Datenschutzerklärung für die Nutzung von NOOVA

Stand: 26.02.2026

1. Begriffsbestimmungen

NOOVA
Softwareplattform zur Verwaltung von Social-Media-Konten, Content-Planung, Analyse, Automatisierung, Integrationen und KI-gestützter Unterstützung.

Anbieter / Verantwortlicher
Oliver Richter, handelnd unter der Marke NOOVA
Kemnitzer Straße 14, 02747 Berthelsdorf, Deutschland
E-Mail: support@noova.club

Administrator
Unternehmen oder selbständige Person, die NOOVA nutzt, um eigene oder fremde Social-Media-Konten zu verwalten.

Brand
Ein durch den Administrator verwaltetes Set an verbundenen Social-Media-Profilen, Werbekonten oder digitalen Assets.

Betroffene Person
Jede identifizierte oder identifizierbare natürliche Person im Sinne von Art. 4 DSGVO.

Plattformen
Drittanbieter-Netzwerke oder -Dienste, die über APIs an NOOVA angebunden werden (z. B. Facebook, Instagram, TikTok, LinkedIn, etc.).

2. Verantwortlicher im Sinne der DSGVO

Verantwortlicher für die Verarbeitung personenbezogener Daten im Zusammenhang mit Registrierung, Nutzung der Plattform, Abrechnung, Support und Marketing ist:

Oliver Richter, Marke NOOVA
Kemnitzer Straße 14, 02747 Berthelsdorf, Deutschland
Kontakt: support@noova.club

3. Grundstruktur der Datenverarbeitung

A. Verarbeitung als Verantwortlicher
Wenn NOOVA eigene Zwecke verfolgt, z. B.: Registrierung, Account-Verwaltung, Rechnungsstellung, Support, Sicherheit, Produktverbesserung.

B. Verarbeitung als Auftragsverarbeiter
Wenn Administratoren Social-Media-Accounts verbinden und NOOVA ausschließlich im Auftrag verarbeitet. In diesem Fall ist der Administrator Verantwortlicher, NOOVA ist Auftragsverarbeiter gemäß Art. 28 DSGVO.

C. Zweckbindung
NOOVA verarbeitet personenbezogene Daten ausschließlich zu den in dieser Datenschutzerklärung genannten Zwecken. Es erfolgt keine Weitergabe, kein Verkauf und keine anderweitige kommerzielle Nutzung personenbezogener Daten an Dritte, es sei denn, dies ist zur Vertragserfüllung erforderlich, gesetzlich vorgeschrieben oder ausdrücklich eingewilligt.

D. Datenminimierung
NOOVA erhebt und verarbeitet nur diejenigen Daten, die für den jeweiligen Verarbeitungszweck erforderlich sind. Plattform-Berechtigungen werden auf das notwendige Minimum beschränkt.

4. Datenverarbeitung bei Registrierung

Bei Erstellung eines NOOVA-Accounts werden verarbeitet: Vorname, Nachname, E-Mail-Adresse, Passwort (verschlüsselt gespeichert), IP-Adresse, Zeitstempel, ggf. Rechnungsdaten, ggf. Umsatzsteuer-ID, Zahlungsinformationen über Zahlungsanbieter.

Zweck: Einrichtung und Verwaltung des Accounts, Identifizierung, Abrechnung, Betrugsprävention.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Während der Vertragslaufzeit. Nach Vertragsende gemäß den Fristen in Abschnitt 11.

5. Verarbeitung bei Social Login

Bei Login über Drittanbieter-Plattformen werden je nach Anbieter übermittelt: E-Mail-Adresse, Profilbild, Anzeigename, eindeutige Benutzerkennung.

Zweck: Vereinfachte Registrierung und Anmeldung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

NOOVA erhält kein Passwort des Drittanbieters. Der Zugriff kann jederzeit in den Kontoeinstellungen des jeweiligen Drittanbieters widerrufen werden.

6. Anbindung von Social-Media-Plattformen – Allgemein

Wenn Administratoren Plattformen verbinden, werden über standardisierte APIs (z. B. OAuth 2.0) Zugriffstoken erzeugt. Diese Token ermöglichen NOOVA, im Rahmen der jeweiligen Plattformberechtigungen und der vom Administrator erteilten Zugriffsrechte zu handeln.

Allgemeine Grundsätze für alle Plattform-Anbindungen:

Zugriffskontrolle: NOOVA fordert ausschließlich die Berechtigungen an, die für die im jeweiligen Plan enthaltenen Funktionen erforderlich sind. Der Administrator erteilt den Zugriff bei der Verbindung ausdrücklich über den Autorisierungsfluss der jeweiligen Plattform.

Zweckbindung: Die über APIs abgerufenen Daten werden ausschließlich verwendet für: Anzeige und Verwaltung im NOOVA-Dashboard, geplante Veröffentlichung von Inhalten, Analyse und Reporting von Kennzahlen, Verwaltung von Kommentaren und Nachrichten (sofern im Plan enthalten), Bereitstellung von KI-gestützten Vorschlägen (sofern im Plan enthalten). Es erfolgt keine Nutzung der Daten für eigene Werbezwecke von NOOVA, kein Verkauf an Dritte und keine Verwendung für Zwecke, die über die Leistungserbringung hinausgehen.

Speicherung: Plattform-Daten werden auf NOOVA-Servern bei Hetzner (Deutschland) gespeichert, soweit dies für die Funktionserbringung erforderlich ist. Zugriffstoken werden verschlüsselt gespeichert.

Widerruf und Trennung: Der Administrator kann jede Plattformverbindung jederzeit in den NOOVA-Einstellungen trennen. Bei Trennung werden die Zugriffstoken unwiderruflich gelöscht. NOOVA verliert damit jeden Zugriff auf das verbundene Plattform-Konto. Bereits erhobene Analysedaten können für den vertraglich vereinbarten Zeitraum gespeichert bleiben. Der Administrator kann die vollständige Löschung aller plattformbezogenen Daten gesondert anfordern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Sofern NOOVA als Auftragsverarbeiter handelt: Art. 28 DSGVO auf Weisung des Administrators.

7. Plattformbezogene Datenschutzhinweise – Detailliert

Nachfolgend beschreiben wir für jede angebundene Plattform im Detail: welche Daten gelesen werden, welche Aktionen durchgeführt werden, zu welchem Zweck, wie Daten gespeichert werden und wie der Zugriff widerrufen werden kann.

7.1 Facebook und Instagram (Meta Platforms, Inc.)

Anbieter: Meta Platforms, Inc., 1 Hacker Way, Menlo Park, CA 94025, USA.
Datenschutzrichtlinie: https://www.facebook.com/privacy/policy/

Verbindungsmethode: OAuth 2.0 über die Meta Graph API. Der Administrator autorisiert den Zugriff über den Facebook-Login-Dialog und erteilt dabei die angeforderten Berechtigungen explizit.

Gelesene Daten (Read):

Seitenprofile: Name, Kategorie, Profilbild, Titelbild, Beschreibung, Follower-/Fan-Anzahl, Verifizierungsstatus. Beiträge: Veröffentlichte Posts (Text, Bilder, Videos, Links), Zeitstempel, Reaktionen, Kommentare, Shares. Stories und Reels: Medieninhalte, Aufrufe, Interaktionen, Ablaufzeiten. Insights und Analytics: Reichweite, Impressionen, Engagement-Rate, demografische Daten der Zielgruppe (aggregiert und anonymisiert, wie von Meta bereitgestellt), Seitenaufrufe, Follower-Wachstum. Kommentare und Antworten: Verfasser, Inhalt, Zeitstempel. Nachrichten (sofern im Plan enthalten und vom Administrator autorisiert): Direktnachrichten über Facebook Messenger und Instagram Direct, einschließlich Absender, Inhalt, Zeitstempel, Lesestatus. Werbekonten (sofern verbunden): Kampagnenname, Budget, Laufzeit, Performance-Metriken (Impressionen, Klicks, Kosten, Conversions). Instagram-spezifisch: Business- oder Creator-Account-Informationen, Stories, Reels, IGTV-Inhalte, Shopping-Tags (sofern verfügbar).

Durchgeführte Aktionen (Write):

Erstellen und Veröffentlichen von Beiträgen (Text, Bild, Video, Link, Carousel). Planen von Beiträgen zur späteren Veröffentlichung. Erstellen und Veröffentlichen von Stories und Reels (sofern API dies erlaubt). Antworten auf Kommentare. Lesen und Beantworten von Direktnachrichten (sofern autorisiert). Löschen von über NOOVA erstellten Beiträgen.

Zweck der Verarbeitung:

Verwaltung und Planung von Social-Media-Inhalten im Auftrag des Administrators. Analyse der Performance von Beiträgen und Kampagnen. Beantwortung von Community-Interaktionen. Erstellung von Reports und Auswertungen. Keine eigenständige Profilbildung durch NOOVA. Keine Nutzung für eigene Werbezwecke von NOOVA. Keine Weitergabe an Dritte außerhalb der Leistungserbringung.

Speicherung: Auf NOOVA-Servern bei Hetzner (Deutschland). Zugriffstoken verschlüsselt. Analyse- und Insight-Daten für die im Plan vorgesehene Dauer. Nachrichteninhalte nur bei aktiver Inbox-Nutzung und nur während der Vertragslaufzeit.

