Datenschutzerklärung

Stand: 27. Juni 2026

1. Geltungsbereich

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung
personenbezogener Daten auf den folgenden Internetangeboten der DGfE – Deutsche
Gesellschaft für Energiewirtschaft:

Auf einen Blick — wenn Sie unser Beratungs-Formular ausgefüllt haben

📞 Telefonische Kontaktaufnahme:
Mit dem Absenden des Formulars willigen Sie in einen Anruf zur Beratungs-Termin-Vereinbarung ein. Widerruf jederzeit per E-Mail an kontakt@deutsche-energiewirtschaft.de.

📋 Was wir mit Ihren Daten machen:
Vorbereitung Ihrer kostenlosen Energie-Beratung gemäß Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme). Empfänger: unser Beratungs- und Vertriebs-Team, Workflow-Tool ClickUp Inc. (USA, DPF) und ggf. Energieversorger zur Tarifvermittlung. Bei aktiviertem Marketing-Cookie zusätzlich gehashte Kontaktdaten an Meta (USA, DPF).

⚖️ Ihre Rechte (Details unten in §13):
Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch nach Art. 21 DSGVO, Datenübertragbarkeit, Beschwerde bei Aufsichtsbehörde. Kontakt: kontakt@deutsche-energiewirtschaft.de.

🕒 Speicherdauer: 24 Monate nach letztem Kontakt; bei Vertragsabschluss handelsrechtliche Aufbewahrung (bis 10 Jahre).

Vollständige Details, alle eingesetzten Tools (Cookies, Tracking, Server, etc.) und weiterführende Informationen finden Sie nachfolgend.

2. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger
nationaler Datenschutzgesetze der Mitgliedstaaten ist:

AK-FAMILY GmbH (handelnd unter dem Handelsnamen DGfE – Deutsche Gesellschaft für Energiewirtschaft)
Große Gallusstraße 16–18, 60312 Frankfurt am Main, Deutschland
E-Mail: kontakt@deutsche-energiewirtschaft.de
Geschäftsführer: A. Kakar
Handelsregister: Amtsgericht Frankfurt am Main, HRB 140284

3. Datenschutzbeauftragter

Den betrieblichen Datenschutzbeauftragten erreichen Sie unter:

Fabian Zadmajid
E-Mail: kontakt@deutsche-energiewirtschaft.de

Bei der Korrespondenz mit dem Datenschutzbeauftragten ist der Bezug zur DGfE –
AK-FAMILY GmbH anzugeben.

Anfragen ausschließlich zum Datenschutz können Sie zusätzlich an
kontakt@deutsche-energiewirtschaft.de richten,
einen Widerruf erteilter Einwilligungen an
kontakt@deutsche-energiewirtschaft.de.

4. Allgemeine Grundsätze der Verarbeitung

Personenbezogene Daten werden nur verarbeitet, soweit dies zur Bereitstellung einer
funktionsfähigen Website und der angebotenen Leistungen erforderlich ist und eine
Rechtsgrundlage nach Art. 6 DSGVO vorliegt. Es werden technische und organisatorische
Maßnahmen nach Art. 32 DSGVO getroffen, um Ihre Daten vor unbefugter Kenntnisnahme,
Verlust oder Manipulation zu schützen. Beschäftigte werden auf das Datengeheimnis und
die Vertraulichkeitspflichten gemäß Art. 28 DSGVO verpflichtet.

5. Verarbeitete Daten und Zwecke

5.1 Lead-Formular auf den Funnel-Seiten (/energiepaket, /strom-gas)

Verarbeitete Daten:

  • Firmenname
  • Anrede sowie Vor- und Nachname (Ansprechpartner:in)
  • E-Mail-Adresse
  • Telefonnummer
  • Verbrauchsangaben (jährlicher Strom-/Gasverbrauch in kWh)
  • Branche (Gewerbe-Klassifikation)
  • Aktueller Preis pro kWh (optional)
  • Hochgeladene Strom-/Gasrechnung als PDF oder Bild (optional)
  • Marketing-Cookie-Status (zur Bestimmung der Tracking-Reichweite)
  • Technische Metadaten: IP-Adresse, User-Agent, Zeitstempel, UTM-Parameter, Referrer

Zwecke der Verarbeitung:

  1. Vorbereitung und Durchführung einer kostenlosen Energie-Beratung durch die DGfE GmbH
  2. Telefonische Kontaktaufnahme zur Vereinbarung des Beratungstermins (auf Basis Ihrer ausdrücklichen Einwilligung beim Absenden des Formulars)
  3. Gegebenenfalls Vermittlung an regulierte Energieversorger in Deutschland für individuelle Strom-/Gas-Tarif-Angebote
  4. Interne Auswertung Ihrer Anfrage zur Lead-Qualifizierung

