Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

NOXIM
Dominik Kerkow
Talstr. 42/2
71563 Affalterbach
E-Mail: info@noxim.io
Website: https://flow.noxim.io

2. Übersicht der Datenverarbeitungen

NOXIM Flow ist ein Business-Management-Tool für Selbstständige. Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienste erforderlich ist.

Die folgenden Daten werden verarbeitet:

• Kontaktdaten (Name, E-Mail, Telefon) bei der Registrierung
• Geschäftsdaten, die Sie in der App anlegen (Kontakte, Rechnungen, Notizen etc.)
• Technische Daten (IP-Adresse, Browser-Typ) bei der Nutzung
• Spracheingaben bei Nutzung der KI-Funktion

3. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO - Vertragserfüllung: Verarbeitung Ihrer Daten zur Bereitstellung des Dienstes
• Art. 6 Abs. 1 lit. f DSGVO - Berechtigtes Interesse: Sicherheit und Stabilität des Dienstes (Rate Limiting, Logging)
• Art. 6 Abs. 1 lit. a DSGVO - Einwilligung: Newsletter/Warteliste (Double-Opt-In)
• Art. 6 Abs. 1 lit. c DSGVO - Rechtliche Verpflichtung: Steuerliche Aufbewahrungspflichten für Rechnungsdaten

4. Hosting und Infrastruktur

4.1 Hetzner Online (Hosting)

Unsere Anwendung wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gehostet. Der Serverstandort ist Nürnberg, Deutschland. Hetzner verarbeitet in unserem Auftrag Zugriffsdaten (IP-Adresse, Zugriffszeit, Anfrage).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Hosting).

Weitere Informationen: Hetzner Datenschutzerklärung

4.2 Cloudflare (DNS, CDN, SSL)

Wir nutzen Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA als DNS-Provider und für SSL-Verschlüsselung. Cloudflare verarbeitet dabei Zugriffsdaten (IP-Adresse). Es besteht ein Angemessenheitsbeschluss der EU-Kommission (EU-US Data Privacy Framework).

Weitere Informationen: Cloudflare Privacy Policy

5. Datenbank und Authentifizierung

5.1 Supabase (Datenbank, Authentifizierung)

Für die Datenspeicherung und Benutzerauthentifizierung nutzen wir Supabase, Inc., 970 Toa Payoh North #07-04, Singapore 318992. Die Daten werden in einer PostgreSQL-Datenbank gespeichert. Supabase verarbeitet:

• Anmeldedaten (E-Mail, Passwort-Hash)
• Session-Daten (Auth-Token)
• Alle in der App gespeicherten Geschäftsdaten

Die Datenisolierung erfolgt durch Row Level Security (RLS) - jeder Nutzer kann nur seine eigenen Daten sehen und bearbeiten.

Weitere Informationen: Supabase Privacy Policy

6. E-Mail-Versand

6.1 Resend (Transaktionale E-Mails)

Für den Versand von Rechnungen, Einladungen und Registrierungsbenachrichtigungen per E-Mail nutzen wir Resend, Inc., 660 4th Street #305, San Francisco, CA 94107, USA. Dabei werden E-Mail-Adresse und Nachrichteninhalt verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Weitere Informationen: Resend Privacy Policy

6.2 Slack (Benachrichtigungen)

Bei der Registrierung neuer Nutzer wird eine Benachrichtigung an einen internen Slack-Kanal gesendet. Dabei wird ausschließlich die bei der Registrierung angegebene E-Mail-Adresse übermittelt. Slack wird betrieben von Salesforce, Inc., Slack Technologies, LLC, 500 Howard Street, San Francisco, CA 94105, USA.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Überwachung des Registrierungsprozesses). Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF). Salesforce ist unter dem DPF zertifiziert.

6.3 GitHub (Feedback-System)

Wenn Sie die In-App-Feedback-Funktion nutzen, werden Ihre Feedback-Texte (Titel und Nachricht) als GitHub Issue gespeichert. GitHub wird betrieben von GitHub, Inc., 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA (Tochterunternehmen von Microsoft Corp.).