Datenübermittlung in Drittländer: Da Meta Platforms seinen Sitz in den USA hat, findet bei der API-Kommunikation eine Datenübermittlung in die USA statt. Absicherung über EU-US Data Privacy Framework (sofern anwendbar) und/oder Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Widerruf und Trennung: Der Administrator kann die Verbindung jederzeit in den NOOVA-Einstellungen trennen. Zusätzlich kann der Zugriff in den Facebook-/Instagram-Einstellungen unter „Apps und Websites" bzw. „Verbundene Erlebnisse" widerrufen werden. Bei Trennung werden Zugriffstoken sofort gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für Insights-Daten mit personenbezogenen Anteilen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der eigenen Social-Media-Präsenz). Gemeinsame Verantwortlichkeit für bestimmte Insights-Daten gemäß Art. 26 DSGVO kann bestehen; die primäre Verantwortung für die Konfiguration und Nutzung liegt beim Administrator.

7.2 Threads (Meta Platforms, Inc.)

Anbieter: Meta Platforms, Inc., 1 Hacker Way, Menlo Park, CA 94025, USA.
Datenschutzrichtlinie: https://www.facebook.com/privacy/policy/

Verbindungsmethode: OAuth 2.0 über die Threads API (Teil der Meta-Plattform).

Gelesene Daten: Profilinformationen (Name, Benutzername, Profilbild, Bio, Follower-Anzahl), Beitragsinhalte (Text, Bilder, Links), Interaktionen (Likes, Reposts, Antworten), Statistiken (Reichweite, Impressionen, Engagement).

Durchgeführte Aktionen: Erstellen und Veröffentlichen von Beiträgen, Planen von Beiträgen, Antworten auf Interaktionen.

Zweck: Verwaltung und Planung von Threads-Inhalten, Performance-Analyse, Reporting.

Speicherung: Hetzner (Deutschland). Token verschlüsselt.

Drittlandübermittlung: USA. Absicherung über EU-US Data Privacy Framework und/oder Standardvertragsklauseln.

Widerruf: Trennung in NOOVA-Einstellungen oder in Meta-Kontoeinstellungen.

7.3 TikTok (TikTok Technology Limited / ByteDance)

Anbieter: TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Irland (für den Europäischen Wirtschaftsraum).
Datenschutzrichtlinie: https://www.tiktok.com/legal/privacy-policy-eea

Verbindungsmethode: OAuth 2.0 über die TikTok API for Business / TikTok Content Posting API. Der Administrator autorisiert den Zugriff über den TikTok-Login-Dialog.

Gelesene Daten: Kontoinformationen: Benutzername, Anzeigename, Profilbild, Bio, Follower-/Following-Anzahl, Verifizierungsstatus, offenes/privates Profil. Videoinformationen: Titel, Beschreibung, Hashtags, Thumbnail, Zeitstempel, Dauer, Sichtbarkeitsstatus. Video-Analytics: Aufrufe, Likes, Kommentare, Shares, durchschnittliche Wiedergabezeit, Traffic-Quellen, Zuschauer-Demografie (aggregiert, wie von TikTok bereitgestellt). Kommentare: Verfasser, Inhalt, Zeitstempel.

Durchgeführte Aktionen: Veröffentlichen von Videos (Upload via API, sofern von TikTok erlaubt). Planen von Videos zur späteren Veröffentlichung. Setzen von Beschreibungen, Hashtags, Sichtbarkeitseinstellungen und Interaktionseinstellungen (Kommentare an/aus, Duett an/aus, Stitch an/aus) im Rahmen der API-Möglichkeiten.

Nicht durchgeführte Aktionen: NOOVA liest oder speichert keine privaten Nachrichten auf TikTok. NOOVA greift nicht auf Kontakte, Adressbuch oder Standortdaten des Administrators zu. NOOVA erstellt keine eigenständigen TikTok-Profile.

Zweck der Verarbeitung: Geplante Veröffentlichung von Videos im Auftrag des Administrators. Performance-Analyse der veröffentlichten Inhalte. Erstellung von Reports und Auswertungen. Keine eigenständige Profilbildung. Kein Verkauf von Daten. Keine Nutzung für eigene Werbezwecke von NOOVA.

Speicherung: Auf NOOVA-Servern bei Hetzner (Deutschland). Zugriffstoken verschlüsselt. Video-Metadaten und Analytics für die im Plan vorgesehene Dauer.

Datenübermittlung in Drittländer: TikTok kann Daten in verschiedenen Rechtsräumen verarbeiten, einschließlich USA und Singapur. Absicherung über Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Widerruf und Trennung: In den NOOVA-Einstellungen jederzeit möglich. Zusätzlich kann der Zugriff in den TikTok-Einstellungen unter „Sicherheit" → „Apps verwalten" widerrufen werden. Token werden bei Trennung sofort gelöscht.

Datenlöschung: Bei Trennung der Plattformverbindung werden Zugriffstoken sofort gelöscht. Analysedaten können für den vertraglich vereinbarten Zeitraum gespeichert bleiben. Vollständige Löschung aller TikTok-bezogenen Daten kann gesondert beim Support angefordert werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.4 LinkedIn (LinkedIn Corporation / Microsoft)

Anbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland (für den EWR).
Datenschutzrichtlinie: https://www.linkedin.com/legal/privacy-policy

Verbindungsmethode: OAuth 2.0 über die LinkedIn Marketing API / Community Management API. Der Administrator autorisiert den Zugriff über den LinkedIn-Autorisierungsdialog.

Gelesene Daten: Organisationsprofile: Name, Logo, Beschreibung, Branche, Mitarbeiteranzahl (Bereich), Follower-Anzahl. Persönliche Profile (sofern autorisiert): Name, Profilbild, Headline. Beiträge: Text, Bilder, Videos, Dokumente, Links, Zeitstempel, Reaktionen, Kommentare, Shares. Seiten-Analytics: Impressionen, Klicks, Engagement-Rate, Follower-Demografie (aggregiert, wie von LinkedIn bereitgestellt), Besucher-Analytics. Kommentare: Verfasser, Inhalt, Zeitstempel.

Durchgeführte Aktionen: Erstellen und Veröffentlichen von Beiträgen (Text, Bild, Video, Dokument, Carousel, Artikel). Planen von Beiträgen. Antworten auf Kommentare. Löschen von über NOOVA erstellten Beiträgen.

Nicht durchgeführte Aktionen: NOOVA versendet keine LinkedIn-Nachrichten (InMail). NOOVA greift nicht auf LinkedIn-Kontakte oder -Verbindungen des Administrators zu. NOOVA nutzt keine LinkedIn-Daten für Recruiting, Profiling oder Werbung.

Zweck: Verwaltung und Planung von LinkedIn-Inhalten. Performance-Analyse. Reporting. Keine eigenständige Profilbildung. Kein Datenverkauf. Keine eigene Werbung.

Speicherung: Hetzner (Deutschland). Token verschlüsselt.

Drittlandübermittlung: LinkedIn (Microsoft) kann Daten in den USA verarbeiten. Absicherung über EU-US Data Privacy Framework und/oder Standardvertragsklauseln.

Widerruf: In NOOVA-Einstellungen. Zusätzlich in LinkedIn unter „Einstellungen" → „Datenschutz" → „Erlaubte Dienste".

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7.5 X (ehemals Twitter; X Corp.)

Anbieter: X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA.
Datenschutzrichtlinie: https://x.com/en/privacy

Verbindungsmethode: OAuth 2.0 über die X API v2.

Gelesene Daten: Profildaten (Name, Benutzername, Profilbild, Bio, Follower-/Following-Anzahl). Posts (Text, Bilder, Videos, Links, Polls), Retweets/Reposts, Antworten, Zitate. Engagement-Metriken (Impressionen, Likes, Retweets, Antworten, Klicks). Follower-Wachstum. Direktnachrichten (sofern autorisiert und im Plan enthalten).

Durchgeführte Aktionen: Erstellen und Veröffentlichen von Posts. Planen von Posts. Antworten. Reposten. Löschen von über NOOVA erstellten Posts. Lesen und Beantworten von Direktnachrichten (sofern autorisiert).

Zweck: Verwaltung und Planung. Performance-Analyse. Community-Management. Reporting.

Speicherung: Hetzner (Deutschland). Token verschlüsselt.

Drittlandübermittlung: USA. Standardvertragsklauseln.

Widerruf: NOOVA-Einstellungen oder X unter „Einstellungen" → „Sicherheit und Account-Zugang" → „Apps und Sessions" → „Verbundene Apps".

7.6 Bluesky (Bluesky Social, PBC)

Anbieter: Bluesky Social, PBC, USA.
Datenschutzrichtlinie: https://bsky.social/about/support/privacy-policy

Verbindungsmethode: AT Protocol. Authentifizierung über App-Passwort oder OAuth (sofern verfügbar).

Gelesene Daten: Öffentliche Profildaten, Posts, Likes, Reposts, Follower-Daten, Engagement-Metriken.

Durchgeführte Aktionen: Erstellen und Veröffentlichen von Posts, Planen von Posts, Antworten.

Hinweis: Bluesky basiert auf dem offenen AT Protocol. Inhalte sind grundsätzlich öffentlich und föderiert.

Speicherung: Hetzner (Deutschland).

Drittlandübermittlung: Bluesky-Server können außerhalb der EU liegen. Standardvertragsklauseln.

7.7 Google (Google LLC – inkl. Google Business Profile, YouTube, Google Ads)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (für den EWR).
Datenschutzrichtlinie: https://policies.google.com/privacy

Verbindungsmethode: OAuth 2.0 über Google APIs.

