Datenschutzerklärung
Stand: Juli 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger nationaler Datenschutzgesetze ist:
ENREDEMA GmbH
Dieselstraße 7
71101 Schönaich
Vertreten durch die Geschäftsführer: Pascal Hummel und Robin Hablizel
E-Mail: kontakt@enredema.de
2. Datenschutzbeauftragter
Wir sind gesetzlich nicht verpflichtet, einen Datenschutzbeauftragten zu benennen. Bei Fragen zum Datenschutz wenden Sie sich bitte an den unter Ziffer 1 genannten Verantwortlichen.
3. Grundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Anwendung sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt auf Grundlage einer der folgenden Rechtsgrundlagen:
- Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO);
- zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO);
- zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO);
- zur Wahrung unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO), sofern Ihre Interessen nicht überwiegen.
Soweit wir für einzelne Verarbeitungen die Einwilligung einholen, ist Art. 6 Abs. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO Rechtsgrundlage. Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
4. Hosting und Serverstandort
Wir betreiben ENREDEMA bewusst auf einer Infrastruktur mit Serverstandort in der Europäischen Union.
- Website und Web-Anwendung werden bei Render (Render Services, Inc.) in der Region Frankfurt am Main (EU) gehostet.
- Anwendungsdaten, Datenbank, Datei- und Dokumentenspeicher, Authentifizierung und E-Mail-Versand werden über Amazon Web Services (AWS) in der Region Frankfurt am Main (eu-central-1) verarbeitet.
Mit unseren Hosting-Dienstleistern bestehen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO. Rechtsgrundlage ist unser berechtigtes Interesse an einer sicheren und effizienten Bereitstellung unseres Angebots (Art. 6 Abs. 1 lit. f DSGVO) sowie die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
5. Zugriffsdaten und Server-Logfiles
Beim Aufruf unserer Website und Anwendung werden automatisch Informationen verarbeitet, die Ihr Browser an den Server übermittelt. Dies sind insbesondere:
- IP-Adresse des anfragenden Geräts,
- Datum und Uhrzeit des Zugriffs,
- aufgerufene Datei bzw. abgerufene URL und HTTP-Methode,
- Browsertyp und -version sowie Betriebssystem.
Diese Verarbeitung ist technisch erforderlich, um die Inhalte auszuliefern, die Stabilität und Sicherheit sicherzustellen und Missbrauch zu erkennen. Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren und stabilen Betrieb (Art. 6 Abs. 1 lit. f DSGVO). Die Zugriffsdaten werden nur so lange gespeichert, wie es für die vorgenannten Zwecke erforderlich ist, und anschließend gelöscht oder anonymisiert – in der Regel innerhalb von 14 Tagen.
6. Cookies und lokale Speicherung
Wir setzen keine Cookies oder Techniken zu Marketing-, Tracking- oder Analysezwecken ein. Für den Betrieb der Anwendung nutzen wir ausschließlich technisch notwendige Speichertechniken (z. B. den lokalen Speicher Ihres Browsers, „Local Storage"), um Sie angemeldet zu halten (Sitzungs-/Anmeldeinformationen) und die Anwendung korrekt zu laden. Ohne diese Speicherung wäre die Nutzung der Anwendung nicht möglich; eine Einwilligung ist hierfür nach § 25 Abs. 2 TDDDG nicht erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO.
7. Schriftarten und externe Inhalte
Die auf unserer Website und in der Anwendung verwendeten Schriftarten werden ausschließlich von unserem eigenen Server ausgeliefert (selbst gehostet). Ein Einbinden externer Schriftdienste (etwa „Google Fonts") findet nicht statt; beim Aufruf der Seiten werden hierfür keine Daten an Dritte übertragen.
Auch im Übrigen binden wir keine externen Inhalte (z. B. Schriftarten, Skripte, Programmbibliotheken oder Medien) von Drittservern ein, die bereits beim bloßen Aufruf einer Seite eine Datenübermittlung an Dritte auslösen würden. Solche Ressourcen werden von unserer eigenen Infrastruktur bereitgestellt.
8. Registrierung und Nutzerkonto
Zur Nutzung von ENREDEMA legen Berater/Planer (unsere Kunden) sowie von diesen eingeladene Personen (z. B. Endkunden oder Projektpartner) ein Nutzerkonto an. Die Authentifizierung und Verwaltung der Zugangsdaten erfolgt über Amazon Cognito (AWS, Region Frankfurt/EU). Verarbeitet werden dabei insbesondere:
- Name und E-Mail-Adresse,
- verschlüsselt gespeicherte Anmeldeinformationen,
- Profil- und Kontoeinstellungen sowie ggf. Angaben zu Organisation/Team und Lizenz.
