Datenschutzerklärung
1. Verantwortlicher
PHIVA CORE SL
Calle Barroso 15
29001 Málaga, Spanien
E-Mail:
[email protected]
Vertreten durch: Phillip Fickl
2. Überblick
energiedaten.at ist eine Plattform, die Smart-Meter-Stromverbrauchsdaten aus dem österreichischen EDA-Netzwerk (Energiewirtschaftlicher Datenaustausch) empfängt und über moderne Schnittstellen (API, Webhooks, CSV, SFTP) bereitstellt. Wir sind ein B2B-Infrastrukturdienstleister — wir leiten Energiedaten weiter, ohne individuelle Verbrauchsmuster zu analysieren.
Diese Datenschutzerklärung informiert Sie darüber, welche Daten wir erheben, wie wir sie verwenden und welche Rechte Ihnen zustehen — unabhängig davon, ob Sie unsere Website besuchen, die Plattform als Geschäftskunde nutzen oder ein Endverbraucher sind, dessen Zählpunktdaten über unsere Plattform übermittelt werden.
3. Unsere Rolle im Datenschutz
3.1 Als Verantwortlicher (Controller)
Wir sind datenschutzrechtlich Verantwortlicher für:
- Daten unserer Website-Besucher (Server-Logs, Webanalyse)
- Kontodaten unserer Geschäftskunden (Name, E-Mail, Unternehmensdaten, Zahlungsdaten)
- Kontaktanfragen und Demo-Anfragen
3.2 Als Auftragsverarbeiter (Processor)
Für die Stromverbrauchsdaten (Messwerte), die über die EDA-Schnittstelle übermittelt werden, handeln wir als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Unsere Geschäftskunden — typischerweise Energiedienstleister, Hausverwaltungen oder Unternehmen — sind die Verantwortlichen, die den Zweck der Datenverarbeitung bestimmen. Wir verarbeiten die Verbrauchsdaten ausschließlich gemäß den Weisungen unserer Geschäftskunden und der mit ihnen geschlossenen Auftragsverarbeitungsvereinbarung (AVV).
4. Was wir mit Stromverbrauchsdaten nicht tun
Transparenz ist uns wichtig. Deshalb stellen wir klar:
- Keine Analyse auf individueller Ebene. Wir analysieren die Stromverbrauchsdaten einzelner Endverbraucher nicht, um Verhaltensprofile zu erstellen oder Rückschlüsse auf persönliche Gewohnheiten zu ziehen. Es findet kein Profiling im Sinne von Art. 4 Abs. 4 DSGVO statt. Vollständig anonymisierte und aggregierte Auswertungen, aus denen keine Rückschlüsse auf einzelne Zählpunkte, Kunden oder Endverbraucher möglich sind, sind hiervon nicht betroffen.
- Kein Verkauf oder Weitergabe. Wir verkaufen, vermieten oder übertragen Verbrauchsdaten nicht an Dritte. Die Daten werden ausschließlich an den Geschäftskunden weitergegeben, der die Datenzustimmung des Endverbrauchers über den EDA-CCM-Prozess eingeholt hat.
- Kein KI-Training auf individuellen Daten. Stromverbrauchsdaten einzelner Endverbraucher werden weder von uns noch von Dritten in unserem Auftrag zum Trainieren, Feinabstimmen oder Entwickeln von Modellen der künstlichen Intelligenz oder des maschinellen Lernens verwendet. Die Verwendung vollständig anonymisierter und aggregierter Verbrauchsmuster, aus denen keine Rückschlüsse auf einzelne Zählpunkte, Kunden oder Endverbraucher möglich sind, bleibt hiervon unberührt.
- Keine automatisierten Entscheidungen. Es werden keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO getroffen, die rechtliche Wirkung gegenüber Endverbrauchern entfalten.
Mehr zu unserem Sicherheitsansatz finden Sie auf unserer Seite Datensicherheit .