Gelesene Daten: Google Business Profile: Unternehmensname, Adresse, Kategorie, Öffnungszeiten, Bewertungen, Fotos, Statistiken (Aufrufe, Klicks, Anrufe, Wegbeschreibungen). YouTube (sofern angebunden): Kanal-Informationen, Video-Metadaten, Analytics (Aufrufe, Wiedergabezeit, Abonnenten, Demografie). Google Ads (sofern angebunden): Kampagnen, Anzeigengruppen, Metriken (Impressionen, Klicks, Kosten, Conversions).

Durchgeführte Aktionen: Erstellen und Verwalten von Google Business Profile-Beiträgen. Planen von Beiträgen. Abruf von Analytics und Reporting-Daten.

Speicherung: Hetzner (Deutschland).

Drittlandübermittlung: USA. EU-US Data Privacy Framework und/oder Standardvertragsklauseln.

Widerruf: NOOVA-Einstellungen oder Google unter „Sicherheit" → „Drittanbieter-Apps mit Kontozugriff".

7.8 Pinterest (Pinterest, Inc.)

Anbieter: Pinterest Europe Ltd., Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Irland (für den EWR).
Datenschutzrichtlinie: https://policy.pinterest.com/privacy-policy

Verbindungsmethode: OAuth 2.0 über die Pinterest API.

Gelesene Daten: Profildaten (Name, Benutzername, Profilbild, Bio, Follower-Anzahl). Boards und Pins (Titel, Beschreibung, Bilder, Links). Analytics (Impressionen, Klicks, Saves, Engagement-Rate).

Durchgeführte Aktionen: Erstellen und Veröffentlichen von Pins. Planen von Pins. Erstellen von Boards.

Speicherung: Hetzner (Deutschland).

Drittlandübermittlung: USA möglich. Standardvertragsklauseln.

Widerruf: NOOVA-Einstellungen oder Pinterest unter „Einstellungen" → „Sicherheit" → „Apps".

7.9 Mastodon (Dezentralisiertes Netzwerk)

Anbieter: Mastodon ist ein dezentralisiertes, föderiertes Netzwerk. Der jeweilige Server-Betreiber (Instanz) ist Verantwortlicher.
Allgemeine Info: https://joinmastodon.org/privacy-policy

Verbindungsmethode: OAuth 2.0 über die Mastodon API der jeweiligen Instanz.

Gelesene Daten: Profildaten, Posts (öffentlich und „nicht gelistet"), Follower, Favoriten, Boosts, Benachrichtigungen.

Durchgeführte Aktionen: Erstellen und Veröffentlichen von Posts. Planen. Antworten. Boosten.

Hinweis: Inhalte werden über das ActivityPub-Protokoll föderiert und können auf anderen Instanzen sichtbar sein.

Speicherung: Hetzner (Deutschland).

Drittlandübermittlung: Abhängig vom Standort der gewählten Instanz.

8. Medienquellen-Integration

NOOVA kann Integrationen zu Medienquellen bereitstellen, über die Administratoren Bilder, Videos, GIFs oder andere Medien in ihre Inhalte einbinden können. Bei Abruf von Medien können IP-Adresse und Metadaten an den jeweiligen Dienst übertragen werden.

8.1 Unsplash
Anbieter: Unsplash Inc., Montreal, Kanada.
Datenschutzrichtlinie: https://unsplash.com/privacy
Verarbeitung: Bei Suche und Abruf von Bildern werden Suchanfragen, IP-Adresse und Browser-Informationen an Unsplash übertragen. Heruntergeladene Bilder werden auf NOOVA-Servern zwischengespeichert.
Lizenz: Unsplash-Lizenz. Der Administrator ist für die Einhaltung verantwortlich.

8.2 Pexels
Anbieter: Canva Pty Ltd (Pexels), Surry Hills, Australien.
Datenschutzrichtlinie: https://www.pexels.com/privacy-policy/
Verarbeitung: Analog zu Unsplash. Suchanfragen und IP-Adresse werden an Pexels übertragen.
Lizenz: Pexels-Lizenz. Verantwortung beim Administrator.

8.3 Tenor
Anbieter: Google LLC (Tenor ist ein Google-Dienst).
Datenschutzrichtlinie: https://policies.google.com/privacy
Verarbeitung: Bei GIF-Suche werden Suchanfragen, IP-Adresse und Browser-Informationen an Tenor/Google übertragen.

8.4 Adobe Express
Anbieter: Adobe Inc., 345 Park Avenue, San Jose, CA 95110, USA.
Datenschutzrichtlinie: https://www.adobe.com/privacy/policy.html
Verarbeitung: Bei Nutzung der Adobe-Express-Integration können Designdaten, Metadaten und Account-Informationen an Adobe übertragen werden.
Drittlandübermittlung: USA. Standardvertragsklauseln.

Rechtsgrundlage für alle Medienquellen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9. KI-Integrationen

NOOVA kann verschiedene KI-Anbieter zur Bereitstellung intelligenter Funktionen einsetzen. Die Auswahl des Anbieters kann sich je nach Funktion, Verfügbarkeit und Weiterentwicklung ändern. Nachfolgend die aktuell genutzten KI-Dienste:

9.1 OpenAI

Anbieter: OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA.
Datenschutzrichtlinie: https://openai.com/privacy/

Verbindungsmethode: NOOVA nutzt die OpenAI API (Business-/Enterprise-Tier) zur Bereitstellung KI-gestützter Funktionen.

Übertragene Daten: Vom Administrator eingegebene Texte (Prompts), Kontextinformationen (z. B. Plattform, Tonalität, Sprache), generierte Inhalte (Antworten). Es werden keine personenbezogenen Daten Dritter (z. B. Follower-Namen, Nachrichten) an OpenAI übertragen, es sei denn, der Administrator gibt diese explizit als Teil eines Prompts ein.

Zweck: Texterstellung, Strukturierung, Optimierung, Ideenfindung, Hashtag-Vorschläge, Zusammenfassungen, Umformulierungen.

Keine Profilbildung: Es erfolgt keine eigenständige Profilbildung durch NOOVA oder OpenAI auf Basis der übertragenen Daten.

OpenAI Data Usage Policy: NOOVA nutzt die OpenAI API im Business-Modus. Gemäß OpenAI's API-Datenrichtlinie werden über die API übermittelte Daten nicht zum Trainieren von OpenAI-Modellen verwendet, sofern der Kunde dem nicht ausdrücklich zustimmt.

Speicherung: NOOVA speichert Prompts und generierte Inhalte auf NOOVA-Servern (Hetzner, Deutschland) für die Dauer der Vertragslaufzeit.

Drittlandübermittlung: USA. Absicherung über Standardvertragsklauseln.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9.2 Anthropic (Claude)

Anbieter: Anthropic, PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA.
Datenschutzrichtlinie: https://www.anthropic.com/privacy

Verbindungsmethode: NOOVA nutzt die Anthropic API zur Bereitstellung KI-gestützter Funktionen als Alternative oder Ergänzung zu OpenAI.

Übertragene Daten: Vom Administrator eingegebene Texte (Prompts), Kontextinformationen (z. B. Plattform, Tonalität, Sprache, gewünschtes Format), generierte Inhalte (Antworten). Es werden keine personenbezogenen Daten Dritter an Anthropic übertragen, es sei denn, der Administrator gibt diese explizit als Teil eines Prompts ein.

Zweck: Texterstellung, Strukturierung, Optimierung, Ideenfindung, Hashtag-Vorschläge, Zusammenfassungen, Umformulierungen, Content-Varianten für verschiedene Plattformen.

Keine Profilbildung: Es erfolgt keine eigenständige Profilbildung durch NOOVA oder Anthropic auf Basis der übertragenen Daten.

Anthropic Data Usage Policy: NOOVA nutzt die Anthropic API im kommerziellen Modus. Gemäß Anthropics API-Nutzungsrichtlinien werden über die API übermittelte Daten nicht zum Trainieren von Anthropic-Modellen verwendet. Anthropic kann Daten für einen begrenzten Zeitraum (in der Regel 30 Tage) zu Sicherheits- und Missbrauchspräventionszwecken speichern, löscht diese danach jedoch automatisch.

Speicherung: NOOVA speichert Prompts und generierte Inhalte auf NOOVA-Servern (Hetzner, Deutschland) für die Dauer der Vertragslaufzeit.

Drittlandübermittlung: USA. Absicherung über Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9.3 Allgemeine Hinweise zu KI-Integrationen

NOOVA kann weitere KI-Anbieter hinzufügen oder bestehende ersetzen. Bei Änderungen wird diese Datenschutzerklärung entsprechend aktualisiert. Unabhängig vom eingesetzten KI-Anbieter gelten stets folgende Grundsätze: Daten werden nur im erforderlichen Umfang übertragen (Datenminimierung). Es erfolgt keine eigenständige Profilbildung. KI-Ausgaben können Fehler enthalten – der Administrator bleibt verantwortlich für die Prüfung und Nutzung generierter Inhalte. NOOVA wählt ausschließlich KI-Anbieter, die angemessene Datenschutzstandards gewährleisten und deren API-Nutzungsbedingungen eine Verwendung der übermittelten Daten zum Modelltraining ausschließen oder einschränken.

10. Link-Shortener-Dienste

NOOVA kann Integrationen zu Link-Shortener-Diensten anbieten. Bei Nutzung werden Klickdaten verarbeitet.

10.1 Bitly
Anbieter: Bitly, Inc., New York, USA.
Verarbeitete Daten: Ziel-URL, Kurzlink, Klickzeitpunkt, IP-Adresse des Klickenden (ggf. anonymisiert), Gerätetyp, Browser, Referrer.
Drittlandübermittlung: USA.

