Datenschutzerklärung

Gültig ab dem 8. Juni 2026 · für engelvoelkers-app.com (interne E&V-Operations-Plattform)

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten im Zusammenhang mit der internen Mitarbeiter- und Berater-Plattform unter engelvoelkers-app.com (nachfolgend „Plattform" oder „App"). Die Plattform dient ausschließlich autorisierten Mitarbeitern und Beratern der EuV Wohnen GmbH und ihrer Partner zur Abwicklung interner Geschäftsprozesse (u. a. Onboarding, Dashboards, Vertragsvorlagen, Bild- und Dokumentenbearbeitung).

Genderhinweis: Aus Gründen der besseren Lesbarkeit wird in der Folge auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d) verzichtet. Sämtliche nachfolgenden Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

1. Verantwortlicher

Verantwortliche Stelle für die in dieser Datenschutzerklärung geregelte Datenverarbeitung ist die EuV Wohnen GmbH (nachfolgend „wir" oder „uns"). Unsere Kontaktdaten lauten:

2. Datenschutzbeauftragter

Wenn Sie Fragen zu dieser Datenschutzerklärung und zum Datenschutz haben, wenden Sie sich bitte an unsere Datenschutzbeauftragte:

3. Ihre Rechte als Betroffener

Sie haben ein Recht auf Auskunft über die Verarbeitung Ihrer personenbezogenen Daten (beispielsweise den Ursprung dieser Daten, den Verarbeitungszweck, die Modalitäten der Datenverarbeitung). Ferner sind Sie unter bestimmten Voraussetzungen berechtigt, der Datenverarbeitung für die Zukunft zu widersprechen, diese einzuschränken oder die Löschung der Daten zu verlangen. Schließlich können Sie jederzeit den Versand von Werbematerial oder die Durchführung von Marktforschungen oder kommerziellen Mitteilungen unterbinden.

Sie haben zusammengefasst ein Recht auf

• Auskunft,
• Berichtigung,
• Löschung (bzw. auf Vergessenwerden),
• Einschränkung der Verarbeitung,
• Datenübertragbarkeit,
• Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten,
• Beschwerde gegenüber Aufsichtsbehörden.

Darüber hinaus haben Sie das Recht, jederzeit der Verarbeitung Ihrer personenbezogenen Daten für Zwecke der Direktwerbung zu widersprechen. Wenn Sie der Verarbeitung zu Zwecken des Direktmarketings widersprechen, werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.

Gemäß Art. 7 III DSGVO können Sie Ihre einmal erteilte Einwilligung jederzeit gegenüber uns widerrufen. Dies hat zur Folge, dass wir die auf dieser Einwilligung beruhende Datenverarbeitung für die Zukunft nicht mehr fortführen dürfen.

Bitte beachten Sie, dass Ihr Löschungsrecht Einschränkungen unterliegt. Zum Beispiel müssen bzw. dürfen wir keine Daten löschen, die wir aufgrund gesetzlicher Aufbewahrungsfristen noch weiter vorhalten müssen. Auch Daten, die wir zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, sind von Ihrem Löschungsrecht ausgenommen.

Wenn Sie eine Beschwerde über die Art und Weise haben, wie wir Ihre Daten verarbeiten, haben Sie die Möglichkeit, Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, geltend zu machen.

Wir behalten uns im Falle einer gesetzlichen Verpflichtung vor, Informationen über Sie offenzulegen, wenn die Herausgabe von rechtmäßig handelnden Behörden oder Strafverfolgungsorganen von uns verlangt wird. Rechtsgrundlage: Art. 6 I Satz 1 lit. c DSGVO (gesetzliche Verpflichtung).

4. Überblick über unsere Datenverarbeitungsprozesse

Auf engelvoelkers-app.com verarbeiten wir personenbezogene Daten in folgenden Zusammenhängen:

• Sie melden sich mit einem Google-Workspace-Konto (Domain engelvoelkers.com) an, um die Plattform zu nutzen.
• Sie nutzen die in die Plattform integrierten Tools (Dashboards, Onboarding, Tools-Modul mit Drive-Integration etc.).
• Sie laden Dokumente oder Bilder hoch bzw. verbinden die Plattform mit Ihrem Google Drive, damit Inhalte verarbeitet, neu erstellt oder ausgelesen werden können.
• Wir verarbeiten Stammdaten zu Beratern, Shops und Objekten aus dem internen CRM, soweit dies für die Plattform-Funktionen erforderlich ist.

Die Plattform setzt keine Tracking-Cookies, kein Profiling und keine Web-Analyse ein. Es werden ausschließlich technisch notwendige Authentifizierungs-Token verwendet, die für den Betrieb erforderlich sind.

