Datensicherheit & DSGVO in der Energieberatungs-Software: Transparenz, Compliance und Vertrauen

Energieberatung involviert sensible Daten: Grundrisse, Heizkostenabrechnungen, Einkommensnachweise für Fördermittel, Bank-TANs für KfW-Zuschüsse. Nach Art. 4 Nr. 2 DSGVO verarbeiten Sie als Energieberater personenbezogene Daten – Sie sind Verantwortlicher im Sinne des Datenschutzrechts. Setzen Sie eine cloudbasierte Software ein, wird der Anbieter Ihr Auftragsverarbeiter (Art. 28 DSGVO) und muss dieselben Sicherheitsstandards gewährleisten.

Stand 2026 zeigen Prüfberichte der Landesdatenschutzbeauftragten, dass fehlende AVV, unverschlüsselte Datenübertragung oder Server in Drittstaaten zu Bußgeldern zwischen 10.000 € und 50.000 € führen können – selbst bei kleinen Beratungsbüros. Die BEG-Förderrichtlinie verlangt zudem, dass alle Unterlagen zehn Jahre revisionssicher archiviert werden, was hohe Anforderungen an Backup und Wiederherstellung stellt.

Achtung: Compliance-Risiko: Ohne schriftlichen AVV (Art. 28 Abs. 3 DSGVO) droht Ihnen als Energieberater die volle Haftung bei Datenschutzverletzungen Ihres Software-Anbieters. Prüfen Sie deshalb vor Vertragsschluss das Vorhandensein eines standardisierten AVV-Musters.

• Personenbezogene Daten: Name, Adresse, Gebäudebaujahr, Verbrauchswerte, Finanzierungsdaten
• Besondere Kategorien: Bei denkmalgeschützten Immobilien ggf. Eigentumsnachweise mit Geburtsdaten
• Speicherdauer: BEG-Unterlagen zehn Jahre (§ 12 KfW 261), Energieausweise mindestens zehn Jahre (§ 88 GEG)
• Weitergabe: TAN-Codes an KfW/BAFA, Datenexport an Banken, PDF-Versand an Bauherren

Art. 32 Abs. 1 lit. a DSGVO fordert "Pseudonymisierung und Verschlüsselung personenbezogener Daten". Stand 2026 gilt TLS 1.3 (Transport Layer Security) als Mindeststandard für die Datenübertragung zwischen Browser und Server. Ältere Protokolle wie TLS 1.0/1.1 sind seit 2020 als unsicher eingestuft und dürfen nicht mehr eingesetzt werden.

Drei Verschlüsselungs-Ebenen im Überblick

FoerderCheckPro.de setzt TLS 1.3 für alle Datenübertragungen ein und verschlüsselt Datenbanken auf Speicherebene mit AES-256. Backups werden ebenfalls verschlüsselt in geografisch getrennten Rechenzentren in Deutschland abgelegt (siehe Abschnitt Serverstandort).

Tipp: Praxis-Tipp: Verschlüsselung prüfen Rufen Sie die Software-URL in Ihrem Browser auf und klicken Sie auf das Schloss-Symbol links neben der Adresse. Unter "Verbindung ist sicher" → "Zertifikat" sollten Sie TLS 1.3 und eine Verschlüsselung mit mindestens 256 Bit sehen. Fehlt das Schloss oder wird TLS 1.2 angezeigt, sprechen Sie den Anbieter an.

Nach dem Schrems-II-Urteil des EuGH (C-311/18, Juli 2020) und dem Wegfall des Privacy Shield ist die Übermittlung personenbezogener Daten in die USA datenschutzrechtlich hochriskant. Anbieter, die auf US-Cloud-Dienste (AWS us-east, Google Cloud US, Microsoft Azure US) setzen, müssen zusätzliche Garantien wie Standardvertragsklauseln (SCC) und ein Transfer Impact Assessment (TIA) nachweisen – Stand 2026 werden solche Konstellationen von Aufsichtsbehörden kritisch geprüft.

Serverstandort Deutschland oder EU bietet dagegen rechtliche Klarheit: Die DSGVO gilt unmittelbar, es entfallen TIA und SCC. Zudem unterliegen deutsche Rechenzentren dem BSI IT-Grundschutz und müssen nach § 8a BSIG kritische Infrastrukturen schützen.

• Vorteil 1: Kein Drittstaatentransfer – keine zusätzlichen Verträge, keine TIA-Dokumentation
• Vorteil 2: Zugriff durch Behörden nur nach deutschem Recht (StPO, § 161 StPO), nicht nach CLOUD Act oder FISA
• Vorteil 3: ISO 27001, BSI C5 – deutsche Rechenzentren zertifiziert nach international anerkannten Standards
• Vorteil 4: Schnellere Reaktionszeit bei Datenpannen, da Anbieter und Hosting unter deutschem Recht stehen

Hinweis: FoerderCheckPro.de: Hosting in Deutschland Alle Produktionsdaten von FoerderCheckPro.de liegen in ISO-27001-zertifizierten Rechenzentren in Frankfurt am Main und Falkenstein/Vogtland. Backup-Standorte sind ebenfalls in Deutschland (Nürnberg). Es erfolgt kein Datentransfer in Drittstaaten.

