Diese Datenschutzerklärung beschreibt, wie Avanta Systems („wir", „uns", „ModbusCloud") personenbezogene Daten beim Angebot der ModbusCloud-Plattform und des zugehörigen Webshops verarbeitet. Wir nehmen Ihre Privatsphäre ernst und verarbeiten personenbezogene Daten in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO), dem Niederländischen DSGVO-Ausführungsgesetz und dem Niederländischen Telekommunikationsgesetz.
ModbusCloud ist ein B2B-Cloudportal, mit dem gewerbliche Installateure industrielle Modbus-Geräte (Wechselrichter, Wärmepumpen, Energiezähler, HVAC-Systeme) über das MCG-1-Gateway aus der Ferne überwachen, auslesen und ansteuern können. Diese Erklärung gilt für alle Verarbeitungen über modbuscloud.com und portal.modbuscloud.com.
Verantwortlicher im Sinne von Art. 4 Abs. 7 DSGVO ist:
Avanta Systems
Sitz in Zwolle, Niederlande
Geschäftsadresse: Ceintuurbaan 15, 8022 AW Zwolle
Handelsregisternummer: 97761362
USt-IdNr.: NL005287244B70
Umsatzsteuernummer: 228173425B02
Telefon: +31 85 333 2576
Allgemeine E-Mail-Adresse: info@modbuscloud.com
Datenschutzkontakt: privacy@modbuscloud.com
Wir sind gesetzlich nicht verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen (Art. 37 DSGVO), Sie können sich aber für alle datenschutzbezogenen Fragen an den oben genannten Datenschutzkontakt wenden. Anfragen werden vom Datenschutzverantwortlichen innerhalb von Avanta Systems bearbeitet.
Die Rollenverteilung nach der DSGVO ist wie folgt.
3.1 Kontodaten des Installateurs (Kunde). Für die personenbezogenen Daten, die wir über den Installateur und seine Mitarbeiter verarbeiten (Kontodaten, Zahlungsdaten, Support-Korrespondenz, Nutzungsstatistiken des Portals), ist ModbusCloud selbst Verantwortlicher.
3.2 Geräte- und Endkundendaten. Für personenbezogene Daten, die der Installateur über das Portal über seine eigenen Endkunden verarbeitet (Standortadressdaten, Standortname, ggf. Ansprechpartner, Geräte- und Messdaten, soweit auf eine natürliche Person rückführbar), ist der Installateur selbst Verantwortlicher. ModbusCloud tritt dabei als Auftragsverarbeiter auf. Soweit der Installateur für seinen Endkunden als Auftragsverarbeiter auftritt, tritt ModbusCloud als Unterauftragsverarbeiter auf.
Für diese Verarbeitung schließen wir mit jedem Installateur einen Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA) gemäß Art. 28 DSGVO ab. Der DPA ist integraler Bestandteil des Vertrages und wird bei der Einrichtung eines Geschäftskontos zur Verfügung gestellt.
Vor- und Nachname, geschäftliche E-Mail-Adresse, Firmenname, Position oder Rolle innerhalb des Unternehmens, Sprachpräferenz, gehashte Passwörter (bcrypt oder vergleichbar) oder OAuth-Tokens bei Anmeldung über Google oder Microsoft, Zwei-Faktor-Authentifizierungs-Seed oder Backup-Codes (falls aktiviert).
Rechnungsadresse, Firmenname, Handelsregisternummer, USt-IdNr., Bestellhistorie, Zahlungsstatus, letzte vier Ziffern der Zahlungsmethode. Vollständige Kartendaten oder IBAN werden ausschließlich von Stripe verarbeitet; wir erhalten oder speichern diese nicht.
Seriennummern von Gateways, Modbus-Registerwerte (zum Beispiel Strom, Spannung, Temperatur, COP, Durchfluss, Sollwerte), Zeitstempel, Konnektivitätsstatus, Firmware-Versionen. Soweit diese Daten auf eine natürliche Person rückführbar sind (zum Beispiel weil das Gateway an einer Wohnadresse steht), gelten diese als personenbezogene Daten.