Rechtsgrundlage ist die Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Die Daten werden für die Dauer des Kontos gespeichert und nach dessen Löschung entfernt, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
9. Verarbeitung von Projekt-, Gebäude- und Kundendaten in der Anwendung
Im Kern dient ENREDEMA der Organisation und Durchführung von Beratungs- und Sanierungsprojekten. In diesem Rahmen werden – im Wesentlichen durch unsere Kunden (Berater/Planer) eingegeben oder hochgeladen – u. a. folgende Daten verarbeitet:
- Kontakt- und Stammdaten von Endkunden (Name, Anschrift, E-Mail, Telefon),
- Gebäude-, Verbrauchs- und Energiedaten,
- hochgeladene Dokumente (z. B. iSFP, Energieausweis, Pläne, Rechnungen),
- Projekt-, Termin-, Aufgaben- und Kommunikationsdaten.
Diese Daten werden in der Datenbank (Amazon DynamoDB) und im Dateispeicher (Amazon S3), jeweils in der Region Frankfurt/EU, gespeichert. Rechtsgrundlage ist die Vertragserfüllung gegenüber unseren Kunden (Art. 6 Abs. 1 lit. b DSGVO) bzw. unser berechtigtes Interesse an der Bereitstellung der Projektfunktionen (Art. 6 Abs. 1 lit. f DSGVO).
Rollenverteilung / Auftragsverarbeitung im Kundenverhältnis
Soweit unsere Kunden (Berater/Planer) im Portal personenbezogene Daten ihrer eigenen Endkunden verarbeiten, ist der jeweilige Berater datenschutzrechtlich Verantwortlicher und wir handeln insoweit als sein Auftragsverarbeiter (Art. 28 DSGVO). Hierfür stellen wir unseren Kunden einen Auftragsverarbeitungsvertrag (AVV) zur Verfügung, der u. a. die eingesetzten Unterauftragsverarbeiter (siehe Ziffer 16), die technischen und organisatorischen Maßnahmen sowie die Weisungsgebundenheit regelt. Endkunden richten Anfragen zu diesen Daten (z. B. Auskunft oder Löschung) bitte an den jeweils verantwortlichen Berater; wir unterstützen diesen bei der Erfüllung solcher Anfragen.
10. KI-gestützte Dokumentenanalyse
ENREDEMA bietet eine Funktion, mit der hochgeladene Dokumente (insbesondere iSFP oder Energieausweis) automatisiert ausgewertet werden, um Gebäude- und Energiedaten zu extrahieren. Zu diesem Zweck wird das jeweilige Dokument an den Dienst OpenAI (OpenAI, L.L.C., USA; für Kunden im EWR vertreten durch OpenAI Ireland Ltd.) übermittelt und dort verarbeitet.
- Zweck: Extraktion strukturierter Gebäude-, Energie- und Kostendaten aus dem hochgeladenen Dokument als Vorbereitung der Beratung.
- Rechtsgrundlage: Vertragserfüllung bzw. berechtigtes Interesse an einer effizienten Datenaufbereitung (Art. 6 Abs. 1 lit. b und lit. f DSGVO); soweit besondere Daten betroffen sein können, auf Grundlage einer Einwilligung.
- Keine Speicherung bei OpenAI (Zero Data Retention): Mit OpenAI besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum) einschließlich EU-Standardvertragsklauseln. Für unsere Verarbeitung ist zudem „Zero Data Retention" aktiviert – die übermittelten Inhalte werden nach der Verarbeitung nicht bei OpenAI gespeichert und nicht zum Training von KI-Modellen verwendet.
- Keine automatisierte Entscheidung: Die KI liefert lediglich einen Analysevorschlag. Die inhaltliche Prüfung, Bearbeitung und Verantwortung für die Beratung liegt stets beim Berater. Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO findet nicht statt.
Zu Übermittlungen in die USA siehe Ziffer 16.
11. Projekt-Chat und Nachrichten
ENREDEMA enthält einen Projekt-Chat (Gruppen- und Direktnachrichten), über den Projektbeteiligte Nachrichten und Dateianhänge austauschen können. Verarbeitet werden Inhalt und Metadaten der Nachrichten (Absender, Empfänger, Zeitpunkt) sowie hochgeladene Anhänge. Die Übertragung erfolgt über eine WebSocket-Verbindung (AWS, Frankfurt/EU); Nachrichten werden in der Datenbank, Anhänge im Dateispeicher (S3) gespeichert. Rechtsgrundlage ist die Vertragserfüllung bzw. unser berechtigtes Interesse an der Bereitstellung der Kommunikationsfunktion (Art. 6 Abs. 1 lit. b und lit. f DSGVO).