Rechtsgrundlagen:

Primär – Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen):
Die Verarbeitung Ihrer Daten ist erforderlich, um die von Ihnen aktiv angefragte
Energie-Beratung vorzubereiten und durchzuführen. Mit dem Ausfüllen und Absenden des
Formulars treten Sie in ein vorvertragliches Schuldverhältnis mit der DGfE GmbH ein
(Beratungs-Werkvertrag sui generis, ohne Entgeltlichkeit gemäß § 675 BGB
analog; bestätigt durch BGH 01/2026 zur weiten Auslegung von Art. 6 Abs. 1 lit. b DSGVO).

Hilfsweise – Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse):
Soweit eine konkrete Vertragsanbahnung im Einzelfall nicht erkennbar ist, stützen wir
die Verarbeitung auf unser berechtigtes Interesse an effizienter Lead-Qualifizierung
und Vermittlungs-Tätigkeit. Eine dokumentierte Interessenabwägung (Legitimate Interest
Assessment, LIA) liegt vor und kann auf Anfrage über
kontakt@deutsche-energiewirtschaft.de
eingesehen werden. Die Konkretisierung des berechtigten Interesses erfolgt
entsprechend den Anforderungen aus EuGH-Urteil C-621/22 (Mousse, 06/2025).

Telefonanruf – § 7 Abs. 2 Nr. 1 UWG (ausdrückliche Einwilligung):
Die telefonische Kontaktaufnahme zur Vereinbarung des Beratungstermins erfolgt
ausschließlich auf Basis Ihrer ausdrücklichen Einwilligung, die Sie mit dem Absenden
des Formulars (sichtbarer Hinweis im Formular) erteilen. Diese Einwilligung können Sie
jederzeit per E-Mail an
kontakt@deutsche-energiewirtschaft.de
ohne Angabe von Gründen widerrufen. Wir dokumentieren Ihre Einwilligung mit Zeitstempel,
IP-Adresse und Formular-Version gemäß Gesetz für faire Verbraucherverträge (2021) für
5 Jahre.

Empfänger Ihrer Daten:

  • Internes Beratungs- und Vertriebsteam der DGfE GmbH (Mitarbeiter:innen mit Vertriebs- bzw. Beratungsfunktion, namentlich auf Anfrage)
  • Auftragsverarbeiter (Art. 28 DSGVO): Hosting (Hetzner Online GmbH, siehe 7.9), E-Mail-Versand (Transaktions-SMTP-Provider), Sales-Workflow-Management (ClickUp Inc. / Mango Technologies, USA, DPF-zertifiziert – Details siehe 8.9). Eine vollständige Liste der Auftragsverarbeiter ist auf Anfrage verfügbar.
  • Bei konkreter Tarif-Vermittlung mit Ihrer Wahl: regulierte Strom-/Gaslieferanten in Deutschland (z.B. E.ON, EnBW, Stadtwerke; jeweils gemäß Ihrer expliziten Auswahl im Beratungsgespräch)

Speicherdauer:

  • Kontaktdaten: 24 Monate nach dem letzten dokumentierten Kontakt; anschließend Löschung oder Anonymisierung. Begründung: drei-jährige Verjährungsfrist (§ 195 BGB) zzgl. branchenüblichem Reaktivierungs-Zeitraum (BVDW-Leitlinie Lead-Management).
  • Anruf-Einwilligungs-Logs: 5 Jahre (Dokumentationspflicht aus dem Gesetz für faire Verbraucherverträge 2021).
  • Bei Vertragsabschluss: handels- und steuerrechtliche Aufbewahrungspflichten bis zu 10 Jahre nach Geschäftsjahresende (§§ 147 AO, 257 HGB).

Pflichtigkeit der Bereitstellung:
Die Bereitstellung der Daten ist für die Beratung erforderlich. Ohne diese Daten können
wir keine individuelle Energie-Beratung durchführen. Eine darüber hinausgehende
vertragliche oder gesetzliche Pflicht zur Bereitstellung besteht nicht.

Keine automatisierte Einzelentscheidung:
Es findet keine automatisierte Einzelentscheidung im Sinne von Art. 22 DSGVO statt.
Beratungs- und Vertragsentscheidungen werden ausschließlich durch unsere menschlichen
Berater:innen getroffen.

