RECHTLICHES
Datenschutzerklärung SpotPilot App
Datenschutzrechtlich Verantwortliche im Sinne des Art. 5 Abs. 2 DSGVO für die in der SpotPilot App (im Folgenden „App“) verarbeiteten Daten ist die SpotmyEnergy GmbH, Hafenstraße 4a, 51063 Köln (im Folgenden: „SpotmyEnergy”, „wir“, „uns“).
Sie erreichen unseren Datenschutzbeauftragten unter:
Jochen Schwill
SpotmyEnergy GmbH
Hafenstraße, 4a
+49 (0) 221 / 57 027 854
info@spotmyenergy.de
Die nachfolgende Datenschutzerklärung dient dazu, Dich über Art, Umfang und Zweck der von uns verarbeiteten personenbezogenen Daten und die Dir zustehenden Rechte zu informieren. Die Verarbeitung personenbezogener Daten erfolgt stets im Einklang mit den gesetzlichen Vorschriften, insbesondere mit denen der Datenschutz-Grundverordnung (DSGVO). Zum Schutz Deiner Daten haben wir verschiedene technische und organisatorische Maßnahmen getroffen, um einen möglichst lückenlosen Schutz der über diese App verarbeiteten Daten sicherzustellen.
1. Schutzgegenstand
Schutzgegenstand sind personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, das heißt, alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
2. Erhobene Daten
Während der Registrierung und Nutzung der App werden insbesondere die folgenden Datenkategorien verarbeitet:
- Name, Vorname, Adresse, E-Mail-Adresse, Passwort und bei SpotmyEnergy gebuchte Produkte (zusammen „Stammdaten“).
- Anlagen- und Messdaten einschließlich Stromzähler, Kommunikationstechnologie, Verbrauchseinrichtungen und Fernsteuerungstechnologie, Verbrauchsmengen, Messergebnisse („Anlagen- und Messdaten“ und zusammen mit den Stammdaten „Daten“).
Die E-Mail-Adresse und das Passwort werden von Dir während der Registrierung eingegeben, die sonstigen Daten erhalten wir aus unserer HubSpot-Software (vgl. unter 4.) und speichern sie in der App.
Die Anlagen- und Messdaten erhalten wir über die Cloud-Infrastruktur des Energiemanagementsystems („EMS“), welches wir zur Vernetzung von Solaranlagen mit steuerbaren Verbrauchseinrichtungen wie Wärmepumpen, Anlagen zur Raumkühlung, Heimspeichern und Wallboxen entsprechend der Vertragsbeziehung bei dir betreiben. Das EMS besteht aus einer Hardwarekomponente („Box“) und einer intelligenten Softwarelösung („EMS-Software“). Die Box dient der Steuerung der an das EMS angeschlossenen Solaranlage und der steuerbaren Verbrauchseinrichtungen und kommuniziert mit der EMS-Software, die von SpotmyEnergy und ihren Dienstleistern, als Software-as-a-Service, teilweise in einer Cloud-Infrastruktur, betrieben wird. SpotmyEnergy erhält die Anlagen- und Messdaten über eine Schnittstelle vom Betreiber der Cloud-Infrastruktur des EMS. Dieser agiert hierbei als Auftragsverarbeiter gemäß Art. 28 DSGVO, und wir haben entsprechende Auftragsverarbeitungsverträge abgeschlossen, die den Schutz der Daten sicherstellen. Außerdem erhalten wir Anlagen- und Messdaten aus deinem intelligenten Messsystem. Diese erreichen uns über eine BSI-konforme Wirk-PKI Strecke. Wir setzen technische und organisatorische Maßnahmen (wie z. B. Verschlüsselung und Zugriffsbeschränkungen) ein, um den Schutz deiner Daten während der Übertragung und Speicherung sicherzustellen.
Die Verarbeitung der Daten erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 b DSGVO zur Erfüllung des Vertrages und auf Grundlage von Art. 6 Abs. 1 S. 1 f DSGVO im berechtigten Interesse von SpotmyEnergy, eine effektive Nutzung der Anlage und angebundener Systeme zu ermöglichen.
