NEXORA · DATENSCHUTZ · STAND 03.05.2026

Datenschutz erklärt.

Diese Erklärung beschreibt, welche personenbezogenen Daten wir wann und wofür verarbeiten — und welche Rechte Sie nach DSGVO haben. Sprache umschalten: English version →

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:
Nexora GmbH
Anschrift, Geschäftsführung und Handelsregister entnehmen Sie bitte dem Impressum.
Kontakt: ps@nex-ora.de

2. Hosting & technische Bereitstellung

Diese Website wird gehostet bei Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) mit Bereitstellung über deren globales Edge-Netzwerk. Die Datenbank und das Datei-Storage liegen bei Railway (Railway Corp., 651 N Broad Street, Suite 201, Middletown, DE 19709, USA), genutzt werden EU-Regionen wo verfügbar. Beim Aufruf der Seite werden technisch notwendige Server-Logs (IP, User-Agent, Zeitstempel, angefragte URL) für maximal 30 Tage gespeichert (Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Sicherheit und Verfügbarkeit).

Datenübermittlung in die USA. Soweit Daten an US-Anbieter übermittelt werden (Vercel, Microsoft, Resend, Meta), stützt sich der Transfer auf den EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023) bzw. ergänzend auf Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Mit allen genannten Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.

3. Cookies und ähnliche Technologien

Wir verwenden auf dieser Website folgende Speichertechnologien (§ 25 TDDDG, Art. 6 DSGVO):

  • Technisch notwendige Cookies: Sitzungs-Cookie für die Projektakte (Login), Theme-Präferenz (nx-theme). Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich) i. V. m. Art. 6 Abs. 1 lit. f DSGVO.
  • Lokale Speichermerker im Browser (nx-ebook-popup-shown, nx-ebook-popup-home-shown): Eintrag im Browser-localStorage, kein Server-Roundtrip — verhindert wiederholte Popup-Anzeige. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich für die nutzerseitig erwünschte Komfortfunktion).
  • Reichweitenanalyse (PostHog): Pageviews, Klick-Events, anonymisierte Nutzeridentifikation. Hosting bei PostHog Inc. auf EU-Servern (Frankfurt), keine Übertragung in Drittländer. Anonymisierte IP, keine Profile für anonyme Besucher (person_profiles: identified_only). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an statistischer Reichweitenmessung) bzw. Art. 6 Abs. 1 lit. a DSGVO, soweit eine Einwilligung eingeholt wird.
  • Session-Replay und Heatmaps (Microsoft Clarity): Aufzeichnung von Mausbewegungen, Scrolltiefe und Klick-Heatmaps zur Verbesserung der Bedienbarkeit. Anbieter: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA. Sensible Eingabefelder werden maskiert. Drittlandtransfer auf Grundlage des EU-US Data Privacy Framework (Microsoft ist DPF-zertifiziert) sowie ergänzender Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TDDDG.
  • Meta-Pixel und Conversions API (Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland; Mutterunternehmen: Meta Platforms, Inc., USA): Wir setzen das Meta-Pixel sowie die serverseitige Meta Conversions API ein, um den Erfolg unserer Werbeanzeigen auf Facebook und Instagram zu messen, Zielgruppen zu bilden und doppelte Auslieferungen zu vermeiden. Verarbeitet werden insbesondere IP-Adresse, Browser-/Geräte-Informationen, besuchte Seiten, ausgelöste Ereignisse (z. B. „Lead", „Contact") sowie — bei serverseitigen Ereignissen — gehashte Kontaktdaten (E-Mail, Telefon) zum Abgleich mit Meta-Konten. Wir und Meta sind insoweit gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO; die Vereinbarung ist abrufbar unter facebook.com/legal/controller_addendum. Drittlandtransfer auf Grundlage des EU-US Data Privacy Framework (Meta ist DPF-zertifiziert) sowie der Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TDDDG.

Hinweis Einwilligung & Widerruf. Soweit für die genannten Tools Ihre Einwilligung erforderlich ist, geben Sie diese auf der Startseite über das Cookie-Auswahlfeld ab; Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen — entweder über die Cookie-Einstellungen, durch Löschen der Cookies in Ihrem Browser, durch Aktivierung der Browser-„Do-Not-Track"-Funktion oder durch eine formlose Nachricht an ps@nex-ora.de. Die Funktionsfähigkeit eingeloggter Bereiche kann durch das Löschen technisch notwendiger Cookies eingeschränkt werden.

