Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Luca Wehrle
Geschwister-Scholl-Straße 17
78333 Stockach
Deutschland
E-Mail: hallo@nomipost.de
Telefon: +49 159 01494684

2. Allgemeines zur Datenverarbeitung

2.1 Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzer:innen grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung der betroffenen Person. Eine Ausnahme gilt in Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

2.2 Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich ist und die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person das erstgenannte Interesse nicht überwiegen, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

2.3 Datenlöschung und Speicherdauer (Löschkonzept)

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Konkret gelten folgende Löschfristen:

• Warteliste-Einträge: Sollte das Produkt NomiPost bis zum 31.12.2026 nicht starten, werden alle Warteliste-Daten automatisch gelöscht. Bei erfolgreichem Produktstart werden die Daten bis zu 12 Monate nach Versand der letzten Launch-Benachrichtigung gespeichert.
• Nicht bestätigte Anmeldungen: Einträge, bei denen innerhalb von 14 Tagen keine Bestätigung per Double-Opt-In-Link erfolgt, werden automatisch gelöscht.
• Server-Logfiles: Nach maximal 30 Tagen automatische Löschung durch unseren Hosting-Anbieter (siehe Abschnitt 3).
• Widerruf: Bei Widerruf der Einwilligung sofortige Löschung binnen 72 Stunden.

3. Bereitstellung der Website und Erstellung von Logfiles

Bei jedem Aufruf unserer Website erfasst unser Hosting-Dienstleister automatisch Daten und Informationen vom Computersystem des aufrufenden Rechners (sogenannte Server-Logfiles). Folgende Daten werden hierbei erhoben:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Website, von der aus der Zugriff erfolgt (Referrer)
• Verwendeter Browser und ggf. das Betriebssystem

Die Verarbeitung der Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse folgt aus der Notwendigkeit, die Stabilität und Sicherheit der Website zu gewährleisten sowie Missbrauch abzuwehren. Diese Logfiles werden nach maximal 30 Tagen automatisch gelöscht.

3.1 Hosting bei Vercel

Die Domain nomipost.de ist beim deutschen Anbieter IONOS SE registriert. Die eigentliche Website (Code, statische Inhalte, serverseitige Funktionen) wird aus Gründen der technischen Funktionalität bei folgendem externen Dienstleister betrieben:

Vercel Inc.
440 N Barranca Ave #4133
Covina, CA 91723
USA

Vercel speichert beim Aufruf der Website die unter Abschnitt 3 genannten Server-Logfiles zur Gewährleistung des Betriebs, der Stabilität und zur Missbrauchsabwehr. Die Speicherung erfolgt auf Grundlage unseres berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO. Die Logs werden nach maximal 30 Tagen gelöscht.

Datenübermittlung in die USA: Da Vercel Inc. seinen Sitz in den USA hat, liegt ein Drittlandtransfer vor. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF). Vercel Inc. ist unter dem DPF aktiv zertifiziert. Die Europäische Kommission hat am 10.07.2023 mit dem Angemessenheitsbeschluss (EU) 2023/1795 nach Art. 45 DSGVO das DPF als angemessenen Schutz für Datentransfers in die USA anerkannt. Ergänzend gelten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

EU-Regions-Präferenz: Unsere serverseitigen Funktionen (API-Routen zum Speichern der Warteliste-Einträge, zur Double-Opt-In-Bestätigung und zum Widerruf) sind so konfiguriert, dass sie bevorzugt in der EU-Region Frankfurt am Main (fra1) ausgeführt werden. Dadurch bleiben die im Formular übermittelten personenbezogenen Daten (Name, E-Mail, IP-Adresse) nach Möglichkeit innerhalb des EU-Raums, bevor sie in unsere Datenbank (siehe Abschnitt 4.1) geschrieben werden.

Mit Vercel wurde ein Vertrag zur Auftragsverarbeitung (AVV/DPA) gemäß Art. 28 DSGVO abgeschlossen. Weitere Informationen in der Datenschutzerklärung von Vercel und im Data Processing Addendum.

