WoSuch Logo WoSuch Business
← Zurück 📄 Als PDF herunterladen

DATENSCHUTZERKLÄRUNG
für WoSuch Business & WoSuch Plattform

Stand: März 2026 — Gemäß DSGVO und DSG 2018

Verantwortlicher: WoSuch GmbH, [Straße und Hausnummer], 1010 Wien, Österreich

Firmenbuchnummer: [FN XXXXXX a] | UID-Nummer: ATU[XXXXXX]

E-Mail: datenschutz@wosuch.at

Ein Datenschutzbeauftragter ist gemäß Art. 37 DSGVO nicht erforderlich.

§ 1 Geltungsbereich und Nutzergruppen

Diese Datenschutzerklärung gilt für alle Dienste der WoSuch GmbH (nachfolgend „WoSuch" oder „Wir"):

  • WoSuch Business (B2B-Bereich): Digitale Plattform für Bauträger, Projektentwickler und Immobilienagenturen („Gewerbliche Nutzer") zur Präsentation von Wohnbauprojekten und Immobilienangeboten.
  • WoSuch Plattform (B2C-Bereich): Öffentlich zugängliche Suchmaschine und mobile Anwendung für private Interessenten („Endnutzer") mit AI-gestütztem Immobilienassistenten.

Wichtiger Hinweis: WoSuch fungiert ausschließlich als technische Hosting-Plattform (§ 16 E-Commerce-Gesetz, Art. 14–16 Digital Services Act). Für die inhaltliche Richtigkeit, Vollständigkeit und Rechtskonformität der eingestellten Objektdaten (Preise, Verfügbarkeiten, Baubeschreibungen) sind die jeweiligen Gewerblichen Nutzer (Bauträger/Agenturen) als eigenverantwortliche Content-Anbieter haftbar (siehe § 2 unserer AGB).

§ 2 Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten gemäß Art. 6 DSGVO auf Basis folgender Rechtsgrundlagen:

2.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

  • Gewerbliche Nutzer (Bauträger & Agenturen): Kontoeinrichtung, Projekteinpflege, Abrechnung von Tarifen, Vertragsmanagement
  • Endnutzer: Bereitstellung der Suchfunktion, AI-Assistent, Speicherung von Suchprofilen (sofern angelegt)

2.2 Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)

  • Buchführungs- und Aufbewahrungspflichten (§ 132 BAO, § 212 UGB): 7 Jahre für Vertrags- und Rechnungsdaten
  • Meldepflichten an Behörden (§ 16 ECG Notice-and-Takedown)
  • Datenschutzrechtliche Dokumentationspflichten

2.3 Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

  • IT-Sicherheit: Missbrauchsprävention, Zugriffskontrollen, Protokollierung (90 Tage)
  • Plattformoptimierung: Aggregierte, anonymisierte Statistiken über Impressionen und Klickverhalten (keine personenbezogenen Profile)
  • Qualitätssicherung: Fehleranalyse und Performance-Monitoring der AI-Systeme
  • Rechtsdurchsetzung: Beweissicherung bei rechtswidrigen Inhalten (§ 16 ECG)

2.4 Einwilligungen (Art. 6 Abs. 1 lit. a DSGVO)

  • Standortbasierte Dienste: Aktivierung der GPS-Ortung für die Kartendarstellung (Mapbox)
  • Marketing-Kommunikation: Newsletter und Produktupdates (nur für Gewerbliche Nutzer bei bestehendem Vertragsverhältnis zulässig, sonst explicit Opt-in)
  • Sprachverarbeitung: Aufnahme und Verarbeitung von Sprachdaten via AI-Assistent (transiente Verarbeitung)