10.2 YOURLS
Anbieter: Self-Hosted-Lösung (Open Source). Daten verbleiben auf dem Server des Administrators oder auf dem von NOOVA betriebenen Server (Hetzner, Deutschland).
Verarbeitete Daten: Analog zu Bitly. Standort der Datenverarbeitung abhängig von Hosting.

10.3 Shlink
Anbieter: Self-Hosted-Lösung (Open Source). Analog zu YOURLS.
Verarbeitete Daten: Analog zu Bitly.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für Klick-Tracking: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Reichweitenanalyse).

11. Speicherdauer

Account-Daten: Während der Vertragslaufzeit. Nach Vertragsende: Löschung nach Ablauf der Datenexport-Frist (30 Tage), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Buchhaltungsdaten: 10 Jahre gemäß § 257 HGB und § 147 AO (Rechnungen, Buchungsbelege).

Steuerdaten: 10 Jahre gemäß § 147 AO.

Plattform-Analysedaten: Für die im Plan vereinbarte Dauer (z. B. 30 Tage, 12 Monate oder unbegrenzt).

Nachrichten- und Inbox-Daten: Während der Vertragslaufzeit bei aktiver Nutzung. Löschung nach Vertragsende gemäß den allgemeinen Fristen.

KI-Prompts und generierte Inhalte: Während der Vertragslaufzeit. Löschung nach Vertragsende.

Server-Logs: Maximal 90 Tage zu Sicherheits- und Diagnosezwecken.

12. Internationale Datenübermittlungen

NOOVA speichert und verarbeitet Daten primär auf Servern bei Hetzner in Deutschland. Durch die Anbindung von Drittanbieter-Plattformen können Daten in Drittländer übermittelt werden, insbesondere in die USA.

Absicherung durch:

Angemessenheitsbeschlüsse der EU-Kommission (sofern vorhanden). EU-US Data Privacy Framework (für zertifizierte US-Unternehmen). Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Ergänzende technische und organisatorische Maßnahmen, soweit erforderlich.

Eine Übersicht der aktuellen Drittlandtransfers und der jeweiligen Absicherung kann beim Support angefordert werden.

13. Sicherheit

Technische Maßnahmen: TLS-Verschlüsselung für alle Datenübertragungen; Zugriffsbeschränkungen und rollenbasierte Zugriffskontrollen; Verschlüsselte Speicherung von Passwörtern (bcrypt oder vergleichbar); Verschlüsselte Speicherung von API-Token und Zugangsdaten; Firewalls und Intrusion-Detection-Systeme; Regelmäßige Sicherheitsupdates; Server-Logging und Monitoring; Automatisierte Backups.

Organisatorische Maßnahmen: Vertraulichkeitsvereinbarungen mit allen zugriffsberechtigten Personen; Prinzip der minimalen Berechtigung (Least Privilege); Zugriff nur bei dokumentierter Notwendigkeit; Dokumentierte Prozesse für Sicherheitsvorfälle; Regelmäßige Überprüfung der Maßnahmen.

14. Rechte der Betroffenen

Betroffene Personen haben folgende Rechte gemäß DSGVO:

Auskunft (Art. 15 DSGVO): Recht auf Bestätigung und Information über die verarbeiteten Daten.

Berichtigung (Art. 16 DSGVO): Recht auf Korrektur unrichtiger Daten.

Löschung (Art. 17 DSGVO): Recht auf Löschung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Einschränkung (Art. 18 DSGVO): Recht auf Einschränkung der Verarbeitung.

Datenübertragbarkeit (Art. 20 DSGVO): Recht, die eigenen Daten in strukturiertem, maschinenlesbarem Format zu erhalten.

Widerspruch (Art. 21 DSGVO): Recht auf Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen.

Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sofern die Verarbeitung auf Einwilligung basiert, kann diese jederzeit mit Wirkung für die Zukunft widerrufen werden.

Beschwerde bei Aufsichtsbehörde: Zuständige Behörde ist der Sächsische Datenschutz- und Transparenzbeauftragte, Devrientstraße 5, 01067 Dresden, Deutschland.

Anfragen sind zu richten an: support@noova.club

15. Auftragsverarbeitung und Unterauftragsverarbeiter

15.1 Auftragsverarbeitung

Wenn Administratoren Social-Media-Accounts über NOOVA verwalten, handelt der Administrator als Verantwortlicher, NOOVA als Auftragsverarbeiter gemäß Art. 28 DSGVO.

NOOVA verarbeitet ausschließlich gemäß dokumentierter Weisung des Administrators.

Eine separate Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 Abs. 3 DSGVO kann auf Anfrage an support@noova.club bereitgestellt werden.

15.2 Verbundenes Unternehmen – Richter Consults

Der Anbieter Oliver Richter betreibt neben NOOVA auch das Unternehmen Richter Consults (www.richter-consults.com), eine Beratungsfirma für Digitalisierung, KI und Automatisierung.

NOOVA und Richter Consults werden vom selben Inhaber betrieben und teilen sich teilweise Infrastruktur und Prozesse, insbesondere: E-Mail-Systeme für Support und Kundenkommunikation; Rechnungsstellung und Buchhaltung; administrative Verwaltung. Richter Consults kann im Rahmen des NOOVA Agency-Service als Dienstleister für Kunden tätig werden, die den Full-Service-Marketing-Service buchen.

Soweit Richter Consults in die Verarbeitung personenbezogener Daten eingebunden ist, gelten die gleichen Datenschutzstandards wie für NOOVA. Richter Consults verarbeitet NOOVA-Kundendaten nicht für eigene Zwecke. Die Verantwortlichkeit für die Datenverarbeitung liegt bei Oliver Richter als natürlicher Person, der beide Unternehmen führt.

15.3 Unterauftragsverarbeiter

NOOVA setzt zur Erbringung seiner Leistungen die folgenden Unterauftragsverarbeiter ein:

Hosting – Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen, Deutschland.
Datenschutzrichtlinie: https://www.hetzner.com/legal/privacy-policy
Zweck: Bereitstellung der Server-Infrastruktur für die NOOVA-Plattform und die NOOVA-Website (noova.club). Alle Kundendaten, Inhalte, Analysedaten und Datenbanken werden auf Hetzner-Servern in Deutschland gespeichert.
Verarbeitete Daten: Alle in NOOVA gespeicherten Daten, einschließlich Account-Daten, Inhalte, Medien, Analysedaten, Nachrichten, Zugriffstoken (verschlüsselt).
Standort: Falkenstein und/oder Nürnberg, Deutschland.
AVV: Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO besteht mit Hetzner.
Drittlandübermittlung: Keine. Alle Daten verbleiben in Deutschland.

Zahlungsabwicklung – Stripe
Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland.
Datenschutzrichtlinie: https://stripe.com/de/privacy
Zweck: Abwicklung von Zahlungen, Abonnementverwaltung, Rechnungsstellung, Betrugsprävention.
Verarbeitete Daten: Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsmethode (Kreditkartendaten werden ausschließlich von Stripe verarbeitet und nicht auf NOOVA-Servern gespeichert), Transaktionshistorie, IP-Adresse, Geräte-Informationen.
Hinweis: NOOVA hat keinen Zugriff auf vollständige Kreditkartennummern. Diese werden ausschließlich von Stripe nach PCI-DSS-Standards verarbeitet und gespeichert.
Drittlandübermittlung: USA möglich. EU-US Data Privacy Framework und/oder Standardvertragsklauseln.

Zahlungsabwicklung – Paddle
Paddle.com Market Limited, Judd House, 18-29 Mora Street, London EC1V 8BT, Vereinigtes Königreich.
Datenschutzrichtlinie: https://www.paddle.com/legal/privacy
Zweck: Abwicklung von Zahlungen, Abonnementverwaltung, Rechnungsstellung, Steuerberechnung und -abführung (Paddle fungiert als Merchant of Record).
Verarbeitete Daten: Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsmethode, Transaktionshistorie, IP-Adresse, Steuerinformationen (Umsatzsteuer-ID).
Hinweis: Wenn Paddle als Merchant of Record fungiert, tritt Paddle als Verkäufer gegenüber dem Kunden auf. In diesem Fall ist Paddle eigenständiger Verantwortlicher für die Zahlungsdaten und nicht Auftragsverarbeiter von NOOVA.
Drittlandübermittlung: Vereinigtes Königreich, USA möglich. Angemessenheitsbeschluss UK und/oder Standardvertragsklauseln.

Zahlungsabwicklung – Paystack
Paystack Payments Limited (ein Stripe-Unternehmen), Lagos, Nigeria / Dublin, Irland.
Datenschutzrichtlinie: https://paystack.com/privacy
Zweck: Abwicklung von Zahlungen, insbesondere für Kunden in bestimmten Regionen.
Verarbeitete Daten: Name, E-Mail-Adresse, Zahlungsmethode, Transaktionshistorie.
Drittlandübermittlung: Nigeria, USA möglich. Standardvertragsklauseln.

Rechtsgrundlage für alle Unterauftragsverarbeiter: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). NOOVA stellt sicher, dass alle Unterauftragsverarbeiter angemessene technische und organisatorische Maßnahmen einhalten und, soweit erforderlich, Auftragsverarbeitungsverträge bestehen.

16. Website-Technologien und Cookies

16.1 Website-Plattform (WordPress)

Die NOOVA-Website (noova.club) wird mit WordPress betrieben. WordPress ist ein Content-Management-System der Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA (für selbst gehostete Installationen ist Automattic nicht der Verarbeiter, sondern lediglich Softwareanbieter).

Die WordPress-Installation wird auf Hetzner-Servern in Deutschland betrieben. Automattic erhält keinen Zugriff auf die auf noova.club verarbeiteten Daten.

