Datenschutzerklärung

Stand: 18. April 2026

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 DSGVO sowie § 25 TTDSG über die Verarbeitung personenbezogener Daten im Rahmen unserer Anwendung „Mietabrechner“ (Desktop-, Mobile- und Web-App) sowie der Website mietabrechner.de.

1. Verantwortlicher

Guido Gottwald
Görreshofstr. 9
50259 Pulheim, Deutschland
Telefon: +49 151 56175264
E-Mail: support@mietabrechner.de

Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen hierfür nicht erfüllt sind.

2. Grundsatz: Local-First-Architektur

Die App ist als Local-First-Anwendung konzipiert: Alle Stammdaten (Immobilien, Einheiten, Mieter, Verträge, Zählerstände, Kostenpositionen, Belege, Dokumente) werden ausschließlich lokal auf Ihrem Endgerät in einer SQLite-Datenbank verarbeitet.

Eine Übertragung an unsere Server oder Drittanbieter findet nur dann statt, wenn Sie eine der folgenden optionalen Funktionen aktiv nutzen:

Lizenzerwerb über PayPal (Web/PWA) oder In-App-Kauf (Google Play / App Store)
Geräteaktivierung / Lizenzvalidierung
Verschlüsseltes Cloud-Backup
Mehrbenutzer-Funktion (geteilte Immobilien / Einladungen)

Ohne Nutzung dieser Funktionen verbleiben sämtliche von Ihnen eingegebenen Daten auf Ihrem Gerät.

3. Kategorien verarbeiteter Daten

3.1 Lokal auf Ihrem Endgerät (keine Übermittlung)

Kategorie	Datenfelder
Vermieterprofil	Name, Anschrift, Telefon, E-Mail, Steuer-Nr. (freiwillig)
Immobilien	Bezeichnung, Adresse, Land (DE/AT/CH), Nutzungsart, Fläche, Notizen
Einheiten	Bezeichnung, Fläche, Personenzahl, Miteigentumsanteil
Mieter	Vor-/Nachname, E-Mail, Telefon, Notizen
Mietverträge	Laufzeit, Vorauszahlungen, kaufmännisch/gewerblich, Notizen
Kostenpositionen	Kostenart, Beträge, USt-Sätze, Arbeitskosten, Belegverweise
Zählerstände	Ablesewerte, Ablesedaten
Belege / Dokumente	Dateinamen, Binärdaten (PDF/Bilder), Notizen, Ordnerstruktur
Abrechnungsergebnisse	berechnete Aufteilungen, erzeugte PDF-Abrechnungen
App-Einstellungen	Spracheinstellung, Erinnerungspräferenzen, Onboarding-Flag

Speicherort: lokale SQLite-Datenbank im App-Verzeichnis des Betriebssystems sowie SharedPreferences/localStorage für Einstellungen. Belege und generierte PDFs werden im App-Dokumentenverzeichnis abgelegt.

3.2 Bei optionaler Server-Nutzung übermittelte Daten

Funktion	Übermittelte Daten	Empfänger
Lizenz-Validierung / Geräteverwaltung	Lizenzschlüssel, zufällige Geräte-UUID, Gerätename (z. B. „Chrome Windows“), Zeitstempel	Supabase (Backend)
PayPal-Kauf (Web/PWA)	PayPal-Order-ID, Kaufbetrag, E-Mail-Adresse, gewählter Plan	PayPal, Supabase, Resend (Rechnungs-E-Mail)
In-App-Kauf (Android)	Produkt-ID, Purchase-Token, Geräte-UUID	Google Play Billing, Supabase
Verschlüsseltes Cloud-Backup	Lizenzschlüssel, Geräte-UUID, AES-256-verschlüsseltes Backup-Blob (Inhalt für uns nicht lesbar)	Supabase Storage
Account-Verknüpfung (optional)	E-Mail-Adresse, Anzeigename, Lizenzschlüssel	Supabase Auth
Geteilte Immobilien (Multi-User)	Immobilien-Stammdaten (JSONB), Rollen, Einladungs-E-Mails, Synchronisationsprotokolle	Supabase

Hinweis zu Mieterdaten: Namen, Adressen und Kontaktdaten Ihrer Mieter werden auch bei Nutzung der Cloud-Funktionen nur im verschlüsselten Backup-Blob oder im JSONB-Feld geteilter Immobilien übertragen. Die Inhalte sind für uns als Betreiber nicht einsehbar, solange das Backup verschlüsselt bleibt. Bei geteilten Immobilien sind Mieterdaten für eingeladene Mitbenutzer sichtbar — prüfen Sie daher, wen Sie einladen.