5.2 Kontaktaufnahme per E-Mail

Bei Kontaktaufnahme per E-Mail (z. B. an kontakt@deutsche-energiewirtschaft.de) oder über
ein Kontaktformular werden die übermittelten Daten zur Bearbeitung der Anfrage
verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen)
bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effektiver Korrespondenz).
Eingegangene geschäftliche E-Mails werden aufgrund handels- und steuerrechtlicher
Vorgaben (GoBD) revisionssicher archiviert.

5.3 Server-Logfiles

Bei jedem Aufruf erhebt der Webserver automatisch folgende Daten:

  • angefragte URL und HTTP-Statuscode
  • Datum und Uhrzeit des Zugriffs
  • übertragene Datenmenge
  • Browsertyp, Browser-Version, Betriebssystem
  • Referrer-URL (zuvor besuchte Seite)
  • IP-Adresse

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse
an IT-Sicherheit und Betriebsstabilität).
Speicherdauer: 30 Tage, anschließend automatische Löschung. Bei
konkretem Sicherheitsvorfall verlängert sich die Aufbewahrung bis zur abschließenden
Klärung.

5.4 Cookies und vergleichbare Technologien

Es werden folgende Kategorien von Cookies bzw. vergleichbaren Speichertechnologien
eingesetzt:

  • Technisch notwendige Cookies (Session-ID, Cookie-Consent-Auswahl,
    Barrierefreiheits-Einstellungen) – Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m.
    Art. 6 Abs. 1 lit. f DSGVO.
  • Statistik- und Marketing-Cookies (siehe Abschnitte 6, 7 und 8) –
    nur nach ausdrücklicher Einwilligung über das Cookie-Banner; Rechtsgrundlage:
    § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO.

6. Einwilligungs-Banner und Cookie-Consent

Beim ersten Besuch dieser Website wird über ein Consent-Banner (Tarteaucitron-Software,
Open Source unter MIT-Lizenz, selbst gehostet) Ihre Einwilligung in nicht technisch
notwendige Cookies und Tracker abgefragt. Sie haben drei Auswahl-Optionen auf gleicher
Ebene:

  • Alle akzeptieren – aktiviert Funktional + Analyse + Marketing
  • Alle ablehnen – aktiviert nur strikt notwendige Cookies (Funktional)
  • Einzeln auswählen – granulare Steuerung pro Kategorie

Die getroffene Auswahl wird in einem technisch notwendigen first-party-Cookie
(tac_consent_ep bzw. tac_consent_sg) auf Ihrem Endgerät
gespeichert (Laufzeit: 12 Monate).

Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die
Zukunft widerrufen, indem Sie das Cookie-Symbol am unteren Seitenrand erneut anklicken
und Ihre Auswahl ändern. Die Rechtmäßigkeit der bis zum Widerruf erfolgten
Verarbeitung bleibt davon unberührt.

7. Cookie-Übersicht und eingesetzte Drittdienste

Die nachfolgend genannten Dienste werden – soweit nicht ausdrücklich als „technisch
notwendig“ gekennzeichnet – ausschließlich nach Ihrer Einwilligung im Cookie-Banner
geladen. Bis zur Erteilung der Einwilligung findet keine Übertragung an die genannten
Anbieter statt.

7.0 Cookie-Übersicht (tabellarisch)

Technisch erforderliche Cookies (kein Opt-In nötig, § 25 Abs. 2 Nr. 2 TDDDG):

CookieAnbieterZweckLaufzeit
tac_consent_ep / tac_consent_sgDGfE GmbH (first-party)Speicherung Ihrer Cookie-Einstellungen12 Monate
funnel-sessionDGfE GmbH (first-party)Session-Verwaltung Funnel-Quiz24 Stunden
CSRF-TokenDGfE GmbH (first-party)Sicherheit Form-Submits gegen Cross-Site-Request-ForgerySession

Analyse-Cookies (Opt-In erforderlich, Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG):

ToolAnbieterZweckCookiesServer-StandortDrittlandsbezug
PostHogPostHog Inc.Nutzungs-Analyse, Funnel-Drop-Off-Analyseph_*, __ph_*AWS Frankfurt (eu-central-1)Keiner (EU-Cloud-Account)
Google Analytics 4 (GA4)Google Ireland Ltd.Reichweiten-Messung, Verhaltens-Analyse_ga, _ga_*EU + USAUSA via DPF + SCC
HotjarHotjar Ltd. (Malta)Heatmaps, Session-Aufzeichnungen (Eingabefelder maskiert)_hj*EU (Malta)Keiner

Marketing-Cookies (Opt-In erforderlich, Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG):

