Datenschutzerklärung — Karlheinz Glück

Stand: 13.05.2026

Der Schutz deiner personenbezogenen Daten ist uns ein besonderes Anliegen. Wir verarbeiten deine Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen — insbesondere der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG). In dieser Datenschutzerklärung informieren wir dich über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von kreditpilot.at sowie der Kreditvermittlung durch Karlheinz Glück.

§ 1Verantwortlicher

Karlheinz Glück – Der mit der Finanzierung
Am Moßanger 3/10, 8071 Hausmannstätten
E-Mail: karlheinz@der-mit-der-finanzierung.at
Telefon: +43 664 15 39 883
GISA-Zahl: 29156191

Ein Datenschutzbeauftragter ist derzeit nicht bestellt. Bei Fragen zum Datenschutz kannst du dich jederzeit direkt an die oben genannte Kontaktadresse wenden.

§ 2Allgemeine Informationen zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website, zur Erbringung unserer Dienstleistungen, zur Vertragsabwicklung, zur Bearbeitung von Anfragen oder zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen insbesondere:

Stammdaten: Vor- und Nachname, Anrede, Geburtsdatum, Geburtsort, Staatsbürgerschaft, Familienstand, Anzahl der Kinder
Kontaktdaten: Anschrift, E-Mail-Adresse, Telefonnummer
Identifikationsdaten: SV-Nummer, Ausweiskopie, Meldezettel
Beruf und Einkommen: Arbeitgeber, Beschäftigungsverhältnis, Gehaltsnachweise, Kontoauszüge
Finanz- und Bonitätsdaten: bestehende Kredite, Vermögen, Gehaltskonto (IBAN/BIC)
Objekt-Unterlagen: Kaufvertrag, Grundbuchauszug, Energieausweis, Grundrisse, Schätzwerte, Fotos
Vertrags- und Vermittlungsdaten: Inhalte aus Kreditvermittlungsaufträgen, Einwilligungen, Selbstauskünften, Haushaltsrechnungen
Technische Daten: IP-Adresse, Zeitstempel, aufgerufene URLs, Browser- und Geräteinformationen (Server-Logs)
Kommunikationsdaten: E-Mail-Inhalte, Telefonnotizen, Mail-Versand-Protokolle, Aktivitäten- und Audit-Log

Betroffene Personen im Sinne dieser Erklärung sind insbesondere Interessenten, Kunden, weitere Kreditnehmer („KN2"), Bürgen sowie Besucher unserer Website.

§ 3Zwecke der Verarbeitung und Rechtsgrundlagen

3.1 Vertragserfüllung und vorvertragliche Maßnahmen

Wir verarbeiten deine Daten zur Erfüllung des Kreditvermittlungsauftrags sowie zur Durchführung vorvertraglicher Maßnahmen, die auf deine Anfrage erfolgen: Auswahl geeigneter Finanzierungsangebote, Einreichung deiner Unterlagen bei Banken und Bausparkassen, Bonitätsprüfung, Vertragsverwaltung sowie laufende Betreuung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

3.2 Erfüllung gesetzlicher Verpflichtungen

Wir verarbeiten Daten, soweit dies zur Erfüllung rechtlicher Verpflichtungen erforderlich ist — insbesondere aus dem Unternehmens-, Steuer- und Aufsichtsrecht (§ 132 BAO Buchhaltung), aus der Gewerbeordnung (GewO) sowie aus dem Finanzmarkt-Geldwäschegesetz (FM-GwG).

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO

3.3 Berechtigte Interessen

Soweit keine überwiegenden Interessen oder Grundrechte der betroffenen Person entgegenstehen, verarbeiten wir Daten zur Wahrung berechtigter Interessen, insbesondere:

technischer Betrieb von Website und IT-Systemen
IT-Sicherheit und Missbrauchsabwehr
Dokumentation geschäftlicher Vorgänge (Audit-Log)
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
interne Organisation und Verwaltung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

3.4 Einwilligung

Soweit wir Daten auf Basis einer Einwilligung verarbeiten — etwa für besondere Datenkategorien oder ausdrückliche Zusatzleistungen — erfolgt dies ausschließlich für den jeweils bekannt gegebenen Zweck. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (bzw. Art. 9 Abs. 2 lit. a DSGVO bei besonderen Datenkategorien)

§ 4Verarbeitung im Rahmen der Website-Nutzung

4.1 Aufruf der Website

Beim Besuch unserer Website werden technisch erforderliche Daten automatisiert verarbeitet, um die Seite auszuliefern und die Systemsicherheit zu gewährleisten. Dabei können insbesondere verarbeitet werden:

IP-Adresse
Datum und Uhrzeit des Zugriffs
aufgerufene Seite bzw. Datei
Browsertyp, Browserversion und Betriebssystem
Referrer-URL
HTTP-Statuscode und übertragene Datenmenge

Diese Daten werden in Server-Logfiles verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technischen Funktionsfähigkeit, Stabilität, Sicherheit und der Abwehr missbräuchlicher Zugriffe (z.B. Bot-Scans).

