Datenschutzerklärung
Zuletzt aktualisiert am 26. April 2026 · Version 2.0
Diese Datenschutzerklärung der Native AS („Native“, „Unternehmen“, „wir“, „uns“ oder „unser“) beschreibt, wie und warum wir Ihre personenbezogenen Daten erheben, speichern, verwenden und weitergeben („verarbeiten“), wenn Sie unsere Dienste („Dienste“) nutzen - wenn Sie https://native.no oder eine Website besuchen, die auf diese Erklärung verlinkt, die Native-Plattform nutzen, um Inhalte in sozialen Medien zu erstellen und zu veröffentlichen, oder auf andere Weise mit uns interagieren, etwa im Rahmen von Vertrieb, Marketing oder Veranstaltungen. Native ist eine B2B-Plattform, die Unternehmen dabei hilft, ihre Social-Media-Inhalte mithilfe künstlicher Intelligenz zu automatisieren. Wir haben Kunden in den USA, Norwegen, Schweden, Dänemark, Neuseeland und einer Reihe weiterer Länder, und diese Erklärung ist darauf ausgelegt, die Datenschutzgesetze aller Rechtsordnungen einzuhalten, in denen wir tätig sind - einschließlich der EU-Datenschutz-Grundverordnung (DSGVO), der Datenschutzgesetze der US-Bundesstaaten und des New Zealand Privacy Act 2020. Wenn Sie mit unseren Richtlinien nicht einverstanden sind, nutzen Sie die Dienste bitte nicht. Bei Fragen kontaktieren Sie uns unter hei@native.no oder über native.no/en/contact.
Zusammenfassung der wichtigsten Punkte
- Einleitung: Native legt großen Wert auf Ihre Privatsphäre und verpflichtet sich, Ihre personenbezogenen Daten durch transparente Praktiken zu schützen.
- Daten, die wir erheben: Wir erheben Daten, um die Dienste bereitzustellen und zu verbessern, darunter Kontodaten, Zahlungsdaten, von Ihnen erstellte Inhalte, Nutzungsdaten und Daten aus von Ihnen verbundenen Drittanbieter-Integrationen.
- Wie wir Ihre Daten verwenden: Wir verwenden Ihre Daten, um die Dienste bereitzustellen, zu betreiben und zu verbessern, Zahlungen zu verarbeiten, mit Ihnen zu kommunizieren, die Plattform abzusichern und rechtliche Verpflichtungen zu erfüllen.
- Einsatz von KI: Wir nutzen generative KI, um Inhalte im Auftrag unserer Kunden zu erstellen. Wir trainieren keine KI-Modelle mit Ihren Daten, und unseren KI-Anbietern ist es vertraglich untersagt, unsere Ein-/Ausgaben für Trainingszwecke zu verwenden.
- Rechtsgrundlagen: Wir verarbeiten Daten auf Grundlage von Vertrag, berechtigtem Interesse, Einwilligung und rechtlichen Verpflichtungen (Art. 6 DSGVO).
- Weitergabe personenbezogener Daten: Wir geben Daten an Dienstleister (Auftragsverarbeiter) im Rahmen von Auftragsverarbeitungsverträgen weiter, und nur soweit dies für die Bereitstellung der Dienste erforderlich ist. Wir verkaufen keine personenbezogenen Daten.
- Cookies: Wir verwenden Cookies auf Grundlage einer Einwilligung für nicht notwendige Cookies, im Einklang mit geltendem Recht (einschließlich der ePrivacy-Richtlinie in der EU und des CCPA in Kalifornien).
- Social Logins: Wenn Sie sich mit Google oder anderen Diensten anmelden, erhalten wir grundlegende Profildaten, die Sie autorisiert haben.
- Sicherheit: Wir setzen technische und organisatorische Schutzmaßnahmen im Einklang mit Art. 32 DSGVO und den Standards des US-Bundesstaatenrechts um, einschließlich Verschlüsselung, Zugriffskontrolle und MFA.
- Minderjährige: Native erhebt wissentlich keine Daten von Personen unter 18 Jahren und hält den Children's Online Privacy Protection Act (COPPA) für Nutzer unter 13 Jahren ein.
- Ihre Rechte: Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch und Widerruf der Einwilligung. Nutzer in den USA, der EU/dem EWR und Neuseeland haben bestimmte zusätzliche Rechte, die unten beschrieben sind.
- Do-Not-Track und GPC: Wir reagieren derzeit mangels eines Branchenstandards nicht auf DNT-Signale, respektieren jedoch Global-Privacy-Control-(GPC-)Signale für Einwohner Kaliforniens.
- Rechtsordnungsspezifische Rechte: Wir behandeln ausdrücklich die DSGVO (EU/EWR), CCPA/CPRA (Kalifornien), VCDPA (Virginia), CPA (Colorado), CTDPA (Connecticut), UCPA (Utah), TDPSA (Texas), OCPA (Oregon), MCDPA (Montana), TIPA (Tennessee) und weitere sowie den New Zealand Privacy Act 2020.
- Aktualisierungen: Wir informieren Sie über wesentliche Änderungen per E-Mail oder in den Diensten mindestens 30 Tage vor deren Inkrafttreten.
- Kontakt: hei@native.no oder native.no/en/contact.
1. Verantwortlicher und Rollen
Verantwortlicher für Daten über Besucher von native.no, Kontoinhaber, Kundenkontakte und Leads ist: Native AS, Registrierungsnr. 930 324 787, Møllergata 6, 0155 Oslo, Norwegen. E-Mail: hei@native.no. Kontaktformular: native.no/en/contact.
