Datenschutzerklärung

Information gemäß Art. 13/14 DSGVO · Stand: 7. Mai 2026

Inhalt

Verantwortlicher
Zugriffsdaten / Server-Logfiles
Cookies, Sitzungs-Speicher, Tracking
Partner-Bereich (preise-partner.biegel24.de)
Admin-Bereich (preise-admin.biegel24.de)
Markt-Ansicht (preise.biegel24.de)
Self-Check: eigenes Angebot prüfen lassen
MCP-Schnittstelle (mcp-preise.biegel24.de)
Auftragsverarbeitung durch Anthropic (Claude)
Empfänger und Drittlandtransfer
Speicher- und Löschfristen
Ihre Rechte als Betroffene
Sicherheit der Verarbeitung
Änderungen dieser Erklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und sonstiger nationaler Datenschutzgesetze ist:

Marco Biegel
Ingenieurbüro Marco Biegel
Strackgasse 14
65520 Bad Camberg
Telefon: 0151 529 110 42
E-Mail: info@energieberatung-biegel.de

Ein/e Datenschutzbeauftragte/r ist gesetzlich nicht erforderlich (§ 38 BDSG).

2. Zugriffsdaten / Server-Logfiles

Beim Aufruf dieser Webseiten werden durch den eingesetzten Reverse-Proxy (Traefik) und die Anwendung folgende Daten verarbeitet, soweit sie für den technischen Betrieb erforderlich sind:

Datum und Uhrzeit des Aufrufs
angeforderte URL und HTTP-Statuscode
HTTP-Methode und übertragene Datenmenge
verwendeter Browser/User-Agent (sofern vom Browser übermittelt)
Quell-IP-Adresse (für die Dauer der Bearbeitung der Anfrage)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Sicherstellung der Verfügbarkeit und Sicherheit, Abwehr von Angriffen, Fehlersuche.

Logfiles mit IP-Adresse werden spätestens nach 14 Tagen automatisch rotiert/gelöscht.

3. Cookies, Sitzungs-Speicher, Tracking

Auf der öffentlichen Markt-Ansicht (preise.biegel24.de) werden keine Cookies und kein Tracking eingesetzt. Es findet weder Webanalyse statt, noch werden externe Schriftarten, Karten oder CDNs eingebunden.

Auf den geschützten Bereichen preise-partner.biegel24.de und preise-admin.biegel24.de wird ein technisch erforderliches Sitzungs-Cookie der Authentifizierungs-Komponente „Authelia" gesetzt, um den Login-Zustand zu halten. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich, kein Einwilligungserfordernis) i.V.m. Art. 6 Abs. 1 lit. f DSGVO.

4. Partner-Bereich (preise-partner.biegel24.de)

Zugang ausschließlich für eingeladene Geschäftspartner mit Zwei-Faktor-Login (Authelia, LDAP-Gruppe „eee-partner"). Hier verarbeitet werden:

Login-Daten der Partner (Benutzername, ggf. Klarname laut LDAP-Verzeichnis)
von Partnern hochgeladene Angebots-PDFs einschließlich der dort enthaltenen Klardaten (Auftraggeber, Auftraggeber-Anschrift, Anbieter, Anbieter-Anschrift, Preise, Leistungsbeschreibungen)
Job-Verlauf (Datum, Status, Ergebnis der automatischen Extraktion)

Zwecke: Aufbau der Marktdatenbank (Anonymisierung erfolgt serverseitig, siehe Abschnitt 6) sowie Job-Nachverfolgung durch den Partner.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO (vertragliche bzw. vertragsähnliche Beziehung mit Partnern, berechtigtes Interesse an einer belastbaren Marktdatenbank).

Das Verhältnis zwischen Partner und Auftragsverarbeiter ist in einer digital im Partner-Bereich abzuschließenden Auftragsverarbeitungs-Vereinbarung (AVV) nach Art. 28 DSGVO geregelt. Solange die AVV nicht akzeptiert ist, sind Uploads technisch gesperrt.

5. Admin-Bereich (preise-admin.biegel24.de)

Nur für den Verantwortlichen zugänglich (Authelia 2FA, LDAP-Gruppe „eee-admin"). Hier werden zusätzlich verarbeitet: erstellte Markt-Tokens (Bezeichnung, Erstellungs-/Ablaufdatum, letzte Nutzung), erstellte MCP-Tokens, Worker-Steuerung. Personenbezogene Daten Dritter werden in diesem Bereich nicht zusätzlich erhoben.

6. Markt-Ansicht (preise.biegel24.de)

Die Markt-Ansicht ist nur über einen vom Verantwortlichen bzw. von Geschäftspartnern erzeugten Token (URL-Parameter ?t=…) erreichbar. Sie zeigt ausschließlich anonymisierte und aggregierte Marktdaten.

Vor Auslieferung an die Markt-Ansicht filtert ein serverseitiger Whitelist-Mechanismus alle Datensätze: Klarnamen von Anbietern und Auftraggebern, Anschriften, Telefon-/E-Mail-Daten und freie Kommentare werden nicht ausgeliefert. Anbieter und Projekte erhalten ausschließlich pauschale Pseudonyme („Anbieter A", „Projekt 12") oder werden vollständig weggelassen.

Wer einen Markt-Token nutzt, wird im System zur Sicherheits- und Auswertungs-Zwecken protokolliert (Token-Bezeichnung, Zeitpunkt der letzten Nutzung). IP-Adressen oder Klarnamen des Token-Nutzers werden dabei nicht gespeichert.

