Datenschutzerklärung
1. Verantwortlicher
Nicholas George Stockhammer
Dom-Pedro-Str. 18
80637 München, Deutschland
E-Mail: hello@nexusintel.app
(nachfolgend „wir", „uns" oder „Verantwortlicher")
2. Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist nicht bestellt. Die Bestellung ist gemäß Art. 37 DSGVO i. V. m. § 38 BDSG nicht erforderlich, da:
- weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG),
- keine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen stattfindet (Art. 37 Abs. 1 lit. b DSGVO),
- keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten erfolgt (Art. 37 Abs. 1 lit. c DSGVO).
Für datenschutzrechtliche Anliegen wenden Sie sich bitte an: hello@nexusintel.app
3. Übersicht der Verarbeitungstätigkeiten
| Verarbeitungszweck | Rechtsgrundlage | Datenkategorien | Speicherdauer |
|---|---|---|---|
| Bereitstellung der Website | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) | IP-Adresse, HTTP-Anfragedaten | 30 Tage (Serverlogs) |
| Benutzerkonto & Authentifizierung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | E-Mail, Name, Profilmetadaten | Dauer des Kontos + 30 Tage |
| Google-OAuth-Anmeldung | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | E-Mail, Name, Profilbild-URL, Google-Konto-ID | Dauer des Kontos |
| Aufgaben- & Planungsdaten | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Aufgabentitel, Pläne, Notizen | Dauer des Kontos |
| KI-Planungsassistent | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) + lit. a (Einwilligung pro Interaktion) | Benutzeranfragen, KI-Ausgaben | Keine Speicherung durch Anthropic (Zero-Retention-API); intern: Dauer des Kontos |
| Zahlungsabwicklung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) + lit. c (rechtliche Verpflichtung) | E-Mail, Rechnungsadresse, Zahlungsmethode (letzte 4 Stellen), Abonnementstatus | Zahlungsunterlagen: 6–10 Jahre (§ 147 AO); Abonnementstatus: Dauer + 30 Tage |
| Transaktionale E-Mails | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | E-Mail-Adresse, E-Mail-Inhalt | Zustellungsprotokolle: 30 Tage; Inhalt: transient |
| DNS & CDN (Sicherheit) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) | IP-Adresse, Anfragemetadaten | Bis zu 72 Stunden |
4. Bereitstellung der Website und Erstellung von Logfiles
4.1 Hosting (Vercel)
Unsere Website wird von Vercel Inc., San Francisco, CA, USA, gehostet. Bei jedem Zugriff auf unsere Website erfasst Vercel automatisch:
- IP-Adresse des zugreifenden Rechners
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL und Referrer-URL
- Verwendeter Browser und Betriebssystem (User-Agent)
- Übertragene Datenmenge
- HTTP-Statuscode
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der sicheren und fehlerfreien Bereitstellung der Website sowie an der Abwehr von Angriffen.
Speicherdauer: Serverlogs werden nach 30 Tagen gelöscht.
Drittlandtransfer: Vercel hat seinen Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission, Durchführungsbeschluss (EU) 2023/1795) sowie der Standardvertragsklauseln (SCC, Modul 2: Verantwortlicher → Auftragsverarbeiter) gemäß dem Auftragsverarbeitungsvertrag von Vercel.
4.2 DNS & CDN (Cloudflare)
Wir nutzen Cloudflare Inc., San Francisco, CA, USA, als DNS-Provider und Content Delivery Network (CDN). Cloudflare verarbeitet dabei:
- IP-Adressen
- HTTP-Anfragemetadaten (Header, URL-Pfade, TLS-Version)
- DNS-Anfragen
Cloudflare hat keinen Zugriff auf Anwendungsdaten (Inhalte von Formularen, Benutzerdaten etc.).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Sicherheit, Performance und Verfügbarkeit.
Speicherdauer: DNS-/CDN-Logs: bis zu 72 Stunden.
Drittlandtransfer: EU-US Data Privacy Framework + SCC gemäß Cloudflare-Auftragsverarbeitungsvertrag.