ToolAnbieterZweckCookiesServerDrittlandsbezug
Facebook-PixelMeta Platforms Ireland Ltd.Client-Side Conversion-Tracking_fbp, _fbcUSAUSA via DPF + SCC (Joint Controller, siehe 8)
Meta Conversions APIMeta Platforms Ireland Ltd.Server-Side Conversion-Tracking(keine Cookies, server-to-server)USAUSA via DPF + SCC (Joint Controller, siehe 8)
Google Ads Conversion-TrackingGoogle Ireland Ltd.Werbe-Optimierung Google_gcl_*EU + USAUSA via DPF
LinkedIn Insight TagLinkedIn Ireland Unlimited CompanyB2B Retargeting + Conversion-Trackingli_*EU + USAUSA via DPF (LinkedIn als Independent Controller, Addendum: linkedin.com/legal/l/linkedin-independent-controller-addendum)
TikTok Pixel + Events APITikTok Technology Limited (Irland)Werbe-Optimierung TikTok_ttpEU + Singapur + USAKeine DPF-Zertifizierung. Übermittlung ausschließlich auf Basis SCC + dokumentierter TIA. Hinweis Irish-DPC-Bescheid 02.05.2025 (530 Mio. €) zu EU→CN-Transfers: TikTok hat Korrekturmaßnahmen zugesagt, wir mitigieren über Datenminimierung und quartalsweisen TIA-Review.
Microsoft Bing UETMicrosoft Ireland Operations Ltd.Werbe-Optimierung Bing_uetsid, _uetvidEU + USAUSA via DPF

7.1 Meta Pixel (Facebook / Instagram)

Anbieter: Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2,
Irland (Mutter: Meta Platforms Inc., USA).
Zweck: Messung von Werbe-Conversions, Aufbau von Custom-Audiences,
Retargeting in den Meta-Werbenetzwerken (Facebook, Instagram).
Verarbeitete Daten: IP-Adresse, Geräte- und Browser-Informationen,
Pixel-ID, ausgelöstes Event, ggf. gehashte E-Mail (Advanced Matching).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG
(Einwilligung).
Drittland: Übermittlung in die USA möglich. Grundlage: EU-US
Data-Privacy-Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023)
sowie EU-Standardvertragsklauseln gemäß Art. 46 DSGVO.
Speicherdauer: bis zu 180 Tage seitens Meta; clientseitige Cookies
bis zu 90 Tage.
Joint Controllership: Für die Erhebung dieser Daten sind die DGfE GmbH
und Meta gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO – Details siehe
Abschnitt 8 (Meta Conversions API).
Widerruf: über das Cookie-Banner oder die Meta-Werbeeinstellungen
(facebook.com/adpreferences).
Datenschutzhinweise: facebook.com/policy.php

7.2 Google Tag Manager und Google Analytics 4

Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4,
Irland (Mutter: Google LLC, USA).
Zweck: Tag-Verwaltung, Reichweitenmessung, Conversion-Tracking.
IP-Adressen werden vor der Verarbeitung gekürzt und anonymisiert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG
(Einwilligung).
Drittland: USA, abgesichert über EU-US Data-Privacy-Framework und
EU-Standardvertragsklauseln.
Speicherdauer: maximal 14 Monate (im Konto auf den geringstmöglichen
Wert reduziert).
Datenschutzhinweise: policies.google.com/privacy

7.3 Google Ads – Conversion-Tracking und Remarketing

Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4,
Irland.
Zweck: Conversion-Tracking sowie Aufbau von Remarketing-Listen für
Display- und Suchanzeigen. Ggf. zusätzlich Server-Side-Übermittlung über
Google Ads Enhanced Conversions (Joint Controller mit Google Ireland Ltd.).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Drittland: USA, abgesichert über EU-US Data-Privacy-Framework und
EU-Standardvertragsklauseln.
Datenschutzhinweise: policies.google.com/privacy

7.4 LinkedIn Insight Tag und LinkedIn Conversions API

Anbieter: LinkedIn Ireland Unlimited Company, Wilton Plaza, Wilton
Place, Dublin 2, Irland.
Zweck: B2B-Conversion-Tracking, Zielgruppen-Insights und Retargeting
in LinkedIn-Kampagnen; ggf. ergänzende Server-Side-Übermittlung über die LinkedIn
Conversions API (LinkedIn agiert hier als Independent Controller gemäß
LinkedIn-Addendum).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Drittland: USA, abgesichert über EU-US Data-Privacy-Framework und
EU-Standardvertragsklauseln.
Datenschutzhinweise: linkedin.com/legal/privacy-policy

