Stand: 01. Oktober 2025

Björn Bröskamp

[Rechtsform]
[Anschrift]
[Telefon]
[E-Mail]

Vertretungsberechtigt: 

Datenschutzbeauftragte:r (falls bestellt, Art. 37 DSGVO)
[Name / Externer Dienstleister]
[Kontaktkanal]

Hostingstandort: Deutschland (Server in Rechenzentren innerhalb der EU/des EWR).

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten beim Besuch unserer Website [Domain], bei der Nutzung unserer Emission-Factors-Datenbank (im Folgenden „Datenbank“) einschließlich API-Zugriff, Kunden-/Entwickler-Konten sowie aller hiermit verbundenen Online-Dienste, Plugins und Schnittstellen. Sie gilt für Interessent:innen, Besucher:innen, registrierte Nutzer:innen („Kund:innen“), API-Schlüsselinhaber:innen („Entwickler:innen“) und Geschäftspartner:innen.

• Rechtsgrundlagen: Wir verarbeiten personenbezogene Daten nach der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Maßgebliche Rechtsgrundlagen sind Art. 6 Abs. 1 lit. a (Einwilligung), lit. b (Vertrag/vorvertragliche Maßnahmen), lit. c (rechtliche Verpflichtung) und lit. f (berechtigtes Interesse) DSGVO sowie § 25 TTDSG (Zugriff auf/Speicherung von Informationen im Endgerät).
   
• Datenminimierung & Zweckbindung: Es werden nur für den jeweiligen Zweck erforderliche Daten verarbeitet.
   
• Speicherdauer: Soweit unten nicht anders angegeben, löschen bzw. anonymisieren wir Daten, sobald der Zweck entfällt und keine Aufbewahrungspflichten entgegenstehen.
   
• Erforderlichkeit der Bereitstellung: Die Bereitstellung bestimmter Daten (z. B. für Registrierung/Vertrag/API-Nutzung) ist erforderlich. Ohne diese ist eine Nutzung ggf. nicht möglich.
   
• Keine automatisierte Entscheidungsfindung: Es findet keine ausschließlich automatisierte Entscheidungsfindung i. S. d. Art. 22 DSGVO statt. Etwaige Profiling-Funktionen beschränken sich auf technisch erforderliche Nutzungs-/Lastprofile zur Missbrauchs- und Betrugserkennung (Art. 6 Abs. 1 lit. f DSGVO).
   

• Stammdaten: Name, Firma, Position, Post-/Rechnungsadresse, Kommunikationsdaten.
   
• Kontodaten: Benutzername, Passwort-Hash, Rollen/Berechtigungen, API-Schlüssel/Token, Team-/Organisationszuordnung.
   
• Kommunikationsdaten: Inhalte von Support-Anfragen, E-Mails, Tickets.
   
• Vertrags- & Abrechnungsdaten: Tarife, Nutzungsumfang, Rechnungen, Zahlungsstatus; bei Einbindung von Zahlungsdienstleistern zusätzlich die dort erforderlichen Zahlungsinformationen (siehe Abschnitt 12).
   
• Nutzungs- & Metadaten: IP-Adresse, Zeitstempel, Request-/Response-Header, Gerätenummer/Browser-Fingerprints (nur pseudonym), Logfiles (z. B. Fehler-, Sicherheits-, Zugriffs-logs), API-Aufrufe (Endpunkt, Latenz, Statuscodes, Anfragevolumen).
   
• Cookie- und ähnliche Identifikatoren: Session-IDs, Consent-Status, ggf. Analytics-IDs (nur mit Einwilligung).
   
• Inhalts-/Fachdaten: Von Ihnen bereitgestellte oder über die API übermittelte Datensätze (z. B. projektspezifische Emissionsfaktoren, Zuordnungen), einschließlich Metadaten.
   

• Direkt von Ihnen (Registrierung, Vertragsabschluss, Support, API-Nutzung).
   
• Automatisiert durch unsere Systeme (Server-/Sicherheits-/Nutzungs-Logs).
   
• Drittquellen: ausschließlich fachliche Open-Data-/Open-Source-Datenbanken (z. B. öffentliche Emissionsfaktoren). Diese enthalten grundsätzlich keine personenbezogenen Daten. Falls eine Quelle ausnahmsweise Personenbezug enthält, verarbeiten wir solche Informationen nicht in nutzerbezogener Weise und entfernen sie nach Kenntniserlangung (Art. 6 Abs. 1 lit. f DSGVO – Datenqualität, Missbrauchsvermeidung).
   

