Datenschutzerklärung
Stand: Februar 2026
1. Verantwortlicher
IQI – Privates Institut für Qualität und Innovation GmbH
Niedensteinsweg 8, 59846 Sundern, Deutschland
Telefon: +49 (0) 2933 7863-185
E-Mail: info@iqi-gmbh.de
2. Datenschutzbeauftragter
Klaus Meissner
E-Mail: datenschutz@iqi-gmbh.de
3. Übersicht der Verarbeitungen
Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.
Arten der verarbeiteten Daten
- Bestandsdaten (z. B. Namen, Adressen)
- Kontaktdaten (z. B. E-Mail, Telefonnummern)
- Inhaltsdaten (z. B. Eingaben in den Chat, hochgeladene Dokumente)
- Vertragsdaten (z. B. Vertragsgegenstand, Laufzeit, Kundenkategorie)
- Zahlungsdaten (z. B. Zahlungsart, Rechnungsadresse)
- Nutzungsdaten (z. B. besuchte Seiten, Zugriffszeiten)
- Meta-/Kommunikationsdaten (z. B. IP-Adressen, Geräteinformationen)
4. Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten im Einklang mit der DSGVO. Relevante Rechtsgrundlagen:
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – z. B. für Analyse-Cookies
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – Bereitstellung des Norminator-Service
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Sicherheit, Betrugsprävention, Verbesserung des Angebots
5. Bereitstellung der Website und Erstellung von Logfiles
Bei jedem Aufruf unserer Website erfasst unser System automatisiert Daten und Informationen des aufrufenden Computersystems (Server-Logfiles):
- IP-Adresse (anonymisiert)
- Datum und Uhrzeit der Anfrage
- Aufgerufene URL
- Referrer-URL
- Browser-Typ und -Version
- Betriebssystem
Diese Daten werden für die technische Bereitstellung der Website benötigt (Art. 6 Abs. 1 lit. f DSGVO) und nach 14 Tagen automatisch gelöscht.
6. Registrierung und Nutzerkonto
Bei der Registrierung erfassen wir Name, E-Mail-Adresse und Passwort (verschlüsselt). Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Daten werden für die Dauer der Geschäftsbeziehung gespeichert und nach Kündigung gemäß gesetzlicher Aufbewahrungsfristen gelöscht.
7. Nutzung des Norminator-Chat (KI-Beratung)
Bei der Nutzung der KI-Beratungsfunktion „Norminator" werden Ihre Chat-Eingaben verarbeitet, um Ihnen die angeforderten Beratungsergebnisse zu liefern. Die Verarbeitung erfolgt auf Basis der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Chat-Inhalte werden auf Servern in der EU (AWS Frankfurt, eu-central-1) gespeichert. Zur Verarbeitung Ihrer Anfragen wird die API von Botpress Technologies, Inc. eingesetzt. Hierbei gelten die Datenschutzbestimmungen von Botpress Technologies, Inc.; Ihre Daten werden nicht zum Training von KI-Modellen verwendet.
8. Zahlungsabwicklung und Rechnungsstellung
Die folgenden Verarbeitungen erfolgen ausschließlich bei Abschluss eines kostenpflichtigen Abonnements, also wenn eine Kundenbeziehung eingegangen wird. Bei der reinen Registrierung oder Nutzung der kostenlosen Testphase werden keine Daten an die nachfolgend genannten Dienste übermittelt.