7.5 TikTok Pixel und TikTok Events API

Anbieter: TikTok Technology Limited, 10 Earlsfort Terrace, Dublin 2,
Irland.
Zweck: Conversion-Tracking und Retargeting für TikTok-Werbeanzeigen;
ggf. ergänzende Server-Side-Übermittlung über die TikTok Events API.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Drittland: Übermittlung an TikTok-Server außerhalb der EU
(u. a. USA, Singapur). TikTok ist NICHT DPF-zertifiziert – die
Übermittlung erfolgt ausschließlich auf Basis von EU-Standardvertragsklauseln gemäß
Art. 46 DSGVO, ergänzt um ein dokumentiertes Transfer-Impact-Assessment (TIA).
Wir verweisen ergänzend auf den Bescheid des Irish Data Protection Commissioner vom
02.05.2025 (Bußgeld 530 Mio. €) wegen EU→CN-Transfers; TikTok hat Korrekturmaßnahmen
zugesagt, wir mitigieren über Datenminimierung und quartalsweisen TIA-Review.
Datenschutzhinweise: tiktok.com/legal/privacy-policy-eea

7.6 Microsoft Advertising (Bing) UET-Tag

Anbieter: Microsoft Corporation, One Microsoft Way, Redmond,
WA 98052, USA; in der EU vertreten durch Microsoft Ireland Operations Ltd., One
Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland.
Zweck: Conversion-Tracking für Bing-Suchanzeigen; ggf. ergänzende
Server-Side-Übermittlung über die Microsoft Advertising UET API.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Drittland: USA, abgesichert über EU-US Data-Privacy-Framework und
EU-Standardvertragsklauseln.
Datenschutzhinweise: privacy.microsoft.com

7.7 PostHog Product Analytics

Anbieter: PostHog Inc., bezogen über die EU-Region (Cloud-EU, Server
in Frankfurt am Main). Der Aufruf erfolgt über den Reverse-Proxy
posthog.deutsche-energiewirtschaft.de.
Zweck: Produkt-Analytics, Funnel-Auswertung, anonymisierte Heatmaps;
optional Session-Replay (Eingabefelder werden serverseitig maskiert).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Drittland: Verarbeitung in der EU; bei Nutzung der Cloud-EU-Region
findet keine Drittland-Übermittlung statt.
Datenschutzhinweise: posthog.com/privacy

7.8 Hotjar

Anbieter: Hotjar Ltd., Dragonara Business Centre, 5th Floor,
Dragonara Road, Paceville, St Julian’s STJ 3141, Malta.
Zweck: Heatmaps, Session-Aufzeichnungen und Usability-Analyse zur
Verbesserung der Nutzerführung. Hotjar wird ausschließlich nach erteilter Einwilligung
über das Cookie-Banner aktiviert. Eingabefelder werden in der Aufzeichnung maskiert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Drittland: Verarbeitung innerhalb der EU (Malta).
Datenschutzhinweise: hotjar.com/legal/policies/privacy

7.9 Hosting und Auftragsverarbeitung (technisch notwendig)

Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen,
Deutschland.
Zweck: Bereitstellung der Server-Infrastruktur (Web-Server,
Datenbanken, E-Mail-Versand).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse
an stabilem Hosting) i. V. m. einem Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
Server-Standort: Deutschland (keine Drittland-Übermittlung).

8. Meta Conversions API (Server-Side Tracking)

Wenn Sie über unser Cookie-Banner die Kategorie „Marketing“ akzeptiert haben,
übermitteln wir nach erfolgreichem Form-Submit zusätzlich zum clientseitigen
Facebook-Pixel auch serverseitig ausgewählte Daten an Meta Platforms Ireland Ltd.,
4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland (im Folgenden „Meta“) über
die Conversions API (CAPI).

8.1 Übermittelte Daten

  • Gehashte Identifikatoren (SHA-256-Hash-Verfahren, lokal vor Übertragung, kein Klartext an Meta):
    • E-Mail-Adresse
    • Telefonnummer
    • Vor- und Nachname
  • Ereignis-Metadaten: Event-Typ (z.B. „Lead“), Zeitstempel, eindeutige Event-ID zur Deduplikation gegen den Browser-Pixel
  • Technische Browser-Cookies (sofern vorhanden): _fbp (Facebook-Werbe-Identifikator-Cookie), _fbc (Facebook-Click-Identifikator-Cookie)
  • Technische Metadaten: IP-Adresse (von Meta nach Empfang gehasht), User-Agent, Event-Source-URL (Funnel-Seiten-URL)

8.2 Zwecke der CAPI-Übermittlung

  • Verbesserung der Werbe-Auslieferungs-Optimierung, insbesondere bei iOS-Geräten mit Intelligent Tracking Prevention (ITP) oder Adblock-Nutzung
  • Erhöhung der Genauigkeit des Conversion-Trackings
  • Bildung von Custom Audiences für zielgruppen-spezifische Werbung
  • Lookalike-Audience-Erstellung auf Basis erfolgreicher Leads

8.3 Rechtsgrundlage

Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung über das Cookie-Banner)
in Verbindung mit § 25 Abs. 1 TDDDG.