5. Verarbeitung von Stromverbrauchsdaten (Plattform)
5.1 Welche Daten werden verarbeitet?
- Zählpunktdaten: Zählpunktnummer (AT00…), OBIS-Kennzahl, Zählernummer
- Messwerte: Viertelstündliche Verbrauchswerte (kWh), Datenqualitätsstufe (L1/L2/L3), Zeitstempel
- Stammdaten: Dem Zählpunkt zugeordnete Adresse und Netzbetreiber (soweit vom EDA-Netzwerk übermittelt)
5.2 Woher stammen die Daten?
Die Daten werden über das EDA-Netzwerk (Energiewirtschaftlicher Datenaustausch) übermittelt. Der Datenzugang setzt eine aktive Zustimmung des Endverbrauchers voraus, die über den standardisierten CCM-Prozess (Customer Consent Management) erteilt wird. Der Endverbraucher erteilt diese Zustimmung über das Online-Portal seines Netzbetreibers.
5.3 Rechtsgrundlage
| Verarbeitungszweck | Rechtsgrundlage |
|---|---|
| Empfang, Speicherung und Weiterleitung der Verbrauchsdaten im Auftrag des Geschäftskunden | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i.V.m. Art. 28 DSGVO (Auftragsverarbeitung) |
| Datenqualitätsprüfung und automatische Nachforderung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Technische Fehleranalyse und Betriebssicherheit | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
5.4 Speicherdauer
Die Verbrauchsdaten werden entsprechend dem vom Geschäftskunden gewählten Plan gespeichert:
| Plan | Speicherdauer |
|---|---|
| Community | 3 Monate |
| Light | 1 Jahr |
| Plus, BYO Plus | 2 Jahre |
| Pro, BYO Pro | 3 Jahre |
| Enterprise | Individuell vereinbart |
Nach Ablauf der Speicherdauer oder nach Beendigung des Vertrags mit dem Geschäftskunden werden die Verbrauchsdaten gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.
5.5 Widerruf der Datenzustimmung
Endverbraucher können ihre Datenzustimmung jederzeit über das Portal ihres Netzbetreibers widerrufen (EDA-Prozess CM_REV_CUS). Nach dem Widerruf:
- werden keine neuen Verbrauchsdaten mehr übermittelt
- bereits gespeicherte Daten werden gemäß der vertraglichen Aufbewahrungsfrist des jeweiligen Geschäftskunden gelöscht
- der Geschäftskunde wird über den Widerruf informiert
6. Kontodaten der Geschäftskunden (Plattform)
6.1 Welche Daten werden verarbeitet?
- Kontodaten: Name, E-Mail-Adresse, Passwort (gehasht), Unternehmen
- Zahlungsdaten: Zahlungsmethode, Rechnungsadresse (verarbeitet über unseren Zahlungsdienstleister Stripe)
- Nutzungsdaten: Login-Zeitpunkte, API-Aufrufe, konfigurierte Verbindungen
- Vertragsdaten: Gewählter Plan, Anzahl Zählpunkte, Vertragslaufzeit
6.2 Rechtsgrundlage und Speicherdauer
| Daten | Rechtsgrundlage | Speicherdauer |
|---|---|---|
| Kontodaten | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) | Dauer des Kontos + 30 Tage |
| Zahlungsdaten / Rechnungen | Art. 6 Abs. 1 lit. c DSGVO (§ 132 BAO, §§ 190, 212 UGB) | 7 Jahre nach dem betreffenden Geschäftsjahr |
| Nutzungsprotokolle | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) | 90 Tage |
7. Website
7.1 Server-Logdateien
Bei jedem Zugriff auf unsere Website werden automatisch folgende Daten erfasst:
- IP-Adresse (anonymisiert)
- Datum und Uhrzeit des Zugriffs
- Angeforderte Seite/Datei
- HTTP-Statuscode
- Browser-Typ und Betriebssystem
- Referrer-URL
Diese Daten werden zur Sicherstellung des Betriebs und zur Fehlerbehebung gespeichert und nach 30 Tagen automatisch gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
7.2 Kontaktanfragen und Demo-Anfragen
Wenn Sie über unsere Website eine Kontakt- oder Demo-Anfrage stellen, erheben wir:
- Name
- E-Mail-Adresse
- Unternehmen (optional)
Diese Daten verwenden wir ausschließlich zur Bearbeitung Ihrer Anfrage und zur Kontaktaufnahme. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).
7.3 Webanalyse — Pirsch Analytics
Wir nutzen Pirsch Analytics (Pirsch GmbH, Deutschland) zur datenschutzfreundlichen Analyse der Website-Nutzung. Pirsch ist ein cookie-freies Analysetool, das keine personenbezogenen Daten speichert und vollständig DSGVO-konform arbeitet.