12. Digitale Signatur
ENREDEMA ermöglicht das digitale Einholen von Unterschriften (einfache elektronische Signatur, EES), etwa für Beratungs- oder Auftragsdokumente. Verarbeitet werden dabei das zu signierende Dokument, das Signaturbild, Name und ggf. E-Mail des Unterzeichnenden sowie Protokolldaten zum Nachweis des Signaturvorgangs (z. B. Zeitpunkt). Rechtsgrundlage ist die Vertragserfüllung bzw. das berechtigte Interesse an einer rechtssicheren Dokumentation (Art. 6 Abs. 1 lit. b und lit. f DSGVO). Für externe Unterzeichner wird der Zugriff über einen zeitlich befristeten, tokengesicherten Link bereitgestellt.
13. E-Mail-Benachrichtigungen
Wir versenden transaktionale Benachrichtigungen (z. B. zu Einladungen, neuen Nachrichten, Aufgaben oder Statusänderungen) über Amazon Simple Email Service (Amazon SES) in der Region Frankfurt/EU. Rechtsgrundlage ist die Vertragserfüllung bzw. unser berechtigtes Interesse an einer zuverlässigen Benachrichtigung der Nutzer (Art. 6 Abs. 1 lit. b und lit. f DSGVO). Ein Versand von Werbe-Newslettern findet nicht statt.
14. Anbindung externer Kalender (Google Calendar / Microsoft Outlook)
Nutzer können optional ihren Google- oder Microsoft-/Outlook-Kalender mit ENREDEMA verbinden, um Termine zu synchronisieren. Die Verbindung erfolgt ausschließlich auf Ihre aktive Veranlassung über das Autorisierungsverfahren des jeweiligen Anbieters (OAuth 2.0). Dabei erteilen Sie ENREDEMA die Berechtigung, in Ihrem Namen auf Kalendertermine (sowie Ihre dort hinterlegte E-Mail-Adresse) zuzugreifen. Es werden Zugriffs-/Aktualisierungstokens gespeichert, um die Synchronisierung durchzuführen. Rechtsgrundlage ist Ihre Einwilligung durch das Verbinden des Kalenders (Art. 6 Abs. 1 lit. a DSGVO) sowie die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Sie können die Verbindung jederzeit in den Einstellungen bzw. beim jeweiligen Anbieter widerrufen. Anbieter sind die Google Ireland Limited bzw. die Microsoft Ireland Operations Limited; zu Übermittlungen in die USA siehe Ziffer 16.
Optional kann statt einer direkten Verbindung ein iCal-Abonnement-Link genutzt werden. Dieser Link enthält ein geheimes Token und stellt die Termine im Nur-Lese-Format bereit; er sollte vertraulich behandelt werden.
15. Zahlungsabwicklung
Für die Abwicklung kostenpflichtiger Abonnements setzen wir den Zahlungsdienstleister Stripe (Stripe Payments Europe, Ltd., Irland; ggf. Stripe, Inc., USA) ein. Bei einem kostenpflichtigen Abschluss werden die für die Zahlung erforderlichen Daten (z. B. Name, E-Mail, Rechnungs- und Zahlungsdaten) direkt an Stripe übermittelt und dort verarbeitet; vollständige Zahlungsdaten (z. B. Kartendaten) werden von Stripe erhoben und liegen uns nicht vor. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Weitere Informationen: https://stripe.com/de/privacy. Zu Übermittlungen in die USA siehe Ziffer 16.
16. Empfänger, Auftragsverarbeiter und Drittlandübermittlung
Wir geben personenbezogene Daten nur weiter, wenn dies zur Vertragserfüllung erforderlich ist, Sie eingewilligt haben oder eine rechtliche Verpflichtung besteht. Zur Erbringung unserer Leistung setzen wir sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO) ein:
- Amazon Web Services (AWS) – Hosting, Datenbank, Datei-/Dokumentenspeicher, Authentifizierung (Cognito), E-Mail-Versand (SES) – Region Frankfurt/EU.
- Render – Bereitstellung von Website und Web-Anwendung – Region Frankfurt/EU.
- OpenAI – KI-gestützte Dokumentenanalyse – USA (mit AVV/DPA, EU-Standardvertragsklauseln und Zero Data Retention).
- Google – optionale Kalenderanbindung (Google Calendar), nur bei aktiver Verbindung durch den Nutzer – Irland/USA.
- Microsoft – optionale Kalenderanbindung (Outlook/Microsoft 365) – Irland/USA.
- Stripe – Zahlungsabwicklung für kostenpflichtige Abonnements – Irland/USA.
Soweit Daten an Empfänger in einem Drittland (insbesondere in die USA) übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien im Sinne der Art. 44 ff. DSGVO – insbesondere durch EU-Standardvertragsklauseln und, soweit der jeweilige Empfänger zertifiziert ist, auf Grundlage des Angemessenheitsbeschlusses zum EU-US Data Privacy Framework. Auf Wunsch stellen wir Ihnen weitere Informationen zu den getroffenen Garantien zur Verfügung.