Datensparsamkeit: Es werden keine E-Mail-Adressen oder personenbezogenen Kontaktdaten an GitHub übermittelt. Die Zuordnung zum Nutzer erfolgt ausschließlich über eine interne, nicht personenidentifizierende ID.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Verbesserung des Dienstes auf Basis Ihres Feedbacks). Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF). Microsoft/GitHub ist unter dem DPF zertifiziert.

7. KI-gestützte Funktionen

7.1 OpenRouter (Sprachverarbeitung)

Für die KI-gestützte Spracheingabe nutzen wir OpenRouter, Inc., USA. Wenn Sie die Sprachfunktion verwenden, wird der transkribierte Text an OpenRouter zur Verarbeitung gesendet. Die Verarbeitung erfolgt über das Modell GPT-4o-mini.

Hinweis: Spracheingaben werden nicht dauerhaft bei OpenRouter gespeichert und nicht zum Training von KI-Modellen verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung - Sie nutzen die Funktion aktiv).

7.2 Stripe (Zahlungsabwicklung)

Für die Abwicklung von Zahlungen und Abonnements nutzen wir Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA. Stripe verarbeitet in unserem Auftrag:

• Zahlungsdaten (Kreditkarten-Token, SEPA-Mandatsreferenz)
• Rechnungsadresse und E-Mail-Adresse
• Abonnement-Status und Zahlungshistorie

Hinweis: Kreditkartennummern werden zu keinem Zeitpunkt auf unseren Servern gespeichert. Die Verarbeitung erfolgt PCI-DSS-konform ausschließlich durch Stripe.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Es besteht ein Angemessenheitsbeschluss der EU-Kommission (EU-US Data Privacy Framework). Stripe ist unter dem DPF zertifiziert.

Weitere Informationen: Stripe Datenschutzerklärung

8. Sicherheitsmaßnahmen

8.1 Upstash Redis (Rate Limiting)

Zum Schutz vor Missbrauch nutzen wir Upstash, Inc., USA für Rate Limiting. Dabei wird Ihre IP-Adresse temporär verarbeitet, um die Anzahl der Anfragen zu begrenzen. Die Daten werden nach kurzer Zeit automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit).

8.2 Error Tracking (GlitchTip)

Zur Erkennung und Behebung von Fehlern nutzen wir GlitchTip, eine selbst gehostete Error-Tracking-Plattform auf unserem eigenen Server in Deutschland (Hetzner Cloud, Nürnberg). Es findet keine Datenübermittlung in Drittländer statt.

Bei einem Fehler in der Anwendung werden folgende technische Daten erfasst: Art des Fehlers, betroffene Seite, Browser-Typ und -Version. Es werden keine personenbezogenen Daten wie Namen, E-Mail-Adressen oder Rechnungsinhalte übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Stabilität und Fehlerfreiheit der Anwendung).

8.3 Google Analytics 4

Wir nutzen Google Analytics 4 (GA4), einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland ("Google"). GA4 ermöglicht uns die Analyse der Nutzung unserer Website, um unser Angebot zu verbessern.

Folgende Daten können dabei verarbeitet werden: Online-Kennungen (Cookie-IDs), IP-Adresse (anonymisiert), Informationen zum genutzten Browser und Gerät, besuchte Seiten, Verweildauer sowie Zeitpunkt des Seitenbesuchs.

Google kann diese Daten in die USA übermitteln. Die Übermittlung erfolgt auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Google Analytics wird erst nach Ihrer ausdrücklichen Zustimmung über unseren Cookie-Banner aktiviert (Consent Mode v2). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Cookies in Ihrem Browser löschen.

8.4 Google Ads (Conversion-Tracking)

Wir nutzen Google Ads Conversion-Tracking, einen Dienst der Google Ireland Limited ("Google"). Dabei wird beim Besuch unserer Website ein Cookie von Google gesetzt, wenn Sie über eine Google-Anzeige auf unsere Website gelangt sind. Dieses Cookie dient der Erfolgsmessung unserer Werbeanzeigen.