4.2 Cookies

Diese Website setzt ausschließlich technisch notwendige Cookies ein — insbesondere den Session-Cookie für den Login-Bereich der Vermittler-Anwendung. Es werden keine Tracking-, Analyse- oder Werbe-Cookies verwendet, und es ist kein Consent-Banner erforderlich. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

§ 5Kontaktaufnahme und Kommunikation

Wenn du mit uns Kontakt aufnimmst — per E-Mail, Telefon, Kontaktformular oder auf anderem Weg — verarbeiten wir die von dir bekannt gegebenen Daten zur Bearbeitung deiner Anfrage sowie für etwaige Anschlussfragen. Dabei können insbesondere verarbeitet werden:

Name und Kontaktdaten
Inhalte der Anfrage und mitübermittelte Dokumente
Zeitpunkt und Verlauf der Kommunikation

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen / Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO für eine sachgerechte Kommunikation.

§ 6Datenblatt & Baukostenaufstellung (öffentliche Formulare)

Auf der Website werden zwei öffentliche Formulare bereitgestellt: das Datenblatt (Erstkontakt, Kennenlernen deiner Finanzierungssituation) und die Baukostenaufstellung. Diese kannst du ohne Login ausfüllen.

Im Rahmen der Übermittlung verarbeiten wir die von dir eingegebenen Stamm-, Kontakt-, Beschäftigungs- und Finanzdaten zur Vorbereitung des Erstgesprächs und zur Beurteilung deiner Finanzierungsmöglichkeiten.

Zum Schutz vor versehentlicher Doppelversendung wird ein Hash aus E-Mail, Geburtsdatum und Name erzeugt und für 24 Stunden gespeichert; eine zweite Einreichung mit identischen Daten innerhalb dieser Frist wird ignoriert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung Vermittlungsauftrag).

§ 7Upload-Portal (verschlüsselter Datenlink)

Für die Übermittlung sensibler Unterlagen erhältst du von uns einen individuellen, zeitlich befristeten Zugangslink zu unserem Upload-Portal. Über diesen Link kannst du die im Kreditvermittlungsverfahren erforderlichen Dokumente (z.B. Gehaltszettel, Kontoauszüge, Ausweiskopie, Kaufvertrag, Meldezettel) sicher hochladen — ohne einen Account anlegen zu müssen.

Im Rahmen dieses Prozesses werden insbesondere verarbeitet:

Token des Zugangslinks (zufällige UUID) und dessen Ablaufdatum
hochgeladene Dateiinhalte und Dateinamen
Zeitstempel des Uploads
IP-Adresse zur Missbrauchsabwehr

Sicherheit: Sämtliche Dateien werden serverseitig mit AES-256-GCM verschlüsselt gespeichert (Verschlüsselung at-rest). Der Zugangslink besteht aus einem hochentropischen, zufälligen Token und ist nicht erratbar. Eine Indexierung durch Suchmaschinen ist ausgeschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

§ 8Digitale Unterzeichnung (Fernunterschrift)

Wir stellen dir die Möglichkeit zur Verfügung, ausgewählte Vertrags- und Vermittlungsunterlagen (insbesondere Kreditvermittlungsauftrag, Einwilligung zur Verarbeitung personenbezogener Daten, Selbstauskunft, Haushaltsrechnung, Datenschutzerklärungen einzelner Banken) elektronisch zu unterzeichnen. Du erhältst dafür per E-Mail einen individuellen Zugangslink zu einem digitalen Unterschriftenfeld.

Im Rahmen dieses Vorgangs werden insbesondere folgende Daten verarbeitet:

Name und E-Mail-Adresse
Dokumentinhalt
Signaturbild (Bilddatei der eigenhändigen Unterschrift auf dem Gerät)
IP-Adresse, Zeitstempel, Browser- und Geräteinformationen
Audit-Log-Daten zur Nachvollziehbarkeit des Unterzeichnungsvorgangs
SHA-256-Hash des unterzeichneten Dokuments (Beweissicherung gegen nachträgliche Manipulation)

Zweck: Bereitstellung der digitalen Unterzeichnungsfunktion, technische Durchführung und eindeutige Zuordnung des Vorgangs, Übermittlung des unterzeichneten Dokuments an dich, Systemsicherheit und Beweissicherung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung, vorvertragliche Maßnahmen) sowie Art. 6 Abs. 1 lit. f DSGVO (Integrität und Beweissicherung).