Anmeldedaten (Zeitpunkt, IP-Adresse, User Agent), aufgerufene Seiten, ausgeführte API-Aufrufe, und (wichtig) der vollständige Audit-Trail von Schreibbefehlen an Modbus-Register: wer hat zu welchem Zeitpunkt welchen Wert in welches Register welches Geräts geschrieben. Dieser Audit-Trail ist gesetzlich notwendig für Haftungszwecke und Sicherheit.
Wir verarbeiten personenbezogene Daten ausschließlich für die nachstehend beschriebenen Zwecke und auf Grundlage der angegebenen Rechtsgrundlage aus Art. 6 DSGVO.
Zweck
Datenkategorien
Rechtsgrundlage
Bereitstellung des Portals und des Gateways (Kontoverwaltung, Authentifizierung, technischer Betrieb)
Konto, Geräte, Protokolle
Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO
Rechnungsstellung und Forderungsmanagement
Zahlungs- und Rechnungsdaten
Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO, und rechtliche Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO (Art. 52 AWR (niederländisches Steuergesetz))
Wir verwenden keine vollständig automatisierte Entscheidungsfindung mit rechtlichen Folgen oder ähnlich erheblichen Auswirkungen auf die betroffene Person im Sinne von Art. 22 DSGVO. Alarmregeln, Schwellenwerte und Automatisierungsskripte, die der Kunde im Portal konfiguriert, stellen keine automatisierte Entscheidungsfindung über natürliche Personen dar, sondern eine technische Betriebsführung über Geräte.
Wir ziehen sorgfältig ausgewählte Auftragsverarbeiter für Hosting, Authentifizierung, Zahlung, Kommunikation und Analyse heran. Mit jedem Auftragsverarbeiter schließen wir einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ab.
Auftragsverarbeiter
Rolle
Sitz und Region
Grundlage für Übermittlung außerhalb des EWR
Vercel Inc.
Hosting Frontend-Portal und Marketing-Site
Muttergesellschaft USA, Ausführung in EU-Region Frankfurt (fra1)
EU-U.S. Data Privacy Framework (DPF) und Standardvertragsklauseln (SCC) (EU) 2021/914 als zusätzliche Garantie
Produkt-Analytics (ausschließlich bei Einwilligung)
EU Cloud, Frankfurt (Deutschland)
Muttergesellschaft USA, SCC 2021/914
Eine aktuelle Liste der Unterauftragsverarbeiter wird als Anlage zu unserem DPA veröffentlicht. Änderungen werden dem Kunden mindestens 30 Tage im Voraus angekündigt; dieser kann gegen einen neuen Unterauftragsverarbeiter begründet Widerspruch erheben.
Für Website-Statistiken können wir Google Analytics 4 verwenden, bereitgestellt von Google Ireland Ltd. Wir konfigurieren diesen Dienst gemäß dem „Leitfaden zur datenschutzfreundlichen Konfiguration von Google Analytics" der Niederländischen Datenschutzbehörde:
Mit Google wurde ein Auftragsverarbeitungsvertrag (Google Ads Data Processing Terms) abgeschlossen.
IP-Adressen werden nicht vollständig gespeichert; Google Analytics 4 verarbeitet IP-Adressen nur vorübergehend zur geografischen Annäherung.
Daten werden nicht für eigene Zwecke mit Google geteilt. „Google-Signale", personalisierte Werbung und Data Sharing mit anderen Google-Produkten sind deaktiviert.
Die Aufbewahrungsfrist in Google Analytics ist auf die minimale Einstellung von 2 Monaten gesetzt.
Google-Analytics-Cookies werden ausschließlich nach ausdrücklicher Einwilligung über unser Cookie-Banner gesetzt.
