Datenschutzerklärung
Stand: 12. Juni 2026
- Verantwortlicher & Kontakt
- Begriffsbestimmungen
- Hosting & Serverdaten
- Kontaktaufnahme
- Prüfungs-Anfrageformular
- Persönlicher Angebotsbereich & eIDAS-Signatur
- KI-gestützte Verarbeitung
- Cookies & lokaler Speicher
- Schriftarten und externe Dienste
- Datensicherheit
- Ihre Rechte als betroffene Person
- Änderungen dieser Erklärung
1. Verantwortlicher & Kontakt
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:
JM Energy Consulting
Inhaberin: Jessica Mauch
Am Dümpel 2
18184 Thulendorf
Telefon: +49 151 44522333
E-Mail: hallo@jmenergyconsulting.de
Wir nehmen den Schutz Ihrer personenbezogenen Daten ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften (DSGVO, BDSG) sowie dieser Datenschutzerklärung.
2. Begriffsbestimmungen
Diese Datenschutzerklärung verwendet die in der DSGVO definierten Begrifflichkeiten (siehe Art. 4 DSGVO), insbesondere "personenbezogene Daten", "Verarbeitung", "Verantwortlicher" und "Einwilligung".
3. Hosting & Serverdaten
Diese Website wird über Cloudflare Pages bereitgestellt:
Cloudflare, Inc.
101 Townsend Street
San Francisco, CA 94107, USA
Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag (Standardvertragsklauseln gemäß Art. 46 DSGVO). Die DNS-Verwaltung der Domain erfolgt über die Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin.
Beim Aufruf unserer Website erhebt der Hosting-Provider in sogenannten Server-Logfiles automatisch Informationen, die Ihr Browser übermittelt. Dies sind:
- Browsertyp und -version
- verwendetes Betriebssystem
- Referrer URL
- Hostname des zugreifenden Rechners
- Uhrzeit der Serveranfrage
- IP-Adresse (gekürzt / anonymisiert)
Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch fehlerfreien Darstellung und Sicherheit der Website). Die Daten werden nach 7 Tagen automatisch gelöscht, sofern kein Sicherheitsvorfall eine längere Speicherung erfordert.
4. Kontaktaufnahme
Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben (Name, E-Mail-Adresse, Inhalt der Nachricht) ausschließlich zur Bearbeitung Ihrer Anfrage verarbeitet. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage).
Speicherdauer: Wir löschen Ihre Anfrage, sobald sie nicht mehr erforderlich ist. Handelsrechtliche und steuerrechtliche Aufbewahrungspflichten bleiben unberührt.
Online-Terminbuchung
Über unsere Buchungsseite können Sie online einen Gesprächstermin reservieren. Dabei verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, gegebenenfalls Telefonnummer und Anliegen) sowie den gewählten Termin. Die Daten werden in unserer Terminverwaltung gespeichert (Datenbank-Hosting: Supabase, Verarbeitung auf Grundlage eines Auftragsverarbeitungs-Vertrags). Die Terminbestätigung versenden wir über den E-Mail-Dienst Resend (siehe unten). Zusätzlich erhalten wir eine interne Benachrichtigung über den neuen Termin über den Dienst Pushover (Superblock, LLC, USA); dabei werden Name und Terminzeit übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen auf Ihre Anfrage). Speicherdauer: bis zur Erledigung des Termins und Ablauf etwaiger Folgefristen.
5. Prüfungs-Anfrageformular
Auf der Seite /pruefung bieten wir ein Online-Formular zur Einreichung von PV-Projekten zur unabhängigen Prüfung an. Folgende Daten werden dabei verarbeitet:
- Pflichtangaben: Name, E-Mail-Adresse, Projektbezeichnung, Standort, Anlagenleistung, Projektphase
- Optional: Telefonnummer, Unternehmensbezeichnung, weitere Projektdetails, hochgeladene Unterlagen
Zweck: Bearbeitung Ihrer Prüfanfrage, Erstellung eines Angebots und ggf. Durchführung der Prüfung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen / Vertragsanbahnung).