Sie können diese Einwilligung jederzeit über das Cookie-Banner (Reopen-Icon unten
rechts auf jeder Seite) widerrufen. Nach Widerruf erfolgt keine weitere
Server-Side-Übermittlung an Meta. Bereits übertragene Daten verbleiben gemäß
Meta-Aufbewahrungsfristen 2 Jahre bei Meta.

8.4 Gemeinsame Verantwortlichkeit (Joint Controllership)

Für die Erhebung und serverseitige Übermittlung der oben genannten Daten sind die
DGfE GmbH und Meta Platforms Ireland Ltd. gemeinsam Verantwortliche im Sinne von
Art. 26 DSGVO. Die „Wesentlichen Inhalte der Vereinbarung“ gemäß Art. 26 Abs. 2 DSGVO
finden Sie hier: Joint Controller Addendum (Meta):
facebook.com/legal/controller_addendum

Verantwortlichkeits-Verteilung:

  • DGfE GmbH ist verantwortlich für: Erhebung Ihrer Daten auf unserer Website, lokales SHA-256-Hashing vor Übermittlung, Einwilligungs-Management (Cookie-Banner + Backend-Gating), Information gemäß Art. 13/14 DSGVO (diese Datenschutzerklärung)
  • Meta ist verantwortlich für: Empfang und Weiterverarbeitung der Daten zu Werbe-Zwecken, Bearbeitung von Betroffenenrechts-Anfragen nach Empfang, Sicherstellung der Meta-internen Aufbewahrungs- und Löschfristen

8.5 Drittlandstransfer USA

Meta verarbeitet Daten in den USA. Die Übermittlung erfolgt auf Basis:

Restrisiko USA-Transfer: Zugriff durch US-Sicherheitsbehörden
(insbesondere FISA 702) ist nicht vollständig ausschließbar. Wir mitigieren dies durch:

  • Lokales SHA-256-Hashing aller direkten Identifikatoren vor Übermittlung
  • Minimierung der übertragenen Daten (nur Hashes + Event-Metadaten, keine Klartext-PII)
  • Quartalsweise TIA-Review

8.6 Speicherung bei Meta

Meta speichert die Daten gemäß deren Datenrichtlinie:
facebook.com/privacy/policy.
Standard-Aufbewahrungsfrist für Conversion-Events: 2 Jahre.

8.7 Opt-Out und Widerruf

  • Vor Erhebung: Im Cookie-Banner die Marketing-Kategorie ablehnen oder einzeln nicht auswählen
  • Nach Erhebung (Widerruf für die Zukunft): Cookie-Banner-Reopen-Icon unten rechts → Marketing widerrufen
  • Direkt bei Meta: accountscenter.facebook.com/info_and_permissions

8.8 Vergleichbare Server-Side-Tracking-Mechanismen

Wir nutzen vergleichbare Server-Side-Tracking-Mechanismen ggf. auch bei:

  • Google Ads Enhanced Conversions (Joint Controller mit Google Ireland Ltd. – Details siehe 7.3)
  • LinkedIn Conversions API (Independent Controller Status nach LinkedIn-Addendum – Details siehe 7.4)
  • TikTok Events API (TikTok ist NICHT DPF-zertifiziert → Übermittlung ausschließlich auf Basis SCC + TIA – Details siehe 7.5)
  • Microsoft Advertising UET API (DPF + SCC – Details siehe 7.6)

8.9 ClickUp (Sales-Workflow-Management)

Nach Eingang eines Lead-Formulars synchronisieren wir die im Formular angegebenen
Kontakt- und Bedarfsdaten in unsere interne Vertriebs-Plattform ClickUp,
damit unser Sales-Team die Beratungs-Anfrage effizient bearbeiten, dokumentieren und
nachverfolgen kann. ClickUp wird als Auftragsverarbeiter im Sinne von Art. 28 DSGVO
eingesetzt.

Anbieter: ClickUp (Mango Technologies, Inc.), 350 Tenth Avenue,
Suite 1300, San Diego, CA 92101, USA.
Server-Standort: USA (Standard-Plan). Bei einem späteren Wechsel auf
einen Enterprise-Plan mit EU-Datenresidenz wird diese Erklärung entsprechend angepasst.