7. Self-Check: eigenes Angebot prüfen lassen

Hinweis: Der Self-Check für Endkundinnen und Endkunden ist derzeit deaktiviert. Wir aktivieren ihn erst, wenn die vertraglichen Voraussetzungen für die KI-gestützte Verarbeitung (siehe Abschnitt 9) für Endkunden-Uploads vollständig erfüllt sind. Auf der Markt-Ansicht ist die Funktion deshalb mit einem Hinweis „in Vorbereitung" sichtbar; ein Hochladen ist nicht möglich. Es werden derzeit keine Endkunden-Daten über diesen Weg verarbeitet.

Sobald die Funktion freigeschaltet wird, werden Endkundinnen und Endkunden vor dem Hochladen ausdrücklich über Daten, Empfänger und Speicherfristen informiert und müssen einwilligen (Art. 6 Abs. 1 lit. a DSGVO, jederzeit widerrufbar). Diese Erklärung wird vorher entsprechend aktualisiert.

8. MCP-Schnittstelle (mcp-preise.biegel24.de)

Über die MCP-Schnittstelle können Geschäftspartner mittels eines vom Verantwortlichen oder im Partner-Bereich selbst erzeugten Bearer-Tokens auf dieselben anonymisierten Marktdaten zugreifen wie über die Markt-Ansicht. Es werden lediglich Token-Bezeichnung, Erstell- und letzte Nutzungs-Zeit protokolliert. Es findet keine Übermittlung von Klardaten Dritter statt.

9. Einsatz eines KI-Sprachmodells (Anthropic Claude)

Wichtiger Hinweis: Zur automatischen Strukturierung der hochgeladenen Angebots-PDFs setzen wir das KI-Sprachmodell „Claude" des Anbieters Anthropic PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA, ein. Hierfür werden die PDFs bzw. ihr extrahierter Text an Anthropic übermittelt. Es erfolgt eine Übermittlung in ein Drittland (USA).

Geltungsbereich: Diese Verarbeitung betrifft derzeit ausschließlich Angebote, die von unseren Geschäftspartnern über den Partner-Bereich hochgeladen werden. Endkunden-Uploads über den Self-Check-Pfad sind, wie in Abschnitt 7 beschrieben, derzeit nicht aktiv.

Verantwortlichkeit bei Partner-Uploads: Geschäftspartner, die ein Angebot hochladen, verarbeiten in der Regel eigene Auftragsdaten (z.B. Angebote, die ihnen selbst von Subunternehmen vorgelegt wurden) auf eigener vertraglicher Grundlage gegenüber ihren Kundinnen und Kunden. Die Geschäftspartner sind in diesem Verhältnis selbst Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO; das Ingenieurbüro Biegel handelt insoweit als Auftragsverarbeiter und hat dies in einer Partner-/Auftragsverarbeitungs- Vereinbarung geregelt.

Drittlandtransfer: Die Übermittlung an Anthropic erfolgt auf Grundlage des EU-US Data Privacy Frameworks, dem Anthropic beigetreten ist (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023), bzw. ergänzend auf Grundlage von Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Anthropic verpflichtet sich in seinen Nutzungsbedingungen, Eingabedaten nicht zum Training seiner Modelle zu verwenden.

10. Empfänger und Drittlandtransfer

Empfänger	Sitz	Zweck	Grundlage
Anthropic PBC	USA	KI-gestützte PDF-Extraktion (nur Partner-Uploads, siehe Abschnitt 9)	EU-US DPF, ggf. SCC
Hosting-Server	Deutschland	Betrieb der Anwendung	eigener Server des Verantwortlichen, kein externer Hoster

Eine Weitergabe an weitere Empfänger findet nicht statt, sofern nicht eine gesetzliche Pflicht besteht.

11. Speicher- und Löschfristen

Datenkategorie	Frist
Server-Logfiles mit IP	max. 14 Tage
Original-PDFs aus Self-Check (Markt-Domain)	derzeit nicht aktiv (siehe Abschnitt 7)
Original-PDFs aus Partner-Upload	solange für Marktdaten-Pflege erforderlich; auf Widerspruch des Partners (Art. 17 DSGVO) Löschung der Datei und – auf Wunsch – Anonymisierung des Datensatzes innerhalb von 14 Tagen
Anonymisierte Marktdaten in der Datenbank	unbefristet (kein Personenbezug); auf ausdrückliches Verlangen des Partners auch vollständige Löschung des Datensatzes
Audit-Log über Logins/Aktionen	90 Tage
Markt-/MCP-Tokens (Metadaten)	bis zum Widerruf bzw. zum Ablauf

12. Ihre Rechte als Betroffene

Sie haben jederzeit das Recht auf:

Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
Berichtigung unrichtiger Daten (Art. 16 DSGVO)
Löschung („Recht auf Vergessenwerden") nach Art. 17 DSGVO
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Anfragen bitte formlos an die in Abschnitt 1 genannte E-Mail-Adresse. Außerdem haben Sie das Beschwerderecht bei einer Aufsichtsbehörde, in Hessen z. B.:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 31 63, 65021 Wiesbaden · datenschutz.hessen.de

13. Sicherheit der Verarbeitung

Alle Subdomains werden ausschließlich über TLS/HTTPS ausgeliefert. Die geschützten Bereiche „Partner" und „Admin" sind durch Zwei-Faktor-Authentifizierung gesichert. Original-PDFs werden in einem zugriffsbeschränkten Volume des Servers gespeichert und nicht öffentlich geteilt.

14. Änderungen dieser Erklärung

Diese Datenschutzerklärung wird bei Änderungen der angebotenen Funktionen oder der eingesetzten Verarbeitungs-Werkzeuge aktualisiert. Es gilt jeweils die Fassung mit dem oben angegebenen Stand-Datum.