DSGVO Art. 13, 14
Datenschutzerklärung
Wir informieren transparent darüber, welche Daten verarbeitet werden, zu welchen Zwecken und auf welcher Rechtsgrundlage. Es findet kein Tracking statt; verwendet wird ausschließlich ein technisch notwendiges Login-Cookie.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung auf dieser Plattform im Sinne des Art. 4 Nr. 7 DSGVO ist:
Ein Datenschutzbeauftragter ist nicht bestellt, da die Schwellenwerte nach § 38 BDSG nicht erreicht sind (Pilotbetrieb, < 20 Personen mit Datenzugriff).
2. Welche Daten wir verarbeiten
Bei Nutzung der Plattform werden folgende Daten verarbeitet:
2.1 Bei jedem Seitenaufruf (Server-Logs)
- IP-Adresse des anfragenden Geräts (gekürzt nach 7 Tagen)
- Datum und Uhrzeit des Zugriffs
- Abgerufene URL und HTTP-Methode
- HTTP-Statuscode und Größe der Antwort
- Referrer-URL (falls vom Browser übermittelt)
- User-Agent-String (Browser-Kennung)
Diese Logs werden vom Reverse-Proxy (Caddy) erzeugt und dienen ausschließlich der Sicherheit, Fehlersuche und Erkennung von Missbrauch (z. B. Brute-Force-Angriffe).
2.2 Bei Registrierung / Anmeldung
- Benutzername (vom Betreiber vergeben)
- E-Mail-Adresse
- Passwort (nur als Argon2id-Hash gespeichert, nicht im Klartext)
- Anzeigename
- Gruppe (z. B. „admins“ oder „users“)
- Login-Zeitstempel und Login-Erfolg/Fehlversuche
Die Authentifizierung erfolgt lokal über die Software Authelia auf unserem Server – es findet keine Übertragung an Dritte statt.
2.3 Nutzungsdaten innerhalb der Plattform
Wir speichern keine Nutzungsdaten wie Klicks, Verweildauer, einzelne Suchanfragen oder ausgewählte Karten-Pins. Es findet kein Tracking oder Profiling statt.
3. Zwecke und Rechtsgrundlagen
| Zweck | Daten | Rechtsgrundlage |
|---|---|---|
| Bereitstellung der Plattform | Server-Logs | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: technischer Betrieb) |
| Authentifizierung | Username, E-Mail, Passwort-Hash, Session-Cookie | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung Pilot-Zugang) |
| Sicherheit / Missbrauchserkennung | IP, fehlgeschlagene Logins | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Sicherheit) |
| Kommunikation mit Nutzern | E-Mail-Adresse | Art. 6 Abs. 1 lit. b DSGVO (Pilot-Programm) |
4. Hosting und Auftragsverarbeitung
Die Plattform wird auf Servern der Hetzner Online GmbH in Deutschland (Rechenzentrum Falkenstein bzw. Nürnberg) betrieben. Anbieter:
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland
Datenschutz: hetzner.com/de/rechtliches/datenschutz
Mit Hetzner wurde ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen. Die Daten verlassen die EU nicht.
Die Domain cmdnrgx.com wird über die Strato AG verwaltet:
Strato AG
Pascalstraße 10
10587 Berlin
Deutschland
Datenschutz: strato.de/datenschutz
5. Cookies und lokale Speicherung
Die Plattform setzt ausschließlich technisch notwendige Cookies ein. Eine Einwilligung ist hierfür gemäß § 25 Abs. 2 Nr. 2 TTDSG nicht erforderlich.
| Cookie | Zweck | Lebensdauer |
|---|---|---|
authelia_session | Aufrechterhaltung der Login-Session | 12 Stunden (4 h bei Inaktivität) |
cxcx_cookie_notice | Merkt, dass der Hinweis-Banner bestätigt wurde | 180 Tage (LocalStorage) |
Es werden keine Tracking-, Analyse- oder Marketing-Cookies gesetzt. Es werden keine Drittanbieter-Skripte (Google Analytics, Facebook Pixel etc.) eingebunden.
6. Externe Datenquellen (Fachdaten)
Die in der Plattform angezeigten Anlagen-Daten stammen aus öffentlich zugänglichen Quellen und beziehen sich überwiegend auf juristische Personen (Betreiber-Gesellschaften). Wo ausnahmsweise natürliche Personen genannt sind (z. B. Einzelunternehmen als Anlagenbetreiber), erfolgt die Verarbeitung auf Grundlage des berechtigten Interesses an einem transparenten Marktüberblick (Art. 6 Abs. 1 lit. f DSGVO), wobei die Daten ohnehin in den genannten öffentlichen Registern abrufbar sind.