Wir verarbeiten keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO, wie z. B. Gesundheitsdaten oder Daten über politische Meinungen.
3. Zweck der Erhebung und Rechtsgrundlage
Zweck der Datenverarbeitung ist es, die Nutzung der App zu ermöglichen und das Monitoring sowie die Steuerung der Solaranlage und der angebundenen flexiblen Verbraucher zu gewährleisten. Die Verarbeitung der Daten erfolgt zur Erfüllung des Vertrages über die Nutzung der App gemäß Art. 6 Abs. 1 S. 1 b DSGVO. Darüber hinaus nutzen wir die Daten, um eine effektive Nutzung der Anlage sicherzustellen und etwaige Probleme frühzeitig zu erkennen. Dies erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 S. 1 f DSGVO. Unser Interesse liegt darin, Dir und uns eine effiziente Nutzung der Solaranlage und der flexiblen Verbraucher zu ermöglichen.
4. Auftragsverarbeiter, Übermittlung der Daten in Drittländer
Die Stammdaten sind bis auf das Passwort bereits in unserem Customer-Relationship-Management-System auf Systemen der HubSpot, Inc., 25 First Street, Cambridge, MA 02141 USA („HubSpot“). Die Anlagen- und Messdaten speichern wir auf Systemen der InfluxData, Inc., 548 Market St, PMB 77953, San Francisco, CA 94104, USA („InfluxData“).
HubSpot und InfluxData agieren insoweit als unser Auftragsverarbeiter. Wir haben mit beiden Unternehmen entsprechende Auftragsverarbeitungsverträge abgeschlossen, die auch so genannte Standardvertragsklauseln enthalten. Diese Standardvertragsklauseln, die von der EU-Kommission beschlossen wurde, ermöglichen nach Art. 46 Abs. 2 lit. c DSGVO eine zulässige Datenübermittlung in die USA.
Wir weisen darauf hin, dass trotz des Einsatzes von Standardvertragsklauseln ein erhöhtes Risiko besteht, dass US-Behörden auf deine Daten zugreifen können. Um dieses Risiko zu minimieren, setzen wir technische Schutzmaßnahmen wie die Verschlüsselung der Daten während der Übertragung und Speicherung ein.
Sentry
Wir nutzen im Rahmen unseres Services Sentry, ein Fehlermanagement-Tool. Dienstanbieter ist das amerikanische Unternehmen Sentry Inc., San Francisco, 132 Hawthorne St, San Francisco, USA.
Sentry verarbeitet Daten von Ihnen u.a. auch in den USA. Wir weisen darauf hin, dass nach Meinung des Europäischen Gerichtshofs derzeit kein angemessenes Schutzniveau für den Datentransfer in die USA besteht. Dies kann mit verschiedenen Risiken für die Rechtmäßigkeit und Sicherheit der Datenverarbeitung einhergehen.
Als Grundlage der Datenverarbeitung bei Empfängern mit Sitz in Drittstaaten (außerhalb der Europäischen Union, Island, Liechtenstein, Norwegen, also insbesondere in den USA) oder einer Datenweitergabe dorthin verwendet Sentry sogenannte Standardvertragsklauseln (= Art. 46. Abs. 2 und 3 DSGVO). Standardvertragsklauseln (Standard Contractual Clauses – SCC) sind von der EU-Kommission bereitgestellte Mustervorlagen und sollen sicherstellen, dass Ihre Daten auch dann den europäischen Datenschutzstandards entsprechen, wenn diese in Drittländer (wie beispielsweise in die USA) überliefert und dort gespeichert werden. Durch diese Klauseln verpflichtet sich Sentry, bei der Verarbeitung Ihrer relevanten Daten, das europäische Datenschutzniveau einzuhalten, selbst wenn die Daten in den USA gespeichert, verarbeitet und verwaltet werden. Diese Klauseln basieren auf einem Durchführungsbeschluss der EU-Kommission. Sie finden den Beschluss und die entsprechenden Standardvertragsklauseln u.a. hier: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=de
Die Datenverarbeitungsbedingungen (Data Processing Addendum), welche den Standardvertragsklauseln entsprechen, finden Sie unter https://sentry.io/legal/dpa/.