4. Förderrechner & Projektakte

Wenn Sie unseren Wärmepumpen-Förderrechner nutzen, werden Ihre Eingaben (PLZ, Gebäudedaten, Heizungssituation) zunächst nur lokal in Ihrem Browser ausgewertet. Erst wenn Sie eine Projektakte öffnen (E-Mail + Passwort), werden diese Daten in unserer Datenbank gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung).

Hochgeladene Dokumente (Heizungsfotos, Grundrisse, Energieverbrauchsabrechnungen, Ausweisdokumente) werden in einem zugangsbeschränkten Objekt-Storage abgelegt und ausschließlich für Ihr Projekt verwendet.

5. E-Book-Anforderung & E-Mail-Versand

Bei Anforderung eines kostenlosen E-Books erfassen wir Ihre E-Mail-Adresse (Schritt 1), danach Name und Telefonnummer (Schritt 2, optional Unternehmen). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen). Der Versand erfolgt über Resend.com (Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA) auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO; der Drittlandtransfer ist über den EU-US Data Privacy Framework sowie ergänzende Standardvertragsklauseln abgesichert. Das PDF wird als Anhang ausgeliefert. Wir versenden keine Werbung ohne ausdrückliche Einwilligung; jede E-Mail enthält einen Abmelde-Link gemäß RFC 8058.

Server-seitige Meta Conversions API. Beim Absenden des E-Book-Formulars übermitteln wir zusätzlich serverseitig ein Conversion-Ereignis („Lead" bzw. „Contact") an Meta (siehe Abschnitt 3). Inhalt der Übermittlung: gehashte E-Mail-Adresse, ggf. gehashter Name und gehashte Telefonnummer, IP-Adresse, User-Agent, Ereignis-ID, Land. Zweck: Werbewirkungs- und Reichweitenmessung. Die Übermittlung unterbleibt, wenn keine Einwilligung in Marketing-Cookies erteilt wurde.

6. Drittanbieter und externe Inhalte

  • Google Fonts (selbst gehostet via next/font) — keine Verbindung zu Google-Servern beim Seitenaufruf.
  • KfW & BAFA — wir verlinken zu offiziellen Behördenseiten; beim Klick verlassen Sie unseren Wirkungsbereich.
  • Resend — siehe Abschnitt 5.
  • Meta Pixel / Conversions API — siehe Abschnitt 3.
  • Microsoft Clarity — siehe Abschnitt 3.
  • PostHog — siehe Abschnitt 3.
  • Vercel (Hosting) & Railway (Datenbank/Storage) — siehe Abschnitt 2.

7. Speicherdauer

Server-Logs: 30 Tage. Lead-Daten ohne Projektakte: 12 Monate, danach Löschung. Projektakten, vertragsrelevante Korrespondenz und buchhaltungsrelevante Dokumente: bis zu 10 Jahre, beginnend mit dem Schluss des Kalenderjahres, in dem der jeweilige Beleg entstanden ist (§§ 257 HGB, 147 AO). Auf Wunsch löschen wir früher, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen; in diesem Fall werden die Daten bis zum Ende der Aufbewahrungsfrist gesperrt.

8. Ihre Rechte

Sie haben jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16)
  • Löschung (Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch gegen Direktwerbung und gegen Verarbeitung auf Grundlage berechtigter Interessen (Art. 21)
  • Beschwerde bei einer Aufsichtsbehörde — zuständig ist der Sächsische Datenschutz- und Transparenzbeauftragte, Devrientstraße 5, 01067 Dresden.

Schreiben Sie uns dazu an ps@nex-ora.de.

9. Sicherheit

Übertragung nur via TLS 1.3. Passwörter werden mit Argon2id gehasht. Datenbank-Zugriffe über mTLS. S3-Storage mit signierten URLs (max. 7 Tage Gültigkeit) und Server-Side Encryption.

10. Änderungen

Wir aktualisieren diese Erklärung bei wesentlichen Änderungen unserer Datenverarbeitung oder der Rechtslage. Stand der vorliegenden Fassung: 03. Mai 2026.