Rechtliches
Datenschutzerklärung
Zuletzt aktualisiert: Juli 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung Ihrer personenbezogenen Daten ist:
2. Welche Daten Nathan erfasst — und warum
Nathan kann Ihnen nur dann Geld sparen und Ihre Wärmepumpe im Blick behalten, wenn er die richtigen Daten dafür hat. Hier ist genau, was wir erfassen — nichts mehr.
Kontodaten
- E-Mail-Adresse — für die Anmeldung und um Ihnen Benachrichtigungen von Nathan zu senden.
- Name (optional) — damit Nathan Sie persönlich ansprechen kann.
- Passwort — gehasht und gesalzen via Supabase Auth. Wir sehen es nie im Klartext.
Wärmepumpen-Telemetrie
Das sind die Daten, die Nathan tatsächlich nutzt, um Ihnen zu helfen:
- Vorlauf- und Rücklauftemperatur — um die Heizkurve zu optimieren.
- Warmwasserproduktion und Zeiten — um in günstige oder solare Stunden zu verschieben.
- Betriebsstatus der Zirkulationspumpe — um Fehlfunktionen zu erkennen, die Geld kosten.
- Laufzeit des Kompressors — um Effizienz zu verfolgen und Verschleiß früh zu erkennen.
- Stromverbrauch — um tatsächliche Einsparungen zu berechnen.
- PV-Einspeisung (falls verbunden) — damit Nathan Lasten in Ihre Solarproduktion verschieben kann.
Installations- und Konfigurationsdaten
- Wärmepumpenmodell und Hersteller — Bosch, Vaillant, LG usw.
- Installationsdatum und Firmware-Version
- Heizungsanlage (Fußbodenheizung oder Heizkörper) — beeinflusst, wie Nathan optimiert.
- Postleitzahl — für Wetterdatenkorrelation (keine genaue Adresse erforderlich).
Zahlungsdaten
Zahlungen werden von Stripe abgewickelt. Wir speichern keine Kreditkarten- oder Bankdaten. Stripe teilt uns mit: Ihre Abonnementstufe, Abrechnungsstatus und das anonymisierte Zahlungstoken. Die Datenschutzerklärung von Stripe gilt für alle Zahlungstransaktionen.
Nutzungsdaten der App
- Gerätetyp und Betriebssystemversion — für die Fehlerbehebung bei App-Abstürzen.
- App-Version — um sicherzustellen, dass Sie die neuesten Optimierungen erhalten.
- Fehlerprotokolle und Absturzberichte — anonymisiert, um die App zu verbessern.
- App-Ereignisse (z.B. abgeschlossene Einrichtungsschritte, Seitenaufrufe) — über Mixpanel erfasst, anonymisiert und zur Verbesserung des Dienstes verwendet.
Sicherheits- und Schutzdaten
Zum Schutz vor Missbrauch und automatisierten Angriffen erfassen wir vorübergehend:
- IP-Adresse — für Rate-Limiting bei Anmelde- und Registrierungsversuchen. Wird nach kurzer Zeit automatisch gelöscht und nicht für andere Zwecke verwendet.
- Browser-Fingerprint-Signale — über Cloudflare Turnstile, um Bot-Traffic von echten Nutzern zu unterscheiden. Es werden keine persistenten Fingerprints gespeichert.
3. Rechtsgrundlage der Verarbeitung
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Kontodaten und Telemetrie-Daten, die zur Erbringung des Nathan-Dienstes erforderlich sind.
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — anonymisierte Telemetrie, Sicherheitsmaßnahmen (Rate-Limiting, Bot-Schutz) sowie Werbemessung.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — für optionale Daten wie Ihren Namen und Marketing-Mitteilungen sowie optionale Analyse-Cookies. Sie können Ihre Einwilligung jederzeit widerrufen.
4. Was Nathan mit kollektiven Daten lernt
Ihre Daten gehören Ihnen. Was Nathan lernt, lernt er anonym. Telemetrie-Daten werden anonymisiert, bevor sie zu unserem gemeinsamen Optimierungsmodell beitragen. Kein Datenpunkt ist jemals auf Sie oder Ihr Zuhause zurückzuführen.
Nathan wird über Tausende von Wärmepumpen hinweg besser — weil jedes anonyme System ihm beibringt, wie effizient aussieht, wie ein Fehler aussieht und wie eine zwei Grad zu hohe Heizkurve aussieht. Dieses kollektive Wissen kommt Ihrem System zugute. Ihre individuellen Daten bleiben bei Ihnen.
5. Mit wem wir Daten teilen
Wir verkaufen keine personenbezogenen Daten. Nie. Wir teilen Daten nur mit:
- Supabase — Authentifizierung und Datenbankhosting. Daten werden in der EU gespeichert (Frankfurt). Datenschutzerklärung von Supabase →
- Stripe — Zahlungsabwicklung. Nur Abonnementdaten werden geteilt. Datenschutzerklärung von Stripe →
- Vercel — App-Hosting und Edge-Funktionen. Keine personenbezogenen Daten werden dauerhaft auf Vercel-Servern gespeichert.
