Beta
EN DE NL

Datenschutzerklärung

Stand: 10. Mai 2026

Legal language

The authoritative legal text on this page is the German version below. This localized route exists for navigation consistency; the legal content itself is currently provided in German.

Canonical German version: voltary.de/datenschutz

1. Datenschutz auf einen Blick

Diese Datenschutzhinweise gelten für unsere Online-Angebote, insbesondere die Voltary-Website www.voltary.de und die Voltary-Web-App app.voltary.de. Sie erläutern, wie wir personenbezogene Daten bei der Nutzung dieser Angebote verarbeiten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Wichtigste Verarbeitungen

Wir verarbeiten personenbezogene Daten insbesondere in folgenden Situationen:

  • Webseitenbesuch: Technisch notwendige Protokolle und Sicherheitsereignisse zur Bereitstellung und Absicherung unserer Online-Angebote.
  • Voltary-Website: Speicherung Ihrer Theme- und Sprachpräferenzen; auf www.voltary.de setzen wir derzeit keine Web-Analytics ein.
  • Anonyme Sitzungen in der Web-App: Verwaltung anonymer Sitzungskennungen (Cookie-Session + tab-spezifische Session-ID) zur sicheren Zuordnung Ihrer Analysen ohne Registrierung.
  • Simulations- und Energiedaten: Temporäre Verarbeitung Ihrer Eingabedaten ausschließlich innerhalb der Web-App zur Durchführung der gewünschten Analyse.
  • Externer Tarifvergleich (CHECK24): Nach ausdrücklicher Aktivierung innerhalb der Web-App werden Postleitzahl, geschätzter Jahresverbrauch und technische Verbindungsdaten an CHECK24 übertragen.
  • Support: Kommunikation über die bereitgestellten E-Mail-Adressen und die veröffentlichte Telefonnummer.

Detaillierte Informationen zu Rechtsgrundlagen, Empfängern, Speicherfristen und Ihren Rechten finden Sie in den folgenden Abschnitten.

2. Verantwortliche Stelle und Kontakt

Die Verantwortliche im Sinne der DSGVO ist:

Voltary UG (haftungsbeschränkt)
Josephsplatz 8
90403 Nürnberg
Deutschland

Allgemeine Anfragen: kontakt@voltary.de
Telefon: +49 174 4383 3823
Datenschutz: datenschutz@voltary.de

Vertretungsberechtigte Geschäftsführer: Dr. Lucas Hafner, Dr. Benjamin Lochner

Datenschutzbeauftragter: Ein gesetzlich verpflichtender Datenschutzbeauftragter ist nicht benannt, weil die gesetzlichen Schwellenwerte (Art. 37 DSGVO, § 38 BDSG) aufgrund der Unternehmensgröße und der Art der Verarbeitungen derzeit nicht erreicht werden. Für sämtliche Datenschutzanliegen wenden Sie sich bitte direkt an die oben genannten Kontaktstellen.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten nur, wenn mindestens eine der folgenden Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO erfüllt ist:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Bereitstellung der Analyseplattform, Durchführung von Simulationen sowie Beantwortung Ihrer Anfragen.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): IT-Sicherheit, Missbrauchserkennung, interne Auswertungen und wirtschaftlicher Betrieb.
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): soweit gesetzliche Aufbewahrungs- oder Nachweispflichten bestehen.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): optionale eingebundene Drittinhalte innerhalb der Web-App, z. B. das CHECK24-Widget. Eine Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen bzw. die Inhalte einfach nicht aktivieren.

4. Infrastruktur und eingesetzte Dienstleister

Frontend-Hosting & Auslieferung (CDN) – Cloudflare Pages

Unsere Online-Angebote, insbesondere die Voltary-Website (www.voltary.de) und die Voltary-Web-App (app.voltary.de), werden über Cloudflare Pages betrieben. Dienstanbieter ist Cloudflare (z. B. Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA; Datenschutzhinweise: cloudflare.com/privacypolicy). Cloudflare verarbeitet hierbei technisch notwendige Verbindungs- und Übertragungsdaten (insb. IP-Adresse, Datum/Uhrzeit, angeforderte URL/Ressource, Referrer, User-Agent) und im Rahmen des Proxy-/Tunnelbetriebs die für Routing und Schutz erforderlichen Request-Daten, um Inhalte auszuliefern, Angriffe abzuwehren (z. B. DDoS) und bei Web-App-Nutzung Anfragen sicher an unsere Backend-Infrastruktur weiterzuleiten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, performantem und wirtschaftlichem Betrieb) sowie – soweit für die Bereitstellung der angeforderten Inhalte erforderlich – Art. 6 Abs. 1 lit. b DSGVO. Cloudflare wird hierbei als Auftragsverarbeiter eingesetzt (Art. 28 DSGVO). Soweit hierbei eine Verarbeitung außerhalb der EU/des EWR erfolgt, erfolgt diese auf Grundlage geeigneter Garantien (insb. EU-Standardvertragsklauseln).