Der Zugangslink zur Fernunterschrift verliert nach 48 Stunden seine Gültigkeit und kann danach nicht mehr aufgerufen werden. Die unterzeichneten Dokumente selbst werden — wie alle anderen Vermittlungsunterlagen — gemäß den gesetzlichen Aufbewahrungsfristen archiviert (siehe § 11). Die technischen Nachweis- und Protokolldaten (Zeitstempel, IP-Adresse, Hash-Werte) werden zur Beweissicherung sowie zur Erfüllung gesetzlicher Aufbewahrungspflichten für die Dauer von 7 Jahren gespeichert.

§ 9Empfänger der Daten

Eine Offenlegung deiner personenbezogenen Daten erfolgt nur, soweit dies gesetzlich zulässig und für den jeweiligen Zweck erforderlich ist. Empfänger können insbesondere sein:

Banken und Finanzierungsgeber, die du für deine Finanzierung auswählst (z.B. Volksbank, Bank Austria, Erste Bank, Hypo, Raiffeisen, BAWAG, ING und weitere österreichische Kreditinstitute) — die Weitergabe erfolgt nur mit deiner ausdrücklichen Zustimmung.
Behörden und öffentliche Stellen, soweit gesetzlich verpflichtet (z.B. Finanzbehörde, Geldwäsche-Meldepflichten nach FM-GwG).
Steuerberater oder berufsmäßige Parteienvertreter, soweit zur Wahrung berechtigter Interessen erforderlich.
Auftragsverarbeiter gemäß Art. 28 DSGVO:
- Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland — Hosting der App und der Daten. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag.
- Sendinblue SAS („Brevo"), 7 Rue de Madrid, 75008 Paris, Frankreich — Versand transaktionaler E-Mails (z.B. Mail mit unterzeichneten Unterlagen, Erinnerungen, Bestätigungen). Mit Brevo besteht ein Auftragsverarbeitungsvertrag. Sitz und Server innerhalb der Europäischen Union.

§ 10Datenübermittlung an Drittländer

Wir beabsichtigen grundsätzlich nicht, deine personenbezogenen Daten an Empfänger in Drittländern außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums zu übermitteln.

Soweit im Einzelfall doch Dienste eingesetzt werden, bei denen eine Übermittlung in ein Drittland nicht ausgeschlossen werden kann, erfolgt dies ausschließlich unter Beachtung der gesetzlichen Voraussetzungen — insbesondere auf Grundlage eines Angemessenheitsbeschlusses, geeigneter Garantien (z.B. EU-Standardvertragsklauseln) oder einer ausdrücklichen Einwilligung.

§ 11Speicherdauer

Wir speichern deine Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Datenkategorie	Speicherdauer
Bei erfolgreicher Vermittlung (Vertragsdaten)	7 Jahre ab dem Geschäftsjahr des Vertragsabschlusses (§ 132 BAO)
Bei Nichtzustandekommen eines Vertrags	6 Monate nach dem letzten Kontakt
Datenblatt-Hash (Doppel-Submit-Schutz)	24 Stunden
Zugangslink zur Fernunterschrift	48 Stunden Gültigkeit (Link), danach abgelaufen
Sign-Audit-Log (Hash, Zeitstempel, IP, Browser)	7 Jahre zur Beweissicherung
Audit-Log der Anwendung	3 Jahre
Server-Logs	30 Tage
Mail-Versand-Log (Brevo-Webhooks)	2 Jahre
Backups (Hetzner-Snapshots)	14 Tage rollierend

§ 12Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um deine Daten gegen Verlust, Zerstörung, unbefugten Zugriff, unbefugte Veränderung oder unzulässige Offenlegung zu schützen:

TLS/HTTPS für alle Verbindungen (HSTS mit 1-Jahres-Pin)
AES-256-GCM-Verschlüsselung aller hochgeladenen Dateien at-rest
bcrypt-Passwort-Hashing mit Salt
UUID-Zugangstoken mit Ablaufdatum für Upload-Links und Fernunterschriften
Striktes Mandantentrennungs-Konzept auf Datenbank-Ebene
Vollständiges Audit-Log — jeder Datenzugriff wird protokolliert
CSRF-Schutz, Content-Security-Policy
Tägliche automatisierte Backups (Hetzner-Snapshots)
Regelmäßige Überprüfung technischer Schutzmaßnahmen

Wir weisen jedoch darauf hin, dass eine vollständige Sicherheit der Datenübertragung im Internet trotz aller Sorgfalt nicht garantiert werden kann.

