RealPilotRealPilot

Datenschutzerklärung

Stand: 13.05.2026

ℹ️ Diese Seite befindet sich derzeit in anwaltlicher Prüfung. Die Inhalte werden in Kürze finalisiert.

1. Verantwortlicher

RealPilot SL
Barri Can Mandilego, 1
07150 Andratx, Illes Balears, España
E-Mail: hello@realpilot.io
Vertretungsberechtigt: Florian Voigt (Geschäftsführer)

Datenschutzbeauftragter: nach Art. 37 DSGVO nicht zwingend, da RealPilot < 250 Mitarbeiter und keine Kerntätigkeit „regelmäßige und systematische Überwachung". Datenschutz-Anfragen daher direkt an privacy@realpilot.io (Geschäftsführung).

2. Allgemeines zur Datenverarbeitung

RealPilot ist eine SaaS-Plattform für Immobilienmakler-Kooperation. Wir verarbeiten personenbezogene Daten ausschließlich, um den Dienst zu erbringen, gesetzliche Pflichten zu erfüllen oder berechtigte Interessen zu wahren — niemals zu eigenen Werbezwecken außerhalb der Plattform.

Rechtsgrundlagen (DSGVO Art. 6): • (a) Einwilligung — Cookie-Banner, Newsletter, optionale KI-Workflows • (b) Vertrag — Konto-Registrierung, Plattform-Nutzung, Abrechnung • (c) Rechtliche Verpflichtung — Steuer-/Handelsrecht, Aufbewahrung • (f) Berechtigtes Interesse — IT-Sicherheit, Missbrauchs-Schutz, anonymisierte Produkt-Statistiken, Doppelvertretungs-Schutz für Maklerkunden (Kern-Feature)

3. Welche Daten wir verarbeiten

3.1 Daten der Makler (unsere Vertragspartner)

Bei Konto-Registrierung und Nutzung speichern wir: • Vor- und Nachname, geschäftliche E-Mail, Telefon (optional) • Firmenname, Anschrift, Logo / Profilfoto (optional) • Sprache, Zeitzone, UI-Einstellungen • Login-Zeitpunkte, IP-Adresse beim Login (technisch notwendig) • Rolle (Inhaber / Mitarbeiter / Admin), Status (aktiv / gesperrt) • Inhalte aus In-App-Chat mit Kollegen-Maklern (Kooperations-Threads) Speicherdauer: Während des aktiven Vertrags + 6 Jahre nach Kündigung für steuer- und handelsrechtliche Aufbewahrungspflichten (§ 257 HGB, § 147 AO bzw. spanische Pendants). Login-Logs nach 90 Tagen rotiert.

3.2 Daten der Kunden der Makler (sog. Endkunden)

Makler tragen in RealPilot Such- und Verkaufs-Profile ihrer eigenen Kunden ein. Dabei werden gespeichert: • Anzeigename (intern, vom Makler vergeben — z. B. „Familie M.") • Optional: Vor- und Nachname, E-Mail, Telefon (privat einsehbar nur durch den eingebenden Makler — nie durch andere Makler) • Such-Kriterien: Region, Budget, Zimmerzahl, Wünsche • Notizen des Maklers zum Kunden Schutz vor Doppelvertretung („Kundenschutz"): E-Mail, Telefon und Name werden zusätzlich als kryptografischer Hash (SHA-256 mit Server-Salt) gespeichert. Dadurch kann das System einen anderen Makler warnen, wenn derselbe Endkunde auch in dessen Datenbank liegt — ohne dass die Klartext-Kontaktdaten je weitergegeben werden. Verantwortlicher für diese Endkunden-Daten ist primär der eingebende Makler. RealPilot SL ist Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Der entsprechende AVV ist Bestandteil des Vertrags und unter /legal/avv abrufbar. Speicherdauer: Solange der Makler den Kunden in seinem System hat; auf Löschwunsch unverzüglich. Hash-Spuren in Audit-Logs zu beendeten Kooperationen werden nach 12 Monaten anonymisiert.

3.3 Objekt-Daten (Properties)

Immobilien-Exposés inkl. Adresse, Preis, Beschreibung, Bilder. Werden vom Makler eingetragen oder per CRM-Schnittstelle (onOffice, Propstack) synchronisiert. Im Community Hub teilweise sichtbar für andere Makler; Adresse und Identität werden bis zur Kundenschutz-Bestätigung verborgen.

3.4 Kooperations-Daten

Wenn zwei Makler über RealPilot kooperieren, speichern wir: • Beteiligte Makler-IDs • Status-Verlauf (Anfrage → Bestätigung → Annahme/Ablehnung) • Kundenschutz-Entscheidungen (verified/rejected) mit Zeitstempel • Chat-Verlauf zwischen den Maklern • Verbundenes Objekt + Kunde (intern referenziert) Diese Daten dienen als Audit-Trail für die jeweiligen Provisionsfälle und werden mindestens 10 Jahre aufbewahrt (handelsrechtliche Beweispflicht für Provisionsansprüche, AGB).

3.5 Zahlungs-Daten

Sobald der Bezahl-Modus live geht: Abwicklung über Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Dublin, Irland). RealPilot selbst speichert keine Kreditkarten-Daten — nur ein Stripe-Customer-Token + die Rechnungs-Stammdaten (Firma, USt-ID, Rechnungs-Adresse).

