Datenschutzerklärung

Stand: Juni 2026

1. Einleitung

Der Schutz personenbezogener Daten hat für NEXCEL AI höchste Priorität. Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit den geltenden datenschutzrechtlichen Vorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG), dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) sowie weiteren anwendbaren europäischen und nationalen Bestimmungen. Soweit KI-Systeme eingesetzt werden, berücksichtigen wir zusätzlich die Vorgaben der Verordnung (EU) 2024/1689 (EU-KI-Verordnung bzw. AI Act).

Diese Erklärung informiert nach Art. 13 und 14 DSGVO über Art, Umfang, Zwecke und Rechtsgrundlagen der Verarbeitung im Zusammenhang mit der Nutzung unserer Website (www.nexcelai.com), unserer Analyse- und Diagnosesysteme sowie unserer Kommunikationskanäle.

2. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO

NEXCEL AI — Celina Siebeneicher

Hemmerder Dorfstraße 111
59427 Unna, Deutschland

Kontakt

info@nexcelai.comkontakt@nexcelai.comsupport@nexcelai.com

Weitere Kontaktmöglichkeiten können dem Impressum entnommen werden.

3. Grundsätze der Verarbeitung (Art. 5 DSGVO)

Wir verarbeiten personenbezogene Daten ausschließlich nach den Grundsätzen des Art. 5 DSGVO:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

4. Hosting & technische Bereitstellung (Vercel)

Unsere Website und die zugehörigen Server-Funktionen (Serverless Functions) werden bereitgestellt durch:

Vercel Inc.

340 S Lemon Ave #4133, Walnut, CA 91789, USA

Die Auslieferung und Ausführung erfolgt vorrangig über das EU-Rechenzentrum in Frankfurt am Main (Region fra1). Vercel ist Auftragsverarbeiter nach Art. 28 DSGVO; ein Auftragsverarbeitungsvertrag besteht.

Verarbeitete Daten (Server-Logfiles)

  • IP-Adresse
  • Browsertyp und -version
  • Betriebssystem
  • Referrer-URL
  • Datum und Uhrzeit des Zugriffs
  • Hostname / angefragte URL
  • HTTP-Statuscodes
  • übertragene Datenmengen

Zweck: Bereitstellung der Website, Systemsicherheit, Fehleranalyse, Missbrauchserkennung, Performanceoptimierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Drittland: USA — Standardvertragsklauseln (SCC) sowie EU-U.S. Data Privacy Framework

Speicherdauer: max. 30 Tage, sofern keine längere Aufbewahrung aus Sicherheitsgründen erforderlich ist

5. Content-Delivery-Network & Schriftarten

Statische Inhalte (z. B. Skripte, Bilder, Stylesheets) werden über das global verteilte Edge-Netzwerk von Vercel Inc. ausgeliefert, um Ladezeiten zu optimieren und die Verfügbarkeit sicherzustellen. Dabei werden technisch notwendige Verbindungsdaten (insb. IP-Adresse) verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Schriftarten (Self-Hosting)

Wir verwenden die Schriftarten Inter und Plus Jakarta Sans. Diese werden zum Erstellungszeitpunkt lokal eingebunden und ausschließlich von unserer eigenen Infrastruktur ausgeliefert. Es findet keine Verbindung zu Google-Servern und keine Übermittlung Ihrer IP-Adresse an Dritte zum Zweck der Schriftauslieferung statt.

6. SSL-/TLS-Verschlüsselung

Unsere Website verwendet moderne SSL-/TLS-Verschlüsselungsverfahren. Die Übertragung sämtlicher Daten erfolgt verschlüsselt, um unbefugte Zugriffe durch Dritte zu verhindern.

7. Datenbank & Speicherung (Supabase / PostgreSQL)

Anfragen, Kontakt- und Geschäftsdaten werden in einer PostgreSQL-Datenbank gespeichert, die wir über folgenden Dienstleister betreiben:

Supabase Inc.

970 Toa Payoh North #07-04, Singapur 318992 — Datenhaltung in der EU-Region (Frankfurt am Main). Supabase ist Auftragsverarbeiter nach Art. 28 DSGVO.