Fragen Sie Ihren Software-Anbieter explizit: "Wo stehen die Server physisch, und gibt es Drittstaatentransfers?" Lassen Sie sich den Serverstandort schriftlich bestätigen – im Audit-Fall ist dies Ihr Nachweis nach Art. 28 Abs. 3 lit. c DSGVO.

Art. 28 Abs. 3 DSGVO schreibt vor, dass jede Auftragsverarbeitung auf einem schriftlichen Vertrag basiert, der die Pflichten des Verarbeiters regelt. Ohne AVV ist die Datenverarbeitung durch die Software rechtswidrig – das kann im Audit zu sofortigen Nutzungsverboten führen.

Pflichtbestandteile eines AVV (Art. 28 Abs. 3 DSGVO)

Achtung: Häufiger Fehler: Viele SaaS-Anbieter verstecken den AVV in den AGB oder bieten ihn nur auf Anfrage. Fordern Sie den AVV vor Vertragsschluss schriftlich an und prüfen Sie, ob alle Pflichtbestandteile enthalten sind. Fehlt z. B. die Unterauftragnehmer-Liste (Hosting-Provider, Payment-Dienstleister), ist der AVV unvollständig.

FoerderCheckPro.de stellt Ihnen einen standardisierten AVV zum Download im Kundenbereich bereit. Die Unterauftragnehmer-Liste (Hosting-Provider, E-Mail-Service, Payment) ist darin explizit genannt und wird bei Änderungen automatisch aktualisiert.

Die BEG-Förderrichtlinie verlangt, dass alle Projektunterlagen (Energieberatungsbericht, iSFP, Fördermittelberechnung, Kostenvoranschläge) zehn Jahre revisionssicher aufbewahrt werden (§ 12 KfW 261 (Wohngebäude – Kredit), Stand 2026). Das bedeutet: Ihre Software muss nicht nur Daten speichern, sondern auch garantieren, dass sie im Audit-Fall wiederherstellbar sind.

Backup-Strategie: 3-2-1-Regel

• 3 Kopien: Produktivdaten + 2 Backups
• 2 Medien: z. B. SSD-Storage (Primär) + Object Storage (Backup)
• 1 Offsite: geografisch getrennte Rechenzentren (z. B. Frankfurt + Nürnberg)

FoerderCheckPro.de setzt diese Regel um: Tägliche Backups um 3:00 Uhr MEZ, wöchentliche Snapshots (aufbewahrt für 12 Monate), monatliche Langzeit-Archivierung (10 Jahre). Alle Backups verschlüsselt mit AES-256, gespeichert in Nürnberg (geografisch getrennt von Produktionsstandort Frankfurt).

Recovery Time Objective (RTO) und Recovery Point Objective (RPO)

Tipp: Praxis-Tipp: Wiederherstellungs-Test Fordern Sie von Ihrem Software-Anbieter einen jährlichen Wiederherstellungs-Test an. Seriöse Anbieter dokumentieren dies in einem Test-Report und können Ihnen auf Anfrage zeigen, dass ein Backup tatsächlich erfolgreich eingespielt wurde.

Zusätzlich bietet FoerderCheckPro.de Ihnen die Möglichkeit, alle Projekte jederzeit als JSON- oder PDF-Export herunterzuladen – so haben Sie eine lokale Kopie unabhängig vom Cloud-Anbieter.

Im Audit-Fall – sei es durch die Landesdatenschutzbehörde oder durch einen Ihrer Auftraggeber (z. B. Wohnungsbaugesellschaft, Bank) – müssen Sie nachweisen, dass Ihre Energieberatungs-Software DSGVO-konform ist. Stand 2026 verlangen Aufsichtsbehörden folgende Dokumente:

1. Auftragsverarbeitungs-Vertrag (AVV) mit vollständiger Unterauftragnehmer-Liste
2. Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO – Eintrag "Energieberatungs-Software" mit Zweck, Kategorien, Speicherdauer, TOM
3. TOM-Dokumentation (Technische und Organisatorische Maßnahmen) – z. B. Verschlüsselung, Serverstandort, Zugangskontrollen, Backup
4. Datenschutz-Folgenabschätzung (DSFA) – bei "hohem Risiko" (z. B. automatisierte Bonitätsprüfung in Fördermittel-Tools) nach Art. 35 DSGVO
5. Löschkonzept – wann und wie werden Daten gelöscht (Projektabschluss, Vertragsende, gesetzliche Aufbewahrungsfristen)

FoerderCheckPro.de unterstützt Sie bei der Audit-Bereitschaft durch vorgefertigte Muster: Sie erhalten im Kundenbereich ein TOM-Template zum Einfügen in Ihr VVT, einen DSFA-Leitfaden (falls erforderlich) und eine Löschkonzept-Vorlage. So können Sie im Audit binnen Minuten die geforderten Nachweise vorlegen.