Auftragsverarbeiter: Für personenbezogene Daten, die unsere Kunden über die Dienste hochladen oder veröffentlichen (Inhalte, Kommentare, Follower-Informationen aus verbundenen sozialen Medien usw.), ist der Kunde der Verantwortliche, und Native handelt als Auftragsverarbeiter im Rahmen unseres Auftragsverarbeitungsvertrags (DPA), der auf Anfrage erhältlich ist.
Diese Unterscheidung folgt Art. 4 Nr. 7–8 und Art. 28 DSGVO und spiegelt sich in den Definitionen von „service provider“ / „processor“ nach CCPA/CPRA und anderen US-Bundesstaatengesetzen wider.
2. Daten, die wir erheben
2.1 Daten, die Sie freiwillig bereitstellen
- Konto- und Profildaten: Name, E-Mail, Telefonnummer, Berufsbezeichnung, Arbeitgeber und Passwort (als Hash gespeichert).
- Abrechnungsdaten: Firmenname, Rechnungsadresse, Registrierungsnummer und Zahlungsinformationen. Kartendaten werden von Stripe verarbeitet - wir speichern keine vollständigen Kartennummern.
- Nutzerinhalte: alle Inhalte, Rückmeldungen, Kommentare, Nachrichten oder sonstige Informationen, die Sie über die Dienste erstellen, bearbeiten oder veröffentlichen.
- Supportanfragen und sonstige Kommunikation mit uns.
2.2 Automatisch erhobene Daten
- Nutzungsdaten: besuchte Seiten, genutzte Funktionen, Zeitstempel und Nutzungsmuster.
- Technische Daten: IP-Adresse, Gerätetyp, Browsertyp, Betriebssystem, Spracheinstellungen und technische Kennungen.
- Standortdaten: ungefährer geografischer Standort auf Basis der IP-Adresse. Wir erheben keinen genauen GPS-Standort.
- Protokoll- und Sicherheitsdaten: Ereignisprotokolle für Betrieb, Fehlerbehebung und Sicherheit.
2.3 Daten aus Drittquellen
- Soziale Medien und verbundene Dienste: Wenn Sie sich mit Google anmelden oder Meta, LinkedIn, TikTok, X, Canva, Pexels oder andere Drittanbieter verbinden, erhalten wir Profilinformationen und Tokens entsprechend den von Ihnen erteilten Berechtigungen.
- Analyseplattformen: aggregierte Daten von PostHog, Meta Ads und ähnlichen Tools, die uns helfen zu verstehen, wie die Dienste genutzt werden.
- Dritte Datenanbieter: Wir können ergänzende Informationen erhalten (z. B. firmografische B2B-Daten), um Unternehmensinformationen zu verifizieren.
2.4 Cookies und ähnliche Technologien
Wir verwenden Cookies und ähnliche Tracking-Technologien, um das Nutzererlebnis zu verbessern, das Engagement zu analysieren und zusätzliche Funktionen zu ermöglichen. Sie können Ihre Präferenzen über das Cookie-Banner auf native.no oder über Ihren Browser verwalten. Siehe Abschnitt 7.
2.5 Sensible personenbezogene Daten
Wir erheben wissentlich keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO / „sensitive personal information“ nach CCPA), wie ethnische Herkunft, Religion, Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehörigkeit oder sexuelle Orientierung. Wir bitten Kunden, solche Inhalte nicht ohne gültige Rechtsgrundlage hochzuladen.
2.6 Daten von Minderjährigen
Native erhebt wissentlich keine Daten von Personen unter 18 Jahren. Siehe Abschnitt 11.
3. Wie wir Ihre Daten verwenden
3.1 Zur Bereitstellung der Dienste und Kontoverwaltung
- Erstellung und Verwaltung von Benutzerkonten und Abonnements.
- Verarbeitung von Zahlungen und Verlängerung von Abonnements.
- Bereitstellung von Kundensupport und Beantwortung von Anfragen.
3.2 Zum Betrieb und zur Verbesserung der Dienste
- Sicherstellung eines stabilen Betriebs und Optimierung der Leistung.
- Umsetzung von Updates, Verbesserungen und neuen Funktionen auf Basis von Feedback und Nutzungsdaten.
- Schutz der Plattform, der Nutzer und der Daten vor Bedrohungen und unbefugtem Zugriff.
3.3 Zur Erstellung von Inhalten mit KI
Wie in Abschnitt 5 beschrieben, nutzen wir generative KI, um Texte und Bilder für die sozialen Medien unserer Kunden zu erstellen. Wir verarbeiten Ihre Daten ausschließlich zu diesem Zweck und geben sie nicht an die Trainingsdatensätze der KI-Anbieter weiter.
3.4 Zur Kommunikation mit Ihnen
- Versand wichtiger Updates und Benachrichtigungen zu den Diensten.
- Versand von Marketingkommunikation, soweit nach geltendem Recht zulässig (CAN-SPAM, Art. 6 Abs. 1 lit. a/f DSGVO, TCPA für SMS usw.).
- Einholung von Feedback und Erkenntnissen zur Verbesserung der Dienste.
3.5 Zur Einhaltung von Gesetzen und Vorschriften
- Erfüllung rechtlicher Verpflichtungen, einschließlich Buchführungspflichten (norwegisches Buchführungsgesetz § 13: 5 Jahre Aufbewahrung).
- Beantwortung rechtmäßiger Anfragen von Behörden.
- Durchsetzung unserer Bedingungen und Richtlinien.
- Schutz der Rechte, des Eigentums und der Sicherheit von Native, unseren Nutzern und der Öffentlichkeit.
3.6 Zur Analyse der Nutzung und Weiterentwicklung der Dienste
- Analyse aggregierter/pseudonymisierter Nutzungsdaten, um Trends und Nutzerverhalten zu verstehen.
- Durchführung von Forschung und Entwicklung, einschließlich des Testens neuer Funktionen.