Traffic- & Origin-Schutz (Reverse Proxy, WAF und Cloudflare Tunnel)

Zum Schutz unserer Infrastruktur erfolgt der externe Zugriff auf unsere Dienste über Cloudflare (Reverse Proxy/WAF und Cloudflare Tunnel). Dabei werden insbesondere IP-Adresse und Request-Metadaten verarbeitet, um Missbrauch, automatisierte Angriffe und unberechtigte Zugriffe zu erkennen und zu verhindern (Art. 6 Abs. 1 lit. f DSGVO).

Backend-Hosting – Hetzner Online GmbH (EU)

Das Backend (API, Datenverarbeitung, kurzfristige Sitzungs- und Cache-Speicher) wird auf Servern der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) innerhalb der EU betrieben. Es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die Anwendungsverarbeitung und primäre Datenspeicherung (z. B. API-Verarbeitung, Datenbanken, Cache, kurzfristige Upload-Verarbeitung) erfolgen auf unserer Infrastruktur innerhalb der EU. Cloudflare ist dieser Infrastruktur vorgelagert und übernimmt Transport-, Routing- und Sicherheitsfunktionen.

Kurzfristige Rohdatenspeicherung – Hetzner Online GmbH (EU)

Für die kurzfristige Verarbeitung hochgeladener Verbrauchs-, Erzeugungs- und Konfigurationsdaten nutzen wir zusätzlich einen privaten, nicht öffentlich zugänglichen Speicherbereich bei der Hetzner Online GmbH innerhalb der EU. Die Rohdaten können nur durch unsere Backend-Dienste sowie berechtigte administrative Zugriffe im Rahmen des Betriebs verarbeitet werden. Die Übertragung erfolgt TLS-verschlüsselt; für diese Verarbeitung gilt ebenfalls der Auftragsverarbeitungsvertrag mit Hetzner nach Art. 28 DSGVO. Ergänzend zur sitzungsbezogenen Löschung sorgt ein automatischer Löschmechanismus dafür, dass etwaige verbleibende Rohdaten spätestens nach einem Tag gelöscht werden.

Bot-Schutz – Cloudflare Turnstile

Zur Absicherung kostenintensiver Aktionen (z. B. Uploads, Simulationen, Exporte) können wir Cloudflare Turnstile einsetzen. Dazu wird bei Bedarf ein Turnstile-Skript von Cloudflare geladen (challenges.cloudflare.com) und ein Challenge-Token erzeugt, das an unser Backend zur Verifikation übermittelt wird. Cloudflare verarbeitet hierbei technische Verbindungsdaten (insb. IP-Adresse) sowie Browser-/Gerätemerkmale, um automatisierten Missbrauch zu erkennen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Missbrauchsprävention).

GeoNames-Postleitzahlendaten

Zur lokalen Geokodierung verwenden wir einen regelmäßig aktualisierten Auszug der GeoNames-Datenbank, der ausschließlich auf unserer Infrastruktur betrieben wird. Während des Betriebs werden keine personenbezogenen Daten an GeoNames übermittelt.

PVGIS der Europäischen Kommission

Für Einstrahlungs- und Ertragsberechnungen übertragen wir Standortkoordinaten und Systemparameter an das Photovoltaic Geographical Information System (PVGIS). Die Verarbeitung erfolgt auf Servern innerhalb der Europäischen Union. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

SMARD / Bundesnetzagentur (Spotmarkt-Preisdaten)

Für dynamische Strompreisdaten beziehen wir Day-ahead Spotmarktpreise serverseitig über SMARD der Bundesnetzagentur. Dabei werden keine personenbezogenen Daten unserer Nutzer an SMARD oder die Bundesnetzagentur übermittelt; es handelt sich um eine serverseitige Datenabfrage zu Markt- und Zeitparametern. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an aktuellen Marktdaten zur Bereitstellung der Funktion).