4. Rechtsgrundlagen der Verarbeitung

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) – Bereitstellung der App-Funktionen, Lizenzverwaltung, Zahlungsabwicklung, Cloud-Backup.
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) – Aufbewahrung von Kaufbelegen gem. Steuerrecht.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) – technische Bereitstellung, Missbrauchsprävention, Gerätebindung von Lizenzen.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) – optionale Funktionen wie Cloud-Backup, Account-Anlage, Multi-User-Einladungen.

5. Eingesetzte Dienste und Drittanbieter

5.1 Supabase (Backend, Datenbank, Auth, Storage, Edge Functions)

Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992. Für Verarbeitungen in der EU wird die Region Frankfurt (AWS eu-central-1) genutzt, soweit konfiguriert. Es können Teile der Infrastruktur (Support, Logs) außerhalb der EU verarbeitet werden — siehe Abschnitt 9.

Verarbeitete Daten (nur bei Aktivierung der Cloud-Funktionen):

Tabelle licenses: Lizenzschlüssel, Plan, Kauf-Zeitpunkt, PayPal-Order-ID, E-Mail (nur bei PayPal-Kauf), Nutzer-ID (bei Account)
Tabelle license_activations: Lizenzschlüssel, Geräte-UUID, Gerätename, Aktivierungs- und Last-Seen-Zeitstempel
Tabelle cloud_backups: Lizenzschlüssel, Geräte-UUID, Dateigröße, Upload-Zeitstempel (verschlüsseltes Backup in Storage-Bucket)
Tabelle user_profiles: Supabase-UUID, E-Mail, Anzeigename
Tabelle shared_properties / property_memberships: Immobiliendaten (JSONB), Einladungs-E-Mails, Rollen
Tabelle sync_log: Synchronisationsaktionen (push/pull), Versionen, Zeitstempel
Tabelle used_order_ids: Bestell-IDs zur Verhinderung doppelter Einlösungen

Edge Functions (serverless, Deno-Runtime): generate-license, verify-purchase, cloud-backup, validate-license, manage-devices, link-account, invite-user.

Absicherung: Row Level Security (RLS) auf allen Tabellen, TLS-Transportverschlüsselung, Ratenbegrenzung in Edge Functions, HMAC-signierte Lizenzschlüssel.

Weitere Informationen: supabase.com/privacy.

5.2 PayPal (Zahlungsabwicklung Web/PWA)

Anbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg. Bei Kauf einer Lizenz über die Website / PWA wird der Zahlungsvorgang direkt zwischen Ihrem Browser und PayPal abgewickelt. Wir erhalten von PayPal nur die Order-ID, den Kaufbetrag, den Plan und (falls von PayPal übermittelt) Ihre E-Mail-Adresse zur Zustellung der Lizenz. Zahlungsdaten (Konto, Kreditkarte) erhalten wir nicht.

Datenschutzerklärung: paypal.com/de/webapps/mpp/ua/privacy-full.

5.3 Google Play Billing (In-App-Kauf Android)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Bei In-App-Käufen auf Android wird die Transaktion ausschließlich über Google Play abgewickelt. Wir erhalten lediglich einen Purchase-Token, den wir zur Echtheitsprüfung an die Google Play Developer API übermitteln.

Datenschutzerklärung: policies.google.com/privacy.

5.4 Apple App Store / StoreKit (In-App-Kauf iOS)

Anbieter: Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland. Bei iOS-Käufen gelten die Datenschutzbestimmungen von Apple: apple.com/legal/privacy.

