Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website und die Nexoria-Plattform nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Wer ist verantwortlich?

Nexoria Systems GbR
Christian Klever und Caan Grueneberg
Lievelingsweg 94
53119 Bonn, Deutschland
E-Mail: info@nexoria-systems.de

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen — etwa über das Kontaktformular oder bei der Registrierung auf der Plattform. Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst (z. B. technische Daten wie Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs).

Wofür nutzen wir Ihre Daten?

Wir erheben Daten ausschließlich zur Bereitstellung unserer Website und Plattform, zur Bearbeitung Ihrer Anfragen und zur Vertragserfüllung. Wir setzen keine Analyse- oder Tracking-Tools ein und verwenden Ihre Daten nicht für Werbezwecke.

2. Hosting

Website und Plattform

Unsere Website und die Nexoria-Plattform werden auf dedizierten Servern in Deutschland gehostet. Hosting-Anbieter sind Netcup GmbH (Nürnberg) für Website und Frontend sowie Hetzner Online GmbH (Falkenstein) für Backend-Services und KI-Verarbeitung. Die Server befinden sich ausschließlich in deutschen Rechenzentren. Zwischen den Servern besteht eine verschlüsselte VPN-Verbindung. Beim Aufruf der Website werden automatisch technische Daten in Server-Log-Dateien gespeichert (siehe Abschnitt 5).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung unseres Angebots).

3. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften (DSGVO, BDSG) sowie dieser Datenschutzerklärung.

SSL/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL/TLS-Verschlüsselung. Sie erkennen eine verschlüsselte Verbindung daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

Speicherdauer

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Bei Kündigung Ihres Plattform-Kontos werden Ihre Daten nach einer 30-tägigen Exportfrist vollständig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

4. Cookies und lokale Speicherung

Cookies

Diese Website setzt keine Cookies. Wir verwenden weder Tracking-Cookies noch Marketing-Cookies noch sonstige Cookies von Drittanbietern.

Local Storage

Wir verwenden den Local Storage Ihres Browsers ausschließlich zur Speicherung Ihrer Darstellungspräferenz (Hell-/Dunkel-Modus) unter dem Schlüssel „nexoria-theme". Diese Daten werden nur lokal auf Ihrem Gerät gespeichert und niemals an unsere Server übermittelt. Sie können diese Daten jederzeit über die Browsereinstellungen löschen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer benutzerfreundlichen Darstellung).

Plattform-Authentifizierung

Bei Nutzung der Plattform (app.nexoria-systems.de) werden nach dem Login Authentifizierungs-Tokens (JWT) im Local Storage gespeichert. Diese sind technisch notwendig für die Nutzung der Plattform und werden beim Abmelden automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Datenerfassung auf dieser Website

Server-Log-Dateien

Unser Webserver (Nginx) erhebt und speichert automatisch Informationen in Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt:

  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer URL
  • IP-Adresse (wird nach 14 Tagen automatisch gelöscht)
  • Uhrzeit der Serveranfrage

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Diese Daten werden ausschließlich zur Sicherstellung eines störungsfreien Betriebs und zur Abwehr von Angriffen verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität unseres Angebots).

Kontaktformular

Wenn Sie uns per Kontaktformular eine Anfrage senden, werden folgende Daten erhoben:

  • Vorname und Nachname (Pflichtfeld)
  • E-Mail-Adresse (Pflichtfeld)
  • Unternehmen (optional)
  • Telefonnummer (optional)
  • Interessensgebiet (optional)
  • Ihre Nachricht (Pflichtfeld)

Diese Daten werden per E-Mail an unser Team weitergeleitet. Gleichzeitig erhalten Sie eine Bestätigungs-E-Mail an die angegebene Adresse. Die E-Mails werden über unseren eigenen Mailserver (Postfix) auf deutschen Servern versendet — es werden keine externen E-Mail-Dienste verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen).

Schriftarten (Google Fonts)

Diese Website nutzt die Schriftart „Inter". Die Schrift wird beim Build-Prozess heruntergeladen und lokal von unserem Server ausgeliefert. Es findet keine Verbindung zu Google-Servern statt, wenn Sie unsere Website besuchen. Ihre IP-Adresse wird nicht an Google übermittelt.

6. Datenverarbeitung auf der Plattform

Die folgenden Abschnitte gelten für registrierte Nutzer der Nexoria-Plattform (app.nexoria-systems.de). Grundlage ist der Nutzungsvertrag (AGB) und der Auftragsverarbeitungsvertrag (AVV).