5. Benutzerkonto und Authentifizierung
5.1 Registrierung per E-Mail (Supabase)
Bei der Registrierung eines Benutzerkontos verarbeiten wir:
- E-Mail-Adresse
- Gehashtes Passwort (Klartext wird nicht gespeichert)
- Anzeigename
- Profilmetadaten
Diese Daten werden in einer Supabase-Datenbank gespeichert (Supabase Inc., San Francisco, CA, USA; Projektregion: eu-central-1, Frankfurt am Main, Deutschland).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Bereitstellung des Benutzerkontos).
Speicherdauer: Dauer des Benutzerkontos + 30 Tage nach Löschung. Authentifizierungsprotokolle: 90 Tage.
Drittlandtransfer: Primärdaten werden in der EU (Frankfurt) verarbeitet. Supabase als US-Unternehmen: SCC im Auftragsverarbeitungsvertrag als Absicherung.
5.2 Anmeldung über Google OAuth
Sie können sich optional über „Mit Google anmelden" (Google OAuth 2.0) registrieren/anmelden. Dabei übermittelt Google an uns:
- E-Mail-Adresse
- Anzeigename
- Profilbild-URL
- Google-Konto-ID (Sub-Claim)
Google ist kein Auftragsverarbeiter von NEXUS Labs. Google authentifiziert den Nutzer unter der eigenen Datenschutzerklärung von Google und sendet anschließend die genannten Daten per Token an NEXUS. NEXUS übermittelt keine Benutzerdaten an Google zurück. Es handelt sich um eine föderierte Identitätsbeziehung, nicht um ein Auftragsverarbeitungsverhältnis.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO — Einwilligung. Die Einwilligung erfolgt durch die aktive Auswahl der Google-Anmeldeoption durch den Nutzer.
Widerruf: Sie können die Verbindung zu Google jederzeit in Ihren Kontoeinstellungen trennen. Die zuvor übermittelten Daten verbleiben in Ihrem NEXUS-Profil, bis Sie Ihr Konto löschen.
Datenschutzerklärung von Google: https://policies.google.com/privacy
6. Aufgaben- und Planungsdaten
Wenn Sie Aufgaben, Pläne, Notizen oder andere Inhalte in NEXUS erstellen, verarbeiten wir diese Daten zur Bereitstellung des Dienstes.
Verarbeitete Daten: Aufgabentitel, Beschreibungen, Fälligkeitsdaten, Planungszusammenfassungen, Notizen, Benutzereinstellungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung.
Speicherdauer: Dauer des Benutzerkontos. Bei Kontolöschung werden die Daten innerhalb von 30 Tagen gelöscht.
Speicherort: Supabase-Datenbank, Region eu-central-1 (Frankfurt), Deutschland.
7. KI-gestützter Planungsassistent (Anthropic)
NEXUS bietet KI-gestützte Planungsfunktionen (Planungsassistent, Recherche-Assistent, kontextbezogene Vorschläge). Diese Funktionen nutzen die API von Anthropic PBC, San Francisco, CA, USA.
7.1 Verarbeitete Daten
- Eingaben: Vom Nutzer eingegebene Anfragen (können Aufgabentitel, Planbeschreibungen, Freitextanfragen enthalten)
- Ausgaben: Vom Modell generierte Antworten (Vorschläge, Pläne, Zusammenfassungen)
7.2 Anthropics Datenverarbeitung
Anthropic speichert keine API-Eingaben oder -Ausgaben für das Training von Modellen auf dem kostenpflichtigen API-Tier (Zero-Retention-Policy gemäß Anthropic API Terms, §4). Missbrauchsüberwachungsprotokolle können bis zu 30 Tage aufbewahrt werden.
7.3 Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung. Die KI-Funktionen sind integraler Bestandteil des gebuchten Abonnements. Jede KI-Verarbeitung wird vom Nutzer durch aktive Eingabe einer Anfrage ausgelöst; ohne diese Nutzereingabe erfolgt keine KI-Verarbeitung.
7.4 Automatisierte Entscheidungsfindung
Die KI-Funktionen in NEXUS dienen der Unterstützung und Empfehlung, nicht der automatisierten Einzelentscheidung im Sinne des Art. 22 DSGVO. Kein Nutzer wird einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen, die ihm gegenüber rechtliche Wirkung entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtigt. Der Nutzer entscheidet stets selbst, ob er die KI-Vorschläge übernimmt.
Drittlandtransfer: Anthropic hat seinen Sitz in den USA. EU-US Data Privacy Framework + SCC gemäß Anthropic-Auftragsverarbeitungsvertrag.
