Datenschutzerklärung – energy-agent

Stand: 23.02.2026

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten im Zusammenhang mit

• der Website und den Online-Angeboten von energy-agent sowie
• der Web-App unter app.energy-agent.at (nachfolgend gemeinsam „Plattform“).

1. Verantwortlicher

Natural Developments GmbH Gartengasse 37, 2721 Bad Fischau, Österreich E-Mail: office@energy-agent.at Firmenbuch: FN 659446 z

2. Datenschutzbeauftragter

Julius Bergmann Gartengasse 37, 2721 Bad Fischau, Österreich E-Mail: office@energy-agent.at

3. Geltungsbereich & Rollenverteilung (B2B2C)

energy-agent ist eine B2B2C-Plattform: Vertragspartner sind typischerweise juristische Personen (z. B. Verein, Genossenschaft, Unternehmen), die ihrerseits eine vertragliche Beziehung zu Endkund:innen/Teilnehmer:innen haben.

Je nach Verarbeitung treten wir in unterschiedlichen Rollen auf:

3.1 Verarbeitung als Auftragsverarbeiter (Art. 28 DSGVO) – „Kernservice“

Für den Kernservice (insb. Energiedaten-/Zählpunktdaten-Verarbeitung, Visualisierung, Simulation, Forecasting, Optimierung, Geräteanbindung und – soweit genutzt – Steuerung von Batteriespeichern) verarbeiten wir Daten im Auftrag des jeweiligen Kunden/Tenants. In diesen Fällen ist grundsätzlich der Kunde (Tenant) datenschutzrechtlich „Verantwortlicher“ und energy-agent „Auftragsverarbeiter“.

Betroffenenanfragen (z. B. Auskunft, Löschung) richten Sie primär an den jeweiligen Verantwortlichen (Kunden/Tenant). Sie können sich auch an uns wenden; wir unterstützen im Rahmen unserer Auftragsverarbeitung.

3.2 Verarbeitung als Verantwortlicher (Art. 4 Z 7 DSGVO) – Plattformbetrieb & eigene Zwecke

Für bestimmte Verarbeitungen handeln wir selbst als Verantwortlicher, insbesondere:

• Betrieb/Sicherheit der Plattform (z. B. technische Logs, Abuse-Prävention)
• Account- und Zugriffsverwaltung (Authentifizierung, Rollen, Organisations-/Community-Zuordnung)
• Kommunikation (Service-Mails, Support via E-Mail)
• Websitebetrieb (inkl. Cookie-/Consent-Management)
• Newsletter/Marketing (nur mit Einwilligung)
• „Produkttraining/Analytics“ über mehrere Kund:innen hinweg (nur nach Einwilligung, anonymisiert/aggregiert, soweit möglich)

3.3 Gemeinsame Verantwortlichkeit (Art. 26 DSGVO)

Für bestimmte Verarbeitungen können Energiegemeinschafts-Admins gemeinsam mit dem jeweiligen Kunden/Tenant mitverantwortlich sein, insbesondere bei Zugriff/Verwaltung von Stammdaten und Energiedaten innerhalb der Energiegemeinschaft. Eine Vereinbarung zur gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) wird – sofern einschlägig – abgeschlossen; deren wesentliche Inhalte werden Betroffenen in geeigneter Form zugänglich gemacht.

4. Welche Daten wir verarbeiten

Je nach Nutzung/Role/Feature verarbeiten wir insbesondere:

4.1 Account- und Nutzungsdaten

• E-Mail-Adresse
• Passwort (gehasht, z. B. Argon2)
• Vorname, Nachname
• Geburtsdatum
• Rollen, Organisations-/Community-Zuordnung, Berechtigungen
• Gerätekennungen (z. B. Device IDs/Push-Token, sofern eingesetzt)

4.2 Kommunikations- und Supportdaten

• E-Mail-Adresse, ggf. Telefon (falls angegeben)
• Kommunikationsinhalte (Support-Anfragen per E-Mail)
• Inhalte/Anhänge, die Nutzer:innen im Support bereitstellen (z. B. Screenshots, Log-Auszüge)

4.3 Kunden-/Vertrags- und Abrechnungsdaten

• Name/Firma, Anschrift
• Vertragsbezug, Tenant-/Kundenzuordnung, Support-/Servicezuordnung
• Rechnungsdaten (Rechnungsadresse, UID/Steuerangaben, Rechnungsdetails)

Hinweis: Die Zahlungsabwicklung erfolgt grundsätzlich außerhalb der Plattform. Bank-/Zahlungsdaten werden in der Plattform grundsätzlich nicht als Standard benötigt.

