Datenschutzerklärung

1) Verantwortlicher

2) Allgemeine Informationen zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der gesetzlichen Vorgaben, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG). Die Verarbeitung erfolgt nur, soweit sie für die Bereitstellung dieser Website, der Login-Funktionen und der damit zusammenhängenden Kommunikation erforderlich ist.

Die Verarbeitung erfolgt insbesondere zum Betrieb der Website und Plattform, zur Benutzerkonto- Authentifizierung, zur Gerätekommunikation und IoT-Anbindung, zur Ausführung von Steuerungs- und Automatisierungsfunktionen, für Monitoring, Fehleranalyse und Sicherheit, zur Kommunikation per E-Mail sowie zur Erfüllung gesetzlicher Pflichten.

Es ist derzeit kein Datenschutzbeauftragter bestellt, da die gesetzlichen Voraussetzungen nicht vorliegen.

3) Bereitstellung der Website (Server-Logfiles)

Beim Aufruf der Website werden technisch erforderliche Logdaten verarbeitet. Dazu zählen insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, Referrer, User-Agent sowie HTTP-Statuscode.

Die Verarbeitung erfolgt über die eingesetzten Hosting- und Infrastrukturkomponenten zur Gewährleistung von Stabilität, Sicherheit, Missbrauchserkennung und Fehleranalyse. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Logfiles werden nur für eine kurze, zweckbezogene Frist gespeichert (regelmäßig 7 bis 30 Tage), sofern keine längere Aufbewahrung zur Aufklärung konkreter Sicherheitsvorfälle erforderlich ist.

4) Hosting, APIs & Content Delivery (AWS)

Unsere Website wird auf Infrastruktur der Amazon Web Services (AWS) betrieben. Eingesetzt werden insbesondere S3 (statische Inhalte), CloudFront (Content Delivery Network), API Gateway (HTTP- und WebSocket-Schnittstellen), Lambda, DynamoDB, Cognito, AWS IoT Core und CloudWatch, soweit diese Dienste für den jeweiligen Website-, Login-, Dashboard- oder Gerätekommunikationsvorgang technisch erforderlich sind. Die Verarbeitung erfolgt in einer hochverfügbaren Multi-Region-Architektur innerhalb der Europäischen Union. Hierbei werden insbesondere die Regionen eu-central-1 (Frankfurt, Deutschland) und eu-north-1 (Stockholm, Schweden) genutzt.

Die Nutzung mehrerer Regionen dient der Gewährleistung von Ausfallsicherheit, Lastverteilung sowie einer stabilen und latenzoptimierten Bereitstellung der Dienste. Mit AWS bestehen Vereinbarungen zur Auftragsverarbeitung. Eine Übermittlung in Drittstaaten kann im Einzelfall nicht vollständig ausgeschlossen werden. Soweit erforderlich, erfolgt diese auf Grundlage geeigneter Garantien, insbesondere Standardvertragsklauseln gemäß Art. 46 DSGVO.

Für authentifizierte App- und Dashboardfunktionen können zudem REST-Anfragen und WebSocket-Verbindungen über AWS-Schnittstellen aufgebaut werden, um Geräte-, Status- und Live-Daten bereitzustellen. Die serverseitige Verarbeitung erfolgt dabei – soweit für den konkreten Vorgang erforderlich – über die vorgenannten AWS-Dienste, insbesondere API Gateway, Lambda, DynamoDB, AWS IoT Core und CloudWatch.

5) Authentifizierung & Nutzerkonto (AWS Cognito)

Für Login und Accountverwaltung verwenden wir AWS Cognito. Dabei werden insbesondere E-Mail-Adresse, Login-Daten sowie technische Metadaten verarbeitet, die zur Authentifizierung und Absicherung von Nutzerzugriffen erforderlich sind.

Zweck der Verarbeitung ist die Bereitstellung und Sicherung des Nutzerkontos. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Die Daten werden grundsätzlich bis zur Löschung des Nutzerkontos gespeichert, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6) Datenbank (AWS DynamoDB)

In DynamoDB speichern wir die für den Betrieb der Plattform notwendigen Anwendungs- und Accountdaten. Dazu zählen insbesondere Accountdaten, Konfigurationsdaten, gerätebezogene Zuordnungen und plattformbezogene Anwendungsdaten. Die Verarbeitung dient der technischen Funktionalität und der vertragsgemäßen Bereitstellung der Dienste. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie, soweit erforderlich, Art. 6 Abs. 1 lit. f DSGVO.

7) Gerätedaten und IoT-Kommunikation

Im Rahmen der Geräteanbindung und Plattformnutzung verarbeiten wir geräte- und kommunikationsbezogene Daten. Dazu zählen insbesondere Gerätekennungen (z. B. Device-ID), Status- und Betriebsdaten, konfigurationsbezogene Parameter, mess- und zustandsbezogene Daten sowie technische Kommunikations- und Verbindungsdaten.

Die Verarbeitung erfolgt zur Plattformanbindung, zur Ausführung von Steuerungs- und Automatisierungsfunktionen, für Diagnose- und Stabilitätszwecke sowie zur sicheren Bereitstellung von Geräte- und Live-Daten über API- und WebSocket-Schnittstellen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie, soweit erforderlich, Art. 6 Abs. 1 lit. f DSGVO.

