Datenschutzrichtlinie

1. Allgemeines & Verantwortliche Stelle

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung der Webanalyse-Plattform Noralytic (im Folgenden „Dienst", „Plattform" oder „Service").

Verantwortliche Stelle im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist:

NoraMedia
Leipziger Str. 38
36043, Fulda
E-Mail: help@noralytic.com
Website: www.noralytic.com

Diese Datenschutzerklärung gilt für:

• Die Nutzung der Noralytic-Plattform (Dashboard, API, Benutzerkonto)
• Die Verarbeitung von Daten durch unsere Kunden mittels des Tracking-Codes
• Unsere Website und alle damit verbundenen Services

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nach folgenden Grundsätzen (Art. 5 DSGVO):

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Alle Datenverarbeitungen erfolgen auf Basis gültiger Rechtsgrundlagen und werden transparent kommuniziert
• Zweckbindung: Daten werden nur für festgelegte, eindeutige und legitime Zwecke erhoben
• Datenminimierung: Wir erheben nur die Daten, die für den jeweiligen Zweck erforderlich sind
• Richtigkeit: Personenbezogene Daten sind sachlich richtig und auf dem neuesten Stand
• Speicherbegrenzung: Daten werden nur so lange gespeichert, wie es für den Zweck erforderlich ist
• Integrität und Vertraulichkeit: Angemessene Sicherheitsmaßnahmen schützen Ihre Daten

Privacy by Design: Noralytic ist so konzipiert, dass keine IP-Adressen, keine Cookies und keine Sitzungsdaten der Website-Besucher gespeichert werden.

3. Verarbeitung von Benutzerkontodaten

Zur Nutzung von Noralytic ist ein Benutzerkonto erforderlich. Hierbei verarbeiten wir folgende personenbezogene Daten:

3.1 Registrierungsdaten

• E-Mail-Adresse (Pflichtangabe)
• Name/Unternehmensname (optional)
• Passwort (verschlüsselt gespeichert mit bcrypt/Argon2)
• Registrierungsdatum und -zeit
• Sprach- und Zeitzonenpräferenzen

Zweck: Bereitstellung und Verwaltung Ihres Benutzerkontos, Authentifizierung, Kommunikation

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: Bis zur Löschung des Kontos, danach 30 Tage (Möglichkeit zur Wiederherstellung), anschließend endgültige Löschung

3.2 Zahlungsdaten

Bei kostenpflichtigen Tarifen verarbeiten wir:

• Rechnungsadresse (Name, Straße, PLZ, Ort, Land)
• Umsatzsteuer-Identifikationsnummer (bei gewerblichen Kunden in der EU)
• Zahlungsart (Kreditkarte, PayPal, SEPA)
• Transaktionsdaten (Rechnungsnummer, Betrag, Datum)

Wichtig: Kreditkarten- oder Bankdaten werden nicht direkt von uns gespeichert, sondern von zertifizierten Zahlungsdienstleistern verarbeitet (siehe Abschnitt 7).

Zweck: Abwicklung von Zahlungen, Rechnungsstellung, Buchhaltung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. c (rechtliche Verpflichtung zur Rechnungsstellung)

Speicherdauer: 10 Jahre gemäß § 147 AO und § 257 HGB (steuerrechtliche Aufbewahrungspflichten)

4. Verarbeitung von Website-Analytics-Daten

Noralytic ist eine datenschutzfreundliche Analytics-Plattform. Bei der Erfassung von Website-Statistiken durch unsere Kunden werden keine personenbezogenen Daten im Sinne der DSGVO verarbeitet.

4.1 Was wird NICHT erfasst?

• Keine IP-Adressen: IP-Adressen werden weder gespeichert noch anonymisiert – sie werden gar nicht erst verarbeitet
• Keine Cookies: Der Tracking-Code setzt keine Cookies oder verwendet LocalStorage
• Keine Sitzungen: Es werden keine User-IDs, Session-IDs oder dauerhaften Identifikatoren erstellt
• Kein Fingerprinting: Keine Canvas-, WebGL- oder andere Fingerprinting-Techniken
• Keine Cross-Site-Tracking: Besucher werden nicht über mehrere Websites hinweg verfolgt

4.2 Was wird erfasst?

Der Tracking-Code erfasst folgende aggregierte, nicht-personenbezogene Daten:

• Seitenaufrufe: URL, Seitentitel, Zeitstempel (ohne Zuordnung zu Personen)
• Referrer: Herkunftsquelle des Traffics (z.B. Google, Facebook, direkt)
• User Agent: Browser-Typ, Betriebssystem, Gerätetyp in aggregierter Form
• Geografische Daten: Land und Stadt (basierend auf aggregierten Serverdaten, ohne IP-Speicherung)
• Bildschirmauflösung: Gerätekategorie (Desktop, Tablet, Mobile)
• Custom Events: Vom Website-Betreiber definierte Ereignisse (z.B. Button-Klicks, Conversions)

Technische Umsetzung: Alle Daten werden in aggregierter Form gespeichert und können nicht einer einzelnen Person zugeordnet werden. Es erfolgt eine sofortige Aggregation auf Server-Seite.

