Datenschutzerklärung
Diese Erklärung beschreibt, welche personenbezogenen Daten wir verarbeiten, wenn du norma.app besuchst und nutzt, zu welchem Zweck und auf welcher Rechtsgrundlage (Art. 13 DSGVO).
Verantwortlicher
Lennart Schlimmgen
Pücklerstraße 17
10997 Berlin
E-Mail:
lennart.schlimmgen@proton.me
Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich (Art. 37 DSGVO i. V. m. § 38 BDSG).
Aufruf der Website (Server-Logs)
Beim Aufruf der Seiten erhebt unser Hoster automatisch technische Protokolldaten: IP-Adresse, Zeitstempel, Anfrage-Methode und URL, HTTP-Status, übertragene Datenmenge, Browserkennung (User-Agent) und Verweis-URL.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am technisch fehlerfreien Betrieb und an der Abwehr von Angriffen). Die Logs werden spätestens nach 14 Tagen automatisiert gelöscht oder anonymisiert.
Hosting (Hetzner)
Norma wird auf Servern der Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland gehostet. Rechenzentrums-Standort ist Deutschland. Mit Hetzner besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.
Nutzerkonto
Bei der Einrichtung deines Kontos speichern wir die folgenden Daten: E-Mail-Adresse, Anzeigename, Profilbild-URL (von Google), Zeitzone, gewählte Lernpräferenzen (z. B. Examenstermin, KI-Provider), Abostatus, Onboarding-Status.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — ohne Konto ist kein Zugang möglich). Die Daten werden gespeichert, bis du dein Konto löschst; nach Löschung werden sie innerhalb von 30 Tagen unwiderruflich entfernt (Karenz für Wiederherstellung).
Anmeldung über Google (OAuth)
Die Anmeldung erfolgt ausschließlich über dein Google-Konto (Google OAuth 2.0 / OpenID Connect). Beim erstmaligen Anmelden übermittelt Google an Norma deine E-Mail-Adresse, deinen Anzeigenamen und — sofern hinterlegt — die URL deines Profilbilds.
Beim Klick auf „Mit Google fortfahren" wirst du zu einem Server von Google weitergeleitet. Google verarbeitet dabei deine IP-Adresse und weitere Daten nach den eigenen Datenschutzbestimmungen. Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung: Zugang zum Nutzerkonto). Auf die Speicherung von Passwörtern bei Norma wird bewusst verzichtet.
Lerndaten
Wir speichern die von dir angelegten oder importierten Karten, Stapel, Notizen, Favoriten sowie die vom FSRS-Algorithmus erfassten Wiederholungs-Statistiken. Diese Daten sind deinem Konto zugeordnet und dienen ausschließlich der Bereitstellung der Lernfunktion.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Du kannst deine
Lerndaten jederzeit innerhalb der App als .apkg- oder
.json-Export herunterladen oder einzeln löschen.
Bezahlung über Stripe
Für kostenpflichtige Abos nutzen wir Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Stripe wickelt die Zahlung direkt ab (Karte oder SEPA-Lastschrift); Norma sieht und speichert keine Zahlungsdaten, sondern erhält von Stripe nur eine Kundenkennung, den Abostatus, das Trial-Ablaufdatum und die Rechnungsperiode.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Details zur Verarbeitung bei Stripe: stripe.com/de/privacy.
KI-Funktionen
Bestimmte Funktionen (Karten-Generierung, Karten-Prüfung, Befund-Vorschläge) senden den Inhalt deiner Karte und optional einen Norm-Auszug an den von dir in den Einstellungen ausgewählten KI-Anbieter:
- Anthropic Ireland Limited (Claude), Dublin, Irland.
- OpenAI Ireland Limited (GPT), Dublin, Irland.
- Google Ireland Limited (Gemini), Dublin, Irland.
Die Anbieter verarbeiten die Anfragen in unserem Auftrag (Art. 28 DSGVO) und speichern Eingaben in der Regel maximal 30 Tage zur Missbrauchsprävention; eine Nutzung zum Modelltraining ist vertraglich ausgeschlossen. Wir übermitteln personenbezogene Daten nur insoweit, als du sie selbst in den Karteninhalt eingibst.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), soweit du die optionale KI-Funktion aktiv auslöst.
Cookies
Norma setzt ausschließlich ein technisch notwendiges, signiertes Sitzungs-Cookie für die Anmeldung. Es findet kein Tracking, keine Analytics, keine Drittanbieter-Cookies und kein Re-Marketing statt. Ein Einwilligungs-Banner ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).
Empfänger und Drittlandtransfer
Außerhalb der oben genannten Auftragsverarbeiter geben wir personenbezogene Daten nicht an Dritte weiter, es sei denn, wir sind gesetzlich dazu verpflichtet (z. B. Behördenauskunft).
Google, OpenAI und Anthropic sind Tochterunternehmen US-amerikanischer Mütter; die Verarbeitung erfolgt vertraglich über die jeweiligen EU-Niederlassungen. Auf Konzernebene sind EU-Standardvertragsklauseln (SCC, Beschluss 2021/914) abgeschlossen; das EU-US Data Privacy Framework gilt zusätzlich, soweit die jeweilige Konzernmutter zertifiziert ist.
Deine Rechte
Dir stehen folgende Rechte zu:
- Auskunft über die zu deiner Person gespeicherten Daten (Art. 15).
- Berichtigung unrichtiger Daten (Art. 16).
- Löschung deines Kontos und der zugehörigen Daten (Art. 17) — direkt in den Konto-Einstellungen.
- Einschränkung der Verarbeitung (Art. 18).
- Datenübertragbarkeit (Art. 20) — Lerndaten exportierst du direkt in der App.
- Widerspruch gegen Verarbeitungen aufgrund berechtigten Interesses (Art. 21).
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3).
Für eine Anfrage genügt eine formlose Mail an lennart.schlimmgen@proton.me. Außerdem hast du das Recht, dich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren (für den Sitz Berlin: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59–61, 10555 Berlin).
Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, wenn sich Verarbeitungen oder rechtliche Anforderungen ändern. Die jeweils aktuelle Fassung findest du immer unter norma.app/datenschutz. Bei wesentlichen Änderungen informieren wir dich zusätzlich per E-Mail.
Stand: 26. Mai 2026.