Datenschutzerklärung

Stand: 2. Mai 2026

Zusammenfassung in einfachem Deutsch. AwayWatch ist das Back-Office für Eigentümer von Ferienimmobilien. Wir speichern die Daten, die Sie eingeben (Rechnungen, Anbieter, Buchungen, Steuern), nutzen sie ausschließlich für die von Ihnen gebuchte Leistung und teilen sie nie mit Dritten zu Werbezwecken. Ihre Daten gehören Ihnen, Sie können sie jederzeit exportieren und Ihr Konto jederzeit löschen. Wir nutzen Drittanbieter (Hostinger für Hosting, Anthropic für KI-Rechnungs-OCR), die unten aufgeführt sind.

1. Verantwortlicher

AwayWatch („wir", „uns") wird betrieben von Germain Delagardelle, einem Einzelunternehmer, der ein SaaS-Back-Office für Ferienimmobilien-Eigentümer bereitstellt. Kontaktdaten finden Sie im Impressum.

2. Welche Daten wir erheben

2.1 Konto-Daten (von Ihnen)

Name und E-Mail bei Annahme einer Einladung oder beim Hinzufügen durch einen bestehenden Kunden.
Passwort (gehasht gespeichert; für uns niemals lesbar).
Optional: Telefonnummer, Zweit-E-Mail, Sprachpräferenz.
Zwei-Faktor-Authentifizierung: ein Authenticator-App-Geheimnis (verschlüsselt gespeichert) und/oder ein E-Mail-basiertes Fallback-Flag.

2.2 Betriebsdaten (von Ihnen hochgeladen + von der App erzeugt)

Rechnungen & Belege — PDF-/Bild-Dateien plus extrahierte Posten-Daten.
Buchungen — Gästename, E-Mail, Aufenthaltsdaten, Preise (sofern von Ihrer Buchungsplattform per iCal-Feed, Smoobu-API, E-Mail-Weiterleitung oder CSV-Import bereitgestellt).
Anbieter — Namen, Kontakte, Steuer-IDs, Zahlungshistorie.
Bankauszüge — CSV-Imports zum Zuordnen von Ausgaben (wir sehen niemals Ihre Kartennummern; wir verarbeiten keine Zahlungen).
Steueranmeldungen — lokal generierte Formulare (DR-15, TDT, 1099-NEC, Schedule-E-Paket).
Audit-Log — wer wann was geändert hat, aufbewahrt für Compliance + Streitbeilegung.

2.3 Technische Daten (automatisch erfasst)

Sitzungs-Cookies (technisch notwendig, für Login).
IP-Adresse und User-Agent bei jeder Anfrage, kurz für Sicherheits-Untersuchungen vorgehalten.
Heartbeat-Eintrag in user_sessions mit Ihrem letzten Aktivitäts-Zeitstempel (für die eigene Sitzungsverwaltung des Betreibers).

3. Wie wir die Daten verwenden

Zur Erbringung der gebuchten Leistung — Buchhaltung, Anbieter-Verwaltung, Steuerformular-Generierung, Compliance-Tracking. Rechtsgrundlage: Vertrag.
Zum Versand transaktionaler E-Mails — Buchungsbestätigungen an Ihre Gäste (sofern E-Mail-Vorlagen konfiguriert), Passwort-Resets, Ablauf-Alarme. Rechtsgrundlage: Vertrag.
Zur Erfüllung gesetzlicher Pflichten — Audit-Logs, Aufbewahrung für Steuer-/Buchhaltungszwecke. Rechtsgrundlage: gesetzliche Verpflichtung.
Zur Produktverbesserung — aggregierte, nicht identifizierende Nutzungsmuster (z. B. wie oft eine Funktion geöffnet wird). Rechtsgrundlage: berechtigtes Interesse.

Wir verkaufen, vermieten oder teilen Ihre Daten nicht mit Drittwerbern. Wir nutzen Ihre Daten nicht, um KI-Modelle zu trainieren. Wir zeigen keine Werbung.