§ 3 Verarbeitete Datenkategorien nach Nutzergruppen

3.1 Gewerbliche Nutzer (Bauträger & Agenturen)

  • Stamm- und Kontaktdaten: Firmenname, Firmenbuchnummer, UID-Nummer, Geschäftsführer/Vertreter (Name, Funktion), Rechnungsanschrift, E-Mail, Telefon, Bankverbindung
  • Projektdaten (eigenverantwortlich eingestellt): Bauprojektinformationen (Lage, Fotos, Grundrisse, Preise, Wohnflächen, Verfügbarkeiten), Makler-Exposés, Beschreibungstexte. Hinweis: Diese Daten werden im Auftrag des Nutzers verarbeitet (§ 3 Abs. 2 AGB).
  • Vertrags- und Abrechnungsdaten: Tarif, Laufzeit, Rechnungshistorie, Zahlungsstatus, Einwilligungsnachweise (Zeitstempel und Hashwert der akzeptierten AGB/Datenschutz gemäß § 864a ABGB)
  • Kommunikationsdaten: Support-Anfragen, Systembenachrichtigungen, Chat-Verläufe mit dem WoSuch-Support
  • Maklervertragsdaten: Kopien der Maklerverträge mit Auftraggebern (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO)
  • Versicherungsdaten: BHV-Policennummer, Deckungssumme, Ablaufdatum der Berufshaftpflichtversicherung (Art. 6 Abs. 1 lit. c DSGVO i.V.m. MaklerG § 15)
  • Provisionssätze und Auftraggeberdaten

3.2 Endnutzer (B2C)

  • Kontaktdaten (optional): Name, E-Mail, Telefon (nur bei aktiver Kontaktanfrage zu einem Objekt)
  • Such- und Nutzungsdaten: Suchanfragen (Text oder Sprache), Filterkriterien (Preis, Größe, Lage), favorisierte Objekte, IP-Adresse (gekürzt), Browser-/Gerätetyp, Session-IDs
  • Standortdaten (nur mit Einwilligung): Geografische Koordinaten (GPS) für die Umkreissuche via Mapbox
  • Sprachdaten (AI-Assistent): Audioaufnahmen werden transient (flüchtig) verarbeitet: Sofortige Konvertierung in Text, keine Speicherung der Audiodateien, keine Verwendung für AI-Training (Zero Data Retention Policy)

§ 4 Speicherdauer und Löschfristen (Art. 5 Abs. 1 lit. e DSGVO)

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Verarbeitungszweck erforderlich oder gesetzlich vorgeschrieben ist:

Datenkategorie Speicherdauer Rechtsgrundlage / Hinweis
Vertragsdaten (B2B) 7 Jahre nach Vertragsende § 132 BAO, § 212 UGB (steuerliche Aufbewahrung)
Projektdaten (B2B) 30 Tage nach Kündigung/Löschung des Accounts Anschließend Löschung; Backups maximal 90 Tage
Rechnungsdaten (B2B) 7 Jahre § 132 BAO (unverjährbare Aufbewahrung)
Nutzungsprotokolle / Logs 90 Tage IT-Sicherheit und Missbrauchsprävention
Einwilligungsnachweise 10 Jahre Nachweis für Rechtsstreitigkeiten und Aufsichtsbehörden
Support-Kommunikation (B2B) 3 Jahre nach Vertragsende Verjährungsfristen (§ 1489 ABGB)
Maklervertragskopien (B2B) 3 Jahre nach Vertragsende § 1489 ABGB
BHV-Nachweise (B2B) 7 Jahre nach Ablauf der Police § 132 BAO
Endnutzer-Suchanfragen 30 Tage nach letzter Aktivität Dann automatische Löschung; keine personenbezogene Speicherung von Suchverläufen
Kontaktanfragen (Endnutzer an Objekt) 3 Jahre Bis zur Verjährung eventueller Schadensersatzansprüche

Löschverfahren: Nach Ablauf der Fristen werden Daten automatisiert gelöscht oder so anonymisiert, dass keine Zuordnung mehr möglich ist. Backups werden nach maximal 90 Tagen unwiderruflich gelöscht.