Pirsch erfasst:
- Aufgerufene Seiten und Verweildauer
- Referrer (verweisende Website)
- Browser-Typ und Betriebssystem
- Bildschirmauflösung
- Land (abgeleitet aus anonymisierter IP-Adresse)
IP-Adressen werden von Pirsch nicht gespeichert, sondern nur zur Erkennung eindeutiger Besucher gehasht und sofort verworfen. Es werden keine Cookies gesetzt und kein Fingerprinting betrieben. Die Datenverarbeitung erfolgt ausschließlich auf Servern in Deutschland.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Weitere Informationen: pirsch.io/privacy
7.4 Cookies
Beim ersten Besuch unserer Website werden Sie über ein Cookie-Banner über die Verwendung von Cookies informiert. Sie können Ihre Einstellungen jederzeit über den Link „Cookie-Einstellungen" im Footer der Website ändern.
Technisch notwendige Cookies
Diese Cookies sind für den Betrieb der Website erforderlich und werden ohne Einwilligung gesetzt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
- energiedaten_session — Sitzungs-Cookie für die Webanwendung (Laufzeit: Sitzung)
- XSRF-TOKEN — Schutz vor Cross-Site-Request-Forgery (Laufzeit: Sitzung)
- cc_cookie — Speichert Ihre Cookie-Einstellungen (Laufzeit: 182 Tage)
PostHog — drei voneinander getrennte Verarbeitungen
Wir setzen PostHog für drei klar getrennte Zwecke ein. Auf Marketing-Website und in der eingeloggten Anwendung verhält sich PostHog identisch — die Verarbeitung wird ausschließlich durch Ihre Cookie-Einwilligung gesteuert.
1. Grundlegende Nutzungsmetriken (cookielos)
Seitenaufrufe, Verweildauer und Performance-Daten werden im speicherlosen Modus erfasst (keine Cookies, keine lokale Speicherung; Wiedererkennung über serverseitige Hashes ohne IP-Speicherung). Diese Verarbeitung läuft immer und dient der Sicherstellung des Servicebetriebs sowie der kontinuierlichen Produktverbesserung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
2. Support-Chat-Widget
Bei Zustimmung zur Kategorie „Support-Chat" über das Cookie-Banner laden wir das PostHog Conversations-Widget. Damit können Sie Support-Anfragen direkt in der Anwendung stellen; PostHog speichert dazu Konversations-Cookies (__ph_*). Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
3. Erweiterte Analyse-Funktionen
Bei Zustimmung zur Kategorie „Analyse" über das Cookie-Banner aktivieren wir folgende Verarbeitungen:
- Heatmaps und Klick-Auswertung („Dead-Clicks", Scrolltiefe, Autocapture von Klicks und Formular-Interaktionen)
- Session-Aufzeichnungen (Wiedergabe Ihrer Interaktionen mit der Website)
- PostHog-Cookies
ph_*(Laufzeit: 1 Jahr)
Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Widerruf
Sie können beide Einwilligungen jederzeit unabhängig voneinander widerrufen oder erneut erteilen über:
- den Link „Cookie-Einstellungen" im Footer dieser Website,
- den Eintrag „Cookie-Einstellungen" im Benutzermenü der eingeloggten Anwendung.
Über den Eintrag „Support" in der Seitenleiste der Anwendung können Sie zusätzlich die Support-Chat-Einwilligung erteilen, falls Sie ihn aus der eingeloggten Anwendung erstmals nutzen möchten.
Marketing (Google Ads und LinkedIn)
Wir messen mit Google Ads und dem LinkedIn Insight Tag, ob Klicks auf unsere Anzeigen zu Registrierungen bzw. Test-Anmeldungen führen. Diese Verarbeitungen werden ausschließlich nach Ihrer Einwilligung zur Kategorie „Marketing" aktiviert; ausgenommen sind die unten beschriebenen cookielosen Signale. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Cookielose Voreinstellung (Google Consent Mode v2)
Auf jeder Seite wird der Google-Tag (gtag.js) in einem standardmäßig deaktivierten Modus geladen. Solange Sie keine Marketing-Einwilligung erteilt haben, werden weder Cookies gesetzt noch Werbe- oder Geräte-Identifikatoren übermittelt; an Google gehen lediglich cookielose, gekürzte Signale (z. B. Zeitpunkt und Sprache des Seitenaufrufs). Die Funktion „ads_data_redaction" ist dabei aktiv, sodass Google diese Signale nicht mit Werbe-IDs verknüpft.
