Datenschutzerklärung

Verantwortlicher

Verantwortlich im Sinne der DSGVO ist: Bernhard Lambernd Hans-Mayer-Siedlung 58 21502 Geesthacht E-Mail: b.lambernd@gmail.com

Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist nicht bestellt; eine Bestellpflicht nach Art. 37 DSGVO besteht nach derzeitigem Stand nicht. [BITTE PRÜFEN bei Mitarbeitendenzahl > 20 oder regelmäßiger umfangreicher Verarbeitung sensibler Daten.]

Verarbeitete Datenarten

Im Rahmen der Nutzung von NormPilot werden folgende Datenarten verarbeitet:

• Kontodaten (E-Mail-Adresse, Vor- und Nachname, gehashtes Passwort)
• Organisationsdaten (Firmenname, Branche, Rolle des Nutzers)
• ISO-Implementierungsdaten (Antworten im Assistenten, Risikobewertungen, Prozesse, Dokumente, Aufgaben)
• Kontaktformular-Daten (Name, E-Mail, Betreff, Nachricht)
• Server-Logdaten (IP-Adresse, User-Agent, angefragte URL, Zeitpunkt)

Zwecke der Verarbeitung

• Bereitstellung der Software-as-a-Service-Anwendung „NormPilot“ (Vertragserfüllung gem. Art. 6 Abs. 1 lit. b DSGVO)
• Beantwortung von Anfragen über das Kontaktformular (Art. 6 Abs. 1 lit. b und f DSGVO)
• Sicherheit und Stabilität des Dienstes (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO)
• Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO)

Empfänger / Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein. Mit allen Anbietern bestehen [BITTE PRÜFEN: Auftragsverarbeitungsverträge gemäß Art. 28 Abs. 3 DSGVO bestätigen]:

• Vercel Inc. (Hosting der Web-Anwendung) — Datenverarbeitung u.a. in der EU. Datenschutz: https://vercel.com/legal/privacy-policy
• Supabase Inc. (Datenbank, Authentifizierung, Datei-Speicher) — Datenverarbeitung in der EU-Region (Frankfurt). Datenschutz: https://supabase.com/privacy
• Resend (transaktionale E-Mails wie Einladungen und Kontaktformular-Benachrichtigungen) — Datenschutz: https://resend.com/legal/privacy-policy
• Anthropic PBC (KI-gestützte Dokumentenerzeugung, nur für eingeloggte Nutzer mit aktivem Anwendungsfall) — Datenschutz: https://www.anthropic.com/legal/privacy

Übermittlung in Drittländer

Vercel, Resend und Anthropic haben ihren Sitz in den USA. Übermittlungen erfolgen auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie — soweit anwendbar — der Angemessenheitsbeschlüsse (EU-US Data Privacy Framework). Die produktive Datenbank wird in der EU-Region (Frankfurt) bei Supabase betrieben.

Speicherdauer

• Kontodaten: solange der Account besteht; bei Löschung wird der Account innerhalb von 30 Tagen entfernt.
• ISO-Implementierungsdaten: solange das Konto besteht; nach Account-Löschung 30 Tage zur Wiederherstellung, danach Löschung.
• Kontaktformular-Daten: bis zur abschließenden Bearbeitung der Anfrage, längstens jedoch [BITTE PRÜFEN: z. B. 12 Monate].
• Server-Logs: maximal 30 Tage zu Sicherheitszwecken.
• Rechnungs- und steuerrelevante Daten: 10 Jahre (§ 147 AO, § 257 HGB).

Ihre Rechte

Ihnen stehen nach DSGVO folgende Rechte zu:

• Auskunft über die Sie betreffenden Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose E-Mail an b.lambernd@gmail.com.

Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständig ist die Aufsichtsbehörde am Wohnsitz, am Arbeitsplatz oder am Ort des mutmaßlichen Verstoßes. Für den Verantwortlichen ist [BITTE PRÜFEN: Aufsichtsbehörde am Sitz nennen, z. B. „Der Landesbeauftragte für Datenschutz und Informationsfreiheit Schleswig-Holstein, Holstenstraße 98, 24103 Kiel“] zuständig.

Server-Logs

Beim Aufruf der Website werden technisch notwendige Daten in sogenannten Server-Logs gespeichert (IP-Adresse, Datum/Uhrzeit, angefragte URL, HTTP-Status, User-Agent). Diese dienen ausschließlich der Sicherstellung des Betriebs und der Abwehr von Angriffen. Die Daten werden nach 30 Tagen gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Cookies

NormPilot setzt technisch notwendige Cookies (Authentifizierungs-Cookie der Supabase-Auth zum Session-Management, Sprachpräferenz-Cookie `NEXT_LOCALE`, Cookie-Auswahl `np_consent_v1`) auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung. Optional und nur nach ausdrücklicher Einwilligung im Cookie-Banner setzen wir Vercel Analytics zur anonymisierten Reichweitenmessung ein (siehe nächster Abschnitt). Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Footer widerrufen. Rechtsgrundlage für die Analyse: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG.

Reichweitenmessung mit Vercel Analytics

Sofern Sie eingewilligt haben, nutzen wir Vercel Analytics von Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA, zur anonymisierten Reichweitenmessung. Erfasst werden Seitenaufruf, Referrer, gerätespezifische Informationen (Browser, OS, Region) und ein technisch generierter, täglich rotierender Hash-Identifier — keine Cookies, keine personenbezogenen Daten, kein Cross-Site-Tracking. Eine Übermittlung in die USA findet statt; Vercel ist im EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Datenschutz Vercel: https://vercel.com/legal/privacy-policy.

Kontaktformular

Wenn Sie uns über das Kontaktformular eine Nachricht senden, verarbeiten wir Ihre Angaben (Name, E-Mail, Betreff, Nachricht) zur Beantwortung Ihrer Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. lit. f (berechtigtes Interesse an der Beantwortung).

Automatisierte Entscheidungsfindung

Eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung im Sinne von Art. 22 DSGVO findet nicht statt.

Stand

Diese Datenschutzerklärung wurde zuletzt am 29. April 2026 aktualisiert.