Zweck: Bereitstellung von Website-Statistiken für unsere Kunden zur Optimierung ihrer Websites

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse unserer Kunden an Website-Analytics ohne Personenbezug)

Speicherdauer: Bis zu 36 Monate oder nach individueller Vereinbarung mit dem Kunden

4.3 Konformität

Noralytic wurde entwickelt, um folgende Datenschutzstandards zu erfüllen:

• DSGVO (EU): Keine Verarbeitung personenbezogener Daten, keine Einwilligungspflicht erforderlich
• PECR (UK): Cookiefreies Tracking ohne Einwilligungspflicht
• CCPA (Kalifornien): Keine Verarbeitung personenbezogener Informationen
• LGPD (Brasilien): Konform durch Verzicht auf personenbezogene Daten

5. Verantwortlichkeit bei Kundennutzung

Unsere Kunden integrieren den Tracking-Code auf ihren Websites. Hierbei gilt:

5.1 Verantwortung des Kunden

Der Kunde ist als Website-Betreiber eigenständig verantwortlich für:

• Die rechtmäßige Einbindung des Tracking-Codes
• Die Information seiner Website-Besucher (Datenschutzerklärung)
• Die Einhaltung lokaler Datenschutzgesetze
• Die Konfiguration der Tracking-Einstellungen

5.2 Verhältnis zwischen Noralytic und Kunde

Im Verhältnis zwischen Noralytic und dem Kunden gilt:

• Der Kunde ist Verantwortlicher im Sinne der DSGVO für die Datenverarbeitung auf seiner Website
• Noralytic ist Auftragsverarbeiter gemäß Art. 28 DSGVO
• Es besteht ein Auftragsverarbeitungsvertrag (AVV), der die Pflichten regelt

Da jedoch keine personenbezogenen Daten verarbeitet werden, entfällt in der Praxis die Notwendigkeit eines umfassenden AVV für die Analytics-Daten.

6. Server-Logs & technische Daten

Beim Besuch unserer Website und bei der Nutzung der Plattform werden automatisch folgende Server-Logdaten erfasst:

• IP-Adresse (temporär, nur zur Spam-/Missbrauchserkennung)
• Datum und Uhrzeit des Zugriffs
• Aufgerufene Seite/Ressource
• HTTP-Statuscode
• Browser und Betriebssystem (User Agent)
• Referrer-URL

Zweck: Sicherstellung der Systemsicherheit, Erkennung und Abwehr von Angriffen (DDoS, Hacking-Versuche), Fehleranalyse

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer IT-Infrastruktur)

Speicherdauer: Maximal 7 Tage, danach automatische Löschung

7. Zahlungsdienstleister

Für die Abwicklung von Zahlungen nutzen wir folgende externe Dienstleister:

7.1 Stripe (Kreditkarte, SEPA)

Anbieter: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland

Stripe ist PCI-DSS Level 1 zertifiziert. Kreditkartendaten werden ausschließlich bei Stripe gespeichert und verarbeitet.

Datenschutz: https://stripe.com/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

7.2 PayPal

Anbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg

Datenschutz: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

8. E-Mail-Kommunikation & Newsletter

8.1 Transaktions-E-Mails

Wir versenden E-Mails für folgende Zwecke:

• Kontobestätigung und Verifizierung
• Passwort-Zurücksetzung
• Rechnungen und Zahlungsbestätigungen
• Wichtige Sicherheitshinweise
• Vertragsänderungen (AGB, Preise)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. f (berechtigtes Interesse)

Diese E-Mails können nicht abbestellt werden, da sie für die Vertragserfüllung erforderlich sind.

8.2 E-Mail-Berichte (optional)

Kunden können wöchentliche oder monatliche Statistik-Reports per E-Mail abonnieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Diese Reports können jederzeit über das Dashboard oder den Abmelde-Link in der E-Mail deaktiviert werden.