Speicherdauer: Anfrage- und ggf. Vertragsdaten werden für die Dauer der Geschäftsbeziehung sowie zur Erfüllung gesetzlicher Aufbewahrungspflichten (handels- und steuerrechtlich) aufbewahrt. Anfragen, die nicht zu einem Vertrag führen, werden spätestens nach 24 Monaten gelöscht.
Auftragsverarbeiter: Die Daten werden in einer Datenbank des Anbieters Supabase, Inc. (970 Toa Payoh North #07-04, Singapore 318992; bzw. dessen verbundenen Unternehmen) gespeichert. Mit Supabase besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum). Die Datenspeicherung erfolgt auf Servern in der Europäischen Union (Region: Frankfurt). Soweit Datentransfers in Drittländer erfolgen, sind diese durch Standardvertragsklauseln gemäß Art. 46 DSGVO abgesichert.
Eine Übermittlung Ihrer Daten an weitere Dritte erfolgt nur, soweit dies zur Vertragsdurchführung erforderlich ist (z. B. an externe Fachgutachter im Rahmen der Prüfung) und Sie hierüber gesondert informiert wurden bzw. eingewilligt haben.
6. Persönlicher Angebotsbereich & eIDAS-Signatur
Für die Übermittlung individuell erstellter Angebote betreiben wir einen geschützten Online-Bereich unter jmenergyconsulting.de/angebot. Pro Empfänger erzeugen wir einen persönlichen Zugang. Dabei verarbeiten wir folgende Daten:
- Zugangsdaten: Wir erzeugen pro Angebot einen kryptografischen Token (32 Byte) und einen sechsstelligen Zugangscode (OTP). In unserer Datenbank speichern wir ausschließlich SHA-256-Hashes — die Klartextwerte verlassen unser System nur einmalig über die Versand-E-Mail an den benannten Empfänger.
- Empfängerdaten: Name, E-Mail-Adresse, Unternehmensbezeichnung und Anrede, soweit von Ihnen mitgeteilt oder zur Vertragsanbahnung erforderlich.
- Zugriffs-Protokoll: Beim Aufruf der Angebotsseite erfassen wir IP-Adresse, Browser/User-Agent und Zeitstempel zur Beweissicherung des Zugriffs und zur Missbrauchserkennung (Tabelle angebot_aufrufe).
- Bemerkungen und Bausteinwahl: Eingaben in den Anmerkungs-Feldern, Fragen im Q&A-Thread und die individuelle Auswahl angebotener Bausteine werden automatisch zwischengespeichert.
- Elektronische Signatur (eIDAS Art. 25): Mit der Vertragsannahme erfassen wir das von Ihnen handschriftlich erzeugte Signaturbild (PNG, Base64), Name und Funktion der unterzeichnenden Person, E-Mail-Adresse, Zeitstempel in UTC sowie IP-Adresse und User-Agent. Diese Angaben dienen ausschließlich der Beweissicherung der Vertragsannahme nach BGB § 126b (Textform).
Zweck: Vertragsanbahnung, Vertragsschluss, Vertragsdokumentation und Beweissicherung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen und Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Beweissicherung und Missbrauchserkennung).
Speicherdauer: Vertrags- und Annahmedaten bewahren wir entsprechend der handels- und steuerrechtlichen Aufbewahrungspflichten gemäß § 257 HGB und § 147 AO für die Dauer von 10 Jahren auf. Zugriffs-Protokolldaten löschen wir 90 Tage nach dem letzten Aufruf, sofern kein berechtigtes Interesse an einer längeren Speicherung besteht. Verfällt ein Angebot ohne Annahme, löschen wir die Vorgangsdaten spätestens 24 Monate nach Ablauf der Gültigkeit.