3.7 Keine automatisierten Entscheidungen mit Rechtswirkung
Wir setzen weder KI noch andere Werkzeuge ein, um Entscheidungen zu treffen, die rechtliche oder ähnlich erhebliche Auswirkungen auf Einzelpersonen haben (Art. 22 DSGVO). Wir betreiben kein Profiling, das Rechtswirkungen nach US-Bundesstaaten-Datenschutzgesetzen entfaltet.
4. Rechtsgrundlagen der Verarbeitung
| Zweck | Rechtsgrundlage |
|---|---|
| Bereitstellung, Betrieb und Verbesserung der Dienste, einschließlich KI-Funktionen | Vertrag, Art. 6 Abs. 1 lit. b DSGVO |
| Abrechnung, Rechnungswesen und Buchführung | Rechtliche Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO, norwegisches Buchführungsgesetz § 13 |
| Kundensupport und betriebliche Kommunikation | Vertrag, Art. 6 Abs. 1 lit. b DSGVO |
| Sicherheit, Missbrauchsprävention und Betriebsstabilität | Berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO |
| Produktentwicklung und Analyse aggregierter/pseudonymisierter Nutzung | Berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO |
| Marketing gegenüber bestehenden B2B-Kunden zu ähnlichen Diensten | Berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO |
| Marketing gegenüber sonstigen Parteien / Newsletter | Einwilligung, Art. 6 Abs. 1 lit. a DSGVO; CAN-SPAM-Konformität für die USA |
| Cookies und ähnliche Technologien, die nicht unbedingt erforderlich sind | Einwilligung (DSGVO/ePrivacy); Opt-out, soweit nach US-Bundesstaatengesetzen erforderlich |
| Einhaltung rechtlicher Anforderungen und behördlicher Anordnungen | Rechtliche Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO |
Sie können Ihre Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung berührt wird (Art. 7 Abs. 3 DSGVO). Für US-Nutzer ist unsere Verarbeitung außerdem durch Ihren Kauf, Ihre Registrierung oder Ihre Nutzung der Dienste sowie durch unsere berechtigten Geschäftsinteressen im Sinne der geltenden bundesstaatlichen Datenschutzgesetze gerechtfertigt.
5. Einsatz künstlicher Intelligenz (KI)
5.1 Kein Modelltraining mit Ihren Daten
Native verwendet keine Kundendaten, Nutzerdaten oder Inhalte, um KI-Modelle zu trainieren oder zu verfeinern. Wir haben mit unseren KI-Anbietern (OpenAI, Anthropic, Google, xAI) vertraglich vereinbart, dass über die Dienste übermittelte Inhalte nicht für Trainingszwecke verwendet werden.
5.2 KI-Anbieter als Auftragsverarbeiter
OpenAI, Anthropic, Google (Gemini) und xAI verarbeiten Inhalte vorübergehend, um Antworten zu generieren. Die Verarbeitung erfolgt entweder in der EU/im EWR oder in den USA auf Grundlage der EU-Standardvertragsklauseln (SCC 2021/914) und/oder des EU-US Data Privacy Framework. Siehe Abschnitt 12.
5.3 Transparenz bei KI-generierten Inhalten
Nach Art. 50 der EU-KI-Verordnung (Verordnung (EU) 2024/1689) müssen künstlich erzeugte oder manipulierte Inhalte als solche erkennbar sein. KI-generierte Inhalte in Native sind in unserer Benutzeroberfläche erkennbar.
Wenn Sie als Kunde KI-generierte Inhalte unter Ihrer eigenen redaktionellen Kontrolle auf Ihren Social-Media-Kanälen veröffentlichen, handeln Sie als „Betreiber“ (deployer) und sind dafür verantwortlich zu prüfen, ob eine Offenlegung erforderlich ist - insbesondere wenn der Inhalt einen Deepfake darstellt oder die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse informiert (Art. 50 Abs. 2 und 4 der KI-Verordnung).
5.4 Keine automatisierten Entscheidungen
Wir setzen KI nicht ein, um Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung zu treffen (Art. 22 DSGVO; Profiling-Bestimmungen des US-Bundesstaatenrechts).
5.5 Ihre Verantwortung für hochgeladene Inhalte
Als Kunde sichern Sie zu und gewährleisten, dass Sie über alle erforderlichen Rechte (Urheberrecht, Datenschutz, Persönlichkeitsrechte, Namens- und Bildrechte) an sämtlichem Material verfügen, das Sie hochladen oder von der KI verarbeiten lassen.
Sie dürfen die Dienste nicht nutzen, um unbefugte Nachahmungen identifizierbarer Personen zu erstellen oder zu verbreiten, einschließlich Prominenter, Personen des öffentlichen Lebens oder jeglicher Privatpersonen. Dies umfasst verbotene Deepfakes und den Missbrauch von Bildnissen unter anderem nach:
- New York Civil Rights Law §§ 50–51
- California Civil Code § 3344
- Tennessee ELVIS Act 2024 (Ensuring Likeness, Voice, and Image Security Act)
- weiteren anwendbaren bundesstaatlichen Right-of-Publicity-Gesetzen
Verstöße können zur sofortigen Sperrung des Kontos führen. Melden Sie Verstöße an hei@native.no zur umgehenden Prüfung und Entfernung. Siehe auch unsere Terms of Service und Acceptable Use Policy.
5.6 Einschränkungen des KI-Trainings
Wenn Ihre Daten - durch Einwilligung oder eine andere Rechtsgrundlage - von einem Dritten zum Training von KI-Modellen verwendet wurden, können solche Daten nicht immer nachträglich aus dem Modell extrahiert oder entfernt werden. Wie in 5.1 beschrieben, verfügt Native über Verträge, die ein solches Training verhindern, sodass dies für unsere Kunden ein hypothetisches Szenario sein sollte.