8.3 Marketing-E-Mails (optional)

Mit Ihrer Einwilligung senden wir gelegentlich Informationen über:

• Neue Funktionen und Updates
• Tipps zur Nutzung von Noralytic
• Besondere Angebote (nur für bestehende Kunden)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Abmeldung: Jederzeit über den Abmelde-Link in der E-Mail oder im Dashboard unter Einstellungen

8.4 E-Mail-Dienstleister

Für den Versand von E-Mails nutzen wir:

Amazon SES (Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg)
Datenschutz: https://aws.amazon.com/privacy/

9. Hosting & Infrastruktur

Unsere Server und Datenbanken werden gehostet bei:

9.1 Hetzner Online GmbH

Industriestr. 25, 91710 Gunzenhausen, Deutschland

Datenschutz: https://www.hetzner.com/rechtliches/datenschutz

Standort: Rechenzentren in Deutschland und Finnland (EU)

Sicherheitsmaßnahmen: ISO 27001 zertifiziert, redundante Systeme, tägliche Backups

9.2 Cloudflare (CDN & DDoS-Schutz)

Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA

Datenschutz: https://www.cloudflare.com/privacypolicy/

Zweck: Content Delivery Network (CDN), DDoS-Schutz, SSL/TLS-Verschlüsselung

Datenübermittlung: EU-Standardvertragsklauseln gemäß Art. 46 DSGVO

10. Auftragsverarbeiter & Subunternehmer

Wir arbeiten mit folgenden Auftragsverarbeitern zusammen:

Dienstleister	Zweck	Standort
Hetzner Online GmbH	Server-Hosting, Datenbanken	Deutschland (EU)
Amazon Web Services (AWS)	E-Mail-Versand (SES), Backups (S3)	EU (Frankfurt)
Cloudflare	CDN, DDoS-Schutz, SSL	USA (mit SCCs)
Stripe	Zahlungsabwicklung	Irland (EU)

Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO, die die datenschutzkonforme Verarbeitung sicherstellen.

11. Datenübermittlung in Drittländer

Grundsätzlich verarbeiten wir Daten innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR).

Bei folgenden Dienstleistern kann eine Übermittlung in die USA erfolgen:

• Cloudflare: Absicherung durch EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO
• Stripe (optional): Teilweise Verarbeitung in den USA, abgesichert durch Adequacy Decision und SCCs

Wir stellen sicher, dass ein angemessenes Datenschutzniveau durch geeignete Garantien gewährleistet ist.

12. Cookies & Tracking-Technologien

12.1 Auf noralytic.com (unserer Website)

Unsere Website verwendet nur technisch notwendige Cookies:

• Session-Cookie: Zur Aufrechterhaltung Ihrer Login-Session (verschlüsselt, läuft nach 30 Tagen ab)
• CSRF-Token: Zum Schutz vor Cross-Site-Request-Forgery-Angriffen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (technische Notwendigkeit)

Wir verwenden keine Analytics-Cookies, Marketing-Cookies oder Third-Party-Cookies.

12.2 Tracking-Code auf Kundenseiten

Der von unseren Kunden eingebundene Tracking-Code setzt keine Cookies und verwendet kein LocalStorage.

13. Datensicherheit

Wir setzen umfassende technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

13.1 Technische Maßnahmen

• TLS/SSL-Verschlüsselung: Alle Datenübertragungen erfolgen über HTTPS (TLS 1.3)
• Verschlüsselte Passwörter: Passwörter werden mit bcrypt/Argon2 gehasht (nicht reversibel)
• Datenbank-Verschlüsselung: Sensitive Daten werden verschlüsselt gespeichert (AES-256)
• DDoS-Schutz: Cloudflare schützt vor Distributed-Denial-of-Service-Angriffen
• Firewall: Restriktive Firewall-Regeln auf Server-Ebene
• Regelmäßige Backups: Tägliche automatische Backups mit 30-Tage-Aufbewahrung
• Security Updates: Regelmäßige Updates aller Systemkomponenten

13.2 Organisatorische Maßnahmen

• Zugriffsbeschränkung: Nur autorisierte Mitarbeiter haben Zugriff auf Systeme
• Prinzip der geringsten Berechtigung: Minimale Zugriffsrechte für Mitarbeiter
• Vertraulichkeitsverpflichtungen: Alle Mitarbeiter sind auf Vertraulichkeit verpflichtet
• Sicherheitsaudits: Regelmäßige Überprüfung der Sicherheitsmaßnahmen
• Incident Response Plan: Notfallplan bei Sicherheitsvorfällen

14. Speicherdauer & Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:

Datenart	Speicherdauer
Kontodaten (aktives Konto)	Bis zur Kontolöschung
Gelöschtes Konto	30 Tage Wiederherstellungsfrist, dann endgültige Löschung
Analytics-Daten	Bis zu 36 Monate oder nach Vereinbarung
Rechnungsdaten	10 Jahre (gesetzliche Aufbewahrungspflicht)
Server-Logs	Maximal 7 Tage
E-Mail-Korrespondenz	3 Jahre, dann Löschung
Backup-Daten	30 Tage, dann automatische Löschung

Nach Ablauf der Speicherdauer werden Daten unwiderruflich gelöscht oder anonymisiert.

