Rechtliches

Datenschutzerklärung

Stand: 20. Mai 2026

Wir nehmen den Schutz deiner personenbezogenen Daten ernst und halten uns strikt an die Vorgaben der Datenschutz-Grundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG). Diese Datenschutzerklärung beschreibt, welche Daten wir bei der Nutzung von Nicron (nicron.ai) verarbeiten, zu welchen Zwecken, auf welcher Rechtsgrundlage und an wen wir sie weitergeben.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Neurolytix GmbH
Hauptstraße 127
68259 Mannheim
Deutschland

Vertreten durch den Geschäftsführer Jonas Reggelin.
E-Mail: info@neurolytix.de
Produktsupport: hello@nicron.ai

2. Allgemeines zur Datenverarbeitung

2.1 Umfang der Verarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer:innen grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und unseres Dienstes erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur mit Einwilligung der Nutzer:innen oder soweit eine andere Rechtsgrundlage besteht.

2.2 Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. Newsletter, Cookies, Verknüpfung mit Google-Konten).
  • Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen (z. B. Account-Anlage, Abo-Verwaltung).
  • Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung (z. B. handels- und steuerrechtliche Aufbewahrungspflichten).
  • Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen (z. B. Server-Logs zur Erkennung von Missbrauch, Fehler-Monitoring, IT-Sicherheit).

2.3 Datenlöschung und Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen es vorschreiben. Buchhaltungs- und Rechnungsdaten bewahren wir gemäß § 257 HGB und § 147 AO bis zu zehn Jahre auf. Im Einzelfall geben wir die Speicherdauer bei der jeweiligen Verarbeitung an.

3. Deine Rechte

Du hast jederzeit das Recht:

  • auf Auskunft über deine bei uns gespeicherten Daten (Art. 15 DSGVO);
  • auf Berichtigung unrichtiger Daten (Art. 16 DSGVO);
  • auf Löschung deiner Daten („Recht auf Vergessenwerden“, Art. 17 DSGVO);
  • auf Einschränkung der Verarbeitung (Art. 18 DSGVO);
  • auf Datenübertragbarkeit, also Erhalt deiner Daten in einem strukturierten, maschinenlesbaren Format (Art. 20 DSGVO);
  • auf Widerspruch gegen die Verarbeitung, wenn diese auf berechtigten Interessen beruht (Art. 21 DSGVO);
  • deine Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO).

Eingeloggte Nutzer:innen können einen vollständigen Export ihrer Daten direkt über /account/data herunterladen oder ihren Account dort löschen.

Du hast außerdem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für uns ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Lautenschlagerstraße 20, 70173 Stuttgart
Telefon: 0711/615541-0
E-Mail: poststelle@lfdi.bwl.de

4. Datenerhebung beim Besuch unserer Website

4.1 Server-Logfiles

Bei jedem Aufruf unserer Website erfasst unser Hosting-Anbieter automatisch Daten, die dein Browser an unseren Server übermittelt. Dazu zählen:

  • IP-Adresse (gekürzt, anonymisiert nach 7 Tagen)
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene URL, HTTP-Statuscode, übertragene Datenmenge
  • Browser-Typ und Sprache, Betriebssystem
  • Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der IT-Sicherheit, der Erkennung von Missbrauch und der Behebung technischer Fehler. Die Logs werden spätestens nach 30 Tagen gelöscht.

4.2 Cookies

Wir setzen ausschließlich technisch notwendige Cookies ein, um den Login-Status zu speichern und CSRF-Angriffe abzuwehren. Diese Cookies sind nach Art. 6 Abs. 1 lit. b und f DSGVO bzw. § 25 Abs. 2 Nr. 2 TTDSG einwilligungsfrei. Wir verwenden keine Tracking-Cookies und keine Werbecookies.

5. Registrierung und Nutzerkonto

Wenn du einen Account anlegst, verarbeiten wir folgende Daten:

  • E-Mail-Adresse (für Login und Service-Kommunikation)
  • Passwort (nur als bcrypt-Hash gespeichert)
  • optional: Anzeigename, Sprache, Marketing-Opt-in
  • Datum der Registrierung und der letzten Anmeldung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Daten werden gelöscht, sobald du deinen Account schließt, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

6. Verbindung mit Google-Diensten (OAuth 2.0)

Nicron analysiert Marketing-Daten deiner Zahnarztpraxis. Dafür musst du uns über das OAuth-2.0-Verfahren von Google den Zugriff auf bestimmte Google-Dienste freigeben. Die Verbindung erfolgt ausschließlich auf deine ausdrückliche Initiative über die Schaltfläche „Konto verbinden“ innerhalb der App.

