§ 1 Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist: TwinOne AG An der Gehespitz 100 63263 Neu-Isenburg Deutschland E-Mail: info@twin-estate.com Vertreten durch den Vorstand: Florian Winter, Denise Schulz Handelsregister: HRB 58860, AG Offenbach am Main
§ 2 Datenschutzbeauftragter
Wir haben derzeit keinen Datenschutzbeauftragten bestellt, da die gesetzlichen Voraussetzungen nach § 38 Abs. 1 BDSG nicht erfüllt sind. Anfragen in Datenschutzangelegenheiten richten Sie bitte an: info@twin-estate.com
§ 3 Allgemeines zur Datenverarbeitung
Umfang: Wir erheben und verwenden personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), lit. b (Vertragserfüllung / vorvertragliche Maßnahmen), lit. c (rechtliche Verpflichtung), lit. f (berechtigte Interessen) sowie § 25 TTDSG für den Zugriff auf Endgeräte (Cookies und ähnliche Technologien). Speicherdauer: Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine darüber hinausgehende Speicherung erfolgt nur bei gesetzlicher Verpflichtung, insbesondere nach § 257 HGB und § 147 AO (bis zu 10 Jahre).
§ 4 Bereitstellung der Website — Server-Logfiles
Bei jedem Seitenaufruf werden automatisch folgende Daten erfasst: IP-Adresse (anonymisiert nach 7 Tagen), Datum und Uhrzeit, aufgerufene URL und HTTP-Statuscode, übertragene Datenmenge, Referrer-URL sowie User-Agent (Browser, Betriebssystem). Zweck: Bereitstellung, Stabilität und Sicherheit der Website. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: Maximal 7 Tage; bei Sicherheitsvorfällen bis zur Aufklärung. Hosting-Anbieter: Microsoft Azure (Region West Europe) — Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen.
§ 5 Kontaktaufnahme und Demo-Anfrage
Kontaktformular / Demo-Anfrage: Wir verarbeiten Firma, Name, geschäftliche E-Mail-Adresse, Bestandsgröße, Anliegen und Zeitstempel zum Zweck der Bearbeitung Ihrer Anfrage und der vorvertraglichen Kommunikation. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen); bei reinen Informationsanfragen zusätzlich lit. f. Speicherdauer: Bis zum Abschluss der Anfrage; bei nachfolgender Vertragsbeziehung gemäß handels- und steuerrechtlichen Aufbewahrungspflichten (bis zu 10 Jahre). E-Mail-Kommunikation: Verarbeitung Ihrer übermittelten Daten auf Grundlage von Art. 6 Abs. 1 lit. b oder lit. f DSGVO.
§ 6 Cookies und ähnliche Technologien
Technisch notwendige Cookies sind für den Betrieb der Website erforderlich (z. B. Session, Spracheinstellung, Consent-Status). Sie werden ohne Einwilligung gesetzt. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG, Art. 6 Abs. 1 lit. f DSGVO. Optionale Cookies (Statistik, Marketing, Karten) werden ausschließlich nach Ihrer ausdrücklichen Einwilligung aktiviert. Rechtsgrundlage: § 25 Abs. 1 TTDSG, Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit über das Consent-Banner widerrufen. Die Speicherung Ihrer Einwilligung erfolgt mit Zeitstempel; Speicherdauer des Consent-Logs: 12 Monate. Consent-Management: Wir betreiben unser Einwilligungsmanagement mit einer eigens entwickelten Lösung, die vollständig auf unserer eigenen Infrastruktur (Microsoft Azure, EU) läuft. Es werden keine Consent-Daten an Drittanbieter übermittelt.