5.5 Resend (transaktionaler E-Mail-Versand)

Anbieter: Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA. Nach einem PayPal-Kauf versenden wir über Resend eine Bestätigungs-E-Mail mit dem Lizenzschlüssel an die angegebene E-Mail-Adresse. Übermittelt werden: E-Mail-Adresse, Lizenzschlüssel, Planbezeichnung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Übermittlung erfolgt in die USA — siehe Abschnitt 9.

Datenschutzerklärung: resend.com/legal/privacy-policy.

5.6 Hetzner (Webhosting)

Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Beim Aufruf der Website und der PWA werden durch den Webserver temporäre Zugriffslogs erzeugt (IP-Adresse, Zeitstempel, User-Agent, aufgerufene Ressource, HTTP-Status). Die Verarbeitung erfolgt im Rechenzentrum Nürnberg (Deutschland). Zweck: Bereitstellung, Sicherheit und Fehleranalyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: regulär bis zu 30 Tage.

Datenschutzerklärung: hetzner.com/de/rechtliches/datenschutz.

5.7 Hostinger (E-Mail-Hosting)

Anbieter: Hostinger International Ltd., 61 Lordou Vironos Street, 6023 Larnaca, Zypern. Empfang und Zustellung von E-Mails an support@mietabrechner.de (MX/SPF/DKIM). Bei Kontaktaufnahme per E-Mail werden die von Ihnen mitgeteilten Inhalte (Absender-Adresse, Nachrichtentext, ggf. weitere Kontaktdaten) zur Bearbeitung Ihrer Anfrage verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

Datenschutzerklärung: hostinger.de/datenschutzrichtlinie.

5.7 Google Fonts (Webschriftarten)

Die Website lädt die Schriftart „Inter“ von fonts.googleapis.com bzw. fonts.gstatic.com (Google Ireland Limited). Hierbei wird Ihre IP-Adresse an Google übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (ansprechende Darstellung). Eine lokale Einbindung wird geprüft.

Datenschutzerklärung: policies.google.com/privacy.

6. Gerätekennung und Lizenzverwaltung

Für die Bindung einer erworbenen Lizenz an maximal drei Endgeräte pro Lizenzschlüssel wird pro Installation eine zufällige Geräte-UUID (Version 4) erzeugt und lokal gespeichert. Zusammen mit einer generischen Gerätebezeichnung (z. B. „Chrome Windows“, „Android“) wird sie bei der Lizenzaktivierung, -validierung und Geräteverwaltung an Supabase übermittelt. Es werden keine Hardware-Seriennummern, IMEI, IDFA oder Werbe-IDs erhoben. Die UUID lässt sich durch Löschen der App-Daten zurücksetzen.

7. Belege, Kamera, Dateizugriff

Die App ermöglicht die Ablage von Belegen und Dokumenten. Kamera- und Dateizugriffe erfolgen ausschließlich nach Ihrer aktiven Auswahl (System-Dialog). Aufgenommene/importierte Dateien werden lokal im App-Verzeichnis abgelegt. Eine automatische Weitergabe an Dritte findet nicht statt.

8. Benachrichtigungen

Erinnerungen (z. B. an Abrechnungsfristen) werden über die lokale Benachrichtigungsfunktion des Betriebssystems (flutter_local_notifications) geplant. Es werden keine Push-Dienste wie Firebase Cloud Messaging oder Apple Push Notification Service genutzt; es werden keine Push-Tokens an Dritte übertragen.

9. Datenübermittlung in Drittländer

Einige der oben genannten Dienstleister (insbesondere Supabase, Resend, Google, PayPal) haben Konzerngesellschaften oder Unterauftragsverarbeiter außerhalb des EWR, insbesondere in den USA. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und – soweit einschlägig – des EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10.07.2023). Ein dem EU-Niveau entsprechender Schutz kann trotz dieser Maßnahmen nicht in jedem Einzelfall gewährleistet werden.