Externer Tarifvergleich – CHECK24

Auf der Ergebnisseite unseres Tarifvergleichs können Sie optional das CHECK24-Widget laden oder einen externen Partnerlink zu CHECK24 in einem neuen Tab öffnen. Das Widget wird erst nach Ihrer ausdrücklichen Aktivierung nachgeladen. Dabei übergeben wir an CHECK24 die für die Vorbelegung erforderlichen Vergleichsparameter, insbesondere Postleitzahl und geschätzten Jahresverbrauch. Beim anschließenden Aufruf verarbeitet CHECK24 außerdem die üblichen technischen Verbindungsdaten des Browseraufrufs (z. B. IP-Adresse, Browser-Metadaten und gegebenenfalls Referrer) in eigener Verantwortung und kann eigene Cookies oder ähnliche Technologien einsetzen. Wenn Sie stattdessen den externen CHECK24-Link öffnen, übergeben wir dieselben Vorbelegungsparameter (insbesondere Postleitzahl und geschätzten Jahresverbrauch) an CHECK24, damit die Ergebnisseite dort direkt in einem neuen Tab vorbefüllt starten kann. Zusätzlich enthält die Link-URL Partner- und Kampagnenparameter. Dienstanbieter ist die CHECK24 Vergleichsportal Energie GmbH, Erika-Mann-Straße 19-21, 80636 München (Datenschutzhinweise: check24.de/strom-gas/datenschutz-1, Cookie-Hinweise: check24.de/unternehmen/cookiehinweis). Rechtsgrundlage ist Ihre Einwilligung bzw. aktive Freischaltung nach Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG.

5. Datenverarbeitungen im Detail

Bereitstellung der Website und Server-Logs

Beim Aufruf unserer Seiten werden technische Protokolldaten (IP-Adresse, Datum, Uhrzeit, abgerufene Ressource, Referrer, User-Agent) verarbeitet. Je nach Zugriffspfad fallen diese Daten (i) bei Cloudflare (Auslieferung/Sicherheitsfunktionen) und (ii) bei Nutzung der Web-App zusätzlich auf unserer Backend-Infrastruktur (API-Logs) an. Unser Sicherheitsmonitor protokolliert zusätzlich verdächtige Ereignisse pseudonymisiert (z. B. gehashte Tokens). Die Verarbeitung dient der Systemsicherheit und Fehleranalyse (Art. 6 Abs. 1 lit. f DSGVO). Server-Logs und Sicherheitsereignisse auf unseren Systemen werden maximal sieben Tage gespeichert und danach gelöscht bzw. überschrieben.

Voltary-Website (www.voltary.de)

Die Voltary-Website verarbeitet keine Analyse-, Upload- oder Simulationsdaten. Sie speichert lediglich technisch erforderliche Präferenzwerte wie Theme und Sprache, damit die Darstellung konsistent bleibt. Es werden von dort keine Backend-API-Anfragen für Produktfunktionen ausgelöst.

Kein Nutzerkonto (anonyme Nutzung)

Für die Nutzung der Analyseplattform ist keine Registrierung erforderlich. Wir verarbeiten daher keine Zugangsdaten (z. B. E-Mail/Passwort) für Login-Zwecke. Stattdessen arbeiten wir mit anonymen Sitzungskennungen, um Ihre Uploads und Analyseergebnisse sicher und ausschließlich innerhalb Ihrer Sitzung zuzuordnen.

Analyseplattform, Sitzungen und Sicherheitsfunktionen

Während Ihrer aktiven Nutzung arbeiten wir ohne Nutzerkonto mit anonymen Sitzungskennungen: (1) eine Browser-Session (HttpOnly-Cookie __Host-voltary_session) und (2) eine tab-spezifische Kennung (pv_session_id in SessionStorage), die als Header (X-Session-ID) übertragen wird. Sitzungsdaten werden verschlüsselt in einem serverseitigen, kurzfristigen Sitzungsspeicher auf unserer Backend-Infrastruktur gespeichert. Die maximale Lebensdauer beträgt eine Stunde. Danach erfolgt eine automatische Löschung. Zusätzlich wird beim Schließen des Browser-Tabs eine best-effort Löschung angestoßen. Nutzer können über die integrierte Datenlöschfunktion jederzeit eine sofortige Löschung anstoßen.