WordPress-eigene Verarbeitungen: Session-Cookies für eingeloggte Nutzer (wordpress_logged_in_*, wordpress_sec_*). Kommentar-Cookies (sofern Kommentarfunktion aktiviert). Login-Cookies zur Sitzungsverwaltung.

16.2 Seitenbuilder (Elementor)

Anbieter: Elementor Ltd., Ramat Gan, Israel.
Datenschutzrichtlinie: https://elementor.com/about/privacy/

Elementor wird als Seitenbuilder für die Gestaltung der Website eingesetzt. Elementor kann Nutzungsdaten zur Produktverbesserung erfassen, sofern dies in der Plugin-Konfiguration aktiviert ist. NOOVA deaktiviert Tracking-Funktionen, soweit möglich. Elementor setzt keine eigenen Cookies für Website-Besucher.

16.3 Google Fonts

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Datenschutzrichtlinie: https://policies.google.com/privacy

Die Website kann Google Fonts zur Darstellung von Schriftarten verwenden. Beim Aufruf der Website wird eine Verbindung zu Google-Servern hergestellt, wobei die IP-Adresse des Besuchers an Google übermittelt wird. NOOVA ist bestrebt, Google Fonts lokal einzubinden (Self-Hosting), um eine Datenübertragung an Google zu vermeiden. Soweit Google Fonts über Google-Server geladen werden, erfolgt dies auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen Darstellung).

Drittlandübermittlung: USA möglich. EU-US Data Privacy Framework und/oder Standardvertragsklauseln.

16.4 Gravatar

Anbieter: Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA.
Datenschutzrichtlinie: https://automattic.com/privacy/

WordPress kann standardmäßig Gravatar-Profilbilder laden. Dabei wird ein Hash der E-Mail-Adresse an die Server von Automattic übertragen, um ein zugehöriges Profilbild abzurufen. NOOVA deaktiviert Gravatar, soweit möglich, um unnötige Datenübertragungen zu vermeiden.

16.5 WordPress-Plugins

NOOVA setzt auf der Website ggf. folgende Plugin-Kategorien ein:

SEO-Plugins (z. B. Yoast SEO, Rank Math): Diese Plugins verarbeiten keine personenbezogenen Daten von Website-Besuchern. Sie dienen der Optimierung von Meta-Tags und Seitenstruktur.

Support-Plugins (z. B. SupportCandy): Bei Nutzung des Support-Formulars werden Name, E-Mail-Adresse und die Nachricht des Nutzers verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen). Daten werden auf dem NOOVA-Server (Hetzner, Deutschland) gespeichert.

Newsletter-Plugins: Sofern NOOVA einen Newsletter anbietet, werden E-Mail-Adresse und ggf. Name des Abonnenten verarbeitet. Anmeldung erfolgt im Double-Opt-In-Verfahren. Abmeldung ist jederzeit über den Abmeldelink in jeder E-Mail möglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Sicherheits-Plugins: Können IP-Adressen und Login-Versuche protokollieren, um die Website vor Angriffen zu schützen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit).

16.6 Cookies

NOOVA verwendet in der Web-Anwendung und auf der Website:

Technisch notwendige Cookies: Für Login, Session-Verwaltung, CSRF-Schutz, Spracheinstellungen, Cookie-Consent-Speicherung. Diese Cookies sind für den Betrieb zwingend erforderlich und können nicht deaktiviert werden. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG.

Funktionale Cookies: Für Benutzereinstellungen, Dashboard-Konfiguration, bevorzugte Ansichten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer benutzerfreundlichen Darstellung).

Analyse-Cookies (sofern eingesetzt): Zur Verbesserung des Dienstes. Nur mit ausdrücklicher Einwilligung gemäß § 25 Abs. 1 TDDDG / Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung kann jederzeit über das Cookie-Banner oder die Cookie-Einstellungen widerrufen werden.

Details in der separaten Cookie-Richtlinie auf noova.club.

17. Automatisierte Entscheidungen

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die rechtliche Wirkung entfaltet oder die betroffene Person in ähnlicher Weise erheblich beeinträchtigt. KI-gestützte Vorschläge (z. B. Text- oder Hashtag-Vorschläge) sind Empfehlungen, die der Administrator prüft und eigenverantwortlich übernimmt oder verwirft.

18. Datenlöschung und Widerruf von Plattformzugriffen

18.1 Löschung einzelner Plattformverbindungen
Der Administrator kann jede verbundene Plattform jederzeit in den NOOVA-Einstellungen trennen. Bei Trennung werden: Zugriffstoken sofort und unwiderruflich gelöscht; der Zugriff auf das Plattform-Konto beendet; laufende geplante Beiträge für diese Plattform abgebrochen.

18.2 Löschung aller Daten
Der Administrator kann die vollständige Löschung aller mit seiner Person oder seinem Account verbundenen Daten anfordern per E-Mail an support@noova.club. NOOVA wird die Löschung innerhalb von 30 Tagen durchführen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

18.3 Account-Löschung
Bei Löschung des NOOVA-Accounts werden alle Plattformverbindungen getrennt, alle Zugriffstoken gelöscht, alle Inhalte, Medien und Analysedaten gelöscht (nach Ablauf der 30-Tage-Export-Frist), Rechnungsdaten gemäß gesetzlicher Fristen aufbewahrt.

18.4 Widerruf außerhalb von NOOVA
Zusätzlich zur Trennung in NOOVA kann der Administrator den Zugriff direkt in den Einstellungen der jeweiligen Plattform widerrufen: Facebook/Instagram: Einstellungen → Apps und Websites; TikTok: Einstellungen → Sicherheit → Apps verwalten; LinkedIn: Einstellungen → Datenschutz → Erlaubte Dienste; X: Einstellungen → Sicherheit → Verbundene Apps; Google: myaccount.google.com → Sicherheit → Drittanbieter-Apps; Pinterest: Einstellungen → Sicherheit → Apps.

19. Aktualisierung der Datenschutzerklärung

NOOVA behält sich vor, diese Datenschutzerklärung anzupassen, um Änderungen in der Datenverarbeitung, rechtliche Anforderungen oder technische Weiterentwicklungen abzubilden. Bei wesentlichen Änderungen informiert NOOVA per E-Mail an die im Account hinterlegte Adresse. Die jeweils aktuelle Fassung ist auf noova.club abrufbar.

Vertragssprache: Maßgeblich ist die deutsche Fassung dieser Datenschutzerklärung. Eine englische Übersetzung dient ausschließlich der Information.

Privacy Policy for the Use of NOOVA

Last updated: February 26, 2026

1. Definitions

NOOVA
A software platform for managing social media accounts, content planning, analytics, automation, integrations, and AI-powered features.

Provider / Controller
Oliver Richter, operating under the brand NOOVA
Kemnitzer Straße 14, 02747 Berthelsdorf, Germany
Email: support@noova.club

Administrator
A business or self-employed person using NOOVA to manage their own or third-party social media accounts.

Brand
A set of connected social media profiles, ad accounts, or digital assets managed by the Administrator within NOOVA.

Data Subject
Any identified or identifiable natural person within the meaning of Art. 4 GDPR.

Platforms
Third-party networks or services connected to NOOVA via APIs (e.g., Facebook, Instagram, TikTok, LinkedIn, etc.).

2. Controller under the GDPR

The controller for processing personal data in connection with registration, platform use, billing, support, and marketing is:

Oliver Richter, brand NOOVA
Kemnitzer Straße 14, 02747 Berthelsdorf, Germany
Contact: support@noova.club

3. Data Processing Structure

A. Processing as Controller
When NOOVA pursues its own purposes, e.g.: registration, account management, billing, support, security, product improvement.

B. Processing as Processor
When Administrators connect social media accounts and NOOVA processes data exclusively on behalf of the Administrator. In this case, the Administrator is the Controller, NOOVA is the Processor pursuant to Art. 28 GDPR.

C. Purpose Limitation
NOOVA processes personal data exclusively for the purposes stated in this Privacy Policy. There is no disclosure, sale, or other commercial use of personal data to third parties unless required for contract performance, legally mandated, or expressly consented to.

D. Data Minimization
NOOVA collects and processes only the data necessary for the respective processing purpose. Platform permissions are restricted to the necessary minimum.

4. Data Processing During Registration

When creating a NOOVA account, the following data is processed: first name, last name, email address, password (stored encrypted), IP address, timestamp, billing data (where applicable), VAT ID (where applicable), payment information via payment providers.

Purpose: Account setup and management, identification, billing, fraud prevention.

Legal basis: Art. 6(1)(b) GDPR (contract performance).

Retention: During the contract term. After termination per the periods in Section 11.

5. Social Login Processing

When logging in via third-party platforms, the following data may be transmitted depending on the provider: email address, profile picture, display name, unique user identifier.

Purpose: Simplified registration and login.

Legal basis: Art. 6(1)(b) GDPR.

NOOVA does not receive the third-party password. Access can be revoked at any time in the respective third-party account settings.

6. Social Media Platform Connection – General

When Administrators connect platforms, access tokens are generated via standardized APIs (e.g., OAuth 2.0). These tokens enable NOOVA to act within the platform permissions and access rights granted by the Administrator.

General principles for all platform connections:

Access Control: NOOVA requests only the permissions required for the features included in the respective Plan. The Administrator grants access explicitly through the platform's authorization flow.

Purpose Limitation: Data retrieved via APIs is used exclusively for: display and management in the NOOVA dashboard, scheduled content publishing, analytics and reporting, comment and message management (where included), AI-powered suggestions (where included). No use for NOOVA's own advertising, no sale to third parties, no use beyond service delivery.

