Privacyverklaring ModbusCloud

1. Einleitung

Diese Datenschutzerklärung beschreibt, wie Avanta Systems („wir", „uns", „ModbusCloud") personenbezogene Daten beim Angebot der ModbusCloud-Plattform und des zugehörigen Webshops verarbeitet. Wir nehmen Ihre Privatsphäre ernst und verarbeiten personenbezogene Daten in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO), dem Niederländischen DSGVO-Ausführungsgesetz und dem Niederländischen Telekommunikationsgesetz.

ModbusCloud ist ein B2B-Cloudportal, mit dem gewerbliche Installateure industrielle Modbus-Geräte (Wechselrichter, Wärmepumpen, Energiezähler, HVAC-Systeme) über das MCG-1-Gateway aus der Ferne überwachen, auslesen und ansteuern können. Diese Erklärung gilt für alle Verarbeitungen über modbuscloud.com und portal.modbuscloud.com.

2. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Abs. 7 DSGVO ist:

Avanta Systems Sitz in Zwolle, Niederlande Geschäftsadresse: Ceintuurbaan 15, 8022 AW Zwolle Handelsregisternummer: 97761362 USt-IdNr.: NL005287244B70 Umsatzsteuernummer: 228173425B02 Telefon: +31 85 333 2576 Allgemeine E-Mail-Adresse: info@modbuscloud.com Datenschutzkontakt: privacy@modbuscloud.com

Wir sind gesetzlich nicht verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen (Art. 37 DSGVO), Sie können sich aber für alle datenschutzbezogenen Fragen an den oben genannten Datenschutzkontakt wenden. Anfragen werden vom Datenschutzverantwortlichen innerhalb von Avanta Systems bearbeitet.

3. Rollenverteilung: Verantwortlicher und (Unter-)Auftragsverarbeiter

Die Rollenverteilung nach der DSGVO ist wie folgt.

3.1 Kontodaten des Installateurs (Kunde). Für die personenbezogenen Daten, die wir über den Installateur und seine Mitarbeiter verarbeiten (Kontodaten, Zahlungsdaten, Support-Korrespondenz, Nutzungsstatistiken des Portals), ist ModbusCloud selbst Verantwortlicher.

3.2 Geräte- und Endkundendaten. Für personenbezogene Daten, die der Installateur über das Portal über seine eigenen Endkunden verarbeitet (Standortadressdaten, Standortname, ggf. Ansprechpartner, Geräte- und Messdaten, soweit auf eine natürliche Person rückführbar), ist der Installateur selbst Verantwortlicher. ModbusCloud tritt dabei als Auftragsverarbeiter auf. Soweit der Installateur für seinen Endkunden als Auftragsverarbeiter auftritt, tritt ModbusCloud als Unterauftragsverarbeiter auf.

Für diese Verarbeitung schließen wir mit jedem Installateur einen Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA) gemäß Art. 28 DSGVO ab. Der DPA ist integraler Bestandteil des Vertrages und wird bei der Einrichtung eines Geschäftskontos zur Verfügung gestellt.

4. Welche personenbezogenen Daten wir verarbeiten

Wir verarbeiten die folgenden Kategorien personenbezogener Daten.

4.1 Kontodaten

Vor- und Nachname, geschäftliche E-Mail-Adresse, Firmenname, Position oder Rolle innerhalb des Unternehmens, Sprachpräferenz, gehashte Passwörter (bcrypt oder vergleichbar) oder OAuth-Tokens bei Anmeldung über Google oder Microsoft, Zwei-Faktor-Authentifizierungs-Seed oder Backup-Codes (falls aktiviert).

4.2 Zahlungs- und Rechnungsdaten

Rechnungsadresse, Firmenname, Handelsregisternummer, USt-IdNr., Bestellhistorie, Zahlungsstatus, letzte vier Ziffern der Zahlungsmethode. Vollständige Kartendaten oder IBAN werden ausschließlich von Stripe verarbeitet; wir erhalten oder speichern diese nicht.

4.3 Geräte- und Telemetriedaten

Seriennummern von Gateways, Modbus-Registerwerte (zum Beispiel Strom, Spannung, Temperatur, COP, Durchfluss, Sollwerte), Zeitstempel, Konnektivitätsstatus, Firmware-Versionen. Soweit diese Daten auf eine natürliche Person rückführbar sind (zum Beispiel weil das Gateway an einer Wohnadresse steht), gelten diese als personenbezogene Daten.