4. Warteliste mit Double-Opt-In-Verfahren

Auf unserer Website bieten wir die Möglichkeit, sich in eine Warteliste für unser zukünftiges Produkt NomiPost einzutragen. Wir verwenden dafür das gesetzlich vorgesehene Double-Opt-In-Verfahren (§ 7 Abs. 2 UWG, Art. 7 DSGVO).

Der Ablauf:

• Schritt 1: Du trägst deine Daten in das Formular ein und bestätigst die Einwilligung.
• Schritt 2: Wir senden dir eine E-Mail mit einem Bestätigungs-Link an die von dir angegebene Adresse.
• Schritt 3: Erst nach Klick auf den Link wird dein Eintrag aktiviert und wir dürfen dich zum Produktstart informieren.

Folgende Daten werden dabei erfasst:

• Pflichtangaben: Dein Vorname, deine E-Mail-Adresse
• Freiwillig (Bonus-Umfrage): Wunsch-Feedback („Was würde NomiPost für dich perfekt machen?"), Preisvorstellung
• Einwilligungs-Nachweis (zwingend erforderlich): Zeitstempel der Eingabe, IP-Adresse bei Eingabe, Zeitstempel des Confirmation-Klicks, IP-Adresse beim Confirmation-Klick, verwendeter Token, exakter Wortlaut der Einwilligung (Text-Version)

Wir erheben keine personenbezogenen Daten über Kinder. Weder Name, Alter noch Interessen deines Kindes werden gespeichert. Die angebotene Umfrage ist ausschließlich für dich als Elternteil.

Zweck der Verarbeitung: Die Kontaktdaten werden ausschließlich dafür verwendet, dich über den Start von NomiPost per E-Mail zu informieren. Die freiwilligen Umfrage-Antworten werden für die Produktentwicklung ausgewertet. Eine Weitergabe an Dritte zu Werbezwecken findet nicht statt.

Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage deiner ausdrücklichen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 7 Abs. 2 Nr. 3 UWG. Die Speicherung der IP-Adressen und Zeitstempel zum Nachweis der Einwilligung erfolgt auf Grundlage unseres berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO i.V.m. Art. 7 Abs. 1 DSGVO (Nachweispflicht für die Einwilligung).

Speicherdauer: Siehe Löschkonzept in Abschnitt 2.3. Spätester automatischer Löschtermin bei ausbleibendem Produktstart: 31.12.2026.

Widerrufsrecht: Du kannst deine Einwilligung jederzeit formlos widerrufen:

• Über den Abmelde-Link in jeder E-Mail, die wir dir senden (One-Click-Unsubscribe)
• Per E-Mail an hallo@nomipost.de
• Über die Abmelde-Seite /abmelden

Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt vom Widerruf unberührt. Nach Widerruf werden deine Daten unverzüglich gelöscht.

4.1 Datenspeicherung bei Supabase

Wenn du dich in die Warteliste einträgst, werden deine Daten an unseren Datenbank-Dienstleister Supabase übermittelt und dort gespeichert:

Supabase Inc.
970 Toa Payoh North #07-04
Singapore 318992

Wir nutzen Supabase mit einem Server-Standort in der Europäischen Union (Region eu-central-1 / Frankfurt, Deutschland), sodass deine Daten innerhalb des Geltungsbereichs der DSGVO verarbeitet werden. Mit Supabase wurde ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen. Details siehe Supabase Data Processing Addendum.

5. Einsatz von Cookies

Unsere Website verwendet keine Tracking-, Analytics- oder Marketing-Cookies. Es werden ausschließlich technisch notwendige Cookies eingesetzt, die für den Betrieb der Website erforderlich sind:

• Admin-Authentifizierung (nomi_admin_auth): Dieses Cookie wird nur gesetzt, wenn sich ein:e Administrator:in im geschützten Backend-Bereich anmeldet. Es enthält keine Tracking-Informationen und ist httpOnly, SameSite=Lax. Speicherdauer: 8 Stunden.

