Anlage 1

Datenschutzerklärung

GTN Energie — Informationen zur Verarbeitung Ihrer personenbezogenen Daten gem. Art. 13 DSGVO · Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und des BDSG ist:

Nicolai Graf (Einzelunternehmen), tätig unter dem Geschäftsnamen GTN Energie
Anschrift: Beethovenstraße 27, 53115 Bonn
E-Mail: nicolai.graf@gtn-energie.de

Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen des § 38 BDSG derzeit nicht erfüllt sind. Für alle datenschutzrechtlichen Anfragen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.

2. Zwecke und Rechtsgrundlagen der Verarbeitung

Im Rahmen unserer Tätigkeit als Energiemakler verarbeiten wir Ihre personenbezogenen Daten zu den nachfolgend beschriebenen Zwecken.

2.1 Kunden- und Vertragsdatenverwaltung

Wir erfassen und verwalten Ihre persönlichen Daten, um Ihnen Energieversorgungsverträge zu vermitteln, Ihre Lieferstellen zu betreuen und das Mandatsverhältnis ordnungsgemäß abzuwickeln. Dabei verarbeiten wir folgende Datenkategorien:

  • Stammdaten: Name, Anrede, Anschrift, ggf. Geburtsdatum (freiwillig)
  • Kontaktdaten: E-Mail-Adresse, Telefon- und Mobiltelefonnummer
  • Bankdaten: IBAN, BIC, Kontoinhaber
  • Vertrags- und Lieferstellendaten: MaLo, MeLo, Zählernummer, Verbrauchsprognose, Tarif, Provisionsmodell
  • Vollmachten sowie deren Erteilungsdatum
Hinweis zu Ihren Bankdaten: Ihre Bankverbindung wird benötigt, um den Energieversorgungsvertrag mit dem von Ihnen gewählten EVU abzuschließen — etwa für ein SEPA-Lastschriftmandat. Ihre Vertragsdaten fließen zudem in die Abrechnung der vom EVU an GTN geschuldeten Vermittlungsprovision ein.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung). Die Verarbeitung ist für die Durchführung des Makler- und Vollmachtsverhältnisses sowie für den Abschluss des Energieversorgungsvertrags erforderlich.

Herkunft der Daten (Art. 14 DSGVO): Ihre Daten erhalten wir in der Regel direkt von Ihnen. In einzelnen Fällen — etwa bei Vermittlung über eine Hausverwaltung oder einen Kooperationspartner — können uns Daten auch von Dritten übermittelt werden. In diesen Fällen informieren wir Sie gesondert gemäß Art. 14 DSGVO.

2.2 Lieferantenwechsel und Marktkommunikation

Zur Durchführung des Lieferantenwechsels übermitteln wir Ihre Daten an das von Ihnen gewählte EVU sowie an den zuständigen Netzbetreiber nach den Anforderungen der Marktkommunikation (GPKE/GeLi Gas, EDIFACT/AS4-Protokoll). Im Rahmen der Marktkommunikation werden folgende Daten übermittelt:

  • Anschlussnehmer-Name (exakt wie im Stammsatz des Netzbetreibers)
  • Lieferadresse, Marktlokation (MaLo), Messlokation (MeLo), Zählernummer
  • Verbrauchsprognose, Vertragsbeginn, Tarif

Empfänger: Das von Ihnen gewählte EVU sowie der zuständige Netzbetreiber — ausschließlich deutsche Marktteilnehmer; keine Übermittlung in Drittstaaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.3 KI-gestützte Cockpit-Empfehlung (pseudonymisiert)

Zur internen Priorisierung nutzen wir eine KI-gestützte Empfehlungsfunktion. Übermittelt werden aggregierte Geschäftskennzahlen sowie — bei auslaufenden Verträgen — der betreffende Jahresprovisionswert.

Technische Schutzmaßnahme: Ihr Name wird vor der Übermittlung automatisch durch ein Pseudonym ersetzt (z. B. „Kunde-1“). Die KI erhält zu keinem Zeitpunkt Ihren Klarnamen. Pseudonymisierte Daten bleiben nach Art. 4 Nr. 5 DSGVO personenbezogene Daten, da wir als Verantwortlicher den Zuordnungsschlüssel halten; die Pseudonymisierung ist eine technische Schutzmaßnahme, keine Anonymisierung.

Empfänger / Drittlandsübermittlung: Anthropic PBC, USA — als Auftragsverarbeiter auf Grundlage eines DPA einschließlich EU-Standardvertragsklauseln (SCC, Art. 46 Abs. 2 lit. c DSGVO) und Transfer Impact Assessment (TIA). Nach Angaben des Anbieters werden Daten maximal 30 Tage gespeichert; eine Nutzung zum Training generativer Modelle findet nach Angaben des Anbieters nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: effiziente Priorisierung der Kundenbetreuung.