4.4 Standort- und Endkundenmetadaten

Adresse des Installationsstandorts, Standortname, optionaler Ansprechpartner beim Endkunden, Notizfelder.

4.5 Protokoll- und Audit-Trail-Daten

Anmeldedaten (Zeitpunkt, IP-Adresse, User Agent), aufgerufene Seiten, ausgeführte API-Aufrufe, und (wichtig) der vollständige Audit-Trail von Schreibbefehlen an Modbus-Register: wer hat zu welchem Zeitpunkt welchen Wert in welches Register welches Geräts geschrieben. Dieser Audit-Trail ist gesetzlich notwendig für Haftungszwecke und Sicherheit.

4.6 Support-Kommunikation

E-Mails, Chatnachrichten und Ticketinhalte bei Supportanfragen.

4.7 Cookies und vergleichbare Techniken

Siehe Abschnitt 10 für eine ausführliche Erläuterung.

5. Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten ausschließlich für die nachstehend beschriebenen Zwecke und auf Grundlage der angegebenen Rechtsgrundlage aus Art. 6 DSGVO.

6. Automatisierte Entscheidungsfindung und Profiling

Wir verwenden keine vollständig automatisierte Entscheidungsfindung mit rechtlichen Folgen oder ähnlich erheblichen Auswirkungen auf die betroffene Person im Sinne von Art. 22 DSGVO. Alarmregeln, Schwellenwerte und Automatisierungsskripte, die der Kunde im Portal konfiguriert, stellen keine automatisierte Entscheidungsfindung über natürliche Personen dar, sondern eine technische Betriebsführung über Geräte.

7. Empfänger und Auftragsverarbeiter

Wir ziehen sorgfältig ausgewählte Auftragsverarbeiter für Hosting, Authentifizierung, Zahlung, Kommunikation und Analyse heran. Mit jedem Auftragsverarbeiter schließen wir einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ab.

Eine aktuelle Liste der Unterauftragsverarbeiter wird als Anlage zu unserem DPA veröffentlicht. Änderungen werden dem Kunden mindestens 30 Tage im Voraus angekündigt; dieser kann gegen einen neuen Unterauftragsverarbeiter begründet Widerspruch erheben.

7.1 Spezifische Erläuterung Google Analytics

Für Website-Statistiken können wir Google Analytics 4 verwenden, bereitgestellt von Google Ireland Ltd. Wir konfigurieren diesen Dienst gemäß dem „Leitfaden zur datenschutzfreundlichen Konfiguration von Google Analytics" der Niederländischen Datenschutzbehörde:

Mit Google wurde ein Auftragsverarbeitungsvertrag (Google Ads Data Processing Terms) abgeschlossen.
IP-Adressen werden nicht vollständig gespeichert; Google Analytics 4 verarbeitet IP-Adressen nur vorübergehend zur geografischen Annäherung.
Daten werden nicht für eigene Zwecke mit Google geteilt. „Google-Signale", personalisierte Werbung und Data Sharing mit anderen Google-Produkten sind deaktiviert.
Die Aufbewahrungsfrist in Google Analytics ist auf die minimale Einstellung von 2 Monaten gesetzt.
Google-Analytics-Cookies werden ausschließlich nach ausdrücklicher Einwilligung über unser Cookie-Banner gesetzt.

7.2 Spezifische Erläuterung PostHog

Für Produkt-Analytics im Portal verwenden wir PostHog in der EU-Cloud-Umgebung in Frankfurt, sodass Daten den EWR nicht verlassen. PostHog ist mit Autocapture im deaktivierten oder eingeschränkten Modus, Session-Recording nur mit ausdrücklicher Einwilligung und IP-Anonymisierung konfiguriert. PostHog-Cookies werden ausschließlich nach ausdrücklicher Einwilligung gesetzt.