6. Weitergabe personenbezogener Daten
Wir verkaufen keine personenbezogenen Daten und geben sie nicht für kontextübergreifende verhaltensbasierte Werbung weiter, wie diese Begriffe nach CCPA/CPRA und anderen US-Bundesstaatengesetzen definiert sind. Wir haben in den vorangegangenen 12 Monaten keine personenbezogenen Daten verkauft oder für kontextübergreifende verhaltensbasierte Werbung weitergegeben.
Wir geben personenbezogene Daten an die folgenden Kategorien von Empfängern weiter, stets - soweit anwendbar - auf Grundlage eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO):
6.1 Dienstleister (Unterauftragsverarbeiter / Auftragsverarbeiter)
| Unterauftragsverarbeiter | Zweck | Standort | Übermittlungsmechanismus |
|---|---|---|---|
| Amazon Web Services (AWS) | Cloud-Speicher und Betrieb | EU/EWR | - |
| Google Cloud (GCP) | Cloud-Dienste und Infrastruktur | EU/EWR | - |
| Stripe | Zahlungsabwicklung | EU + USA | DPF + SCC |
| OpenAI | KI-Text- und Bilderzeugung | EU/USA | DPF + SCC |
| Anthropic | KI-Texterzeugung | EU/USA | DPF + SCC |
| Google Gemini / Vertex AI | KI-Text- und Bilderzeugung | EU/EWR | - |
| xAI | KI-Texterzeugung | USA | SCC |
| Ayrshare | Veröffentlichung über Social-Media-APIs | USA | DPF + SCC |
| Firecrawl | Web-Scraping für KI-Kontext | USA | SCC |
| Canva | Import vom Kunden ausgewählter Designdateien | EU/USA | DPF + SCC |
| Google Drive / Google Calendar | Vom Kunden aktivierte Integrationen | EU/USA | DPF + SCC |
| Slack | Interne Kommunikation und Kundendialog | EU/USA | DPF + SCC |
| PostHog | Produktanalyse | EU | - |
| Pexels | Stockbild-Bibliothek | EU/USA | - |
Eine aktuelle Liste der Unterauftragsverarbeiter ist auf Anfrage erhältlich; über wesentliche Änderungen werden Kunden gemäß unserem DPA informiert.
6.2 Sonstige Empfänger
- Professionelle Berater: Wirtschaftsprüfer, Buchhalter, Rechtsanwälte - unter Verschwiegenheitspflicht.
- Behörden: soweit wir zur Offenlegung rechtlich verpflichtet sind.
- Unternehmensübertragungen: Im Falle einer Fusion, Übernahme oder eines Verkaufs von Vermögenswerten können Ihre Daten an den Käufer übertragen werden. Wir werden Sie benachrichtigen, bevor die Verarbeitung übertragen wird, und der Käufer muss Praktiken einhalten, die mit dieser Erklärung im Einklang stehen.
- Verbundene Unternehmen: Wenn Native Teil einer Unternehmensgruppe wird, können Daten intern unter gleichwertigem Schutz geteilt werden.
- Anonymisierte/aggregierte Daten: können ohne Einschränkung für Analysen, Forschung oder Marketing geteilt werden.
6.3 Kategorien offengelegter personenbezogener Daten (CCPA/CPRA)
Für Einwohner Kaliforniens haben wir in den vorangegangenen 12 Monaten die folgenden Kategorien personenbezogener Daten zu Geschäftszwecken an die oben genannten Kategorien von Empfängern offengelegt:
- Identifikatoren (Name, E-Mail, IP-Adresse, Konto-ID)
- Kundendatensätze (Abrechnungsdetails, Kontaktinformationen)
- Kommerzielle Informationen (Abonnementhistorie, Transaktionsdaten)
- Internet-/elektronische Aktivität (Nutzungsprotokolle, Geräteinformationen)
- Geolokalisierungsdaten (ungefähr, aus der IP abgeleitet)
- Berufliche/Beschäftigungsinformationen (Berufsbezeichnung, Arbeitgeber)
- Schlussfolgerungen (Präferenzen, Muster des Inhaltsengagements)
Wir legen sensible personenbezogene Daten nicht über das hinaus offen, was zur Bereitstellung der vom Nutzer angeforderten Dienste erforderlich ist.
6.4 Social-Media-Plattformen und gemeinsame Verantwortlichkeit
Wenn Sie Konten mit Meta (Facebook/Instagram), LinkedIn, TikTok, X oder anderen Plattformen verbinden, verarbeiten diese Dienste Ihre Daten als eigenständige Verantwortliche nach ihren eigenen Bedingungen. Für bestimmte Analysefunktionen (z. B. Meta Page Insights) können Native und die Plattform gemeinsam Verantwortliche nach Art. 26 DSGVO sein. Sie können den Zugriff widerrufen, indem Sie Integrationen in der App trennen oder die Berechtigung direkt bei der Plattform entziehen.
7. Cookies und Tracking-Technologien
7.1 Arten von Cookies, die wir verwenden
- Unbedingt erforderliche Cookies: für das Funktionieren der Dienste erforderlich (Login, Sicherheit, Seitenaufbau). Keine Einwilligung erforderlich.
- Funktionale Cookies: speichern Präferenzen wie Sprache und Einstellungen.
- Analyse-Cookies: messen, wie die Dienste genutzt werden (PostHog, Google Analytics).
- Marketing-Cookies: werden für Retargeting und zielgerichtete Werbung verwendet (Meta Pixel, LinkedIn Insight Tag).
