BWB Family Office Logo
StartseiteMein BereichFinanzierung
ImpressumDatenschutzAGB
© 2026 BWB Family Office. Alle Rechte vorbehalten.

Datenschutzerklärung

Stand: 21.05.2026

📋 Zusammenfassung (TL;DR)

• Wir nutzen Clerk für sichere Authentifizierung (USA, EU-SCCs)
• Deine Finanzdaten werden niemals ohne Einwilligung weitergegeben
• Hosting: Vercel (USA), DB: AWS Frankfurt (EU), Storage: Cloudflare R2 EU
• Security-Store: Redis-basiertes Rate Limiting + Webhook-Replay-Schutz (Upstash Frankfurt bei Aktivierung)
• TLS 1.3 Verschlüsselung für alle Daten
• Account-Löschung: 30-Tage-Frist
• Optionale Analyse- & Performance-Messung nur nach Einwilligung

Verantwortlich für die Datenverarbeitung gemäß Art. 4 Nr. 7 DSGVO:

BWB Family Office
[Firmenname/Inhaber]
[Straße und Hausnummer]
[PLZ und Ort]

E-Mail: kontakt@bwb-immobilien.de
Telefon: [Telefonnummer]

Datenschutzbeauftragter: [Falls erforderlich ab 20 Mitarbeitern]

Der Schutz deiner personenbezogenen Daten ist uns ein besonderes Anliegen. Diese Datenschutzerklärung informiert dich über Art, Umfang und Zweck der Verarbeitung im Rahmen unserer Immobilien-Finanzierungsplattform.

SSL/TLS-Verschlüsselung:Diese Plattform nutzt TLS 1.3 für alle Datenübertragungen. Erkennbar am Schloss-Symbol in der Browserzeile und "https://".

3.1 Authentifizierung (Clerk)

Provider: Clerk Inc. (USA), Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Daten: E-Mail, Name (opt.), Profilbild (opt.), IP, Login-Zeitpunkt, OAuth-Provider (Google/LinkedIn)
Zweck: Login, Passwort-Reset, Session-Management
Drittlandtransfer: EU-Standardvertragsklauseln + EU-US DPF
Clerk Datenschutz

3.2 Finanzdaten

Immobiliendaten: Kaufpreis, Adresse (Google Places API), Wohnfläche, Baujahr
Finanzdaten: Eigenkapital, Einkommen, Mieteinnahmen
Berechnungen: Cashflow, Rendite, AfA, Amortisation
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.3 Rollen-System (RBAC)

USER (Standard), PRO (erweitert), ADMIN (Verwaltung)
Gespeichert in: Clerk User Metadata
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Systemsicherheit)

3.4 Technische Daten

IP-Adresse (temporär, max. 60s für Security-Store-basiertes Rate Limiting)
Webhook-Event-IDs (z. B. Svix-ID, temporär für Replay-Schutz)
Browser-Typ, OS, Zugriffszeitpunkte, Referrer-URL

4.1 Hosting (Vercel)

Standort: USA (CDN weltweit)
AVV: Ja, EU-Standardvertragsklauseln
Vercel Privacy

4.2 Datenbank (AWS RDS Frankfurt)

PostgreSQL in EU-Region Frankfurt (eu-central-1)
AVV: Ja (AWS EMEA SARL, Luxemburg)

4.3 Storage (Cloudflare R2)

Zweck: Property-Images, Profilbilder
Standort: Europäische Rechenzentren
AVV: Ja
Cloudflare Privacy

4.4 Security Store (Upstash Redis)

Aktiv bei explizit gesetztem Security-Store-Backend auf Upstash (empfohlen für Produktion)
Standort: Frankfurt (EU) (bei Upstash-Aktivierung)
Daten: IP-Adressen (temporär, max. 60s Sliding Window) + Webhook-Event-IDs
Zweck: DDoS-Schutz, Brute-Force-Prävention, Replay-Schutz für Webhooks
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit)
Upstash DPA

4.5 Google Places API

Zweck: Adresssuche (Autocomplete)
Daten: Eingaben (keine dauerhafte Speicherung)
Google Privacy

