Stand: 31. März 2026
K&S Farbkonzepte GmbH & Co. KG
Auf dem Damm 22, 21647 Moisburg
E-Mail: kontakt@schimmelcheck.pro
Telefon: 04165 / 970 20 64
Handelsregister: HRA 204138, AG Tostedt
USt-IdNr.: DE317174756
SchimmelCheck Pro ist eine Plattform zur KI-gestützten Ersteinschätzung von Schimmelbefall. Wir erheben nur die Daten, die für die Durchführung der Analyse und die Vermittlung von Fachbetrieben erforderlich sind.
Nutzung durch Privatpersonen (Einzelanalyse): Die K&S Farbkonzepte GmbH & Co. KG ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Die Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Nutzung durch Hausverwaltungen (Verwalter-Account): Die Hausverwaltung ist datenschutzrechtlich Verantwortlicher. Die K&S Farbkonzepte GmbH & Co. KG handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Verarbeitung erfolgt ausschließlich auf Weisung der Hausverwaltung und auf Grundlage eines Auftragsverarbeitungsvertrags (AVV), der bei Registrierung abgeschlossen wird.
Die Hausverwaltung ist verpflichtet, ihre Mieter gemäß Art. 13/14 DSGVO über die Datenverarbeitung durch SchimmelCheck Pro zu informieren. Eine entsprechende Vorlage wird von uns bereitgestellt.
Eigentümer, die ihre eigene Immobilie analysieren, nutzen die Einzelanalyse (B2C). Da keine Daten Dritter betroffen sind, entfällt die Informationspflicht gegenüber Mietern. Der Eigentümer ist selbst Betroffener und Auftraggeber zugleich.
Bei der Durchführung einer Schimmelanalyse erheben wir: Fotos des Schimmelbefalls (bis zu 5), Postleitzahl und Adresse/Fallbezeichnung, Raumtyp, Schimmelposition, befallene Fläche, Dauer des Befalls, Baujahr des Gebäudes, Lüftungsverhalten, bauliche Änderungen und Probleme, Freitextbeschreibung, optional Raumtemperatur, Thermografie-Markierung und Sensormesswerte sowie die E-Mail-Adresse für die Ergebniszustellung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Sie können freiwillig Angaben zu gesundheitlichen Beschwerden machen, die im Zusammenhang mit dem Schimmelbefall stehen. Diese Daten sind Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO und werden nur mit Ihrer ausdrücklichen Einwilligung verarbeitet.
Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Sie können diese Einwilligung jederzeit widerrufen per E-Mail an kontakt@schimmelcheck.pro. Der Widerruf lässt die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung unberührt.
Für Hausverwaltungen und Immobilienverwalter erheben wir: Name, E-Mail-Adresse, Passwort (gespeichert als bcrypt-Hash). Verwalter-Accounts werden ausschließlich durch den Administrator eingerichtet. Es gibt keine Selbstregistrierung, kein Social Login und kein SSO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Die Zahlungsabwicklung erfolgt über Stripe Payments Europe Ltd. Wir erhalten von Stripe ausschließlich Ihre E-Mail-Adresse und den Zahlungsstatus. Kreditkarten- oder Kontodaten werden zu keinem Zeitpunkt an uns übermittelt oder von uns gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Bei Nutzung eines SchimmelCheck Raumklima-Loggers werden folgende Daten erfasst: Raumtemperatur, Luftfeuchtigkeit, Geräte-ID, Raum-Zuordnung und Zeitstempel. Der Logger arbeitet offline und speichert Daten lokal auf dem Gerät. Die Übertragung erfolgt manuell per USB oder SD-Karte – es findet keine automatische Datenübertragung über WLAN oder Mobilfunk statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der bauphysikalischen Dokumentation). Bei Einsatz in Mietwohnungen durch Hausverwaltungen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen des AVV).
Wetterdaten: Über Ihre PLZ ermitteln wir die Außenklimasituation mittels Open-Meteo. Dabei wird nur die geocodierte PLZ-Koordinate übermittelt – keine IP-Adresse, keine Nutzerkennung. Die Abfrage erfolgt ohne Personenbezug.
Zeitstempel: Datum und Uhrzeit der Analysen werden gespeichert.
Server-Logs: Beim Aufruf der Plattform werden durch Scalingo technisch bedingt IP-Adressen und User-Agent-Strings verarbeitet. Diese werden nicht dauerhaft gespeichert und dienen ausschließlich der Bereitstellung des Dienstes.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung).
Wir nutzen Google Analytics 4 (GA4) der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, zur statistischen Auswertung der Websitenutzung.
Verarbeitete Daten: IP-Adresse (gekürzt), Geräte- und Browserinformationen, besuchte Seiten, Verweildauer, Referrer-URL, ungefährer Standort (auf Basis der gekürzten IP-Adresse).