Die Verwendung dieses technisch notwendigen Cookies erfolgt auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation- Digitale-Dienste-Datenschutz-Gesetz, ehemals TTDSG, seit 14.05.2024 umbenannt) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO. Eine Einwilligungspflicht besteht nicht, da das Cookie unbedingt erforderlich ist, um die gewünschte Funktion bereitzustellen. Ein Cookie-Banner ist daher auf dieser Website nicht erforderlich.

6. Schriftarten

Diese Website verwendet die Schriftarten „Inter", „Fraunces" und „Caveat". Die Schriftarten werden vollständig selbst gehostet und aus unseren eigenen Server-Ressourcen ausgeliefert. Es findet keine Verbindung deines Browsers zu Google oder anderen Drittanbietern statt, wenn du unsere Seite besuchst. Deine IP-Adresse wird nicht an Google übermittelt (vgl. LG München I, Urteil vom 20.01.2022, Az. 3 O 17493/20).

7. Webanalyse (Vercel Web Analytics)

Wir verwenden Vercel Web Analytics, einen datenschutzfreundlichen Analysedienst unseres Hosting-Anbieters Vercel Inc. (siehe Abschnitt 3.1). Vercel Web Analytics erfasst keine personenbezogenen Daten. Es werden keine Cookies gesetzt, keine IP-Adressen gespeichert und keine Fingerprinting-Techniken eingesetzt.

Erfasst werden ausschließlich aggregierte, anonyme Metriken:

• Anzahl der Seitenaufrufe (ohne Rückschluss auf einzelne Personen)
• Verweisquelle (z. B. „Instagram" oder „direkt")
• Land (auf Basis der Server-Region, nicht der IP-Adresse)
• Verwendetes Gerät und Browser (aggregiert, nicht individuell)

Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Analyse der allgemeinen Nutzung unserer Website zur Verbesserung unseres Angebots.

Da Vercel Web Analytics keine personenbezogenen Daten verarbeitet und keine Cookies einsetzt, ist nach § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung erforderlich. Ein Cookie-Banner ist weiterhin nicht nötig.

Wir verwenden darüber hinaus keine Retargeting- oder Conversion-Pixel, keine Social-Media-Plugins und keine externen Video- oder Karten-Einbindungen.

8. SSL-/TLS-Verschlüsselung und Sicherheit

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennst du daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und am Schloss- Symbol in der Browserzeile. Zusätzlich setzen wir technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein (Security-Headers, Rate-Limiting, Zugriffskontrolle).

9. Deine Rechte als betroffene Person

Werden personenbezogene Daten von dir verarbeitet, bist du Betroffene:r im Sinne der DSGVO und es stehen dir folgende Rechte gegenüber dem Verantwortlichen zu:

• Auskunftsrecht (Art. 15 DSGVO) – Du kannst jederzeit Auskunft über die zu deiner Person gespeicherten Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO) – Du kannst die Berichtigung unrichtiger oder die Vervollständigung deiner bei uns gespeicherten Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO) – Du kannst die Löschung deiner bei uns gespeicherten Daten verlangen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) – Du kannst die Einschränkung der Verarbeitung deiner Daten verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Du kannst verlangen, dass wir dir deine Daten in einem strukturierten, gängigen und maschinenlesbaren Format aushändigen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – Du kannst eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
• Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO) – Du hast das Recht, dich bei einer Datenschutz-Aufsichts- behörde über unsere Verarbeitung personenbezogener Daten zu beschweren.

Zur Ausübung deiner Rechte genügt eine formlose E-Mail an hallo@nomipost.de.

10. Zuständige Aufsichtsbehörde

Die für uns zuständige Aufsichtsbehörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Lautenschlagerstraße 20
70173 Stuttgart
Deutschland
Telefon: +49 711 615541-0
E-Mail: poststelle@lfdi.bwl.de
Website: www.baden-wuerttemberg.datenschutz.de

11. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den oben genannten Stand. Durch die Weiterentwicklung unserer Website und Angebote darüber oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf dieser Seite abgerufen und ausgedruckt werden.