Datenschutzerklärung

1. Verantwortlicher

nimbicon GmbH
Münchner Str. 20
85774 Unterföhring
Deutschland

Geschäftsführer: Alexander Weise

Telefon: +49 (89) 21 54 43 51
E-Mail: info@nimbicon.de

2. Allgemeines zur Datenverarbeitung

Der Schutz Ihrer persönlichen Daten ist uns wichtig. Wir verarbeiten personenbezogene Daten nur im erforderlichen Umfang und auf Grundlage gesetzlicher Bestimmungen (DSGVO, BDSG, TDDDG). Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten auf unserer Website und im Kundenbereich.

3. Hosting und Content Delivery

Diese Website wird über Amazon Web Services (AWS) bereitgestellt. Dabei kommt ein Content Delivery Network (CDN) zum Einsatz, das Inhalte über weltweit verteilte Server ausliefert, um schnelle Ladezeiten zu gewährleisten.

Nähere Informationen zur Datenverarbeitung durch AWS als Auftragsverarbeiter finden Sie in Abschnitt 11 (Auftragsverarbeiter und Drittlandtransfer).

4. Access Logs (Server-Protokolle)

Verarbeitete Daten: Beim Abruf unserer Website werden automatisch technische Informationen in sogenannten Access Logs erfasst:

• Datum und Uhrzeit des Zugriffs
• Aufgerufene Seite bzw. Ressource
• HTTP-Statuscode und übertragene Datenmenge
• Browsertyp und -version (User-Agent)
• Referrer-URL (zuvor besuchte Seite, sofern vom Browser übermittelt)
• Land des Zugriffs
• Netzkennung des Internetzugangsanbieters (ASN)

Wir speichern keine IP-Adressen. Die Zuordnung des Landes und der Netzkennung erfolgt durch unseren CDN-Anbieter in Echtzeit; die IP-Adresse selbst wird dabei nicht protokolliert.

Zweck und Rechtsgrundlage: Die Verarbeitung dient der Gewährleistung der Systemsicherheit, der Erkennung und Abwehr von Angriffen, der Fehleranalyse sowie der Kapazitätsplanung. Bei Angriffen können die Daten zur Einrichtung geografischer Zugangsbeschränkungen herangezogen werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Aufrechterhaltung der Sicherheit und Verfügbarkeit unserer Website.

Speicherdauer: Die Access Logs werden nach 30 Tagen automatisch gelöscht.

5. Kontaktaufnahme

Verarbeitete Daten: Wenn Sie uns per E-Mail oder Telefon kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten (z.B. Name, E-Mail-Adresse, Inhalt der Anfrage).

Zweck und Rechtsgrundlage: Die Verarbeitung dient der Bearbeitung Ihrer Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Anfrage auf einen Vertragsschluss gerichtet ist, oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Beantwortung von Anfragen, die an uns gerichtet werden.

Speicherdauer: Ihre Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr erforderlich sind, spätestens jedoch nach Ablauf gesetzlicher Aufbewahrungsfristen (z.B. handels- und steuerrechtliche Aufbewahrungspflichten von bis zu 10 Jahren).

6. Kundenbereich

a) Authentifizierung und Zugang

Verarbeitete Daten: Bei der Nutzung des Kundenbereichs verarbeiten wir Ihre E-Mail-Adresse (als Benutzername), Passkey-Registrierungen (WebAuthn-Credentials) sowie den Zeitpunkt Ihrer Anmeldungen. Die Anmeldung erfolgt über AWS Cognito Managed Login (gehostet auf auth.nimbicon.de). Es werden ausschließlich passwortlose Verfahren eingesetzt: Passkey (WebAuthn) und E-Mail-Einmalpasswort (OTP). Wir speichern keine Passwörter.

Lokale Speicherung im Browser:

• localStorage: Authentifizierungs-Token (ID Token, Access Token, Refresh Token) für die Sitzungspersistenz – werden bei Abmeldung gelöscht
• sessionStorage: Temporäre Sicherheitsparameter während des Anmeldevorgangs – werden nach Abschluss automatisch gelöscht
• Auf der Authentifizierungsseite (auth.nimbicon.de) setzt AWS Cognito technisch notwendige Session-Cookies
• Es werden keine Tracking-Cookies eingesetzt; ein Cookie-Banner ist nicht erforderlich

Einladungs- und Authentifizierungs-E-Mails werden über AWS SES versendet (Absender-Domain: portal.nimbicon.de).

Zweck und Rechtsgrundlage: Die Verarbeitung dient der Bereitstellung eines geschützten Kundenportals. Der Zugang erfolgt ausschließlich auf Einladung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), soweit der Zugang Bestandteil der vertraglichen Leistung ist, sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt im Schutz des Kundenbereichs vor unbefugtem Zugriff.