7.2 Einwilligung und Verwaltung
Die Verwendung nicht notwendiger Cookies erfordert Ihre Einwilligung in Rechtsordnungen, in denen dies vorgeschrieben ist (EU/EWR nach der ePrivacy-Richtlinie, UK PECR). Einwohner Kaliforniens können dem Verkauf oder der Weitergabe personenbezogener Daten durch Cookies für zielgerichtete Werbung über das Cookie-Banner oder durch Aktivieren von Global Privacy Control (GPC) in ihrem Browser widersprechen.
Sie können Cookies auch in Ihren Browsereinstellungen blockieren; beachten Sie jedoch, dass dies die Funktionalität beeinträchtigen kann.
7.3 Drittanbieter-Analysen
Wir beauftragen Drittanbieterdienste (PostHog, Meta, Google), um die Nutzung zu analysieren und statistische Erkenntnisse zu liefern. Diese unterliegen ihren eigenen Datenschutzerklärungen.
7.4 Detaillierte Cookie-Informationen
Eine detaillierte Cookie-Übersicht mit Name, Zweck, Anbieter und Dauer jedes Cookies ist über das Cookie-Banner auf native.no verfügbar.
8. Social Logins und Plattformintegrationen
8.1 Verwendung von Social Logins
Wenn Sie sich über Google oder einen anderen Drittanbieter registrieren oder anmelden, gewähren Sie uns Zugriff auf Ihre E-Mail-Adresse und grundlegende Profilinformationen entsprechend Ihren Einstellungen bei diesem Anbieter.
8.2 Umgang mit Daten
Die Informationen werden verwendet, um Ihr Native-Konto zu erstellen und zu verwalten. Wir veröffentlichen nicht in Ihrem Namen auf Social-Media-Konten ohne Ihre ausdrückliche Einwilligung, die über den Autorisierungsablauf der Plattform erteilt wird.
8.3 Sicherheit und Datenschutz
Wir halten strenge Standards für den Datenschutz ein, damit Ihre Daten sicher behandelt und nicht über die in dieser Erklärung beschriebenen Zwecke hinaus verwendet werden.
8.4 Ihre Kontrolle
Sie können Ihre Datenschutzeinstellungen direkt beim Social-Media-Dienst verwalten und Integrationen jederzeit in der Native-App trennen.
9. Wie lange wir Ihre Daten aufbewahren
| Kategorie | Aufbewahrungsfrist |
|---|---|
| Konto- und Profildaten | Während der Vertragslaufzeit + 90 Tage nach Beendigung |
| Inhalte und Medienbibliothek | Während der Vertragslaufzeit; Löschung innerhalb von 90 Tagen nach Beendigung |
| Abrechnungs- und Buchhaltungsdaten | 5 Jahre nach Ende des Geschäftsjahres (norwegisches Buchführungsgesetz § 13) |
| Supportkommunikation | Bis zu 24 Monate nach dem letzten Kontakt |
| Protokoll- und Sicherheitsdaten | Bis zu 12 Monate, danach Löschung oder Anonymisierung |
| Marketingdaten (Leads) | Bis zu 24 Monate ab der letzten Interaktion oder bis zum Widerruf der Einwilligung |
| Tokens für verbundene Dienste (Google, Canva usw.) | Löschung innerhalb von 30 Tagen nach Trennung oder Kontoschließung |
| Backups (Cache) | Automatische Löschung innerhalb von 90 Tagen |
| Cookies | Siehe Cookie-Hinweis |
Wir überprüfen unsere Aufbewahrungspraktiken regelmäßig, um die Einhaltung rechtlicher Anforderungen und betrieblicher Erfordernisse sicherzustellen. Sie können jederzeit die Löschung Ihrer Daten verlangen, indem Sie hei@native.no kontaktieren.
10. Sicherheit
Wir setzen geeignete technische und organisatorische Schutzmaßnahmen nach Art. 32 DSGVO und den geltenden Standards des US-Bundesstaatenrechts um, darunter:
- Verschlüsselung bei der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256).
- Zugriffskontrolle nach dem Prinzip der geringsten Berechtigung mit rollenbasiertem Zugriff.
- Multi-Faktor-Authentifizierung (MFA) für Mitarbeiter mit Zugriff auf Produktionsdaten.
- Protokollierung und Überwachung von Zugriffen und Ereignissen.
- Schwachstellenmanagement und regelmäßige Sicherheitsüberprüfungen.
- Verfahren zur Reaktion auf Sicherheitsvorfälle mit definierter Verantwortlichkeit.
- Auftragsverarbeitungsverträge mit allen Unterauftragsverarbeitern.
- Schulung der Mitarbeiter in Datenschutz- und Sicherheitspraktiken.
Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigen wir: die norwegische Datenschutzbehörde innerhalb von 72 Stunden, soweit erforderlich (Art. 33 DSGVO); betroffene Personen ohne unangemessene Verzögerung bei hohem Risiko (Art. 34 DSGVO); US-Generalstaatsanwälte der Bundesstaaten und betroffene Personen im Einklang mit den geltenden bundesstaatlichen Gesetzen zur Meldung von Sicherheitsverletzungen (etwa California Civil Code § 1798.82); sowie andere Aufsichtsbehörden, soweit nach geltendem Recht erforderlich.
Trotz unserer Schutzmaßnahmen kann keine Technologie zur elektronischen Übertragung oder Speicherung als 100 % sicher garantiert werden. Wir empfehlen Ihnen, starke Passwörter und MFA zu verwenden und Ihre Zugangsdaten vertraulich zu behandeln.
11. Minderjährige
Die Dienste richten sich an Unternehmen und nicht an Personen unter 18 Jahren. Wir erheben wissentlich keine Daten von Minderjährigen und richten unser Marketing nicht an diese Zielgruppe.
Für US-Nutzer halten wir den Children's Online Privacy Protection Act (COPPA) ein und erheben wissentlich keine Daten von Kindern unter 13 Jahren. Wir halten außerdem die geltenden bundesstaatlichen Gesetze zu Daten Minderjähriger ein, einschließlich des kalifornischen „Shine the Light“-Gesetzes sowie der Anforderungen von Connecticut, Texas und anderen Bundesstaaten zur Verarbeitung von Daten Minderjähriger.
Wenn Sie feststellen, dass eine minderjährige Person uns Daten übermittelt hat, kontaktieren Sie hei@native.no, und wir löschen diese umgehend.
12. Internationale Datenübermittlungen
Personenbezogene Daten werden hauptsächlich innerhalb der EU/des EWR gespeichert (AWS Frankfurt und Google Cloud Europe). Einige Unterauftragsverarbeiter verarbeiten Daten in den USA oder anderen Drittländern. Solche Übermittlungen erfolgen nur auf einer der folgenden Grundlagen:
- Angemessenheitsbeschluss - einschließlich des EU-US Data Privacy Framework für zertifizierte US-Empfänger (Art. 45 DSGVO).
- EU-Standardvertragsklauseln (SCC 2021/914), ergänzt durch Transfer-Folgenabschätzungen und, soweit erforderlich, technische Maßnahmen (Verschlüsselung, Pseudonymisierung), nach Art. 46 DSGVO.
Für Nutzer im Vereinigten Königreich stützen wir uns auf das UK International Data Transfer Agreement (IDTA) oder das UK-Addendum zu den EU-SCCs.
Für Nutzer in Neuseeland erfolgen Übermittlungen im Einklang mit Information Privacy Principle 12 (IPP 12) des Privacy Act 2020, das verlangt, dass Empfänger vergleichbaren Datenschutzstandards unterliegen oder die betroffene Person eine ausdrückliche informierte Einwilligung erteilt.
Sie können eine Kopie der Übermittlungsgarantien anfordern, indem Sie hei@native.no kontaktieren.
13. Ihre Datenschutzrechte
Sie haben das Recht:
- auf Auskunft über die Daten, die wir über Sie gespeichert haben (Art. 15 DSGVO; entsprechende Rechte nach US-Bundesstaatengesetzen).
- auf Berichtigung unrichtiger Daten (Art. 16).
- auf Löschung von Daten, wenn die Voraussetzungen erfüllt sind (Art. 17).
- auf Einschränkung der Verarbeitung (Art. 18).
- Ihre Daten in einem strukturierten, gängigen Format zu erhalten - Datenübertragbarkeit (Art. 20).
- der Verarbeitung auf Grundlage berechtigten Interesses zu widersprechen, einschließlich Direktmarketing (Art. 21).
- die Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3).
- Beschwerde bei einer Datenschutzaufsichtsbehörde einzulegen (Art. 77).
Zur Ausübung Ihrer Rechte senden Sie eine verifizierbare Anfrage an hei@native.no oder über native.no/en/contact. Sie können einen bevollmächtigten Vertreter einsetzen. Wir diskriminieren keine Nutzer, die ihre Rechte ausüben.
Wir antworten in der Regel innerhalb von 30 Tagen auf DSGVO-Anfragen (Art. 12 Abs. 3) und innerhalb von 45 Tagen auf Anfragen nach US-Bundesstaatenrecht, mit der Möglichkeit einer Verlängerung um 45 Tage, soweit dies vernünftigerweise erforderlich ist, unter Benachrichtigung an Sie.
14. Do-Not-Track und Global Privacy Control
14.1 Do-Not-Track (DNT)
Die meisten Browser bieten eine Do-Not-Track-Funktion. Es gibt keinen einheitlichen Branchenstandard dafür, wie DNT-Signale zu verarbeiten sind, und wir reagieren derzeit nicht auf DNT-Signale. Sollte ein Standard verabschiedet werden, passen wir uns entsprechend an und aktualisieren diese Erklärung.
14.2 Global Privacy Control (GPC)
Für Einwohner Kaliforniens behandeln wir GPC-Signale als gültigen Antrag auf Opt-out vom Verkauf/der Weitergabe personenbezogener Daten nach CCPA/CPRA. Wir respektieren GPC-Signale auch für Einwohner von Colorado, Connecticut und anderen Bundesstaaten, die solche universellen Opt-out-Mechanismen anerkennen. Native „verkauft“ oder „teilt“ keine personenbezogenen Daten im Sinne des CCPA, sodass das GPC-Signal unsere bestehende Praxis bestätigt.
15. Rechtsordnungsspezifische Rechte
15.1 USA - Bundes- und Bundesstaatenebene
Die USA verfügen über kein umfassendes Bundesdatenschutzgesetz. Stattdessen gelten verschiedene Bundesstaatengesetze. Wir erkennen und respektieren die Rechte von US-Nutzern unabhängig vom Bundesstaat und bieten allen US-Nutzern standardmäßig folgende Rechte an:
- Recht auf Kenntnis / Auskunft über die Kategorien der erhobenen personenbezogenen Daten, Quellen, Zwecke und Empfänger.
- Recht auf Löschung personenbezogener Daten.
- Recht auf Berichtigung unrichtiger Daten.
- Recht auf Datenübertragbarkeit, soweit technisch machbar.
- Recht auf Opt-out von Verkauf, Weitergabe oder zielgerichteter Werbung.
- Recht auf Opt-out von Profiling mit rechtlicher oder ähnlich erheblicher Wirkung.
- Recht auf Nichtdiskriminierung bei der Ausübung von Rechten.