• Daten: IP-Adresse, Datum/Uhrzeit, URL, Referrer, User-Agent, Response-Codes, übertragene Datenmenge, Fehlercodes.
   
• Zwecke: Auslieferung der Seiten, Stabilität, Sicherheit, Missbrauchs-/Angriffserkennung, Fehleranalyse.
   
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; § 25 Abs. 2 Nr. 2 TTDSG (nur technisch erforderliche Speicherung).
   
• Speicherdauer: i. d. R. 7–14 Tage; länger bei sicherheitsrelevanten Vorfällen.
   

• Daten: Einwilligungs-Status, Zeitstempel, Geräte-/Browser-ID (pseudonym), gewählte Kategorien.
   
• Zwecke: Nachweis und Steuerung von Einwilligungen.
   
• Rechtsgrundlage: Art. 6 Abs. 1 lit. c (Nachweispflicht) und lit. f DSGVO; § 25 TTDSG.
   
• Speicherdauer: bis zu 12 Monate.
   

• Zwecke: Login-Sessions, Warenkorb/Abonnementverwaltung, CSRF-Schutz, Load-Balancing.
   
• Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG; Art. 6 Abs. 1 lit. b/f DSGVO.
   
• Dauer: Session bzw. wenige Tage/Wochen.
   
• Hinweis: Ohne diese Funktionen ist die Nutzung nicht möglich.
   

• Tools: z. B. Matomo (self-hosted) oder [Name Tool/Anbieter].
   
• Daten: verkürzte IP, Klickpfade, Ereignisse, geschätzte Geo-Region, Geräte/Browser-Infos.
   
• Rechtsgrundlage: § 25 Abs. 1 TTDSG, Art. 6 Abs. 1 lit. a DSGVO.
   
• Widerruf: jederzeit im Consent-Banner.
   

• Daten: Stammdaten, E-Mail-Verifikation, Passwort-Hash, Organisation/Team.
   
• Zwecke: Vertragsanbahnung/-durchführung, Verwaltung von Lizenzen/Plänen.
   
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
   
• Speicherdauer: Vertragslaufzeit + gesetzliche Aufbewahrung.
   

• Daten: API-Schlüssel/Token, IP-Adresse, Zeitstempel, Endpunkt, Nutzungsvolumen, Statuscodes, ggf. Payload-Größen/Hash (nicht der Inhalt, sofern nicht erforderlich), Fehler-Logs.
   
• Zwecke: Authentifizierung, Abrechnung, Kapazitätsplanung, Missbrauchs-/Betrugserkennung, SLA-Monitoring, Produktverbesserung.
   
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Vertrag) und lit. f DSGVO (Sicherheit, Produktqualität).
   
• Speicherdauer: Roh-Logs bis zu 90 Tage; abrechnungsrelevante Nutzungsdaten bis zu 10 Jahre (steuerrechtliche Pflichten).
   

• Daten: von uns kuratierte/erstellte Emissionsfaktoren („Eigen-Daten“), sowie Daten aus Open-Source-/Open-Data-Quellen („Fremd-Daten“).
   
• Personenbezug: Grundsätzlich nein. Enthalten einzelne Quell-Datensätze personenbezogene Informationen, erfolgt deren Ausschluss oder Unkenntlichmachung.
   
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Betrieb einer fachlichen Datenbank) und ggf. Art. 6 Abs. 1 lit. b DSGVO (vertragliche Bereitstellung).
   
• Transparenz: Quellen- und Lizenzhinweise sind in der Datenbank/Dokumentation aufgeführt.
   

• Daten: Kontaktanfragen, Tickets, Chat/E-Mail-Inhalte, Dateianhänge, Rückrufwünsche.
   
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b (vorvertraglich/vertraglich) oder lit. f DSGVO (Interesse an effizientem Support).
   
• Speicherdauer: 24 Monate, sofern keine gesetzlichen Pflichten entgegenstehen.
   

• Daten: E-Mail, Einwilligungsprotokoll (Double-Opt-In), Öffnungs-/Klick-Metriken (falls aktiviert).
   
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO; § 7 UWG.
   
• Widerruf: jederzeit per Abmeldelink.
   

• Daten: technische Identifikatoren, IP-Ranges, Anomalie-Signale, Blacklists/Allowlists.
   
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Schutz der Systeme/Kund:innen).
   
• Maßnahmen: Rate-Limit, 2FA (optional), Hashing & Verschlüsselung, Least-Privilege-Zugriffe, regelmäßige Pen-Tests.
   