a) Stripe (Zahlungsabwicklung)
Für die Zahlungsabwicklung nutzen wir Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland). Bei Abschluss eines Abonnements werden Ihre Zahlungsdaten (Kreditkarte, PayPal, Apple Pay, Google Pay oder Amazon Pay) direkt von Stripe verarbeitet. Wir selbst speichern keine vollständigen Kreditkartennummern oder Bankdaten. In unserer Datenbank wird lediglich eine Stripe-Referenz-ID gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: stripe.com/de/privacy
b) easybill (Rechnungsstellung)
Zur Erstellung und Zustellung von Rechnungen nutzen wir easybill (easybill GmbH, Deutschherrnufer 30, 60594 Frankfurt am Main, Deutschland). Bei Abo-Abschluss werden Ihr Name, Ihre Firma, E-Mail-Adresse, Rechnungsadresse und ggf. USt-IdNr. an easybill übermittelt. easybill erstellt, speichert und versendet die Rechnungen per E-Mail. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten). Weitere Informationen: easybill.de/datenschutz
c) Daylite / Zapier (Kundenbeziehungsmanagement)
Zur Verwaltung von Kundenbeziehungen nutzen wir das CRM-System Daylite (Marketcircle Inc., Kanada). Die Datenübermittlung erfolgt über den Automatisierungsdienst Zapier (Zapier Inc., USA). Bei Abo-Abschluss werden Ihr Name, Ihre Firma, E-Mail-Adresse und Abo-Informationen an Daylite übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Pflege von Kundenbeziehungen). Die Drittland-Übermittlung (USA/Kanada) erfolgt auf Basis von Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: marketcircle.com/privacy, zapier.com/privacy
9. E-Mail-Versand
Für den Versand transaktionaler E-Mails (Bestätigungen, Passwortzurücksetzung, Rechnungsbenachrichtigungen) nutzen wir Microsoft 365 (Microsoft Ireland Operations Ltd., Irland). Die Verarbeitung erfolgt auf Grundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
10. Cookies — bewusster Verzicht auf Tracking
Wir verzichten bewusst auf Webanalyse-Tools und Tracking-Cookies.
Norminator setzt kein Google Analytics, keinen Google Tag Manager und keine Werbe-Cookies ein. Es findet keine Übermittlung von Nutzungsdaten an Google, Meta oder andere Drittanbieter statt. Diese Website kommt ohne Einwilligungs-Banner aus, weil ausschließlich technisch notwendige Cookies verarbeitet werden (§ 25 Abs. 2 TDDDG).
Technisch notwendige Cookies (Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 TDDDG)
Für die Anmeldung und sichere Sitzungsverwaltung setzt Norminator zwei eigene Cookies. Beide sind HttpOnly (für JavaScript nicht lesbar), Secure (nur über HTTPS übertragen) und mit SameSite-Schutz konfiguriert. Ohne diese Cookies wäre eine Anmeldung technisch nicht möglich.
| Name | Anbieter | Zweck | Eigenschaften | Dauer |
|---|---|---|---|---|
normi_token | norminator.de (eigen) | JWT Access-Token: hält Ihre Anmeldung aufrecht und autorisiert API-Anfragen sowie die Live-Verbindung zum Assistenten (SSE). | HttpOnly, Secure, SameSite | 30 Minuten |
normi_refresh | norminator.de (eigen) | JWT Refresh-Token: erneuert den Access-Token im Hintergrund, damit Sie nicht alle 30 Minuten erneut anmelden müssen. | HttpOnly, Secure, SameSite | 14 Tage |
Lokale Speicherung im Browser (LocalStorage)
Ergänzend speichert Norminator in Ihrem Browser unter dem Schlüssel norminator_consent ausschließlich die Bestätigung dieses Datenschutz-Hinweises (Flag und Zeitstempel — keine personenbezogenen Daten, keine Tracking-Information). Dadurch erscheint der Hinweis nicht bei jedem Besuch erneut. Sie können den Eintrag jederzeit in den Einstellungen Ihres Browsers löschen; danach wird der Hinweis beim nächsten Besuch wieder angezeigt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 TDDDG.
Keine Analyse-Cookies, keine Werbe-Cookies, keine Drittanbieter. Wir messen nicht, wir tracken nicht. Wenn wir wissen wollen, wie unser Angebot wirkt, fragen wir Sie direkt.
11. Hosting
Diese Website wird auf Servern von Amazon Web Services (AWS) in Frankfurt am Main (Region eu-central-1) gehostet. Anbieter: AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Bereitstellung).
12. SSL/TLS-Verschlüsselung
Diese Website nutzt aus Sicherheitsgründen eine SSL/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an dem Schloss-Symbol in der Adresszeile Ihres Browsers sowie an der Adresszeile „https://".
13. Ihre Rechte als betroffene Person
Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@iqi-gmbh.de
14. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2–4, 40213 Düsseldorf
www.ldi.nrw.de
15. Änderung dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.