Verarbeitete Daten

  • Vor- und Nachname
  • E-Mail-Adresse, Telefonnummer (optional)
  • Unternehmen (optional)
  • Betreff und Inhalt der Nachricht
  • Status- und Bearbeitungsinformationen (z. B. gelesen/archiviert)
  • Zeitstempel der Erstellung und Aktualisierung

Zweck: Verwaltung von Anfragen, Kundenkommunikation, Vertragsanbahnung und -abwicklung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO

Verschlüsselung: TLS bei Übertragung, AES-256 at Rest

Speicherdauer: bis Zweckfortfall; gesetzliche Aufbewahrungsfristen (HGB/AO, bis zu 10 Jahre) bleiben unberührt

8. Kontaktaufnahme

Bei einer Kontaktaufnahme per Kontaktformular, E-Mail oder Telefon verarbeiten wir die von Ihnen übermittelten Daten — insbesondere Name, E-Mail-Adresse, Telefonnummer, Unternehmensdaten, Inhalt Ihrer Nachricht sowie die Kommunikationshistorie.

Zweck: Bearbeitung Ihrer Anfrage, Vertragsanbahnung, Kundenbetreuung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) bzw. lit. f DSGVO

Speicherdauer: bis zur abschließenden Bearbeitung; darüber hinaus nur bei gesetzlicher Aufbewahrungspflicht

9. System- & Unternehmensanalyse (Diagnose-Tool)

Wir bieten eine digitale Unternehmens- und Systemanalyse an. Hierbei können — je nach Eingabe — folgende Daten verarbeitet werden:

  • Website-Adresse (URL), die zur Analyse angegeben wird
  • hochgeladene Dokumente/Dateien (max. 8 MB je Datei, max. 10 Dateien je Analyse)
  • Angaben zu Unternehmen, Branche, Prozessen und Zielen
  • technische Sitzungsdaten (z. B. Session-Kennung, Gerätetyp, Referrer)
  • eine pseudonymisierte, gehashte IP-Adresse (SHA-256, gekürzt) zur Missbrauchsvermeidung
  • Analyse- und Bewertungsergebnisse, Handlungsempfehlungen

Abruf externer Inhalte (URL-Scan)

Geben Sie eine Website-Adresse an, ruft unser Server die öffentlich erreichbare Seite einmalig serverseitig ab (um technische Beschränkungen aufzulösen). Dabei werden nur die öffentlich verfügbaren Inhalte der angegebenen Seite geladen und ausgewertet. Private/lokale Adressbereiche werden blockiert.

Zweck: Erstellung individueller Analysen, Beratung, Angebots- und Projektplanung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich) bzw. lit. f DSGVO

Speicherort Uploads: temporäres Verzeichnis der Ausführungsumgebung bzw. projektinterne Ablage; keine Weitergabe an Dritte außerhalb der genannten Auftragsverarbeiter

10. KI-gestützte Analyse im Browser (On-Device)

Teile der Analyse können direkt in Ihrem Browser ausgeführt werden. Hierfür laden wir quelloffene KI-Modelle (über die Bibliothek Transformers.js von Hugging Face) einmalig herunter und führen die Auswertung anschließend lokal auf Ihrem Endgerät aus.

  • Die Inhalte Ihrer Analyse verlassen für diese Verarbeitung Ihr Gerät nicht.
  • Es findet lediglich ein technischer Modell-Download vom Anbieter Hugging Face, Inc. (USA) statt; dabei werden keine Analyseinhalte übermittelt.
  • Telemetrie der Bibliothek ist deaktiviert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO

Drittland (nur Modell-Download): USA — Standardvertragsklauseln (SCC)

11. Serverseitige KI-Verarbeitung (OpenAI)

Sofern aktiviert, nutzen wir zur Erstellung textlicher Auswertungen ein großes Sprachmodell (LLM) des folgenden Anbieters:

OpenAI

OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, Irland (für Nutzer im EWR) — ggf. unter Einbindung der OpenAI, L.L.C. (USA). Eingesetztes Modell: GPT-4o-mini (bzw. konfiguriertes Modell).

Übermittelte Daten

  • die zur Auswertung aufbereiteten Analyse-Rohdaten (z. B. Angaben zu Unternehmen, Prozessen, Website-Inhalten)
  • keine bewusste Übermittlung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO)

Zweck: Erstellung einer verständlichen, strukturierten Auswertung und Systemempfehlung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO

Training: Keine Nutzung der über die API übermittelten Daten zum Training der Modelle (gemäß den API-Bedingungen von OpenAI)

Drittland: USA — Standardvertragsklauseln (SCC) sowie EU-U.S. Data Privacy Framework

Hinweis nach EU-KI-Verordnung (AI Act)

Die eingesetzten KI-Systeme dienen ausschließlich der Erstellung von Analysen und Empfehlungen zur Unterstützung menschlicher Entscheidungen. Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung oder vergleichbarer erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO findet nicht statt. Ergebnisse der KI-Auswertung werden vor einer geschäftlichen Verwendung durch uns geprüft (Human Oversight).