10. Verschlüsselung und technische Sicherheitsmaßnahmen

Backups werden clientseitig mit AES-256-CBC (Schlüsselableitung per PBKDF2-SHA256, 600.000 Iterationen) verschlüsselt, bevor sie das Gerät verlassen. Der Schlüssel wird bei uns nicht gespeichert.
Jegliche Netzwerkkommunikation erfolgt ausschließlich über TLS/HTTPS.
Supabase-Tabellen sind durch Row Level Security abgesichert; Zugriff nur über gültige Lizenz-/Auth-Token.
Lizenzschlüssel sind HMAC-SHA256-signiert; Rate-Limits schützen Edge Functions vor Missbrauch.
Die lokale SQLite-Datenbank ist standardmäßig nicht zusätzlich verschlüsselt; sie unterliegt der Zugriffskontrolle des Betriebssystems (App-Sandbox, Nutzerkonto). Schützen Sie daher Ihr Endgerät.

11. Speicherdauer und Löschung

Lokale Daten: Verbleiben auf Ihrem Gerät, bis Sie sie löschen oder die App deinstallieren. Einzelne Datensätze können innerhalb der App gelöscht werden (Soft-Delete mit Zeitstempel; endgültige Entfernung erfolgt beim Leeren).
Lizenzdaten (Supabase): Werden zur Vertragserfüllung und aus handels-/steuerrechtlichen Aufbewahrungspflichten (bis zu 10 Jahre) gespeichert.
Geräteaktivierungen: Werden beim Deaktivieren eines Geräts als inaktiv markiert; der Eintrag selbst bleibt zur Missbrauchsprävention erhalten.
Cloud-Backups: Bleiben bis zu Ihrer manuellen Löschung erhalten; auf Anfrage löschen wir Ihre Backups jederzeit.
E-Mail-Versand: Protokolle bei Resend gemäß deren Aufbewahrungsregeln (typischerweise 30 Tage).
Web-Server-Logs: Bis zu 30 Tage.

12. Ihre Rechte als betroffene Person

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung genügt eine formlose Nachricht an support@mietabrechner.de. Sofern Sie ausschließlich die lokale App ohne Cloud-Funktionen nutzen, liegen bei uns in der Regel keine Sie betreffenden Daten vor — Sie haben dann die volle Kontrolle über Ihre lokalen Daten innerhalb der App.

Es besteht ferner ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO). Für uns zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestraße 2–4, 40213 Düsseldorf.

13. Automatisierte Entscheidungsfindung / Profiling

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.

14. Cookies und lokale Speicher (Website und PWA)

Die Marketing-Website setzt keine Cookies und nutzt keine Analyse-, Tracking- oder Marketing-Tools. Die PWA verwendet localStorage / IndexedDB ausschließlich zur technischen Funktionsfähigkeit der App (Speicherung Ihrer Daten, Lizenz, Einstellungen). Diese Speicherung ist unbedingt erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG) und bedarf keiner Einwilligung.

15. Affiliate-Links

Innerhalb der App und Website können Partnerlinks zu Amazon.de enthalten sein. Wenn Sie auf solche Links klicken, verlassen Sie unser Angebot; es gelten die Datenschutzbestimmungen von Amazon EU S.à r.l.. Wir erhalten ggf. eine Provision, erheben selbst jedoch keine personenbezogenen Daten über Ihr Klickverhalten.

16. Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, werden die von Ihnen übermittelten Daten (E-Mail-Adresse, Inhalt der Nachricht) ausschließlich zur Bearbeitung Ihrer Anfrage verarbeitet (Art. 6 Abs. 1 lit. b bzw. f DSGVO). Nach abschließender Bearbeitung werden die Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

17. Auftragsverarbeitung

Mit den eingesetzten Dienstleistern (Supabase, Resend, Hetzner, Hostinger) bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO bzw. werden diese bei erstmaliger Aktivierung der Cloud-Funktionen abgeschlossen.

18. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sofern sich Rechtslage, eingesetzte Dienste oder Funktionsumfang ändern. Die jeweils aktuelle Fassung ist unter mietabrechner.de/datenschutz.html abrufbar.