5. Datenverarbeitung im Rahmen der Plattform-Nutzung

5.1 Welche Daten verarbeitet die Plattform

Im Rahmen der Nutzung der Plattform verarbeiten wir folgende Kategorien personenbezogener Daten:

• Anmelde- und Profildaten: aus Google Workspace via Single-Sign-On — insbesondere E-Mail-Adresse, Vor-/Nachname, Profilbild, Workspace-Zugehörigkeit.
• Mitarbeiter- und Berater-Stammdaten: u. a. Name, dienstliche Kontaktdaten, Rolle, Shop-Zuordnung, Berater-Status, Onboarding-Fortschritt, Farming-Gebiete.
• Objekt- und Geschäftsdaten: Liegenschafts- und Vertriebsdaten aus dem internen CRM (z. B. W-IDs, Adressen, Status, Provisionsdaten), die für die jeweilige Plattform-Funktion erforderlich sind.
• Nutzungsdaten: aufgerufene Module, ausgelöste Aktionen, Zeitpunkt — soweit zur Sicherheits-, Fehler- und Funktions-Analyse erforderlich (Logdaten).
• Datei-Inhalte aus Google Drive: Dateien (Bilder, PDFs, Vorlagen), die Sie über den Google-Drive-Picker explizit zur Verarbeitung freigeben oder die die Plattform mit Ihrer Einwilligung in Ihrem Drive ablegt.
• Verschlüsselter OAuth-Refresh-Token: zur Aufrechterhaltung der Drive-Verbindung. Der Token wird mit Google Cloud KMS verschlüsselt in Google Firestore gespeichert; ein Klartext-Zugriff durch die Plattform-Betreiberin findet nicht statt.
• Server- und Protokolldaten: IP-Adresse, Datum/Uhrzeit, User-Agent, angefragter Pfad — verarbeitet durch unseren Hosting-Dienstleister.

5.2 Zwecke der Verarbeitung und Rechtsgrundlagen

Wir verarbeiten Ihre Daten zu folgenden Zwecken:

• Bereitstellung des internen Arbeitsmittels „Plattform" (Authentifizierung, Funktionsbereitstellung, Berechtigungssteuerung) für unsere Mitarbeiter und Berater — Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 Abs. 1 BDSG (Verarbeitung zur Durchführung des Beschäftigungsverhältnisses bzw. eines vergleichbaren Vertragsverhältnisses).
• Betrieb, Sicherheit und Weiterentwicklung der Plattform (Fehleranalyse, Missbrauchsprävention, Performance-Optimierung) — Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in einem stabilen, sicheren und funktionsfähigen Betrieb der Plattform.
• Verarbeitung von Google-Drive-Inhalten (z. B. Energieausweis-OCR, Vertragsvorlagen-Befüllung, Bildaufbereitung) ausschließlich auf Veranlassung des Nutzers und nur für die jeweils gewählte Datei — Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 Abs. 1 BDSG.
• Erfüllung gesetzlicher Aufbewahrungs- und Dokumentationspflichten — Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO.

Sofern Rechtsgrundlage Ihre Einwilligung ist (z. B. bei Verbindung der Plattform mit Ihrem Google-Drive-Konto), sind Sie berechtigt, Ihre Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Den Widerruf können Sie in der Plattform direkt durchführen („Google-Verbindung trennen") oder zusätzlich über Ihr Google-Konto unter myaccount.google.com/permissions.

5.3 Empfänger Ihrer personenbezogenen Daten

Innerhalb unseres Unternehmens erhalten ausschließlich diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der genannten Zwecke benötigen (insbesondere Plattform-Administration, Geschäftsführung, technischer Support). Eine Weitergabe an Dritte erfolgt nur an die in Abschnitt 6 genannten Auftragsverarbeiter sowie an Behörden, soweit dies aufgrund gesetzlicher Vorschriften erforderlich ist.

6. Eingesetzte Google-Dienste (Auftragsverarbeitung)

Die Plattform wird auf der Cloud-Infrastruktur der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (nachfolgend „Google") betrieben. Mit Google besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO (Google Cloud Data Processing Addendum). Folgende Google-Dienste setzen wir konkret ein:

• Google Workspace / Google-Anmeldung (OAuth 2.0): Authentifizierung und Identifizierung von Mitarbeitern und Beratern. Erlaubt ausschließlich Anmeldungen aus der Google-Workspace-Domäne engelvoelkers.com.
• Firebase Authentication, Firebase Hosting, Cloud Firestore, Cloud Functions, Cloud Storage, Cloud Logging in der Region europe-west3 (Frankfurt am Main).
• Google Cloud Key Management Service (KMS) in europe-west3 zur Verschlüsselung der gespeicherten OAuth-Refresh-Token.
• Google Drive API (Scope drive.file): Zugriff ausschließlich auf Dateien, die Sie über den Google-Drive-Picker explizit zur Verarbeitung freigegeben haben oder die die Plattform in Ihrem Auftrag erzeugt. Es findet kein Zugriff auf den gesamten Drive-Bestand statt.
• Google Vertex AI (Gemini-Modelle) in europe-west1 für die Texterkennung in zur Verarbeitung freigegebenen Energieausweis-Dokumenten. Die Inhalte werden ausschließlich für die unmittelbare Verarbeitung der Anfrage genutzt und gemäß Vertex-AI-Datenrichtlinien nicht zum Modelltraining verwendet.
• Google BigQuery: einmal pro 15 Minuten erfolgt eine Spiegelung aggregierter CRM-Daten aus internen BigQuery-Datasets nach Cloud Firestore, um die Dashboard-Funktionen zu ermöglichen.
• OpenStreetMap-/OpenFreeMap-Kartendienste (lediglich für nicht personenbezogene Kartenkacheln; es findet kein Versand personenbezogener Daten an Dritte statt).