§ 13Deine Rechte

Dir stehen nach der DSGVO insbesondere folgende Rechte zu:

Auskunft (Art. 15) — welche Daten wir über dich verarbeiten
Berichtigung (Art. 16) — falls deine Daten unrichtig oder unvollständig sind
Löschung (Art. 17, „Recht auf Vergessenwerden") — soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
Einschränkung der Verarbeitung (Art. 18)
Datenübertragbarkeit (Art. 20) — Export deiner Daten als ZIP-Archiv auf Anfrage
Widerspruch (Art. 21) gegen Verarbeitung auf Grundlage berechtigter Interessen
Widerruf einer erteilten Einwilligung jederzeit für die Zukunft

Zur Ausübung deiner Rechte wende dich bitte per E-Mail an karlheinz@der-mit-der-finanzierung.at. Sofern begründete Zweifel an deiner Identität bestehen, können wir zusätzliche Informationen zur Identitätsbestätigung verlangen.

§ 14Beschwerderecht bei der Aufsichtsbehörde

Wenn du der Ansicht bist, dass die Verarbeitung deiner Daten gegen datenschutzrechtliche Vorschriften verstößt, hast du das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde:

Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
www.dsb.gv.at

§ 15Erforderlichkeit der Datenbereitstellung

Soweit personenbezogene Daten für den Abschluss oder die Durchführung des Kreditvermittlungsauftrags erforderlich sind, ist die Bereitstellung dieser Daten notwendig. Ohne diese Daten können wir:

deine Anfrage nicht bearbeiten,
keinen Vermittlungsauftrag abschließen,
keine Unterlagen bei Banken einreichen,
die gesetzlich vorgeschriebene Identifizierung (FM-GwG) nicht durchführen.

Soweit Daten ausschließlich auf Basis einer Einwilligung erhoben werden, ist die Bereitstellung freiwillig. Eine Nichtbereitstellung kann dann lediglich dazu führen, dass bestimmte Zusatzleistungen nicht genutzt werden können.

§ 16Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt. Über jede Finanzierung entscheidet immer ein Mensch — sowohl auf Vermittler-Seite als auch bei den beteiligten Banken.

§ 17Daten Dritter (Mitschuldner, weitere Kreditnehmer, Bürgen)

Bei einer gemeinsam beantragten Finanzierung — etwa mit Ehepartner, Lebensgefährte oder einem zweiten Kreditnehmer — verarbeiten wir auch personenbezogene Daten dieser weiteren Personen. Soweit deren Daten nicht direkt bei ihnen erhoben werden, sondern du sie uns übermittelst, informieren wir die betroffenen Personen über diese Verarbeitung gemäß Art. 14 DSGVO — typischerweise im Rahmen der Einwilligung zur Verarbeitung personenbezogener Daten, die alle beteiligten Kreditnehmer gemeinsam unterzeichnen.

Du verpflichtest dich, weitere Kreditnehmer oder Bürgen, deren Daten du an uns übermittelst, vor der Übermittlung über diese Datenschutzerklärung zu informieren.

§ 18Einsatz technologischer Hilfsmittel

Zur effizienten und qualitativ hochwertigen Erbringung unserer Dienstleistung setzen wir punktuell technologische Hilfsmittel ein, darunter auch Werkzeuge mit künstlicher Intelligenz (KI). Diese unterstützen uns beispielsweise bei der Aufbereitung und Formulierung von Texten — etwa bei der Strukturierung von Anfragen an Banken, der Erstellung interner Zusammenfassungen oder der Vorbereitung schriftlicher Kommunikation.

Bei jedem Einsatz solcher Hilfsmittel halten wir uns strikt an die geltenden datenschutz- und aufsichtsrechtlichen Vorgaben:

Es werden ausschließlich jene Daten übergeben, die für den jeweiligen Zweck notwendig sind (Grundsatz der Datenminimierung).
Die eingesetzten Anbieter werden sorgfältig nach datenschutzrechtlichen Kriterien ausgewählt. Soweit erforderlich, bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.
Soweit im Einzelfall eine Verarbeitung außerhalb der Europäischen Union stattfindet, geschieht dies ausschließlich unter Beachtung der gesetzlichen Voraussetzungen — insbesondere auf Grundlage eines Angemessenheitsbeschlusses, geeigneter Garantien (etwa EU-Standardvertragsklauseln) oder einer ausdrücklichen Einwilligung.
Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Die finale Beurteilung und Entscheidung über Inhalte, Empfehlungen und Mitteilungen trifft immer ein Mensch.
Der Einsatz erfolgt im Hintergrund zur Unterstützung der laufenden Arbeit; ein Einfluss auf konkrete Konditionen oder Entscheidungen der beteiligten Banken ist damit nicht verbunden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten und qualitativ hochwertigen Dienstleistungserbringung) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO, soweit der Einsatz unmittelbar der Vertragsanbahnung oder -erfüllung dient.

§ 19Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen — insbesondere bei Änderungen gesetzlicher Vorgaben, technischer Entwicklungen oder der Weiterentwicklung unserer Dienstleistungen. Es gilt jeweils die unter kreditpilot.at/datenschutz abrufbare aktuelle Fassung.