Zum Inhalt springen

Rechtliches

Datenschutzerklärung

Stand: Juni 2026

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten auf der Plattform Vienna Unlisted (nachfolgend „Plattform“) gemäß der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) sowie dem österreichischen Datenschutzgesetz (DSG).

1. Verantwortliche Stelle

Vires Real Solutions GmbH
Seitenstettengasse 5/37, 1010 Wien, Österreich
Telefon: +43 1 2265533
E-Mail: realsolutions@vires.at
UID-Nr.: ATU79425123
FN 600257g – Handelsgericht Wien

Die Vires Real Solutions GmbH ist Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO für die auf dieser Plattform verarbeiteten personenbezogenen Daten.

2. Datenschutzbeauftragte*r

Die Bestellung eines/einer Datenschutzbeauftragten ist nach Art. 37 DSGVO und § 5 DSG nicht erforderlich, da weniger als zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei datenschutzrechtlichen Fragen wenden Sie sich bitte an die oben genannte Kontaktadresse.

3. Hosting

Die Plattform wird auf der Infrastruktur von Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland; Rechenzentrum Nürnberg, Deutschland) betrieben. Der Hosting-Provider verarbeitet als Auftragsverarbeiter (Art. 28 DSGVO) technisch notwendige Verbindungsdaten (IP-Adresse, Zeitpunkt des Zugriffs, übertragene Datenmenge, Browsertyp) zur Bereitstellung der Plattform.

Die Daten werden ausschließlich in Deutschland (EU) verarbeitet; eine Übermittlung in ein Drittland findet nicht statt. Ein Auftragsverarbeitungsvertrag (Data Processing Agreement) ist abgeschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und effizienten Bereitstellung der Plattform).

4. Server-Logfiles

Beim Aufruf der Plattform erhebt der Hosting-Provider automatisch Informationen in sogenannten Server-Logfiles, die Ihr Browser übermittelt:

  • IP-Adresse des anfragenden Endgeräts
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Seite
  • Übertragene Datenmenge
  • HTTP-Statuscode
  • Browsertyp und -version, Betriebssystem
  • Referrer-URL (zuvor besuchte Seite)

Diese Daten werden zur Sicherstellung eines störungsfreien Betriebs, zur Erkennung und Abwehr von Angriffen sowie zur Fehleranalyse verarbeitet. Sie werden nicht mit anderen Datenquellen zusammengeführt und nach spätestens 30 Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität des Systems).

5. Cookies & Einwilligung

Die Plattform verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking-, Marketing- oder Analyse-Cookies eingesetzt (kein Google Analytics, kein Facebook Pixel, kein LinkedIn Insight Tag oder vergleichbare Dienste).

Folgende Cookies werden gesetzt:

CookieZweckDauerTyp
next-auth.session-tokenAuthentifizierung / SitzungsverwaltungSitzung / 30 TageNotwendig
next-auth.csrf-tokenCSRF-Schutz bei AnmeldungSitzungNotwendig
vu_cookie_consentSpeicherung Ihrer Cookie-Einstellung365 TageNotwendig
__stripe_mid / __stripe_sidBetrugsprävention bei ZahlungsabwicklungSitzung / 1 JahrNotwendig

Da ausschließlich technisch notwendige Cookies zum Einsatz kommen, ist eine Einwilligung nach Art. 5 Abs. 3 der ePrivacy-Richtlinie (2002/58/EG) bzw. § 165 Abs. 3 TKG 2021 nicht erforderlich. Ein Cookie-Consent-Banner wird dennoch zur transparenten Information eingeblendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Funktionsfähigkeit und Sicherheit); § 165 Abs. 3 TKG 2021 (technische Notwendigkeit).

6. Registrierung & Nutzerkonto

Für die Nutzung der Plattform ist eine Registrierung erforderlich. Im Zuge der Registrierung und Kontonutzung werden folgende Daten erhoben und verarbeitet:

  • Registrierungsdaten: E-Mail-Adresse, Vor- und Nachname, Unternehmen (optional), Telefonnummer (optional)
  • Profilangaben: Ankaufsprofil (Investmentpräferenzen, Bezirksauswahl, Budgetrahmen)
  • Nutzungsdaten: Such- und Filterpräferenzen, Interessenbekundungen an Gebäuden, Zeitstempel von Aktionen

Die Authentifizierung erfolgt über NextAuth, eine Open-Source-Authentifizierungsbibliothek. Passwörter werden ausschließlich als kryptografische Hashes (bcrypt) gespeichert; Klartextpasswörter werden zu keinem Zeitpunkt gespeichert.

