Datenschutzhinweise

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Nachfolgend informieren wir transparent über Art, Umfang und Zweck der Verarbeitung im Rahmen des Online-Angebots Grundblick (grundblick.com), das von der Lemonade Research GmbH betrieben wird.

1. Verantwortliche Stelle

Lemonade Research GmbH
Zum Hafenplatz 1, Lübeck
E-Mail: hallo@grundblick.com

2. Hosting & Infrastruktur (Vercel)

Diese Website wird über Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) gehostet. Beim Aufruf der Website verarbeitet Vercel technisch bedingt Verbindungsdaten (u. a. IP-Adresse, Zeitpunkt, aufgerufene URL, User-Agent) zur Bereitstellung des Angebots und zur Fehlerdiagnose. Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb).

Verarbeitungsregion (Transparenz): Unsere serverseitigen Funktionen (Upload-Annahme, Analyse-Steuerung, Datenbankzugriff) werden derzeit in der Vercel-Region iad1 (Washington, D.C., USA) ausgeführt. Es findet damit aktuell eine Verarbeitung außerhalb der EU statt. Die Übermittlung in die USA stützen wir auf den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (Vercel ist DPF-zertifiziert) und ergänzend auf EU-Standardvertragsklauseln (Art. 46 DSGVO). Eine Umstellung auf eine EU-Region (z. B. fra1, Frankfurt) wird geprüft; den jeweils aktuellen Stand halten wir hier transparent. Weitere Informationen finden Sie in der Datenschutzerklärung von Vercel.

3. Vercel Analytics

Wir nutzen Vercel Analytics zur anonymisierten Auswertung der Website-Nutzung. Dabei werden keine Cookies gesetzt und keine personenbezogenen Daten dauerhaft gespeichert. Vercel Analytics erfasst ausschließlich aggregierte, nicht personenbeziehbare Metriken (Seitenaufrufe, Herkunftsland, Gerätekategorie). Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der Analyse der Website-Performance ohne individuelles Tracking). Informationen zu Vercel Analytics finden Sie unter vercel.com/docs/analytics/privacy-policy.

4. Bestellung, Vertrag & Zahlung (Mollie)

Zur Abwicklung von Analyseaufträgen verarbeiten wir Ihre E-Mail-Adresse, die Objektadresse sowie zahlungsbezogene Daten (Art. 6 Abs. 1 lit. b) DSGVO — Vertragserfüllung). Die Zahlung wird über Mollie B.V. (Keizersgracht 126, 1015 CW Amsterdam) abgewickelt. Mollie ist Auftragsverarbeiter; deren Datenschutzhinweise finden Sie unter mollie.com/de/privacy. Bestelldaten werden so lange gespeichert, wie handels- und steuerrechtliche Aufbewahrungspflichten bestehen (in der Regel 10 Jahre).

5. E-Mail-Benachrichtigungen (Resend)

Transaktionale E-Mails (z. B. Hinweis auf fertige Berichte) versenden wir über Resend Inc. (548 Market St, PMB 72878, San Francisco, CA 94104, USA). Dabei werden die für den Versand nötigen Daten (E-Mail-Adresse, Betreff, Inhalt) übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO. Resend ist unter dem EU-US Data Privacy Framework zertifiziert.

6. PDF-Upload & KI-Analyse (Vercel Blob, OpenAI)

Hochgeladene Dokumente werden zur Verarbeitung kurzzeitig über Vercel Blob gespeichert und anschließend durch OpenAI (OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA) analysiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung). Datenübermittlungen in die USA erfolgen auf Basis von EU-Standardvertragsklauseln (Art. 46 DSGVO).

Was OpenAI mit den Daten tut — und was nicht:

• Kein Training: Über die OpenAI-API übermittelte Inhalte werden nach den API-Bedingungen nicht zum Training der Modelle verwendet.
• API-Retention & Abuse-Monitoring: OpenAI kann API-Eingaben und -Ausgaben standardmäßig bis zu 30 Tage zur Erkennung von Missbrauch und Richtlinienverstößen speichern (Abuse-Monitoring) und löscht sie anschließend, sofern keine gesetzliche Pflicht zur längeren Speicherung besteht.
• Datei-Löschung durch uns: Die für die Analyse über die OpenAI-Files-API hochgeladene PDF-Datei löschen wir unmittelbar nach Abschluss der Analyse aktiv wieder (programmatischer Löschaufruf), sodass sie nicht dauerhaft bei OpenAI verbleibt.
• Zero Data Retention (ZDR): Für besonders sensible Verarbeitungen bietet OpenAI eine Zero-Data-Retention-Option, bei der gar keine API-Daten gespeichert werden. Wir prüfen den Einsatz von ZDR für die Dokumentenanalyse; den aktuellen Stand dokumentieren wir an dieser Stelle.