Folgende Daten können dabei verarbeitet werden: Online-Kennungen (Cookie-IDs), IP-Adresse (anonymisiert), Informationen zum genutzten Browser und Gerät sowie Zeitpunkt des Seitenbesuchs. Eine personenbezogene Zuordnung zu Ihnen ist für uns nicht möglich.

Google kann diese Daten in die USA übermitteln. Die Übermittlung erfolgt auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Google Ads wird erst nach Ihrer ausdrücklichen Zustimmung über unseren Cookie-Banner aktiviert (Consent Mode v2). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Cookies in Ihrem Browser löschen. Personalisierte Werbung können Sie unter adssettings.google.com deaktivieren.

8.5 Weitere Sicherheitsmaßnahmen

• SSL/TLS-Verschlüsselung aller Verbindungen
• Row Level Security für strikte Datentrennung
• Passwort-Hashing (bcrypt)
• Security Headers (CSP, HSTS, X-Frame-Options)
• Input-Validierung auf allen Eingaben

9. Cookies

NOXIM Flow verwendet technisch notwendige Cookies für die Authentifizierung sowie — nur nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Banner — Marketing-Cookies für Google Analytics 4 (siehe Abschnitt 8.3) und Google Ads Conversion-Tracking (siehe Abschnitt 8.4).

Die Marketing-Cookies von Google Ads werden erst gesetzt, nachdem Sie über unseren Cookie-Banner zugestimmt haben (siehe Abschnitt 8.3).

10. Ihre Rechte (Betroffenenrechte)

Sie haben gemäß DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Art. 15 DSGVO - Auskunftsrecht

Sie haben das Recht, Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten zu erhalten. In der App können Sie unter Einstellungen alle Ihre Daten als JSON-Datei exportieren.

Art. 16 DSGVO - Recht auf Berichtigung

Sie können unrichtige Daten jederzeit in der App selbst korrigieren.

Art. 17 DSGVO - Recht auf Löschung

Sie können Ihren Account und alle zugehörigen Daten jederzeit in den Einstellungen löschen. Bitte beachten Sie: Rechnungsdaten unterliegen der steuerlichen Aufbewahrungspflicht von 10 Jahren (§ 147 AO). Wir empfehlen, vor der Löschung einen Datenexport durchzuführen.

Art. 18 DSGVO - Recht auf Einschränkung der Verarbeitung

Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen. Kontaktieren Sie uns hierfür per E-Mail.

Art. 20 DSGVO - Recht auf Datenübertragbarkeit

Sie können Ihre Daten in einem maschinenlesbaren Format (JSON) exportieren. Nutzen Sie dafür die Export-Funktion in den Einstellungen.

Art. 21 DSGVO - Widerspruchsrecht

Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen. Kontaktieren Sie uns hierfür per E-Mail an info@noxim.io.

Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Telefon: 0711/615541-0
Website: www.baden-wuerttemberg.datenschutz.de

11. Aufbewahrungsfristen

12. Datenexport und Account-Löschung

Sie können jederzeit alle Ihre Daten exportieren und Ihren Account löschen:

1. Melden Sie sich in Ihrem Account an und navigieren Sie zu Einstellungen.
2. Unter Datenschutz & Daten finden Sie die Optionen zum Datenexport (JSON) und zur Account-Löschung.
3. Bei der Account-Löschung werden alle Ihre Daten unwiderruflich gelöscht, einschließlich Kontakte, Rechnungen, Notizen und alle weiteren gespeicherten Informationen.

Wichtiger Hinweis: Wenn Sie Rechnungen über NOXIM Flow erstellt haben, sind Sie gesetzlich verpflichtet, diese 10 Jahre lang aufzubewahren (§ 147 AO). Bitte exportieren Sie Ihre Daten vor der Löschung.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite.