Datenschutzerklärung

1. Verantwortlicher für die Datenverarbeitung

tevaxia.lu
Kontakt : contact@tevaxia.lu

2. Erhobene Daten

Navigationsdaten:
Technische Cookies, die für den Betrieb der Website erforderlich sind. Google Analytics (mit vorheriger Einwilligung) zur Besuchermessung: besuchte Seiten, Besuchsdauer, Browsertyp, anonymisierte IP-Adresse.

Benutzerkonto:
E-Mail-Adresse, Name (optional), Beruf (optional), gehashtes Passwort. Sie können ein Konto per E-Mail/Passwort oder über einen Drittanbieterdienst (Google, LinkedIn) erstellen.

OAuth-Anmeldung (Google, LinkedIn):
Nur Ihre E-Mail-Adresse und Ihr Name werden von diesen Diensten übermittelt. Wir erhalten weder Ihr Passwort noch Ihre Kontakte oder sonstige Daten Ihres Drittanbieterkontos. Die Authentifizierung wird von Supabase Auth über das OAuth 2.0 / OpenID Connect-Protokoll verwaltet.

Simulationsdaten:
In die Rechner und Simulatoren eingegebene Daten (Beträge, Flächen, Energieparameter, Mietobjekte usw.) werden im localStorage Ihres Browsers gespeichert und — wenn Sie angemeldet sind — mit Supabase synchronisiert, damit Sie von jedem Gerät aus darauf zugreifen können. Obergrenze 500 Einträge pro kostenlosem Nutzer (10 000 für Pro-Plan), 180-Tage-Aufbewahrung ab der letzten Änderung, automatische tägliche Bereinigung darüber hinaus.

Gutachterprofil:
Name, Unternehmen, berufliche Kontaktdaten — gespeichert im localStorage Ihres Browsers oder in Supabase, wenn Sie angemeldet sind. Diese Daten dienen der Personalisierung von Bewertungsberichten.

Professionelle B2B-Betriebsdaten:
Professionelle Nutzer (Syndics, Immobilienagenturen, Hoteliers) geben in die Module Syndic/CRM/PMS Daten über Dritte ein: Miteigentümer (Name, Los, IBAN, Saldo), Hotelgäste (Name, Aufenthaltsdaten, Adresse, tokenisierte Kartennummer), CRM-Kontakte (Name, E-Mail, Telefon, Kaufkriterien), Immobilienmandate. Für diese Daten agiert tevaxia als Auftragsverarbeiter gemäß DSGVO Art. 28: Der professionelle Nutzer ist Verantwortlicher und muss über eine angemessene Rechtsgrundlage verfügen (Erfüllung eines Syndic-Vertrags, Beherbergungsvertrags, Immobilienmandats).

PSD2-Bankdaten (Enable Banking-Verbindung):
Wenn Sie ein Bankkonto über den PSD2-Dienst Enable Banking (AIS — Account Information Service) für den automatischen Abgleich verbinden, werden die abgerufenen Transaktionen (Bezeichnung, Betrag, Datum, Referenz) während des Abgleichs im Arbeitsspeicher verarbeitet und nicht über die Sitzung hinaus auf unseren Servern gespeichert. Die PSD2-Verbindung hat eine maximale Dauer von 90 Tagen, vorgeschrieben durch die EU-Verordnung 2015/2366, erneuerbar durch Ihre Bank via SCA. Der JWT-Privatschlüssel zum Signieren der Anfragen bleibt auf dem tevaxia-Server, nie dem Browser ausgesetzt.

Rechnungs-OCR & Dokumente — lokale Verarbeitung:
PDFs und Bilder, die im Rechnungs-OCR-Modul hochgeladen werden, werden ausschließlich in Ihrem Browser verarbeitet (PDF.js für Textextraktion, Tesseract.js für Scan-OCR). Keine Datei, kein Bild, kein extrahierter Text wird an einen KI-Drittanbieter-Dienst (OpenAI, Anthropic, Google, Mistral) oder an unsere Server gesendet. Nur die von Ihnen ausdrücklich validierten strukturierten Daten (Lieferant, Betrag, IBAN, MwSt.…) werden anschließend in Supabase gespeichert.

Zahlungsdaten (Stripe):
Wenn Sie einen kostenpflichtigen Plan abonnieren, wird die Zahlungsabwicklung (Kreditkarte, SEPA) vollständig von Stripe Payments Europe Limited (Irland) durchgeführt. tevaxia erhält und speichert niemals Ihre vollständige Kartennummer: Nur eine Stripe-Kunden-ID, die letzten 4 Ziffern Ihrer Karte und ihr Ablaufdatum werden in unserer Datenbank aufbewahrt, damit Sie Ihr Abonnement verwalten können.

3. Verarbeitungszwecke

• Betrieb des Dienstes (Berechnungen, Simulationen, Ergebnisanzeige)
• Speicherung von Simulationen und Bewertungen in Ihrem Konto
• Personalisierung der Bewertungsberichte (Gutachterprofil)
• Verbesserung des Dienstes (anonymisierte Besucherstatistiken)

4. Rechtsgrundlage der Verarbeitung

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): analytische Cookies von Google Analytics.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Erstellung und Verwaltung Ihres Kontos, Speicherung Ihrer Simulationen.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Verbesserung des Dienstes, Sicherheit der Plattform.

