Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

OCENOX LTD
82 The Circle, Manly
Whangaparāoa, 0930, New Zealand
E-Mail: webmaster@ocenox.com

ONOXIA ist ein SaaS-Produkt der OCENOX LTD. Diese Datenschutzerklärung erläutert, wie wir personenbezogene Daten auf der Plattform onoxia.nz sowie über das ONOXIA Chat-Widget verarbeiten.

2. Anwendbares Datenschutzrecht

Für Besucher und Kunden aus der EU/dem EWR gelten die Bestimmungen der Datenschutz-Grundverordnung (DSGVO). Für alle anderen gelten die Bestimmungen des New Zealand Privacy Act 2020.

3. Cookies

ONOXIA verwendet keine Tracking-, Werbe- oder Analyse-Cookies. Es gibt kein Google Analytics und keinen Cookie-Consent-Banner, da keine einwilligungspflichtigen Cookies gesetzt werden.

Das Chat-Widget (eingebettet auf Kunden-Websites) setzt keine Cookies. Es verwendet ausschließlich sessionStorage im Browser des Besuchers, um die aktuelle Chat-Sitzung (Session-ID und Nachrichtenverlauf) zwischenzuspeichern. sessionStorage ist an den jeweiligen Browser-Tab gebunden: Die Daten werden nicht an unsere oder andere Server übermittelt, sind für andere Tabs oder Websites nicht zugänglich und werden automatisch gelöscht, sobald der Tab geschlossen wird. Im Gegensatz zu Cookies werden sessionStorage-Daten nicht mit HTTP-Anfragen mitgesendet.

Das Dashboard (onoxia.nz/app) setzt für eingeloggte Kunden folgende technisch notwendige Cookies:

Cookie	Zweck	Dauer	Typ
onoxia_session	Session-Verwaltung für Login	Session (2 Std.)	Technisch notwendig
XSRF-TOKEN	CSRF-Schutz gegen Formular-Angriffe	Session (2 Std.)	Technisch notwendig

Diese Cookies sind gemäß Art. 6 Abs. 1 lit. f DSGVO ohne Einwilligung zulässig, da sie für den Betrieb des Dienstes zwingend erforderlich sind.

Zur Speicherung der Spracheinstellung auf der Landing-Page wird localStorage verwendet. Diese Daten verlassen den Browser nicht und werden nicht an unsere Server übermittelt.

4. Daten bei Nutzung der Website

4.1 Server-Logfiles

Beim Besuch unserer Website werden durch den Webserver automatisch Informationen in Server-Logfiles gespeichert:

• Anonymisierte IP-Adresse (gehasht, nicht rückführbar)
• Datum und Uhrzeit der Anfrage
• Angeforderte URL
• Referrer-URL
• Verwendeter Browser und Betriebssystem

IP-Anonymisierung: IP-Adressen werden vor der Speicherung mittels kryptographischem Hashing anonymisiert. Eine Rückführung auf die ursprüngliche IP-Adresse ist nicht möglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und dem Betrieb der Website).

4.2 Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben zur Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

5. Daten bei Registrierung (SaaS-Plattform)

Bei der Registrierung als Kunde auf onoxia.nz erheben wir:

• Firmenname und Ansprechpartner
• E-Mail-Adresse
• Rechnungsadresse
• Zahlungsinformationen (verarbeitet durch Stripe und/oder Xero, nicht bei uns gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.1 Zahlungsabwicklung

Für die Zahlungsabwicklung nutzen wir je nach Region und Währung unterschiedliche Dienstleister:

• Stripe (Stripe, Inc., USA) — Kreditkartenzahlung, Apple Pay, Google Pay für EUR- und NZD-Kunden. Kreditkartendaten werden ausschließlich von Stripe verarbeitet und niemals auf unseren Servern gespeichert.
• GoCardless (GoCardless Ltd, London, UK) — SEPA-Lastschrift für EUR-Kunden.
• Xero (Xero Limited, Neuseeland) — Rechnungsstellung für EUR- und NZD-Kunden.
• Paddle (Paddle.com Market Ltd, London, UK) — Zahlungsabwicklung für alle übrigen Währungen (USD u. a.). Paddle agiert als Merchant of Record und ist Vertragspartner für die Zahlungsabwicklung. Paddle erhebt und verarbeitet Zahlungsdaten eigenverantwortlich. Es gelten zusätzlich die Datenschutzerklärung von Paddle sowie die Nutzungsbedingungen von Paddle. Bei Fragen zu Paddle-Zahlungen wenden Sie sich an den Paddle Käufer-Support.