- Recht auf Beschränkung der Verwendung sensibler personenbezogener Daten.
| Bundesstaat | Gesetz |
|---|---|
| California | California Consumer Privacy Act (CCPA), as amended by the California Privacy Rights Act (CPRA) |
| Virginia | Virginia Consumer Data Protection Act (VCDPA) |
| Colorado | Colorado Privacy Act (CPA) |
| Connecticut | Connecticut Data Privacy Act (CTDPA) |
| Utah | Utah Consumer Privacy Act (UCPA) |
| Texas | Texas Data Privacy and Security Act (TDPSA) |
| Oregon | Oregon Consumer Privacy Act (OCPA) |
| Montana | Montana Consumer Data Privacy Act (MCDPA) |
| Tennessee | Tennessee Information Protection Act (TIPA) |
| Iowa | Iowa Consumer Data Protection Act |
| Indiana | Indiana Consumer Data Protection Act |
| Delaware | Delaware Personal Data Privacy Act |
| New Jersey | New Jersey Data Privacy Act |
| New Hampshire | New Hampshire Data Privacy Act |
| Maryland | Maryland Online Data Privacy Act |
| Minnesota | Minnesota Consumer Data Privacy Act |
Folgende Bundesstaatengesetze sind besonders relevant:
15.1 USA - ergänzende Bestimmungen
Native „verkauft“ oder „teilt“ keine personenbezogenen Daten für kontextübergreifende verhaltensbasierte Werbung im Sinne von CCPA/CPRA. Wir haben in den vergangenen 12 Monaten keine personenbezogenen Daten verkauft und haben dies auch nicht vor.
California „Shine the Light“: Einwohner Kaliforniens können einmal jährlich und kostenlos Informationen über die Offenlegung personenbezogener Daten an Dritte zu Direktmarketingzwecken anfordern. Da wir keine personenbezogenen Daten für das Direktmarketing Dritter offenlegen, haben keine solchen Offenlegungen stattgefunden.
Zur Ausübung von Rechten: Senden Sie eine verifizierbare Anfrage an hei@native.no oder über native.no/en/contact. Sie benötigen kein Konto, um eine Anfrage zu stellen. Sie können einen bevollmächtigten Vertreter (mit schriftlicher Vollmacht) einsetzen. Wir antworten innerhalb von 45 Tagen, mit der Möglichkeit einer Verlängerung um 45 Tage, soweit vernünftigerweise erforderlich, unter Benachrichtigung an Sie.
Widerspruchsrecht (Right to appeal): Wenn wir Ihre Anfrage ablehnen, können Sie Widerspruch einlegen, indem Sie auf unsere Antwort-E-Mail antworten oder hei@native.no kontaktieren. Wir beantworten Widersprüche innerhalb von 60 Tagen (oder wie nach dem Recht Ihres Bundesstaates vorgeschrieben). Wird Ihr Widerspruch abgelehnt, können Sie sich an den Generalstaatsanwalt Ihres Bundesstaates oder die zuständige Datenschutzbehörde wenden.
Beschwerden in Kalifornien: Einwohner Kaliforniens können sich bei der California Privacy Protection Agency (cppa.ca.gov) oder beim California Attorney General beschweren.
Right of Publicity: Native untersagt jede Nutzung der Dienste zur Erstellung oder Verbreitung unbefugter Nachahmungen identifizierbarer Personen. Dies umfasst Rechte unter anderem nach:
- New York Civil Rights Law §§ 50–51
- California Civil Code § 3344
- Tennessee ELVIS Act 2024 (Ensuring Likeness, Voice, and Image Security Act)
- weiteren anwendbaren bundesstaatlichen Right-of-Publicity-Gesetzen
Verstöße können zur umgehenden Prüfung und Entfernung an hei@native.no gemeldet werden.
15.2 EU/EWR - einschließlich Norwegen, Schweden, Dänemark und anderer Mitgliedstaaten
Die DSGVO gilt unmittelbar. Beschwerden können eingereicht werden bei:
- Norwegen: Datatilsynet (datatilsynet.no), Postboks 458 Sentrum, 0105 Oslo.
- Schweden: Integritetsskyddsmyndigheten (imy.se).
- Dänemark: Datatilsynet (datatilsynet.dk).
- Andere EU/EWR-Länder: die Aufsichtsbehörde in Ihrem Wohnsitzland.
15.3 Vereinigtes Königreich (UK GDPR und Data Protection Act 2018)
Für Nutzer im Vereinigten Königreich gelten zusätzlich zu dieser Erklärung die UK GDPR und der Data Protection Act 2018. Beschwerden können beim Information Commissioner's Office (ico.org.uk) eingereicht werden.
15.4 Schweiz (revDSG)
Für Nutzer in der Schweiz gilt das revidierte Bundesgesetz über den Datenschutz (revFADP/revDSG, in Kraft seit 1. September 2023). Beschwerden können beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB/FDPIC) eingereicht werden.
15.5 Neuseeland (Privacy Act 2020)
Für Nutzer in Neuseeland gelten die 13 Information Privacy Principles (IPPs). Personenbezogene Daten werden nur im Einklang mit IPP 12 aus Neuseeland übermittelt - d. h. an Empfänger, die vergleichbarem Schutz unterliegen (wie der DSGVO in der EU/im EWR), oder mit der ausdrücklichen informierten Einwilligung der betroffenen Person.
Unser Datenschutzkontakt fungiert als „Privacy Officer“ für Neuseeland und ist unter hei@native.no erreichbar. Beschwerden können beim Office of the Privacy Commissioner (privacy.org.nz) eingereicht werden.
15.6 Australien (Privacy Act 1988)
Für Nutzer in Australien gelten die Australian Privacy Principles (APPs) nach dem Privacy Act 1988. Beschwerden können beim Office of the Australian Information Commissioner (oaic.gov.au) eingereicht werden.
15.7 Kanada (PIPEDA und Provinzgesetze)
Für Nutzer in Kanada gelten der Personal Information Protection and Electronic Documents Act (PIPEDA) und die einschlägigen Provinzgesetze (Quebec Law 25, BC PIPA, Alberta PIPA). Beschwerden können beim Office of the Privacy Commissioner of Canada (priv.gc.ca) eingereicht werden.