Sie können Ihre Einwilligung jederzeit für auf dieser Grundlage beruhende Verarbeitungen widerrufen.

5. Auftragsverarbeiter

6. Aufbewahrungsdauer

• Kontodaten: bis zur Kontolöschung durch den Nutzer aufbewahrt.
• Simulationsdaten (gespeicherte Bewertungen, Mietobjekte): 180 Tage ab letzter Änderung, Obergrenze 500 Einträge pro kostenlosem Konto (10 000 für Pro-Plan). Automatische tägliche Bereinigung um 03:00 UTC darüber hinaus. Lokale Daten (localStorage) bleiben verfügbar, solange der Browser nicht geleert wird.
• Öffentliche Freigabelinks: standardmäßig 90 Tage, Dauer vom Nutzer konfigurierbar (1-365 Tage) bei der Erstellung, mit optionaler Ansichtenbegrenzung.
• Cookies: maximal 13 Monate.
• B2B-Betriebsdaten (Miteigentümer, Hotelgäste, CRM-Kontakte): aufbewahrt für die Dauer des Dienstleistungsvertrags mit dem professionellen Nutzer. Spezifische LU-Aufbewahrungspflichten gelten (Buchhaltung und Rechnungen 10 Jahre Art. L.16-2 Handelsgesetzbuch, Hauptversammlungsprotokolle 10 Jahre, AML/KYC-Daten 5 Jahre).
• PSD2 Enable Banking-Daten: Banktransaktionen im Arbeitsspeicher abgerufen, über die Sitzung hinaus nicht persistiert. PSD2-Verbindung: maximal 90 Tage (erneuerbar via SCA).
• Rechnungs-OCR: Hochgeladene PDFs/Bilder werden niemals auf unseren Servern gespeichert — 100% Browser-Verarbeitung. Nur vom Nutzer validierte strukturierte Daten werden gespeichert.

7. Ihre Rechte

Gemäß der Datenschutz-Grundverordnung (DSGVO) und dem luxemburgischen Gesetz vom 1. August 2018 haben Sie folgende Rechte:

• Recht auf Auskunft über Ihre personenbezogenen Daten
• Recht auf Berichtigung
• Recht auf Löschung („Recht auf Vergessenwerden“)
• Recht auf Datenübertragbarkeit — Schaltfläche « Alle meine Daten exportieren (JSON) » verfügbar im Bereich « Daten & Plan » Ihres Profils
• Widerspruchsrecht gegen die Verarbeitung

Um diese Rechte auszuüben, kontaktieren Sie uns unter contact@tevaxia.lu.

8. Cookies

• Technische Cookies (notwendig): unverzichtbar für den Betrieb der Website (Spracheinstellungen, Sitzung). Keine Einwilligung erforderlich.
• Analytische Cookies (Einwilligung): Google Analytics, werden nur nach ausdrücklicher Einwilligung gesetzt. Ermöglichen anonymisierte Besuchermessung.
• Authentifizierungs-Cookies: Supabase-Sitzungsverwaltung (Anmeldetoken). Erforderlich für die Benutzerkontofunktionalität.

9. Datenübermittlung außerhalb der Europäischen Union

Einige unserer Auftragsverarbeiter befinden sich in den Vereinigten Staaten. Diese Übermittlungen werden durch von der Europäischen Kommission genehmigte Standardvertragsklauseln und/oder den Angemessenheitsbeschluss zum EU-US Data Privacy Framework geregelt.

Konto- und Simulationsdaten werden von Supabase auf Servern in der Europäischen Union gehostet (AWS eu-central-1, Frankfurt, Deutschland).

10. Sicherheitsmaßnahmen

Wir setzen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten um:

• Verschlüsselung der Kommunikation über HTTPS (TLS)
• Content Security Policy (CSP)
• Row Level Security (RLS) auf Supabase: Jeder Nutzer kann nur auf seine eigenen Daten zugreifen
• Gehashte Passwörter (werden niemals im Klartext gespeichert)
• Lokale Browser-Verarbeitung für Rechnungs-OCR (PDF.js + Tesseract.js): kein Dokument an externen KI-Dienst gesendet
• PSD2-Schlüssel in Server-Umgebungsvariablen gespeichert, JWT RS256-Signatur für jede Bankanfrage

11. Datenschutzbeauftragter / Kontakt

Bei Fragen zum Schutz Ihrer personenbezogenen Daten können Sie uns kontaktieren unter contact@tevaxia.lu.

12. Beschwerderecht

Wenn Sie der Meinung sind, dass die Verarbeitung Ihrer personenbezogenen Daten einen Verstoß gegen die DSGVO darstellt, haben Sie das Recht, eine Beschwerde bei der luxemburgischen Aufsichtsbehörde einzureichen:

Commission Nationale pour la Protection des Données (CNPD)
15 Boulevard du Jazz, L-4370 Belvaux, Luxembourg
cnpd.public.lu