Cookies: GA4 setzt Cookies (_ga, _ga_[ID]). Die Speicherdauer des _ga-Cookies beträgt standardmäßig 2 Jahre, des _ga_[ID]-Cookies 2 Jahre. Cookies werden erst nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Banner gesetzt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit über den Cookie-Banner widerrufen. Der Widerruf lässt die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung unberührt.
Drittlandtransfer: Google kann Daten in die USA übermitteln. Die Übermittlung ist abgesichert durch Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie die Zertifizierung von Google LLC im EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, Art. 45 DSGVO).
Opt-Out: Sie können die Erfassung durch Google Analytics verhindern, indem Sie Ihre Einwilligung im Cookie-Banner verweigern oder nachträglich widerrufen. Zusätzlich können Sie das Browser-Add-on zur Deaktivierung von Google Analytics installieren: tools.google.com/dlpage/gaoptout.
Die Analyse Ihrer Schimmelfotos erfolgt mittels Künstlicher Intelligenz (Claude Sonnet via AWS Bedrock). Die Verarbeitung findet ausschließlich in der AWS-Region eu-central-1 (Frankfurt, Deutschland) statt.
Datenfluss: Ihre Fotos (als Base64-kodierte Bilddaten) und die Formulardaten werden zusammen mit vorberechneten bauphysikalischen Werten an AWS Bedrock übermittelt. Die KI interpretiert nur die vorberechneten Ergebnisse – sie führt selbst keine physikalischen Berechnungen durch.
Kein KI-Training: AWS Bedrock speichert keine Eingabe- oder Ausgabedaten nach der Verarbeitung. Es ist vertraglich ausgeschlossen, dass Ihre Daten für das Training von KI-Modellen verwendet werden.
Anonymisierte Referenzdaten: Das System nutzt anonymisierte Metadaten (Raumtyp, Baujahr, Kategorie – ohne Fotos, Adressen oder personenbezogene Daten) aus verifizierten Altfällen zur Kontextanreicherung. Dies stellt kein KI-Training dar.
Automatisierte Entscheidungsfindung (Art. 22 DSGVO): Die KI-Analyse stellt eine automatisierte Ersteinschätzung dar. Sie entfaltet keine unmittelbaren rechtlichen Wirkungen. Der Bericht enthält einen standardisierten Hinweis, dass die Analyse keine Sachverständigenbegutachtung ersetzt.
SchimmelCheck Pro bietet die Möglichkeit, qualifizierte Fachbetriebe für die Schimmelsanierung zu vermitteln. Eine Weitergabe Ihrer Daten an einen Fachbetrieb erfolgt nur mit Ihrer ausdrücklichen Einwilligung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Weitergegeben werden: Analyseergebnis (PDF), Kontaktdaten (Name, E-Mail, ggf. Telefon), Adresse/PLZ.
Widerspruchsrecht nach Weitergabe: Wenn Sie der Weitergabe zugestimmt haben und anschließend widersprechen, sperren wir die Daten im Fall sofort. Bereits an den Fachbetrieb übermittelte Daten können von uns nicht gelöscht werden – wir teilen Ihnen mit, welcher Fachbetrieb welche Daten wann erhalten hat, damit Sie sich direkt an diesen wenden können.
| Dienst | Zweck | Standort | Transferbasis | AVV |
|---|---|---|---|---|
| Scalingo SAS | App-Hosting (Frontend + Backend) | Paris, Frankreich (EU) | AVV | Ja |
| Firebase / Google Cloud | Firestore-Datenbank | europe-west1 (EU) | AVV + SCCs | Ja (Google DPA) |
| AWS Bedrock | KI-Analyse (Claude) | eu-central-1 Frankfurt (EU) | AVV | Ja (AWS DPA) |
| Stripe Payments Europe | Zahlungsabwicklung | USA | SCCs + DPF | Ja |
| Scaleway TEM | Transaktions-E-Mails | Paris, Frankreich (EU) | AVV | Ja |
| Google Analytics (GA4) | Webanalyse | EU / USA | Einwilligung + SCCs + DPF | Google DPA |
| Open-Meteo | Wetterdaten | EU | Kein Personenbezug | Nicht erforderlich |
| Squarespace | Domain-Registrar / Website (Landing Page) | USA | SCCs + DPF | Squarespace DPA |
Eine Übermittlung personenbezogener Daten in die USA erfolgt bei Stripe (Zahlungsabwicklung), Google Analytics (Webanalyse) und Squarespace (Domain/Website). Diese Übermittlungen sind abgesichert durch Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie die Zertifizierung der jeweiligen Unternehmen im EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss gemäß Art. 45 DSGVO).