Auftragsverarbeiter: Die Datenbank wird betrieben von Supabase, Inc. (970 Toa Payoh North #07-04, Singapore 318992; bzw. verbundene Unternehmen), Datenstandort EU/Frankfurt, mit Auftragsverarbeitungsvertrag (DPA). Der Versand der Angebots- und Bestätigungs-E-Mails erfolgt über Resend, Inc. (2261 Market Street #4458, San Francisco, CA 94114, USA), mit DPA und Standardvertragsklauseln nach Art. 46 DSGVO. Drittlandtransfers in die USA sind durch das EU-US Data Privacy Framework abgesichert.
Sonderfall personenbezogene Daten Dritter: Soweit Sie uns im Rahmen der Beratung personenbezogene Daten Ihrer Kunden, Versicherten oder Mitarbeitenden zur Verarbeitung übergeben, schließen wir vor Beginn einen separaten Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO. Vorlage unter jmenergyconsulting.de/avv-template.
7. KI-gestützte Verarbeitung
Im Rahmen unserer Beratung setzen wir generative KI-Modelle ein. Für Aufgaben, bei denen personenbezogene Daten verarbeitet werden können, nutzen wir ausschließlich Anbieter mit einem Auftragsverarbeitungsvertrag, die zugesichert haben, übergebene Eingabedaten nicht für eigene Trainingszwecke zu nutzen:
- Anthropic, PBC (548 Market Street PMB 90375, San Francisco, CA 94104, USA) — Modell Claude. DPA vorhanden. Drittlandtransfer USA abgesichert über EU-US Data Privacy Framework (DPF-Zertifizierung).
- OpenAI, L.L.C. (3180 18th Street, San Francisco, CA 94110, USA) — Modelle der GPT-Familie. DPA und Zero-Data-Retention-Option vereinbart. Drittlandtransfer USA abgesichert über EU-US Data Privacy Framework.
- Google Ireland Ltd. (Gordon House, Barrow Street, Dublin 4, Irland) — Modelle der Gemini-Familie, soweit eingesetzt. DPA vorhanden. Datenverarbeitung primär innerhalb der EU.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) bzw. — sofern wir im Auftrag des Verantwortlichen tätig werden — die Rechtsgrundlage des Verantwortlichen, abgesichert durch separaten Auftragsverarbeitungsvertrag.
Speicherdauer in den KI-Diensten: Eingabedaten werden in den genutzten Diensten in der Regel nicht persistent gespeichert; eine Trainingsnutzung ist vertraglich ausgeschlossen.
8. Cookies & lokaler Speicher
Diese Website setzt grundsätzlich nur technisch notwendige Cookies ein, die für den Betrieb der Seite erforderlich sind (z. B. Sitzungs-Cookies im internen Portalbereich). Eine Einwilligung gemäß § 25 Abs. 2 Nr. 2 TTDSG ist hierfür nicht erforderlich.
Lokaler Speicher im Angebotsbereich. Wenn Sie Ihren Zugangscode auf einer persönlichen Angebotsseite eingegeben haben, wird dieser Code für 30 Tage in Ihrem Browser-Speicher (localStorage) abgelegt, damit Sie sich beim erneuten Besuch nicht erneut authentifizieren müssen. Dieser Speichereintrag ist technisch unbedingt erforderlich für den Zugang zu Ihrem Angebot im Sinne von § 25 Abs. 2 Nr. 2 TTDSG und bedarf daher keiner Einwilligung. Sie können den Eintrag jederzeit über die Browser-Einstellungen löschen.
Tracking-Cookies, Re-Marketing- oder Werbe-Cookies setzen wir nicht ein. Für die Reichweitenmessung verwenden wir ausschließlich das nachfolgend beschriebene cookiefreie Verfahren ohne Zugriff auf Ihr Endgerät. Sollten wir künftig einwilligungspflichtige Cookies oder Analysedienste Dritter einsetzen, holen wir vorab Ihre ausdrückliche Einwilligung über ein Consent-Banner ein.
Cookiefreie Reichweitenmessung (Besucherstatistik)
Zur Verbesserung unseres Angebots werten wir aus, wie unsere öffentlichen Seiten genutzt werden. Diese Reichweitenmessung betreiben wir selbst auf eigener Infrastruktur (Cloudflare Pages und Supabase, Verarbeitung in der EU), ohne Weitergabe an Dritte und ohne Werbe- oder Profilbildungszwecke.
