Stand: 17. Mai 2026
1. Einleitung
Wir schützen Ihre personenbezogenen Daten. Hier erklären wir kurz und verständlich, welche Daten wir verarbeiten, warum wir das tun und wie Sie Ihre Rechte geltend machen können.
2. Verantwortlicher
Arpaci Seferaj Jaddi GbR (handelnd unter „Nulara“)
Eckardtstraße 10, 44263 Dortmund
E-Mail: info@nulara.de
3. Verarbeitung personenbezogener Daten
Die Angabe personenbezogener Daten ist freiwillig. Ohne bestimmte Angaben (z. B. E-Mail-Adresse) können jedoch einige Funktionen oder Rückmeldungen nicht bereitgestellt werden.
3.1 Website-Besuch
Beim Besuch unserer Website sendet Ihr Browser technische Daten an unsere Server: IP-Adresse, Datum und Uhrzeit, aufgerufene Adresse, Referrer sowie Browser- und Betriebssystemdaten. Wir speichern diese vorübergehend in Log-Dateien zur sicheren Bereitstellung, Fehlerbehebung und Abwehr von Angriffen. Die Übertragung ist per SSL/TLS verschlüsselt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
3.2 Kontaktformular
Wenn Sie uns über das Formular kontaktieren, verarbeiten wir Ihren Namen, Ihre E-Mail-Adresse und Ihre Nachricht ausschließlich zur Beantwortung Ihrer Anfrage. Anschließend löschen wir diese Daten. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
3.3 E-Mail-Kontakt
Bei E-Mail-Kontakt verarbeiten wir Ihre Absenderadresse und den Nachrichteninhalt zur Beantwortung. Wir löschen die Daten, wenn sie nicht mehr benötigt werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO; bei Vertragsanbahnung oder -erfüllung lit. b DSGVO.
3.4 Weitergabe an Partner und externe Dienstleister
Zur professionellen oder technischen Bearbeitung Ihrer Anfrage können wir ausgewählte Partner aus den Bereichen KI und IT einbeziehen. Diese Partner handeln als Auftragsverarbeiter gemäß Art. 28 DSGVO; mit jedem aktiven Auftragsverarbeiter besteht ein Auftragsverarbeitungsvertrag (AVV/DPA). Ihre Betroffenenrechte können Sie direkt bei uns geltend machen; zentraler Ansprechpartner ist info@nulara.de. Eine aktuelle Subprozessoren-Liste erhalten Sie auf Anfrage. Eine Weitergabe zu anderen Zwecken findet nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a, b oder f DSGVO je nach Anlass.
4. SaaS-Plattform — Kundendaten (B2B)
Wenn B2B-Kunden die Nulara-Plattform nutzen und Produktdaten oder Nutzerinformationen einpflegen, verarbeitet Nulara diese Daten ausschließlich als Auftragsverarbeiter im Auftrag des Kunden (Art. 28 DSGVO). Der Kunde bleibt Verantwortlicher für die Daten seiner Nutzer. Mit jedem B2B-Kunden schließen wir einen Auftragsverarbeitungsvertrag (AVV) ab. Die Verarbeitung erfolgt innerhalb der EU: Die primäre Anwendungsdatenbank und Server-Infrastruktur werden bei Hetzner in Deutschland betrieben; weitere EU-basierte Subprozessoren (u. a. Cloudflare R2 mit EU-Jurisdiktion für Dateispeicherung, AWS Bedrock in eu-central-1 für KI-Funktionen) sind in den Abschnitten 5 und 6 gelistet. Nach Vertragsende werden Kundendaten auf Anfrage exportiert und innerhalb von 30 Tagen gelöscht; in routinemäßigen verschlüsselten Backups enthaltene Daten laufen entsprechend der Backup-Retention automatisch aus. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
5. Hosting und Speicher-Dienstleister
Unsere Server werden bereitgestellt von Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Mit Hetzner besteht ein AVV gemäß Art. 28 DSGVO. Datenschutz: hetzner.com/legal/privacy-policy. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Hochgeladene Dateien und Dokumente in der SaaS-Plattform werden in Cloudflare R2 Object Storage mit EU-Jurisdiktionsbeschränkung gespeichert. Anbieter: Cloudflare, Inc. und verbundene Cloudflare-Gesellschaften. Verarbeitete Daten können hochgeladene Dateien, Datei-Metadaten und technische Zugriffsdaten umfassen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und Art. 28 DSGVO. Cloudflare R2 Data Location.
6. Analyse, KI und App-Integrationen
6.1 Plausible Analytics
Wir nutzen Plausible Analytics für datenschutzfreundliche Website-Analyse. Plausible misst aggregierte Seitenaufrufe, Referrer, Geräte-/Browserinformationen, Land oder Region sowie nicht-interaktive Core-Web-Vitals-Ereignisse. Plausible setzt keine Analyse-Cookies, nutzt keinen Browser-Speicher und erstellt keine persistenten seitenübergreifenden Kennungen. IP-Adresse und User-Agent werden nur vorübergehend verarbeitet, um täglich wechselnde aggregierte Statistiken abzuleiten, und nicht im Rohformat gespeichert. Rechtsgrundlage ist unser berechtigtes Interesse an der Messung und Verbesserung der Website ohne Tracking einzelner Besucher (Art. 6 Abs. 1 lit. f DSGVO). Plausible Data Policy und Plausible AVV/DPA.