12. E-Mail-Versand (Resend)

Für den Versand von Bestätigungs-, Benachrichtigungs- und Systemnachrichten setzen wir folgenden E-Mail-Dienstleister ein:

Resend (Resend, Inc.)

2261 Market Street #5039, San Francisco, CA 94114, USA. Auftragsverarbeiter nach Art. 28 DSGVO.

Verarbeitete Daten

  • E-Mail-Adresse (Empfänger/Absender)
  • Betreff und Inhalt der Nachricht
  • Versandzeitpunkt und Zustellinformationen

Zweck: Zustellung transaktionaler E-Mails (Bestätigungen, Benachrichtigungen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO

Drittland: USA — Standardvertragsklauseln (SCC)

13. Reichweitenmessung (First-Party-Analyse)

Zur Verbesserung unseres Angebots betreiben wir eine eigene (First-Party-) Reichweitenmessung. Es werden keine Dienste Dritter wie Google Analytics eingesetzt und keine geräteübergreifenden Werbeprofile gebildet. Die IP-Adresse wird ausschließlich in gehashter Form (pseudonymisiert) verarbeitet.

Verarbeitete Daten

  • Seitenaufrufe, Klick- und Scrollverhalten, Verweildauer
  • pseudonyme Sitzungs- und Besucher-Kennungen
  • gehashte IP-Adresse, Referrer, Hostname
  • Browser-/Gerätetyp (User-Agent), Viewport-Größe

Die Daten werden in einem Key-Value-Speicher (Upstash Redis bzw. Vercel KV) abgelegt.

Zweck: statistische Auswertung, Optimierung von Inhalten und Performance

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an pseudonymer Reichweitenmessung)

Drittland: EU/USA — Standardvertragsklauseln (SCC), soweit Verarbeitung außerhalb der EU erfolgt

14. Cookies & lokale Speichertechnologien

Wir setzen technisch notwendige Cookies sowie — zur Speicherung Ihrer Datenschutz-Einstellungen — den lokalen Browserspeicher (localStorage) ein. Nicht erforderliche Technologien (Analyse/Marketing) werden ausschließlich nach Ihrer ausdrücklichen Einwilligung verwendet.

Kategorien

  • Essenziell (technisch notwendig, z. B. Sitzung/Authentifizierung)
  • Analyse (nur mit Einwilligung)
  • Marketing (nur mit Einwilligung)

Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch notwendig) bzw. § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Widerruf: jederzeit über die Cookie-Einstellungen mit Wirkung für die Zukunft möglich

15. Consent-Management

Zur Verwaltung Ihrer Einwilligungen verwenden wir ein eigenes Consent-Management. Ihre Auswahl wird lokal in Ihrem Browser (localStorage) gespeichert; dabei werden insbesondere die gewählten Kategorien sowie der Zeitpunkt der Einwilligung festgehalten. Eine Übermittlung an Dritte findet hierbei nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c und lit. f DSGVO (Nachweis- und Dokumentationspflicht)

16. Zugänge, Login & Authentifizierung

Für geschützte Bereiche (z. B. Demo-Zugänge, Administration) verarbeiten wir Anmeldedaten. Passwörter werden ausschließlich als kryptografischer Hash (bcrypt) gespeichert; die Sitzungsverwaltung erfolgt über signierte Token (JWT).

  • Name / Benutzerkennung
  • E-Mail-Adresse
  • Unternehmen (sofern angegeben)
  • gehashtes Passwort, Sitzungs-Token

Zweck: Bereitstellung gesicherter Zugänge, Authentifizierung, Schutz vor unbefugtem Zugriff

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO

17. Auftragsverarbeiter (Art. 28 DSGVO)

Wir setzen ausschließlich sorgfältig ausgewählte Dienstleister ein, mit denen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO bestehen. Die nachfolgende Übersicht bildet die tatsächlich eingesetzten Dienste ab.

AnbieterZweckDatenStandort / Garantie
Vercel Inc.Hosting, Serverless Functions, CDN/EdgeServer-Logs, IP-Adresse, NutzungsdatenUSA / EU (Frankfurt) — SCC, DPF
Supabase Inc.Datenbank (PostgreSQL)Kontakt-/Stammdaten, KommunikationsinhalteEU (Frankfurt) — AVV, SCC
Upstash, Inc. / Vercel KVReichweiten- & Sitzungsspeicher (Key-Value)gehashte IP, pseudonyme Event-/SitzungsdatenEU/USA — SCC
Resend, Inc.Versand transaktionaler E-MailsE-Mail-Adresse, Inhalt, ZustelldatenUSA — SCC
OpenAI Ireland Ltd. / OpenAI L.L.C.Serverseitige KI-Auswertung (LLM)aufbereitete Analyse-EingabenEU/USA — SCC, DPF; kein Training
Hugging Face, Inc.Bereitstellung der On-Device-KI-Modellenur Modell-Download (keine Analyseinhalte)USA — SCC

SCC = EU-Standardvertragsklauseln · DPF = EU-U.S. Data Privacy Framework · AVV = Auftragsverarbeitungsvertrag

18. Datenflüsse (Überblick)

  • Website-Aufruf → Vercel (Auslieferung, Server-Logs).
  • Kontaktanfrage → Speicherung in Supabase (PostgreSQL) → Benachrichtigung per Resend.
  • Systemanalyse → optionaler serverseitiger Abruf der angegebenen URL → lokale Auswertung im Browser (Hugging Face Transformers.js) und/oder serverseitige Auswertung über OpenAI.
  • Reichweitenmessung → pseudonyme Ereignisdaten (gehashte IP) → Upstash Redis / Vercel KV.
  • Geschützte Zugänge → Authentifizierung über JWT, Passwörter als bcrypt-Hash.

19. Drittlandübermittlungen

Soweit personenbezogene Daten in Staaten außerhalb der EU/des EWR übermittelt werden (insbesondere USA), erfolgt dies ausschließlich auf Grundlage geeigneter Garantien:

  • EU-U.S. Data Privacy Framework (sofern der Empfänger zertifiziert ist)
  • EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO
  • ergänzende technische und organisatorische Schutzmaßnahmen

20. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist. Gesetzliche Aufbewahrungsfristen bleiben unberührt:

  • Handelsrechtliche Aufbewahrung: bis zu 10 Jahre
  • Steuerrechtliche Aufbewahrung: bis zu 10 Jahre
  • Vertragsbezogene Daten: bis zum Ablauf gesetzlicher Verjährungsfristen
  • Server-Logfiles: i. d. R. max. 30 Tage

21. Datensicherheit (Art. 32 DSGVO)

Wir setzen angemessene technische und organisatorische Maßnahmen ein, insbesondere:

  • TLS-Verschlüsselung bei der Übertragung, AES-256 at Rest
  • Pseudonymisierung (z. B. IP-Hashing) und Datenminimierung
  • rollenbasierte Zugriffskontrolle und Least-Privilege-Prinzip
  • kryptografische Passwortspeicherung (bcrypt) und Token-basierte Sitzungen
  • Monitoring, Protokollierung und regelmäßige Backups
  • Schutzmaßnahmen der eingesetzten Cloud-Plattformen (Firewalls, DDoS-Schutz)

22. Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten erfolgen die erforderlichen Meldungen gemäß Art. 33 DSGVO (an die Aufsichtsbehörde) und Art. 34 DSGVO (an die betroffenen Personen) innerhalb der gesetzlichen Fristen.

23. Automatisierte Entscheidungen & Profiling

Eine ausschließlich automatisierte Entscheidung im Einzelfall einschließlich Profiling mit rechtlicher Wirkung oder vergleichbarer erheblicher Beeinträchtigung gemäß Art. 22 DSGVO findet nicht statt. KI-gestützte Auswertungen dienen ausschließlich als Entscheidungshilfe und unterliegen menschlicher Kontrolle (Human Oversight) im Sinne der EU-KI-Verordnung.

24. Minderjährige

Unser Angebot richtet sich ausschließlich an volljährige Personen. Wir verarbeiten wissentlich keine personenbezogenen Daten von Minderjährigen.

25. Ihre Rechte (Art. 15–22 DSGVO)

Sie haben jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Kontakt zur Wahrnehmung Ihrer Rechte

info@nexcelai.com

26. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist insbesondere:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Kavalleriestraße 2–4
40213 Düsseldorf, Deutschland

27. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn dies aufgrund technischer, rechtlicher oder organisatorischer Änderungen erforderlich wird. Es gilt jeweils die aktuelle, auf unserer Website veröffentlichte Fassung.

Zurück zur Startseite