Calcora

Rechtliches

Datenschutzerklärung

Diese Datenschutzerklärung informiert über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von Calcora.

Stand: 20. Februar 2026

1. Verantwortlicher

Calcora (ein Produkt von CKR Digital)

CKR Digital - Muammer Cakir

Maasweg 3, 41748 Viersen, Deutschland

E-Mail: info@calcora.de

Telefon: 0174 652 27 67

Datenschutzkontakt: info@ckrdigital.de

2. Kategorien verarbeiteter Daten

  • Account- und Profildaten (z. B. E-Mail, Nutzer-ID, Profilinformationen)
  • Objekt- und Finanzierungsdaten aus Formularen, URL-Import und PDF-Uploads
  • Analyse- und Ergebnisdaten (z. B. Kennzahlen, Szenarien, Exporte)
  • Billing- und Transaktionsdaten bei Credit-Käufen
  • Technische Metadaten, Logdaten und sicherheitsrelevante Informationen

3. Zwecke und Verarbeitungen in der Plattform

Auth und Profil (Supabase)

Login, Session-Verwaltung, Nutzerprofil und Zugriffsschutz für persönliche Bereiche.

Exposé-Analyse (Vercel AI Gateway)

Strukturierte Extraktion und Aufbereitung von PDF- und Listing-Inhalten zur Erstellung von Analysekennzahlen. Modellanbieter (z. B. OpenAI) werden über das Gateway nachgelagert angebunden.

URL-Scraping (optional Firecrawl)

Bei aktivierter Integration können Inhalte von Immobilien-URLs technisch extrahiert werden.

Billing und Checkout (Stripe)

Kauf von Credits, Zahlungsabwicklung, Zahlungsstatus und zugehörige Buchungszuordnung.

Geocoding und Karte (Mapbox)

Adressauflösung und visuelle Standortdarstellung für Immobilienobjekte.

Interne Event-Logs

Technische Ereignisprotokolle zur Stabilität, Fehleranalyse und Missbrauchsprävention.

4. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, z. B. Konto, Analyse, Billing)
  • Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, z. B. Aufbewahrung von Abrechnungsdaten)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Betrieb)
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, z. B. für Webanalyse)
  • § 25 Abs. 1 TDDDG (Einwilligung für nicht technisch erforderliche Cookies/Tracking-Technologien)

5. Empfänger und Auftragsverarbeiter

Supabase

  • Zweck: Authentifizierung, Datenbankbetrieb und Speicherung von Analyse- und Profildaten
  • Datenkategorien: Kontaktdaten, Account-Daten, Objekt- und Analysedaten, technische Session-Daten
  • Region: EU/EWR (abhängig von eurer Projekt-Region in Supabase)
  • Transfermechanismus: Auftragsverarbeitung nach Art. 28 DSGVO; Drittlandtransfer nur bei Bedarf
  • DPA/Datenschutz: https://supabase.com/legal/dpa

Vercel AI Gateway

  • Zweck: Gateway für LLM-Anfragen inkl. Routing, Zugriffskontrolle und Verarbeitung von Exposé-Inhalten
  • Datenkategorien: Exposé-Inhalte, strukturierte Objektdaten, Nutzereingaben in Analyseflows
  • Region: EU/USA (anbieter- und routingabhängig)
  • Transfermechanismus: Standardvertragsklauseln (SCC) bzw. andere geeignete Garantien gemäß Art. 44 ff. DSGVO
  • DPA/Datenschutz: https://vercel.com/legal/dpa

OpenAI (nachgelagerter Modellanbieter via Vercel AI Gateway)

  • Zweck: Modellinferenz für LLM-gestützte Extraktion und semantische Aufbereitung bei gerouteten Gateway-Anfragen
  • Datenkategorien: Exposé-Inhalte, strukturierte Objektdaten, Nutzereingaben in Analyseflows
  • Region: USA
  • Transfermechanismus: Standardvertragsklauseln (SCC) bzw. andere geeignete Garantien gemäß Art. 44 ff. DSGVO
  • DPA/Datenschutz: https://openai.com/policies/data-processing-addendum/

