Privacy Policy

1. Präambel

Mit dieser Datenschutzerklärung möchten wir Sie umfassend darüber informieren, wie, in welchem Umfang und zu welchen Zwecken personenbezogene Daten durch die NovaData UG (haftungsbeschränkt) verarbeitet werden. Dies umfasst insbesondere die Nutzung unseres Onlineangebots, einschließlich unserer Webseiten, mobilen Applikationen sowie externen Präsenzen in sozialen Netzwerken (nachfolgend zusammenfassend „Onlineangebot" genannt), und sämtliche im Rahmen unserer Geschäftstätigkeit durchgeführte Datenverarbeitungen.

Diese Datenschutzerklärung richtet sich an alle betroffenen Personen, deren Daten durch uns verarbeitet werden, darunter insbesondere unsere Kunden, Interessenten, Geschäftspartner, Schulungsteilnehmer, Websitebesucher und Kommunikationspartner. Die verwendeten Begriffe sind geschlechtsneutral zu verstehen.

2. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger datenschutzrechtlicher Bestimmungen ist:

NovaData UG (haftungsbeschränkt)
Vertreten durch den Geschäftsführer: Tim Rosen
Geschäftsanschrift: 92348 Berg bei Neumarkt i.d.OPf., Bayern
E-Mail: info@novadata.solutions
Internet: novadata.solutions
Impressum: novadata.solutions/impressum

3. Übersicht der Datenverarbeitungen

Die nachfolgende Übersicht stellt dar, welche Kategorien personenbezogener Daten wir zu welchen Zwecken verarbeiten und welche Gruppen von Personen davon betroffen sind.

3.1 Verarbeitete Datenarten

• Bestandsdaten: z. B. Name, Anschrift, Geburtsdatum, Kundennummer
• Kontaktdaten: z. B. E-Mail-Adresse, Telefonnummer, Postanschrift
• Vertragsdaten: z. B. gebuchte Leistungen, Laufzeiten, Vereinbarungen
• Zahlungsdaten: z. B. Bankverbindung, Rechnungsinformationen, Zahlungshistorie
• Inhaltsdaten: z. B. Formulareingaben, Nachrichteninhalte, Projektdaten
• Nutzungsdaten: z. B. besuchte Seiten, Klickpfade, Nutzungsdauer
• Protokolldaten: z. B. IP-Adresse, Zeitstempel, Server-Logfiles
• Standortdaten: z. B. bei Nutzung kartengestützter Dienste oder Standortfreigabe
• Meta- und Kommunikationsdaten: z. B. Geräteinformationen, Browsertyp, Session-IDs

3.2 Kategorien betroffener Personen

• (Potenzielle) Kunden und Auftraggeber
• Schulungs- und Seminarteilnehmer
• Geschäftspartner und Lieferanten
• Nutzer und Besucher unserer Website und Plattformen
• Kommunikationspartner (z. B. über E-Mail, Messenger, soziale Medien)

3.3 Zwecke der Verarbeitung

• Erfüllung vorvertraglicher und vertraglicher Pflichten
• Bereitstellung unseres Onlineangebots und IT-Infrastruktur
• Kommunikation mit Interessenten, Kunden und Partnern
• Durchführung von Online-Schulungen und Workshops
• Zahlungsabwicklung und Rechnungsstellung
• Sicherheitsmaßnahmen und Zugangskontrollen
• Marketing, Direktwerbung und Kundenbindung
• Webanalyse, Nutzungsstatistik, Reichweitenmessung
• Öffentlichkeitsarbeit, insbesondere über soziale Netzwerke
• Erfüllung gesetzlicher Aufbewahrungspflichten und Compliance

4. Rechtsgrundlagen der Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt bei NovaData im Einklang mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie gegebenenfalls weiterer nationaler und europäischer Datenschutzvorschriften. Je nach Verarbeitungssituation und Zweck stützen wir uns auf die folgenden Rechtsgrundlagen:

Art. 6 Abs. 1 lit. a DSGVO – Einwilligung
Die betroffene Person hat ihre freiwillige, informierte und unmissverständliche Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke erteilt.
Beispiel: Anmeldung zum Newsletter, Einwilligung zu Cookies, Nutzung von Analyse- oder Tracking-Technologien.

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung oder vorvertragliche Maßnahmen
Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person.
Beispiel: Kundenkommunikation, Projektbearbeitung, Auftragsabwicklung, Rechnungsstellung.

Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung
Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der NovaData unterliegt.
Beispiel: steuerrechtliche Aufbewahrungspflichten, Buchhaltungspflichten nach HGB und AO.

Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse
Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen oder der eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Beispiel: IT-Sicherheit, Webanalyse zur Optimierung der Nutzerfreundlichkeit, Direktwerbung gegenüber Bestandskunden, Durchsetzung rechtlicher Ansprüche.

Art. 9 Abs. 2 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten
In Einzelfällen – etwa bei Schulungsmaßnahmen mit gesundheitsbezogenen Angaben – erfolgt eine Verarbeitung besonderer Kategorien personenbezogener Daten nur unter den Voraussetzungen von Art. 9 Abs. 2 DSGVO, insbesondere bei ausdrücklicher Einwilligung oder rechtlicher Notwendigkeit.

5. Sicherheitsmaßnahmen

Zum Schutz personenbezogener Daten ergreifen wir technische und organisatorische Maßnahmen (TOM) nach Maßgabe der gesetzlichen Vorgaben, insbesondere Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den zentralen Maßnahmen zählen insbesondere:

• Zugriffskontrollen für interne und externe Systeme
• SSL-/TLS-Verschlüsselung bei Datenübertragung über unsere Website
• Schutz der Serverinfrastruktur durch Firewall- und Sicherheitstechnologien
• Passwortschutz und Zwei-Faktor-Authentifizierung bei sensiblen Zugängen
• Regelmäßige Schulungen für Mitarbeitende zu Datenschutz und Informationssicherheit
• Protokollierung und Überwachung von Zugriffen auf Systeme und Daten
• Erstellung von Lösch- und Berechtigungskonzepten nach dem Need-to-Know-Prinzip
• Verfahren zur Wahrung von Betroffenenrechten (z. B. Auskunft, Löschung)

SSL-/TLS-Verschlüsselung
Unsere Website nutzt zur Sicherung der Datenübertragung moderne Verschlüsselungsverfahren (SSL bzw. TLS). Sie erkennen die verschlüsselte Verbindung an der Darstellung „https://" in der Adresszeile Ihres Browsers.

IP-Masking
Sofern wir IP-Adressen verarbeiten, erfolgt dies ausschließlich in gekürzter (anonymisierter) Form, sodass ein direkter Personenbezug ausgeschlossen ist.

6. Übermittlung von personenbezogenen Daten

Im Rahmen unserer geschäftlichen Tätigkeit kann es erforderlich sein, personenbezogene Daten an Dritte zu übermitteln oder offenzulegen. Eine Übermittlung erfolgt dabei ausschließlich auf Grundlage einer rechtlichen Erlaubnis.

Empfänger oder Kategorien von Empfängern personenbezogener Daten können insbesondere sein:

• IT-Dienstleister (z. B. Hosting, Wartung, Support)
• Zahlungsdienstleister (z. B. PayPal)
• Steuerberater und Wirtschaftsprüfer
• Anbieter von Cloud- und Softwarelösungen (z. B. CRM, E-Mail-Tools)
• Behörden und öffentliche Stellen bei gesetzlicher Verpflichtung

Vor der Weitergabe von Daten an externe Auftragsverarbeiter schließen wir gemäß Art. 28 DSGVO einen Vertrag zur Auftragsverarbeitung (AVV) ab.

7. Internationale Datentransfers

Im Rahmen unserer Geschäftstätigkeit und der Nutzung bestimmter Dienste kann es zur Übermittlung personenbezogener Daten an Empfänger in sogenannten Drittstaaten außerhalb der EU bzw. des EWR kommen. Eine Datenübermittlung in Drittstaaten erfolgt nur unter Einhaltung der besonderen Voraussetzungen der Art. 44 ff. DSGVO.

8. Aufbewahrung und Löschung von Daten

Wir verarbeiten und speichern personenbezogene Daten grundsätzlich nur für den Zeitraum, der zur Erreichung des jeweiligen Verarbeitungszwecks erforderlich ist, oder solange gesetzliche Aufbewahrungsfristen dies vorschreiben.