Storage: Platform data is stored on NOOVA servers at Hetzner (Germany) where required for service delivery. Access tokens are stored encrypted.

Revocation and Disconnection: The Administrator can disconnect any platform at any time in the NOOVA settings. Upon disconnection, access tokens are irrevocably deleted. NOOVA loses all access to the connected platform account. Previously collected analytics data may be retained for the contractually agreed period. The Administrator can separately request complete deletion of all platform-related data.

Legal basis: Art. 6(1)(b) GDPR (contract performance). Where NOOVA acts as processor: Art. 28 GDPR on instruction of the Administrator.

7. Platform-Specific Privacy Information – Detailed

Below we describe in detail for each connected platform: what data is read, what actions are performed, for what purpose, how data is stored, and how access can be revoked.

7.1 Facebook and Instagram (Meta Platforms, Inc.)

Provider: Meta Platforms, Inc., 1 Hacker Way, Menlo Park, CA 94025, USA.
Privacy Policy: https://www.facebook.com/privacy/policy/

Connection Method: OAuth 2.0 via the Meta Graph API. The Administrator authorizes access via the Facebook Login dialog and explicitly grants the requested permissions.

Data Read: Page profiles: name, category, profile picture, cover photo, description, follower/fan count, verification status. Posts: published posts (text, images, videos, links), timestamps, reactions, comments, shares. Stories and Reels: media content, views, interactions, expiry times. Insights and Analytics: reach, impressions, engagement rate, audience demographics (aggregated and anonymized as provided by Meta), page views, follower growth. Comments and replies: author, content, timestamp. Messages (where included in Plan and authorized): direct messages via Facebook Messenger and Instagram Direct, including sender, content, timestamp, read status. Ad accounts (where connected): campaign name, budget, duration, performance metrics. Instagram-specific: Business or Creator account information, Stories, Reels, IGTV, Shopping tags (where available).

Actions Performed: Creating and publishing posts (text, image, video, link, carousel). Scheduling posts. Creating and publishing Stories and Reels (where API permits). Replying to comments. Reading and responding to direct messages (where authorized). Deleting posts created via NOOVA.

Purpose: Management and planning of social media content on behalf of the Administrator. Performance analysis. Community interaction management. Report generation. No independent profiling by NOOVA. No use for NOOVA's own advertising. No disclosure to third parties beyond service delivery.

Storage: NOOVA servers at Hetzner (Germany). Tokens encrypted. Analytics data for the Plan-defined period. Message content only during active Inbox usage and contract term.

Third Country Transfer: As Meta Platforms is based in the USA, API communication involves data transfer to the USA. Safeguarded via EU-US Data Privacy Framework (where applicable) and/or Standard Contractual Clauses pursuant to Art. 46(2)(c) GDPR.

Revocation: Disconnect in NOOVA settings at any time. Additionally, revoke access in Facebook/Instagram settings under "Apps and Websites" or "Connected Experiences". Tokens are deleted immediately upon disconnection.

Legal basis: Art. 6(1)(b) GDPR (contract performance). For Insights data with personal components: Art. 6(1)(f) GDPR (legitimate interest in analyzing one's own social media presence). Joint controllership for certain Insights data per Art. 26 GDPR may apply; primary responsibility for configuration and use lies with the Administrator.

7.2 Threads (Meta Platforms, Inc.)

Provider: Meta Platforms, Inc., USA.
Privacy Policy: https://www.facebook.com/privacy/policy/

Connection Method: OAuth 2.0 via the Threads API (part of the Meta platform).

Data Read: Profile information (name, username, profile picture, bio, follower count), post content (text, images, links), interactions (likes, reposts, replies), statistics (reach, impressions, engagement).

Actions Performed: Creating and publishing posts, scheduling posts, replying to interactions.

Purpose: Content management and planning, performance analysis, reporting.

Storage: Hetzner (Germany). Tokens encrypted.

Third Country Transfer: USA. EU-US Data Privacy Framework and/or Standard Contractual Clauses.

Revocation: Disconnect in NOOVA settings or in Meta account settings.

7.3 TikTok (TikTok Technology Limited / ByteDance)

Provider: TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Ireland (for the EEA).
Privacy Policy: https://www.tiktok.com/legal/privacy-policy-eea

Connection Method: OAuth 2.0 via the TikTok API for Business / Content Posting API. The Administrator authorizes access via the TikTok Login dialog.

Data Read: Account information: username, display name, profile picture, bio, follower/following count, verification status, public/private profile. Video information: title, description, hashtags, thumbnail, timestamp, duration, visibility status. Video analytics: views, likes, comments, shares, average watch time, traffic sources, viewer demographics (aggregated, as provided by TikTok). Comments: author, content, timestamp.

Actions Performed: Publishing videos (upload via API, where permitted by TikTok). Scheduling videos. Setting descriptions, hashtags, visibility settings, and interaction settings (comments on/off, duet on/off, stitch on/off) within API capabilities.

Actions NOT Performed: NOOVA does not read or store private messages on TikTok. NOOVA does not access the Administrator's contacts, address book, or location data. NOOVA does not create independent TikTok profiles.

Purpose: Scheduled video publishing on behalf of the Administrator. Performance analysis. Report generation. No independent profiling. No data sale. No use for NOOVA's own advertising.

Storage: NOOVA servers at Hetzner (Germany). Tokens encrypted. Video metadata and analytics for the Plan-defined period.

Third Country Transfer: TikTok may process data in various jurisdictions including the USA and Singapore. Safeguarded via Standard Contractual Clauses pursuant to Art. 46(2)(c) GDPR.

Revocation: Disconnect in NOOVA settings at any time. Additionally, revoke in TikTok settings under "Security" → "Manage apps". Tokens are deleted immediately upon disconnection.

Data Deletion: Upon disconnection, access tokens are deleted immediately. Analytics data may be retained for the contractually agreed period. Complete deletion of all TikTok-related data can be separately requested via support.

Legal basis: Art. 6(1)(b) GDPR (contract performance).

7.4 LinkedIn (LinkedIn Corporation / Microsoft)

Provider: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Ireland (for the EEA).
Privacy Policy: https://www.linkedin.com/legal/privacy-policy

Connection Method: OAuth 2.0 via the LinkedIn Marketing API / Community Management API.

Data Read: Organization profiles: name, logo, description, industry, employee count (range), follower count. Personal profiles (where authorized): name, profile picture, headline. Posts: text, images, videos, documents, links, timestamps, reactions, comments, shares. Page analytics: impressions, clicks, engagement rate, follower demographics (aggregated), visitor analytics. Comments: author, content, timestamp.

Actions Performed: Creating and publishing posts (text, image, video, document, carousel, article). Scheduling posts. Replying to comments. Deleting posts created via NOOVA.

Actions NOT Performed: NOOVA does not send LinkedIn messages (InMail). NOOVA does not access the Administrator's LinkedIn contacts or connections. NOOVA does not use LinkedIn data for recruiting, profiling, or advertising.

Purpose: Content management and planning. Performance analysis. Reporting. No independent profiling. No data sale. No own advertising.

Storage: Hetzner (Germany). Tokens encrypted.

Third Country Transfer: LinkedIn (Microsoft) may process data in the USA. EU-US Data Privacy Framework and/or Standard Contractual Clauses.

Revocation: NOOVA settings. Additionally in LinkedIn under "Settings" → "Privacy" → "Permitted services".

Legal basis: Art. 6(1)(b) GDPR.

7.5 X (formerly Twitter; X Corp.)

Provider: X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA.
Privacy Policy: https://x.com/en/privacy

Connection Method: OAuth 2.0 via the X API v2.

Data Read: Profile data (name, username, profile picture, bio, follower/following count). Posts (text, images, videos, links, polls), reposts, replies, quotes. Engagement metrics (impressions, likes, reposts, replies, clicks). Follower growth. Direct messages (where authorized and included in Plan).

Actions Performed: Creating and publishing posts. Scheduling. Replying. Reposting. Deleting posts created via NOOVA. Reading and responding to direct messages (where authorized).

Purpose: Management, planning, performance analysis, community management, reporting.

Storage: Hetzner (Germany). Tokens encrypted.

Third Country Transfer: USA. Standard Contractual Clauses.

Revocation: NOOVA settings or X under "Settings" → "Security and account access" → "Apps and sessions" → "Connected apps".

7.6 Bluesky (Bluesky Social, PBC)

Provider: Bluesky Social, PBC, USA.
Privacy Policy: https://bsky.social/about/support/privacy-policy

Connection Method: AT Protocol. Authentication via App Password or OAuth (where available).

Data Read: Public profile data, posts, likes, reposts, follower data, engagement metrics.

Actions Performed: Creating and publishing posts, scheduling, replying.

Note: Bluesky uses the open AT Protocol. Content is generally public and federated.

Storage: Hetzner (Germany).

Third Country Transfer: Bluesky servers may be located outside the EU. Standard Contractual Clauses.

7.7 Google (Google LLC – incl. Google Business Profile, YouTube, Google Ads)

Provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland (for the EEA).
Privacy Policy: https://policies.google.com/privacy

Connection Method: OAuth 2.0 via Google APIs.

Data Read: Google Business Profile: business name, address, category, hours, reviews, photos, statistics (views, clicks, calls, directions). YouTube (where connected): channel information, video metadata, analytics (views, watch time, subscribers, demographics). Google Ads (where connected): campaigns, ad groups, metrics (impressions, clicks, costs, conversions).

Actions Performed: Creating and managing Google Business Profile posts. Scheduling posts. Retrieving analytics and reporting data.