Nach Ihrer Einwilligung
Erst dann werden Google Ads und der LinkedIn Insight Tag vollständig aktiviert, die unten genannten Cookies gesetzt und Konversionen messbar. Der LinkedIn Insight Tag verfügt über keinen Consent-Mode-Mechanismus und wird daher erst nach Ihrer Einwilligung geladen.
Speicherung von Klick-Parametern
Stammt Ihr Besuch von einer unserer Anzeigen, enthält die Adresse Klick-Parameter (gclid, gbraid, wbraid, li_fat_id). Mit Ihrer Marketing-Einwilligung speichern wir diese in einem eigenen First-Party-Cookie (ed_click_ids, Laufzeit 90 Tage), um eine spätere Registrierung dem ursprünglichen Anzeigenklick zuordnen zu können. Bei einer Registrierung werden diese Parameter dem Konto des betreffenden Geschäftskunden zugeordnet.
Konversionsmessung
Sofern Marketing-Einwilligung vorliegt, übermitteln wir bei einer Test-Anmeldung und beim Verbinden des ersten Zählpunkts Ihre gehashte E-Mail-Adresse zur verbesserten Konversionsmessung an Google („Enhanced Conversions") und an LinkedIn („Enhanced Matching"). Für Google hashen wir die Adresse mit SHA-256 unwiderruflich, bevor sie übertragen wird; bei LinkedIn wird sie durch den LinkedIn Insight Tag in Ihrem Browser gehasht, bevor sie an LinkedIn übermittelt wird. In beiden Fällen wird die Klartext-Adresse nicht an Google bzw. LinkedIn übertragen. Zusätzlich teilen wir Google und LinkedIn eine pseudonyme Ereignis-ID mit, die ausschließlich dazu dient, dasselbe Konversionsereignis nicht doppelt zu zählen.
Internationale Übermittlung
Google (Google LLC) und LinkedIn (LinkedIn Corporation) können dabei Daten in die USA übertragen. Einzelheiten und Rechtsgrundlage finden Sie in Abschnitt 12.
Cookies dieser Kategorie
- _gcl_au (Google Ads) — Verbindet Anzeigenklicks mit Website-Aktionen für die Konversionsmessung (Laufzeit: 90 Tage)
- li_fat_id (LinkedIn) — Erkennt LinkedIn-Mitglieder nach dem Klick auf eine Anzeige für die Konversionsmessung (Laufzeit: 30 Tage)
- _linkedin_data_partner_ids (LinkedIn) — Verknüpft Website-Besuche mit LinkedIn-Kampagnendaten (Laufzeit: Sitzung)
- ed_click_ids (energiedaten.at) — Speichert Klick-Parameter aus Anzeigen für die interne Konversionsmessung (Laufzeit: 90 Tage)
Widerruf
Sie können Ihre Marketing-Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer bzw. im Benutzermenü der Anwendung widerrufen.
8. Hosting und Infrastruktur
Unsere Website und Dienste werden in europäischen Rechenzentren gehostet:
- Hetzner Online GmbH (Gunzenhausen, Deutschland) — Server-Hosting. Verarbeitung ausschließlich in deutschen bzw. europäischen Rechenzentren.
- Cloudflare, Inc. — Content Delivery Network (CDN) und DNS. Cloudflare kann Anfragen über weltweit verteilte Server leiten. Die Verarbeitung erfolgt auf Basis von Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO.
9. Auftragsverarbeiter (Sub-Processors)
Wir setzen folgende Auftragsverarbeiter ein:
| Anbieter | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Datenbank | Deutschland |
| Cloudflare, Inc. | CDN, DNS, DDoS-Schutz | Global (SCCs) |
| Stripe Technology Europe, Ltd. | Zahlungsabwicklung | Irland (EU) |
| Google LLC (Google Workspace) | E-Mail-Versand | EU (SCCs) |
| Functional Software, Inc. (Sentry) | Fehlerüberwachung | EU (SCCs) |
| Pirsch GmbH | Webanalyse (Website) | Deutschland |
| PostHog, Inc. | Cookielose Nutzungsmetriken (berechtigtes Interesse); Support-Chat und Heatmaps/Session-Aufzeichnung jeweils nur bei separater Einwilligung | EU (Frankfurt) |
| Google Ireland Limited | Konversionsmessung Google Ads (nur bei Marketing-Einwilligung) | Irland (EU); USA (DPF) |
| LinkedIn Ireland Unlimited Company | Konversionsmessung LinkedIn Insight Tag (nur bei Marketing-Einwilligung) | Irland (EU); USA (DPF) |
Bei Änderungen an dieser Liste informieren wir unsere Geschäftskunden vorab.