Upload von Energiedaten und Simulationsergebnissen

Hochgeladene Verbrauchs-, Erzeugungs- und Konfigurationsdaten verarbeiten wir ausschließlich zur Durchführung der gewünschten Simulationen. Die Übertragung erfolgt verschlüsselt über unsere Web-/Security-Infrastruktur (Cloudflare) zu unserer Backend-Infrastruktur innerhalb der EU. Zur technischen Verarbeitung und Validierung werden Rohdaten kurzfristig sitzungsgebunden auf dieser Infrastruktur verarbeitet. Die Löschung erfolgt automatisch nach Abschluss der Zuordnung/Validierung oder spätestens mit Ende/Löschung der Session (typischerweise innerhalb einer Stunde; zusätzlicher Fallback-Cleanup per Job). Ergänzend dazu sorgt ein automatischer Löschmechanismus dafür, dass etwaige verbleibende Rohdaten spätestens nach einem Tag gelöscht werden. Ein öffentlicher Zugriff auf diese Daten ist nicht möglich; ein Zugriff ist nur über interne administrative Berechtigungen im Rahmen des Betriebs möglich (Art. 6 Abs. 1 lit. b DSGVO).

Externer Tarifvergleich mit CHECK24

Wenn Sie auf der Ergebnisseite unseres Tarifvergleichs das CHECK24-Widget ausdrücklich freischalten, wird eine Verbindung zu CHECK24 hergestellt und das eingebettete Vergleichsangebot geladen. Dabei übermitteln wir die für die Vorbelegung verwendeten Vergleichsparameter, insbesondere Postleitzahl und geschätzten Jahresverbrauch. Zusätzlich verarbeitet CHECK24 beim Abruf die üblichen technischen Verbindungsdaten des Browseraufrufs (z. B. IP-Adresse, Browser-Metadaten und gegebenenfalls Referrer) in eigener Verantwortung. Ohne Ihre aktive Freischaltung wird das Widget nicht geladen. Sie können die eingeblendeten CHECK24-Inhalte auf der Seite jederzeit wieder ausblenden; eine dauerhafte Freischaltung wird von uns nicht gespeichert.

Wenn Sie statt des Widgets den externen CHECK24-Partnerlink öffnen, enthält die von uns erzeugte URL ebenfalls Postleitzahl und geschätzten Jahresverbrauch, damit CHECK24 die Ergebnisseite direkt vorbefüllt öffnen kann. Zusätzlich enthält die URL Partner- und Kampagnenparameter. Auch in diesem Fall verarbeitet CHECK24 die Daten des eigentlichen Seitenaufrufs auf CHECK24 in eigener Verantwortung.

Support-Kontakt per E-Mail

Bei Kontaktaufnahme per E-Mail verarbeiten wir Ihre Nachricht sowie die bereitgestellten Kontaktdaten zur Bearbeitung des Anliegens (Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO). Korrespondenz wird regelmäßig nach Abschluss des Vorgangs, spätestens jedoch nach zwölf Monaten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6. Web-Analytics und Reichweitenmessung

Weder auf der Voltary-Website www.voltary.de noch innerhalb der Web-App app.voltary.de setzen wir derzeit Web-Analytics oder sonstige Reichweitenmessung ein. Deshalb gibt es aktuell auch keine analytikbezogenen Cookie- oder Tracking-Einstellungen.

7. Cookies und lokale Speicher

Wir setzen technisch notwendige Cookies und Browser-Speicher ein, um Ihre Einstellungen zu sichern und Sicherheitsfunktionen bereitzustellen. Details entnehmen Sie bitte auch unserer Cookie-Richtlinie.

Hinweis: Da unsere Online-Angebote über Cloudflare ausgeliefert und abgesichert werden, kann Cloudflare in Abhängigkeit von Sicherheitsereignissen technisch notwendige Sicherheits-Cookies setzen (z. B. für Challenge-/Abwehrmechanismen).

Notwendige Cookies

  • __Host-voltary_session: Technisch notwendiger Session-Cookie der Web-App zur anonymen Sitzungsverwaltung (HttpOnly; Laufzeit bis zu 1 Stunde).
  • voltary_theme: Merkt sich die bevorzugte Darstellungsvariante (Hell/Dunkel) domainübergreifend für Voltary-Website und Web-App für sechs Monate.
  • voltary_locale: Speichert die gewählte Sprache domainübergreifend für Voltary-Website und Web-App für sechs Monate.
  • pv-csrf-token: Sicherheitscookie der Web-App zum Schutz vor Cross-Site-Request-Forgery (Laufzeit bis zu 24 Stunden).

