Datenschutz­erklärung.

Verantwortlicher

Ein externer Datenschutzbeauftragter ist nicht zwingend erforderlich (Schwellenwert nach § 38 BDSG nicht überschritten). Anfragen zum Datenschutz richten Sie bitte an die oben genannte E-Mail-Adresse.

Überblick

Diese Datenschutzerklärung beschreibt, wie wir personenbezogene Daten in folgenden Bereichen verarbeiten:

• Website-Besuch
  Server-Logs, technische Daten
• Kontakt & Anfragen
  Kontakt-Formular, Mail-Eingang
• Konto-Erstellung
  Sign-Up, Profile, Workspaces
• Engine-Nutzung
  Konversationen, Inferenz-Anfragen
• Wissensbasis
  Upload, Indexierung, Abruf
• Abrechnung
  Tarif-Wechsel, Zahlungs­abwicklung

Verarbeitete Daten im Detail

Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO — Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen.
• Art. 6 Abs. 1 lit. c DSGVO— Verarbeitung zur Erfüllung rechtlicher Verpflichtungen (z. B. handels- und steuerrechtliche Aufbewahrungs­pflichten).
• Art. 6 Abs. 1 lit. f DSGVO — Verarbeitung zur Wahrung berechtigter Interessen (IT-Sicherheit, Direktwerbung an Bestandskunden, betrieblicher Eigenschutz).
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (wo erforderlich, etwa bei nicht-essenziellen Cookies).

Empfänger & Drittland-Transfer

Wir geben Daten nur an die folgenden Auftragsverarbeiter weiter — jeweils mit Vertrag nach Art. 28 DSGVO:

Drittland-Transfer: Es findet keine Übertragung in Drittländer außerhalb der EU/EWR statt. Sollten in Zukunft Sub-Auftragsverarbeiter mit Drittland-Bezug hinzukommen, informieren wir Sie vorab und stützen den Transfer auf EU-Standardvertrags­klauseln gemäß Art. 46 DSGVO.

Speicher-Dauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Die konkrete Dauer pro Verarbeitungs­vorgang finden Sie im Abschnitt „Verarbeitete Daten".

Nach Ablauf der jeweiligen Frist werden die Daten gelöscht oder anonymisiert. Gesetzliche Aufbewahrungs­pflichten (10 Jahre für Buchungs­belege nach § 147 AO) bleiben vorbehalten.

Cookies & Tracking

Wir setzen ausschließlich technisch notwendige Cookies für Login-Session und CSRF-Schutz. Es findet kein Tracking durch Drittanbieter statt (keine Google Analytics, keine Werbe-Cookies, keine Social-Media-Tracker).

Diese essenziellen Cookies werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionsfähigen Website) gesetzt und benötigen keine Einwilligung gemäß § 25 Abs. 2 Nr. 2 TTDSG.

Engine & KI-Inferenz

Unsere KI-Engine läuft auf eigener GPU-Hardware bei Hetzner Nürnberg. Die Engine ist zustandslos — sie persistiert keine Anfragen oder Antworten. Alle Konversations-Daten werden ausschließlich in unserer Datenbank (Supabase EU-Central) gespeichert, scoped pro Workspace.

Kein Training auf Ihren Daten: Wir verwenden Ihre Konversationen oder Wissensbasis-Inhalte nicht zum Training oder zur Verbesserung der Engine, es sei denn, Sie haben dem explizit zugestimmt (Distillation-Loop, opt-in pro Workspace).

Technische Grundlage: built with Llama — verwendet unter Llama Community License v2.0 (Meta Platforms, Inc.), auf deutschen B2B-Branchen feinjustiert.

Auftragsverarbeitung (für B2B-Kunden)

Wenn Sie Noctive geschäftlich nutzen und dabei personen­bezogene Daten Ihrer eigenen Kunden, Mandanten oder Beschäftigten verarbeiten, sind wir Auftragsverarbeiter im Sinne des Art. 28 DSGVO.

Unser Standardvertrag enthält bereits einen AVV nach Art. 28 DSGVO einschließlich TOM-Dokumentation und vollständiger Sub-Processor-Liste (§ 6). Bei Enterprise-Setups akzeptieren wir Ihren DPA-Entwurf oder verhandeln eine bilaterale Vereinbarung.

Customer-Daten werden ganz überwiegend auf eigenen Servern in Deutschland (Hetzner Nürnberg) verarbeitet. Spezialisierte Sub-Processor zur Inference- und OAuth-Verarbeitung sind DPF/SCC-konform eingebunden — vollständige Liste mit Sitz und Leistung im AVV § 6.

AVV-Entwurf anfordern

Technische & organisatorische Maßnahmen

• TLS 1.3 für alle Verbindungen, Forward-Secrecy als Default
• AES-256 at-rest für Datenbank und Backups, eigene Encryption-Keys pro Workspace
• Audit-Log für jede Aktion: Login, Workspace-Zugriff, Knowledge-Upload, Engine-Inferenz
• Pen-Testing mindestens jährlich + nach jedem Major-Release durch externe Firma
• Backup-Strategie mit täglichen Inkremental-Backups, 30 Tage Retention, georedundant in DE
• Zugriffs-Berechtigungen nach Need-to-Know, MFA-Pflicht für alle administrativen Zugänge
• Responsible Disclosure — Security-Hinweise an info@noctive.de werden innerhalb 24h gewürdigt

Eine vollständige TOM-Dokumentation als Anlage zum AVV erhalten Sie auf Anfrage.

Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Zur Ausübung Ihrer Rechte genügt eine formlose E-Mail an info@noctive.de. Konto-Inhaber können Auskunft und Datenexport direkt im Dashboard unter „Einstellungen · Datenexport" auslösen.

Beschwerderecht: Unbeschadet anderer Rechtsbehelfe haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde. Zuständig ist insbesondere das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche oder technische Gegebenheiten ändern. Wesentliche Änderungen kündigen wir mindestens 14 Tage vorab per E-Mail an die hinterlegte Adresse Ihres Kontos an.