Registrierung und Benutzerkonto

Bei der Registrierung erheben wir:

  • Vorname und Nachname
  • E-Mail-Adresse
  • Passwort (wird ausschließlich als kryptografischer Hash mit Argon2 gespeichert)
  • Organisationsname

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

KI-Verarbeitung und Sprachmodelle

Die Nexoria-Plattform nutzt Künstliche Intelligenz für verschiedene Funktionen (KI-Assistent, Dokumentensuche, Zusammenfassungen, Texterstellung). Dabei kommen folgende Anbieter und Modelle zum Einsatz:

  • Mistral AI (Frankreich, EU): Wird für die KI-Antwortgenerierung verwendet. Mistral verarbeitet die an den KI-Assistenten gerichteten Anfragen sowie relevante Kontextausschnitte aus Ihrer Wissensbasis. Mistral speichert keine Kundendaten und verwendet sie nicht für das Training von Modellen. Server befinden sich in der EU (Schweden). Weitere Informationen: Mistral AI Terms & DPA
  • Lokale KI-Modelle (Qwen3-8B): Für die Verarbeitung von Suchanfragen (Query Expansion, HyDE, Contextual Enrichment) und Dokumentenzusammenfassungen verwenden wir ein lokal auf unserem deutschen Server betriebenes KI-Modell. Diese Daten verlassen unseren Server nicht.
  • Lokale Embedding- und Reranker-Modelle: Die Umwandlung Ihrer Dokumente in Vektoreinbettungen (Embeddings) für die semantische Suche erfolgt vollständig lokal auf unserem deutschen Server. Es werden keine Dokumenteninhalte an externe Dienste übermittelt.

Wichtig: Ihre Daten werden niemals zum Trainieren von KI-Modellen verwendet — weder von Nexoria noch von unseren KI-Anbietern. Dies ist vertraglich mit allen Anbietern vereinbart.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Bereitstellung der KI-Funktionen.

Dokumentenverarbeitung

Wenn Sie Dokumente auf die Plattform hochladen, werden diese verarbeitet:

  • Textextraktion: Aus PDFs, Office-Dokumenten und anderen Formaten wird der Text extrahiert.
  • OCR-Texterkennung: Bei Bildern und gescannten Dokumenten wird eine optische Zeichenerkennung durchgeführt. Dies geschieht lokal auf unserem deutschen Server.
  • Audio-Transkription: Audiodateien werden lokal auf unserem Server transkribiert (Whisper-Modell). Es werden keine Audiodaten an externe Dienste gesendet.
  • Vektoreinbettungen: Dokumente werden in mathematische Vektordarstellungen umgewandelt und in einer Vektordatenbank (Qdrant) auf unserem deutschen Server gespeichert, um die semantische Suche zu ermöglichen.

Alle Dokumenteninhalte werden mandantengetrennt gespeichert. Kein anderer Kunde hat Zugriff auf Ihre Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Zahlungsabwicklung

Für die Zahlungsabwicklung nutzen wir Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Bei der Bezahlung werden Ihre Zahlungsdaten (z. B. Kreditkartennummer, IBAN) direkt an Stripe übermittelt. Nexoria speichert keine vollständigen Zahlungsdaten — wir erhalten von Stripe lediglich eine Transaktionsbestätigung und eine Referenz-ID.

Stripe verarbeitet Daten gemäß der DSGVO und ist nach PCI DSS Level 1 zertifiziert. Die Datenschutzerklärung von Stripe finden Sie unter: stripe.com/de/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Präsentationserstellung (Presenton)

Nexoria bietet eine integrierte Funktion zur KI-gestützten Erstellung von Präsentationen. Standardmäßig wird hierfür Presenton verwendet, eine Open-Source-Lösung die vollständig auf unserem deutschen Server betrieben wird. Ihre eingegebenen Texte und hochgeladenen Dokumente werden lokal verarbeitet — es erfolgt keine Übermittlung an Dritte. Für die Bildauswahl in Präsentationen werden Stockfotos über die Pexels-API abgerufen. Dabei werden ausschließlich Suchbegriffe (z. B. „Business Meeting") an Pexels übermittelt — keine personenbezogenen Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Nexoria bietet optional einen KI-gestützten Telefonassistenten (VoiceBot) an, der eingehende Anrufe entgegennimmt, Fragen beantwortet, Aufgaben erstellt und Termine bucht. Diese Funktion ist ein kostenpflichtiges Zusatzprodukt und standardmäßig nicht aktiv. Ohne Abschluss eines VoiceBot-Abonnements werden keine Daten an die nachfolgend genannten Auftragsverarbeiter übermittelt.

Verarbeitete Daten bei Nutzung:

  • Telefonnummer des Anrufers (wird nach 90 Tagen anonymisiert — nur Vorwahl bleibt erhalten)
  • Gesprächsinhalt als Transkription (nur bei aktiver Einwilligung des Anrufers — siehe unten)
  • Vom Anrufer genannte personenbezogene Daten (z. B. Name, Anliegen)
  • Erstellte Aufgaben und Kalendereinträge auf Basis des Gesprächs
  • Anrufdauer, Zeitstempel, Consent-Status

Einwilligung des Anrufers (DTMF-Consent):

Vor jedem Gespräch wird der Anrufer über ein automatisiertes Sprachmenü (IVR) darüber informiert, dass das Gespräch transkribiert werden kann. Der Anrufer muss aktiv per Tastendruck oder Sprachbefehl zustimmen (Opt-In). Bei Ablehnung oder Nicht-Reaktion wird das Gespräch nicht aufgezeichnet — der Bot steht dem Anrufer trotzdem zur Verfügung, es wird jedoch kein Gesprächsprotokoll gespeichert.

Auftragsverarbeiter bei VoiceBot-Nutzung:

  • Telnyx LLC / Telnyx Ireland Limited, Austin, TX, USA (HQ) / Dublin, Irland (EU-Niederlassung) — Telefonie-Infrastruktur, Spracherkennung (Speech-to-Text) und Sprachsynthese (Text-to-Speech) für den VoiceBot. Telnyx stellt die gesamte VoiceBot-Infrastruktur als Komplettlösung bereit. Die Datenverarbeitung erfolgt ausschließlich auf EU-Servern in Frankfurt (AnchorSite) — VoiceBot-Daten verlassen nicht die EU. Telnyx ist ein US-amerikanisches Unternehmen mit EU-Niederlassung in Dublin. Grundlage: EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. DPA: telnyx.com/company/data-privacy
  • Mistral AI (Frankreich, EU): Sprachverarbeitung — generiert die Antworten des Bots basierend auf der hinterlegten Wissensbasis. Verarbeitung innerhalb der EU. Bereits als Auftragsverarbeiter für die Kernplattform gelistet (siehe oben).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Bereitstellung des VoiceBot-Dienstes. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die Gesprächstranskription (DTMF-Consent des Anrufers).

Speicherdauer: Telefonnummern von Anrufern werden nach 90 Tagen automatisch anonymisiert (nur die Vorwahl bleibt erhalten). Gesprächstranskripte werden gemäß den Aufbewahrungsfristen des jeweiligen Mandanten gespeichert und bei Kontolöschung vollständig entfernt.

Widerruf: Der Workspace-Administrator kann das VoiceBot-Abonnement jederzeit kündigen. Ab Kündigung werden keine weiteren Anrufe verarbeitet und keine Daten mehr an Telnyx übermittelt.

Kommunikationsfunktionen

Die Plattform bietet integrierte Kommunikationsfunktionen:

  • Team-Chat: Nachrichten werden auf unseren deutschen Servern gespeichert und sind nur innerhalb Ihres Teams/Ihrer Organisation sichtbar.
  • E-Mail-Integration: Wenn Sie E-Mails über die Plattform versenden, geschieht dies über unseren eigenen Mailserver in Deutschland.
  • WhatsApp-Integration: Bei Nutzung der WhatsApp-Funktion werden Nachrichten über die WhatsApp Business API verarbeitet. Es gelten zusätzlich die Datenschutzbestimmungen von Meta/WhatsApp.

Chatbot (Website-Widget)

Der auf unserer Website eingebettete KI-Chatbot verarbeitet personenbezogene Daten zur Beantwortung von Besucheranfragen. Vor dem Chatstart wird eine Einwilligung des Nutzers eingeholt.

Verarbeitete Daten:

  • Chat-Nachrichten (Texteingaben des Besuchers und Antworten des Bots)
  • IP-Adresse (anonymisiert per SHA-256 Hash)
  • Zeitstempel der Nachrichten
  • Optional: Name und E-Mail-Adresse (bei Nutzung des Pre-Chat-Formulars)

Zweck: Beantwortung von Besucheranfragen basierend auf der hinterlegten Wissensdatenbank.

