Datenschutz-Übersicht für Partner

Architektur, Verantwortlichkeiten und Pflichten beim Einsatz der Sanierungspreise-Plattform.

Stand: 8. Mai 2026 · gilt zusammen mit der Datenschutzerklärung und der Auftragsverarbeitungs-Vereinbarung.

Diese Seite ist als Information für Partner gedacht — gerne ausdrucken oder als E-Mail-Anhang verwenden.

Inhalt

Wer ist wofür verantwortlich?
Drei Web-Sichten — was wer sieht
Was verlässt deinen Account zu Anthropic?
Was Partner gegenüber Endkunden tun müssen
Was technisch eingebaut ist
Pflichtdokumente
Was bewusst nicht geht
E-Mail-Vorlage Partner-Onboarding

1. Wer ist wofür verantwortlich?

Endkunde (z.B. Familie Müller) │ │ überlässt Angebot ▼ ┌──────────────────────────────────┐ │ Partner = Verantwortlicher │ ◄── DSGVO-rechtlich │ (Energieberatung XY) │ verantwortlich gegenüber └──────────────────────────────────┘ dem Endkunden │ │ lädt PDF hoch ▼ ┌──────────────────────────────────┐ │ Sanierungspreise-Plattform │ ◄── verarbeitet im │ = Auftragsverarbeiter │ Auftrag des Partners, │ (Ingenieurbüro Biegel) │ geregelt in der AVV └──────────────────────────────────┘ │ │ Strukturierung der Daten ▼ ┌──────────────────────────────────┐ │ Anthropic (KI-Sprachmodell) │ ◄── vom Partner mit │ = Sub-Auftragsverarbeiter │ AVV-Annahme │ (USA, EU-US DPF) │ genehmigt └──────────────────────────────────┘

Konsequenz: Der Partner ist DSGVO-Hauptverantwortlicher gegenüber seinen Endkunden. Das Ingenieurbüro Biegel verarbeitet ausschließlich im Auftrag des Partners — und Anthropic ist dem Partner über die AVV als Sub-Auftragsverarbeiter offengelegt.

2. Drei Web-Sichten — was wer sieht

Sicht	URL	Wer kommt hin?	Was wird angezeigt?
Admin	preisindex-admin.biegel24.de	nur Marco (Authelia 2FA)	alles inkl. Klarnamen + Original-PDFs
Partner	preisindex-partner.biegel24.de	dein Account (Authelia 2FA)	nur deine Angebote mit Klarnamen, Bewertung als HTML-Ansicht (kein PDF)
Kunden	preisindex.biegel24.de oder deine Custom-Domain	Endkunde mit Token-Link	anonymisiert — nur Marktstatistik, keine Anbieter-/Auftraggeber-Namen, keine Adressen

Auf der Kunden-Sicht steht oben rechts ein „Kunden-Ansicht"-Badge zur Klarstellung. Auf der Partner-Sicht steht analog „Partner-Ansicht".

3. Was verlässt deinen Account zu Anthropic?

Heute (Partner-Upload-Pfad):

Beim PDF-Upload geht der Volltext (oder das PDF) an Claude in den USA, damit die Maschine daraus strukturierte Felder extrahiert (Anbieter, Maßnahme, Preis, Mengen).
Übermittlungs-Grundlage: EU-US Data Privacy Framework (Anthropic ist beigetreten) plus Standardvertragsklauseln nach Art. 46 DSGVO.
„No-Train"-Bedingung: laut Anthropic-AGB werden Inhalte nicht zum Training der Modelle verwendet.
Nach Extraktion: Daten landen in unserer Datenbank, Original-PDF im zugriffsbeschränkten Storage auf einem deutschen Server.

Endkunden-Self-Check existiert nicht. Wir bieten Endkunden keinen direkten Upload-Pfad — alle Angebote kommen über Partner-Accounts. Das schützt Endkunden, weil sie nicht selbst aktiv mit Anthropic ins Geschäft kommen.

4. Was Partner gegenüber Endkunden tun müssen

Drei Pflichten ergeben sich aus dem AVV-Konstrukt:

Eigene Datenschutzerklärung ergänzen. Hinweis aufnehmen, dass Angebotsdaten zur Marktanalyse an einen Auftragsverarbeiter (Ingenieurbüro Biegel) und dessen Sub-AV (Anthropic, USA) übermittelt werden.
Rechtsgrundlage sichern. Üblicherweise Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO (das Angebot ist Teil deiner Beratungsleistung) oder berechtigtes Interesse nach lit. f. Wenn das nicht greift: Einwilligung des Endkunden einholen.
Auf Auskunft- und Löschantragsrechte reagieren. Wenn dein Endkunde sein Recht aus Art. 17 ausübt, schickst du Marco eine E-Mail mit Partner-Account und Angebot-ID — wir löschen dann die Original-PDF und anonymisieren die Klarnamen aus der Datenbank innerhalb von 14 Tagen.

