NIS2 Pilot NIS2 Pilot NIS2 Pilot
← Zurück EN

Datenschutzerklärung

Stand: Mai 2026 | Version 1.2

Kurzfassung: Die App speichert alle Daten lokal auf Ihrem Gerät. Auf unserer Website verwenden wir localStorage und sessionStorage für folgende Zwecke: Theme-Präferenz (nis2-theme), CTA-Ausblendung (nis2-cta-dismissed, sessionStorage), Check-Verlauf (nis2-last-score, nis2-last-date). Diese Daten verbleiben ausschließlich in Ihrem Browser, werden nicht an Server übertragen und enthalten keine personenbezogenen Daten. Sie können diese Daten jederzeit über die Browser-Einstellungen löschen.

1. Verantwortlicher

NormanPilot UG (haftungsbeschränkt)
Vertreten durch den Geschäftsführer Batikaan Sarikurt
Friedrichstraße 15
70174 Stuttgart
Deutschland
Handelsregister: HRB 805193, Amtsgericht Stuttgart
E-Mail: support@nis2pilot.app

Hinweis zur Verantwortlichkeit: Die NormanPilot UG (haftungsbeschränkt) ist seit ihrer Eintragung im Handelsregister am 23.04.2026 Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Vor diesem Stichtag wurde der Dienst durch Batikaan Sarikurt als Einzelperson angeboten. Bestehende Datenbestände wurden auf die UG übertragen. Zweck und Umfang der Verarbeitung sind unverändert. Bestehende Rechte nach DSGVO bleiben in vollem Umfang erhalten.

2. Welche Daten werden verarbeitet?

2.1 Lokal gespeicherte Daten

Folgende Daten werden ausschließlich lokal auf Ihrem Gerät gespeichert:

  • Von Ihnen eingegebene Unternehmensdaten
  • Ihre Antworten und Ergebnisse
  • App-Einstellungen und Fortschritt

Diese Daten werden nicht an unsere Server übertragen.

2.2 Kaufdaten (In-App-Käufe)

Bei In-App-Käufen werden Transaktionen über den Apple App Store abgewickelt. Zur Verwaltung der Käufe nutzen wir den Dienst RevenueCat Inc. (USA). Dabei werden verarbeitet:

  • Anonyme Geräte-ID
  • Kaufstatus (aktiv/inaktiv)
  • Produktkennung des Kaufs

Wir erhalten keine Zahlungsdaten oder Namen. Die Website erhebt keine personenbezogenen Daten (siehe 2.4).

2.3 Technische Daten (Crash-Reports)

Für die Fehleranalyse nutzt die App den Dienst Sentry (Functional Software Inc., USA). Crash-Reports werden nur mit Ihrer ausdrücklichen Zustimmung erhoben und sind standardmäßig deaktiviert. Dabei werden ausschließlich technische Absturzdaten übermittelt: keine personenbezogenen Daten, keine Eingaben, keine Unternehmensdaten.

2.4 Website

Die Website erhebt keine personenbezogenen Daten. Es werden ausschließlich lokale Browser-Speicher (localStorage/sessionStorage) für Komfortfunktionen verwendet (siehe oben).

2.5 Feedback-Formular

Über unser Feedback-Formular können Sie uns Wünsche, Probleme oder allgemeine Rückmeldungen mitteilen. Dabei werden folgende Daten verarbeitet:

  • Nachrichtentext: Ihre Rückmeldung (Pflichtfeld)
  • E-Mail-Adresse: Nur wenn Sie eine Antwort wünschen (freiwillig)
  • Technische Daten: App-Version, Produktstufe und Herkunft der Anfrage (automatisch übermittelt, nicht personenbezogen)

Ihre Nachricht wird per E-Mail an den Betreiber übermittelt. Es erfolgt keine dauerhafte Speicherung auf dem Server. Falls Sie eine E-Mail-Adresse angeben, verwenden wir diese ausschließlich zur Beantwortung Ihrer Anfrage. Löschung erfolgt nach Bearbeitung, spätestens nach 6 Monaten.

