Datenschutzerklärung

Stand: 25.04.2026 (Eigene Geräte, Anwesenheitsplan, Wasserzähler-Fotos via Mistral-Vision)

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Diese Datenschutzerklärung informiert Sie darüber, welche Daten beim Besuch dieser Website verarbeitet werden, zu welchem Zweck das geschieht und welche Rechte Ihnen nach der Datenschutz-Grundverordnung (DSGVO) zustehen.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist der im Impressum genannte Betreiber. Für Anfragen rund um den Datenschutz nutzen Sie bitte die dort angegebenen Kontaktdaten.

2. Umfang der Datenverarbeitung

Diese Website ist eine rein informative Seite. Es werden keine Cookies gesetzt, keine Tracking- oder Analyse-Dienste eingesetzt und keine externen Ressourcen (z. B. Schriftarten, Skripte, Videos, Kartendienste) von Drittanbietern eingebunden. Alle Inhalte werden direkt vom eigenen Server ausgeliefert.

Die Energiespar-Tipps werden von einem kleinen, auf demselben Server laufenden Dienst aus einer lokalen PostgreSQL-Datenbank geliefert (Endpunkte /api/tipps und /api/v1/tipps). Seit 2026-04-21 läuft die PostgreSQL-Instanz in einem isolierten Docker-Container, seit 2026-04-22 auch der API-Dienst selbst (FastAPI async, Container-zu-Container-Verbindung, kein Zugriff von außen). Es werden dabei keine personenbezogenen Daten gespeichert oder abgefragt; die Datenbank enthält ausschließlich die redaktionellen Tipp-Inhalte. Über den Abruf werden die unter Punkt 3 genannten Server-Logfile-Informationen erzeugt, keine zusätzlichen. Die Daten verlassen den Server nicht und werden nicht an Dritte übermittelt.

3. Server-Logfiles

Beim Aufruf dieser Website werden durch den Webserver aus technischen Gründen automatisch Daten in sogenannten Server-Logfiles gespeichert. Folgende Daten werden dabei erfasst:

• IP-Adresse des zugreifenden Geräts
• Datum und Uhrzeit der Anfrage
• aufgerufene URL und HTTP-Statuscode
• übertragene Datenmenge
• Referrer-URL (zuvor besuchte Seite, sofern übermittelt)
• Browser-Kennung und Betriebssystem (User-Agent)

Diese Daten werden ausschließlich zum Zweck des sicheren und stabilen Betriebs der Website, zur Fehleranalyse und zur Abwehr von Angriffen verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem technisch fehlerfreien und sicheren Betrieb). Die Logfiles werden spätestens nach 14 Tagen gelöscht, sofern nicht im Einzelfall eine längere Speicherung aufgrund eines konkreten sicherheitsrelevanten Vorfalls erforderlich ist.

4. Verschlüsselung

Diese Website wird ausschließlich per HTTPS/TLS übertragen. Die Verbindung zwischen Ihrem Browser und dem Server ist damit Ende-zu-Ende verschlüsselt. Das eingesetzte Zertifikat stammt von Let's Encrypt (ISRG, USA) und wird automatisiert erneuert. Beim Abruf werden dabei keine personenbezogenen Daten an den Zertifikatsaussteller übermittelt.

5. Hosting

Diese Website wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, gehostet. Mit dem Hoster besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Die Datenverarbeitung erfolgt innerhalb der Europäischen Union.

6. Keine Cookies, kein Tracking

Es werden keinerlei Cookies gesetzt und keine Tools zur Reichweitenmessung, Analyse oder Werbung eingesetzt. Es findet keine Profilbildung statt.

7. Browser-Funktionen mit lokaler Speicherung

Diese Website bietet mehrere Funktionen, die ausschließlich im Browser laufen. Es werden keine Spielstände, Antworten, Ergebnisse oder sonstigen Informationen an uns oder an Dritte übermittelt.

7.1 Browser-Spiel „Energie-Ninja"

Die 24 Spielszenarien (12 Privat, 12 KMU) werden seit 22.04.2026 aus der lokalen PostgreSQL-Datenbank geliefert (Endpunkt /api/v1/spiel/scenarios); das statische Skript bleibt als Fallback bei Netzstörung. Der Abruf erzeugt nur die unter Punkt 3 genannten Server-Logfile-Informationen.

Damit die Bestenliste über mehrere Spielrunden hinweg erhalten bleibt, speichert das Spiel über localStorage lokal auf Ihrem Endgerät:

• den von Ihnen gewählten Spielernamen (Pseudonym) bzw. Firmen- oder Teamnamen
• die CO₂-Einsparung, den Komfort- bzw. Team-Wert und den Konto- bzw. Budget-Stand am Spielende
• das Datum der Spielrunde

Das Spiel existiert in zwei Varianten — Privat-Alltag und KMU-Betriebsjahr. Die Bestenliste wird pro Variante getrennt gespeichert (Schlüssel energieninja.highscores.v1 für „Privat", energieninja.highscores.firma.v1 für „Firma").