8) E-Mail-Kommunikation

Kontaktanfragen erfolgen derzeit ausschließlich per E-Mail. Dabei verarbeiten wir die von Ihnen übermittelten Angaben (insbesondere E-Mail-Adresse und Nachrichteninhalt), um Ihre Anfrage zu bearbeiten und mit Ihnen zu kommunizieren.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche/vertragliche Kommunikation) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation). Für den Versand technischer E-Mails kann AWS SES als technischer Dienstleister eingesetzt werden.

9) Cookies, LocalStorage und Consent-Einstellungen

Wir verwenden technisch erforderliche Cookies bzw. vergleichbare Speichertechnologien insbesondere für Sicherheit, Login, Sitzungsverwaltung, Navigation und die Speicherung Ihrer Datenschutzentscheidung. Dies umfasst je nach genutzter Funktion insbesondere Cookies, LocalStorage, SessionStorage, IndexedDB, Service-Worker-Caches und vergleichbare browserseitige Speichermechanismen. Rechtsgrundlage für diese Speicher- und Zugriffsvorgänge ist § 25 Abs. 2 TDDDG. Soweit daran anschließend personenbezogene Daten verarbeitet werden, erfolgt dies bei Login- und Kontofunktionen auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO und bei Sicherheits-, Stabilitäts- oder Navigationsfunktionen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

Technisch erforderlich sind dabei insbesondere die Speicherung von Authentifizierungs- und Sitzungsdaten, die Consent-Verwaltung, Dashboard-Snapshots im App-Bereich, PWA- und Offline-Funktionen, lokale Installationshinweise sowie – sofern von Ihnen aktiviert – die lokale App-Sperre per WebAuthn-Credential auf dem jeweiligen Gerät.

Aktuell werden keine Analyse- oder Marketingdienste eingesetzt. Optionale Kategorien für Statistik und Marketing bleiben standardmäßig deaktiviert; ohne ausdrückliche Einwilligung werden keine optionalen Statistik- oder Marketing-Skripte geladen.

Google Analytics (gtag.js) und Meta Pixel sind ausschließlich als optionale Integrationen vorgesehen. Eine Aktivierung erfolgt nur nach ausdrücklicher Einwilligung und nur bei aktiver Konfiguration.

Sollten künftig optionale Statistik- oder Marketingdienste integriert werden, erfolgt deren Einsatz ausschließlich nach vorheriger ausdrücklicher Einwilligung über die Cookie-Einstellungen.

Ihre Auswahl können Sie jederzeit über den Footer-Link „Cookie-Einstellungen“ ändern oder widerrufen. Bei Ablehnung oder Widerruf werden optionale Skripte nicht weiter initialisiert. Soweit technisch clientseitig möglich, entfernt die Website außerdem zuvor gesetzte optionale First-Party-Cookies und lokale Speichereinträge. Auf Cookies von Drittanbietern haben wir keinen vollständigen Einfluss. Der Widerruf wirkt nur für die Zukunft und berührt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht.

10) Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen ein, insbesondere TLS-Transportverschlüsselung, rollenbasierte Zugriffskontrollen (IAM), das Prinzip der minimalen Rechtevergabe sowie Protokollierung sicherheitsrelevanter Vorgänge.

11) Empfänger / Auftragsverarbeiter

Empfänger personenbezogener Daten sind autorisierte interne Stellen sowie vertraglich gebundene Auftragsverarbeiter, soweit dies zur Leistungserbringung erforderlich ist. Dazu zählt insbesondere AWS als zentraler Infrastruktur- und Plattformdienstleister (Hosting, API, Authentifizierung, Datenbank, Monitoring und Gerätekommunikation) innerhalb der eingesetzten AWS-Infrastruktur.

Google Analytics (gtag.js) und Meta Pixel sind derzeit nicht aktiv. Eine Einbindung als zusätzliche Empfänger erfolgt nur, wenn diese Integrationen künftig konfiguriert und zuvor über die Cookie-Einstellungen ausdrücklich freigegeben werden.

Soweit im Rahmen eingesetzter Infrastruktur- oder optional aktivierter Integrationen Übermittlungen in Drittländer, insbesondere in die USA, erforderlich werden, erfolgen diese ausschließlich auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere Standardvertragsklauseln nach Art. 46 DSGVO.

12) Speicherdauer / Löschkonzept

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Logdaten werden für kurze, zweckgebundene Sicherheits- und Fehleranalysezeiträume vorgehalten. Accountdaten verbleiben grundsätzlich bis zur Kontolöschung. Kommunikationsdaten aus E-Mail-Anfragen speichern wir für die Bearbeitung und eine kurze, zweckbezogene dokumentationsbezogene Nachlaufzeit. Geräte- und plattformbezogene Daten werden entsprechend dem jeweiligen Betriebs- und Vertragszweck vorgehalten und gelöscht, sobald sie dafür nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

13) Betroffenenrechte (Art. 15–21 DSGVO)

Ihnen stehen die gesetzlichen Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch zu. Sofern eine Verarbeitung auf Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Ein Widerruf berührt die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht.

Außerdem haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, etwa beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA).

14) Keine automatisierten Entscheidungen

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO statt.

15) Geplante Erweiterung (Online-Shop)

Eine Integration von Stripe und PayPal ist erst für den Fall der Aktivierung eines Online-Shops vorgesehen. Vor Aktivierung werden die einschlägigen Datenverarbeitungen in dieser Datenschutzerklärung gesondert und transparent ergänzt. Gleiches gilt für weitere künftig aktivierte Funktionen oder Integrationen, soweit diese zusätzliche datenschutzrechtlich relevante Verarbeitungen auslösen.