2.4 KI-gestützte interne Assistenz (Sekretariatsfunktion)

Wir nutzen einen KI-gestützten Assistenten zur Unterstützung bei der Bearbeitung von Geschäftskorrespondenz und administrativen Aufgaben. Dabei können Inhalte aus E-Mails und Dokumenten an die KI-API übermittelt werden, soweit dies zur Aufgabenbearbeitung erforderlich ist. Erfasst sein können dabei insbesondere Ihr Name und Ihre Kontaktdaten sowie vertragsbezogene Informationen aus der Korrespondenz.

Unterschied zu Abschnitt 2.3: Bei der Cockpit-Funktion werden Namen automatisch pseudonymisiert. Bei der Assistenzfunktion ist dies nicht in jedem Fall möglich; Ihr Klarname kann übermittelt werden, soweit er im Kontext der bearbeiteten Nachricht enthalten ist.

Empfänger / Drittlandsübermittlung: Anthropic PBC, USA — als Auftragsverarbeiter, abgesichert durch SCC (Art. 46 Abs. 2 lit. c DSGVO). Nach Angaben des Anbieters werden Daten maximal 30 Tage gespeichert; eine Nutzung zum Training generativer Modelle findet nach Angaben des Anbieters nicht statt. Eine dauerhafte Speicherung der übermittelten Inhalte außerhalb der bestehenden Geschäftsdokumentation erfolgt durch uns nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: effiziente Abwicklung von Geschäftskommunikation. Ihre Interessen werden durch SCC-Absicherung, kurze Aufbewahrungszeit sowie nach Angaben des Anbieters bestehenden Ausschluss von Modell-Training angemessen gewahrt.

Besondere Datenkategorien: Die KI-Assistenz ist nicht auf die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO ausgerichtet. Sollten in eingehender Korrespondenz inzidentell solche Daten enthalten sein, werden diese nicht weiterverarbeitet und im Rahmen unserer Datenhygiene entfernt.

Keine automatisierte Entscheidungsfindung: Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt. Alle geschäftsrelevanten Entscheidungen werden durch menschliche Mitarbeitende geprüft und freigegeben.

2.5 Datensicherung (Backup)

Zur Sicherstellung der Datenwiederherstellbarkeit erstellen wir verschlüsselte vollständige Datenbank-Sicherungen, die auch Ihre bei uns gespeicherten Daten enthalten.

Empfänger / Drittlandsübermittlung: Google LLC, USA (Google Drive) — als Auftragsverarbeiter, abgesichert durch SCC sowie ergänzend durch das EU-US Data Privacy Framework (DPF). Die Backup-Dateien sind zusätzlich clientseitig Ende-zu-Ende-verschlüsselt; Google hat keinen Zugang zum Inhalt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Datensicherung als berechtigtes Interesse).

2.6 Website und Server-Logfiles

Beim Aufruf unserer Website werden technisch notwendige Server-Logfiles erfasst (gekürzte IP-Adresse, Datum und Uhrzeit, abgerufene Ressource, Browser- und Betriebssystem-Informationen). Diese Daten dienen dem stabilen Betrieb sowie der Abwehr missbräuchlicher Zugriffe und werden nach spätestens 30 Tagen gelöscht. Wir setzen ausschließlich technisch notwendige Cookies ein; Webanalyse- oder Marketing-Cookies werden nicht verwendet. Sofern wir künftig nicht notwendige Cookies oder Tracking-Dienste einsetzen, holen wir Ihre Einwilligung gemäß § 25 Abs. 1 TDDDG über ein Consent-Banner ein.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG für technisch notwendige Cookies bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb der Website).

3. Empfänger Ihrer Daten und Auftragsverarbeiter

Ihre personenbezogenen Daten werden nur an die nachfolgend genannten Stellen weitergegeben. Alle technischen Dienstleister sind, soweit sie als Auftragsverarbeiter tätig werden, gemäß Art. 28 DSGVO vertraglich gebunden und handeln in dieser Eigenschaft nach unserer Weisung.

Bei der Auswahl unserer Dienstleister bevorzugen wir grundsätzlich Anbieter und Hosting-Regionen innerhalb des EWR. Eine Übermittlung in Drittländer erfolgt nur dort, wo eine geeignete EU-Lösung nicht verfügbar ist; in diesen Fällen wird die Übermittlung durch SCC (ggf. ergänzt um DPF-Zertifizierung) abgesichert und durch ein Transfer Impact Assessment begleitet.

EmpfängerZweckSitz / Hosting-RegionSicherung
EVU (Wahl des Kunden)Energieversorgungsvertrag; Bankdaten für SEPA & ProvisionsabrechnungDeutschlandVertragserfüllung
Netzbetreiber (regional)Marktkommunikation (GPKE/GeLi Gas)DeutschlandVertragserfüllung
Supabase Inc.Datenbankbetrieb und AuthentifizierungHosting EU (Frankfurt), Sitz USASCC Art. 46 Abs. 2 lit. c DSGVO
Vercel Inc.Hosting der WebanwendungHosting EU, Sitz USASCC Art. 46 Abs. 2 lit. c DSGVO
Anthropic PBCKI-Cockpit (pseudonymisiert, §2.3) und KI-Assistenz (§2.4)USASCC + DPA + TIA
Google LLCVerschlüsselte Datensicherung (Backup)USASCC + DPF

Kopien der Standardvertragsklauseln sowie vorliegender Transfer Impact Assessments können auf Anfrage eingesehen werden.