Für Produkt-Analytics im Portal verwenden wir PostHog in der EU-Cloud-Umgebung in Frankfurt, sodass Daten den EWR nicht verlassen. PostHog ist mit Autocapture im deaktivierten oder eingeschränkten Modus, Session-Recording nur mit ausdrücklicher Einwilligung und IP-Anonymisierung konfiguriert. PostHog-Cookies werden ausschließlich nach ausdrücklicher Einwilligung gesetzt.
Einige unserer Auftragsverarbeiter haben eine Muttergesellschaft in den Vereinigten Staaten. Für die Übermittlung personenbezogener Daten in diese Drittländer stützen wir uns auf:
Den EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023), soweit der betreffende Empfänger auf der aktuellen DPF-Liste steht.
Die Standardvertragsklauseln (SCC) (Modul 2 oder Modul 3, Durchführungsbeschluss (EU) 2021/914) als zusätzliche oder alternative Garantie.
Zusätzliche technische und organisatorische Maßnahmen in Übereinstimmung mit den EDSA-Empfehlungen 01/2020 zu ergänzenden Maßnahmen, darunter Verschlüsselung im Ruhezustand und bei der Übertragung, strikte Zugriffsrechte und Protokollierung von Exportanfragen.
Auf Anfrage stellen wir eine Kopie oder Zusammenfassung der geltenden Garantien zur Verfügung.
Wir bewahren personenbezogene Daten nicht länger auf als erforderlich. Konkrete Fristen:
Datenart
Aufbewahrungsfrist
Kontodaten (Profil, Anmeldedaten)
Dauer des Abonnements plus 90 Tage nach Beendigung
Rechnungs- und Buchhaltungsdaten
7 Jahre nach Ablauf des Geschäftsjahres (Art. 52 AWR (niederländisches Steuergesetz), steuerliche Aufbewahrungspflicht)
Geräte- und Telemetriedaten
Dauer des Abonnements, danach 90-tägiges Exportfenster, vollständige Löschung innerhalb von 30 Tagen danach, Backups rollen innerhalb von 35 Tagen danach aus
Audit-Trail von Befehlen und Sicherheitsprotokollen
24 Monate, länger sofern für Vorfalluntersuchungen oder rechtliche Ansprüche erforderlich
Support-Korrespondenz
Maximal 24 Monate nach Abschluss des Tickets
Marketing-E-Mails und Newsletter
Bis zur Abmeldung, danach nur eine minimale Abmeldeliste
Cookies (nicht essenziell)
Sitzung oder maximal 12 Monate
Einwilligungsregistrierung
Dauer der Verarbeitung plus 5 Jahre zum Nachweis
Google Analytics Ereignisdaten
Maximal 2 Monate (kürzestmögliche Einstellung)
PostHog Sitzungs- und Ereignisdaten
Maximal 6 Monate nach letzter Aktivität
Nach Ablauf werden Daten gelöscht oder unumkehrbar anonymisiert. Aggregierte oder anonymisierte Produktstatistiken können länger aufbewahrt werden, da diese keine personenbezogenen Daten mehr enthalten.
Wir setzen Cookies auf Grundlage von Art. 11.7a niederländisches Telekommunikationsgesetz. Es gibt drei Kategorien.
10.1 Funktionale und unbedingt erforderliche Cookies. Werden ohne Einwilligung gesetzt. Dazu gehören Sitzungscookies, CSRF-Tokens, Sprachpräferenz, Cookie-Banner-Auswahl und Authentifizierungs-Tokens. Ohne diese Cookies funktioniert das Portal nicht.
10.2 Analytische Cookies mit geringer Datenschutzauswirkung. Soweit möglich ohne eindeutige Nutzeridentifikation konfiguriert, mit IP-Anonymisierung und ohne Data Sharing mit Dritten. Je nach Konfiguration ohne Einwilligung oder mit Einwilligung.
10.3 Sonstige analytische, Profiling- oder Marketing-Cookies. Ausschließlich nach ausdrücklicher Einwilligung über unser Cookie-Banner. Dazu gehören Google Analytics 4 und PostHog. Sie können Ihre Auswahl jederzeit über die Cookie-Einstellungen in der Fußzeile unserer Websites ändern.