Soweit die genannten Anbieter personenbezogene Daten in eigener Verantwortung verarbeiten oder Sie verlinkte Angebote Dritter aufrufen, gelten deren eigene Datenschutzhinweise. Auf Inhalt und Umfang dieser Verarbeitung haben wir keinen Einfluss und übernehmen hierfür keine Verantwortung.
17. Speicherdauer und Löschung
Wir verarbeiten und speichern personenbezogene Daten grundsätzlich nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder eine gesetzliche Aufbewahrungspflicht besteht. Maßgeblich für die Speicherdauer sind insbesondere folgende Kriterien:
- die Dauer der Nutzungs- bzw. Vertragsbeziehung,
- die Erforderlichkeit der Daten für den jeweiligen Verarbeitungszweck,
- gesetzliche Aufbewahrungs- und Nachweispflichten (insbesondere handels- und steuerrechtliche Fristen von bis zu zehn Jahren),
- gesetzliche Verjährungsfristen, während derer Ansprüche geltend gemacht werden können.
Entfällt der Zweck und besteht keine Aufbewahrungspflicht, werden die betreffenden Daten gelöscht oder in ihrer Verarbeitung eingeschränkt. Konto- und Projektdaten werden für die Dauer der Nutzung gespeichert und nach Beendigung des Kontos bzw. Löschung des Projekts entfernt. In Sicherungskopien (Backups) enthaltene Daten werden systembedingt im Rahmen der turnusmäßigen Löschzyklen entfernt.
18. Ihre Rechte als betroffene Person
Ihnen stehen nach der DSGVO folgende Rechte zu:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO),
- Berichtigung unrichtiger Daten (Art. 16 DSGVO),
- Löschung (Art. 17 DSGVO),
- Einschränkung der Verarbeitung (Art. 18 DSGVO),
- Datenübertragbarkeit (Art. 20 DSGVO),
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO),
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
Zur Ausübung Ihrer Rechte genügt eine Mitteilung an den unter Ziffer 1 genannten Verantwortlichen. Betrifft Ihre Anfrage Daten, die ein Berater als Verantwortlicher in ENREDEMA verarbeitet, wenden Sie sich bitte an diesen Berater (siehe Ziffer 9).
Wir bearbeiten Anträge betroffener Personen innerhalb der gesetzlichen Fristen. Zum Schutz Ihrer Daten können wir vor der Beantwortung einen geeigneten Nachweis Ihrer Identität verlangen. Bei offenkundig unbegründeten oder – insbesondere im Fall häufiger Wiederholung – exzessiven Anträgen behalten wir uns die gesetzlich vorgesehenen Rechte vor (Art. 12 Abs. 5 und 6 DSGVO).
19. Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen (Art. 21 DSGVO). Wir verarbeiten die betroffenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
20. Beschwerderecht bei einer Aufsichtsbehörde
Unbeschadet anderer Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts oder des mutmaßlichen Verstoßes. Zuständig für uns ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart.
21. Datensicherheit
Wir treffen angemessene technische und organisatorische Sicherheitsmaßnahmen nach dem Stand der Technik (Art. 32 DSGVO), um Ihre Daten gegen unbefugten Zugriff, Verlust oder Manipulation zu schützen. Dazu gehören insbesondere eine verschlüsselte Datenübertragung (TLS), eine Datenhaltung in Rechenzentren innerhalb der EU sowie ein rollen- und rechtebasierter, auf das Erforderliche beschränkter Zugriff auf die Systeme. Diese Maßnahmen werden fortlaufend an die technische Entwicklung angepasst.
Wir weisen darauf hin, dass die Datenübertragung im Internet sowie der Betrieb informationstechnischer Systeme nach dem gegenwärtigen Stand der Technik nicht vollständig fehler- und lückenlos gewährleistet werden können. Eine Gewähr für die absolute Sicherheit der Daten kann daher – wie bei jeder Online-Anwendung – nicht übernommen werden.
22. Pflicht zur Bereitstellung von Daten
Für die Nutzung von ENREDEMA ist die Bereitstellung bestimmter Daten (z. B. Name und E-Mail-Adresse zur Kontoerstellung) erforderlich. Ohne diese Daten können wir die Anwendung nicht bereitstellen. Weitere Angaben und Uploads erfolgen freiwillig im Rahmen der jeweiligen Projektarbeit.
23. Aktualität und Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung ist aktuell gültig und hat den unter „Stand" angegebenen Bearbeitungsstand. Durch die Weiterentwicklung unseres Angebots oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Erklärung anzupassen. Die jeweils aktuelle Fassung kann jederzeit auf dieser Seite abgerufen werden.