8. Zahlungsabwicklung (Stripe)
Für die Abwicklung von Zahlungen nutzen wir Stripe Inc., San Francisco, CA, USA.
8.1 Verarbeitete Daten
- E-Mail-Adresse
- Rechnungsname und -adresse
- Zahlungsmethode (Kartennummer: nur letzte 4 Stellen; Ablaufdatum)
- Abonnementstatus (Plan, Abrechnungszeitraum, Verlängerungsdatum)
- Rechnungshistorie und Zahlungsvorgänge
8.2 Rechtsgrundlage
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Zahlungsabwicklung für das Abonnement)
- Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen Verpflichtung (steuerliche und handelsrechtliche Aufbewahrungspflichten)
8.3 Speicherdauer
- Zahlungsunterlagen: 6–10 Jahre gemäß § 147 AO (Abgabenordnung) und § 257 HGB (Handelsgesetzbuch)
- Abonnementstatus: Dauer des Abonnements + 30 Tage
- Kartentokens: bis zur Entfernung der Zahlungsmethode durch den Kunden
8.4 Drittlandtransfer
EU-US Data Privacy Framework + SCC (Modul 2) gemäß Stripe-Auftragsverarbeitungsvertrag. Kartendaten von EU-Kunden werden im EU-Rechenzentrum von Stripe verarbeitet.
9. Transaktionale E-Mails (Resend)
Für den Versand transaktionaler E-Mails (Willkommensnachrichten, Passwort-Zurücksetzung, Abonnementbestätigungen, Rechnungsbenachrichtigungen) nutzen wir Resend Inc., San Francisco, CA, USA.
Verarbeitete Daten: Empfänger-E-Mail-Adresse, E-Mail-Betreff, E-Mail-Inhalt, Zustellungsstatusmetadaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (transaktionale Benachrichtigungen für Kontovorgänge).
Speicherdauer: Zustellungsprotokolle: 30 Tage. E-Mail-Inhalt: transient (wird nach Zustellung nicht dauerhaft gespeichert).
Drittlandtransfer: SCC (Modul 2) gemäß Resend-Auftragsverarbeitungsvertrag.
10. Cookies und lokale Speicherung
10.1 Technisch notwendige Cookies
NEXUS verwendet ausschließlich technisch notwendige Cookies:
| Cookie | Zweck | Dauer | Rechtsgrundlage |
|---|---|---|---|
| Authentifizierungs-Session-Token | Aufrechterhaltung der Anmeldesitzung | Sitzungsdauer (max. 7 Tage) | Art. 6 Abs. 1 lit. b DSGVO |
| Supabase Auth Token | OAuth/Session-Management | Sitzungsdauer | Art. 6 Abs. 1 lit. b DSGVO |
10.2 Keine Tracking-Cookies
NEXUS verwendet keine Analyse-, Werbe-, Remarketing- oder Social-Media-Tracking-Cookies. Es sind keine Drittanbieter-Tracking-Skripte eingebunden.
10.3 Local Storage
NEXUS nutzt den lokalen Speicher Ihres Browsers (localStorage) zu zwei Zwecken:
Browserbezogene Präferenzen. Einstellungen, die nur das Erscheinungsbild und Verhalten der Anwendung in Ihrem Browser betreffen (Design-Modus, Akzentfarbe, Seitenleisten-Darstellung, Kalender-Einstellungen), werden ausschließlich lokal gespeichert und nicht an unsere Server übermittelt.
Zwischenspeicherung Ihrer Nutzerdaten (Browser-Cache). Zur schnelleren Darstellung speichert NEXUS zusätzlich eine lokale Kopie Ihrer Nutzerdaten (u. a. Aufgaben, Notizen, Journal-Einträge, Gewohnheiten, Wochenpläne, KI-generierte Tagesbriefings, Projekt- und Widget-Einstellungen) im localStorage. Diese Kopie ist nicht die Primärspeicherung; die maßgebliche Speicherung erfolgt gemäß §§ 5–7 in der Supabase-Datenbank (Region eu-central-1, Frankfurt am Main).
Schutz auf geteilten Geräten. Beim Abmelden sowie beim Anmelden eines anderen Nutzers im selben Browser werden alle nutzer-spezifischen nexus:*-Einträge im localStorage automatisch gelöscht, um den versehentlichen Zugriff auf Daten eines anderen Nutzers zu verhindern. Browserbezogene Präferenzen (siehe oben) bleiben erhalten.