10. Weitergabe an Dritte
Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur, wenn:
- sie zur Erfüllung unseres Vertrags mit dem Geschäftskunden erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO),
- eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO), z. B. gegenüber Finanzbehörden,
- sie an die unter Abschnitt 9 genannten Auftragsverarbeiter erfolgt, mit denen Auftragsverarbeitungsvereinbarungen bestehen.
Wir verkaufen oder vermieten keine personenbezogenen Daten.
11. Datensicherheit
Wir setzen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:
- Verschlüsselung aller Datenübertragungen (TLS 1.2+)
- Verschlüsselung sensibler Daten in der Datenbank (at rest)
- Zugangskontrollen und rollenbasierte Berechtigungen
- Regelmäßige Sicherheitsupdates und Patches
- Automatisierte Backups mit verschlüsselter Speicherung
- Protokollierung von Datenzugriffen
Ausführliche Informationen zu unserem Sicherheitsansatz finden Sie auf unserer Seite Datensicherheit .
12. Internationale Datenübermittlung
Unsere Server stehen in Deutschland (EU). Bei der Nutzung von Cloudflare können Daten über Server außerhalb des EWR geleitet werden. Dies erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Wenn Sie der Kategorie „Marketing" zugestimmt haben, können dabei personenbezogene Daten (Anzeigen-Klick-Parameter, gehashte E-Mail-Adresse, IP-Adresse) an Google LLC und LinkedIn Corporation in die USA übermittelt werden. Beide Empfänger sind unter dem EU-US Data Privacy Framework zertifiziert; die Übermittlung stützt sich auf den Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO), ergänzend auf Standardvertragsklauseln (Art. 46 DSGVO). Ohne Marketing-Einwilligung findet keine solche Übermittlung statt.
Alle übrigen Auftragsverarbeiter verarbeiten Daten innerhalb des EWR.
13. Ihre Rechte
Sie haben gemäß DSGVO folgende Rechte:
- Auskunft (Art. 15 DSGVO) — Welche Daten wir über Sie gespeichert haben
- Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
- Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten, sofern keine Aufbewahrungspflichten bestehen
- Einschränkung (Art. 18 DSGVO) — Einschränkung der Verarbeitung
- Datenübertragbarkeit (Art. 20 DSGVO) — Erhalt Ihrer Daten in einem maschinenlesbaren Format
- Widerspruch (Art. 21 DSGVO) — Widerspruch gegen die Verarbeitung
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Jederzeit möglich, ohne Auswirkung auf die Rechtmäßigkeit der bisherigen Verarbeitung
Für Endverbraucher: Wenn Sie ein Endverbraucher sind, dessen Stromverbrauchsdaten über unsere Plattform verarbeitet werden, wenden Sie sich bitte zunächst an den Geschäftskunden (Energiedienstleister), der den Zugang zu Ihren Daten eingerichtet hat. Alternativ können Sie Ihre Datenzustimmung jederzeit direkt über das Portal Ihres Netzbetreibers widerrufen.
Kontakt: [email protected]
14. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:
- Agencia Española de Protección de Datos (AEPD) — www.aepd.es
- Österreichische Datenschutzbehörde (DSB) — Barichgasse 40-42, 1030 Wien, [email protected] , www.dsb.gv.at
15. Auftragsverarbeitungsvereinbarung (AVV)
Für die Verarbeitung von Stromverbrauchsdaten im Auftrag unserer Geschäftskunden schließen wir eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO. Die AVV ist Bestandteil unserer Nutzungsbedingungen und wird bei Registrierung auf der Plattform akzeptiert. Sie kann jederzeit in den Kontoeinstellungen eingesehen und als PDF heruntergeladen werden.
Enterprise-Kunden können eine individuelle AVV vereinbaren.
16. Änderungen
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Bei wesentlichen Änderungen informieren wir unsere Geschäftskunden per E-Mail. Die aktuelle Version finden Sie stets auf dieser Seite.
Stand: Juni 2026