Übermittelte Daten (Klartext, kein Hashing):

  • Vor- und Nachname
  • E-Mail-Adresse
  • Telefonnummer
  • Firma / Unternehmen (sofern angegeben)
  • Branche (sofern angegeben)
  • Energie-Verbrauchsangaben (kWh Strom / Gas, sofern aus dem Quiz übermittelt)
  • Kontext-Metadaten: Funnel-Quelle, Zeitstempel, eindeutige Lead-ID zur Deduplikation gegen unser internes Backend

Anders als bei der Übermittlung an Meta (siehe 8.1) werden die Identifikatoren bei
ClickUp im Klartext verarbeitet, weil eine personenbezogene
Bearbeitung durch unsere Vertriebs-Mitarbeiter:innen (Anruf, E-Mail, Angebotserstellung)
fachlich erforderlich ist.

Zwecke:

  • Effiziente Bearbeitung und Nachverfolgung Ihrer Beratungs-Anfrage im Vertriebs-Team
  • Aufgaben-, Status- und Termin-Management entlang des Sales-Workflows
  • Vermeidung von Doppel-Kontakten durch Lead-Deduplikation und Aktivitäts-Historie
  • Qualitätssicherung und interne Auswertung der Beratungs-Prozesse

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen auf Ihre Anfrage hin – Vorbereitung des Energie-Beratungs- bzw. Vermittlungs-Vertrags)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten, dokumentierten und revisionsfähigen Lead-Bearbeitung im Vertrieb)

Drittlandstransfer USA:

  • EU-US Data Privacy Framework (DPF) – ClickUp / Mango Technologies, Inc. ist gemäß DPF zertifiziert (Verifikation: dataprivacyframework.gov/list)
  • Hilfsweise: Standardvertragsklauseln (SCC) der EU-Kommission als zusätzliche vertragliche Absicherung, ergänzt durch ein dokumentiertes Transfer-Impact-Assessment (TIA). Das TIA wird intern geführt und ist auf begründete Anfrage einsehbar.
  • Auftragsverarbeitungs-Vertrag (DPA) nach Art. 28 DSGVO ist mit ClickUp abgeschlossen.

Restrisiko USA-Transfer: Zugriff durch US-Sicherheitsbehörden
(insbesondere FISA 702) ist nicht vollständig ausschließbar. Wir mitigieren dies durch:

  • Datenminimierung – Übermittlung ausschließlich der für die Sales-Bearbeitung erforderlichen Felder
  • Strikte Zugriffsrechte innerhalb von ClickUp (Rollen- und Workspace-Trennung)
  • Quartalsweise TIA- und Berechtigungs-Review

Speicherdauer:

Die in ClickUp gespeicherten Lead-Daten werden mit der Löschung der Daten in unserem
internen Backend synchronisiert. Standard-Aufbewahrungsfrist: 24 Monate
ab dem letzten dokumentierten Kontakt; anschließend Löschung oder Anonymisierung
(vgl. Abschnitt 12). Bei Vertragsabschluss greifen die handels- und steuerrechtlichen
Aufbewahrungspflichten (§§ 147 AO, 257 HGB).

Opt-out und Widerruf:

  • Widerspruch nach Art. 21 DSGVO gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) per E-Mail an kontakt@deutsche-energiewirtschaft.de
  • Löschung Ihrer Daten nach Art. 17 DSGVO (umfasst auch Löschung des zugehörigen ClickUp-Eintrags), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Hinweis: Da die Übermittlung an ClickUp nicht auf einer Einwilligung im Cookie-Banner beruht, sondern auf Vertragsanbahnung / berechtigtem Interesse, ist sie unabhängig vom Cookie-Banner-Status

Datenschutzhinweise des Anbieters: clickup.com/terms/privacy-policy

9. Microsoft Bookings (Terminbuchung)

Im Anschluss an die Übermittlung eines Lead-Formulars erfolgt eine Weiterleitung auf
eine Terminbuchungs-Seite von Microsoft Bookings zur Vereinbarung eines
Beratungstermins.

Anbieter: Microsoft Ireland Operations Ltd., One Microsoft Place,
South County Business Park, Leopardstown, Dublin 18, Irland.
Verarbeitete Daten: die dort eingegebenen Kontakt- und Termindaten
sowie technische Verbindungsdaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung der
Beratungsleistung).
Drittland: Übermittlung in die USA möglich, abgesichert über EU-US
Data-Privacy-Framework und EU-Standardvertragsklauseln.
Datenschutzhinweise: privacy.microsoft.com

10. Empfänger und Auftragsverarbeiter

Eine Weitergabe personenbezogener Daten an Dritte erfolgt ausschließlich, soweit dies
zur Vertragserfüllung erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO), eine gesetzliche
Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO), die Weitergabe zur Wahrung
berechtigter Interessen erforderlich ist (Art. 6 Abs. 1 lit. f DSGVO) oder Sie hierin
ausdrücklich eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO).