6.1 Welche Google-Berechtigungen wir anfragen

  • Google Analytics 4 – Bereich https://www.googleapis.com/auth/analytics.readonly (Lesezugriff). Wir lesen Metriken und Dimensionen deiner GA4-Properties (z. B. Sessions, Conversions, Akquisitionskanäle) ein.
  • Google Search Console – Bereich https://www.googleapis.com/auth/webmasters.readonly (Lesezugriff). Wir lesen Suchanfragen, Klicks, Impressionen und Positionen für die Domains, die du freigegeben hast.
  • Google Ads – Bereich https://www.googleapis.com/auth/adwords. Wir lesen Kampagnen-, Anzeigengruppen- und Kostendaten deiner Google-Ads-Konten. Wir verändern keine Kampagnen und schalten keine Anzeigen.

6.2 Was wir mit den Daten machen

Die abgerufenen Daten werden ausschließlich verwendet, um dir innerhalb von Nicron Antworten auf deine Marketing-Fragen zu geben (z. B. „Welche Kampagne brachte letzten Monat die meisten neuen Patienten?“). Die Daten werden zur Beantwortung deiner Fragen kurzfristig in unserer Datenbank zwischengespeichert. Wir verwenden sie weder für Werbung, noch verkaufen oder vermieten wir sie, noch teilen wir sie mit Dritten zu anderen Zwecken als der Auftragsverarbeitung (siehe Abschnitt 13).

6.3 Google API Services User Data Policy (Limited Use)

Die Nutzung der von Google-APIs erhaltenen Informationen durch Nicron entspricht der Google API Services User Data Policy, einschließlich der Anforderungen zur eingeschränkten Nutzung („Limited Use“). Insbesondere:

  • Wir verwenden Daten von Google-APIs ausschließlich, um die nutzerseitigen Funktionen von Nicron bereitzustellen.
  • Wir übertragen Google-Nutzerdaten nicht an Dritte – außer an Auftragsverarbeiter, die für den Betrieb des Dienstes erforderlich sind (siehe Abschnitt 13), unter Einhaltung gleichwertiger Schutzvorkehrungen.
  • Wir verwenden Google-Nutzerdaten nicht für Werbezwecke, einschließlich nicht-personalisierter Werbung.
  • Kein Mensch bei Neurolytix liest deine Google-Daten, außer du erteilst dafür eine ausdrückliche Einwilligung (z. B. zur Fehlersuche auf deinen ausdrücklichen Wunsch hin), die Verarbeitung ist aus Sicherheitsgründen (etwa zur Untersuchung von Missbrauch) erforderlich, oder die Daten sind aggregiert und für interne Operationen gemäß den geltenden Gesetzen anonymisiert.

6.4 Speicherort und Speicherdauer

Die Daten werden in unserer Datenbank bei Supabase (Region EU-West / Irland) gespeichert. Cache-Einträge werden nach maximal 24 Stunden gelöscht. Längerfristig speichern wir ausschließlich aggregierte, von dir gespeicherte Auswertungen.

6.5 Widerruf des Zugriffs

Du kannst den Zugriff jederzeit auf zwei Wegen entziehen:

  1. In Nicron unter /account/security – dort werden alle gespeicherten OAuth-Tokens unwiderruflich gelöscht.
  2. In deinem Google-Konto unter myaccount.google.com/permissions – dort kannst du Nicron den Zugriff entziehen.

Die Verarbeitung beruht auf Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, soweit du den Dienst nur mit verbundenem Konto sinnvoll nutzen kannst).

7. Zahlungsabwicklung über Paddle

Für die Abwicklung kostenpflichtiger Abos arbeiten wir mit Paddle.com Market Limited (Judd House, 18-29 Mora Street, London EC1V 8BT, Vereinigtes Königreich) als „Merchant of Record“ zusammen. Paddle übernimmt die Zahlungsabwicklung, Rechnungsstellung und Umsatzsteuer-Abführung in eigenem Namen.

Bei einem Kauf gibst du Zahlungsdaten ausschließlich bei Paddle ein – wir erhalten keinen Zugriff auf deine vollständigen Kreditkarten- oder Bankdaten. Von Paddle erhalten wir lediglich: Plan, Abo-Status, Abrechnungsperiode, Land (für die Umsatzsteuer) und eine Paddle-Kunden-ID, die wir deinem Account zuordnen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutzerklärung von Paddle: paddle.com/legal/privacy.