§ 7 Tag-Management — Google Tag Manager
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterkonzern: Google LLC, USA). Zweck: Verwaltung und koordinierter Aufruf von JavaScript-Tags. Google Tag Manager selbst setzt keine eigenen Cookies zur Analyse. Er lädt beim Seitenaufruf eine Konfigurationsdatei von Google-Servern (dabei wird die IP-Adresse übermittelt) und aktiviert weitere Dienste ausschließlich auf Basis Ihrer Einwilligung. Verarbeitete Daten: IP-Adresse beim Laden des GTM-Containers. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO für das Laden der Konfigurationsdatei; für gesteuerte Drittdienste gilt § 25 Abs. 1 TTDSG, Art. 6 Abs. 1 lit. a DSGVO. Drittlandtransfer (USA): Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie EU-US Data Privacy Framework (Google LLC ist zertifiziert). AVV: abgeschlossen. — Datenschutzerklärung Google: https://policies.google.com/privacy
§ 8 Webanalyse — Google Analytics 4
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterkonzern: Google LLC, USA). Zweck: Statistische Auswertung des Nutzungsverhaltens, Reichweitenmessung, Optimierung von Inhalten und User Experience. Google Analytics 4 verwendet IP-Anonymisierung. Verarbeitete Daten: Anonymisierte IP-Adresse, Geräteinformationen, Sitzungsdaten (aufgerufene Seiten, Verweildauer), Interaktionen (Klicks, Formularabsendungen). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG (Einwilligung erforderlich). Speicherdauer: Nutzungsdaten 14 Monate. Drittlandtransfer (USA): Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie EU-US Data Privacy Framework (Google LLC ist zertifiziert). AVV: abgeschlossen. — Opt-Out: Über das Consent-Banner. Zusätzlich: https://tools.google.com/dlpage/gaoptout Datenschutzerklärung Google: https://policies.google.com/privacy
§ 9 Performance-Monitoring — Azure Application Insights
Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Zweck: Technisches Performance-Monitoring, Fehler- und Ausnahmeanalyse der Webanwendung (kein Marketing-Tracking). Verarbeitete Daten: Anonymisierte IP-Adresse, Geräteinformationen, Sitzungsdaten, pseudonyme Sitzungs-IDs. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG (Einwilligung). Speicherdauer: 24 Monate. Drittlandtransfer (USA): Standardvertragsklauseln + EU-US Data Privacy Framework (Microsoft ist zertifiziert). AVV: abgeschlossen. — Opt-Out: Über das Consent-Banner.
§ 10 Kartendienst — Mapbox
Anbieter: Mapbox Inc., 740 15th St NW, Suite 500, Washington, DC 20005, USA. Zweck: Darstellung interaktiver Karten (z. B. zur Visualisierung von Objektstandorten auf der Website und in der Plattform). Verarbeitete Daten: IP-Adresse, Geräte- und Browserinformationen (werden beim Laden der Karten-Bibliothek an Mapbox-Server übermittelt). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG (Einwilligung). Drittlandtransfer (USA): Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). AVV: Automatisch einbezogen in die Mapbox Terms of Service. Zur Dokumentation empfohlen: DPA-Version herunterladen (https://www.mapbox.com/legal/dpa). Opt-Out: Karten werden erst nach Einwilligung geladen. Datenschutzerklärung Mapbox: https://www.mapbox.com/legal/privacy
§ 11 CAD- und BIM-Visualisierung — Autodesk APS
Anbieter: Autodesk Inc., One Market Street, Suite 500, San Francisco, CA 94105, USA. Zweck: Browserbasierte Visualisierung und Verarbeitung von CAD- und BIM-Dateien (IFC, RVT, DWG u. ä.) innerhalb der twin-estate-Plattform. Die hochgeladenen Dateien werden zur Konvertierung und Darstellung temporär über Autodesk APS (ehemals Autodesk Forge) verarbeitet. Verarbeitete Daten: Hochgeladene CAD-/BIM-Dateien des Kunden (technische Gebäudedaten, Pläne), Metadaten (Dateiname, -größe), IP-Adresse. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für registrierte Nutzer wird dies im Auftragsverarbeitungsvertrag (AVV) zwischen TwinOne AG und dem Plattformkunden geregelt. Drittlandtransfer (USA): Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). AVV: Automatisch einbezogen in die Autodesk Subscription-Bedingungen. Datenschutzerklärung Autodesk: https://www.autodesk.com/company/legal-notices-trademarks/privacy-statement
§ 12 LinkedIn Insight Tag (nur nach Einwilligung)
Anbieter: LinkedIn Ireland Unlimited Company, Wilton Plaza, Wilton Place, Dublin 2, Irland (Mutterkonzern: Microsoft Corporation, USA). Zweck: Conversion-Tracking und Retargeting für LinkedIn-Anzeigen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG (Einwilligung). Drittlandtransfer (USA): Standardvertragsklauseln + EU-US Data Privacy Framework. Datenschutzerklärung LinkedIn: https://www.linkedin.com/legal/privacy-policy — Opt-Out: https://www.linkedin.com/psettings/guest-controls
§ 13 Terminvereinbarung — Calendly (nur nach Einwilligung)
Anbieter: Calendly LLC, 271 17th St NW, Suite 1000, Atlanta, GA 30363, USA. Zweck: Buchung und Verwaltung von Demo-Terminen. Verarbeitete Daten: Name, geschäftliche E-Mail-Adresse, gewünschter Termin. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. lit. a beim eingebetteten Widget (§ 25 Abs. 1 TTDSG). Drittlandtransfer (USA): Standardvertragsklauseln + EU-US Data Privacy Framework. Datenschutzerklärung Calendly: https://calendly.com/privacy
§ 14 CRM und Marketing-Automation
Sofern CRM- oder Marketing-Automation-Tools eingesetzt werden, werden Anbieter, Sitz, Zweck, Rechtsgrundlage, AVV-Status und Datenfluesse hier ergänzt, sobald produktiv im Einsatz.