Hinweis: ISO 27001 und BSI C5 Unser Hosting-Provider ist ISO 27001:2013 zertifiziert und erfüllt den BSI Cloud Computing Compliance Controls Catalogue (C5). Diese Zertifikate werden jährlich von unabhängigen Prüfern (TÜV, DEKRA) erneuert und stehen Ihnen auf Anfrage zur Verfügung.

Transparenz gegenüber Endkunden: Datenschutzerklärung und Einwilligungen

Wenn Sie FoerderCheckPro.de für Kundenprojekte nutzen, verarbeiten Sie personenbezogene Daten Ihrer Auftraggeber. Sie benötigen dafür eine Rechtsgrundlage – in der Regel Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung: Energieberatung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Fördermittelprüfung).

Ihre Datenschutzerklärung muss erwähnen, dass Sie eine cloudbasierte Software einsetzen und dass Daten dabei an einen Auftragsverarbeiter (Name, Serverstandort) übermittelt werden. FoerderCheckPro.de stellt Ihnen hierfür einen Muster-Textbaustein zur Verfügung, den Sie in Ihre eigene Datenschutzerklärung einfügen können.

Art. 32 Abs. 1 lit. b DSGVO fordert "die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dauerhaft sicherzustellen". Das bedeutet konkret: Nicht jeder Mitarbeiter im Beratungsbüro darf auf alle Kundendaten zugreifen. Moderne Energieberatungs-Software bietet deshalb rollenbasierte Zugriffsrechte.

Rollenmodell in FoerderCheckPro.de

Zwei-Faktor-Authentifizierung (2FA) ist ab 2026 bei sensiblen Daten empfohlen – FoerderCheckPro.de bietet TOTP (Time-based One-Time Password) via Authenticator-App (Google Authenticator, Authy) als optionales Feature. Administratoren können 2FA für alle Nutzer verpflichtend aktivieren.

Protokollierung (Audit-Log)

Jede sicherheitsrelevante Aktion wird protokolliert: Login, Projekt-Export, Nutzer-Anlage, AVV-Download. Das Audit-Log speichert Zeitstempel, IP-Adresse (pseudonymisiert nach 90 Tagen) und Aktion. Im Verdachtsfall – z. B. unbefugter Zugriff – können Sie so nachvollziehen, wer wann auf welche Daten zugegriffen hat.

Tipp: Best Practice: Exportieren Sie das Audit-Log vierteljährlich und archivieren Sie es lokal. So erfüllen Sie die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und können im Audit die Nachvollziehbarkeit aller Datenzugriffe nachweisen.

Art. 17 DSGVO gewährt Betroffenen ein Recht auf Löschung ("Recht auf Vergessenwerden"). Wenn ein Kunde die Löschung seiner Daten verlangt – und keine gesetzliche Aufbewahrungspflicht (BEG: 10 Jahre) besteht – müssen Sie die Daten innerhalb von 30 Tagen löschen. Ihre Software muss dies technisch unterstützen.

Löschkonzept in FoerderCheckPro.de

• Projekt-Löschung: Energieberater kann einzelne Projekte über die Oberfläche löschen → Daten werden in Backup-Archiven nach 90 Tagen automatisch entfernt
• Konto-Kündigung: Bei Vertragsende werden alle Produktionsdaten binnen 30 Tagen gelöscht. Backup-Archive folgen nach 90 Tagen (letzte Backup-Rotation).
• Aufbewahrungsfristen: BEG-Projekte werden automatisch nach 10 Jahren zur Löschung vorgemerkt (Hinweis an Administrator)
• Löschbestätigung: Auf Anfrage erhalten Sie eine schriftliche Bestätigung nach Art. 17 Abs. 1 DSGVO

Datenportabilität (Art. 20 DSGVO)

Betroffene haben das Recht, ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten. FoerderCheckPro.de bietet JSON-Export für alle Projekte – kompatibel mit gängigen Data-Warehouse-Tools. PDF-Export steht zusätzlich für menschenlesbare Berichte zur Verfügung.

Hinweis: Vendor-Lock-in vermeiden: Sie bleiben jederzeit Eigentümer Ihrer Daten. Der JSON-Export enthält alle Gebäudedaten, Berechnungen und Dokumente – so können Sie bei Bedarf zu einer anderen Software wechseln, ohne Datenverlust.

• Energieberater Software Vergleich 2026: Tools für Fördermittel & Sanierungsfahrplan

• White Label Förderrechner für Banken: KfW & BAFA nahtlos in Ihre Plattform integrieren

• Fördermittel-Check kostenlos: Zuschüsse für Ihre Sanierung ermitteln

• KfW Foerderung Bestandsimmobilie

• BAFA Energieeffizienz