Speicherdauer:

• Account-Daten: Solange der Zugang besteht; Löschung auf Anfrage oder bei Ende der Geschäftsbeziehung
• Authentifizierungs-Token im Browser: ID/Access Token max. 1 Stunde, Refresh Token max. 30 Tage
• Cognito Session-Cookies: Sitzungsdauer

b) Stammdaten und Geschäftsdaten

Verarbeitete Daten: Im Kundenbereich werden die für die Vertragsabwicklung erforderlichen Stammdaten gepflegt. Dazu gehören Angaben zum Unternehmen (z.B. Name, Anschrift, USt-IdNr.), Kontaktdaten der Ansprechpartner (z.B. Name, E-Mail-Adresse, Telefonnummer) sowie Abrechnungsinformationen (z.B. Rechnungsmethode, Rechnungs-E-Mail). Die Daten werden von den Nutzern selbst eingetragen und können jederzeit eingesehen und geändert werden.

Zweck und Rechtsgrundlage: Die Verarbeitung dient der Pflege und Verwaltung von Kunden-Stammdaten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Stammdaten sind erforderlich für die Durchführung des Vertragsverhältnisses, insbesondere für die Rechnungsstellung und die Kommunikation mit Ihren Ansprechpartnern.

Speicherort: AWS-Rechenzentrum in Frankfurt. Die Daten werden verschlüsselt gespeichert.

Speicherdauer: Während der Geschäftsbeziehung sowie darüber hinaus im Rahmen gesetzlicher Aufbewahrungsfristen (handels- und steuerrechtlich bis zu 10 Jahre).

Löschung und Kontakt

Sie können jederzeit die Löschung Ihres Kundenbereich-Zugangs und der damit verbundenen Daten verlangen. Bitte wenden Sie sich hierzu an privacy@nimbicon.de. Weitere Informationen zu Ihren Rechten finden Sie in Abschnitt 9 (Ihre Rechte). Informationen zu den eingesetzten Auftragsverarbeitern finden Sie in Abschnitt 11 (Auftragsverarbeiter und Drittlandtransfer).

7. Externe Links und Social Media

Unsere Website enthält Links zu externen Websites, insbesondere auch zu LinkedIn. Wenn Sie diese Links anklicken, werden Sie auf die jeweilige externe Website weitergeleitet. Für die Datenverarbeitung auf diesen Websites sind ausschließlich die jeweiligen Betreiber verantwortlich.

Bitte beachten Sie, dass insbesondere soziale Netzwerke wie LinkedIn umfangreiche Daten über ihre Nutzer erheben können. Informationen hierzu finden Sie in der Datenschutzerklärung von LinkedIn unter linkedin.com/legal/privacy-policy.

Wir haben keinen Einfluss auf die Datenschutzpraktiken externer Anbieter und übernehmen keine Haftung für deren Inhalte.

8. SSL/TLS-Verschlüsselung

Diese Website nutzt eine SSL/TLS-Verschlüsselung für die sichere Übertragung von Daten. Eine verschlüsselte Verbindung erkennen Sie an dem Protokoll „https://" in der Adresszeile Ihres Browsers.

9. Ihre Rechte

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten Daten verlangen.
• Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO): Sie können unter bestimmten Voraussetzungen die Löschung Ihrer Daten verlangen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten.
• Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit widersprechen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: privacy@nimbicon.de

10. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
www.lda.bayern.de

11. Auftragsverarbeiter und Drittlandtransfer

Wir setzen für den Betrieb dieser Website und des Kundenbereichs Dienstleister ein, die in unserem Auftrag personenbezogene Daten verarbeiten (Auftragsverarbeiter). Mit diesen Dienstleistern haben wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen.

Amazon Web Services (AWS)

Für den Betrieb dieser Website und des Kundenbereichs nutzen wir Dienste von Amazon Web Services EMEA SARL (Luxemburg) bzw. Amazon Web Services, Inc. (USA). Die primäre Datenverarbeitung erfolgt in Rechenzentren innerhalb der Europäischen Union (Region Frankfurt).

Im Einzelnen werden folgende Funktionen über AWS bereitgestellt:

• Hosting und Auslieferung der Website
• Authentifizierung und Benutzerverwaltung im Kundenbereich
• Speicherung und Verarbeitung von Kunden-Stammdaten
• Versand von Einladungs- und Authentifizierungs-E-Mails

Soweit im Rahmen von Support- oder Betriebsprozessen ein Zugriff aus den USA erfolgen kann, geschieht dies auf folgender Grundlage:

• EU-US Data Privacy Framework (DPF): AWS ist unter dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO).
• Standardvertragsklauseln (SCC): Ergänzend sind die von der EU-Kommission genehmigten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO Bestandteil des Vertrags mit AWS.

Weitere Informationen zum Datenschutz bei AWS: aws.amazon.com/privacy

12. Aktualität dieser Datenschutzerklärung

Stand: Februar 2026

Wir behalten uns vor, diese Datenschutzerklärung bei geänderten rechtlichen Anforderungen oder Änderungen unserer Dienste zu aktualisieren. Die jeweils aktuelle Fassung finden Sie auf dieser Seite.