- oder Marketing-Cookies gesetzt; ein Cookie-Banner ist daher nicht erforderlich.

1. Verantwortlicher

[Platzhalter: Name / nach UG-Gründung Firma + Rechtsform + Geschäftsführer/in]
[Platzhalter: Ladungsfähige Anschrift – Straße, PLZ, Ort]
E-Mail: [Platzhalter: Kontakt-E-Mail]

Die Angaben entsprechen den Angaben im Impressum. Ein Datenschutzbeauftragter ist gesetzlich nicht zu bestellen (§ 38 BDSG), da nicht ständig mind. 20 Personen mit automatisierter Verarbeitung beschäftigt sind.

2. Überblick der Verarbeitungen und Rechtsgrundlagen

Nachfolgend beschreiben wir je Verarbeitungsvorgang, welche Daten zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange verarbeitet werden.

2.1  Betriebs-Protokolle der Anwendung

Was: Die Anwendung protokolliert bewusst nur die Anzahl der pro Analyse angefragten Adressen und die Zeichenlänge jeder Adresse – die Adresse selbst wird nicht im Klartext protokolliert.
Zweck: Stabiler Betrieb, Fehlerdiagnose, Missbrauchserkennung.
Speicherort/-dauer: Prozess-Protokoll (journald/systemd) auf dem Server in Deutschland; Rotation nach Server-Richtlinie.
Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (Betrieb/Sicherheit); nahezu kein Personenbezug, da nur Längenangaben

2.2  Zugriffsprotokolle des Webservers (IP-Adresse)

Was: Beim Aufruf fallen auf Ebene des vorgelagerten Webservers (Reverse-Proxy Caddy) IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Status und Browser-Kennung (User-Agent) an.
Zweck: HTTPS-Auslieferung, Betrieb, Abwehr von Angriffen.
Speicherort/-dauer: Server in Deutschland (Hetzner); Speicherdauer nach Server-Konfiguration [Platzhalter: konkrete Aufbewahrungsdauer der Caddy-IP-Logs auf dem Server festlegen/prüfen].
Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (Sicherheit/Betrieb)

2.3  Eingegebene Adressen (Analyse)

Was: Bis zu drei von Ihnen eingegebene Immobilien-/Wohnadressen als Volltext. Verarbeitung erfolgt server-seitig für Autovervollständigung und Analyse.
Zweck: Geocodierung (Adresse → Koordinaten), Abfrage von Infrastruktur-Daten und Standort-Scoring.
Speicherort/-dauer: Nur während der Analyse im Arbeitsspeicher; abgeleitete Ergebnisse im Cache (siehe 2.4). Die Bereitstellung der Adresse ist funktional erforderlich – ohne Adresse ist keine Analyse möglich.
Im kostenpflichtigen Vertragsbetrieb: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) · im kostenlosen Test: Art. 6 Abs. 1 lit. f DSGVO (Durchführung der gewünschten Analyse)

Hinweis: Geben Sie eine Adresse ein, die einer anderen Person zuzuordnen ist, verarbeiten wir insoweit Daten Dritter auf Grundlage unseres berechtigten Interesses an der Erbringung der von Ihnen angeforderten Analyse (Art. 6 Abs. 1 lit. f DSGVO). Eine direkte Information dieser Dritten ist uns mangels Kontaktdaten regelmäßig nicht möglich (Art. 14 Abs. 5 DSGVO).

2.4  Analyse-Cache

Was: Zur Vermeidung wiederholter Abfragen speichern wir Analyse-Ergebnisse zwischen. Der Zugriffsschlüssel ist mit SHA-256 gehasht; der gespeicherte Wert kann die vollständige, aufgelöste Adresse im Klartext (aufgelöster Adressname inkl. Straße/Hausnummer/PLZ) samt Koordinaten enthalten, dazu POI-, Isochronen- und Zensus-Werte.
Zweck: Performance, Kosten- und Rate-Limit-Schonung.
Speicherort/-dauer: Datei cache.json auf dem Server in Deutschland; Löschung nach Ablauf der Speicherfrist – Geocoding 30 Tage, POI (Overpass) und Isochronen je 7 Tage, Zensus 365 Tage.
Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (Effizienz/Kosten); Speicherbegrenzung durch feste Ablauffristen

Die im Cache genannten Zensus-2022-Kennwerte (z. B. Mietniveau, Eigentümer- und Leerstandsquote im 100-m-Raster) werden koordinatenbasiert aus lokal auf dem Server vorgehaltenen Rasterdaten des Statistischen Bundesamts (dl-de/by-2-0) ermittelt – hierfür erfolgt keine Übermittlung an externe Empfänger, und es besteht kein direkter Personenbezug (statistische Flächenwerte).

