Wir nehmen den Schutz deiner personenbezogenen Daten ernst. Diese Datenschutzerklärung informiert dich nach Art. 13 und 14 DSGVO darüber, welche Daten wir auf haus.select-it.at erheben, wofür wir sie verarbeiten und welche Rechte dir zustehen.
1. Verantwortlicher
SELECT-IT GmbH
Adresse, PLZ Ort
E-Mail: office@select-it.at
Hinweis: Vollständige Firmenanschrift wird vor dem Live-Betrieb ergänzt.
2. Zweck und Rechtsgrundlagen der Verarbeitung
Wir verarbeiten deine Daten ausschließlich, um:
- deine Gebäudeversicherung zu bewerten und dir das Ergebnis zur Verfügung zu stellen,
- dir bei Bedarf zusätzliche Informationen oder einen Beratungstermin anzubieten,
- hochgeladene Polizzen oder Jahresabrechnungen automatisiert auszuwerten (siehe Abschnitt 5).
Rechtsgrundlagen sind:
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — du gibst sie aktiv über die Checkbox im Anfrageformular,
- Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme) — soweit du die Bewertung als Grundlage für eine künftige Entscheidung nutzt,
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — für ein internes Audit-Log zur Sicherstellung der Datenintegrität.
3. Welche Daten wir erheben
3.1 Eingabe im Formular
Pflicht:
- Vor- und Nachname
- E-Mail-Adresse
- PLZ und Ort der Liegenschaft
- Gebäudetyp (Altbau / Neubau)
Optional — kann beim Erstantrag oder später auf der Auswertungsseite ergänzt werden:
- Gesamtfläche in m²
- Aktuelle Versicherungsprämie inkl. Zahlungsperiode (Jahr / Quartal / Monat)
- Versicherer, Polizzennummer, Versicherungssumme
- Bei Beratungsanfrage: Telefonnummer, Wunschzeit, freier Anliegen-Text
Aus hochgeladenen Polizzen extrahierte Werte (siehe 5.2) — insbesondere Versicherer, Polizzennummer und Versicherungssumme — werden automatisch übernommen, sofern dort noch nichts eingetragen ist. Gesamtfläche und Prämie werden nicht ohne deine ausdrückliche Bestätigung übernommen.
3.2 Hochgeladene Dokumente
Wenn du eine Polizze, eine Jahresabrechnung oder ein Gebäudefoto hochlädst, speichern wir die Datei verschlüsselt auf unserem Server in einem nur intern zugänglichen Bereich. Die Datei wird ausschließlich für die Bewertung verwendet.
3.3 Technisch notwendige Daten
- Ein einmaliger Zugangs-Token (UUID) wird generiert und dir per E-Mail zugesandt — er ersetzt einen Login.
- Beim Abruf der Auswertungs-Seite und bei Datenänderungen wird ein internes Audit-Ereignis (Zeitpunkt, Aktion) gespeichert.
- Unsere Web-Server-Zugriffsprotokolle werden mit anonymisierter IP-Adresse geführt (das letzte Oktett wird auf 0 gesetzt, z. B.
91.98.87.0) — ein Rückschluss auf einzelne Personen ist daraus nicht möglich. Browser-Fingerabdrücke werden nicht erstellt. - Im Admin-Bereich wird ein Session-Cookie (
haus_session, httpOnly, SameSite=Strict, Secure) gesetzt — Lebensdauer 8 Stunden.
4. Speicherdauer
- Anfragen und zugehörige Daten werden gespeichert, bis du die Löschung verlangst oder spätestens 24 Monate nach Abschluss.
- Hochgeladene Dokumente werden nach Abschluss der Bewertung auf Wunsch gelöscht oder spätestens nach 24 Monaten.
- Magic-Link-Tokens sind 90 Tage gültig.
- Audit-Ereignisse werden 12 Monate aufbewahrt.
5. Empfänger und Auftragsverarbeiter
Zur Erbringung des Dienstes greifen wir auf sorgfältig ausgewählte externe Dienstleister zurück. Mit jedem haben wir einen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abgeschlossen.