7.2 Energiecheck (Verbrauchsschätzung)

Die Fragen, Antwortmöglichkeiten und Schritte des Energiechecks werden seit 22.04.2026 aus der lokalen PostgreSQL-Datenbank geliefert (Endpunkt /api/v1/energiecheck/questions); das bisherige statische Skript bleibt als Fallback bei Netzstörung. Der Abruf erzeugt nur die unter Punkt 3 genannten Server-Logfile-Informationen, keine personenbezogenen Zusatzdaten.

Damit die Befragung nach Unterbrechung fortgesetzt werden kann, speichert der Energiecheck Ihre bisherigen Antworten über localStorage ausschließlich auf Ihrem Endgerät. Der Energiecheck existiert in zwei Varianten mit getrennter Speicherung (Schlüssel energieninja.energiecheck.v1 für „Privat", energieninja.energiecheck.firma.v1 für „Firma"). Zu den erfassten Angaben zählen je nach Variante z. B.:

• Privat: Angaben zum Gebäude (Wohnform, Fläche, Baujahr, Sanierung, Lage, optional Ort/PLZ), zum Haushalt (Anzahl Erwachsene/Kinder, Haustiere), zu Heizung, Warmwasser, Geräten, Wasch-/Trocknergewohnheiten, PV-Anlage usw.
• Firma: Branche, Mitarbeiter:innen-Zahl, Standorte, Gebäude-Eckdaten (Fläche, Baujahr, Sanierung), Betriebszeiten, Heizung/Lüftung/Klima, IT-Infrastruktur (Server, Workstations, Monitore, Drucker), Beleuchtung und -steuerung, Fuhrpark (Diesel/Benzin/PHEV/E-Auto, Kilometer, Wallboxen, Klimaticket, Geschäftsflüge), Küche/Kantine, PV-Anlage.

Die daraus berechneten Verbrauchs-, Kosten- und CO₂-Schätzungen verlassen Ihr Gerät ebenfalls nicht; die Berechnung findet komplett im Browser statt.

7.3 Variantenwahl (Privat / Firma)

Die Umschaltung zwischen der Privat- und der Firmenvariante wird über localStorage (Schlüssel energieninja.mode) ausschließlich auf Ihrem Endgerät gemerkt, damit die gewählte Variante beim nächsten Besuch erhalten bleibt. Es wird keinerlei Information darüber an uns oder Dritte übertragen.

Gemeinsames zu diesen Funktionen

Rechtsgrundlage für diese lokale Speicherung ist Art. 6 Abs. 1 lit. f DSGVO bzw. § 165 Abs. 3 TKG 2021 (Österreich) / § 25 Abs. 2 TTDSG (Deutschland) — unbedingt erforderliche Speicherung zur Bereitstellung einer vom Nutzer ausdrücklich gewünschten Funktion (Bestenliste, Fortschrittsspeicher, Variantenwahl). Es erfolgt keine Übertragung an uns oder Dritte. Sie können diese Daten jederzeit löschen: direkt in der jeweiligen Funktion („Bestenliste zurücksetzen" bzw. „Von vorn beginnen") oder über die Seitendaten-Verwaltung Ihres Browsers.

8. Benutzerkonten (Registrierung seit 22.04.2026)

Seit 22.04.2026 können Sie optional ein persönliches Konto anlegen. Nur damit werden später Ihre Energiecheck-Ergebnisse gespeichert, Energierechnungen hochgeladen, ausgewertet und anonyme Vergleiche mit anderen Nutzer:innen ermöglicht. Die Kernseite (Startseite, Tipps, Browserspiel, Energiecheck) funktioniert weiterhin ohne Konto.