2.5  Technisch notwendiges Session-Cookie

Was: Zur Anmeldung setzen wir das Cookie lageiq_session mit einem signierten Token (HMAC-SHA256). Es enthält eine interne Kunden-Kennung, jedoch keine Klarnamen und dient ausschließlich der Authentifizierung – kein Tracking, keine Analyse.
Eigenschaften: HttpOnly, Secure, SameSite=Lax, Max-Age 7 Tage. Die Übertragung erfolgt ausschließlich über die per HTTPS/HSTS gesicherte Verbindung.
Admin-Bereich: Für die Betreiber-Verwaltung wird analog das Cookie lageiq_admin (Max-Age 12 Stunden) verwendet.
§ 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich – einwilligungsfrei) i.V.m. Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO

2.6  Schutz vor Missbrauch (Rate-Limiting)

Was: Zur Abwehr von Brute-Force und Überlastung zählen wir Anfragen je Client-IP in rollierenden 15-Minuten-Fenstern. Die IP wird nur transient im Arbeitsspeicher gehalten und nicht dauerhaft gespeichert.
Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (Sicherheit)

2.7  Kundenstammdaten (B2B-Vertragsbetrieb)

Was: Pro Kunde speichern wir eine interne ID, den Kunden-/Kontaktnamen (max. 80 Zeichen), den Zugangscode (Format LIQ-XXXX-XXXX), das monatliche Kontingent, den Aktiv-Status und das Anlagedatum.
Zweck: Zugangsverwaltung, Kontingentsteuerung, Vertragsabwicklung.
Speicherort/-dauer: Datei customers.json auf dem Server in Deutschland; Löschung auf Wunsch bzw. nach Vertragsende, soweit keine Aufbewahrungspflichten entgegenstehen.
Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen)

2.8  Nutzungs- und Abrechnungsprotokoll

Was: Je abgerechneter Analyse protokollieren wir Zeitstempel, die interne Kunden-ID (nicht Name oder Zugangscode), die Anzahl abgerechneter Einheiten und die Anzahl angefragter Adressen – keine Adressen im Klartext.
Zweck: Abrechnung und Nachweis der erbrachten Leistungen.
Speicherort/-dauer: Datei usage.jsonl auf dem Server in Deutschland; Aufbewahrung als Buchungs-/Abrechnungsbeleg nach den handels- und steuerrechtlichen Fristen (regelmäßig bis zu 10 Jahre, § 147 AO).
Art. 6 Abs. 1 lit. b DSGVO (Abrechnung) i.V.m. Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflicht)

2.9  Aggregierte Geocoder-Metriken (kein Personenbezug)

Was: Rein aggregierte Zählwerte je Monat und Anbieter (Anfragen, Erfolge, Fehler, Cache-Treffer). Keine Adressen, keine IP, kein Personenbezug – daher nicht Gegenstand der DSGVO.

3. Empfänger und eingebundene Dienste

Zur Erbringung der Analyse binden wir die folgenden Dienste ein. Mit Ausnahme der Geocodierung (Nominatim, siehe Abschnitt 4) erhalten diese Dienste ausschließlich Koordinaten – keine Adressen. Alle Dienste werden server-seitig aufgerufen, sodass Ihre IP-Adresse sie nicht erreicht.

