Datenschutzerklärung
1. Verantwortlicher
PHIVA CORE SL
Calle Barroso 15
29001 Málaga, Spanien
E-Mail:
[email protected]
Vertreten durch: Phillip Fickl
2. Überblick
energiedaten.at ist eine Plattform, die Smart-Meter-Stromverbrauchsdaten aus dem österreichischen EDA-Netzwerk (Energiewirtschaftlicher Datenaustausch) empfängt und über moderne Schnittstellen (API, Webhooks, CSV, SFTP) bereitstellt. Wir sind ein B2B-Infrastrukturdienstleister — wir leiten Energiedaten weiter, analysieren sie aber nicht für eigene Zwecke.
Diese Datenschutzerklärung informiert Sie darüber, welche Daten wir erheben, wie wir sie verwenden und welche Rechte Ihnen zustehen — unabhängig davon, ob Sie unsere Website besuchen, die Plattform als Geschäftskunde nutzen oder ein Endverbraucher sind, dessen Zählpunktdaten über unsere Plattform übermittelt werden.
3. Unsere Rolle im Datenschutz
3.1 Als Verantwortlicher (Controller)
Wir sind datenschutzrechtlich Verantwortlicher für:
- Daten unserer Website-Besucher (Server-Logs, Webanalyse)
- Kontodaten unserer Geschäftskunden (Name, E-Mail, Unternehmensdaten, Zahlungsdaten)
- Vorregistrierungen und Kontaktanfragen
3.2 Als Auftragsverarbeiter (Processor)
Für die Stromverbrauchsdaten (Messwerte), die über die EDA-Schnittstelle übermittelt werden, handeln wir als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Unsere Geschäftskunden — typischerweise Energiedienstleister, Hausverwaltungen oder Unternehmen — sind die Verantwortlichen, die den Zweck der Datenverarbeitung bestimmen. Wir verarbeiten die Verbrauchsdaten ausschließlich gemäß den Weisungen unserer Geschäftskunden und der mit ihnen geschlossenen Auftragsverarbeitungsvereinbarung (AVV).
4. Was wir mit Stromverbrauchsdaten nicht tun
Transparenz ist uns wichtig. Deshalb stellen wir klar:
- Keine Analyse für eigene Zwecke. Wir analysieren die Stromverbrauchsdaten einzelner Endverbraucher nicht, um Verhaltensprofile zu erstellen oder Rückschlüsse auf persönliche Gewohnheiten zu ziehen. Es findet kein Profiling im Sinne von Art. 4 Abs. 4 DSGVO statt.
- Kein Verkauf oder Weitergabe. Wir verkaufen, vermieten oder übertragen Verbrauchsdaten nicht an Dritte. Die Daten werden ausschließlich an den Geschäftskunden weitergegeben, der die Datenzustimmung des Endverbrauchers über den EDA-CCM-Prozess eingeholt hat.
- Kein KI-Training. Stromverbrauchsdaten werden weder von uns noch von Dritten in unserem Auftrag zum Trainieren, Feinabstimmen oder Entwickeln von Modellen der künstlichen Intelligenz oder des maschinellen Lernens verwendet.
- Keine automatisierten Entscheidungen. Es werden keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO getroffen, die rechtliche Wirkung gegenüber Endverbrauchern entfalten.
Mehr zu unserem Sicherheitsansatz finden Sie auf unserer Seite Datensicherheit .
5. Verarbeitung von Stromverbrauchsdaten (Plattform)
5.1 Welche Daten werden verarbeitet?
- Zählpunktdaten: Zählpunktnummer (AT00…), OBIS-Kennzahl, Zählernummer
- Messwerte: Viertelstündliche Verbrauchswerte (kWh), Datenqualitätsstufe (L1/L2/L3), Zeitstempel
- Stammdaten: Dem Zählpunkt zugeordnete Adresse und Netzbetreiber (soweit vom EDA-Netzwerk übermittelt)
5.2 Woher stammen die Daten?
Die Daten werden über das EDA-Netzwerk (Energiewirtschaftlicher Datenaustausch) übermittelt. Der Datenzugang setzt eine aktive Zustimmung des Endverbrauchers voraus, die über den standardisierten CCM-Prozess (Customer Consent Management) erteilt wird. Der Endverbraucher erteilt diese Zustimmung über das Online-Portal seines Netzbetreibers.
