Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist der Betreiber der Biogasanlage, der diese Software nutzt („Kunde“). Die JFK Consulting (Anbieter) stellt die Software als Auftragsverarbeiter im Sinne von Art. 28 DSGVO bereit. Die Kontaktdaten des Verantwortlichen werden im Auftragsverarbeitungsvertrag (AVV) dokumentiert.

Anbieter / Auftragsverarbeiter: JFK Consulting, Inh. Jonas F. Krause, E-Mail: info@jfkconsulting.de.

2. Kategorien verarbeiteter Daten

• Stammdaten Anlage: Name, Standort, Leistung, Inbetriebnahmedatum, Nabisy-Anlagen-ID, EEG-Vergütung.
• Stammdaten Lieferanten (Landwirte): Firma / Name, Ansprechpartner, Anschrift, E-Mail, Telefon, Zertifikatsdaten (REDcert / ISCC).
• Bewegungsdaten Substratlieferungen: Lieferdatum, Substrattyp, Menge in Tonnen, Trockensubstanz-Wert, THG-Wert, Wiegeschein-Daten, OCR-Auswertungen.
• Massenbilanzen und Nabisy-Exporte: Berechnungen, CSV-Artefakte, SHA-256-Hashes für Revisionssicherheit.
• Auth-/Account-Daten: Name, E-Mail-Adresse, Rolle, Login-Zeitpunkte (verarbeitet via Clerk Inc., Drittland-Transfer auf Basis von Art. 46 DSGVO mit Standardvertragsklauseln).
• Audit-Logs: Wer hat wann welche Daten erfasst, geändert oder exportiert (mit IP-Adresse und User-Agent).

3. Zwecke und Rechtsgrundlagen

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der SaaS-Funktionen, Dokumentation der Substratlieferungen, Erstellung von Massenbilanzen und Nabisy-Exporten.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Erfüllung der Aufzeichnungs- und Aufbewahrungspflichten nach EEG (Erneuerbare-Energien-Gesetz), Biomasse-Strom-Nachhaltigkeitsverordnung (BioSt-NachV) sowie steuerrechtlichen Aufbewahrungsfristen (§ 147 AO).
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Sicherheitsprotokollierung (Audit-Log), Missbrauchsabwehr, Verbesserung der Erkennungsgenauigkeit der OCR.

4. Empfänger / Auftragsverarbeiter

• Vercel Inc. (Hosting, USA) — Standardvertragsklauseln nach Art. 46 DSGVO.
• Supabase Inc. / Supabase EU (Datenbank-Hosting, Region eu-central-1).
• Clerk Inc. (Authentifizierung, USA) — Standardvertragsklauseln.
• Resend Inc. (transaktionale E-Mails).
• Google LLC (Gemini API für OCR-Erkennung) — nur soweit Wiegescheine zur Texterkennung übermittelt werden.

5. Speicherdauer

Substratlieferungen, Massenbilanzen, Nabisy-Exporte und Audit-Logs werden über die gesetzliche Aufbewahrungsfrist von 10 Jahren (§ 147 AO) gespeichert. Nabisy-Nachweise unterliegen zusätzlich den Vorgaben der BLE (Bundesanstalt für Landwirtschaft und Ernährung). Account-Daten werden bis zur Kündigung des Vertrags gespeichert und anschließend gelöscht (siehe Recht auf Löschung).

6. Ihre Rechte

• Auskunft(Art. 15 DSGVO) — abrufbar in den Einstellungen unter „Account & Daten“.
• Berichtigung (Art. 16 DSGVO) — direkt in der App, jede Entity ist editierbar.
• Löschung(Art. 17 DSGVO) — Self-Service über Einstellungen → Account & Daten → „Account löschen“. Cascade-Delete entfernt alle Daten.
• Datenübertragbarkeit (Art. 20 DSGVO) — JSON-Export über /api/account/export in den Einstellungen.
• Widerspruch (Art. 21 DSGVO) — per E-Mail an den Verantwortlichen.
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — zuständig ist die jeweilige Landesdatenschutzbehörde.

7. Cookies und Tracking

Nabisy Software setzt ausschließlich technisch notwendige Cookies (Session, CSRF-Schutz). Es findet kein Tracking durch Drittanbieter statt, keine Marketing-Cookies, kein Profiling.

8. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Die OCR-Vorschläge werden ausschließlich zur Unterstützung der Datenerfassung verwendet und müssen vom Nutzer bestätigt werden.