Dienst Betreiber Zweck Übermittelte Daten Sitz
Nominatim OpenStreetMap Foundation Geocoding (Adresse → Koordinaten) Vollständiger Adressstring (server-seitig; Ihre IP wird nicht übermittelt) Großbritannien (UK)
Overpass API OpenStreetMap-Community (Haupt-/Mirror-Server sowie Fallback) POI-/Infrastruktur-Abfragen Nur Koordinaten Deutschland / Frankreich (Fallback)
openrouteservice HeiGIT gGmbH / Universität Heidelberg Fahrzeiten / Isochronen Nur Koordinaten Deutschland
BORIS-D (Bundesportal) IT.NRW für das BORIS-D-Bundesportal Amtliche Bodenrichtwerte Nur Koordinaten Deutschland
BORIS Berlin (WFS) Senatsverwaltung für Stadtentwicklung Berlin Bodenrichtwerte (Berliner Adressen) Nur Koordinaten Deutschland
OSM-Kachel-Proxy OpenStreetMap Foundation (server-seitig proxied) Kartendarstellung Nur Kachel-Koordinaten (z/x/y) – keine Client-IP, keine Adresse UK / EU
Hetzner Online GmbH Hetzner Online GmbH (Auftragsverarbeiter) Hosting / Betrieb Alle Serveranfragen inkl. IP (auf Server-/Proxy-Ebene) Deutschland
Datenschutzfreundliche Kartendarstellung: Kartenkacheln werden vom LageIQ-Server als Proxy von tile.openstreetmap.org geladen. Ihre IP-Adresse erreicht die OpenStreetMap-Kachelserver dadurch nicht. Auch Overpass, openrouteservice und BORIS erhalten nur Koordinaten, keine Adressen.

4. Drittlandübermittlung

Die einzige Übermittlung in ein Drittland betrifft die Geocodierung: Der vollständige Adressstring wird zur Auflösung in Koordinaten an Nominatim der OpenStreetMap Foundation mit Sitz im Vereinigten Königreich (UK) übermittelt (server-seitig; Ihre IP-Adresse wird dabei nicht übertragen).

Rechtsgrundlage der Übermittlung ist der Angemessenheitsbeschluss der EU-Kommission für das Vereinigte Königreich nach Art. 45 DSGVO (am 19.12.2025 verlängert, befristet bis 27.12.2031). Zusätzliche Garantien wie Standardvertragsklauseln sind daher derzeit nicht erforderlich. Nach Ablauf bzw. bei Wegfall des Beschlusses wird die Grundlage neu bewertet.

[Platzhalter: Geocoder-Entscheidung – falls auf einen in Deutschland/EU betriebenen bzw. selbst gehosteten Geocoder gewechselt wird, entfällt dieser gesamte Abschnitt 4 (keine Drittlandübermittlung mehr).]

5. Hosting und Auftragsverarbeitung

LageIQ wird bei der Hetzner Online GmbH in einem Rechenzentrum in Deutschland betrieben. Hetzner verarbeitet die anfallenden Serverdaten (inkl. IP-Adressen) ausschließlich weisungsgebunden als Auftragsverarbeiter.

Mit der Hetzner Online GmbH besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO (abgeschlossen am 08.07.2026).

Hetzner ist nach ISO/IEC 27001 zertifiziert und verfügt über ein BSI-C5-Typ-2-Testat; die technischen und organisatorischen Maßnahmen der Rechenzentren werden regelmäßig extern auditiert.

6. Speicherdauer – Überblick

7. Ihre Rechte

Ihnen stehen als betroffene Person folgende Rechte zu:

Zur Ausübung genügt eine formlose Nachricht an die unter Ziffer 1 genannten Kontaktdaten.

8. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet anderer Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist regelmäßig die Behörde am Sitz des Verantwortlichen:

[Platzhalter: Zuständige Datenschutz-Aufsichtsbehörde nach Sitz eintragen – z. B. bei Wohnsitz/Sitz in Sachsen: Sächsische Datenschutz- und Transparenzbeauftragte; bei UG entsprechend dem Gesellschaftssitz.]

9. Erforderlichkeit der Bereitstellung

Die Eingabe einer Adresse ist für die Durchführung der Analyse funktional erforderlich. Ohne Adresse kann keine Standortbewertung erstellt werden. Eine gesetzliche oder vertragliche Pflicht zur Bereitstellung besteht darüber hinaus nicht.

10. Automatisierte Bewertung (keine Entscheidung im Einzelfall)

Der von LageIQ erzeugte Standort-Score (0–100) ist eine automatisiert berechnete Einschätzung eines Standorts – nicht einer Person. Eine automatisierte Entscheidung im Einzelfall mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung gegenüber einer betroffenen Person im Sinne des Art. 22 DSGVO findet nicht statt.

11. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich der Dienst oder die Rechtslage ändert. Es gilt jeweils die hier veröffentlichte Fassung.

Stand: [Platzhalter: Datum bei Freigabe]