Storage: Hetzner (Germany).

Third Country Transfer: USA. EU-US Data Privacy Framework and/or Standard Contractual Clauses.

Revocation: NOOVA settings or Google under "Security" → "Third-party apps with account access".

7.8 Pinterest (Pinterest, Inc.)

Provider: Pinterest Europe Ltd., Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Ireland (for the EEA).
Privacy Policy: https://policy.pinterest.com/privacy-policy

Connection Method: OAuth 2.0 via the Pinterest API.

Data Read: Profile data (name, username, profile picture, bio, follower count). Boards and Pins (title, description, images, links). Analytics (impressions, clicks, saves, engagement rate).

Actions Performed: Creating and publishing Pins. Scheduling Pins. Creating Boards.

Storage: Hetzner (Germany).

Third Country Transfer: USA possible. Standard Contractual Clauses.

Revocation: NOOVA settings or Pinterest under "Settings" → "Security" → "Apps".

7.9 Mastodon (Decentralized Network)

Provider: Mastodon is a decentralized, federated network. The respective server operator (instance) is the controller.
General Info: https://joinmastodon.org/privacy-policy

Connection Method: OAuth 2.0 via the Mastodon API of the respective instance.

Data Read: Profile data, posts (public and unlisted), followers, favorites, boosts, notifications.

Actions Performed: Creating and publishing posts. Scheduling. Replying. Boosting.

Note: Content is federated via the ActivityPub protocol and may be visible on other instances.

Storage: Hetzner (Germany).

Third Country Transfer: Depends on the location of the chosen instance.

8. Media Source Integrations

NOOVA may provide integrations to media sources through which Administrators can incorporate images, videos, GIFs, or other media into their content. When retrieving media, IP address and metadata may be transmitted to the respective service.

8.1 Unsplash
Provider: Unsplash Inc., Montreal, Canada.
Privacy Policy: https://unsplash.com/privacy
Processing: Search queries, IP address, and browser information are transmitted to Unsplash. Downloaded images are cached on NOOVA servers.
License: Unsplash License. Administrator is responsible for compliance.

8.2 Pexels
Provider: Canva Pty Ltd (Pexels), Surry Hills, Australia.
Privacy Policy: https://www.pexels.com/privacy-policy/
Processing: Analogous to Unsplash. Search queries and IP address transmitted to Pexels.
License: Pexels License. Administrator responsible for compliance.

8.3 Tenor
Provider: Google LLC (Tenor is a Google service).
Privacy Policy: https://policies.google.com/privacy
Processing: GIF search queries, IP address, and browser information transmitted to Tenor/Google.

8.4 Adobe Express
Provider: Adobe Inc., 345 Park Avenue, San Jose, CA 95110, USA.
Privacy Policy: https://www.adobe.com/privacy/policy.html
Processing: Design data, metadata, and account information may be transmitted to Adobe.
Third Country Transfer: USA. Standard Contractual Clauses.

Legal basis for all media sources: Art. 6(1)(b) GDPR (contract performance).

9. AI Integrations

NOOVA may use various AI providers to deliver intelligent features. The selection of providers may change depending on functionality, availability, and development. The currently used AI services are detailed below:

9.1 OpenAI

Provider: OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA.
Privacy Policy: https://openai.com/privacy/

Connection Method: NOOVA uses the OpenAI API (Business/Enterprise tier) to provide AI-powered features.

Data Transmitted: Administrator-entered texts (prompts), context information (e.g., platform, tone, language), generated content (responses). No personal data of third parties (e.g., follower names, messages) is transmitted to OpenAI unless the Administrator explicitly enters it as part of a prompt.

Purpose: Text creation, structuring, optimization, ideation, hashtag suggestions, summaries, reformulations.

No Profiling: No independent profiling by NOOVA or OpenAI based on transmitted data.

OpenAI Data Usage Policy: NOOVA uses the OpenAI API in Business mode. Per OpenAI's API data policy, data submitted via the API is not used for training OpenAI models unless the customer explicitly opts in.

Storage: NOOVA stores prompts and generated content on NOOVA servers (Hetzner, Germany) during the contract term.

Third Country Transfer: USA. Standard Contractual Clauses.

Legal basis: Art. 6(1)(b) GDPR (contract performance).

9.2 Anthropic (Claude)

Provider: Anthropic, PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA.
Privacy Policy: https://www.anthropic.com/privacy

Connection Method: NOOVA uses the Anthropic API to provide AI-powered features as an alternative or supplement to OpenAI.

Data Transmitted: Administrator-entered texts (prompts), context information (e.g., platform, tone, language, desired format), generated content (responses). No personal data of third parties is transmitted to Anthropic unless the Administrator explicitly enters it as part of a prompt.

Purpose: Text creation, structuring, optimization, ideation, hashtag suggestions, summaries, reformulations, content variants for different platforms.

No Profiling: No independent profiling by NOOVA or Anthropic based on transmitted data.

Anthropic Data Usage Policy: NOOVA uses the Anthropic API in commercial mode. Per Anthropic's API usage policies, data submitted via the API is not used for training Anthropic models. Anthropic may retain data for a limited period (typically 30 days) for safety and abuse prevention purposes, after which it is automatically deleted.

Storage: NOOVA stores prompts and generated content on NOOVA servers (Hetzner, Germany) during the contract term.

Third Country Transfer: USA. Standard Contractual Clauses pursuant to Art. 46(2)(c) GDPR.

Legal basis: Art. 6(1)(b) GDPR (contract performance).

9.3 General Notes on AI Integrations

NOOVA may add further AI providers or replace existing ones. This Privacy Policy will be updated accordingly. Regardless of the AI provider used, the following principles always apply: data is transmitted only to the extent necessary (data minimization); no independent profiling occurs; AI outputs may contain errors – the Administrator remains responsible for reviewing and using generated content; NOOVA selects only AI providers that ensure adequate data protection standards and whose API terms exclude or restrict the use of submitted data for model training.

10. Link Shortener Services

NOOVA may offer integrations to link shortener services. Click data is processed during use.

10.1 Bitly
Provider: Bitly, Inc., New York, USA.
Data Processed: Target URL, short link, click timestamp, clicker IP address (potentially anonymized), device type, browser, referrer.
Third Country Transfer: USA.

10.2 YOURLS
Provider: Self-hosted solution (open source). Data remains on the Administrator's server or on the NOOVA-operated server (Hetzner, Germany).
Data Processed: Analogous to Bitly. Data processing location depends on hosting.

10.3 Shlink
Provider: Self-hosted solution (open source). Analogous to YOURLS.
Data Processed: Analogous to Bitly.

Legal basis: Art. 6(1)(b) GDPR (contract performance). For click tracking: Art. 6(1)(f) GDPR (legitimate interest in reach analysis).

11. Data Retention

Account Data: During the contract term. After termination: deletion after expiry of the data export period (30 days), unless statutory retention obligations apply.

Accounting Data: 10 years pursuant to § 257 HGB and § 147 AO (invoices, booking records).

Tax Data: 10 years pursuant to § 147 AO.

Platform Analytics Data: For the Plan-defined period (e.g., 30 days, 12 months, or unlimited).

Message and Inbox Data: During the contract term with active use. Deletion after termination per general periods.

AI Prompts and Generated Content: During the contract term. Deletion after termination.

Server Logs: Maximum 90 days for security and diagnostic purposes.

12. International Data Transfers

NOOVA primarily stores and processes data on servers at Hetzner in Germany. Through third-party platform connections, data may be transferred to third countries, particularly the USA.

Safeguards: EU Commission adequacy decisions (where available). EU-US Data Privacy Framework (for certified US companies). Standard Contractual Clauses pursuant to Art. 46(2)(c) GDPR. Supplementary technical and organizational measures where required.

An overview of current third-country transfers and respective safeguards can be requested from support.

13. Security

Technical Measures: TLS encryption for all data transfers; access restrictions and role-based access controls; encrypted password storage (bcrypt or equivalent); encrypted storage of API tokens and credentials; firewalls and intrusion detection systems; regular security updates; server logging and monitoring; automated backups.

Organizational Measures: Confidentiality agreements with all authorized personnel; principle of least privilege; access only with documented necessity; documented incident response processes; regular review of measures.

14. Data Subject Rights

Data subjects have the following rights under the GDPR:

Access (Art. 15 GDPR): Right to confirmation and information about processed data.

Rectification (Art. 16 GDPR): Right to correction of inaccurate data.

Erasure (Art. 17 GDPR): Right to deletion, unless statutory retention obligations apply.

Restriction (Art. 18 GDPR): Right to restrict processing.

Data Portability (Art. 20 GDPR): Right to receive personal data in a structured, machine-readable format.

Objection (Art. 21 GDPR): Right to object to processing based on legitimate interests.

Withdrawal of Consent (Art. 7(3) GDPR): Where processing is based on consent, it may be withdrawn at any time with future effect.

Complaint to Supervisory Authority: The competent authority is the Saxon Data Protection and Transparency Commissioner (Sächsischer Datenschutz- und Transparenzbeauftragter), Devrientstraße 5, 01067 Dresden, Germany.

Requests should be directed to: support@noova.club

15. Data Processing Agreement

When Administrators manage social media accounts via NOOVA, the Administrator acts as Controller, NOOVA as Processor pursuant to Art. 28 GDPR.

NOOVA processes data exclusively per the Administrator's documented instructions.

A separate Data Processing Agreement (DPA) pursuant to Art. 28(3) GDPR can be provided upon request to support@noova.club.