8.2 Gesetzliche Aufbewahrungsfristen (Beispiele)

• 10 Jahre für steuerlich relevante Daten (§ 147 AO, § 257 HGB)
• 6 Jahre für Geschäftsbriefe und sonstige Unterlagen (§ 257 Abs. 1 Nr. 2 und 3 HGB)
• 3 Jahre für Daten zur Abwehr möglicher Ansprüche (§§ 195, 199 BGB)

9. Rechte der betroffenen Personen

Als betroffene Person haben Sie gemäß der DSGVO umfassende Rechte hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch (Art. 21 DSGVO)
• Widerrufsrecht bei Einwilligungen (Art. 7 Abs. 3 DSGVO)
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zuständige Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27, 91522 Ansbach
Tel.: +49 (0) 981 180093-0 · E-Mail: poststelle@lda.bayern.de · www.lda.bayern.de

10. Geschäftliche Leistungen

Wir verarbeiten personenbezogene Daten unserer Kunden, Interessenten, Partnerunternehmen sowie Schulungs- und Veranstaltungsteilnehmer zur Anbahnung, Durchführung und Abwicklung unserer vertraglich vereinbarten Leistungen.

11. Zahlungsabwicklung und Zahlungsdienstleister

Zur Abwicklung von Zahlungen setzen wir etablierte Zahlungsdienstleister ein. Eingesetzt werden PayPal (Europe) S.à r.l. et Cie, S.C.A. und Banküberweisung.

12. Bereitstellung des Onlineangebots und Webhosting

Zur technischen Bereitstellung unserer Website bedienen wir uns eines externen Hosting-Dienstleisters (IONOS SE). Server-Logfiles werden nach max. 30 Tagen gelöscht.

13. Einsatz von Cookies, Local Storage und Einwilligungsmanagement

Wir nutzen technisch notwendigen Local Storage und ggf. Cookies, um Funktion, Sicherheit und Ihre Datenschutzauswahl zu speichern. Optionale Reichweitenmessung erfolgt nur nach Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG). Den Widerruf können Sie jederzeit im Footer unter „Cookie-Einstellungen" mit einem Klick aussprechen — er wirkt für die Zukunft.

Technisch notwendig (immer aktiv, § 25 Abs. 2 Nr. 2 TTDSG)

• nd-cookie-consent-v1 · localStorage (1st-Party) · Speichert Ihre Auswahl im Cookie-Banner · Speicherdauer: 12 Monate · Anbieter: NovaData UG, Berg b. Neumarkt (DE)
• Supabase Auth Session-Token · nur im Admin-Bereich aktiv · sichert die angemeldete Session · Speicherdauer: bis Logout · Anbieter: Supabase, Inc. · Datenhaltung EU-Region Frankfurt · US-Mutter, abgesichert über SCCs + DPA (Art. 46 DSGVO)

Analyse / Reichweitenmessung (Opt-in, deaktiviert standardmäßig)

• Google Analytics 4 · Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (Mutter: Google LLC, USA) · Cookies _ga (Client-ID) und _ga_<ID> (Session-Status), Laufzeit bis 24 Monate · IP-Adresse wird gekürzt (anonymize_ip), Google-Signals und Werbe-Personalisierung sind deaktiviert · GA4-Datenaufbewahrung: max. 14 Monate · Laden erst nach Ihrer Einwilligung über Google Consent Mode v2 (Standard: „denied") · Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO · § 25 Abs. 1 TTDSG

Drittlandübermittlung (USA): Google verarbeitet Daten auch in den USA. Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert; ergänzend gelten EU-Standardvertragsklauseln (SCCs gem. Art. 46 Abs. 2 lit. c DSGVO). Trotz IP-Kürzung kann ein Zugriff US-amerikanischer Behörden nicht vollständig ausgeschlossen werden — hierüber klären wir Sie im Banner transparent auf; die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer Einwilligung.

Marketing

• Aktuell keine Marketing-/Re-Targeting-Cookies, keine Werbe-Pixel, kein Profilbildung.

Schriftarten (self-hosted)

Die verwendeten Schriften „Instrument Sans" und „Inter" werden seit Mai 2026 von unserem eigenen Server (1st-Party) ausgeliefert. Es findet kein Drittland-Transfer statt. Eine Einwilligung ist hierfür nicht erforderlich.

Ihr Widerrufsrecht

Sie können Ihre Einwilligung jederzeit im Footer unter „Cookie-Einstellungen" widerrufen oder dort einzelne Kategorien wieder deaktivieren. Der Widerruf wirkt für die Zukunft und berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung (Art. 7 Abs. 3 DSGVO).

14. Registrierung, Nutzerkonto und Login-Bereich

Für bestimmte Funktionen bieten wir registrierten Nutzern geschützte Zugänge an. Nutzerkonten werden auf Wunsch oder 12 Monate nach Vertragsende gelöscht.

15. Kontaktformulare und Kommunikation

Wenn Sie mit uns in Kontakt treten, verarbeiten wir die bereitgestellten Daten zur Bearbeitung Ihrer Anfrage. Anfragen ohne Vertragsabschluss löschen wir in der Regel nach 12 Monaten.

16. Kommunikation via Messenger-Dienste

Wir bieten optional die Kommunikation über Messenger-Dienste (z. B. WhatsApp Business) an. Für sensible Inhalte empfehlen wir E-Mail oder Telefon.

17. Newsletter und Direktmarketing

Der Newsletter-Versand erfolgt per Double-Opt-in. Sie können den Erhalt jederzeit abbestellen.

18. Webanalyse, Monitoring und Optimierung

Wir setzen Google Analytics 4 (Google Ireland Ltd., Dublin) zur Reichweitenmessung ein — ausschließlich nach Ihrer ausdrücklichen Einwilligung und gesteuert über Google Consent Mode v2 (Standardstatus „denied"). Die IP-Adresse wird gekürzt (anonymize_ip), Google-Signals und Werbe-Personalisierung sind deaktiviert. Eine Übermittlung in die USA ist über das EU-US Data Privacy Framework und ergänzende Standardvertragsklauseln abgesichert. Die GA4-Datenaufbewahrung beträgt maximal 14 Monate. Details und die gesetzten Cookies (_ga, _ga_<ID>) siehe Ziffer 13.

19. Soziale Medien und externe Plattformen

Wir unterhalten Profile auf LinkedIn, Instagram, Facebook und Xing. Für die dort stattfindende Datenverarbeitung durch die Plattformbetreiber sind wir nicht verantwortlich.

20. Eingebettete Inhalte und Drittanbieter-Funktionen

Wir binden Google Fonts, Google Maps, YouTube-Videos (erweiterter Datenschutzmodus) und externe Skripte ein. Drittstaatenübermittlung erfolgt auf Basis des DPF oder Standardvertragsklauseln.

21. Änderungen und Aktualisierungen

Wir behalten uns vor, diese Datenschutzerklärung jederzeit unter Beachtung der geltenden Vorschriften zu aktualisieren. Die aktuelle Fassung ist unter novadata.solutions/datenschutz abrufbar.

22. Duale Rolle – Verantwortlicher und Auftragsverarbeiter

NovaData verarbeitet Daten je nach Kontext als Verantwortlicher (eigene Geschäftstätigkeit) oder als Auftragsverarbeiter (KI-Systeme im Kundenauftrag). Bei Endkundeninteraktion ist der jeweilige Auftraggeber Verantwortlicher.

23. Verarbeitung im Rahmen von KI- und Telefonie-Diensten

NovaData setzt diverse KI-Systeme und Telefonie-Infrastruktur ein. Personenbezogene Daten werden niemals für KI-Training verwendet. Alle Systeme arbeiten im Inferenz-Modus.

Hinweis zu Supabase & Drittlandbezug: Die Datenhaltung erfolgt ausschließlich in der EU-Region Frankfurt (AWS eu-central-1). Da die Supabase, Inc. ihren Konzernsitz in den USA hat und ein theoretischer Zugriff nicht vollständig ausgeschlossen werden kann, ist mit Supabase ein Auftragsverarbeitungsvertrag (DPA) inklusive EU-Standardvertragsklauseln (SCCs gem. Durchführungsbeschluss (EU) 2021/914) sowie ein Transfer Impact Assessment abgeschlossen. Supabase ist nicht nach dem EU-US Data Privacy Framework zertifiziert; die Absicherung erfolgt daher über SCCs gem. Art. 46 Abs. 2 lit. c DSGVO.

24. Speicherfristen für KI- und Telefonie-Daten

25. EU AI Act Compliance

NovaData orientiert sich an den Anforderungen der Verordnung (EU) 2024/1689 (EU AI Act). Unsere KI-Systeme werden regelmäßig hinsichtlich Risikoklassifizierung, Transparenzpflichten und Dokumentationsanforderungen überprüft.

26. Kontakt bei Datenschutzfragen

NovaData UG (haftungsbeschränkt)
Geschäftsführer: Tim Rosen
E-Mail: datenschutz@novadata.solutions
Telefon: +49 (0) 9189 414 6887
Internet: novadata.solutions