Kategorien von Empfängern:

  • Hosting-Dienstleister (Hetzner Online GmbH, siehe 7.9)
  • Versanddienstleister für Transaktionsmails
  • ClickUp (Mango Technologies, Inc., USA) als Auftragsverarbeiter für Sales-Workflow-Management (siehe Abschnitt 8.9)
  • Anbieter der unter Abschnitt 7 und 8 genannten Tracker- und Analyse-Dienste
  • Microsoft als Anbieter von Microsoft Bookings (siehe Abschnitt 9)
  • Steuerberater und Wirtschaftsprüfer im Rahmen gesetzlicher Pflichten
  • Behörden und Gerichte im Rahmen gesetzlicher Auskunfts- und Mitwirkungspflichten

11. Drittland-Übermittlung

Soweit personenbezogene Daten an Empfänger außerhalb des Europäischen
Wirtschaftsraums übermittelt werden – insbesondere in die USA –, erfolgt dies entweder
auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (für die USA: EU-US
Data-Privacy-Framework vom 10. Juli 2023) oder auf Basis von EU-Standardvertragsklauseln
gemäß Art. 46 DSGVO, ergänzt um ggf. erforderliche zusätzliche Schutzmaßnahmen
(Transfer-Impact-Assessment). Für nicht DPF-zertifizierte Empfänger (insbesondere
TikTok) erfolgt die Übermittlung ausschließlich auf Basis SCC + TIA.

12. Speicherdauer

  • Server-Logfiles: 30 Tage
  • Lead- und Formulardaten: 24 Monate ab letztem Kontakt, anschließend Löschung oder Anonymisierung
  • Anruf-Einwilligungs-Logs: 5 Jahre (Gesetz für faire Verbraucherverträge 2021)
  • Steuer- und handelsrechtlich relevante Daten: bis zu 10 Jahre (§ 147 AO, § 257 HGB)
  • Cookie-Consent-Speicherung: 12 Monate
  • Tracking- und Analyse-Daten: gemäß den Angaben unter Abschnitt 7 und 8

13. Ihre Rechte als betroffene Person

Sie haben jederzeit das Recht auf:

  • Auskunft über die Sie betreffenden personenbezogenen Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger personenbezogener Daten (Art. 16 DSGVO)
  • Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit in einem strukturierten, gängigen und maschinenlesbaren Format (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen, einschließlich Profiling (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Geltendmachung Ihrer Rechte richten Sie Ihre Anfrage an
kontakt@deutsche-energiewirtschaft.de,
kontakt@deutsche-energiewirtschaft.de
oder an den Datenschutzbeauftragten (siehe Abschnitt 3).

14. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderer Rechtsbehelfe steht Ihnen ein Beschwerderecht bei einer
Datenschutz-Aufsichtsbehörde zu – insbesondere in dem Mitgliedstaat Ihres
Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.
Zuständige Aufsichtsbehörde am Sitz des Verantwortlichen ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1, 65189 Wiesbaden
Telefon: +49 611 1408-0
E-Mail: poststelle@datenschutz.hessen.de
Web: datenschutz.hessen.de

15. Automatisierte Entscheidungsfindung und Profiling

Eine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher Wirkung
oder ähnlich erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO findet nicht
statt. Verbrauchs- und Tarifangaben werden zur Erstellung eines passgenauen
Energieangebots regelbasiert ausgewertet; die abschließende Beratungs- und
Vertragsentscheidung wird stets durch unsere Mitarbeiterinnen und Mitarbeiter
getroffen.

16. Pflicht zur Bereitstellung der Daten

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich
vorgeschrieben. Eine Pflicht zur Bereitstellung besteht nicht. Ohne die im
Lead-Formular als Pflichtfeld gekennzeichneten Angaben ist eine Angebotserstellung
jedoch nicht möglich.

17. Aktualität und Änderung dieser Erklärung

Diese Datenschutzerklärung wird laufend an aktuelle rechtliche und technische
Entwicklungen angepasst. Es gilt jeweils die zum Zeitpunkt Ihres Besuchs auf dieser
Seite veröffentlichte Fassung. Den aktuellen Stand finden Sie oben.

Scroll to Top
Kostenlosen Termin vereinbaren
DGfE
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.