Alle übrigen Dienste (Scalingo, Firebase/Google Cloud, AWS Bedrock, Scaleway TEM) verarbeiten Daten ausschließlich innerhalb der EU.
| Datenkategorie | Speicherdauer | Grundlage |
|---|---|---|
| Falldaten (Fotos, Formulardaten, Ergebnisse) | 3 Jahre nach Erstellung | §§ 195, 199 BGB |
| Zahlungsdaten (personenbezogen) | 3 Jahre, dann Anonymisierung | Art. 17 DSGVO |
| Zahlungsreferenzen (anonymisiert) | 10 Jahre | § 257 HGB, § 147 AO |
| Verwalter-Account | Bis Löschung / Vertragsende | Art. 6 Abs. 1 lit. b DSGVO |
| Sensordaten (Logger) | Bis Löschung durch Nutzer | Art. 6 Abs. 1 lit. b/f DSGVO |
| Mieter-E-Mail (HV-Flow) | 30 Tage nach Fallabschluss | Datenminimierung Art. 5 Abs. 1 lit. c |
| Google Analytics Cookies | _ga: 2 Jahre, _ga_[ID]: 2 Jahre | Einwilligung Art. 6 Abs. 1 lit. a |
Automatische Löschung: Ein Bereinigungsprozess prüft wöchentlich, ob die Speicherdauer abgelaufen ist. Phase 1 (nach 3 Jahren): Fotos und personenbezogene Daten werden gelöscht. Phase 2 (nach 10 Jahren): Komplette Falllöschung einschließlich anonymisierter Zahlungsreferenzen.
Backups: In automatisierten Firebase-Backups können gelöschte Daten für bis zu 30 Tage fortbestehen. Der Zugriff auf Backups erfolgt ausschließlich im technischen Notfall (Wiederherstellung nach Systemausfall).
Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
| Recht | Umsetzung |
|---|---|
| Auskunft (Art. 15 DSGVO) | Per E-Mail anforderbar. Falldaten aus dem System exportierbar. |
| Berichtigung (Art. 16 DSGVO) | Per E-Mail anforderbar. Manuelle Korrektur Ihrer Daten. |
| Löschung (Art. 17 DSGVO) | Self-Service über die Plattform oder per E-Mail. Die Löschung wird mit Zeitstempel und gelöschten Feldern protokolliert. |
| Einschränkung (Art. 18 DSGVO) | Per E-Mail. Der Fall-Status wird auf „eingeschränkt" gesetzt. |
| Datenübertragbarkeit (Art. 20 DSGVO) | Per E-Mail. JSON-Export Ihrer Falldaten möglich. |
| Widerspruch (Art. 21 DSGVO) | Per E-Mail an kontakt@schimmelcheck.pro. Bei Widerspruch gegen Art. 6 Abs. 1 lit. f DSGVO prüfen wir, ob zwingende schutzwürdige Gründe vorliegen. |
| Widerruf der Einwilligung | Jederzeit per E-Mail. Betrifft insbesondere: Gesundheitsdaten, Google Analytics, Fachbetrieb-Vermittlung. |
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen. Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Kontakt für alle Betroffenenrechte: kontakt@schimmelcheck.pro
Aufsichtsbehörde: Die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover. Sie haben das Recht, sich bei der Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).
| Cookie | Anbieter | Zweck | Speicherdauer |
|---|---|---|---|
| _ga | Google Analytics | Unterscheidung von Nutzern | 2 Jahre |
| _ga_[ID] | Google Analytics | Sitzungsstatus speichern | 2 Jahre |
Darüber hinaus setzt SchimmelCheck Pro keine eigenen Cookies. Die Plattform verwendet sessionStorage im Browser für die Sitzungsverwaltung – dieser wird nicht an den Server übermittelt und wird beim Schließen des Browserfensters automatisch gelöscht.
Google Analytics Cookies werden erst nach Ihrer ausdrücklichen Einwilligung über den Cookie-Banner gesetzt. Ohne Einwilligung werden keine Cookies gesetzt und keine Tracking-Daten erhoben.
Wir setzen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein: Passwörter werden als bcrypt-Hash gespeichert. Die Sitzungsverwaltung erfolgt über HMAC-signierte Tokens mit 24-Stunden-Ablaufzeit. Alle Verbindungen sind TLS-verschlüsselt (HTTPS über Scalingo / Let's Encrypt). Der Zugriff auf die Analyse-Endpunkte ist per Rate Limiting geschützt. Eingaben werden serverseitig auf XSS und Script-Injection geprüft. KI-Antworten werden per Schema validiert. Content-Security-Policy-Header mit Whitelist sind aktiv. E-Mail-Versand erfolgt TLS-verschlüsselt über Scaleway TEM mit SPF, DKIM und DMARC.
Wir setzen kein Google Analytics-Tracking ein, bevor Sie aktiv eingewilligt haben. Es werden keine Social-Media-Plugins, kein Browser-Fingerprinting und kein serverseitiges Nutzer-Tracking eingesetzt.
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie unter schimmelcheck.pro/datenschutz.
Nächste planmäßige Überprüfung: März 2027.
Stand: 31. März 2026