8.1 Welche Daten wir speichern

• Pflicht: E-Mail-Adresse (als Login-Kennung), gehashtes Passwort (Argon2id, nicht reversibel), Kontotyp („Privat" oder „Firma"), Zeitpunkte der Registrierung und des letzten Logins.
• Freiwillig: angezeigter Name.
• Nur bei Firmen-Konten: Firmenname und — optional — UID/Firmenbuchnummer, NACE-Branchencode, Mitarbeiter:innen-Anzahl (VZÄ). Diese Angaben dienen der anonymen Benchmark-Berechnung (ab einer Mindestgröße von zehn vergleichbaren Betrieben pro Branche).
• Seit 22.04.2026 (Phase 3B): gespeicherte Energiecheck-Antworten — Ihre Eingaben im Schritt-für-Schritt-Verbrauchsschätzer. Werden pro Kontotyp getrennt (eine Fassung je „Privat" und je „Firma" möglich), sind jederzeit über die Schaltfläche „Von vorn beginnen" löschbar und werden beim Kontolöschen automatisch mit entfernt (ON DELETE CASCADE).
• Seit 25.04.2026: manuell erfasste „Eigene Geräte" (Bezeichnung, optional Marke/Modell, Watt, Stunden pro Tag, Tage pro Woche, Saison, freie Notizen) sowie ein „Anwesenheitsplan" (Stunden zu Hause Mo–Fr / Sa–So, optional Verlassen/Rückkehr-Uhrzeit, freie Notiz). Beides liegt in derselben Energiecheck-Submission und wird wie diese pro Kontotyp getrennt gespeichert.
• Seit 25.04.2026: Zählerstände (Wasser kalt/warm, Strom, Gas, Fernwärme, Sonstiges) — Wert + Einheit + Datum + optional Notiz und Kategorie („Rasen gegossen", „Pool eingelassen" usw.) und optional ein Foto des Zählers (PNG/JPG/WebP, max 8 MB). Foto und Wert werden ausschließlich in der EU gespeichert (Hetzner, Falkenstein) und beim Kontolöschen automatisch entfernt (ON DELETE CASCADE). Nutzer können einzelne Stände jederzeit selbst löschen.
• Ein technisches Authentifizierungs-Cookie (ej_access, Laufzeit 15 Minuten) und ein Refresh-Cookie (ej_refresh, Laufzeit 30 Tage). Beide sind HttpOnly, SameSite=Lax und über HTTPS Secure. Sie enthalten einen mit HMAC-SHA-256 signierten JSON-Web-Token, der ausschließlich Ihre Benutzer-ID + Zeitstempel enthält — kein Passwort, keine Profildaten.

8.2 Rechtsgrundlagen und Zweck

• Account-Anlage und Login: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags — ohne Konto keine Speicherung Ihrer Ergebnisse).
• Technische Authentifizierung via Cookies: Art. 6 Abs. 1 lit. b + § 165 Abs. 3 TKG 2021 (zwingend erforderlich zum Aufrechterhalten der Sitzung).
• Anonyme Benchmark-Daten (künftig): Art. 6 Abs. 1 lit. a DSGVO (getrennte Einwilligung beim jeweiligen Feature, jederzeit widerrufbar).

8.3 Aufbewahrung und Löschung

Ihr Konto bleibt solange bestehen, bis Sie es kündigen oder wir es wegen Inaktivität (> 24 Monate ohne Login) deaktivieren. Auf Wunsch löschen wir sämtliche personenbezogenen Daten binnen 30 Tagen; gesetzliche Aufbewahrungspflichten bei zahlungsrelevanten Belegen (ab Aktivierung der kostenpflichtigen Beta-Nachfolge, 7 Jahre nach § 132 BAO) bleiben davon unberührt und werden separat gespeichert.

8.4 Beta-Phase und künftige Kostenpflicht

Während der Beta-Phase ist die Konto-Nutzung für Privat- und Firmen-Accounts kostenlos. Für die darauffolgende Regelnutzung ist ein kostenpflichtiges Abonnement vorgesehen (Privat rund 24 € / Jahr, Firma rund 200 € / Jahr). Änderungen werden rechtzeitig per E-Mail an Ihre Konto-Adresse angekündigt; ein Weiterbetrieb erfolgt nur mit Ihrer ausdrücklichen Zustimmung (Art. 6 Abs. 1 lit. b DSGVO).

8.5 Übertragung an Dritte

Die Konto-Daten werden nicht an Dritte übermittelt. Hosting wie in Punkt 5 beschrieben (Hetzner, EU). Auftragsverarbeitung gemäß Art. 28 DSGVO besteht aktuell mit:

• Mistral AI SAS, Paris (Frankreich, EU): Texterkennung von hochgeladenen Energierechnungen sowie Bild-Auslesung von Zähler-Fotos (Vision-Modell „pixtral"). Übermittelt werden ausschließlich der Inhalt der jeweiligen Datei plus ein Hinweis auf den Zähler-Typ; keine Konto- oder Stamm­daten. Die Verarbeitung findet ohne Modell-Training auf Ihren Daten statt (Mistral-Privacy-Statement). Wenn Sie das nicht wünschen, können Sie den Wert manuell eintragen — das Foto wird dann nur lokal abgelegt und nicht an Mistral übermittelt.

Weitere Auftragsverarbeiter (Zahlungsdienstleister, EDA-Schnittstelle) werden hier ergänzt, sobald entsprechende Funktionen aktiviert sind.

9. Ihre Rechte

Sie haben nach der DSGVO die folgenden Rechte in Bezug auf die Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

Sie haben außerdem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig in Österreich ist die Datenschutzbehörde (dsb.gv.at), in Deutschland die jeweils für den Verantwortlichen zuständige Landesdatenschutzbehörde.

10. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald sich an den zugrunde liegenden Verarbeitungsvorgängen etwas ändert (etwa neue Funktionen oder eingesetzte Dienste). Die jeweils aktuelle Fassung ist über diese Seite abrufbar; das Datum am Anfang der Erklärung gibt den Stand wieder.