7. Datenübermittlung in Drittländer

Die genannten Google-Dienste werden vorrangig in EU-Rechenzentren betrieben (z. B. europe-west3 / Frankfurt, europe-west1 / St. Ghislain). Im Rahmen der Verwaltung, des Supports und einzelner Subdienste kann es zu einer Übermittlung personenbezogener Daten in Drittländer außerhalb des EWR (insbesondere in die USA) kommen. Wir haben mit Google den Standard-Vertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) abgeschlossen. Soweit Google am EU-US Data Privacy Framework teilnimmt, ist ein angemessenes Schutzniveau zusätzlich auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission vom 10. Juli 2023 (Art. 45 DSGVO) gegeben.

Wir stellen sicher, dass Ihre Datenschutzrechte angemessen geschützt sind, sei es weil die Europäische Kommission entschieden hat, dass das Land, in das personenbezogene Daten übermittelt werden, ein angemessenes Schutzniveau gewährleistet (Art. 45 DSGVO) oder weil die Übermittlung angemessenen Garantien (Standardvertragsklauseln) gemäß Art. 46 DSGVO unterliegt, sofern nicht die DSGVO eine Ausnahme vorsieht (Art. 49 DSGVO). Kopien der angemessenen Schutzmaßnahmen und eine Liste der Empfänger außerhalb des EWR können bei dem unter Ziff. 2 genannten Datenschutzbeauftragten angefordert werden. Bitte beachten Sie, dass diese Kopien in dem Maße geschwärzt werden können, wie es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen erforderlich ist.

8. Speicherung und Löschung

Wir speichern Ihre personenbezogenen Daten für die Zeit, die erforderlich ist, um die Zwecke zu erreichen, für die Daten erhoben und weiterverarbeitet werden, einschließlich jeglicher Aufbewahrungsfrist, die nach den geltenden Gesetzen erforderlich ist. Konkret:

• Anmelde- und Profildaten: für die Dauer der Berechtigung zur Nutzung der Plattform; Löschung spätestens 30 Tage nach Verlust der Berechtigung, soweit nicht gesetzliche Aufbewahrungspflichten entgegenstehen.
• OAuth-Refresh-Token: bis zum aktiven Trennen der Drive-Verbindung durch den Nutzer oder bis zum Verlust der Plattform-Berechtigung; spätestens nach 12 Monaten Inaktivität.
• Datei-Inhalte aus Drive: wir speichern keine Kopien von Drive-Dateien dauerhaft. Verarbeitete Inhalte werden ausschließlich für die Dauer der konkreten Anfrage im Arbeitsspeicher gehalten; das verarbeitende Ergebnis wird ausschließlich in Ihrem Google Drive abgelegt.
• Server- und Protokolldaten: 30 bis 90 Tage zur Sicherheits- und Fehler-Analyse, danach automatisierte Löschung.
• Stammdaten zu Mitarbeitern und Beratern (CRM-Spiegel): regelmäßige Aktualisierung aus dem führenden CRM-System; ausgeschiedene Mitarbeiter werden im Plattform-Datenbestand entsprechend markiert und nach Wegfall des Zweckes gelöscht.
• Backups: Punkt-in-Zeit-Wiederherstellung (PITR) für 7 Tage, tägliche Sicherungen für 98 Tage gemäß Standardkonfiguration der eingesetzten Datenbank.

9. Technische und organisatorische Sicherheitsmaßnahmen

Wir setzen geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten ein, insbesondere:

• verschlüsselte Übertragung sämtlicher Verbindungen via HTTPS/TLS,
• verschlüsselte Speicherung von OAuth-Refresh-Token mit Google Cloud KMS,
• Zugriff auf die Plattform ausschließlich für authentifizierte Nutzer der Google-Workspace-Domäne engelvoelkers.com,
• granulare Rollen- und Modul-Berechtigungen innerhalb der Plattform,
• restriktive Content-Security-Policy und weitere Sicherheits-Header,
• Protokollierung sicherheitsrelevanter Ereignisse,
• regelmäßige Updates der eingesetzten Software-Komponenten.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sofern dies aufgrund neuer Funktionen, Änderungen in der Rechtslage oder geänderter Verarbeitungstätigkeiten erforderlich wird. Die jeweils aktuelle Fassung ist unter engelvoelkers-app.com/datenschutz abrufbar.