6.2 Google Analytics
Google Analytics ist zum Launch dieser Website nicht aktiv. Falls Google Analytics 4 später für Google Ads oder Conversion-Messung aktiviert wird, erfolgt das Tracking ausschließlich nach Ihrer Einwilligung (§ 25 TDDDG). IP-Anonymisierung ist für EU-Traffic standardmäßig aktiv. Daten können an Google LLC (USA) auf Basis des EU-US Data Privacy Framework (Art. 45 DSGVO) übermittelt werden. Vor Aktivierung muss ein AVV mit Google bestehen. Rechtsgrundlage nach Aktivierung: Art. 6 Abs. 1 lit. a DSGVO. Google Datenschutzerklärung.
6.3 KI-Dienste (Amazon Bedrock)
Für KI-gestützte Funktionen auf der Plattform nutzen wir KI-Modelle, die über Amazon Bedrock bereitgestellt werden. Eingaben, ausgewählter Kontext, Dokumentauszüge und Ausgaben werden über eine Programmierschnittstelle (API) verarbeitet, um auf Basis natürlicher Sprache Antworten zu generieren. Anbieter ist Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg. Modelltechnologie kann Anthropic-Claude-Modelle umfassen, die über Amazon Bedrock betrieben werden. Wir konfigurieren EU- oder geografiegebundene Inference-Profile, soweit verfügbar, zur Datenresidenz. Amazon Bedrock erklärt, dass Prompts und Antworten nicht dauerhaft gespeichert, nicht an Modellanbieter weitergegeben und nicht zum Training von AWS- oder Drittanbieter-Modellen genutzt werden. Zur Latenz- und Kostenoptimierung ist das native Prompt-Caching von AWS Bedrock mit einer Lebensdauer von 1 Stunde aktiviert: Ausschließlich der statische Anteil jeder Anfrage (System-Prompt, verfügbare Tools, Konversationshistorie) wird vorübergehend auf AWS-Seite innerhalb derselben Anfrage-Region (eu-central-1) zwischengespeichert. Benutzerspezifische Eingaben werden nicht gezielt gecached. Der gecachete Prefix wird nach 1 Stunde Inaktivität automatisch gelöscht. Amazon Bedrock Data Protection. Mit AWS besteht ein AVV; bei Übermittlungen personenbezogener Daten in Drittländer gelten geeignete Garantien einschließlich Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung KI-gestützter Dienste). AWS AVV/DPA.
KI-Transparenz (Art. 50 EU KI-Verordnung). Bei der Interaktion mit KI-gestützten Funktionen auf der Plattform werden Sie darauf hingewiesen, dass Sie mit einem KI-System interagieren. KI-generierte Inhalte werden in der Benutzeroberfläche entsprechend gekennzeichnet. Es findet keine automatisierte Entscheidung im Sinne des Art. 22 DSGVO mit rechtlicher oder ähnlich erheblicher Wirkung statt.
6.4 Standort- und Kartendienste
Wenn Nutzer Adresssuche, Lagerstandorte oder Kartenfunktionen in der SaaS-Plattform verwenden, können Adress-Suchbegriffe, ungefähre Koordinaten und technische Anfrage-Daten über unser Backend durch Geoapify (KEPTAGO LTD, Zypern) sowie beim Laden von Kartenkacheln oder Kartenstilen im Browser durch MapTiler AG, Schweiz, verarbeitet werden. Diese Dienste werden ausschließlich für Standortsuche und Kartendarstellung eingesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO. Geoapify AVV/DPA und MapTiler DSGVO.
7. Cookies
Wir verwenden Cookies für Grundfunktionen der Website, zum Beispiel zum Speichern Ihrer Cookie-Auswahl. Plausible Analytics setzt keine Analyse-Cookies. Falls später einwilligungsbasierte Tools wie Google Analytics aktiviert werden, setzen wir nicht notwendige Cookies erst nach Ihrer Einwilligung (§ 25 TDDDG). Rechtsgrundlage für notwendige Cookies: Art. 6 Abs. 1 lit. f DSGVO; für einwilligungsbasierte Analyse-Cookies nach Aktivierung: Art. 6 Abs. 1 lit. a DSGVO.
8. Weitergabe an Dritte
Ihre Daten werden nur weitergegeben, wenn Sie eingewilligt haben, es zur Vertragserfüllung erforderlich ist, eine rechtliche Verpflichtung besteht oder berechtigte Interessen überwiegen und keine entgegenstehenden Rechte bestehen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a, b, c oder f DSGVO je nach Anlass.
9. Ihre Rechte
- 9.1 Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten Daten verlangen.
- 9.2 Berichtigung (Art. 16 DSGVO): Sie können unrichtige Daten berichtigen und unvollständige ergänzen lassen.
- 9.3 Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern die Voraussetzungen erfüllt sind.
- 9.4 Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
- 9.5 Mitteilungspflicht (Art. 19 DSGVO): Wir informieren Empfänger über Berichtigung, Löschung oder Einschränkung, soweit möglich.
- 9.6 Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
- 9.7 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
- 9.8 Beschwerde (Art. 77 DSGVO): Sie können sich bei einer Aufsichtsbehörde beschweren. Zuständig für NRW: LDI NRW, Kavalleriestr. 2–4, 40213 Düsseldorf, ldi.nrw.de.
Kontakt für Rechtsanfragen: info@nulara.de
10. Widerspruchsrecht
Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen, wenn Gründe aus Ihrer besonderen Situation vorliegen. Kontakt: info@nulara.de. Rechtsgrundlage: Art. 21 DSGVO.
11. Änderungen
Wir passen diese Hinweise an, wenn sich unser Angebot ändert oder gesetzliche Anforderungen dies erfordern. Die jeweils aktuelle Fassung ist unter nulara.de/datenschutz abrufbar.