3.6 Beim Besuch der Website

• IP-Adresse (gekürzt geloggt durch Cloudflare) • User-Agent • Referrer (welche Seite hat dich auf uns verwiesen) • Aufgerufene URL, Zeitpunkt Reichweiten-Tracking ist aktuell deaktiviert. Wenn wir das einführen, fragen wir dich vorher per Cookie-Banner um deine Einwilligung.

4. Auftragsverarbeiter / Sub-Prozessoren

Wir nutzen spezialisierte Dienstleister. Die jeweils aktuelle, vollständige Liste mit Sitz, Zweck und Drittland-Status pflegen wir transparent unter realpilot.io/legal/sub-prozessoren. Mit jedem besteht ein AVV nach Art. 28 DSGVO. Änderungen kündigen wir mit 30 Tagen Vorlauf an.

Drittland-Transfer USA: Für Anbieter mit US-Mutter setzen wir auf zwei Säulen — die Standard-Vertragsklauseln der EU-Kommission (Beschluss 2021/914) und die Selbst-Zertifizierung der Anbieter unter dem EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023). Datenbank-Inhalte werden physisch in Frankfurt (eu-central-1) gespeichert.

5. Cookies und Tracking

Beim ersten Besuch fragen wir per Banner deine Einwilligung ab. Du kannst zwischen drei Kategorien wählen: • Notwendig (immer aktiv): Session-Cookie, CSRF-Token, Cookie-Consent selbst • Analyse (optional): aktuell nicht im Einsatz; reserviert für zukünftige Reichweiten-Statistiken (z. B. Cloudflare Web Analytics oder Google Analytics) — bei Aktivierung erneuter Hinweis • Marketing (optional): aktuell nicht im Einsatz; reserviert für zukünftige Re-Targeting-Pixel mit erneutem Hinweis Du kannst deine Wahl jederzeit über den Link „Cookie-Einstellungen" im Footer ändern. Wir versionieren die Consent-Policy — bei wesentlichen Änderungen wirst du erneut gefragt.

6. Deine Rechte

Du hast nach DSGVO jederzeit das Recht auf: • Art. 15 — Auskunft: Welche Daten haben wir über dich gespeichert? → Self-Service unter Einstellungen → „Daten exportieren" (JSON-Download innerhalb von Sekunden) ODER schriftlich an privacy@realpilot.io (Antwort innerhalb 30 Tagen). • Art. 16 — Berichtigung: Falsche Daten korrigieren lassen. • Art. 17 — Löschung („Recht auf Vergessenwerden"): Self-Service unter Einstellungen → „Konto löschen". Hartes Löschen aller deiner Daten + kaskadiertes Löschen von Properties, Kunden, Kooperationen. Steuerrechtliche Aufbewahrungspflichten überlagern dies — entsprechende Datensätze werden für die Restdauer technisch gesperrt statt gelöscht. • Art. 18 — Einschränkung der Verarbeitung. • Art. 20 — Datenübertragbarkeit: Export im strukturierten, maschinenlesbaren JSON-Format. • Art. 21 — Widerspruch gegen Verarbeitung auf Basis berechtigten Interesses. • Widerruf von Einwilligungen (z. B. Cookie-Consent) jederzeit ohne Begründung — wirkt für die Zukunft.

7. Beschwerderecht

Du kannst dich bei der für uns zuständigen Aufsichtsbehörde beschweren: Agencia Española de Protección de Datos (AEPD) C/ Jorge Juan, 6 · 28001 Madrid · Spanien www.aepd.es Du kannst dich auch an die Datenschutzbehörde deines gewöhnlichen Aufenthaltsorts oder Arbeitsplatzes wenden (z. B. die jeweils zuständige Landesdatenschutzbehörde in Deutschland).

8. Datensicherheit (TOMs — Auszug)

• TLS 1.2+ für alle Verbindungen, HSTS aktiv • Datenbank-Zugriffe abgesichert über Row Level Security (RLS); jeder Makler sieht nur seine eigenen + freigegebene Daten • Passwörter werden ausschließlich als bcrypt-Hash gespeichert (Supabase Auth) • Sensible Daten (Kunden-Hashes) mit serverseitigem Salt • Tägliche, verschlüsselte Backups (7 Tage Retention) • Audit-Log für alle Kooperations- und Kundenschutz-Aktionen (unveränderlich, append-only) • Mitarbeiter-Zugriff auf Produktion nur über 2FA + Audit • Externer Penetration-Test geplant Q3/2026 Die vollständige TOM-Dokumentation wird auf Anfrage zur Verfügung gestellt.

9. Änderungen dieser Erklärung

Wir behalten uns vor, diese Erklärung anzupassen, wenn sich die Rechtslage, unsere Verarbeitungspraktiken oder Sub-Prozessoren ändern. Wesentliche Änderungen kündigen wir per E-Mail an alle aktiven Vertragspartner mit 30 Tagen Vorlauf an. Bei wesentlichen Änderungen bitten wir dich beim nächsten Login um erneute Bestätigung. Die jeweils aktuelle Version ist immer hier abrufbar — Stand siehe oben.