4. Auftragsverarbeiter (Sub-Processors)

Wir nutzen folgende Drittanbieter zum Betrieb des Dienstes. Jeder verarbeitet Daten nur nach unseren Weisungen:

Auftragsverarbeiter	Zweck	Welche Daten	Standort
Hostinger International Ltd.	Anwendungs-Hosting + Datenbank-Speicherung	Alles in Ihrem Mandanten	EU (Litauen), USA
Anthropic PBC	KI-Extraktion von Rechnungen / Belegen / Versorgungsrechnungen via Claude API	Inhalt der hochgeladenen PDF-/Bild-Dateien, nur zum Zeitpunkt der Extraktion	USA
Frankfurter / Europäische Zentralbank	Tägliche Wechselkurse zur Hypotheken-Umrechnung	Keine Ihrer Daten — wir holen nur öffentliche Kursdaten	EU
SES / SMTP-Anbieter (sofern konfiguriert)	Versand ausgehender E-Mails	E-Mail-Empfänger und -Inhalt	je nach Region

Anthropics Datenverarbeitung: Laut Datenschutzerklärung werden API-Anfragen nicht zum Modelltraining verwendet und bis zu 30 Tage für Trust & Safety-Prüfungen aufbewahrt.

5. Wo Daten gespeichert werden

Anwendungsdaten liegen in der von Hostinger gehosteten Datenbank. Backups werden nächtlich beim selben Anbieter erstellt. Datenübermittlungen außerhalb der oben genannten Auftragsverarbeiter erfolgen nicht.

6. Wie lange wir Daten aufbewahren

Aktive Kunden — solange Ihr Konto aktiv ist.
Nach Konto-Löschung — sofort soft-gelöscht; nach 30 Tagen endgültig gelöscht. Backup-Bänder rollieren binnen 30 Tagen aus.
Audit-Log — 6 Jahre (entspricht üblichen steuerlichen Aufbewahrungsfristen).
Steuerbezogene Aufzeichnungen — 7 Jahre nach dem betreffenden Steuerjahr, auch nach Konto-Schließung, zur Erfüllung gesetzlicher Aufbewahrungspflichten.

7. Ihre Rechte

Wenn Sie in der EU/UK ansässig sind, gewährt Ihnen die DSGVO folgende Rechte. Wir gewähren sie weltweit allen Nutzern:

Auskunft — Einsicht in alle gespeicherten Daten (jede Rechnung / Buchung / jeder Anbieter; verfügbar als Selbstbedienungs-Export).
Datenübertragbarkeit — vollständiger ZIP-Export Ihrer Daten (CSV + Original-PDFs).
Berichtigung — falsche Angaben jederzeit korrigieren.
Löschung — Konto-Löschung; Daten werden soft-gelöscht und nach 30 Tagen endgültig entfernt.
Einschränkung / Widerspruch — bestimmte Verarbeitungen pausieren oder begrenzen.
Beschwerde — bei Ihrer Datenschutzbehörde (z. B. CNPD in Luxemburg, BfDI in Deutschland).

Kontaktieren Sie uns über die Adresse im Impressum, um Rechte auszuüben. Wir antworten innerhalb von 30 Tagen.

8. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies — das Sitzungs-Cookie zum Login und das CSRF-Token. Wir setzen weder Analyse- noch Werbe-Tracker ein. Der Cookie-Hinweis bei Ihrem ersten Besuch bestätigt dies; eine „Tracking akzeptieren"-Option gibt es nicht, weil es nichts zu akzeptieren gibt.

9. Sicherheit

HTTPS-only (HSTS aktiviert) für allen Verkehr.
Passwörter mit bcrypt gespeichert; Geheimnisse (TOTP, Wiederherstellungs-Codes) verschlüsselt.
Mandanten-getrennte Datenbankabfragen (kein Kunde sieht jemals Daten eines anderen, auch nicht auf gemeinsamer Infrastruktur).
Aktivitätsprotokoll jeder Änderung (wer, wann, was).
Zwei-Faktor-Authentifizierung verfügbar; für alle Eigentümer-Konten empfohlen.

10. Datenschutzverletzungen

Sollten wir eine Sie betreffende Verletzung des Schutzes personenbezogener Daten feststellen, benachrichtigen wir Sie binnen 72 Stunden nach Bestätigung (gemäß DSGVO Art. 33). Die Mitteilung beschreibt, was passiert ist, welche Daten betroffen sind und welche Schritte Sie ergreifen können.

11. Kinder

AwayWatch ist ein B2B-Tool für Immobilien-Eigentümer und richtet sich nicht an Kinder. Wir erheben wissentlich keine Daten von Personen unter 16 Jahren.

12. Änderungen dieser Erklärung

Wesentliche Änderungen dieser Erklärung kündigen wir mindestens 14 Tage vor Inkrafttreten per E-Mail an die Betreiber-Adresse jedes aktiven Kontos an. Das Datum „Stand" oben spiegelt stets die aktuelle Fassung.

13. Kontakt

Für Datenschutzanfragen, Datenrechte-Anträge oder Bedenken: siehe Kontaktdaten im Impressum.