15.2 Affiliated Entity – Richter Consults

The provider Oliver Richter also operates the company Richter Consults (www.richter-consults.com), a consultancy for digitalization, AI, and automation.

NOOVA and Richter Consults are operated by the same owner and partially share infrastructure and processes, in particular: email systems for support and customer communication; invoicing and accounting; administrative management. Richter Consults may act as a service provider for customers who book the full-service marketing offering under the NOOVA Agency Service.

Where Richter Consults is involved in the processing of personal data, the same data protection standards apply as for NOOVA. Richter Consults does not process NOOVA customer data for its own purposes. Data processing responsibility lies with Oliver Richter as the natural person operating both businesses.

15.3 Sub-Processors

NOOVA engages the following sub-processors to deliver its services:

Hosting – Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen, Germany.
Privacy Policy: https://www.hetzner.com/legal/privacy-policy
Purpose: Provision of server infrastructure for the NOOVA platform and website (noova.club). All customer data, content, analytics data, and databases are stored on Hetzner servers in Germany.
Data Processed: All data stored in NOOVA, including account data, content, media, analytics, messages, access tokens (encrypted).
Location: Falkenstein and/or Nuremberg, Germany.
DPA: A Data Processing Agreement pursuant to Art. 28 GDPR is in place with Hetzner.
Third Country Transfer: None. All data remains in Germany.

Payment Processing – Stripe
Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland.
Privacy Policy: https://stripe.com/privacy
Purpose: Payment processing, subscription management, invoicing, fraud prevention.
Data Processed: Name, email address, billing address, payment method (credit card data is processed exclusively by Stripe and not stored on NOOVA servers), transaction history, IP address, device information.
Note: NOOVA does not have access to complete credit card numbers. These are processed and stored exclusively by Stripe in accordance with PCI-DSS standards.
Third Country Transfer: USA possible. EU-US Data Privacy Framework and/or Standard Contractual Clauses.

Payment Processing – Paddle
Paddle.com Market Limited, Judd House, 18-29 Mora Street, London EC1V 8BT, United Kingdom.
Privacy Policy: https://www.paddle.com/legal/privacy
Purpose: Payment processing, subscription management, invoicing, tax calculation and remittance (Paddle acts as Merchant of Record).
Data Processed: Name, email address, billing address, payment method, transaction history, IP address, tax information (VAT ID).
Note: When Paddle acts as Merchant of Record, Paddle is the seller to the customer. In this case, Paddle is an independent controller for payment data and not a processor of NOOVA.
Third Country Transfer: United Kingdom, USA possible. UK adequacy decision and/or Standard Contractual Clauses.

Payment Processing – Paystack
Paystack Payments Limited (a Stripe company), Lagos, Nigeria / Dublin, Ireland.
Privacy Policy: https://paystack.com/privacy
Purpose: Payment processing, particularly for customers in certain regions.
Data Processed: Name, email address, payment method, transaction history.
Third Country Transfer: Nigeria, USA possible. Standard Contractual Clauses.

Legal basis for all sub-processors: Art. 6(1)(b) GDPR (contract performance). NOOVA ensures all sub-processors maintain adequate technical and organizational measures and, where required, data processing agreements are in place.

16. Website Technologies and Cookies

16.1 Website Platform (WordPress)

The NOOVA website (noova.club) is operated using WordPress. WordPress is a content management system by Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA (for self-hosted installations, Automattic is not the data processor but merely the software provider).

The WordPress installation is operated on Hetzner servers in Germany. Automattic does not have access to data processed on noova.club.

WordPress-native processing: Session cookies for logged-in users (wordpress_logged_in_*, wordpress_sec_*). Comment cookies (if comment functionality is enabled). Login cookies for session management.

16.2 Page Builder (Elementor)

Provider: Elementor Ltd., Ramat Gan, Israel.
Privacy Policy: https://elementor.com/about/privacy/

Elementor is used as the page builder for website design. Elementor may collect usage data for product improvement if enabled in the plugin configuration. NOOVA disables tracking features where possible. Elementor does not set its own cookies for website visitors.

16.3 Google Fonts

Provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland.
Privacy Policy: https://policies.google.com/privacy

The website may use Google Fonts for typeface rendering. When loading the website, a connection to Google servers is established, during which the visitor's IP address is transmitted to Google. NOOVA strives to self-host Google Fonts to avoid data transfer to Google. Where Google Fonts are loaded via Google servers, this is based on Art. 6(1)(f) GDPR (legitimate interest in consistent visual presentation).

Third Country Transfer: USA possible. EU-US Data Privacy Framework and/or Standard Contractual Clauses.

16.4 Gravatar

Provider: Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA.
Privacy Policy: https://automattic.com/privacy/

WordPress may load Gravatar profile images by default. This involves transmitting a hash of the email address to Automattic servers to retrieve an associated profile image. NOOVA disables Gravatar where possible to avoid unnecessary data transfers.

16.5 WordPress Plugins

NOOVA may use the following plugin categories on the website:

SEO Plugins (e.g., Yoast SEO, Rank Math): These plugins do not process personal data of website visitors. They serve to optimize meta tags and page structure.

Support Plugins (e.g., SupportCandy): When using the support form, the user's name, email address, and message are processed. Legal basis: Art. 6(1)(b) GDPR (pre-contractual measures) or Art. 6(1)(f) GDPR (legitimate interest in responding to inquiries). Data is stored on the NOOVA server (Hetzner, Germany).

Newsletter Plugins: Where NOOVA offers a newsletter, the subscriber's email address and optionally name are processed. Registration uses a double opt-in procedure. Unsubscription is possible at any time via the unsubscribe link in each email. Legal basis: Art. 6(1)(a) GDPR (consent).

Security Plugins: May log IP addresses and login attempts to protect the website from attacks. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in IT security).

16.6 Cookies

NOOVA uses the following cookies in the web application and on the website:

Strictly Necessary Cookies: For login, session management, CSRF protection, language settings, cookie consent storage. These cookies are essential for operation and cannot be disabled. Legal basis: § 25(2)(2) TDDDG.

Functional Cookies: For user preferences, dashboard configuration, preferred views. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in user-friendly presentation).

Analytics Cookies (where used): For service improvement. Only with explicit consent pursuant to § 25(1) TDDDG / Art. 6(1)(a) GDPR. Consent can be withdrawn at any time via the cookie banner or cookie settings.

Details in the separate Cookie Policy on noova.club.

17. Automated Decisions

No automated decision-making within the meaning of Art. 22 GDPR takes place that produces legal effects or similarly significantly affects the data subject. AI-powered suggestions (e.g., text or hashtag suggestions) are recommendations that the Administrator reviews and independently accepts or rejects.

18. Data Deletion and Revocation of Platform Access

18.1 Disconnecting Individual Platforms
The Administrator can disconnect any connected platform at any time in the NOOVA settings. Upon disconnection: access tokens are immediately and irrevocably deleted; access to the platform account is terminated; scheduled posts for that platform are cancelled.

18.2 Complete Data Deletion
The Administrator can request complete deletion of all data associated with their person or account via email to support@noova.club. NOOVA will complete the deletion within 30 days, unless statutory retention obligations apply.

18.3 Account Deletion
Upon account deletion: all platform connections are disconnected, all access tokens deleted, all content, media, and analytics data deleted (after the 30-day export period), billing data retained per statutory requirements.

18.4 Revocation Outside NOOVA
In addition to disconnecting in NOOVA, the Administrator can revoke access directly in the respective platform's settings: Facebook/Instagram: Settings → Apps and Websites; TikTok: Settings → Security → Manage apps; LinkedIn: Settings → Privacy → Permitted services; X: Settings → Security → Connected apps; Google: myaccount.google.com → Security → Third-party apps; Pinterest: Settings → Security → Apps.

19. Updates to this Privacy Policy

NOOVA reserves the right to update this Privacy Policy to reflect changes in data processing, legal requirements, or technical developments. For material changes, NOOVA notifies via email to the address stored in the account. The current version is always available on noova.club.

Contract Language: The German version of this Privacy Policy is authoritative. An English translation serves informational purposes only.

Kostenlose Social Media Tools

Datenschutzerklärung

1. Begriffsbestimmungen

2. Verantwortlicher im Sinne der DSGVO

3. Grundstruktur der Datenverarbeitung

4. Datenverarbeitung bei Registrierung

5. Verarbeitung bei Social Login

6. Anbindung von Social-Media-Plattformen – Allgemein

7. Plattformbezogene Datenschutzhinweise – Detailliert

8. Medienquellen-Integration

9. KI-Integrationen

10. Link-Shortener-Dienste

11. Speicherdauer

12. Internationale Datenübermittlungen

13. Sicherheit

14. Rechte der Betroffenen

15. Auftragsverarbeitung und Unterauftragsverarbeiter

16. Website-Technologien und Cookies

17. Automatisierte Entscheidungen

18. Datenlöschung und Widerruf von Plattformzugriffen

19. Aktualisierung der Datenschutzerklärung

1. Definitions

2. Controller under the GDPR

3. Data Processing Structure

4. Data Processing During Registration

5. Social Login Processing

6. Social Media Platform Connection – General

7. Platform-Specific Privacy Information – Detailed

8. Media Source Integrations

9. AI Integrations

10. Link Shortener Services

11. Data Retention

12. International Data Transfers

13. Security

14. Data Subject Rights

15. Data Processing Agreement

16. Website Technologies and Cookies

17. Automated Decisions

18. Data Deletion and Revocation of Platform Access

19. Updates to this Privacy Policy

Sofort loslegen

Persönliche Demo

Gratis Playbook

Noch Fragen? Wir sind für dich da.

Buche deine persönliche Demo