- Cloudflare Turnstile — Bot-Schutz auf Anmelde- und Formularseiten. Cloudflare verarbeitet Browser-Signale serverseitig. Keine persistenten Cookies. Datenübertragung in die USA auf Basis von Standardvertragsklauseln (Art. 46 DSGVO). Datenschutzerklärung von Cloudflare →
- Mixpanel — Produkt-Analytics zur Verbesserung der App. Ereignisdaten werden anonymisiert übermittelt. Datenschutzerklärung von Mixpanel →
- Meta Conversions API — serverseitige Übermittlung gehashter (SHA-256) E-Mail-Adressen und Transaktions-IDs nach einem Kauf zur Messung des Werbeerfolgs. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
- Behörden — nur wenn wir gesetzlich dazu verpflichtet sind und keine andere Möglichkeit besteht.
6. Datenspeicherung
- Kontodaten — so lange aufbewahrt, wie Ihr Konto aktiv ist. Innerhalb von 30 Tagen nach Löschung des Kontos gelöscht.
- Telemetrie-Daten — 24 Monate rollierender Verlauf für aktive Abonnements. Bei Kündigung nach 90 Tagen gelöscht.
- Sicherheitsdaten (IP-Adressen) — werden nach kurzer Zeit automatisch gelöscht, spätestens nach 30 Tagen.
- Anonymisierte Aggregatdaten — können unbegrenzt aufbewahrt werden, da sie nicht mit Ihnen verknüpft sind.
- Zahlungsaufzeichnungen — 10 Jahre gemäß deutschen Buchführungspflichten (§ 257 HGB).
7. Ihre Rechte
Sie haben das Recht auf:
- Auskunft — erfahren, welche Daten wir über Sie haben.
- Berichtigung — Korrekturen unrichtiger Daten.
- Löschung— “das Recht auf Vergessenwerden”. Fordern Sie die vollständige Löschung Ihres Kontos an.
- Einschränkung der Verarbeitung — die Verwendung Ihrer Daten pausieren, während Streitigkeiten beigelegt werden.
- Datenübertragbarkeit — Ihre gesamte Telemetrie-Historie als CSV exportieren.
- Widerspruch — der Verarbeitung auf Grundlage berechtigter Interessen widersprechen.
- Beschwerde — eine Beschwerde bei Ihrer nationalen Datenschutzbehörde einreichen. In Deutschland: Bundesbeauftragter für den Datenschutz (BfDI).
Um eines dieser Rechte auszuüben, senden Sie eine E-Mail an privacy@nathan-labs.com. Wir antworten innerhalb von 30 Tagen.
8. Datensicherheit
- Alle Daten werden bei der Übertragung mit TLS 1.2+ verschlüsselt.
- Datenbankzugriff ist auf authentifizierte Dienste beschränkt — kein öffentlicher Direktzugriff.
- Passwörter werden niemals im Klartext gespeichert oder protokolliert.
- Zugriff auf Produktionsdaten ist auf notwendige Teammitglieder beschränkt.
9. Cookies und Tracking
Wir verwenden technisch notwendige Cookies für Session-Management und Authentifizierung. Darüber hinaus setzen wir folgende Dienste ein:
Google Analytics 4
Wir verwenden Google Analytics 4 (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Google Analytics erfasst pseudonymisierte Nutzungsdaten (Seitenaufrufe, Ereignisse, Geräteinformationen) und überträgt diese ggf. in die USA (Rechtsgrundlage: Standardvertragsklauseln gemäß Art. 46 DSGVO). Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Opt-out: tools.google.com/dlpage/gaoptout.
Google Ads Enhanced Conversions
Bei einem Kauf übermitteln wir Ihre gehashte (SHA-256) E-Mail-Adresse sowie die Transaktions-ID an Google zur Konversionsmessung. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Meta Pixel & Meta Conversions API
Wir verwenden das Meta Pixel (Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland) sowie die Meta Conversions API. Das Pixel erfasst Ereignisse (Seitenaufrufe, Käufe). Über die Conversions API übermitteln wir zusätzlich gehashte (SHA-256) E-Mail-Adressen und Transaktionsdaten serverseitig an Meta. Daten können in die USA übertragen werden (Standardvertragsklauseln). Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für das Pixel; berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für die Conversions API.
Cloudflare Turnstile
Auf Anmelde- und Kontaktformularseiten setzen wir Cloudflare Turnstile (Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA) als Bot-Schutz ein. Turnstile verarbeitet Browser-Signale serverseitig und setzt keine persistenten Tracking-Cookies. Datenübertragung in die USA auf Basis von Standardvertragsklauseln (Art. 46 DSGVO). Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Mixpanel
Wir verwenden Mixpanel (Mixpanel, Inc., One Front Street, San Francisco, CA 94111, USA) zur Analyse der App-Nutzung. Ereignisdaten werden anonymisiert übermittelt. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Vercel Speed Insights
Für die Geschwindigkeitsanalyse verwenden wir Vercel Speed Insights (anonymisiert, keine personenbezogenen Daten). Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
10. Kinder
Die Nathan Labs App richtet sich an Haushalte mit Wärmepumpen. Sie ist nicht für Personen unter 16 Jahren bestimmt. Wenn Sie glauben, dass ein Kind unter 16 Jahren ein Konto erstellt hat, kontaktieren Sie uns bitte unter privacy@nathan-labs.com und wir löschen es sofort.
11. Änderungen dieser Datenschutzerklärung
Wenn wir diese Erklärung wesentlich ändern, benachrichtigt Nathan Sie per E-Mail und zeigt einen Hinweis in der App an. Kleinere Klarstellungen werden mit einem aktualisierten Datum oben versehen. Die fortgesetzte Nutzung nach der Benachrichtigung gilt als Annahme der aktualisierten Bedingungen.
12. Kontakt
Fragen zu dieser Datenschutzerklärung? Schreiben Sie uns: