Datenschutzerklärung

Diese Datenschutzerklärung gilt für die Anwendung NB-Organizer (nachfolgend „die Anwendung“), erreichbar unter nb-organizer.com. Sie informiert über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten gemäß der Datenschutz-Grundverordnung (DSGVO).

1. Verantwortlicher

NB-Werbeagentur
Niklas Bern
Dortmunder Str. 34
48155 Münster, Deutschland
E-Mail: info@niklasbern.de
Telefon: +49 151 212 429 83

2. Rollenverteilung (Verantwortlicher / Auftragsverarbeiter)

NB-Organizer ist ein mandantenfähiges B2B-Werkzeug. Bezüglich der Rollen nach DSGVO ist zu unterscheiden:

• Für die eigenen Konto- und Nutzungsdaten der angemeldeten Nutzer ist die NB-Werbeagentur Verantwortlicher.
• Für Inhalte, die Kunden in der Anwendung verarbeiten (Projekte, Aufgaben, Kontakte, E-Mails ihrer eigenen Geschäftspartner, Social-Media-Daten ihrer Mandanten), handelt die NB-Werbeagentur als Auftragsverarbeiter für den jeweiligen Kunden. In diesem Fall ist der Kunde der Verantwortliche; es wird ein gesonderter Auftragsverarbeitungsvertrag (AVV) geschlossen.

3. Welche Daten wir verarbeiten

• Kontodaten: Name, Benutzername, E-Mail-Adresse, Telefonnummer, Profilbild, Passwort (nur als kryptografischer Hash gespeichert), Rolle/Berechtigungen.
• Projekt- & Aufgabendaten: Projekte, Aufgaben, Checklisten, Kommentare, Status-Berichte, hochgeladene Dateien, Kontakte und deren Kontaktdaten.
• E-Mail-Integration: Bei aktivierter Anbindung E-Mail-Metadaten (Absender, Empfänger, Betreff, Datum), Vorschautext und – sofern für die Funktion erforderlich – der HTML-Inhalt sowie Anhänge der abgerufenen Nachrichten.
• Meeting-Unterstützung: Bei aktiver Nutzung Transkript-Texte von Besprechungen sowie daraus erzeugte Zusammenfassungen.
• Social-Media- & Analytics-Verbindungen: Verschlüsselte OAuth-Zugriffstokens, Profilname, Profilbild-URL, Konto-/Seiten-ID der verbundenen Dienste sowie abgerufene Statistik-/Insights-Daten.
• Zeiterfassung (HR): Arbeitszeiteinträge, sofern die Stundenzettel-Funktion genutzt wird.
• Nutzungs- & Protokolldaten: Zeitstempel von Aktionen, technische Server-Logs (IP-Adresse, Zeitpunkt, aufgerufene Ressource) zur Gewährleistung des sicheren Betriebs.

4. Zwecke und Rechtsgrundlagen

• Bereitstellung und Betrieb der Anwendung (Projekt-, Aufgaben-, Social-Media-Management) – Art. 6 Abs. 1 lit. b DSGVO (Vertrag) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb eines funktionsfähigen Werkzeugs).
• Verbindung zu Drittdiensten (E-Mail, Kalender, Social Media, Analytics) – Art. 6 Abs. 1 lit. b DSGVO sowie auf Grundlage Ihrer ausdrücklichen Einwilligung beim OAuth-Login (Art. 6 Abs. 1 lit. a DSGVO).
• KI-gestützte Funktionen (E-Mail-Zusammenfassung, Content-Erstellung, Vorschläge) – Art. 6 Abs. 1 lit. b/f DSGVO.
• Sicherheit und Missbrauchsabwehr (Logs, Session-Verwaltung) – Art. 6 Abs. 1 lit. f DSGVO.
• Erfüllung gesetzlicher Pflichten, soweit einschlägig – Art. 6 Abs. 1 lit. c DSGVO.

5. Hosting

Die Anwendung wird auf einem Server in Frankfurt am Main, Deutschland, betrieben. Hosting-Anbieter ist die Hostinger International Ltd. Sämtliche Anwendungsdaten (Datenbank, hochgeladene Dateien) werden ausschließlich auf diesem Server innerhalb der EU gespeichert. Mit dem Hosting-Anbieter besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

6. Empfänger / eingesetzte Auftragsverarbeiter

Zur Bereitstellung der Funktionen setzen wir sorgfältig ausgewählte Dienstleister ein. Eine Datenübermittlung an diese erfolgt nur, soweit Sie die jeweilige Funktion nutzen bzw. die entsprechende Verbindung aktiviert haben. Eine vollständige, jeweils aktuelle Übersicht aller Unterauftragsverarbeiter mit Zweck, Standort und Übermittlungsgrundlage finden Sie in unserer Liste der Unterauftragsverarbeiter.

Wesentliche Empfänger sind: Hostinger (Hosting, EU), OpenAI Ireland Ltd. (KI-Funktionen), Google Ireland Ltd. (Analytics, Search Console, Kalender, Maps), Meta Platforms Ireland Ltd. (Facebook/Instagram/Threads), LinkedIn Ireland Unlimited Company, Atlassian/Trello, Microsoft Ireland (Outlook/Teams), Zoom, Pinterest, Mailchimp/Intuit (Newsletter) sowie GitHub.

7. Datenübermittlung in Drittländer

Einige der eingesetzten Dienste werden von Unternehmen mit Sitz in den USA bzw. von deren EU-Tochtergesellschaften betrieben. Soweit dabei personenbezogene Daten in ein Drittland außerhalb der EU/des EWR übermittelt werden, erfolgt dies auf Grundlage eines Angemessenheitsbeschlusses (EU-US Data Privacy Framework, soweit der jeweilige Anbieter zertifiziert ist) und/oder auf Grundlage der EU-Standardvertragsklauseln (Art. 46 DSGVO) in Verbindung mit ergänzenden Schutzmaßnahmen. Details je Anbieter finden Sie in der Unterauftragsverarbeiter-Liste.

8. KI-gestützte Verarbeitung (OpenAI)

Für KI-Funktionen (z. B. Zusammenfassung von E-Mails, Erstellung von Texten und Vorschlägen) nutzen wir die API von OpenAI Ireland Ltd. Mit OpenAI besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum). Dabei gilt:

• Es werden nur die für die jeweilige Funktion erforderlichen Inhalte übermittelt.
• Über die API übermittelte Daten werden von OpenAI nicht zum Training der Modelle verwendet.
• Wir setzen technisch store: false, sodass Inhalte nicht dauerhaft bei OpenAI gespeichert werden.

9. Cookies

Die Anwendung verwendet ausschließlich technisch notwendige Cookies, die für Anmeldung und Sicherheit erforderlich sind – insbesondere ein Session-Cookie (nb_session) und ein CSRF-Schutz-Cookie (nb_csrf). Es werden keine Tracking- oder Marketing-Cookies und keine Web-Analyse über Dritte auf der Anwendung selbst eingesetzt. Eine Einwilligung ist hierfür nach § 25 Abs. 2 TTDSG nicht erforderlich.

10. Speicherdauer

• Konto- und Inhaltsdaten werden gespeichert, solange das Konto besteht bzw. solange dies für den Betrieb erforderlich ist.
• OAuth-Tokens werden bei Trennung der Verbindung unverzüglich und unwiderruflich gelöscht.
• Server-Logs werden nur für einen kurzen Zeitraum zur Fehleranalyse und Sicherheit vorgehalten.
• Bei Kontolöschung werden personenbezogene Daten innerhalb von 30 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

11. Datensicherheit

• Speicherung ausschließlich auf einem Server in Deutschland.
• Verschlüsselung sensibler Daten (Passwörter als Hash, API-Tokens und Zugangsdaten mit AES-256-GCM).
• Transportverschlüsselung über HTTPS/TLS.
• Zugriffsschutz durch Session-basierte Authentifizierung, CSRF-Schutz und ein granulares Berechtigungssystem.

12. Ihre Rechte

Sie haben nach der DSGVO insbesondere folgende Rechte:

• Auskunft über die zu Ihnen gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO) – siehe Datenlöschung
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft – z. B. Trennung einer Social-Media-Verbindung jederzeit in den Einstellungen
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Zuständig ist u. a. die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

13. Kontakt

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich an:
info@niklasbern.de