4.6 E-Mail-Versand (SMTP)

NUR für Kontaktformular (nicht für Passwort-Reset!)
Daten: Name, E-Mail, Telefon, Nachricht
⚠️ Passwort-Reset erfolgt durch Clerk (siehe 3.1)

4.7 Vercel Analytics & Speed Insights

Zweck: Reichweitenmessung und technische Performance-Analyse (z. B. Seitenaufrufe, Web Vitals)
Aktivierung: Nur nach deiner Einwilligung über das Consent-Banner
Daten: Pseudonymisierte Nutzungs- und Performance-Daten, keine Freitext-Inhalte aus Kontaktformularen
Filter: Interne Bereiche wie /admin, /immo/bereich, Login-Seiten und Dev-Routen werden ausgeschlossen
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

4.8 TanStack Query (Client-Side Cache)

Speicherort: Lokaler Browser (kein Upload)
Dauer: Max. 5 Min., gelöscht nach Logout
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Performance)

• Art. 6 Abs. 1 lit. a: Einwilligung (Profilbilder, optionale Analyse- & Performance-Messung)
• Art. 6 Abs. 1 lit. b: Vertragserfüllung (Finanzrechner)
• Art. 6 Abs. 1 lit. c: Rechtliche Verpflichtung (Aufbewahrung)
• Art. 6 Abs. 1 lit. f: Berechtigte Interessen (IT-Sicherheit, Performance)

Technisch notwendige Cookies und lokale Consent-/Session-Speicher:

• cc_cookie: Speichert deine Consent-Entscheidung
• __session (Clerk): HttpOnly, Secure, SameSite=Lax, Max. 7 Tage
• __client_uat (Clerk): Client-Update-Timestamp
• next-auth.csrf-token: CSRF-Schutz beim Admin-Login (nur bei Admin-Session)
• next-auth.callback-url: Sichere Rückleitung nach Admin-Login (nur bei Admin-Session)
• next-auth.session-token bzw. __Secure-next-auth.session-token: Temporäre Admin-Session (max. 24h)
• va-disable (localStorage): Speichert lokal, ob Analytics deaktiviert / aktiviert ist

Optional nach Einwilligung:
• Vercel Analytics: pseudonymisierte Nutzungsereignisse zur Reichweitenmessung
• Vercel Speed Insights: technische Performance-Messwerte (Web Vitals)
• Interne/admin/dev Seiten werden von dieser Messung ausgeschlossen

• Verschlüsselung: TLS 1.3 (alle Übertragungen)
• Datenbank: PostgreSQL SSL (AWS RDS)
• Zugriffskontrolle: RBAC + Optional 2FA (Clerk)
• Input-Validierung: Zod-Schemas (Anti-Injection)
• Security-Store: Redis-basiertes Rate Limiting + Webhook-Replay-Schutz

Speicherdauer: Bis Account-Löschung + 30 Tage

Nur bei:

• Ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a)
• Gesetzlicher Verpflichtung (behördliche Anordnung)
• Auftragsverarbeiter (Clerk, Vercel, AWS, Cloudflare, optional Upstash)

⛔ Keine kommerzielle Weitergabe an Banken/Makler!

• Art. 15: Auskunftsrecht
• Art. 16: Berichtigung
• Art. 17: Löschung ("Recht auf Vergessenwerden")
• Art. 18: Einschränkung
• Art. 20: Datenübertragbarkeit (JSON-Export)
• Art. 21: Widerspruch
• Art. 77: Beschwerderecht (BfDI)

Kontakt: datenschutz@bwb-immobilien.de
Antwortfrist: 30 Tage (Art. 12 Abs. 3 DSGVO)

Vertraulichkeit: Höchste Sicherheitsstandards für Finanzdaten

Keine automatische Weitergabe: Nur mit ausdrücklicher Einwilligung

Datensparsamkeit: Nur technisch erforderliche Daten

E-Mail: datenschutz@bwb-immobilien.de
Postanschrift: siehe Punkt 1
Antwortfrist: 30 Tage

Aktueller Stand: Januar 2026
Aktuelle Fassung stets unter: bwb-immobilien.de/datenschutz

← Zurück zur Startseite