Stripe

  • Zweck: Zahlungsabwicklung, Billing-Management und Rechnungsdaten
  • Datenkategorien: Kaufdaten, Zahlungsmetadaten, Kunden-ID, Abrechnungsinformationen
  • Region: EU/USA (dienstabhängig)
  • Transfermechanismus: Auftragsverarbeitung und SCC; weitere Informationen in den Stripe-Datenschutzunterlagen
  • DPA/Datenschutz: https://stripe.com/legal/dpa

Mapbox

  • Zweck: Geokodierung und Kartendarstellung für Objektstandorte
  • Datenkategorien: Adressdaten, Geokoordinaten, technische Request-Metadaten
  • Region: USA
  • Transfermechanismus: SCC bzw. geeignete Garantien für Drittlandtransfer
  • DPA/Datenschutz: https://www.mapbox.com/legal/dpa

Google Analytics 4 (Google Ireland Limited)

  • Zweck: Webanalyse und Reichweitenmessung zur Produktverbesserung
  • Datenkategorien: Cookie-ID, gekürzte IP-Adresse, Browser-/Geräteinformationen, aufgerufene Seiten und Events
  • Region: EU/USA
  • Transfermechanismus: EU-Standardvertragsklauseln (SCC) und ggf. EU-U.S. Data Privacy Framework nach Anbieterangaben
  • Rechtsgrundlage: § 25 Abs. 1 TDDDG sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  • Speicherdauer: Konfiguriert auf 2 Monate (GA4 Datenaufbewahrung)
  • DPA/Datenschutz: https://business.safety.google/adsprocessorterms/

Vercel Web Analytics (Vercel Inc.) (optional)

  • Zweck: Webanalyse und Reichweitenmessung zur Produktverbesserung
  • Datenkategorien: Aufgerufene Seiten, Referrer, Browser-/Geräteinformationen, Event-Metadaten
  • Region: EU/USA
  • Transfermechanismus: EU-Standardvertragsklauseln (SCC) und ggf. EU-U.S. Data Privacy Framework nach Anbieterangaben
  • Rechtsgrundlage: § 25 Abs. 1 TDDDG sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  • Speicherdauer: Anbieterabhängig gemäß Vercel-Konfiguration
  • DPA/Datenschutz: https://vercel.com/legal/data-processing-addendum

Firecrawl (optional) (optional)

  • Zweck: Scraping von immobilienbezogenen URL-Inhalten bei aktivierter API-Nutzung
  • Datenkategorien: Objektseiten-URL, Seiteninhalte, strukturierte Listing-Daten
  • Region: Drittland möglich (anbieterabhängig)
  • Transfermechanismus: SCC bzw. geeignete Garantien gemäß Art. 44 ff. DSGVO
  • DPA/Datenschutz: https://www.firecrawl.dev/legal/privacy-policy

6. Cookies und lokale Speicherung

  • immo_anon_id: technisch erforderliches Cookie zur Zuordnung anonymer Nutzung und Basis-Limitierung.
  • Supabase Auth-Cookies: technisch erforderliche Session-Cookies für Login und geschützte Funktionen.
  • Darüber hinaus wird Session-Storage für zustandsbezogene UI-Funktionen der Anwendung genutzt.
  • calcora_cookie_consent + localStorage:dokumentiert eure Consent-Auswahl für optionale Webanalyse (Cookie `calcora_cookie_consent`, Local-Storage `calcora_cookie_consent_v2`).
  • Google Analytics 4 und Vercel Web Analytics (optional):werden nur nach aktiver Einwilligung gesetzt und können jederzeit über "Cookie-Einstellungen" widerrufen werden.

7. Webanalyse (Google Analytics 4 und Vercel Web Analytics)

Wir nutzen Google Analytics 4 und Vercel Web Analytics ausschließlich zur Reichweitenanalyse und Produktverbesserung. Der Einsatz erfolgt nur, wenn ihr im Consent-Banner einwilligt.