Eine aktuelle Übersicht spezifischer Cookies, deren Zweck, Anbieter und Aufbewahrungsfrist finden Sie in der Cookie-Erklärung unter modbuscloud.com/cookies.
Sie haben nach Kapitel III DSGVO (Art. 15 bis 22) die folgenden Rechte, soweit die Rechtsgrundlage und der Kontext dies zulassen.
Recht auf Auskunft (Art. 15).
Recht auf Berichtigung (Art. 16).
Recht auf Löschung bzw. „Recht auf Vergessenwerden" (Art. 17).
Recht auf Einschränkung der Verarbeitung (Art. 18).
Recht auf Datenübertragbarkeit (Art. 20).
Widerspruchsrecht (Art. 21), insbesondere gegen Verarbeitungen auf Grundlage berechtigter Interessen.
Recht, nicht einer ausschließlich automatisierten Entscheidungsfindung unterworfen zu werden (Art. 22). Wir wenden dies nicht an, siehe Abschnitt 6.
Recht, eine erteilte Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3). Der Widerruf wirkt für die Zukunft und berührt die Rechtmäßigkeit der bisherigen Verarbeitung nicht.
Für eine Anfrage senden Sie eine E-Mail an privacy@modbuscloud.com. Wir antworten innerhalb eines Monats, ggf. um zwei Monate verlängert bei komplexen Anfragen (Art. 12 Abs. 3 DSGVO). Für Anfragen, die Endkundendaten betreffen, für die Ihr Installateur Verantwortlicher ist, verweisen wir Sie an den betreffenden Installateur. Wir unterstützen den Installateur bei der Bearbeitung solcher Anfragen auf Grundlage unseres DPA.
Sie haben jederzeit das Recht, eine Beschwerde bei der Niederländischen Datenschutzbehörde über autoriteitpersoonsgegevens.nl einzureichen.
Wir wenden ein Datenpannen-Verfahren gemäß Art. 33 und 34 DSGVO an. Bei einer Datenpanne mit einem Risiko für die betroffenen Personen melden wir diese innerhalb von 72 Stunden nach Entdeckung an die Niederländische Datenschutzbehörde. Bei einem hohen Risiko informieren wir die betroffenen Personen direkt. In Fällen, in denen ModbusCloud als (Unter-)Auftragsverarbeiter auftritt, melden wir die Panne unverzüglich dem betreffenden Verantwortlichen, mit den Informationen, die zur Erfüllung der eigenen Meldepflicht erforderlich sind.
Ab dem 11. September 2026 gelten zusätzliche Meldepflichten bei aktiv ausgenutzten Schwachstellen und schwerwiegenden Vorfällen auf Grundlage des Cyber Resilience Act (Verordnung (EU) 2024/2847). Wir werden diese Meldungen über die Single-Reporting-Plattform der ENISA vornehmen, sobald diese verfügbar ist.
Unser Dienst richtet sich ausschließlich an Geschäftskunden und ist nicht für natürliche Personen unter 16 Jahren bestimmt. Wir erheben nicht wissentlich Daten von Minderjährigen.
Wir können diese Datenschutzerklärung anpassen. Wesentliche Änderungen kündigen wir mindestens 30 Tage im Voraus über das Portal oder per E-Mail an den bei uns bekannten Accountkontakt an. Die aktuelle Fassung ist jederzeit unter modbuscloud.com/privacy mit Angabe des Versionsdatums verfügbar.
Beschwerden über die Verarbeitung Ihrer personenbezogenen Daten können Sie auch bei der Niederländischen Datenschutzbehörde einreichen, Postbus 93374, 2509 AJ Den Haag, autoriteitpersoonsgegevens.nl.
Datenschutzerklärung ModbusCloud
Version 1.0•Zuletzt aktualisiert am 18. April 2026