5.1 Microsoft 365 (E-Mail-Versand)
Die Auswertungs- und Magic-Link-E-Mails versenden wir über Microsoft 365 (Microsoft Graph API).
Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland.
Übermittelte Daten: deine E-Mail-Adresse, dein Name, der Inhalt der Auswertungs-Mail.
5.2 Mistral AI (Dokumentenauswertung)
Lädst du eine Polizze oder Jahresabrechnung hoch, übermitteln wir den Inhalt an Mistral AI zur automatisierten Texterkennung und Datenextraktion.
Anbieter: Mistral AI SAS, Frankreich (EU).
Übermittelt werden ausschließlich der Dateiinhalt selbst sowie ein technischer Auftragstext. Die Datei wird bei Mistral nur zur Anfragebearbeitung verwendet und nicht für Trainingszwecke gespeichert (Mistral „Zero Data Retention" für API-Anfragen).
5.3 Hosting
Server und Datenbank werden bei einem Hosting-Provider innerhalb der EU betrieben.
6. Datentransfer in Drittländer
Bei Microsoft kann es im Einzelfall zu Datenübermittlungen in die USA kommen. Microsoft ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend wenden wir die Standardvertragsklauseln der EU-Kommission an. Mistral und unser Hosting-Provider verarbeiten Daten ausschließlich innerhalb der EU.
7. Cookies und externe Inhalte
- Session-Cookie im Admin-Bereich (siehe 3.3) — technisch erforderlich.
- Wir setzen kein Tracking, kein Google Analytics, keine Werbe-Pixel.
- Schriftarten (Inter) und Stylesheets werden direkt von unserem Server ausgeliefert — es findet keine Verbindung zu Drittanbieter-CDNs statt (kein Google Fonts, kein Tailwind-CDN).
8. Deine Rechte
Dir stehen folgende Rechte zu:
- Auskunft (Art. 15) — welche Daten wir über dich gespeichert haben,
- Berichtigung (Art. 16) — Korrektur falscher oder unvollständiger Daten,
- Löschung (Art. 17) — „Recht auf Vergessenwerden",
- Einschränkung der Verarbeitung (Art. 18),
- Datenübertragbarkeit (Art. 20) — Erhalt deiner Daten in einem strukturierten, gängigen Format,
- Widerspruch (Art. 21) gegen Verarbeitung auf Basis berechtigter Interessen,
- Widerruf einer einmal erteilten Einwilligung jederzeit für die Zukunft.
Self-Service direkt auf der Auswertungs-Seite: Drei Rechte kannst du sofort selbst ausüben — ohne Mail, ohne Wartezeit:
- Daten herunterladen — exportiert alle zu deiner Anfrage gespeicherten Daten als JSON-Datei (Art. 15 + 20).
- Daten ändern — Korrektur von Name, E-Mail, Adresse und Gebäudetyp (Art. 16).
- Anfrage löschen — sofortige und vollständige Löschung deiner Anfrage inkl. aller hochgeladenen Dokumente (Art. 17).
Für alle weiteren Anliegen (z. B. Einschränkung, Widerspruch, Auskunft zu Audit-Events) wende dich bitte formlos an office@select-it.at. Wir bestätigen den Eingang und beantworten innerhalb von 30 Tagen.
9. Beschwerderecht
Du hast das Recht, dich bei einer Aufsichtsbehörde zu beschweren — in Österreich bei der Österreichischen Datenschutzbehörde, Barichgasse 40-42, 1030 Wien.
10. Einsatz von KI · Hinweise nach EU AI Act und automatisierte Entscheidungsfindung
10.1 Welche KI wir einsetzen — und wofür
Wenn du eine Polizze oder eine Jahresabrechnung hochlädst, übermitteln wir den Inhalt an das KI-System des Anbieters Mistral AI SAS, Frankreich (EU). Verwendet wird das Modell Pixtral (multimodales Sprachmodell), bzw. ein vergleichbares Modell laut Admin-Konfiguration.
Aufgabe der KI: aus dem Dokument-Bild bzw. -Text die strukturierten Felder Versicherer, Polizzennummer, Versicherungssumme, Jahresprämie und Nutzfläche zu extrahieren. Das Modell fasst nur zusammen, was im Dokument steht; es bewertet nicht, schließt nichts ab und trifft keine Entscheidungen über dich.