• Ohne Einwilligung: ausschließlich unbedingt erforderliche Speicherungen/Zugriffe (z. B. Session-Cookies, Security-Tokens, Consent-Status).
   
• Mit Einwilligung: Statistik/Analytik, Marketing, A/B-Tests, externe Medien (z. B. eingebettete Karten/Videos).
   
• Einwilligungen können jederzeit für die Zukunft widerrufen werden; die Rechtmäßigkeit bis zum Widerruf bleibt unberührt.
   

Wir setzen sorgfältig ausgewählte Dienstleister ein, die personenbezogene Daten im Auftrag verarbeiten:

• Hosting/Cloud: [Name Hoster], Standort Rechenzentrum: Deutschland/EU.
   
• CDN & DDoS-Schutz (sofern eingesetzt): [Anbieter].
   
• E-Mail/Newsletter: [Anbieter].
   
• Zahlungsabwicklung: [Stripe/PayPal/…], Details siehe Abschnitt 12.
   
• Fehler-/Performance-Monitoring: [z. B. Sentry, self-hosted/Anbieter].
   
• Analytics: [Matomo self-hosted / Anbieter].
   
• Consent-Management: [CMP-Anbieter].
   

Mit allen Auftragsverarbeitern bestehen Verträge gem. Art. 28 DSGVO. Subunternehmer werden nur mit angemessenem Schutzniveau eingesetzt.

Eine Übermittlung in Drittländer außerhalb der EU/des EWR erfolgt nur, wenn:

• ein Angemessenheitsbeschluss der EU-Kommission besteht, oder
   
• Standardvertragsklauseln (SCC) abgeschlossen wurden und zusätzliche Maßnahmen (z. B. Verschlüsselung/Pseudonymisierung) ein angemessenes Schutzniveau gewährleisten, oder
   
• Sie ausdrücklich eingewilligt haben (Art. 49 Abs. 1 lit. a DSGVO) und über mögliche Risiken informiert wurden.
   

Aktuelle Empfänger in Drittländern: [falls vorhanden: Anbieter + Land + Grundlage]. Ohne diese Einträge findet keine Drittlandübermittlung statt.

• Konten/Vertragsdaten: für die Vertragslaufzeit; danach Löschung/Sperrung, kaufmännische Belege 10 Jahre (§ 147 AO, § 257 HGB).
   
• API-Nutzungs-/Abrechnungsdaten: bis zu 10 Jahre (Nachweis/Steuer).
   
• Server-Logs: 7–14 Tage (Verlängerung bei Security-Incidents).
   
• Support-Kommunikation: 24 Monate.
   
• Consent-Protokolle: bis zu 5 Jahre (Beweiszwecke).
   
• Newsletter-Daten: bis zum Widerruf/Abmeldung.
   

• TLS-Verschlüsselung (HTTPS) mit zeitgemäßen Cipher-Suites.
   
• Zugangskontrolle (RBAC), Need-to-know-Prinzip, Protokollierung von Admin-Zugriffen.
   
• Verschlüsselung sensibler Daten im Ruhezustand (soweit sinnvoll/erforderlich).
   
• Regelmäßige Backups, Desaster-Recovery-Pläne, Hochverfügbarkeit.
   
• Sicherheits-Scans, Patch-Management, Penetrationstests.
   
• Datenschutz durch Technikgestaltung & datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO).
   
• Mitarbeiterschulungen, Vertraulichkeitsvereinbarungen.
   

Bei Abschluss kostenpflichtiger Pläne verarbeiten Zahlungsdienstleister Ihre Zahlungsdaten eigenverantwortlich:

• Daten: Kartendaten, IBAN, Transaktions-IDs, Risiko-Scores, Rechnungsanschrift.
   
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und Art. 6 Abs. 1 lit. f DSGVO (Betrugsprävention).
   
• Empfänger: [Stripe Payments Europe, PayPal (Europe) S.à r.l., …] inkl. deren Unterauftragsverarbeiter.
   
• Drittlandübermittlung: möglich; Absicherung über SCC und zusätzliche Maßnahmen.
   

Auf unserer Seite speichern wir keine vollständigen Zahlungsdaten, sondern nur die für Belegwesen und Abgleich erforderlichen Referenzen.

Beim Abruf externer Inhalte (z. B. Karten, Videos, Schriftarten) kann Ihre IP-Adresse an die jeweiligen Anbieter übermittelt werden. Solche Inhalte werden entweder serverseitig proxied oder erst nach Einwilligung geladen (Consent-Banner). Details und Anbieter werden im Banner/in den Einstellungen benannt.