5.3 Rechtsgrundlage
| Verarbeitungszweck | Rechtsgrundlage |
|---|---|
| Empfang, Speicherung und Weiterleitung der Verbrauchsdaten im Auftrag des Geschäftskunden | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i.V.m. Art. 28 DSGVO (Auftragsverarbeitung) |
| Datenqualitätsprüfung und automatische Nachforderung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Technische Fehleranalyse und Betriebssicherheit | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
5.4 Speicherdauer
Die Verbrauchsdaten werden entsprechend dem vom Geschäftskunden gewählten Tarif gespeichert:
| Tarif | Speicherdauer |
|---|---|
| Community | 90 Tage |
| Starter | 180 Tage |
| Growing | 365 Tage |
| Business | 3 Jahre |
| Enterprise | Individuell vereinbart |
Nach Ablauf der Speicherdauer oder nach Beendigung des Vertrags mit dem Geschäftskunden werden die Verbrauchsdaten gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.
5.5 Widerruf der Datenzustimmung
Endverbraucher können ihre Datenzustimmung jederzeit über das Portal ihres Netzbetreibers widerrufen (EDA-Prozess CM_REV_CUS). Nach dem Widerruf:
- werden keine neuen Verbrauchsdaten mehr übermittelt
- bereits gespeicherte Daten werden gemäß der vertraglichen Aufbewahrungsfrist des jeweiligen Geschäftskunden gelöscht
- der Geschäftskunde wird über den Widerruf informiert
6. Kontodaten der Geschäftskunden (Plattform)
6.1 Welche Daten werden verarbeitet?
- Kontodaten: Name, E-Mail-Adresse, Passwort (gehasht), Unternehmen
- Zahlungsdaten: Zahlungsmethode, Rechnungsadresse (verarbeitet über unseren Zahlungsdienstleister Mollie)
- Nutzungsdaten: Login-Zeitpunkte, API-Aufrufe, konfigurierte Verbindungen
- Vertragsdaten: Gewählter Tarif, Anzahl Zählpunkte, Vertragslaufzeit
6.2 Rechtsgrundlage und Speicherdauer
| Daten | Rechtsgrundlage | Speicherdauer |
|---|---|---|
| Kontodaten | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) | Dauer des Kontos + 30 Tage |
| Zahlungsdaten / Rechnungen | Art. 6 Abs. 1 lit. c DSGVO (§ 132 BAO, §§ 190, 212 UGB) | 7 Jahre nach dem betreffenden Geschäftsjahr |
| Nutzungsprotokolle | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) | 90 Tage |
7. Website
7.1 Server-Logdateien
Bei jedem Zugriff auf unsere Website werden automatisch folgende Daten erfasst:
- IP-Adresse (anonymisiert)
- Datum und Uhrzeit des Zugriffs
- Angeforderte Seite/Datei
- HTTP-Statuscode
- Browser-Typ und Betriebssystem
- Referrer-URL
Diese Daten werden zur Sicherstellung des Betriebs und zur Fehlerbehebung gespeichert und nach 30 Tagen automatisch gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
7.2 Vorregistrierung / Zugangsanfrage
Wenn Sie sich über unser Formular vorregistrieren, erheben wir:
- Name
- E-Mail-Adresse
- Unternehmen (optional)
- Gewünschter Plan
Diese Daten verwenden wir ausschließlich, um Sie über den Launch von energiedaten.at zu informieren und Ihnen relevante Details zu Ihrem gewählten Plan zuzusenden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).
7.3 Webanalyse — Pirsch Analytics
Wir nutzen Pirsch Analytics (Pirsch GmbH, Deutschland) zur datenschutzfreundlichen Analyse der Website-Nutzung. Pirsch ist ein cookie-freies Analysetool, das keine personenbezogenen Daten speichert und vollständig DSGVO-konform arbeitet.
Pirsch erfasst:
- Aufgerufene Seiten und Verweildauer
- Referrer (verweisende Website)
- Browser-Typ und Betriebssystem
- Bildschirmauflösung
- Land (abgeleitet aus anonymisierter IP-Adresse)
IP-Adressen werden von Pirsch nicht gespeichert, sondern nur zur Erkennung eindeutiger Besucher gehasht und sofort verworfen. Es werden keine Cookies gesetzt und kein Fingerprinting betrieben. Die Datenverarbeitung erfolgt ausschließlich auf Servern in Deutschland.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Weitere Informationen: pirsch.io/privacy
7.4 Cookies
Unsere Website verwendet ausschließlich technisch notwendige Cookies (Session-Cookies, CSRF-Token). Diese sind für den Betrieb der Website erforderlich und werden ohne Einwilligung gesetzt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
8. Hosting und Infrastruktur
Unsere Website und Dienste werden in europäischen Rechenzentren gehostet:
- Hetzner Online GmbH (Gunzenhausen, Deutschland) — Server-Hosting. Verarbeitung ausschließlich in deutschen bzw. europäischen Rechenzentren.