Lokale Speichertechnologien

Wir nutzen innerhalb der Web-App SessionStorage für sitzungsbezogene technische Daten, insbesondere zur Verwaltung der aktuellen Web-App-Sitzung. Zusätzlich kann LocalStorage kurzfristig dazu verwendet werden, mehrere gleichzeitig geöffnete Browser-Tabs technisch aufeinander abzustimmen und Konflikte zwischen parallelen Sitzungen zu vermeiden. Theme- und Spracheinstellungen speichern wir dagegen über notwendige Cookies. Die lokal gespeicherten technischen Daten verbleiben auf Ihrem Endgerät und können jederzeit manuell gelöscht werden.

Den Upload-Hinweis zeigen wir aus Compliance-Gründen vor jedem Upload erneut an und verlangen jeweils eine Bestätigung. Ein dauerhafter „nicht erneut anzeigen“-Merker wird dafür nicht gespeichert.

Weder auf der Voltary-Website noch in der Web-App gibt es derzeit separate Tracking-Einstellungen, weil wir keine optionalen Analyse- oder Marketing-Technologien einsetzen. Optionale CHECK24-Inhalte werden innerhalb der Web-App ausschließlich nach Ihrer jeweiligen ausdrücklichen Aktivierung geladen.

8. Speicherdauer und Löschkonzepte

Sofern in dieser Erklärung nicht anders beschrieben, gelten folgende Speicherfristen:

  • Sitzungs- und Simulationsdaten: automatische Löschung nach spätestens einer Stunde.
  • Roh-Uploaddaten: kurzfristige, sitzungsgebundene Verarbeitung; automatische Löschung nach Abschluss der Zuordnung/Validierung oder spätestens innerhalb der Session-Laufzeit. Ein automatischer Löschmechanismus stellt ergänzend sicher, dass etwaige verbleibende Rohdaten spätestens nach einem Tag gelöscht werden.
  • Server-Logs & Sicherheitsereignisse: Löschung bzw. Überschreiben nach spätestens sieben Tagen.
  • Lokale Präferenzspeicher: verbleiben auf Ihrem Gerät, bis Sie diese löschen oder die gespeicherten Werte überschrieben werden.
  • Support-Korrespondenz: Löschung spätestens nach zwölf Monaten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Nutzen Sie die integrierte Datenlöschfunktion, werden alle sitzungsbezogenen Daten unverzüglich entfernt, soweit keine gesetzlichen Aufbewahrungsgründe entgegenstehen.

9. Empfänger und Drittlandübermittlungen

Empfänger personenbezogener Daten sind ausschließlich die in Abschnitt 4 genannten Dienstleister. Sofern einzelne Dienstleister außerhalb der EU/des EWR eingebunden sind, erfolgt die Übermittlung auf Basis geeigneter Garantien (insbesondere Standardvertragsklauseln) und zusätzlicher technischer und organisatorischer Maßnahmen. Weitere Übermittlungen erfolgen nur bei gesetzlicher Verpflichtung oder auf Basis Ihrer Einwilligung.

10. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten (Art. 15–21 DSGVO):

  • Auskunft über Herkunft, Empfänger und Zwecke Ihrer gespeicherten Daten (Art. 15 DSGVO).
  • Berichtigung unrichtiger bzw. Vervollständigung unvollständiger Daten (Art. 16 DSGVO).
  • Löschung Ihrer Daten („Recht auf Vergessenwerden“) gemäß Art. 17 DSGVO.
  • Einschränkung der Verarbeitung nach Art. 18 DSGVO.
  • Datenübertragbarkeit gemäß Art. 20 DSGVO.
  • Widerspruch gegen bestimmte Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO (Art. 21 DSGVO).
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Zur Ausübung Ihrer Rechte nutzen Sie bitte die vorhandenen Self-Service-Funktionen oder wenden Sie sich an datenschutz@voltary.de. Bitte geben Sie an, auf welche Verarbeitung sich Ihr Anliegen bezieht.

11. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich jederzeit bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig für den Sitz der Voltary UG (haftungsbeschränkt) ist das Bayerische Landesamt für Datenschutzaufsicht, Promenade 18, 91522 Ansbach, www.lda.bayern.de. Unabhängig davon können Sie sich an jede andere Aufsichtsbehörde wenden.

12. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.

13. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung wird regelmäßig überprüft und bei Bedarf aktualisiert, etwa wenn wir neue Funktionen einführen oder sich die Rechtslage ändert. Die jeweils gültige Fassung ist jederzeit unter dieser URL abrufbar.