Datenschutz-Übersicht für Partner

Architektur, Verantwortlichkeiten und Pflichten beim Einsatz der Sanierungspreise-Plattform.
Stand: 8. Mai 2026 · gilt zusammen mit der Datenschutzerklärung und der Auftragsverarbeitungs-Vereinbarung.
Diese Seite ist als Information für Partner gedacht — gerne ausdrucken oder als E-Mail-Anhang verwenden.
Inhalt
  1. Wer ist wofür verantwortlich?
  2. Drei Web-Sichten — was wer sieht
  3. Was verlässt deinen Account zu Anthropic?
  4. Was Partner gegenüber Endkunden tun müssen
  5. Was technisch eingebaut ist
  6. Pflichtdokumente
  7. Was bewusst nicht geht
  8. REST-API / MCP-Zugang
  9. E-Mail-Vorlage Partner-Onboarding

1. Wer ist wofür verantwortlich?

Endkunde (z.B. Familie Müller) │ │ überlässt Angebot ▼ ┌──────────────────────────────────┐ │ Partner = Verantwortlicher │ ◄── DSGVO-rechtlich │ (Energieberatung XY) │ verantwortlich gegenüber └──────────────────────────────────┘ dem Endkunden │ │ lädt PDF hoch ▼ ┌──────────────────────────────────┐ │ Sanierungspreise-Plattform │ ◄── verarbeitet im │ = Auftragsverarbeiter │ Auftrag des Partners, │ (Ingenieurbüro Biegel) │ geregelt in der AVV └──────────────────────────────────┘ │ │ Strukturierung der Daten ▼ ┌──────────────────────────────────┐ │ Anthropic (KI-Sprachmodell) │ ◄── vom Partner mit │ = Sub-Auftragsverarbeiter │ AVV-Annahme │ (USA, EU-US DPF) │ genehmigt └──────────────────────────────────┘

Konsequenz: Der Partner ist DSGVO-Hauptverantwortlicher gegenüber seinen Endkunden. Das Ingenieurbüro Biegel verarbeitet ausschließlich im Auftrag des Partners — und Anthropic ist dem Partner über die AVV als Sub-Auftragsverarbeiter offengelegt.

2. Drei Web-Sichten — was wer sieht

SichtURLWer kommt hin?Was wird angezeigt?
Admin preisindex-admin.biegel24.de nur Marco (Authelia 2FA) alles inkl. Klarnamen + Original-PDFs
Partner preisindex-partner.biegel24.de dein Account (Authelia 2FA) nur deine Angebote mit Klarnamen, Bewertung als HTML-Ansicht (kein PDF)
Kunden preisindex.biegel24.de oder deine Custom-Domain Endkunde mit Token-Link anonymisiert — nur Marktstatistik, keine Anbieter-/Auftraggeber-Namen, keine Adressen

Auf der Kunden-Sicht steht oben rechts ein „Kunden-Ansicht"-Badge zur Klarstellung. Auf der Partner-Sicht steht analog „Partner-Ansicht".

3. Was verlässt deinen Account zu Anthropic?

Heute (Partner-Upload-Pfad):
Endkunden-Self-Check existiert nicht. Wir bieten Endkunden keinen direkten Upload-Pfad — alle Angebote kommen über Partner-Accounts. Das schützt Endkunden, weil sie nicht selbst aktiv mit Anthropic ins Geschäft kommen.

4. Was Partner gegenüber Endkunden tun müssen

Drei Pflichten ergeben sich aus dem AVV-Konstrukt:

  1. Eigene Datenschutzerklärung ergänzen. Hinweis aufnehmen, dass Angebotsdaten zur Marktanalyse an einen Auftragsverarbeiter (Ingenieurbüro Biegel) und dessen Sub-AV (Anthropic, USA) übermittelt werden.
  2. Rechtsgrundlage sichern. Üblicherweise Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO (das Angebot ist Teil deiner Beratungsleistung) oder berechtigtes Interesse nach lit. f. Wenn das nicht greift: Einwilligung des Endkunden einholen.
  3. Auf Auskunft- und Löschantragsrechte reagieren. Wenn dein Endkunde sein Recht aus Art. 17 ausübt, schickst du Marco eine E-Mail mit Partner-Account und Angebot-ID — wir löschen dann die Original-PDF und anonymisieren die Klarnamen aus der Datenbank innerhalb von 14 Tagen.