Genutzte Quellen u. a.:
- Marktstammdatenregister der Bundesnetzagentur (BNetzA)
- EEG-Stammdaten der Übertragungsnetzbetreiber (50Hertz, Amprion, TenneT, TransnetBW)
- dena Biogaspartner-Einspeiseatlas
- OpenStreetMap (ODbL 1.0)
- biogas.org Störfallregister (§ 12 BImSchV)
- Veröffentlichte Genehmigungsbescheide deutscher Behörden
- GIE/EBA European Biomethane Map
Betroffene Personen können der Anzeige ihrer Daten widersprechen (Art. 21 DSGVO) – Kontakt siehe oben. Daten werden auf Anfrage geprüft und ggf. entfernt.
6.1 Branchen-News (RSS) und Social-Media-Inhalte
Die Sektion „News“ zeigt aggregiert öffentliche RSS-Feeds aus der Energie- und Bioenergie-Fachpresse (z. B. EUWID, agrarheute, erneuerbareenergien.de). Die News werden vom Server abgerufen, lokal in einer SQLite-Datenbank gespeichert und ungekürzt mit Quellen-Link angezeigt. Es findet keine inhaltliche Weiterverarbeitung oder Profiling statt.
Optional zeigt die Plattform zusätzlich öffentliche Tweets von X (vormals Twitter), X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA. Der Abruf erfolgt server-seitig über die offizielle X-API mit einem Bearer-Token; eine Verbindung des End-Nutzers zu X-Servern findet auf der Plattform nicht statt (keine eingebetteten Skripte). Die abgerufenen Tweets werden lokal in einer SQLite-Datenbank zwischengespeichert.
Rechtsgrundlage für die Anzeige von News und Tweets: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer aktuellen Marktübersicht). Datentransfer USA für X-API: x.com/de/privacy. Twitter/X verfügt nach EU-US Data Privacy Framework über ein Angemessenheitsbeschluss-Zertifikat. Betroffene Personen können der Anzeige ihrer Inhalte widersprechen.
7. Weitergabe an Dritte
Eine Weitergabe Ihrer personenbezogenen Daten an Dritte findet nicht statt, ausgenommen sind:
- Hetzner Online GmbH als Auftragsverarbeiter (Hosting)
- Strato AG als Auftragsverarbeiter (Domain-Verwaltung)
- Auf Anordnung gerichtlicher oder behördlicher Anweisung
8. Speicherdauer
| Daten | Dauer |
|---|---|
| Server-Logs (IP, URL, Zeit) | 7 Tage rollierend, danach Anonymisierung |
| Auth-Logs (Erfolg/Fehler) | 30 Tage |
| Account-Daten | Bis Widerruf oder Beendigung des Pilot-Programms |
| Session-Cookie | max. 12 Stunden |
| Backups (Hetzner-Snapshots) | 14 Tage rollierend |
9. Technische und organisatorische Maßnahmen
- TLS 1.3 für alle Verbindungen (Let's Encrypt)
- Passwörter ausschließlich als Argon2id-Hash gespeichert
- Server-Zugang nur über SSH-Key (keine Passwort-Logins)
- Firewall (UFW) beschränkt offene Ports auf 22, 80, 443
- Brute-Force-Schutz im Login (Authelia: max. 3 Fehlversuche)
- HttpOnly + Secure + SameSite-Lax bei Session-Cookies
- Tägliche verschlüsselte Backups (Hetzner-Snapshots)
- Server-Standort innerhalb der EU (Deutschland)
10. Ihre Rechte
Sie haben jederzeit das Recht:
- Auskunft (Art. 15 DSGVO) über die zu Ihnen gespeicherten Daten
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- LöschungIhrer Daten (Art. 17 DSGVO, „Recht auf Vergessenwerden“)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
Zur Ausübung dieser Rechte genügt eine formlose Nachricht an info@cmdnrgx.com.
11. Beschwerderecht bei der Aufsichtsbehörde
Unbeschadet anderer Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist die Behörde am Sitz des Verantwortlichen (Berlin):
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
Telefon: +49 30 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Web: datenschutz-berlin.de
12. Änderungen dieser Erklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die rechtliche Lage ändert oder die Plattform technisch weiterentwickelt wird. Wesentliche Änderungen werden den registrierten Nutzern per E-Mail mitgeteilt.
Stand: 2026-05-16
Diese Erklärung basiert auf DSGVO (EU 2016/679), BDSG (2018), TTDSG (2021) und DDG (2024).