Zweck: Bereitstellung des Nutzerkontos, Identifikation, Kontaktaufnahme im Rahmen der Plattform-Dienstleistung, Anzeige personalisierter Objektlisten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Plattformbetrieb) für optionale Angaben.

7. Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen nutzen wir den Dienst von Stripe Inc. (354 Oyster Point Blvd, South San Francisco, CA 94080, USA). Bei einem Zahlungsvorgang werden Ihre Zahlungsdaten (z. B. Kreditkartennummer, Ablaufdatum, Kartenprüfnummer) direkt an Stripe übermittelt und dort verarbeitet. Wir selbst speichern keine vollständigen Zahlungsdaten – lediglich eine Referenz-ID, Abonnementstatus und Rechnungshistorie.

Stripe ist als Zahlungsdienstleister nach PCI DSS Level 1 zertifiziert. Die Datenübermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie des EU-U.S. Data Privacy Framework.

Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Durchführung des Zahlungsvorgangs).

8. Kartendarstellung (MapLibre GL JS)

Für die Kartendarstellung verwenden wir MapLibre GL JS, eine quelloffene (Open-Source) Kartenbibliothek. MapLibre wird vollständig clientseitig ausgeführt und überträgt keine personenbezogenen Daten an externe Tracking-Dienste. Es werden keine Drittanbieter-Cookies gesetzt und kein Nutzerprofiling durchgeführt.

Kartenkacheln (Tiles) werden von öffentlichen Tile-Servern geladen; dabei wird technisch bedingt Ihre IP-Adresse an den jeweiligen Tile-Provider übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der visuellen Darstellung von Gebäudestandorten als Kernfunktion der Plattform).

9. Datenbankverarbeitung

Die Plattformdaten werden in einer selbst betriebenen MongoDB-Datenbank auf demselben Server (Hetzner, Deutschland) gespeichert. Gespeichert werden Nutzerkontodaten, Profilangaben, Interessenbekundungen und gebäudebezogene Sachdaten.

Die Datenbank wird ausschließlich auf der Server-Infrastruktur in Deutschland (EU) betrieben; eine Übermittlung an Dritte oder in ein Drittland findet nicht statt. Die Daten werden verschlüsselt übertragen (TLS) und verschlüsselt gespeichert (AES-256).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger Datenspeicherung).

10. E-Mail-Versand (Resend Inc.)

Für den Versand transaktionaler E-Mails (z. B. Registrierungsbestätigung, Onboarding-Nachrichten, Passwortzurücksetzung) nutzen wir den Dienst von Resend Inc. (2261 Market Street #5370, San Francisco, CA 94114, USA). Resend verarbeitet als Auftragsverarbeiter (Art. 28 DSGVO) die E-Mail-Adresse sowie den Inhalt der jeweiligen Nachricht.

Die Datenübermittlung in die USA stützt sich auf die EU-Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO). Ein Auftragsverarbeitungsvertrag ist mit Resend abgeschlossen.

Weitere Informationen finden Sie in der Datenschutzerklärung von Resend.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Bereitstellung des Nutzerkontos und damit verbundener transaktionaler Kommunikation).

11. Automatische Onboarding-E-Mail-Serie

Nach der Registrierung erhalten neue Nutzer*innen eine automatische E-Mail-Serie zur Einführung in die Plattform (Onboarding-Mails). Diese E-Mails dienen ausschließlich dazu, die Nutzung der Plattform zu unterstützen, und werden als transaktionale Servicekommunikation behandelt.

Zweck: Einführung in die Plattformfunktionen, Bereitstellung plattformbezogener Informationen, Unterstützung bei der Erst-Nutzung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Onboarding-Mails, die unmittelbar mit der Bereitstellung des Dienstes zusammenhängen; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Nutzerbetreuung) für weitergehende Service-Informationen.