- Cloudflare, Inc. — Content Delivery Network (CDN) und DNS. Cloudflare kann Anfragen über weltweit verteilte Server leiten. Die Verarbeitung erfolgt auf Basis von Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO.
9. Auftragsverarbeiter (Sub-Processors)
Wir setzen folgende Auftragsverarbeiter ein:
| Anbieter | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Datenbank | Deutschland |
| Cloudflare, Inc. | CDN, DNS, DDoS-Schutz | Global (SCCs) |
| Mollie B.V. | Zahlungsabwicklung | Niederlande |
| Google LLC (Google Workspace) | E-Mail-Versand | EU (SCCs) |
| Functional Software, Inc. (Sentry) | Fehlerüberwachung | EU (SCCs) |
| Pirsch GmbH | Webanalyse | Deutschland |
Bei Änderungen an dieser Liste informieren wir unsere Geschäftskunden vorab.
10. Weitergabe an Dritte
Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur, wenn:
- sie zur Erfüllung unseres Vertrags mit dem Geschäftskunden erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO),
- eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO), z. B. gegenüber Finanzbehörden,
- sie an die unter Abschnitt 9 genannten Auftragsverarbeiter erfolgt, mit denen Auftragsverarbeitungsvereinbarungen bestehen.
Wir verkaufen oder vermieten keine personenbezogenen Daten.
11. Datensicherheit
Wir setzen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:
- Verschlüsselung aller Datenübertragungen (TLS 1.2+)
- Verschlüsselung sensibler Daten in der Datenbank (at rest)
- Zugangskontrollen und rollenbasierte Berechtigungen
- Regelmäßige Sicherheitsupdates und Patches
- Automatisierte Backups mit verschlüsselter Speicherung
- Protokollierung von Datenzugriffen
Ausführliche Informationen zu unserem Sicherheitsansatz finden Sie auf unserer Seite Datensicherheit .
12. Internationale Datenübermittlung
Unsere Server stehen in Deutschland (EU). Bei der Nutzung von Cloudflare können Daten über Server außerhalb des EWR geleitet werden. Dies erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Alle anderen Auftragsverarbeiter verarbeiten Daten innerhalb des EWR.
13. Ihre Rechte
Sie haben gemäß DSGVO folgende Rechte:
- Auskunft (Art. 15 DSGVO) — Welche Daten wir über Sie gespeichert haben
- Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
- Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten, sofern keine Aufbewahrungspflichten bestehen
- Einschränkung (Art. 18 DSGVO) — Einschränkung der Verarbeitung
- Datenübertragbarkeit (Art. 20 DSGVO) — Erhalt Ihrer Daten in einem maschinenlesbaren Format
- Widerspruch (Art. 21 DSGVO) — Widerspruch gegen die Verarbeitung
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Jederzeit möglich, ohne Auswirkung auf die Rechtmäßigkeit der bisherigen Verarbeitung
Für Endverbraucher: Wenn Sie ein Endverbraucher sind, dessen Stromverbrauchsdaten über unsere Plattform verarbeitet werden, wenden Sie sich bitte zunächst an den Geschäftskunden (Energiedienstleister), der den Zugang zu Ihren Daten eingerichtet hat. Alternativ können Sie Ihre Datenzustimmung jederzeit direkt über das Portal Ihres Netzbetreibers widerrufen.
Kontakt: [email protected]
14. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:
- Agencia Española de Protección de Datos (AEPD) — www.aepd.es
- Österreichische Datenschutzbehörde (DSB) — Barichgasse 40-42, 1030 Wien, [email protected] , www.dsb.gv.at
15. Auftragsverarbeitungsvereinbarung (AVV)
Für die Verarbeitung von Stromverbrauchsdaten im Auftrag unserer Geschäftskunden schließen wir eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO. Die AVV ist Bestandteil unserer Nutzungsbedingungen und wird bei Registrierung auf der Plattform akzeptiert. Sie kann jederzeit in den Kontoeinstellungen eingesehen und als PDF heruntergeladen werden.
Enterprise-Kunden können eine individuelle AVV vereinbaren.
16. Änderungen
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Bei wesentlichen Änderungen informieren wir unsere Geschäftskunden per E-Mail. Die aktuelle Version finden Sie stets auf dieser Seite.
Stand: März 2026