8. KI-gestützte Auswertung über OpenAI

Wenn du Nicron eine Frage stellst, übermitteln wir den Inhalt der Frage sowie die zur Beantwortung benötigten, aus deinen Google-Konten abgerufenen Daten an OpenAI, L.L.C. (1455 3rd St, San Francisco, CA 94158, USA). OpenAI verarbeitet die Daten ausschließlich im Auftrag von Nicron auf Basis eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO).

OpenAI nutzt unsere API-Anfragen nicht zum Training seiner Modelle (Opt- out per API-Default seit März 2023). Anfragen werden bei OpenAI maximal 30 Tage zur Missbrauchserkennung vorgehalten und danach gelöscht. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie eines Data Processing Addendum.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Datenschutzhinweise von OpenAI: openai.com/policies/privacy-policy.

9. Fehlermonitoring über Sentry

Zur frühzeitigen Erkennung und Behebung technischer Fehler setzen wir Functional Software, Inc. d/b/a Sentry (45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA) ein. Sentry erhält bei einem Fehler den Stacktrace, eine Fehler-ID, die anonymisierte Nutzer-ID und browserseitige technische Daten (User-Agent, URL). IP-Adressen werden vor der Speicherung anonymisiert. Wir senden keine Inhalte deiner Anfragen oder deiner Google-Daten an Sentry.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Stabilität und Sicherheit des Dienstes). Datenschutzerklärung: sentry.io/privacy/.

10. Hosting und Datenbank

Nicron wird gehostet bei Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) in der Region Frankfurt (fra1, EU). Die Datenbank betreiben wir bei Supabase Inc. (970 Toa Payoh North, #07-04, Singapore 318992) in der Region EU-West (Irland). Beide Anbieter verarbeiten Daten im Auftrag von Neurolytix auf Grundlage eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO) und der EU-Standardvertragsklauseln (Art. 46 DSGVO).

Datenschutzerklärungen: vercel.com/legal/privacy-policy · supabase.com/privacy.

11. Versand transaktionaler E-Mails

Für den Versand transaktionaler E-Mails (Begrüßung, Trial-Ende, Sicherheitsbenachrichtigungen) nutzen wir Resend Inc. (2261 Market Street #5039, San Francisco, CA 94114, USA). Resend erhält deine E-Mail-Adresse und den Inhalt der E-Mail. Versand erfolgt auf Grundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

12. Drittlandsübermittlung

Einige der oben genannten Dienstleister (OpenAI, Sentry, Vercel, Resend) haben ihren Sitz in den USA. Soweit wir Daten in die USA übermitteln, geschieht dies auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) bzw. – soweit die Anbieter dort zertifiziert sind – auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023). Wir haben mit allen US-Anbietern Auftragsverarbeitungsverträge geschlossen.

13. Empfängerkategorien (Auftragsverarbeiter)

Wir geben deine Daten ausschließlich an folgende Kategorien von Auftragsverarbeitern weiter, jeweils auf Basis eines Vertrags nach Art. 28 DSGVO:

  • Hosting (Vercel) – Auslieferung der Web-App.
  • Datenbank (Supabase) – Speicherung der App-Daten in der EU.
  • KI-Verarbeitung (OpenAI) – Beantwortung deiner Anfragen.
  • Zahlungen (Paddle) – Abwicklung kostenpflichtiger Abos als Merchant of Record.
  • E-Mail-Versand (Resend) – transaktionale E-Mails.
  • Fehlermonitoring (Sentry) – technische Fehleranalyse.
  • Google-Dienste (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) – ausschließlich Lesezugriff auf von dir freigegebene Konten (siehe Abschnitt 6).

14. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen (TOM) ein, um deine Daten gegen Manipulation, Verlust und unberechtigten Zugriff zu schützen: HTTPS/TLS-Verschlüsselung aller Verbindungen, verschlüsselte Speicherung von Zugangs-Tokens (AES-256-GCM mit rotierten Schlüsseln), zeilenbasierte Zugriffskontrolle in der Datenbank (Row-Level Security), Argon2/bcrypt für Passwort-Hashes, Hardware-2FA-pflichtige Admin-Konten, und kontinuierliches Monitoring.

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sofern sich Rechtslage, unsere eingesetzten Dienste oder die Datenverarbeitung ändern. Die jeweils aktuelle Version ist stets auf dieser Seite abrufbar; das Datum der letzten Aktualisierung steht oben.