15. Ihre Rechte als betroffene Person

Gemäß DSGVO haben Sie folgende Rechte:

15.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten, einschließlich:

• Verarbeitungszwecke
• Kategorien der Daten
• Empfänger der Daten
• Speicherdauer
• Herkunft der Daten

15.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen. Dies können Sie auch selbst im Dashboard vornehmen.

15.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, sofern:

• Die Daten für die Zwecke nicht mehr erforderlich sind
• Sie Ihre Einwilligung widerrufen haben
• Die Daten unrechtmäßig verarbeitet wurden
• Eine rechtliche Verpflichtung zur Löschung besteht

Ausnahmen gelten bei gesetzlichen Aufbewahrungspflichten (z.B. Rechnungsdaten).

Kontolöschung: Kann jederzeit im Dashboard unter Einstellungen → Konto löschen vorgenommen werden.

15.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung verlangen, wenn:

• Die Richtigkeit der Daten bestritten wird
• Die Verarbeitung unrechtmäßig ist, Sie aber keine Löschung wünschen
• Sie die Daten zur Geltendmachung von Rechtsansprüchen benötigen

15.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.

Export-Funktion: Alle Analytics-Daten können jederzeit als CSV-Datei über das Dashboard exportiert werden.

15.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.

15.7 Widerruf von Einwilligungen (Art. 7 DSGVO)

Erteilte Einwilligungen (z.B. für Marketing-E-Mails) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

15.8 Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Zuständige Aufsichtsbehörde für Deutschland:

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153, 53117 Bonn
Telefon: +49 (0)228 997799-0
E-Mail: poststelle@bfdi.bund.de
Website: https://www.bfdi.bund.de

16. Automatisierte Entscheidungsfindung & Profiling

Wir führen keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO durch, die für Sie rechtliche Wirkung entfalten oder Sie erheblich beeinträchtigen.

Es findet kein Profiling zu Marketing- oder Bewertungszwecken statt.

17. Minderjährige

Noralytic richtet sich nicht an Personen unter 16 Jahren. Wir erfassen wissentlich keine personenbezogenen Daten von Minderjährigen ohne elterliche Zustimmung.

Falls wir feststellen, dass wir versehentlich Daten von Minderjährigen erhalten haben, werden diese umgehend gelöscht.

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, insbesondere bei:

• Änderungen der Rechtslage
• Neuen Funktionen oder Services
• Änderungen unserer Datenverarbeitungsprozesse
• Wechsel von Dienstleistern

Wesentliche Änderungen werden wir mindestens 30 Tage im Voraus per E-Mail ankündigen.

Die aktuelle Version ist stets auf unserer Website verfügbar.

Letzte Aktualisierung:

Version: 2.0

19. Kontakt & Ausübung Ihrer Rechte

Für Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte:

19.1 Datenschutzbeauftragter

NoraMedia – Datenschutz
Leipziger Str. 38
36043, Fulda
E-Mail: help@noralytic.com
Telefon: 01736309521

19.2 So erreichen Sie uns

• E-Mail: help@noralytic.com (bevorzugter Kontaktweg)
• Support-Formular: Über das Dashboard unter "Hilfe & Support"
• Post: An die oben genannte Adresse

Wir werden Ihre Anfragen unverzüglich, spätestens aber innerhalb von 30 Tagen, beantworten.

20. Besondere Hinweise für Kunden

20.1 Auftragsverarbeitungsvertrag (AVV)

Geschäftskunden, die Noralytic für ihre Websites einsetzen, können auf Anfrage einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO erhalten.

Anmerkung: Da Noralytic keine personenbezogenen Daten der Website-Besucher verarbeitet, ist ein AVV in den meisten Fällen nicht erforderlich. Dennoch stellen wir ihn zur rechtlichen Absicherung bereit.

20.2 Empfehlungen für Kunden

Wir empfehlen unseren Kunden:

• Noralytic in ihrer eigenen Datenschutzerklärung zu erwähnen
• Auf die datenschutzfreundliche Natur von Noralytic hinzuweisen
• Den Link zu dieser Datenschutzerklärung bereitzustellen

Mustertext für Ihre Datenschutzerklärung:

Webanalyse mit Noralytic

Wir nutzen Noralytic zur Analyse unseres Website-Traffics. Noralytic ist eine datenschutzfreundliche Analytics-Lösung, die keine IP-Adressen, Cookies oder Sitzungsdaten speichert. Es werden ausschließlich aggregierte, nicht-personenbezogene Statistiken erfasst.

Weitere Informationen: noralytic.com/datenschutz