Soweit rechtlich zulässig (§ 7 Abs. 3 UWG), können wir Bestandskund:innen für eigene ähnliche Produkte per E-Mail informieren. Sie können dem jederzeit widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Unsere Angebote richten sich nicht an Personen unter 16 Jahren. Wir verarbeiten wissentlich keine Daten von Kindern.

• Auskunft über die verarbeiteten personenbezogenen Daten.
   
• Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten.
   
• Löschung („Recht auf Vergessenwerden“), sofern keine Aufbewahrungspflichten entgegenstehen.
   
• Einschränkung der Verarbeitung.
   
• Datenübertragbarkeit in einem strukturierten, gängigen, maschinenlesbaren Format.
   
• Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. e oder f DSGVO, insbesondere gegen Direktwerbung (inkl. Profiling zu Werbezwecken).
   
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.
   
• Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde, z. B. der für Ihren Aufenthaltsort zuständigen Landesbeauftragten für den Datenschutz. Für unseren Sitz zuständig ist: [zuständige Landesbehörde eintragen].
   

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter den oben angegebenen Kontaktdaten. Wir prüfen Anfragen und verifizieren dabei Ihre Identität, um unbefugte Auskünfte zu verhindern.

1. Verantwortlichkeit: Für Inhalte/Datensätze, die Sie über unsere API hochladen oder in Ihrem Mandantenbereich speichern, sind Sie datenschutzrechtlich verantwortlich (Art. 4 Nr. 7 DSGVO), soweit wir diese lediglich in Ihrem Auftrag hosten/verarbeiten. Mit Geschäftskund:innen schließen wir einen Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO (auf Anfrage).
    
2. Personenbezogene Daten in Fachdaten: Die Datenbank ist nicht auf personenbezogene Daten ausgelegt. Bitte stellen Sie sicher, dass über die API keine personenbeziehbaren Informationen (z. B. Namen, E-Mail-Adressen, Kundennummern) übermittelt werden, es sei denn, dies wurde vertraglich vereinbart und in einem AVV geregelt.
    
3. Protokollierung: API-Calls werden aus Sicherheits- und Abrechnungsgründen protokolliert (siehe 6.6).
    
4. Selbstlern-/Ableitungsfunktionen („self-evolving“): Von uns erzeugte abgeleitete Emissionsfaktoren/Modelle beruhen auf nicht-personenbezogenen Eingabedaten, statistischen Verfahren und öffentlich lizenzierten Quellen.
    
5. Open-Source-Quellen: Wir dokumentieren Herkunft und Lizenzbedingungen (z. B. CC-BY, ODbL). Soweit Quellen Hinweise auf natürliche Personen enthalten, werden diese vor Aufnahme entfernt/anonymisiert.
    
6. Weitergabe: Innerhalb Ihres Mandantenbereichs können Sie Daten mit Teammitgliedern teilen. Eine Veröffentlichung über öffentliche Endpunkte erfolgt nur auf Ihre Veranlassung.
    

Name/IDZweckKategorieAnbieterSpeicherdauersidSitzungsverwaltung/CSRF-Schutzunbedingt erforderlich[eigene Domain]Sessioncmp_consentConsent-Statusunbedingt erforderlich[CMP-Anbieter]6–12 Monateapi_authPersistenter API-Login (optional)unbedingt erforderlich[eigene Domain]30 Tagematomo_idStatistik (nur mit Einwilligung)Statistik[eigene Domain]13 Monate 

(Bitte konkretisieren/ergänzen Sie die tatsächlichen Einträge.)

Im Einzelfall sind wir gesetzlich verpflichtet, Daten an Behörden, Gerichte oder andere öffentliche Stellen zu übermitteln (Art. 6 Abs. 1 lit. c DSGVO), etwa zur Abwehr von Gefahren oder zur Rechtsdurchsetzung.

Wir passen diese Erklärung an, wenn sich Rechtslage, unser Dienst oder die Datenverarbeitung ändern. Die jeweils aktuelle Fassung ist unter [URL zur Datenschutzerklärung] abrufbar. Wesentliche Änderungen kommunizieren wir aktiv (z. B. per E-Mail oder Hinweis im Konto).

Fragen zum Datenschutz? Schreiben Sie an [Datenschutz-E-Mail] oder postalisch an die im Impressum genannte Adresse mit dem Zusatz „Datenschutz“.