Eine separate Marketingeinwilligung ist für transaktionale Onboarding-Mails nicht erforderlich. Sie können den Onboarding-E-Mails jederzeit widersprechen – jede Mail enthält einen Abmeldelink. Nach der Abmeldung werden keine weiteren nicht-transaktionalen E-Mails versandt.

12. Straßenbilder (Mapillary / Meta Platforms)

Im Objekt-Viewer der Plattform können Straßenbilder von Mapillary angezeigt werden. Mapillary ist ein Dienst der Meta Platforms Ireland Limited (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland). Beim Laden von Mapillary-Inhalten wird technisch bedingt Ihre IP-Adresse an Meta übertragen.

Soweit Daten außerhalb der EU/des EWR übermittelt werden, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Weitere Informationen finden Sie in der Datenschutzerklärung von Mapillary.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der visuellen Darstellung von Objektstandorten als Kernfunktion der Plattform).

13. Schriftarten (Google Fonts via next/font)

Die Plattform verwendet Schriftarten von Google Fonts. Diese werden über das Next.js-Modul next/font beim Build-Prozess heruntergeladen und anschließend lokal vom eigenen Server ausgeliefert. Es findet keine Verbindung zu Google-Servern beim Seitenaufruf statt. Damit werden keine personenbezogenen Daten (insbesondere keine IP-Adressen) an Google übermittelt.

14. Speicherdauern

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

DatenkategorieSpeicherdauerGrundlage
Nutzerkonto & ProfildatenBis zur Löschung des Kontos durch Nutzer*in oder auf AnfrageArt. 6 Abs. 1 lit. b DSGVO
InteressenbekundungenBis zur Löschung durch Nutzer*in oder KontolöschungArt. 6 Abs. 1 lit. b DSGVO
Rechnungs- & Zahlungsdaten7 Jahre (§ 132 BAO, § 212 UGB)Art. 6 Abs. 1 lit. c DSGVO
Server-LogfilesMax. 30 TageArt. 6 Abs. 1 lit. f DSGVO
Session-CookiesSitzungsende bzw. max. 30 Tage§ 165 Abs. 3 TKG 2021
Cookie-Consent-Einstellung365 TageArt. 6 Abs. 1 lit. f DSGVO

15. Betroffenenrechte

Ihnen stehen gemäß DSGVO folgende Rechte in Bezug auf Ihre personenbezogenen Daten zu:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Widerspruch einlegen, sofern diese auf Art. 6 Abs. 1 lit. f DSGVO beruht.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an realsolutions@vires.at oder postalisch an die oben genannte Adresse. Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats beantworten (Art. 12 Abs. 3 DSGVO).

16. Beschwerderecht bei der Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie gemäß Art. 77 DSGVO das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen. Die zuständige Aufsichtsbehörde in Österreich ist:

Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Website: www.dsb.gv.at

17. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten gegen unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung zu schützen (Art. 32 DSGVO). Dazu gehören insbesondere:

  • Verschlüsselte Übertragung sämtlicher Daten mittels TLS (HTTPS)
  • Verschlüsselte Speicherung in der Datenbank (AES-256, Encryption at Rest)
  • Kryptografisches Hashing von Passwörtern (bcrypt)
  • Zugriffskontrolle und Rollenkonzept (Admin/Nutzer) innerhalb der Plattform
  • Regelmäßige Sicherheitsupdates der eingesetzten Software

18. Minderjährige

Die Plattform richtet sich an gewerbliche Nutzer*innen (Immobilieninvestoren, Makler, Projektentwickler) und ist nicht für die Nutzung durch Personen unter 18 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen. Sollten wir Kenntnis davon erlangen, dass Daten einer minderjährigen Person erhoben wurden, werden diese unverzüglich gelöscht.

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder bei Änderungen der Plattform bzw. der Datenverarbeitung anzupassen. Die jeweils aktuelle Fassung ist stets auf dieser Seite abrufbar. Das Datum der letzten Aktualisierung finden Sie oben unter „Stand“. Bei wesentlichen Änderungen informieren wir registrierte Nutzer*innen per E-Mail.