Rechtsgrundlagen: § 25 Abs. 1 TDDDG (Setzen/Auslesen nicht erforderlicher Cookies) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Verarbeitete Daten können insbesondere Cookie-ID, gekürzte IP-Adresse, Browser-/Geräteinformationen, Seitenaufrufe, Referrer und Events umfassen.

Wir nutzen Webanalyse ausschließlich für Reichweitenanalyse; Ads-/Remarketing-Funktionen sind deaktiviert.

Empfänger sind Google Ireland Limited und Vercel Inc.; eine Übermittlung in die USA kann nicht ausgeschlossen werden. Diese erfolgt nach Anbieterangaben auf Basis geeigneter Garantien (insbesondere SCC) und ggf. des EU-U.S. Data Privacy Framework.

Die Datenaufbewahrung in GA4 ist auf 2 Monate konfiguriert. Vercel Web Analytics wird gemäß den Anbieter-Einstellungen verarbeitet. Änderungen der Aufbewahrungsdauer werden in dieser Datenschutzerklärung aktualisiert.

Ihr könnt eure Einwilligung jederzeit mit Wirkung für die Zukunft über "Cookie-Einstellungen" widerrufen.

8. Speicherdauer

Anonymes Nutzungs-Cookie (immo_anon_id)

Speicherdauer: Bis zu 365 Tage

Hinweis: Technisch erforderlich für Nutzungsbegrenzung und Monetarisierungszuordnung.

Auth- und Session-Cookies (Supabase)

Speicherdauer: Sitzungsdauer bzw. bis Logout/Expiry

Hinweis: Technisch erforderlich für Login und geschützte Nutzerbereiche.

Gespeicherte Analysen, Profile und Objektsnapshots

Speicherdauer: Bis zur Löschung durch Nutzer:in oder vertragliches Ende

Hinweis: Verarbeitung zur Vertragserfüllung und Bereitstellung der SaaS-Funktionen.

Billing- und Transaktionsdaten

Speicherdauer: Nach gesetzlichen Aufbewahrungspflichten (regelmäßig bis zu 10 Jahre)

Hinweis: Speicherung zur Erfüllung handels- und steuerrechtlicher Dokumentationspflichten.

Google-Analytics-Daten (nur bei Einwilligung)

Speicherdauer: 2 Monate (aktuelle GA4-Aufbewahrungseinstellung)

Hinweis: Verarbeitung nur nach Einwilligung; Widerruf jederzeit über Cookie-Einstellungen möglich.

Vercel-Web-Analytics-Daten (nur bei Einwilligung)

Speicherdauer: Anbieterabhängig gemäß Vercel-Einstellungen

Hinweis: Verarbeitung nur nach Einwilligung; Widerruf jederzeit über Cookie-Einstellungen möglich.

Consent-Nachweis (calcora_cookie_consent + localStorage)

Speicherdauer: Bis zu 365 Tage

Hinweis: Dokumentation und Durchsetzung eurer Cookie-Entscheidung für optionale Analytics.

Technische Server- und Fehlerlogs

Speicherdauer: Kurzfristig nach betrieblichem Erforderlichkeitsprinzip

Hinweis: Verarbeitung zur Gewährleistung von Stabilität, Sicherheit und Missbrauchsprävention.

9. Drittlandtransfer

Sofern Dienstleister Daten außerhalb der EU/des EWR verarbeiten, erfolgt dies auf Basis geeigneter Garantien nach Art. 44 ff. DSGVO (insbesondere Standardvertragsklauseln) oder anderer zulässiger Übermittlungsinstrumente.

10. Betroffenenrechte

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)
  • Beschwerderecht bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO)

11. Bereitstellungspflichten

Die Bereitstellung bestimmter Daten ist für die Vertragserfüllung erforderlich. Ohne diese Daten kann der Dienst (z. B. Login, Analyse oder Abrechnung) ganz oder teilweise nicht bereitgestellt werden.