Stand: 05. Mai 2026 · gilt für sloppyrent.com / sloppyrent.de
Rene Hering
nullroutine | TGA Planung & Beratung
Gutenbergplatz 3, 04103 Leipzig
E-Mail: kontakt@nullroutine.de
Bevorzugter Kontaktweg zur Gewährleistung einer lückenlosen technischen Dokumentation.
Telefon: +49 176 4460 5494
Automatisierte Nachrichtenannahme / Sprachbox.
Ein Datenschutzbeauftragter ist gemäß § 38 BDSG nicht zu bestellen, da der Schwellenwert von 20 Personen mit ständiger automatisierter Verarbeitung personenbezogener Daten nicht überschritten wird. Datenschutzanfragen richten Sie bitte direkt an den unter Ziff. 1 genannten Verantwortlichen.
Soweit eine Hausverwaltung SloppyRent als Software-as-a-Service nutzt, um Daten ihrer Mieter:innen zu verarbeiten, agiert die Hausverwaltung als eigenständig Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO; SloppyRent (Rene Hering / nullroutine) ist insoweit Auftragsverarbeiter nach Art. 28 DSGVO. Ein Auftragsverarbeitungs-Vertrag mit Garantien und Weisungsrechten wird mit jeder Hausverwaltung bei Vertragsbeginn abgeschlossen. Mieter:innen wenden sich für Auskunft / Berichtigung / Löschung primär an die Hausverwaltung; subsidiär an den Verantwortlichen unter Ziff. 1.
Beim Aufruf werden technisch notwendige Logs (IP-Adresse, Zeitstempel, User-Agent, angefragte URL) verarbeitet. Rechtsgrundlage: berechtigtes Interesse an Stabilität und Sicherheit (Art. 6 Abs. 1 lit. f DSGVO). Aufbewahrung: bis 14 Tage, danach Anonymisierung oder Löschung.
Authentifizierung erfolgt über Sloppy-ID (id.sloppyuniverse.com). Dort verarbeitete Daten (E-Mail, Name, Passwort-Hash, OAuth-Sessions) sind in der Datenschutzerklärung von Sloppy-ID separat dokumentiert. Sloppy-ID handelt als eigenständig Verantwortliche; die Datenübergabe an SloppyRent (Subject-ID, E-Mail, Name, gebuchte Module) erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Wenn die Hausverwaltung Sie als Mieter:in einlädt, werden Name, Telefon,
Notfall-Kontakt sowie Wohnungs-Zuordnung in einer gesonderten Tabelle
(resident_profiles) gespeichert. Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung Mietverhältnis) und
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kommunikationsfähigkeit).
Aufbewahrung: bis 180 Tage nach Auszug; danach automatische Anonymisierung
durch einen täglichen Hintergrund-Job. Die technische Historie der Wohnung
(Mängel-Tickets, Wartungstermine) bleibt erhalten, ist dann aber nicht mehr
Ihrem Namen zugeordnet (Art. 17 DSGVO i. V. m. Art. 5 Abs. 1 lit. e).
Mängel-Beschreibungen, Foto-Anhänge, Status- und Bearbeitungs-Verläufe werden zur Auftragsabwicklung gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Hochgeladene Fotos werden vor der Speicherung von EXIF-Metadaten (insb. GPS) befreit.
Vereinbarte Termine zwischen Mieter:in und Dienstleister (Datum, Uhrzeit, Status) werden zur Vertragsabwicklung gespeichert (Art. 6 Abs. 1 lit. b DSGVO). Aufbewahrung gemäß HGB/AO bis 10 Jahre.
Sicherheitsrelevante Aktionen (Logins, Einladungen, Onboarding-Versuche, Mieter-Deaktivierung) werden in einem Audit-Log gespeichert. Rechtsgrundlage: berechtigtes Interesse an Sicherheit (Art. 6 Abs. 1 lit. f DSGVO). Aufbewahrung: 12 Monate.
Eine Übermittlung in Drittländer findet nicht statt.
Es werden ausschließlich technisch notwendige Cookies/Local-Storage-Einträge gesetzt (Session-Cookie für Login, Theme-Präferenz, Sidebar-Status, CSRF-Token). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO sowie § 25 Abs. 2 Nr. 2 TDDDG. Es findet kein Tracking statt, es wird kein Drittanbieter-Cookie gesetzt.
Sie haben jederzeit das Recht auf:
Anfragen richten Sie bitte an die oben genannte Kontaktadresse. Es entstehen Ihnen dadurch keine Kosten.