3.1 Technische und organisatorische Maßnahmen

Wir setzen angemessene technische und organisatorische Schutzmaßnahmen ein, um Ihre Daten vor Verlust, Missbrauch und unberechtigtem Zugriff zu schützen — darunter durchgehende Verschlüsselung (in transit und at rest), rollenbasierte Zugriffskontrollen mit Row-Level-Security, abgesicherte Authentifizierungsverfahren sowie regelmäßige Datensicherungen. Das vollständige TOM-Dokument stellen wir auf Anfrage zur Verfügung.

4. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie dies zur Erreichung der jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten dies vorschreiben. Im Einzelnen gelten folgende Fristen:

  • Buchungsbelege und buchungsrelevante Unterlagen: 8 Jahre nach Ablauf des Kalenderjahres ihrer Entstehung (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB i. d. F. ab 1. Januar 2025 nach dem Vierten Bürokratieentlastungsgesetz)
  • Handelsbriefe und sonstige Geschäftskorrespondenz: 6 Jahre nach Ablauf des Kalenderjahres ihrer Entstehung (§ 257 Abs. 4 HGB)
  • Sonstige Vertragsunterlagen ohne handels- oder steuerrechtliche Aufbewahrungspflicht: bis zum Ablauf der gesetzlichen Verjährungsfristen, regelmäßig 3 Jahre nach Schluss des Jahres der Anspruchsentstehung (§§ 195, 199 BGB)
  • Vollmachten: für die Dauer des Mandats sowie 3 Jahre danach
  • Bankdaten (SEPA-Mandat): bis zum Wegfall des Mandats und vollständiger Erfüllung aller Provisionsabrechnungen, soweit keine längere steuerliche Aufbewahrungspflicht greift

Nach Ablauf der jeweiligen Frist werden Ihre Daten gelöscht oder irreversibel anonymisiert.

Datensicherungen unterliegen folgendem automatisierten Rotationsplan:

  • Tage 0–14: vollständige Aufbewahrung aller Sicherungen
  • Tage 15–60: wöchentliche Sicherung (jeweils Montag)
  • Tage 61–365: monatliche Sicherung (jeweils 1. des Monats)
  • Ab Tag 366: vollständige Löschung

5. Pflicht zur Bereitstellung Ihrer Daten

Die Bereitstellung Ihrer Stamm-, Kontakt-, Vertrags- und Bankdaten ist für den Abschluss und die Durchführung des Makler- und Vollmachtsverhältnisses sowie für den Abschluss des Energieversorgungsvertrags erforderlich. Ohne diese Angaben können wir das Mandatsverhältnis nicht begründen und keinen Lieferantenwechsel einleiten. Die Angabe eines Geburtsdatums ist freiwillig.

6. Ihre Rechte als betroffene Person

Sie haben gegenüber GTN folgende datenschutzrechtliche Rechte, die Sie jederzeit geltend machen können:

  • Auskunftsrecht (Art. 15 DSGVO): Welche Daten verarbeiten wir über Sie, zu welchen Zwecken und an wen werden diese weitergegeben?
  • Recht auf Berichtigung (Art. 16 DSGVO): Berichtigung unrichtiger sowie Vervollständigung unvollständiger Daten.
  • Recht auf Löschung (Art. 17 DSGVO): Löschung Ihrer Daten unter den gesetzlichen Voraussetzungen.
  • Recht auf Einschränkung (Art. 18 DSGVO): vorübergehende Einschränkung der Verarbeitung.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Aushändigung Ihrer Daten in einem maschinenlesbaren Format.
  • Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
  • Recht, keiner ausschließlich automatisierten Entscheidung unterworfen zu werden (Art. 22 DSGVO).

Zur Ausübung Ihrer Rechte: nicolai.graf@gtn-energie.de — Bearbeitung innerhalb eines Monats.

Widerspruchsrecht (Art. 21 DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) erfolgt, Widerspruch einzulegen. Wir verarbeiten Ihre personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

7. Beschwerderecht bei der Datenschutz-Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für GTN zuständige Behörde ist:

LDI NRW — Landesbeauftragte für Datenschutz und Informationsfreiheit NRW
Postfach 20 04 44 · 40102 Düsseldorf · www.ldi.nrw.de

Sie können sich auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts oder Arbeitsplatzes wenden.

8. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen unserer Datenverarbeitungspraktiken oder der gesetzlichen Anforderungen anzupassen. Bei wesentlichen Änderungen informieren wir Sie gesondert. Die jeweils aktuelle Fassung gilt ab dem angegebenen Stand-Datum.