5. Was technisch eingebaut ist

Schutzmechanismus	Wo?
Whitelist-Anonymisierung der Markt-Sicht	Server-seitig — kein Klarname rutscht in die Kundensicht
TLS 1.3 für alle Domains, automatische Cert-Erneuerung	Traefik + Let's Encrypt
Authelia 2FA für Admin- und Partner-Bereich	nicht-essentielle Cookies werden nicht gesetzt
AVV-Akzeptanz digital, mit Datum + IP gespeichert	Partner-Bereich; Banner blockiert Upload bis akzeptiert
Daten-Isolation zwischen Partnern	Partner sehen nur eigene Jobs, eigene Markt-/MCP-Tokens
Audit-Log mit 90-Tage-Retention	DSGVO-Nachweispflicht, automatisch gepflegt
Server-Logfiles mit IP: max. 14 Tage	Datenschutzerklärung Abschnitt 2
Rate-Limit auf Token-Erstellung	Brute-Force- und Missbrauchsschutz
Lösch-CLI mit drei Stufen (PDF / Anonymisieren / Vollständig)	für Art-17-Anfragen
Whitelabel-Custom-Domain	Endkunde sieht nur Partner-Branding (freiwillig pro Partner)

6. Pflichtdokumente — alle live

Impressum (§ 5 TMG) — auf jeder Seite verlinkt: /impressum
Datenschutzerklärung (Art. 13/14 DSGVO) — /datenschutz: Verantwortlicher, Logfiles, Cookies, Verarbeitungen pro Subdomain, Anthropic als Sub-AV mit DPF/SCC, Speicherfristen, Betroffenenrechte, Beschwerderecht beim Hessischen Datenschutzbeauftragten.
Auftragsverarbeitungs-Vereinbarung (AVV) (Art. 28 DSGVO) — /avv: Vertragstext mit 10 Paragraphen — Vertragsparteien, Gegenstand, Datenarten, beidseitige Pflichten, technische und organisatorische Maßnahmen nach Art. 32, Sub-AV Anthropic mit Drittlandtransfer-Grundlagen, Audit-Recht, Haftung.

Die AVV gilt jeweils in der dort angezeigten Version (aktuell 2026-05); bei Anpassungen muss der Partner digital erneut akzeptieren bevor er weitere Uploads tätigen kann.

7. Was bewusst nicht geht

Endkunden-Self-Check: deaktiviert (Datenschutzerklärung Abschnitt 7). Es gibt keinen vertraglichen Rahmen mit Endkunden, der den Anthropic-Einsatz auf deren Daten direkt absichern würde. Wenn du dem Endkunden eine Markt-Einschätzung geben willst, lädst du das Angebot in deinem Partner-Account hoch und schickst die Schnellcheck-E-Mail (📧 in der Job-Tabelle) — das passiert dann sauber unter deiner Verantwortlichkeit.

Klarnamen aus dem Markt-View ableitbar: Auch über Verlauf, Dokumenttyp oder andere Heuristiken sollten Endkunden nicht zurückrechnen können wer welcher Anbieter war. Das wird über Whitelist-Filterung und das vollständige Stripping aller name_intern- und anon_id-Felder vor Auslieferung sichergestellt.

8. E-Mail-Vorlage Partner-Onboarding

Diesen Text kannst du als Vorlage nutzen, wenn du einen neuen Partner einlädst — gerne anpassen.

Liebe/r [Partnername],

bevor du auf preisindex-partner.biegel24.de Angebote hochlädst, drei Punkte zur DSGVO-Konformität:

AVV digital akzeptieren: Beim ersten Login erscheint ein Banner mit der Auftragsverarbeitungs-Vereinbarung. Bitte lesen und akzeptieren — sonst ist der Upload technisch gesperrt. Damit genehmigst du auch den Sub-AV Anthropic in den USA.

Eigene Datenschutzerklärung ergänzen: Bitte einen kurzen Absatz aufnehmen, dass Angebotsdaten zur Marktanalyse an Ingenieurbüro Biegel als Auftragsverarbeiter und an Anthropic (USA, EU-US Data Privacy Framework) als Sub-AV übermittelt werden. Vorlage-Text kann ich dir auf Wunsch schicken.

Rechtsgrundlage für deine Endkunden klären: Du bist Verantwortlicher. Üblicherweise Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO; bitte selbst einschätzen oder Datenschutz-Anwalt fragen.

Im Partner-Bereich kannst du außerdem dein eigenes Branding (Logo, Farbe, Anzeigename) für Markt-Links setzen — dann sehen deine Endkunden deine Marke statt „Ingenieurbüro Biegel". Optional auch eine eigene Subdomain (z.B. marktpreise.deinedomain.de) via CNAME-Eintrag bei deinem DNS-Anbieter.

Eine ausführliche Übersicht zum Datenschutz findest du unter /partner-info.

Viele Grüße
Marco Biegel

Fragen?

Bei Unsicherheiten zu Datenschutz, AVV oder Whitelabel-Setup einfach eine kurze Mail an info@energieberatung-biegel.de — wir klären das gemeinsam, bevor du Endkunden-Daten hochlädst.