Datenschutzerklärung

Stand: 1. Mai 2026

1. Verantwortlicher

HYDI Innovation GmbH
Hasenbergsteige 90
70197 Stuttgart, Deutschland
E-Mail: info@hydiinnovation.com
Geschäftsführung: Pamela Amann (CEO), Sebastian Krüger (CTO)

2. Erhobene Daten

Wir verarbeiten folgende Daten, soweit Sie diese aktiv eingeben oder beim Nutzen der Plattform anfallen:

• Account-Daten: E-Mail-Adresse, Passwort (gehasht), Anmelde-Provider (Supabase Auth)
• Profil-Daten: Vorname, Anrede, Sprache, Persona, Firma (optional)
• Projekt-Daten: Energieverbrauch, Standort, Dachflächen, Verbraucher, Komponenten — von Ihnen eingegeben
• Telemetrie: IP-Adresse (anonymisiert), User-Agent, Web-Vitals (LCP/INP/CLS) — über /api/rum
• Geräte-API-Daten: Live-Telemetrie (PV-Erzeugung, Batterie-SoC etc.) — nur wenn Sie Geräte aktiv verbinden

3. Zwecke der Verarbeitung

• Bereitstellung der Plattform-Funktionen (Simulation, Optimierung, Reports)
• Account-Verwaltung und Authentifizierung
• Performance-Monitoring zur Verbesserung der App
• Erfüllung gesetzlicher Pflichten (Buchhaltung bei kostenpflichtigen Plänen)

4. Rechtsgrundlagen (DSGVO)

• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Sie nutzen unseren Dienst)
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (Sicherheit, Performance-Monitoring)
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z.B. Push-Notifications, Marketing)

5. Empfänger und Auftragsverarbeiter

• Cloudflare, Inc. (USA, EU-Standardvertragsklauseln) — Hosting, CDN, DDoS-Schutz
• Supabase Inc. (USA/EU) — Datenbank, Auth, Edge Functions (Server in Frankfurt verfügbar)
• Anthropic PBC (USA, SCCs) — KI-Modell für Energy Coach (anonymisierte Anfragen)
• Stripe Inc. (USA/IE) — Zahlungsabwicklung (nur bei kostenpflichtigen Plänen)
• Scalingo SAS (Frankreich) — Hosting der Berechnungs-Engine

6. Speicherdauer

Wir speichern Ihre Daten so lange, wie Sie ein Konto bei uns haben. Nach Account-Löschung werden personenbezogene Daten innerhalb von 30 Tagen vollständig gelöscht — außer gesetzliche Aufbewahrungsfristen (z.B. § 147 AO für Rechnungen, 10 Jahre) verpflichten uns zum Aufbewahren.

7. Ihre Rechte

Sie haben das Recht auf:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16)
• Löschung (Art. 17 — "Recht auf Vergessenwerden")
• Einschränkung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruch (Art. 21)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77)

Datenexport und Account-Löschung sind direkt in der App unter Mehr → Sicherheit → DSGVO-Tools möglich.

8. Cookies & lokale Speicherung

Wir verwenden localStorage für Persona-Einstellung, Sprache, Tour-Status und Wizard-Eingaben — diese verbleiben auf Ihrem Gerät und werden nicht an uns übertragen.
Authentifizierung erfolgt via Supabase JWT-Cookies (Strict-Same-Site).
Wir verwenden keine Tracking-Cookies, kein Google Analytics, kein Facebook-Pixel.

9. Server-Logs

Cloudflare loggt automatisch bei jedem Request: IP-Adresse (anonymisiert nach 24h), Zeitstempel, URL, User-Agent. Diese Logs werden nach max. 30 Tagen gelöscht.

10. Sicherheit

Alle Daten werden TLS-verschlüsselt übertragen (HTTPS). API-Tokens werden mit Supabase Vault verschlüsselt gespeichert. Row-Level-Security (RLS) sorgt für Mandanten-Trennung in der Datenbank.

11. Änderungen

Diese Datenschutzerklärung kann angepasst werden. Aktuelle Version stets unter /datenschutz.