OpenAIs Datenschutzhinweise finden Sie unter openai.com/policies/privacy-policy. Die fertigen Berichte und die daraus extrahierten Befunde werden zur Erfüllung des Vertrags in unserer Datenbank gespeichert (siehe Abschnitt 8).

6a. Personenbezogene Daten Dritter (z. B. Mieterdaten)

Immobiliendokumente wie Mietverträge, Teilungserklärungen oder Protokolle können personenbezogene Daten Dritter enthalten — etwa Namen, Anschriften oder Mietzahlungen von Mieterinnen und Mietern. Bitte beachten Sie:

• Laden Sie nur Dokumente hoch, für deren Verarbeitung Sie berechtigt sind, und schwärzen Sie nach Möglichkeit nicht erforderliche personenbezogene Daten Dritter vor dem Upload.
• Für die Daten Dritter handeln wir als Auftragsverarbeiter in Ihrem Auftrag (Art. 28 DSGVO); die datenschutzrechtliche Verantwortung für die Rechtmäßigkeit des Uploads liegt bei Ihnen als verantwortlicher Stelle.
• Daten Dritter werden ausschließlich zur Erstellung Ihres Berichts verarbeitet und unterliegen denselben Lösch- und Speicherregeln wie Ihre übrigen Daten (Abschnitt 8).

7. Eingesetzte Auftragsverarbeiter im Überblick

Zur Erbringung unserer Leistung setzen wir die folgenden Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO) ein. Übermittlungen in Drittstaaten — insbesondere die USA — erfolgen auf Grundlage des Angemessenheitsbeschlusses EU-US Data Privacy Framework oder von EU-Standardvertragsklauseln (Art. 46 DSGVO):

• Vercel Inc.(USA) — Hosting & Website-Analyse. Drittlandtransfer: EU-US Data Privacy Framework.
• Vercel Blob (Vercel Inc., USA) — temporäre Speicherung hochgeladener PDF-Dokumente. Drittlandtransfer: EU-US Data Privacy Framework.
• Mollie B.V. (Niederlande, EU) — Zahlungsabwicklung. Kein Drittlandtransfer.
• Resend Inc. (USA) — Versand transaktionaler E-Mails. Drittlandtransfer: EU-US Data Privacy Framework.
• OpenAI, L.L.C. (USA) — KI-Analyse der hochgeladenen Dokumente. Drittlandtransfer: EU-Standardvertragsklauseln (Art. 46 DSGVO).

8. Speicherdauer & Löschprozess

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen es verlangen. Im Einzelnen:

• Hochgeladene PDF-Dokumente (Quelldateien): Im bezahlten Analyseablauf werden die Quell-PDFs unmittelbar nach Abschluss der Analyse aus dem Speicher (Vercel Blob) gelöscht. Abgebrochene, nie bezahlte Uploads werden durch einen automatischen, stündlich laufenden Aufräumprozess spätestens nach 24 Stunden entfernt.
• Bei OpenAI hochgeladene Dateien: werden direkt nach der Analyse aktiv gelöscht; eine etwaige OpenAI-seitige Abuse-Monitoring-Speicherung endet nach maximal 30 Tagen (siehe Abschnitt 6).
• Bericht & Befunde: Den erstellten Bericht speichern wir, damit Sie ihn über Ihren persönlichen Berichtslink dauerhaft abrufen können, bis Sie die Löschung verlangen oder der Zweck entfällt.
• Bestell- und Rechnungsdaten: unterliegen den handels- und steuerrechtlichen Aufbewahrungspflichten (in der Regel 10 Jahre, Abschnitt 4).

So lassen Sie Ihre Daten löschen: Senden Sie uns eine kurze E-Mail an hallo@grundblick.com mit dem Betreff „Löschung“ und – sofern vorhanden – Ihrem Berichtslink oder der Objektadresse. Wir löschen daraufhin Ihren Bericht samt Befunden und alle nicht aufbewahrungspflichtigen personenbezogenen Daten in der Regel innerhalb von 30 Tagen und bestätigen Ihnen die Löschung. Daten, die wir gesetzlich aufbewahren müssen (z. B. Rechnungen), werden bis zum Ablauf der Frist in der Verarbeitung eingeschränkt (gesperrt) und danach gelöscht.

9. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21 DSGVO). Zur Ausübung Ihrer Rechte wenden Sie sich an hallo@grundblick.com. Sie haben zudem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO) — für Lübeck ist dies das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD).

10. Änderungen dieser Hinweise

Stand: 27. 4. 2026. Wir behalten uns vor, diese Hinweise anzupassen, wenn sich Dienste oder Rechtslage ändern. Die jeweils aktuelle Fassung finden Sie auf dieser Seite.