2.6 NIS2-Schnellbewertung (Web-Assessment)

Über die NIS2-Schnellbewertung auf unserer Website können Sie eine erste Einschätzung Ihres NIS2-Reifegrads vornehmen. Dabei werden folgende Daten verarbeitet:

  • Unternehmensname: Verschlüsselt gespeichert (AES-256)
  • Branche und Unternehmensgröße: Für die Auswertung erforderlich
  • Antworten auf 10 Fragen: Verschlüsselt gespeichert (AES-256)
  • IP-Adresse: Ausschließlich als Hash für Rate Limiting, kein Klartext

Speicherdauer: Nicht ausgewertete Bewertungen werden nach 24 Stunden automatisch gelöscht. Ausgewertete Ergebnisse werden nach 90 Tagen automatisch gelöscht.

Zweck: Übertragung der Antworten in die NIS2 Pilot App zur Auswertung mit der lokalen Scoring-Engine. Die Auswertung erfolgt ausschließlich auf Ihrem Gerät in der App, nicht auf unserem Server.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung des Dienstes).

Empfänger: STRATO AG (Hosting). Keine Weitergabe an Dritte.

2.7 Fortschritts-Aufzeichnung (optional)

Beim aktivierten Fortschritts-Feature werden Ihre Aktivitätsdaten — Zeitstempel und Ergebnis-Werte abgeschlossener Assessments, Quick-Checks, Trainings und Risiko-Einträge — lokal auf Ihrem Gerät AES-256-verschlüsselt gespeichert. Keine Übertragung an Server. Sie können die Funktion jederzeit in den Einstellungen deaktivieren und alle Daten löschen. Ihre Rechte nach DSGVO Art. 15 (Auskunft) und Art. 17 (Löschung) sind durch den Fortschritt-Screen und den Lösch-Button direkt umgesetzt — siehe Abschnitt 7 für weitere Rechte.

3. Zweck und Rechtsgrundlage

  • Lokale Datenspeicherung: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – notwendig für die App-Funktionalität
  • In-App-Käufe: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – Abwicklung Ihrer Bestellung
  • Crash-Reports: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – nur mit Ihrer Zustimmung
  • Feedback-Formular: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Bearbeitung Ihrer Rückmeldung
  • Website-Komfortfunktionen: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – localStorage/sessionStorage für Theme und Nutzungspräferenzen

4. Empfänger und Drittanbieter

Folgende Drittanbieter können Daten verarbeiten:

5. Übermittlung in Drittländer

RevenueCat Inc. hat seinen Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage von:

  • EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission)
  • Zusätzlich: Standardvertragsklauseln (SCCs)

6. Speicherdauer

  • Lokale Daten: Bis Sie diese in der App löschen oder die App deinstallieren
  • Kaufdaten bei RevenueCat: Gemäß deren Aufbewahrungsrichtlinien (max. 3 Jahre nach Vertragsende)
  • Website-Daten: localStorage-Einträge verbleiben im Browser bis zur manuellen Löschung; sessionStorage wird beim Schließen des Tabs gelöscht
  • Rate-Limiting-Daten: Anonymisierte IP-Hashes werden nach 1 Stunde automatisch gelöscht

7. Ihre Rechte

Sie haben folgende Rechte nach DSGVO:

  • Auskunft (Art. 15) – Welche Daten wir über Sie haben
  • Berichtigung (Art. 16) – Korrektur unrichtiger Daten
  • Löschung (Art. 17) – In der App: Einstellungen → Alle Daten löschen
  • Einschränkung (Art. 18) – Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20) – Export Ihrer Daten
  • Widerspruch (Art. 21) – Gegen bestimmte Verarbeitungen

Kontakt für Anfragen: support@nis2pilot.app

8. Widerruf der Einwilligung

Sofern Sie eine Einwilligung erteilt haben (z.B. für Crash-Reports via Sentry), können Sie diese jederzeit widerrufen. Crash-Reports deaktivieren Sie in den App-Einstellungen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

9. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
www.baden-wuerttemberg.datenschutz.de

10. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt.

11. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslage oder Funktionen anzupassen. Die aktuelle Version ist stets unter dieser URL abrufbar.