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist die Landesbehörde Sachsen: Sächsische Datenschutz- und Transparenzbeauftragte, Devrientstraße 1, 01067 Dresden, saechsdsb.de.
Beim Einzug erhalten Mieter einen individuellen QR-Code mit SHA-256-Hash-Token. Es werden ausschließlich gespeichert: Wohnungs-Zuordnung, Token-Hash (kein Klartext), Erst-/Letzter Scan-Zeitstempel, Anzahl der Logins, optional ein bcrypt-Hash der Mieter-PIN, ein Geräte-Fingerprint zur PIN-Umgehung auf bekannten Geräten sowie — bei aktivem Geo-Plausibilitäts-Check — der ISO-Ländercode des letzten Scans. Die IP wird kurzfristig (24 h) für die Sliding-Session und Rate-Limiting vorgehalten und bei jedem neuen Scan überschrieben. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO (Vertragserfüllung + berechtigtes Interesse an passwortloser, niedrigschwelliger Mieter-Authentifizierung).
Lifecycle: Bei Auszug oder Verlust wird der Token sofort gesperrt (revoked). Token-Hash, PIN-Hash, Geräte-Fingerprint und Geo-Daten werden 180 Tage nach Sperrung automatisch gelöscht (DSGVO-Purge). Der Audit-Trail bleibt mit anonymisierter Token-Markierung erhalten. Mieter können selbst über die Funktion „QR verloren" jederzeit eine sofortige Sperre auslösen.
Magic-Link-Backup: Falls der QR verloren ist, kann ein Mail-basierter Backup-Login angefordert werden. Der Link gilt 30 Minuten und kann nur einmal verwendet werden — auch hier wird nur der SHA-256-Hash gespeichert. Tokens älter als 24 Stunden werden täglich aus der Datenbank entfernt.
Web-Push (Notfall): Mieter können freiwillig Push-Benachrichtigungen für Notfälle (Brand, Wasserschaden, Heizungsausfall) abonnieren. Es werden ausschließlich der vom Browser bereitgestellte Endpoint sowie die zwei VAPID-Schlüssel (p256dh, auth) gespeichert. Das Abonnement kann jederzeit über den Browser oder die Aktion „Push deaktivieren" im Portal beendet werden.
Die SloppyRent-Mobile-App speichert lokale Daten in einer SQLCipher-verschlüsselten Datenbank. Bei Deaktivierung des Endgeräts durch die Hausverwaltung wird die lokale Datenbank beim nächsten Sync automatisch entfernt (Device-Wipe). Push-Benachrichtigungen werden nur versendet, wenn Sie zugestimmt haben.
Übertragung erfolgt ausschließlich verschlüsselt (TLS 1.2+). Passwörter werden nur gehashed gespeichert (Sloppy-ID, bcrypt). Backups werden verschlüsselt und Tenant-skopiert geführt.
Soweit personenbezogene Daten nicht von Ihnen selbst erhoben wurden, sondern von Ihrer Hausverwaltung in das System eingegeben werden (z.B. Name, Telefon, Notfall-Kontakt im Mieter-Profil), informieren wir Sie hiermit gemäß Art. 14 DSGVO: Datenkategorien sind unter Ziff. 2.3 aufgelistet, Quelle ist die jeweils mit Ihnen vertraglich verbundene Hausverwaltung, Rechtsgrundlage ist die Vertragserfüllung des Mietverhältnisses (Art. 6 Abs. 1 lit. b DSGVO).
Die Bereitstellung der unter Ziff. 2.2 (Konto/Login) und 2.3 (Mieter-Profil) genannten Daten ist für den Vertragsschluss und die Vertragsabwicklung erforderlich. Ohne diese Daten kann das Mieter-Portal nicht genutzt werden. Eine darüber hinausgehende Bereitstellung (z.B. PIN für QR-Code, Web-Push-Abonnement, Notfall-Kontakt) ist freiwillig; das Unterlassen hat keine nachteiligen Folgen für das Mietverhältnis.
Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO sowie Profiling finden nicht statt. Insbesondere werden weder Bonität, Mietzahlungsverhalten noch Persönlichkeitsmerkmale automatisiert ausgewertet. Statusbewertungen (z.B. Status-Ampel der Wohnung) basieren ausschließlich auf nicht-personenbezogenen Sachzuständen (offene Tickets, Wartungsfristen).
Wir passen diese Erklärung an, wenn sich die Verarbeitung ändert. Den jeweils aktuellen Stand finden Sie auf dieser Seite. Wesentliche Änderungen werden aktiv kommuniziert.
← zurück