5. Was technisch eingebaut ist

SchutzmechanismusWo?
Whitelist-Anonymisierung der Markt-Sicht Server-seitig — kein Klarname rutscht in die Kundensicht
TLS 1.3 für alle Domains, automatische Cert-Erneuerung Traefik + Let's Encrypt
Authelia 2FA für Admin- und Partner-Bereich nicht-essentielle Cookies werden nicht gesetzt
AVV-Akzeptanz digital, mit Datum + IP gespeichert Partner-Bereich; Banner blockiert Upload bis akzeptiert
Daten-Isolation zwischen Partnern Partner sehen nur eigene Jobs, eigene Markt-/MCP-Tokens
Audit-Log mit 90-Tage-Retention DSGVO-Nachweispflicht, automatisch gepflegt
Server-Logfiles mit IP: max. 14 Tage Datenschutzerklärung Abschnitt 2
Rate-Limit auf Token-Erstellung Brute-Force- und Missbrauchsschutz
Lösch-CLI mit drei Stufen (PDF / Anonymisieren / Vollständig) für Art-17-Anfragen
Whitelabel-Custom-Domain Endkunde sieht nur Partner-Branding (freiwillig pro Partner)

6. Pflichtdokumente — alle live

Die AVV gilt jeweils in der dort angezeigten Version (aktuell 2026-05); bei Anpassungen muss der Partner digital erneut akzeptieren bevor er weitere Uploads tätigen kann.

7. Was bewusst nicht geht

Endkunden-Self-Check: deaktiviert (Datenschutzerklärung Abschnitt 7). Es gibt keinen vertraglichen Rahmen mit Endkunden, der den Anthropic-Einsatz auf deren Daten direkt absichern würde. Wenn du dem Endkunden eine Markt-Einschätzung geben willst, lädst du das Angebot in deinem Partner-Account hoch und schickst die Schnellcheck-E-Mail (📧 in der Job-Tabelle) — das passiert dann sauber unter deiner Verantwortlichkeit.
Klarnamen aus dem Markt-View ableitbar: Auch über Verlauf, Dokumenttyp oder andere Heuristiken sollten Endkunden nicht zurückrechnen können wer welcher Anbieter war. Das wird über Whitelist-Filterung und das vollständige Stripping aller name_intern- und anon_id-Felder vor Auslieferung sichergestellt.

8. REST-API / MCP-Zugang

Wer programmatisch (Python, Excel, Power BI, eigene Apps) auf die Markt-Daten zugreifen will, hat zwei Wege:

9. E-Mail-Vorlage Partner-Onboarding

Diesen Text kannst du als Vorlage nutzen, wenn du einen neuen Partner einlädst — gerne anpassen.

Liebe/r [Partnername],

bevor du auf preisindex-partner.biegel24.de Angebote hochlädst, drei Punkte zur DSGVO-Konformität:

  1. AVV digital akzeptieren: Beim ersten Login erscheint ein Banner mit der Auftragsverarbeitungs-Vereinbarung. Bitte lesen und akzeptieren — sonst ist der Upload technisch gesperrt. Damit genehmigst du auch den Sub-AV Anthropic in den USA.
  2. Eigene Datenschutzerklärung ergänzen: Bitte einen kurzen Absatz aufnehmen, dass Angebotsdaten zur Marktanalyse an Ingenieurbüro Biegel als Auftragsverarbeiter und an Anthropic (USA, EU-US Data Privacy Framework) als Sub-AV übermittelt werden. Vorlage-Text kann ich dir auf Wunsch schicken.
  3. Rechtsgrundlage für deine Endkunden klären: Du bist Verantwortlicher. Üblicherweise Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO; bitte selbst einschätzen oder Datenschutz-Anwalt fragen.

Im Partner-Bereich kannst du außerdem dein eigenes Branding (Logo, Farbe, Anzeigename) für Markt-Links setzen — dann sehen deine Endkunden deine Marke statt „Ingenieurbüro Biegel". Optional auch eine eigene Subdomain (z.B. marktpreise.deinedomain.de) via CNAME-Eintrag bei deinem DNS-Anbieter.

Eine ausführliche Übersicht zum Datenschutz findest du unter /partner-info.

Viele Grüße
Marco Biegel

Fragen?

Bei Unsicherheiten zu Datenschutz, AVV oder Whitelabel-Setup einfach eine kurze Mail an info@energieberatung-biegel.de — wir klären das gemeinsam, bevor du Endkunden-Daten hochlädst.