KI-Modell: Für die Generierung der Chatbot-Antworten wird Mistral AI (Frankreich, EU) eingesetzt. Mit Mistral besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Ihre Chat-Daten werden von Mistral nicht für das Training von KI-Modellen verwendet.

Speicherdauer: Chat-Verläufe werden nach 90 Tagen automatisch gelöscht.

Weitergabe: Eine Weitergabe an Dritte findet nicht statt — mit Ausnahme des genannten KI-Anbieters (Mistral AI) im Rahmen der Auftragsverarbeitung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit widerrufen werden, indem das Chat-Fenster geschlossen wird. Bereits verarbeitete Daten werden nach Ablauf der Speicherfrist (90 Tage) gelöscht.

7. Analyse und Tracking

Wir verwenden keine Analyse- oder Tracking-Tools auf dieser Website. Es werden keine Dienste wie Google Analytics, Matomo, Hotjar oder vergleichbare Tools eingesetzt. Wir erfassen kein Nutzerverhalten über Server-Logs hinaus.

8. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
  • Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass wir Ihnen Ihre Daten in einem maschinenlesbaren Format übermitteln.
  • Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO basiert.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@nexoria-systems.de

Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44, 40102 Düsseldorf
www.ldi.nrw.de

9. Drittlandtransfer

Grundsätzlich werden Ihre Daten ausschließlich auf Servern in Deutschland verarbeitet. Ein Transfer in Drittländer (außerhalb der EU/EWR) findet nur in folgenden Fällen statt:

  • Stripe: Stripe Payments Europe Ltd. hat seinen Sitz in Irland (EU). Für bestimmte Verarbeitungstätigkeiten können Daten an Stripe Inc. (USA) übermittelt werden. Grundlage sind Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO.
  • Optionale LLM-Anbieter: Sofern der Kunde in den KI-Einstellungen einen LLM-Anbieter mit Sitz außerhalb der EU konfiguriert (z. B. OpenAI, Anthropic, Google), werden KI-Anfragen an den jeweiligen Anbieter übermittelt. Grundlage sind Standardvertragsklauseln (SCCs). Nexoria empfiehlt aus DSGVO-Gründen die Nutzung von Mistral AI (EU-Standort).
  • VoiceBot (optional): Bei Abschluss eines VoiceBot-Abonnements werden Telefonie-, Spracherkennungs- und Sprachsynthesedaten an Telnyx LLC (USA, SCCs) übermittelt. Die Verarbeitung erfolgt ausschließlich auf EU-Servern in Frankfurt (Telnyx AnchorSite) — VoiceBot-Daten verlassen nicht die EU. Die Aktivierung erfolgt ausschließlich durch Abschluss eines kostenpflichtigen Abonnements. Die Kernplattform (KI-Assistent, Wissensbasis, etc.) ist davon nicht betroffen und wird vollständig auf deutschen Servern mit Mistral AI (EU) betrieben. Details siehe Abschnitt 6 „KI-Telefonassistent (VoiceBot) — Opt-In".
  • E-Mail-Integrationen (optional): Bei aktiver Gmail- oder Outlook-Integration werden E-Mail-Metadaten an Google LLC bzw. Microsoft Corp. (USA/EU) übermittelt. Grundlage sind SCCs und die jeweiligen DPAs der Anbieter.

Die KI-Verarbeitung über Mistral AI erfolgt ausschließlich innerhalb der EU (Schweden/Frankreich). Lokale KI-Modelle, Embeddings und die Standard-Präsentationserstellung (Presenton) werden vollständig auf unserem deutschen Server verarbeitet.

10. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein:

  • TLS 1.3-Verschlüsselung für alle Datenübertragungen
  • Verschlüsselte VPN-Verbindungen zwischen Servern (WireGuard)
  • Passwort-Hashing mit Argon2 (aktueller Stand der Technik)
  • Mandantentrennung auf Datenbankebene (Tenant-Isolierung)
  • SSH-Schlüssel-Authentifizierung für Serverzugriff (kein Passwort-Login)
  • Tägliche automatisierte Backups aller Daten
  • Rollenbasierte Zugriffskontrolle (RBAC)
  • Rate-Limiting und Brute-Force-Schutz (fail2ban)

Stand: März 2026