8. Übermittlung außerhalb des Europäischen Wirtschaftsraums

Einige unserer Auftragsverarbeiter haben eine Muttergesellschaft in den Vereinigten Staaten. Für die Übermittlung personenbezogener Daten in diese Drittländer stützen wir uns auf:

Den EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023), soweit der betreffende Empfänger auf der aktuellen DPF-Liste steht.
Die Standardvertragsklauseln (SCC) (Modul 2 oder Modul 3, Durchführungsbeschluss (EU) 2021/914) als zusätzliche oder alternative Garantie.
Zusätzliche technische und organisatorische Maßnahmen in Übereinstimmung mit den EDSA-Empfehlungen 01/2020 zu ergänzenden Maßnahmen, darunter Verschlüsselung im Ruhezustand und bei der Übertragung, strikte Zugriffsrechte und Protokollierung von Exportanfragen.

Auf Anfrage stellen wir eine Kopie oder Zusammenfassung der geltenden Garantien zur Verfügung.

9. Aufbewahrungsfristen

Wir bewahren personenbezogene Daten nicht länger auf als erforderlich. Konkrete Fristen:

Nach Ablauf werden Daten gelöscht oder unumkehrbar anonymisiert. Aggregierte oder anonymisierte Produktstatistiken können länger aufbewahrt werden, da diese keine personenbezogenen Daten mehr enthalten.

10. Cookies und vergleichbare Techniken

Wir setzen Cookies auf Grundlage von Art. 11.7a niederländisches Telekommunikationsgesetz. Es gibt drei Kategorien.

10.1 Funktionale und unbedingt erforderliche Cookies. Werden ohne Einwilligung gesetzt. Dazu gehören Sitzungscookies, CSRF-Tokens, Sprachpräferenz, Cookie-Banner-Auswahl und Authentifizierungs-Tokens. Ohne diese Cookies funktioniert das Portal nicht.

10.2 Analytische Cookies mit geringer Datenschutzauswirkung. Soweit möglich ohne eindeutige Nutzeridentifikation konfiguriert, mit IP-Anonymisierung und ohne Data Sharing mit Dritten. Je nach Konfiguration ohne Einwilligung oder mit Einwilligung.

10.3 Sonstige analytische, Profiling- oder Marketing-Cookies. Ausschließlich nach ausdrücklicher Einwilligung über unser Cookie-Banner. Dazu gehören Google Analytics 4 und PostHog. Sie können Ihre Auswahl jederzeit über die Cookie-Einstellungen in der Fußzeile unserer Websites ändern.

Eine aktuelle Übersicht spezifischer Cookies, deren Zweck, Anbieter und Aufbewahrungsfrist finden Sie in der Cookie-Erklärung unter modbuscloud.com/cookies.

11. Ihre Rechte

Sie haben nach Kapitel III DSGVO (Art. 15 bis 22) die folgenden Rechte, soweit die Rechtsgrundlage und der Kontext dies zulassen.

Recht auf Auskunft (Art. 15).
Recht auf Berichtigung (Art. 16).
Recht auf Löschung bzw. „Recht auf Vergessenwerden" (Art. 17).
Recht auf Einschränkung der Verarbeitung (Art. 18).
Recht auf Datenübertragbarkeit (Art. 20).
Widerspruchsrecht (Art. 21), insbesondere gegen Verarbeitungen auf Grundlage berechtigter Interessen.
Recht, nicht einer ausschließlich automatisierten Entscheidungsfindung unterworfen zu werden (Art. 22). Wir wenden dies nicht an, siehe Abschnitt 6.
Recht, eine erteilte Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3). Der Widerruf wirkt für die Zukunft und berührt die Rechtmäßigkeit der bisherigen Verarbeitung nicht.

Für eine Anfrage senden Sie eine E-Mail an privacy@modbuscloud.com. Wir antworten innerhalb eines Monats, ggf. um zwei Monate verlängert bei komplexen Anfragen (Art. 12 Abs. 3 DSGVO). Für Anfragen, die Endkundendaten betreffen, für die Ihr Installateur Verantwortlicher ist, verweisen wir Sie an den betreffenden Installateur. Wir unterstützen den Installateur bei der Bearbeitung solcher Anfragen auf Grundlage unseres DPA.

Sie haben jederzeit das Recht, eine Beschwerde bei der Niederländischen Datenschutzbehörde über autoriteitpersoonsgegevens.nl einzureichen.

12. Sicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO, darunter:

Verschlüsselung bei der Übertragung (TLS 1.2 oder höher) und Verschlüsselung im Ruhezustand (AES 256 oder gleichwertig über Hosting-Anbieter).
Row Level Security und strikte Mandantentrennung auf Datenbankebene (Supabase PostgreSQL).
Rollenbasierte Zugriffskontrolle, Prinzip der minimalen Rechte, verpflichtende Zwei-Faktor-Authentifizierung für Mitarbeiter mit Produktionszugriff.
Zentrales Logging, Monitoring und Alerting bei ungewöhnlicher Aktivität.
Regelmäßige Backups mit geografischer Redundanz innerhalb des EWR.
Regelmäßige Sicherheitstests, darunter Abhängigkeitsscans, Code Reviews und, in angemessenem Umfang, Penetrationstests.
Ein dokumentierter Incident-Response-Prozess.
Geheimhaltungspflichten für Mitarbeiter und Auftragsverarbeiter.
Verschlüsselte MQTT-Kommunikation (TLS 1.2 oder höher) zwischen Gateway und EMQX-Broker.
Hardware-Sicherheitsfeatures auf dem MCG-1-Gateway in Übereinstimmung mit dem Cyber Resilience Act.

13. Datenpannen

Wir wenden ein Datenpannen-Verfahren gemäß Art. 33 und 34 DSGVO an. Bei einer Datenpanne mit einem Risiko für die betroffenen Personen melden wir diese innerhalb von 72 Stunden nach Entdeckung an die Niederländische Datenschutzbehörde. Bei einem hohen Risiko informieren wir die betroffenen Personen direkt. In Fällen, in denen ModbusCloud als (Unter-)Auftragsverarbeiter auftritt, melden wir die Panne unverzüglich dem betreffenden Verantwortlichen, mit den Informationen, die zur Erfüllung der eigenen Meldepflicht erforderlich sind.

Ab dem 11. September 2026 gelten zusätzliche Meldepflichten bei aktiv ausgenutzten Schwachstellen und schwerwiegenden Vorfällen auf Grundlage des Cyber Resilience Act (Verordnung (EU) 2024/2847). Wir werden diese Meldungen über die Single-Reporting-Plattform der ENISA vornehmen, sobald diese verfügbar ist.

14. Minderjährige

Unser Dienst richtet sich ausschließlich an Geschäftskunden und ist nicht für natürliche Personen unter 16 Jahren bestimmt. Wir erheben nicht wissentlich Daten von Minderjährigen.

15. Änderungen

Wir können diese Datenschutzerklärung anpassen. Wesentliche Änderungen kündigen wir mindestens 30 Tage im Voraus über das Portal oder per E-Mail an den bei uns bekannten Accountkontakt an. Die aktuelle Fassung ist jederzeit unter modbuscloud.com/privacy mit Angabe des Versionsdatums verfügbar.

16. Kontakt

Für Fragen zu dieser Erklärung oder Ihren Datenschutzrechten:

Datenschutz-E-Mail: privacy@modbuscloud.com Allgemein: info@modbuscloud.com Telefon: +31 85 333 2576 Post: Avanta Systems, Ceintuurbaan 15, 8022 AW Zwolle

Beschwerden über die Verarbeitung Ihrer personenbezogenen Daten können Sie auch bei der Niederländischen Datenschutzbehörde einreichen, Postbus 93374, 2509 AJ Den Haag, autoriteitpersoonsgegevens.nl.

Bereitstellung des Portals und des Gateways (Kontoverwaltung, Authentifizierung, technischer Betrieb)	Konto, Geräte, Protokolle	Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO
Rechnungsstellung und Forderungsmanagement	Zahlungs- und Rechnungsdaten	Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO, und rechtliche Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO (Art. 52 AWR (niederländisches Steuergesetz))
Kundenservice und Vorfallbearbeitung	Konto, Support-Kommunikation	Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO
Sicherheit, Betrugsprävention, Audit-Trail	Protokolle, Audit-Trail, IP-Adressen	Berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO (Kontinuität, Sicherheit, Beweisführung)
Produktverbesserung auf Grundlage anonymisierter oder aggregierter Daten	Geräte- und Nutzungsstatistiken nach Anonymisierung	Berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO
Servicemitteilungen (Störungen, Releases, Änderungen der Bedingungen)	Kontodaten	Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO
Kommerzielle E-Mails über vergleichbare Produkte an Bestandskunden (Soft Opt-in)	E-Mail-Adresse	Berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO, im Rahmen von Art. 11.7 niederländisches Telekommunikationsgesetz
Newsletter oder Marketing an Interessenten	E-Mail-Adresse	Einwilligung, Art. 6 Abs. 1 lit. a DSGVO
Analytics und Produktnutzungsmessungen (PostHog und Google Analytics)	Cookies, Ereignisdaten, anonymisierte IP-Adresse	Einwilligung, Art. 6 Abs. 1 lit. a DSGVO und Art. 11.7a niederländisches Telekommunikationsgesetz
Erfüllung gesetzlicher Verpflichtungen (Steuern, Auskunftsersuchen zuständiger Behörden)	Alle relevanten Kategorien	Rechtliche Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO

Vercel Inc.	Hosting Frontend-Portal und Marketing-Site	Muttergesellschaft USA, Ausführung in EU-Region Frankfurt (fra1)	EU-U.S. Data Privacy Framework (DPF) und Standardvertragsklauseln (SCC) (EU) 2021/914 als zusätzliche Garantie
Supabase Inc.	PostgreSQL-Datenbank, Authentifizierung, Speicherung	Muttergesellschaft USA, Ausführung in EU West 1 (Irland)	EU-U.S. DPF und SCC 2021/914
Railway Corp.	Backend-Worker, Cronjobs	Muttergesellschaft USA, Ausführung in EU-Region	EU-U.S. DPF sofern zertifiziert, andernfalls SCC 2021/914
EMQX Cloud (EMQ Technologies Inc.)	MQTT-Broker für Gateway-Kommunikation	Serverless-Deployment in EU Central 1 (Frankfurt)	SCC 2021/914
Stripe Payments Europe Ltd.	Zahlungsabwicklung	Irland (EWR)	Keine Übermittlung erforderlich, innerhalb EWR
Google Ireland Ltd.	OAuth-Login (Google Sign-in) und, sofern konfiguriert, Google Analytics 4	Irland (EWR), Unterauftragsverarbeiter in den USA	EU-U.S. DPF und SCC 2021/914
Microsoft Ireland Operations Ltd.	OAuth-Login (Microsoft Entra ID)	Irland (EWR)	Innerhalb EWR, Unterauftragsverarbeiter teilweise in den USA unter EU-U.S. DPF
Resend B.V.	Transaktionale E-Mail (Rechnungen, Kontobenachrichtigungen, Passwort-Reset)	EU-Region Irland	Innerhalb EWR
Moneybird B.V.	Buchhaltung und Rechnungsstellung	Niederlande	Innerhalb EWR
PostHog Inc.	Produkt-Analytics (ausschließlich bei Einwilligung)	EU Cloud, Frankfurt (Deutschland)	Muttergesellschaft USA, SCC 2021/914

Kontodaten (Profil, Anmeldedaten)	Dauer des Abonnements plus 90 Tage nach Beendigung
Rechnungs- und Buchhaltungsdaten	7 Jahre nach Ablauf des Geschäftsjahres (Art. 52 AWR (niederländisches Steuergesetz), steuerliche Aufbewahrungspflicht)
Geräte- und Telemetriedaten	Dauer des Abonnements, danach 90-tägiges Exportfenster, vollständige Löschung innerhalb von 30 Tagen danach, Backups rollen innerhalb von 35 Tagen danach aus
Audit-Trail von Befehlen und Sicherheitsprotokollen	24 Monate, länger sofern für Vorfalluntersuchungen oder rechtliche Ansprüche erforderlich
Support-Korrespondenz	Maximal 24 Monate nach Abschluss des Tickets
Marketing-E-Mails und Newsletter	Bis zur Abmeldung, danach nur eine minimale Abmeldeliste
Cookies (nicht essenziell)	Sitzung oder maximal 12 Monate
Einwilligungsregistrierung	Dauer der Verarbeitung plus 5 Jahre zum Nachweis
Google Analytics Ereignisdaten	Maximal 2 Monate (kürzestmögliche Einstellung)
PostHog Sitzungs- und Ereignisdaten	Maximal 6 Monate nach letzter Aktivität

Datenschutzerklärung ModbusCloud