NORVIX

Datenschutzerklärung / Privacy Policy

Stand / Effective date: 15. April 2026 · gruszeninkst@gmail.com

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung in der mobilen Anwendung NORVIX ist:

Tom Gruszeninks
E-Mail: gruszeninkst@gmail.com
Einzelunternehmer / Sole developer

Hinweis: Diese Privatadresse wird auf Wunsch für berechtigte Anfragen zur Verfügung gestellt. Für alle datenschutzrechtlichen Anliegen bitte die oben genannte E-Mail-Adresse nutzen.

2. Welche Daten wir erheben

NORVIX erhebt und verarbeitet nur Daten, die für den Betrieb der App erforderlich sind:

Kategorie	Inhalt	Zweck
Account-Daten	E-Mail-Adresse, verschlüsseltes Passwort, optional Name	Registrierung, Login, Account-Wiederherstellung
Nutzerinhalte	Ziele, Aufgaben, Projekte, Kategorien, Zeiterfassung, Notizen	Kernfunktion der App (persönliches Produktivitäts-Tracking)
KI-Verläufe	Chatnachrichten an den AI Coach, zugehörige Antworten	Bereitstellung des AI-Coach-Features, Kontext zwischen Nachrichten
App-Einstellungen	Sprache, Theme, Benachrichtigungszeiten, Abo-Status	Personalisierung der App-Erfahrung
Geräte-Token (optional)	Push-Notification-Token	Versand von Tagesbriefings, Task-Erinnerungen, Streak-Warnungen
Kalenderdaten (optional)	Leseseitiger Zugriff auf Gerätekalender	Erkennen von Meetings, um Push-Benachrichtigungen aufzuschieben

NORVIX erhebt keine: Standortdaten, Kontakte, Fotos (außer manuell geteilte), Werbe-IDs, biometrische Daten, Gesundheitsdaten oder Zahlungsdaten. Zahlungen laufen ausschließlich über Apple App Store bzw. Google Play Store.

3. Rechtsgrundlagen (Art. 6 DSGVO)

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Account-Daten und Nutzerinhalte zur Bereitstellung der App.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Kalenderzugriff, Push-Benachrichtigungen, AI-Coach-Verläufe — jederzeit in den App-Einstellungen oder Systemeinstellungen widerrufbar.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Technische Logs zur Fehlerbehebung und Sicherheitsüberwachung.

4. Auftragsverarbeiter / Drittanbieter

Wir nutzen folgende Dienstleister, mit denen Auftragsverarbeitungsverträge bestehen bzw. deren Standard-DPAs akzeptiert wurden:

Anbieter	Zweck	Standort / Rechtsgrundlage für Drittlandtransfer
Supabase, Inc.	Datenbank, Authentifizierung, Backend-Infrastruktur	Server-Region: Frankfurt, Deutschland (eu-central-1). Daten werden innerhalb der EU gespeichert. Betreibergesellschaft in den USA — SCCs der EU-Kommission.
OpenAI, L.L.C.	Verarbeitung von AI-Coach-Anfragen (Modell: GPT-4o-mini). Eingaben werden an OpenAI gesendet und beantwortet.	USA — Standardvertragsklauseln (SCCs) der EU-Kommission. OpenAI nutzt Eingaben nicht zum Modelltraining (API-Terms).
Apple Inc.	App-Vertrieb (App Store), Push-Notifications (APNs), In-App-Käufe	USA/weltweit — Apple-eigene Datenschutzrichtlinie gilt für Zahlungsabwicklung.
Google LLC	App-Vertrieb (Google Play), Push-Notifications (FCM), In-App-Käufe	USA/weltweit — Google-eigene Datenschutzrichtlinie gilt für Zahlungsabwicklung.
Expo / EAS	Build-Infrastruktur und Over-the-Air-Updates der App	USA — SCCs. Nutzt keine personenbezogenen Daten der Endnutzer.

5. Speicherdauer

Account-Daten & Nutzerinhalte: bis zur Löschung des Accounts durch den Nutzer.
KI-Verläufe: lokal auf dem Gerät gespeichert; zusätzlich bei OpenAI gemäß deren Speicherrichtlinie (derzeit max. 30 Tage zur Missbrauchserkennung, danach gelöscht).
Technische Logs: max. 30 Tage.
Nach Account-Löschung: sämtliche personenbezogenen Daten werden innerhalb von 30 Tagen unwiderruflich aus unseren Datenbanken entfernt.

6. Deine Rechte

Nach DSGVO stehen dir folgende Rechte zu:

Auskunft (Art. 15): Welche Daten wir über dich gespeichert haben.
Berichtigung (Art. 16): Korrektur unrichtiger Daten.
Löschung (Art. 17): direkt in der App unter Einstellungen → Account → Account löschen.
Einschränkung (Art. 18): Einschränkung der Verarbeitung.
Datenübertragbarkeit (Art. 20): Export deiner Daten unter Einstellungen → Daten exportieren.
Widerspruch (Art. 21): Widerspruch gegen die Verarbeitung.
Widerruf erteilter Einwilligungen (Art. 7 Abs. 3): z.B. Kalenderzugriff, Push-Benachrichtigungen.
Beschwerde (Art. 77): bei der zuständigen Aufsichtsbehörde, in Deutschland z.B. der Landesdatenschutzbeauftragte deines Bundeslandes oder der BfDI.