10.2 Risikoklasse
Unsere Anwendung ist eine Sachversicherungs-Bewertung (Gebäudeversicherung) — sie fällt nicht unter die in Anhang III des EU AI Act gelisteten Hochrisiko-Anwendungsfälle (diese betreffen Lebens- und Krankenversicherung). Die Mistral-Nutzung wird daher als System mit begrenztem Risiko eingestuft, für das Transparenzpflichten nach Art. 50 AI Act gelten — denen wir mit dieser Erklärung nachkommen.
10.3 Menschliche Aufsicht und dein Korrekturrecht
- Alle KI-extrahierten Werte werden dir vor dem Speichern angezeigt; du kannst sie ändern oder verwerfen.
- Vor dem Versand der Auswertungs-E-Mail prüft eine natürliche Person (Mitarbeiter:in von SELECT-IT) die Eingaben.
- Du hast jederzeit das Recht, eine rein manuelle Bearbeitung ohne KI-Vorverarbeitung zu verlangen — schicke uns dazu eine kurze Mail an office@select-it.at; in diesem Fall trägst du die relevanten Daten manuell ein und wir verwenden die hochgeladenen Dokumente nur als Beleg.
10.4 Datenfluss zur KI
- Anbieter Mistral AI SAS verarbeitet deine Daten ausschließlich innerhalb der EU.
- Mistral AI nutzt API-Eingaben nicht für Trainingszwecke (sog. Zero-Data-Retention für API-Anfragen).
- Die Übertragung dauert nur so lange wie die Auswertung — typisch wenige Sekunden.
10.5 Bewertungs-Ampel
Die Bewertungs-Ampel (grün/gelb/rot) wird durch eine deterministische Berechnung erzeugt — sie setzt deine Jahresprämie ins Verhältnis zu deiner Versicherungssumme bzw. zur Nutzfläche und gewichtet das Ergebnis je nach Gebäudetyp. Es handelt sich also nicht um KI-basierte Bewertung. Die Ampel dient als Orientierungshilfe und bewirkt keine rechtlichen Folgen für dich im Sinne von Art. 22 DSGVO. Auf Wunsch erläutern wir dir die Bewertungsmethodik im Detail — schicke dazu eine Mail an office@select-it.at.
11. Sicherheitsmaßnahmen (Art. 32 DSGVO)
Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten gegen unberechtigten Zugriff, Verlust und Manipulation zu schützen:
- Transportverschlüsselung mittels TLS (HTTPS) für alle Verbindungen.
- Passwort-Hashing für Admin-Konten via bcrypt; kein Passwort wird je im Klartext gespeichert.
- Rate-Limiting auf sicherheitskritische Endpunkte (5 Login-Versuche / Minute, 10 Anfrage-Submissions / Minute) zum Schutz vor Brute-Force und Spam.
- IP-Anonymisierung in den Server-Zugriffsprotokollen (siehe 3.3).
- Geschützter Datei-Speicher außerhalb des öffentlichen Webroot, Dateien werden nur über authentifizierte Endpunkte mit gültigem Zugangs-Token (User) bzw. Admin-Session (Mitarbeiter) ausgeliefert.
- Self-Hosting aller Frontend-Ressourcen (Schriftarten, CSS) — keine Datenflüsse zu externen CDN-Anbietern.
- Automatische Löschung abgelaufener Daten gemäß Speicherfristen aus Abschnitt 4 — täglich um 03:00 UTC.
- Audit-Log aller schreibenden und lesenden Zugriffe auf eine Anfrage; Admin-Zugriffe werden mit der E-Mail-Adresse des Mitarbeiters protokolliert.
- Sicherheits-Header:
X-Frame-Options,X-Content-Type-Options,Referrer-Policy,Permissions-Policyauf allen Antworten.
12. Aktualisierungen
Wir aktualisieren diese Datenschutzerklärung, wenn sich Funktionen oder eingesetzte Dienstleister ändern. Es gilt jeweils die auf dieser Seite veröffentlichte Fassung.