§ 15 Plattform-Nutzung (twin-estate Dashboard und Datenraum)
Auftragsverarbeitungsverhältnis: Im Rahmen der eingeloggten Plattformnutzung ist TwinOne AG Auftragsverarbeiter für die vom Kunden eingestellten personenbezogenen Daten; der Plattformkunde ist Verantwortlicher. Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) nach Art. 28 DSGVO. Verarbeitete Plattformdaten (im Auftrag des Kunden): • Konto- und Login-Daten der vom Kunden angelegten Nutzer • Hochgeladene Dokumente, Pläne und Modelle • Audit- und Zugriffsprotokolle Eingesetzte Infrastruktur: Plattform-Hosting (Microsoft Azure, EU), Datei-Speicher (Azure Blob Storage, EU), Datenbank (MongoDB Atlas, EU/Frankfurt), CAD-Visualisierung (Autodesk APS, USA — SCC), Kartendarstellung (Mapbox, USA — SCC). Für alle Auftragsverarbeiter wurden Verträge nach Art. 28 DSGVO abgeschlossen oder sind in Vorbereitung.
§ 17 Empfänger der Daten und Drittlandtransfers
Empfänger: Auftragsverarbeiter (Hosting, Analyse, Scanning-Dienste) — ausschließlich mit AVV nach Art. 28 DSGVO; Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, Wirtschaftsprüfer); Behörden und Gerichte — nur soweit gesetzlich verpflichtet. Drittlandtransfers: Folgende Anbieter befinden sich in Drittländern (außerhalb EU/EWR): Google LLC (USA) — GA4, GTM: SCC + EU-US DPF; Microsoft Corporation (USA) — Azure App Insights: SCC + EU-US DPF; Mapbox Inc. (USA) — Kartendienst: SCC; Autodesk Inc. (USA) — CAD-Visualisierung (APS): SCC; Matterport Inc. / CoStar Group (USA) — 3D-Scanning: SCC; Calendly LLC (USA) — Terminvereinbarung: SCC + EU-US DPF; LinkedIn (Microsoft, USA) — Insight Tag: SCC + EU-US DPF. Alle Transfers erfolgen auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO und/oder eines Angemessenheitsbeschlusses (EU-US Data Privacy Framework nach Art. 45 DSGVO). Azure, MongoDB Atlas (Frankfurt) sowie NavVis GmbH (Deutschland) sind EU-basiert und begründen keinen Drittlandtransfer.
§ 18 Ihre Rechte als betroffene Person
Sie haben gegenüber TwinOne AG folgende Rechte: Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21), Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3) sowie das Beschwerderecht bei einer Aufsichtsbehörde (Art. 77). Zuständige Aufsichtsbehörde: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Postfach 3163, 65021 Wiesbaden, https://datenschutz.hessen.de. Anfragen zu Betroffenenrechten richten Sie bitte an info@twin-estate.com.
§ 19 Automatisierte Entscheidungsfindung
Wir nutzen keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
§ 20 Pflicht zur Bereitstellung von Daten
Im Rahmen vorvertraglicher oder vertraglicher Beziehungen müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme und Durchführung der Geschäftsbeziehung oder die gesetzlich vorgeschriebene Dokumentation erforderlich sind. Ohne diese Daten ist der Vertragsschluss oder die Durchführung des Vertrags nicht möglich.
§ 21 Technische und organisatorische Maßnahmen
Wir setzen dem Stand der Technik entsprechende Schutzmaßnahmen ein, insbesondere TLS-Verschlüsselung für alle Datenübertragungen, verschlüsselte Datenspeicherung (at-rest encryption), Multi-Faktor-Authentifizierung (MFA) für Systemzugänge, rollenbasierte Zugriffskontrolle (RBAC), regelmäßige Sicherheitsüberprüfungen sowie automatische Sicherheitsupdates und kontinuierliches Monitoring.
§ 22 Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, soweit dies aufgrund geänderter Rechtslagen, Behördenentscheidungen oder Änderungen unserer Leistungen erforderlich ist. Das Datum der letzten Aktualisierung ist am Kopf dieses Dokuments ausgewiesen.