Für alle Anliegen: gruszeninkst@gmail.com

7. Sicherheit

Wir schützen deine Daten durch Transportverschlüsselung (HTTPS/TLS) zwischen App und Servern, verschlüsselte Speicherung bei Supabase (at-rest encryption), serverseitiges Hashing von Passwörtern (bcrypt) und striktes Row-Level-Security-Modell: Nutzer können nur ihre eigenen Daten lesen und schreiben.

8. Kinder

NORVIX richtet sich an Personen ab 13 Jahren. Wir erheben wissentlich keine Daten von Kindern unter 13. Falls Eltern Kenntnis davon erhalten, dass ein Kind unter 13 einen Account erstellt hat, bitte umgehend Kontakt per E-Mail aufnehmen.

9. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung bei relevanten Änderungen des Dienstes oder der Rechtslage anpassen. Die aktuelle Version ist stets unter dieser URL abrufbar. Wesentliche Änderungen werden zusätzlich in der App kommuniziert.

10. Kontakt

Fragen, Auskunftsanfragen, Beschwerden: gruszeninkst@gmail.com

1. Data Controller

The data controller for the NORVIX mobile application is:

Tom Gruszeninks
Email: gruszeninkst@gmail.com
Sole developer (Einzelunternehmer, Germany)

2. Data We Collect

NORVIX only collects data necessary to operate the app:

Category	Contents	Purpose
Account data	Email address, hashed password, optional display name	Registration, login, account recovery
User content	Goals, tasks, projects, categories, time-tracking sessions, notes	Core app functionality (personal productivity tracking)
AI history	Messages sent to the AI Coach and the responses	Providing the AI-Coach feature with conversation context
App preferences	Language, theme, notification schedule, subscription status	Personalizing the app experience
Device tokens (optional)	Push notification token (APNs / FCM)	Delivering daily briefings, task reminders, streak warnings
Calendar data (optional)	Read-only access to device calendar	Detecting meetings in order to defer push notifications

NORVIX does NOT collect: location data, contacts, photos (unless manually shared), advertising IDs, biometric data, health data, or payment card data. All payments are handled exclusively by Apple App Store or Google Play Store.

3. Legal Basis (GDPR Art. 6)

Art. 6(1)(b) — Contract performance: account data and user content to provide the app.
Art. 6(1)(a) — Consent: calendar access, push notifications, AI Coach usage — revocable anytime via app or device settings.
Art. 6(1)(f) — Legitimate interest: technical logs for debugging and security monitoring.

4. Processors / Third Parties

Provider	Purpose	Location / Transfer Safeguards
Supabase, Inc.	Database, authentication, backend infrastructure	Server region: Frankfurt, Germany (eu-central-1). Data is stored in the EU. Corporate entity in the US — EU Standard Contractual Clauses (SCCs).
OpenAI, L.L.C.	Processing of AI Coach requests (model: GPT-4o-mini). Inputs are sent to OpenAI and answered.	USA — EU SCCs. OpenAI does not use API inputs for model training (per OpenAI API Terms).
Apple Inc.	App distribution (App Store), Push Notifications (APNs), In-App Purchases	USA / worldwide — Apple's own privacy policy applies to payment processing.
Google LLC	App distribution (Google Play), Push Notifications (FCM), In-App Purchases	USA / worldwide — Google's own privacy policy applies to payment processing.
Expo / EAS	Build infrastructure and over-the-air updates	USA — EU SCCs. Does not process end-user personal data.

5. Data Retention

Account data & user content: until the user deletes their account.
AI history: stored locally on the device; additionally at OpenAI per their retention policy (currently max. 30 days for abuse monitoring, then deleted).
Technical logs: max. 30 days.
After account deletion: all personal data is irreversibly removed from our databases within 30 days.

6. Your Rights

Under the GDPR, you have the following rights:

Access (Art. 15): what data we have about you.
Rectification (Art. 16): correction of inaccurate data.
Erasure (Art. 17): directly in the app under Settings → Account → Delete Account.
Restriction (Art. 18): restriction of processing.
Portability (Art. 20): export your data under Settings → Export Data.
Objection (Art. 21): object to processing.
Withdraw consent (Art. 7(3)): e.g. calendar access, push notifications.
Complaint (Art. 77): lodge a complaint with a supervisory authority (e.g. your German State Data Protection Commissioner or the BfDI).

For any request: gruszeninkst@gmail.com

7. Security

We protect your data with transport encryption (HTTPS/TLS) between app and servers, encrypted-at-rest storage at Supabase, server-side password hashing (bcrypt), and a strict Row-Level-Security model — users can only read and write their own data.

8. Children

NORVIX is intended for users 13 years of age or older. We do not knowingly collect data from children under 13. If a parent becomes aware that a child under 13 has created an account, please contact us by email immediately.

9. Changes to This Policy

We may update this Privacy Policy from time to time to reflect changes to the service or applicable law. The current version is always available at this URL. Material changes will additionally be communicated in the app.

10. Contact

Questions, access requests, complaints: gruszeninkst@gmail.com