Information nach Art. 13 / 14 DSGVO

Datenschutzerklärung

Stand: 2026-05-07 — Entwurf, anwaltlich zu prüfen

1. Verantwortlicher

VerantwortlichNRG Company GmbH

AnschriftAdolf-Göbel-Straße 24A · 64521 Groß-Gerau

Datenschutz-Kontaktwhereto@nrgcompany.de

Vollständige Anbieterkennung siehe Impressum.

Ein Datenschutzbeauftragter ist gesetzlich nicht zu bestellen. Anfragen zum Datenschutz richten Sie bitte an die oben angegebene E-Mail-Adresse.

2. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten unserer Kunden — gemeint sind primär die Kontakt- und Rechnungsdaten der für die Kunden-Unternehmen handelnden natürlichen Personen — nur soweit dies für die Erbringung unserer Dienstleistung „WhereTo Standortanalyse" erforderlich ist:

Vertragsanbahnung und -erfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bestellabwicklung, Erstellung des Standortgutachtens, Rechnungsstellung, Korrespondenz.
Erfüllung rechtlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO): handels- und steuerrechtliche Aufbewahrungspflichten (HGB § 257, AO § 147), 6 bzw. 10 Jahre.
Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): IT-Sicherheit, Missbrauchsverhinderung, technische Logs zum Betrieb der Plattform.

3. Erhobene Datenkategorien

Bei einer Bestellung über booking.html erheben wir:

Stamm- und Kontaktdaten: Firmenname, Rechnungsanschrift, USt-IdNr., Vor- und Nachname des Ansprechpartners, E-Mail-Adresse, Telefon, Position
Standortdaten: Adresse oder GPS-Koordinaten des zu analysierenden Standorts, Eigentums-/Pachtangaben, Nutzungs- und Bedarfsangaben
Hochgeladene Dokumente und Fotos (Zählerschrank, Hausanschluss, Installationsort)
Account-Daten (sofern Account angelegt wird): E-Mail, gehashtes Passwort, Bestellhistorie
Technische Daten: IP-Adresse, Browser-/Geräte-Informationen, Zeitstempel von Logins, gesetzte Cookies (s. Abschnitt 7)

4. Empfänger und Auftragsverarbeitung (Art. 28 DSGVO)

Wir übermitteln Daten an folgende Auftragsverarbeiter, mit denen jeweils ein Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO besteht. Die vollständige Liste der Subprocessoren mit Verarbeitungszweck finden Sie auch in der projektinternen Doku SUBPROCESSORS.md.

Hosting (Statik)IONOS SE — Karlsruhe, Deutschland

Datenbank, Auth, Storage, Edge FunctionsSupabase Inc. — Region eu-west-2 (Frankfurt)

E-Mail-VersandResend Inc. — USA (Drittlandtransfer auf Basis von Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO)

CI/CDGitHub Inc. — USA (nur Build-Metadaten, keine Kundendaten)

5. Speicherdauer

Account-Daten: bis zur Löschung des Accounts durch den Nutzer / die Nutzerin
Bestelldaten und Rechnungen: 10 Jahre (steuerrechtlich, AO § 147)
Geschäftskorrespondenz: 6 Jahre (HGB § 257)
Hochgeladene Fotos: bis Bericht-Auslieferung + 90 Tage, danach Löschung
Server-Logs: 30 Tage

6. Ihre Rechte als betroffene Person (Art. 15–22 DSGVO)

Sie haben jederzeit das Recht auf:

Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
Berichtigung unrichtiger Daten (Art. 16 DSGVO)
Löschung Ihrer Daten, soweit keine Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit in einem strukturierten, maschinenlesbaren Format (Art. 20 DSGVO)
Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Zuständig ist u. a. der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Gustav-Stresemann-Ring 1, 65189 Wiesbaden.

Anfragen richten Sie bitte an whereto@nrgcompany.de. Wir antworten innerhalb der gesetzlichen Frist von einem Monat.

7. Cookies und ähnliche Technologien (TTDSG § 25)

Wir setzen ausschließlich technisch erforderliche Cookies und vergleichbare Speichermechanismen (Browser-Storage), die für den Betrieb des Dienstes unverzichtbar sind:

Authentifizierungs-Token (Login-Session) — gespeichert im localStorage des Browsers
Bestell-Wiederaufnahme im laufenden Booking-Prozess — gespeichert im sessionStorage

Es findet kein Tracking, keine Reichweitenmessung und keine Einbindung Drittanbieter-Skripte für Werbe- oder Analysezwecke statt. Daher entfällt eine Cookie-Einwilligung im Sinne des § 25 Abs. 1 TTDSG.

8. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen (Art. 32 DSGVO):

TLS-Verschlüsselung aller Verbindungen (HTTPS)
Passwort-Hashing über die Authentifizierungsschicht von Supabase (bcrypt)
Row-Level-Security in der Datenbank: Kunden sehen ausschließlich eigene Bestellungen, Partner ausschließlich eigene Codes und zugeordnete Bestellungen
Trennung der Zugriffsrollen (Admin / Partner / Kunde) per server-seitig gesetzter Rolle in app_metadata
Service-Role-Schlüssel ausschließlich serverseitig in Edge Functions
Monitoring sicherheitsrelevanter Vorgänge in den Logs des Hosting-Providers

9. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder Änderungen unserer Leistungen umgesetzt werden können. Es gilt jeweils die zum Zeitpunkt der Erhebung veröffentlichte Fassung.

Hinweis: Dieser Text ist ein Entwurf auf Basis der derzeitigen Code-Implementierung und Standard-Bausteine für B2B-Online-Dienste. Vor Veröffentlichung bitte anwaltlich prüfen lassen, insbesondere die Subprocessor-Liste, die Aufbewahrungs- fristen und etwaige branchenspezifische Anforderungen.