Mehr über die Daten, die durch die Verwendung von Sentry verarbeitet werden, erfahren Sie in der Datenschutzerklärung auf https://sentry.io/privacy/.
5. Dauer der Verarbeitung
Wir speichern die Daten in der App, solange Du diese nutzt. Soweit Du Dein Benutzerkonto oder die App löschst, löschen wir Dein Konto zur Nutzung der App einschließlich Deines Passwortes.
Die Stammdaten werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Beendigung des Vertragsverhältnisses speichern wir die Stammdaten und Nutzungsdaten noch für einen Zeitraum von bis zu 10 Jahren, um gesetzlichen Aufbewahrungspflichten nachzukommen. Die Nutzungsdaten werden für bis zu 3 Jahre nach Vertragsbeendigung zu Analyse- und Optimierungszwecken aufbewahrt. Nach Ablauf dieser Fristen werden die Daten endgültig gelöscht, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten.
Alle anderen personenbezogenen Daten werden innerhalb von 30 Tagen nach der Löschung deines Kontos aus unseren aktiven Systemen gelöscht. Ausgenommen davon sind Daten, die wir aufgrund gesetzlicher Aufbewahrungspflichten oder zur Verteidigung von Rechtsansprüchen weiterhin speichern müssen. Diese Daten werden jedoch für die weitere Verarbeitung gesperrt und nach Ablauf der gesetzlichen Aufbewahrungsfristen endgültig gelöscht.
Unser Recht, die Stammdaten und Nutzungsdaten außerhalb der App für einen längeren Zeitraum zu nutzen, bleibt unberührt. Nähere Informationen dazu findest Du in der Datenschutzerklärung, die Du mit dem Vertragsschluss erhalten hast.
6. Deine Rechte
Die folgenden Rechte stehen Dir zu:
Du hast das Recht auf Auskunft über die gespeicherten Daten, sowie auf deren Berichtigung, Löschung, die Einschränkung der Verarbeitung und auf Datenübertragbarkeit. Du hast das Recht, die dich betreffenden Stammdaten und Nutzungsdaten, die wir von dir auf Grundlage deiner Einwilligung oder zur Erfüllung des Vertragsverhältnisses erhoben haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder auf deinen Wunsch hin an einen Dritten übertragen zu lassen. Du hast das Recht, eine erteilte Einwilligung zur Datenverarbeitung jederzeit mit Wirkung für die Zukunft zu widerrufen. Nach dem Widerruf verarbeiten wir deine personenbezogenen Daten nicht weiter, es sei denn, es besteht eine anderweitige rechtliche Grundlage für die Verarbeitung. Du hast zudem das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen.
Um deine Rechte auszuüben, kannst du uns über die oben angegebenen Kontaktdaten erreichen. Wir werden deine Anfragen unverzüglich, spätestens jedoch innerhalb eines Monats, bearbeiten. Du hast das Recht, von uns eine Bestätigung darüber zu erhalten, ob wir deine personenbezogenen Daten verarbeiten. Außerdem kannst du unter bestimmten
Voraussetzungen die Einschränkung der Verarbeitung, Berichtigung oder Löschung Ihrer Daten verlangen sowie der Verarbeitung widersprechen.
Einer Verarbeitung personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 Buchstaben e oder f DSGVO erfolgt, kannst du widersprechen. Wir verarbeiten die personenbezogenen Daten im Falle des Widerspruchs nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Deine Interessen, Rechten und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
7. Automatisierte Entscheidungsfindung
Es erfolgt keine automatisierte Entscheidungsfindung oder Profiling auf Basis deiner personenbezogenen Daten.