Es werden keine Cookies gesetzt und kein lokaler Browser-Speicher verwendet. Pro Seitenaufruf erfassen wir lediglich: den aufgerufenen Pfad, die verweisende Seite (Referrer), eine grobe Geräteklasse (Desktop, Tablet, Mobil), die Browserfamilie sowie das Herkunftsland (abgeleitet aus der IP-Adresse). Ihre IP-Adresse wird zu keinem Zeitpunkt gespeichert.
Um wiederkehrende Aufrufe innerhalb eines Tages grob unterscheiden zu können, bilden wir aus IP-Adresse, Browserkennung und einem täglich wechselnden, geheimen Zusatzwert einen nicht umkehrbaren Hashwert. Dieser Wert lässt keinen Rückschluss auf Ihre Person zu und ist spätestens nach 24 Stunden nicht mehr reproduzierbar.
Den Browser-Hinweis "Do Not Track" respektieren wir: Ist diese Einstellung in Ihrem Browser aktiv, findet keine Messung statt.
Rechtsgrundlage ist unser berechtigtes Interesse an einer datensparsamen, anonymen Reichweitenanalyse gemäß Art. 6 Abs. 1 lit. f DSGVO. Da wir hierfür weder Informationen auf Ihrem Endgerät speichern noch auf dort gespeicherte Informationen zugreifen, ist eine Einwilligung nach § 25 TTDSG nicht erforderlich.
Speicherdauer: Die anonymen Nutzungsdaten löschen wir automatisiert spätestens 14 Monate nach Erhebung.
9. Schriftarten und externe Dienste
Schriftarten
Die Schriftarten "Fraunces", "Inter" und "Geist Mono" werden ausschließlich von unseren eigenen Servern (Cloudflare Pages) ausgeliefert. Es findet keine Verbindung zu Google-Servern oder anderen Drittanbietern beim Laden der Schriften statt. Die Schriften sind unter der SIL Open Font License lizenziert.
JavaScript-Bibliotheken
Sämtliche JavaScript-Bibliotheken (z. B. Supabase Client, Leaflet, Cytoscape) werden lokal von unseren eigenen Servern ausgeliefert. Es erfolgt keine Einbindung externer CDN-Dienste auf öffentlich zugänglichen Seiten.
Kartenmaterial
Im internen Portalbereich (nach Login) verwenden wir Kartenmaterial des Projekts OpenStreetMap. Anbieter ist die OpenStreetMap Foundation (St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich). Beim Aufruf von Karten wird Ihre IP-Adresse an die OpenStreetMap-Server übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung im Portalbereich). Datenschutzerklärung: https://wiki.osmfoundation.org/wiki/Privacy_Policy
10. Datensicherheit
Wir verwenden auf unserer Website das Verschlüsselungsverfahren TLS 1.3 (HTTPS). Sämtliche Verbindungen zwischen Ihrem Browser und unseren Servern sind verschlüsselt. Wir setzen zusätzlich folgende technische Schutzmaßnahmen ein:
- HTTP Strict Transport Security (HSTS) zur Erzwingung verschlüsselter Verbindungen
- Content Security Policy (CSP) zum Schutz vor Code-Injektion
- Schutz vor Clickjacking durch X-Frame-Options
- Regelmäßige Sicherheitsupdates der eingesetzten Software
Trotz aller Schutzmaßnahmen kann eine vollständige Sicherheit der Datenübertragung im Internet nicht gewährleistet werden.
11. Ihre Rechte als betroffene Person
Sie haben jederzeit das Recht auf:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
Zur Geltendmachung Ihrer Rechte genügt eine formlose E-Mail an hallo@jmenergyconsulting.de.
Sie haben außerdem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Datenschutzaufsichtsbehörde des Bundeslandes, in dem unser Unternehmen seinen Sitz hat.
12. Änderungen dieser Erklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.