§ 5 Weitergabe von Daten an Dritte

Eine Weitergabe personenbezogener Daten erfolgt nur in folgenden Fällen:

Auftragsverarbeiter (Art. 28 DSGVO)

  • Supabase Inc. (Datenbankhosting, Authentifizierung, Storage) — Serverstandort: Frankfurt/DE (EU)
  • Amazon Web Services EMEA SARL (Backup-Infrastruktur) — Serverstandort: Frankfurt/DE (EU)
  • Mapbox Inc. (Kartendarstellung, Geocoding) — Serverstandort: USA, Basis: EU-Standardvertragsklauseln (SCC)
  • OpenAI / Anthropic (NLP/Sprachverarbeitung) — Serverstandort: USA, Basis: SCC mit Zero Data Retention

Gesetzliche Pflichten

Behörden und Gerichte im Rahmen gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO), insbesondere bei rechtswidrigen Inhalten (Meldungen an abuse@wosuch.at gemäß § 16 ECG).

Endkunden-Anfragen (nur bei B2B-Objekten)

Kontaktdaten des Endnutzers werden ausschließlich an den jeweiligen Bauträger/Agentur weitergeleitet, wenn der Endnutzer aktiv eine Kontaktanfrage zu einem spezifischen Objekt auslöst. Dies entspricht dem Vertragszweck und wurde durch den Gewerblichen Nutzer veranlasst. Eine Weitergabe zu Werbezwecken an Dritte findet nicht statt.

§ 6 Internationale Datentransfers (Drittstaaten: USA)

Für den Betrieb nutzen wir Cloud-Dienste mit Serverstandorten in den USA. Diese Übermittlungen erfolgen auf Basis:

  • Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO (Europäische Kommission, Beschluss 2021/914)
  • EU-US Data Privacy Framework (soweit zertifiziert, z.B. bei AWS)
  • Zusätzliche technische Maßnahmen: Pseudonymisierung vor Übermittlung, Verschlüsselung (AES-256), Serverstandort Primärdaten: Frankfurt/DE (EU)

Hinweis für Endnutzer: Sprachdaten werden nicht in Drittstaaten übermittelt; die Verarbeitung erfolgt über EU-Server von OpenAI/Anthropic mit Zero Retention.

§ 7 Rechte der betroffenen Personen

Betroffene Personen haben nach DSGVO (Art. 15–22) und DSG 2018 folgende Rechte:

  • Auskunftsrecht (Art. 15): Bestätigung, ob Daten verarbeitet werden, und Kopie der Daten (Erstattung innerhalb 30 Tagen, Art. 12 Abs. 3)
  • Berichtigungsrecht (Art. 16): Korrektur unrichtiger oder Vervollständigung unvollständiger Daten
  • Löschungsrecht (Art. 17): „Recht auf Vergessenwerden" unter den gesetzlichen Voraussetzungen (ausgenommen: gesetzliche Aufbewahrungspflichten nach BAO)
  • Einschränkung der Verarbeitung (Art. 18): Unter bestimmten Umständen Einschränkung statt Löschung
  • Datenübertragbarkeit (Art. 20): Herausgabe in strukturiertem, maschinenlesbarem Format (nur bei Vertragsdaten)
  • Widerspruchsrecht (Art. 21): Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (z.B. Statistiken)
  • Widerruf von Einwilligungen (Art. 7 Abs. 3): Jederzeit mit Wirkung für die Zukunft möglich (z.B. Standortfreigabe, Marketing)

Anfragen richten Sie bitte an: datenschutz@wosuch.at

§ 8 Beschwerderecht bei der Aufsichtsbehörde

Betroffene Personen haben das Recht, bei der österreichischen Datenschutzbehörde (DSB) Beschwerde einzulegen:

Österreichische Datenschutzbehörde (DSB)

Barichgasse 40–42, 1030 Wien

E-Mail: dsb@dsb.gv.at

Web: www.dsb.gv.at

Alternativ bei der Aufsichtsbehörde des EU-Mitgliedstaates des gewöhnlichen Aufenthaltsorts (Art. 77 DSGVO).