6. Daten im Chat-Widget

Das ONOXIA Chat-Widget wird von unseren Kunden auf deren Websites eingebunden. Wenn Endnutzer mit dem Widget interagieren, werden folgende Daten verarbeitet:

6.1 Erhobene Daten

• Chat-Nachrichten: Textnachrichten, die der Endnutzer an den Bot sendet
• Session-ID: Eine zufällig generierte ID zur Zuordnung der Chat-Sitzung (kein Tracking über Sitzungen hinweg)
• IP-Adresse: Wird sofort mittels kryptographischem Hashing anonymisiert, die Original-IP wird nicht gespeichert
• Browser-Informationen: User-Agent-String für die technische Kompatibilität

6.2 Keine erhobenen Daten

• Keine Cookies
• Kein Fingerprinting
• Kein sitzungsübergreifendes Tracking
• Keine Standortdaten

6.3 KI-Verarbeitung

Chat-Nachrichten werden zur Generierung von Antworten an KI-Schnittstellen übermittelt. Je nach Konfiguration und Sprachpaar kommen folgende Anbieter zum Einsatz:

• Mistral AI (Mistral AI SAS, Paris, Frankreich) — Europäischer KI-Anbieter, Verarbeitung innerhalb der EU.
• OpenRouter (OpenRouter, Inc., USA) — KI-Modell-Router für Modelle wie Qwen und Gemini. Daten können in die USA übermittelt werden; OpenRouter verfügt über geeignete Garantien gemäß Art. 46 DSGVO (EU-Standardvertragsklauseln).

Die Auswahl des KI-Anbieters erfolgt automatisch basierend auf der konfigurierten Sprache und dem Modell. Der Website-Betreiber kann die Modellauswahl im Dashboard einsehen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse unserer Kunden an automatisiertem Kundenservice).

6.4 Auftragsverarbeitung

OCENOX LTD agiert als Auftragsverarbeiter im Auftrag der Kunden (Website-Betreiber), die das ONOXIA-Widget einsetzen. Die Website-Betreiber sind datenschutzrechtlich Verantwortliche für die Verarbeitung der Endnutzerdaten.

7. Serverstandort und Datentransfer

Unsere Server befinden sich in Finnland (EU). Die KI-Verarbeitung erfolgt primär durch Mistral AI in Frankreich (EU).

Datentransfer außerhalb der EU/des EWR:

• Stripe (USA) — Rechnungsdaten für Kreditkartenzahlungen. Garantien gemäß Art. 46 DSGVO (EU-Standardvertragsklauseln).
• OpenRouter (USA) — Chat-Nachrichten zur KI-Verarbeitung, sofern ein nicht-europäisches Modell konfiguriert ist. Garantien gemäß Art. 46 DSGVO (EU-Standardvertragsklauseln).
• Paddle (UK) — Zahlungsdaten für Nicht-EUR/NZD-Kunden. Das Vereinigte Königreich verfügt über einen Angemessenheitsbeschluss der EU-Kommission.
• GoCardless (UK) — SEPA-Lastschriftdaten. Angemessenheitsbeschluss der EU-Kommission.
• Xero (Neuseeland) — Rechnungsdaten. Neuseeland verfügt über einen Angemessenheitsbeschluss der EU-Kommission.
• Kie.ai (USA) — Generierung von Avatar-Bildern. Es werden ausschließlich Textprompts übermittelt, keine personenbezogenen Daten.

8. Datenaufbewahrung

Datentyp	Aufbewahrungsfrist
Chat-Nachrichten	Konfigurierbar je Plan (Standard: 90 Tage)
Session-Daten	Konfigurierbar je Plan (Standard: 90 Tage)
Server-Logfiles	14 Tage
Kundenkonto-Daten	Dauer der Geschäftsbeziehung + gesetzliche Aufbewahrungsfristen
Rechnungsdaten	7 Jahre (gesetzliche Aufbewahrungspflicht)

Die automatische Löschung abgelaufener Daten wird durch unser System täglich durchgeführt.

9. Ihre Rechte (DSGVO)

Als Betroffener haben Sie folgende Rechte:

• Auskunft (Art. 15 DSGVO) — Welche Daten wir über Sie gespeichert haben
• Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten
• Einschränkung (Art. 18 DSGVO) — Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO) — Erhalt Ihrer Daten in maschinenlesbarem Format
• Widerspruch (Art. 21 DSGVO) — Widerspruch gegen die Verarbeitung

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter webmaster@ocenox.com.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

10. Drittanbieter

Dienst	Anbieter	Zweck	Standort
Mistral AI	Mistral AI SAS, Paris	KI-Chatbot-Antworten	Frankreich (EU)
OpenRouter	OpenRouter, Inc.	KI-Modell-Routing (Qwen, Gemini u. a.)	USA (EU-SCC)
Kie.ai	Kie AI, Inc.	Avatar-Bildgenerierung	USA
Stripe	Stripe, Inc.	Kreditkartenzahlung (EUR, NZD)	USA (EU-SCC)
GoCardless	GoCardless Ltd	SEPA-Lastschrift (EUR)	UK (Angemessenheitsbeschluss)
Paddle	Paddle.com Market Ltd	Zahlungsabwicklung (Merchant of Record, USD u. a.)	UK (Angemessenheitsbeschluss)
Xero	Xero Limited	Rechnungsstellung (EUR, NZD)	Neuseeland (Angemessenheitsbeschluss)
Google Fonts	Google LLC	Schriftart (Montserrat)	CDN (EU-SCC)

11. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unseres Dienstes anzupassen. Die aktuelle Fassung finden Sie stets auf dieser Seite.