11. Empfänger personenbezogener Daten
11.1 Auftragsverarbeiter (Art. 28 DSGVO)
| Auftragsverarbeiter | Zweck | Sitz | Garantien |
|---|---|---|---|
| Vercel Inc. | Hosting & Serverless Functions | USA | DPF + SCC |
| Supabase Inc. | Datenbank & Authentifizierung | USA (Daten: EU Frankfurt) | SCC |
| Stripe Inc. | Zahlungsabwicklung | USA (EU-Kartendaten: EU) | DPF + SCC |
| Anthropic PBC | KI-Inferenz | USA | DPF + SCC |
| Resend Inc. | Transaktionale E-Mails | USA | SCC |
| Cloudflare Inc. | DNS & CDN | USA/Global | DPF + SCC |
Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.
11.2 Weitere Empfänger
Eine Weitergabe personenbezogener Daten an sonstige Dritte erfolgt nicht, es sei denn, wir sind gesetzlich dazu verpflichtet (z. B. an Strafverfolgungsbehörden bei gerichtlicher Anordnung) oder der Betroffene hat ausdrücklich eingewilligt.
12. Übermittlung in Drittländer
Personenbezogene Daten werden an Auftragsverarbeiter in den USA übermittelt (siehe § 11.1). Die Übermittlung erfolgt auf Basis folgender Garantien:
-
EU-US Data Privacy Framework (DPF) — Angemessenheitsbeschluss der EU-Kommission, Durchführungsbeschluss (EU) 2023/1795. Gilt für DPF-zertifizierte US-Unternehmen (Vercel, Stripe, Cloudflare, Anthropic).
-
Standardvertragsklauseln (SCC) — Standarddatenschutzklauseln gemäß Durchführungsbeschluss (EU) 2021/914, Modul 2 (Verantwortlicher → Auftragsverarbeiter). In allen Auftragsverarbeitungsverträgen enthalten.
13. Rechte der betroffenen Personen
Sie haben als betroffene Person folgende Rechte:
| Recht | Rechtsgrundlage | Beschreibung |
|---|---|---|
| Auskunftsrecht | Art. 15 DSGVO | Sie können Auskunft über Ihre verarbeiteten personenbezogenen Daten verlangen. |
| Recht auf Berichtigung | Art. 16 DSGVO | Sie können die Berichtigung unrichtiger Daten verlangen. |
| Recht auf Löschung | Art. 17 DSGVO | Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. |
| Recht auf Einschränkung | Art. 18 DSGVO | Sie können die Einschränkung der Verarbeitung verlangen. |
| Recht auf Datenübertragbarkeit | Art. 20 DSGVO | Sie können Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format erhalten. |
| Widerspruchsrecht | Art. 21 DSGVO | Sie können der Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO widersprechen. |
| Recht auf Widerruf der Einwilligung | Art. 7 Abs. 3 DSGVO | Sie können eine erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird nicht berührt. |
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: hello@nexusintel.app
Wir werden Ihre Anfrage innerhalb eines Monats beantworten (Art. 12 Abs. 3 DSGVO).
14. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.
Zuständige Aufsichtsbehörde:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Deutschland
Telefon: +49 (0) 981 180093-0
E-Mail: poststelle@lda.bayern.de
Website: https://www.lda.bayern.de
15. Pflicht zur Bereitstellung personenbezogener Daten
Die Bereitstellung Ihrer personenbezogenen Daten ist teilweise gesetzlich vorgeschrieben (z. B. steuerliche Pflichten bei Zahlungsvorgängen) oder ergibt sich aus vertraglichen Regelungen (z. B. E-Mail-Adresse für die Kontoerstellung).
Ohne Bereitstellung der für die Kontoerstellung erforderlichen Daten (E-Mail-Adresse) kann kein Vertragsverhältnis begründet werden. Die Nutzung der KI-Funktionen setzt die Eingabe von Daten durch den Nutzer voraus; ohne Eingabe kann keine KI-Unterstützung erbracht werden.
16. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen, technische Änderungen oder neue Verarbeitungstätigkeiten anzupassen. Die aktuelle Version ist stets unter nexusintel.app/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.