4.4 Zählpunkt- und Energiedaten (Energiewirtschaft)

• Zählpunktnummer, Netzbetreiber, Anschrift des Zählpunkts
• Energiequelle, Energierichtung, erwartetes Profil/Jahreserzeugung (sofern vorhanden)
• Messwerte/Lastprofile (z. B. 15-Minuten-Verbrauchs- und Einspeisewerte)
• Bezug/Einspeisung innerhalb einer Energiegemeinschaft
• Statusmeldungen, Teilnahmefaktoren, Energiedatennachforderungen
• Kennzeichnung „reale Daten“ vs. synthetisch/ simuliert (wo anwendbar)

4.5 Geräte-/Integrationsdaten (wenn angebunden)

• Verbindungs-/Zugangstoken (z. B. via SSO oder Zugangsdaten der Nutzer:innen, je nach Integration)
• Technische Zustands-/Leistungsdaten aus angebundenen Systemen (z. B. Wechselrichter, Batteriespeicher, PV, Wärmepumpe, Ladeinfrastruktur, E-Autos), soweit zur Funktion erforderlich

4.6 Technische Daten / Logs / Sicherheit

• IP-Adresse (gekürzt/anonymisiert, wo möglich)
• Browsertyp/-version, Betriebssystem
• Referrer-URL, Hostname
• Uhrzeit/Time-Stamp
• System-Logs, Fehlermeldungen, Aktivitäts- und Audit-Protokolle (z. B. Admin-Aktionen)

4.7 Cookies / Consent-Daten

• Session-Cookies (essenziell)
• Statistik-/Marketing-Cookies (nur nach Einwilligung)
• Consent-Informationen/Protokolle (Cookiebot)

5. Zwecke der Verarbeitung & Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

5.1 Plattformbereitstellung, Betrieb & Sicherheit

Zwecke: Bereitstellung, Stabilität, Fehleranalyse, IT-Sicherheit, Missbrauchs-/Angriffserkennung, Login/Session. Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen), soweit erforderlich
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, stabilem Betrieb, Debugging, Performance/Verfügbarkeit)

5.2 Registrierung, Accountverwaltung & Systemkommunikation

Zwecke: Account anlegen, Authentifizierung, Rollen/Berechtigungen, Zuordnung zu Tenant/Community, Passwort-Reset, servicebezogene Benachrichtigungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

5.3 Vertragsabwicklung / digitale Dienstleistungen (Kernfunktion)

Zwecke: Import/Verarbeitung von Zählpunkt-/Energiedaten zur Bereitstellung von Monitoring, Simulation, Forecasting, Optimierung und (sofern genutzt) Steuerung; technisch notwendige Auswertungen pro Kund:in. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vertraglich erforderlich) Hinweis: Soweit wir hierbei als Auftragsverarbeiter handeln, erfolgt die Verarbeitung auf Grundlage eines AVV (Art. 28 DSGVO) mit dem jeweiligen Verantwortlichen (Kunden/Tenant).

5.4 Support

Zwecke: Bearbeitung von Anfragen, Fehlerbehebung, Servicequalität. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO und/oder Art. 6 Abs. 1 lit. f DSGVO

5.5 Webanalyse / Plattformoptimierung

Zwecke: Reichweitenmessung, UX/Usability, Stabilität/Qualität. Rechtsgrundlagen (je nach Einstellung/Consent):

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), wenn nicht notwendige Cookies/Tracking genutzt werden
• Art. 6 Abs. 1 lit. f DSGVO, nur soweit eine cookielose/streng notwendige Konfiguration ohne Einwilligung zulässig ist

5.6 Newsletter & Marketing / Retargeting

Zwecke: Newsletter, Marketingkommunikation, Retargeting. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe Abschnitt 11).

5.7 „Produkttraining/Analytics“ über mehrere Kund:innen hinweg

Zwecke: Weiterentwicklung/Qualitätsverbesserung, modellbasierte Optimierung, Analytics über mehrere Kund:innen hinweg. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) Grundsatz: Nutzung anonymisierter/aggregierter Daten, soweit möglich; keine Auswertung „für Marketing“ ohne Einwilligung.

6. Empfänger:innen / Kategorien von Empfänger:innen

Wir geben personenbezogene Daten nur weiter, wenn dies erforderlich ist und eine Rechtsgrundlage besteht.

6.1 Auftragsverarbeiter (Dienstleister)

• Hosting: Hetzner Online GmbH (EU/EWR)
• E-Mail-Versand (transaktional/Newsletter): MailerSend
• Monitoring/Performance: New Relic
• Consent-Management: Cookiebot
• Webanalyse: Matomo (selbst gehostet)

Mit Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO (AVV). Unterauftragsverarbeiter werden im Rahmen der jeweiligen AVV-Regelungen eingesetzt.

6.2 Energiewirtschaftliche Partner / Datenquellen (je nach Use-Case)

• EDA Energiewirtschaftlicher Datenaustausch GmbH
• zuständige Netzbetreiber

Zwecke: Stammdatenabfragen, Messdatenbereitstellung, Statusmeldungen, Teilnahmefaktoren, Energiedatennachforderungen, Abwicklung und Betrieb der Energiegemeinschaftsprozesse (je nach Kunde/Tenant-Konstellation).

6.3 Innerhalb des Tenants (Kundenorganisation / Energiegemeinschaft)

• Energiegemeinschafts-Admins und berechtigte Rollen innerhalb des Tenants erhalten Zugriff auf jene Daten, die zur Verwaltung/Prüfung erforderlich sind (rollenbasiert, Tenant-Isolation).

7. Übermittlung in Drittländer

Der produktive Betrieb ist auf Hosting innerhalb der EU/EWR ausgerichtet. Bei einzelnen Dienstleistern/Tools (z. B. Monitoring/Collaboration/Development wie GitHub oder Microsoft 365) kann – je nach Konfiguration und Support-/Zugriffswegen – ein Drittlandbezug nicht in jedem Fall vollständig ausgeschlossen werden. Soweit eine Drittlandübermittlung erfolgt, stellen wir geeignete Garantien sicher (z. B. Standardvertragsklauseln, zusätzliche Schutzmaßnahmen).

8. Cookies & Consent-Management

Wir verwenden Cookies und ähnliche Technologien:

• Essenzielle Cookies (z. B. Session/Login) zur technischen Bereitstellung der Plattform.
• Nicht essenzielle Cookies (z. B. Statistik/Marketing/Retargeting) nur, wenn Sie über unser Consent-Banner eingewilligt haben.

Ihre Auswahl können Sie jederzeit über die Cookie-Einstellungen anpassen/widerrufen.

9. Newsletter / Marketing

Wenn Sie unseren Newsletter abonnieren, verarbeiten wir Ihre Kontaktdaten zum Versand.

• Versand/Abmeldung erfolgen über entsprechende Links bzw. Einstellungen.
• Eine Erfolgsmessung (z. B. Öffnungen/Klicks) erfolgt – sofern eingesetzt – nur im Rahmen der erteilten Einwilligung.

10. Speicherdauer / Löschung

Wir verarbeiten Daten nur so lange, wie es für die Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

• Allgemeine Nutzerdaten: grundsätzlich bis zu 7 Jahre nach Vertragsende (bzw. Beendigung der Kundenbeziehung), sofern keine kürzere Erforderlichkeit oder längere gesetzliche Pflicht greift.
• Energiedaten/Zählpunktdaten: grundsätzlich analog zur Kundenbeziehung (bis zu 7 Jahre nach Vertragsende), sofern vertraglich/gesetzlich nichts Abweichendes erforderlich ist.
• Log-/Sicherheitsdaten: maximal 90 Tage, danach Löschung oder Anonymisierung (sofern nicht für Sicherheits-/Nachweiszwecke länger erforderlich).
• Backups: Rotation/Löschung gemäß Backup-Konzept (typischerweise bis zu 6 Monate).
• Audit-Trails: Aufbewahrung nach Erforderlichkeit für Nachvollziehbarkeit/Sicherheit/Compliance.

11. Rechte der betroffenen Personen

Sie haben – je nach anwendbarer Rollenverteilung – folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)

Kontakt für Betroffenenanfragen: office@energy-agent.at Wir beantworten Anfragen grundsätzlich innerhalb von 1 Monat.

Beschwerderecht: Sie können sich bei der zuständigen Aufsichtsbehörde beschweren (siehe Abschnitt 12).

12. Aufsichtsbehörde (Österreich)

Österreichische Datenschutzbehörde Barichgasse 40–42, 1030 Wien, Österreich Website: www.dsb.gv.at

13. Datensicherheit (TOMs – Überblick)

Wir setzen angemessene technische und organisatorische Maßnahmen ein, u. a.:

• Hosting in EU-Rechenzentren
• HTTPS/TLS für Transportverschlüsselung
• Rollen- und Rechtekonzept (Need-to-know), Tenant-Isolation (Multi-Tenant)
• Passwort-Hashing (Argon2), Zugriffsschutz und Protokollierung
• IP-Kürzung/Anonymisierung in Logs, wo möglich
• Audit-Trail für relevante Aktionen
• Incident-Response-Prozess für Sicherheits- und Datenschutzvorfälle
• Regelmäßige Sicherheitsprüfungen; Penetrationstests/Security Audits (geplant/implementiert)

14. Keine Nutzung durch Minderjährige

Die Plattform richtet sich nicht an Minderjährige; eine Nutzung durch Minderjährige ist nicht vorgesehen.

15. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung bei Änderungen der Plattform, neuer Funktionen oder geänderter Rechtslage. Die Information erfolgt über E-Mail und/oder beim nächsten Login (je nach Art der Änderung).

16. Impressum

Unser Impressum finden Sie unter: app.energy-agent.at/imprint