§ 9 Automatisierte Entscheidungsfindung und AI-Verarbeitung

9.1 Keine automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Es findet keine vollständig automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO statt, die für die betroffene Person rechtliche Wirkung entfaltet oder diese erheblich beeinträchtigt. Der AI-Assistent stellt lediglich eine Vorabinformation dar. Er trifft keine Entscheidungen über Zulassung zu Wohnprojekten, Kreditwürdigkeit oder Verfügbarkeit von Objekten. Alle Ergebnisse sind unverbindlich und bedürfen der menschlichen Prüfung.

9.2 Transparenz der Algorithmen

Suchergebnisse werden basierend auf folgenden Kriterien priorisiert:

  • Übereinstimmung mit Suchparametern (Größe, Preis, Lage)
  • Aktualität des Objekteinspeisdatums
  • Verfügbarkeit (laut Angabe des Bauträgers/der Agentur)

Eine Diskriminierung aufgrund ethnischer Herkunft, Geschlecht, Religion oder anderer Merkmale findet nicht statt.

9.3 Haftungsausschluss für AI-Ausgaben

WoSuch übernimmt keine Gewähr für die Richtigkeit der durch KI generierten Zusammenfassungen oder Übersetzungen von Objektbeschreibungen. Die inhaltliche Verantwortung liegt beim jeweiligen Content-Anbieter.

§ 10 Datensicherheit (Art. 32 DSGVO)

WoSuch trifft angemessene technische und organisatorische Maßnahmen (TOMs):

  • Verschlüsselung: TLS 1.3 für Datenübertragung (HTTPS), AES-256 für gespeicherte Daten (at rest)
  • Zugriffskontrolle: Row Level Security (RLS) in der Datenbank, Mehr-Faktor-Authentifizierung (MFA) für administrative Zugänge
  • Sicherheitsaudits: Regelmäßige Penetrationstests und Überprüfung der AV-Verträge
  • Backups: Automatisierte tägliche Sicherungspunkte (90-Tage-Retention)

§ 11 Besondere Hinweise für Agenturen (Makler)

Maklerrechtliche Hinweise: WoSuch ist kein Immobilienmakler i.S.d. § 3 Maklergesetz (MaklerG). Agenturen handeln eigenständig und auf eigenes Risiko. Die Weiterleitung von Kundenanfragen erfolgt technisch; WoSuch ist nicht Partei des Maklervertrags zwischen Agentur und Endkunde.

Besondere Datenkategorien: Agenturen verpflichten sich, keine besonderen Kategorien personenbezogener Daten in Objektbeschreibungen oder Kommunikation zu verarbeiten, es sei denn, dies ist zwingend erforderlich und rechtlich erlaubt (Art. 9 DSGVO).

(11.1) Vertragspflichten: Der Makler verpflichtet sich, nur solche Daten hochzuladen, für die er über eine Rechtsgrundlage gemäß Art. 6 DSGVO verfügt.

(11.2) Weitergabe an Endkunden: Bei Kontaktanfragen werden Endkundendaten an den Makler weitergegeben. Der Makler darf diese nur für die konkrete Anfrage nutzen.

(11.3) Besondere Datenkategorien: Dies umfasst insbesondere sensible Daten über die wirtschaftliche Situation von Mietern, die nicht ohne Einwilligung verarbeitet werden dürfen.

§ 12 Änderungen dieser Datenschutzerklärung

WoSuch behält sich vor, diese Datenschutzerklärung jederzeit mit Wirkung für die Zukunft zu ändern, insbesondere bei:

  • Änderungen der Rechtslage (DSGVO, DSG 2018, E-Privacy-Verordnung)
  • Wesentlichen Änderungen der Verarbeitungstätigkeiten (z.B. neue Subprozessoren)
  • Neuer Rechtsprechung des EuGH oder nationaler Gerichte

Die jeweils aktuelle Version ist stets auf der Plattform abrufbar.

© 2026 WoSuch GmbH, Wien — Stand: März 2026