Marvin Aziz Kolonnenstr. 23 10829 Berlin E-Mail: privacy@heynimo.com
2. Welche Daten wir erheben
Wir verarbeiten folgende personenbezogene Daten:
E-Mail-Adresse, Name und Profilbild (über GitHub OAuth)
GitHub-Benutzer-ID
Google OAuth-Tokens (für Search Console und Analytics-Integration)
Stripe-Kunden-ID und Abonnementstatus (bei kostenpflichtigen Plänen)
Website-URLs, die Sie zur Analyse hinzufügen
Audit-Berichte und Performance-Daten Ihrer Websites
Chat-Nachrichten mit dem KI-Assistenten
Telegram-Chat-ID und Benutzername (bei Telegram-Integration)
Slack-Team-ID und Benutzername (bei Slack-Integration)
Nutzungsdaten: Token-Verbrauch, Anzahl Audits und Chat-Nachrichten pro Monat
3. Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist erforderlich für die Bereitstellung des Dienstes — Erstellung von Audits, Chat-Antworten, Uptime-Monitoring und Benachrichtigungen.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Wir verarbeiten Sicherheitsprotokolle und Fehlerprotokolle zum Schutz unserer Infrastruktur und zur Fehlerbehebung. Unser berechtigtes Interesse besteht in der Sicherstellung des ordnungsgemäßen Betriebs des Dienstes. Wir haben eine Interessenabwägung durchgeführt und sind der Auffassung, dass die Verarbeitung minimal ist (nur technische Logs) und Ihre Rechte und Freiheiten nicht überwiegt.
4. Drittanbieter und Dienstleister
Wir nutzen folgende Drittanbieter. Diese sind eigenständige Verantwortliche oder Auftragsverarbeiter gemäß den jeweils genannten Rechtsgrundlagen:
Anthropic (San Francisco, USA) — KI-gestützte Performance-Berichte und Chat. Chat-Inhalte und Audit-Zusammenfassungen werden zur Generierung von Empfehlungen an die Claude-API übermittelt. Anthropic agiert als eigenständiger Verantwortlicher gemäß deren Datenschutzerklärung.
Google (Mountain View, USA) — Chrome UX Report (CrUX), PageSpeed Insights, Google Analytics 4 und Search Console APIs. Google agiert als eigenständiger Verantwortlicher für diese APIs.
Stripe (San Francisco, USA) — Zahlungsabwicklung. Stripe verarbeitet Zahlungsdaten direkt als eigenständiger Verantwortlicher; wir speichern nur die Kunden-ID und den Abonnementstatus.
GitHub (San Francisco, USA) — OAuth-Authentifizierung. Eigenständiger Verantwortlicher.
Langfuse (Berlin, Deutschland) — Observability und Monitoring von KI-Aufrufen. Auftragsverarbeiter gemäß Art. 28 DSGVO. Verarbeitet KI-Anfragen und Antworten zur Qualitätssicherung.
Vercel (San Francisco, USA) — Hosting der Frontend-Anwendung. Auftragsverarbeiter gemäß Art. 28 DSGVO.
Telegram (Dubai, VAE) — Bei Nutzung der Telegram-Integration werden Nachrichten über die Telegram-Plattform übertragen. Telegram agiert als eigenständiger Verantwortlicher für die Plattformebene.
Slack (San Francisco, USA) — Bei Nutzung der Slack-Integration werden Nachrichten über die Slack-Plattform übertragen. Slack agiert als eigenständiger Verantwortlicher.
Für US-basierte Dienste stützen wir uns auf die EU-Standardvertragsklauseln (SCCs) als Transfermechanismus, ergänzt durch technische Schutzmaßnahmen (Verschlüsselung bei Übertragung und Speicherung). Details zu den jeweiligen Datenschutzvereinbarungen können Sie unter privacy@heynimo.com anfragen.
5. Cookies
Wir verwenden ausschließlich technisch notwendige Cookies für die Authentifizierung (NextAuth Session-Cookies). Diese sind für den Betrieb des Dienstes erforderlich und von der Einwilligungspflicht gemäß Art. 5 Abs. 3 ePrivacy-Richtlinie ausgenommen.
Wir verwenden keine Tracking-, Analyse- oder Marketing-Cookies. Es gibt kein Cookie-Banner, da kein Einwilligungsbedarf besteht.
6. Aufbewahrungsfristen
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:
Kontodaten (E-Mail, Name, Profil): Solange Ihr Konto aktiv ist
Audit-Berichte: Solange die zugehörige Website in Ihrem Konto besteht
Chat-Nachrichten: Solange die zugehörige Website in Ihrem Konto besteht
Uptime-Daten: Solange die zugehörige Website in Ihrem Konto besteht
Integrations-Tokens (Google, Telegram, Slack): Solange die Integration aktiv verbunden ist
Zahlungsdaten: Stripe-Kunden-ID wird bei Kontolöschung entfernt; Stripe behält Zahlungshistorie gemäß deren Aufbewahrungspflichten
Sicherheitsprotokolle: Maximal 30 Tage
Bei Kontolöschung werden alle personenbezogenen Daten kaskadierend vollständig gelöscht (Websites, Audits, Chats, Nachrichten, Integrationsverbindungen, Abonnement). Datenbank-Backups können bis zu 30 Tage nach der Löschung bestehen bleiben, werden aber nicht zur Wiederherstellung gelöschter Konten verwendet.
7. Automatisierte Entscheidungsfindung
Unser Dienst nutzt KI (Claude von Anthropic) zur Generierung von Performance-Berichten und Chat-Antworten. Dies stellt eine automatisierte Verarbeitung dar, führt jedoch nicht zu rechtsverbindlichen Entscheidungen oder vergleichbar erheblichen Beeinträchtigungen im Sinne von Art. 22 DSGVO. Die KI-Empfehlungen sind informativ und unverbindlich.
Sie haben das Recht, die Logik der automatisierten Verarbeitung zu erfahren und menschliche Überprüfung anzufordern. Kontaktieren Sie uns hierfür unter privacy@heynimo.com.
8. Ihre Rechte
Gemäß der DSGVO haben Sie folgende Rechte:
Auskunft (Art. 15) — Welche Daten wir über Sie speichern