Datenschutz.

Stand Mai 2026 · Nextaim GmbH

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Website und im Rahmen der Noirdoc-Plattform ist:

Nextaim GmbH
Steinerstraße 15, 81369 München, Deutschland
E-Mail: hello@noirdoc.de
Geschäftsführer: Denis Amedov, Antonio Maiolo

2. Überblick der Plattform

Noirdoc ist eine KI-Plattform aus Deutschland mit zwei heute verfügbaren Produkten und drei weiteren in Entwicklung:

  • Mask — OpenAI-kompatibler Pseudonymisierungs-Proxy, der personenbezogene Daten vor dem Versand an externe LLM-Anbieter erkennt und durch Platzhalter ersetzt.
  • Studio — schlüsselfertige KI-Anwendung mit Chat, Dokumentensuche und Tools, betrieben als On-Premise-Installation oder als Single-Tenant-Instanz in deutschen Rechenzentren.
  • Models · RAG · Agents — Plattform-APIs in Entwicklung, geplante Verfügbarkeit Q3–Q4 2026.

Welche Daten konkret verarbeitet werden, hängt vom genutzten Produkt und der Lieferform ab. Die folgenden Abschnitte erläutern dies pro Produkt.

3. Mask · Pseudonymisierung

3.1 Mask Managed (Hosted in Frankfurt)

Wenn Sie den von Nextaim betriebenen Mask-Proxy nutzen, werden API-Anfragen über unsere Server in Frankfurt (Hetzner Online GmbH) geleitet. Dabei verarbeiten wir folgende Daten:

  • Anfrageinhalt — der vom Client gesendete Text wird vorübergehend im Arbeitsspeicher entgegengenommen, um personenbezogene Daten (Namen, E-Mail-Adressen, Telefonnummern, IBANs, Steuer-IDs, Adressen) und geschäftskritische Daten (Firmennamen, Standorte) durch Platzhalter zu ersetzen.
  • Pseudonymisierungs-Mapping — die Zuordnung zwischen Platzhaltern und Originaldaten wird sessionbasiert vorgehalten und nach Ablauf der konfigurierten TTL (Standard: 30 Tage, einstellbar 0–365 Tage) automatisch gelöscht.
  • Audit-Metadaten — Zeitstempel, Tenant-Kennung, Anzahl und Typ erkannter Felder werden protokolliert. Der Klartext der Anfrage selbst wird nicht dauerhaft gespeichert.
  • Weiterleitung — die pseudonymisierte Anfrage wird an den vom Kunden konfigurierten LLM-Anbieter (z.B. OpenAI, Anthropic, Azure OpenAI) weitergegeben. Der Klartext verlässt Deutschland nicht.

3.2 Mask Self-Hosted

Beim Self-Hosting läuft die Mask-Engine vollständig auf Ihrer eigenen Infrastruktur. Nextaim hat keinen Zugriff auf Anfragedaten, Mappings oder Audit-Logs.

3.3 Mask Dedicated (Single-Tenant)

Für dedizierte Instanzen in einem deutschen Rechenzentrum gelten die Maßgaben aus 3.1; zusätzlich werden Daten ausschließlich auf einer für Sie reservierten Instanz verarbeitet.

4. Studio · Anwendung für KMUs

4.1 Studio Cloud (Single-Tenant in Deutschland)

Studio wird als Single-Tenant-Instanz in Frankfurt oder München (Hetzner) betrieben. Hierbei verarbeiten wir auftragsweise:

  • Nutzerkonten und Auth-Daten — Name, geschäftliche E-Mail, Rollen und Sitzungsinformationen Ihrer Mitarbeiter.
  • Indexierte Dokumente — die von Ihnen hochgeladenen Dokumente werden in einem Vektor-Index gespeichert und nur über Ihre Instanz abrufbar gemacht.
  • Chat-Verläufe — Konversationen werden Ihrer Instanz zugeordnet gespeichert und nach 30 Tagen automatisch gelöscht (Retention konfigurierbar).
  • LLM-Weiterleitung — Anfragen an externe LLM-Anbieter durchlaufen den eingebauten Mask-Proxy. Klartext personenbezogener Daten verlässt Deutschland nicht.

4.2 Studio On-Premise

Im On-Premise-Betrieb läuft Studio vollständig auf Ihrer eigenen Infrastruktur. Nextaim erbringt im Rahmen eines gesonderten Wartungsvertrags ggf. Support- und Update-Leistungen, hat aber keinen Zugriff auf produktive Daten.

5. Models · RAG · Agents (in Entwicklung)

Models (Q3 2026), RAG (Q3–Q4 2026) und Managed Agents (Q4 2026) sind noch nicht produktiv. Sobald diese Dienste verfügbar sind, wird diese Datenschutzerklärung um die entsprechenden Abschnitte ergänzt. Pilot-Teilnehmer erhalten vorab ein gesondertes Verarbeitungs-Briefing.

6. Datenverarbeitung auf der Website

Diese Website (noirdoc.de) wird statisch aus einem deutschen Rechenzentrum (Hetzner Online GmbH, Nürnberg) ausgeliefert. Wir setzen keine Analyse-Tools, keine Tracking-Pixel und keine Cookies ein. Es werden keine personenbezogenen Daten über Besucher erhoben oder an Dritte übermittelt.

7. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung im Rahmen der von Ihnen beauftragten Dienste.
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (IT-Sicherheit, Reichweitenmessung).
  • Art. 28 DSGVO — Auftragsverarbeitung für Mask Managed, Mask Dedicated und Studio Cloud.

8. Auftragsverarbeitung und § 203 StGB

Für Mask Managed, Mask Dedicated und Studio Cloud schließen wir standardmäßig einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Für Berufsgeheimnisträger (Rechtsanwälte, Ärzte, Steuerberater u.a.) ergänzen wir auf Anfrage eine Schweigepflichtsvereinbarung nach § 203 Abs. 3 StGB. Anfragen richten Sie an hello@noirdoc.de.

9. Drittanbieter und Subverarbeiter

  • Hetzner Online GmbH (Falkenstein / Frankfurt / Nürnberg, DE) — Betrieb der Mask-, Studio-Cloud- und Marketing-Website-Infrastruktur.
  • Externe LLM-Anbieter — OpenAI, Anthropic, Azure OpenAI (jeweils USA bzw. EU-Regionen) und weitere vom Kunden konfigurierte Anbieter. Es werden ausschließlich pseudonymisierte Anfragen weitergeleitet.

10. Ihre Rechte

Sie haben gemäß DSGVO das Recht auf:

  • Auskunft über Ihre bei uns gespeicherten Daten (Art. 15)
  • Berichtigung unrichtiger Daten (Art. 16)
  • Löschung (Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch (Art. 21)

Zur Ausübung Ihrer Rechte schreiben Sie an hello@noirdoc.de. Beschwerden richten Sie an das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), www.lda.bayern.de.

11. Cookies

Diese Website setzt keine Cookies. Es werden keine Profildaten oder Tracking-Informationen im Browser gespeichert.

12. Kontakt

Bei Fragen zu dieser Datenschutzerklärung erreichen Sie uns unter hello@noirdoc.de.

13. Änderungen

Wir aktualisieren diese Erklärung, sobald sich Verarbeitungen, Subverarbeiter oder Rechtsgrundlagen ändern. Maßgeblich ist der oben angegebene Stand.