15.8 Brasilien (LGPD)
Für Nutzer in Brasilien gilt das Lei Geral de Proteção de Dados (LGPD). Beschwerden können bei der Autoridade Nacional de Proteção de Dados (ANPD) eingereicht werden.
15.9 Andere Rechtsordnungen
Wir bemühen uns, die geltenden Datenschutzgesetze in allen Ländern einzuhalten, in denen wir tätig sind. Wenn Sie sich in einer oben nicht ausdrücklich aufgeführten Rechtsordnung befinden und Datenschutzrechte ausüben möchten, kontaktieren Sie hei@native.no; wir bearbeiten die Anfrage im Einklang mit geltendem Recht.
16. Erhebung und Verwendung von Google-Nutzerdaten
Wenn Sie Google-Konten mit den Diensten verbinden, können wir auf Grundlage Ihrer ausdrücklichen Berechtigungen auf Folgendes zugreifen und es erheben:
- Grundlegende Profilinformationen (Name, E-Mail-Adresse, Profilbild).
- Verbindungen zu sozialen Medien und Berechtigungen zur Veröffentlichung von Beiträgen.
- Inhalte, deren Veröffentlichung in Ihrem Namen Sie uns gestatten.
16.1 Einschränkungen
Wir verwenden Google-Nutzerdaten NICHT für:
- Training von KI-Modellen oder maschinelles Lernen.
- Zielgerichtete Werbung oder Marketing.
- Verkauf oder Übertragung an Dritte.
- Jegliche Zwecke über die Bereitstellung unserer Kern-Social-Media-Dienste hinaus.
16.2 Zulässige Verwendungen
Wir verwenden Google-Nutzerdaten ausschließlich, um:
- Ihr Konto zu authentifizieren und einen sicheren Zugang aufrechtzuerhalten.
- Inhalte auf Ihren verbundenen Social-Media-Konten zu veröffentlichen.
- Analysen zu Ihrer Social-Media-Performance bereitzustellen.
- die von Ihnen angeforderten spezifischen Funktionen bereitzustellen.
16.3 Einhaltung der Google API Services User Data Policy
Die Verwendung und Übertragung von Informationen, die von Google-APIs empfangen werden, entspricht der Google API Services User Data Policy, einschließlich der Limited-Use-Anforderungen.
17. Erhebung und Verwendung von Canva-Nutzerdaten
Wenn Sie Ihr Canva-Konto mit den Diensten verbinden, erheben und verarbeiten wir Canva-Nutzerdaten, um den Design-Import zu ermöglichen.
17.1 Daten, die wir von Canva erheben
- Grundlegende Profilinformationen (Name, E-Mail-Adresse).
- Designdateien, die Sie importieren möchten.
- Design-Metadaten (Titel, Erstellungsdaten).
- Ordnerstrukturen, die Ihnen helfen, Designs zu finden und auszuwählen.
17.2 Wie wir Canva-Nutzerdaten verwenden
Wir verwenden Canva-Nutzerdaten ausschließlich, um:
- Ihre Verbindung zu Canva zu authentifizieren und aufrechtzuerhalten.
- Ihre Canva-Designs zur Auswahl und zum Import anzuzeigen.
- Importierte Designs in Ihrer Inhaltsbibliothek zu speichern.
- die Planung und Veröffentlichung importierter Designs auf Ihren verbundenen Social-Media-Plattformen zu ermöglichen.
Wir verwenden Canva-Nutzerdaten NICHT für das Training von KI-Modellen oder maschinelles Lernen; für Werbung, Anzeigen-Targeting oder Marketing; für den Verkauf oder die Übertragung an Dritte; oder für Zwecke, die über die in dieser Erklärung beschriebenen hinausgehen.
17.3 Aufbewahrung von Canva-Nutzerdaten
- Importierte Designs: werden in Ihrer Inhaltsbibliothek gespeichert, bis Sie sie löschen oder Ihr Konto schließen.
- Verbindungsdaten: werden aufbewahrt, solange Ihr Canva-Konto mit den Diensten verbunden ist.
- Bei Trennung: Canva-Authentifizierungsdaten werden innerhalb von 30 Tagen gelöscht.
- Bei Kontoschließung: Alle Canva-Nutzerdaten werden innerhalb von 30 Tagen gelöscht.
17.4 Benachrichtigung bei Datenschutzverletzungen
Im Falle einer Datenschutzverletzung, die Canva-Nutzerdaten betreffen könnte, werden wir:
- Canva per E-Mail an legal@canva.com innerhalb von 48 Stunden nach Entdeckung benachrichtigen.
- Betroffene Nutzer im Einklang mit den geltenden Datenschutzgesetzen benachrichtigen.
- Unverzügliche Maßnahmen zur Eindämmung und Behebung der Verletzung ergreifen.
17.5 Sicherheitsmaßnahmen
Canva-Nutzerdaten werden durch Verschlüsselung bei der Übertragung und im Ruhezustand, Zugriffskontrollen, regelmäßige Sicherheitsüberprüfungen und sichere Löschverfahren geschützt.
17.6 Ihre Rechte
Sie können Ihre Canva-Verbindung jederzeit in den Kontoeinstellungen trennen, eine Kopie der von uns gespeicherten Canva-Nutzerdaten anfordern oder deren Löschung verlangen. Kontaktieren Sie hei@native.no.
18. Aktualisierungen dieser Erklärung
Wir können diese Datenschutzerklärung bei Bedarf aktualisieren. Die aktualisierte Version wird mit einem neuen „Zuletzt aktualisiert“-Datum gekennzeichnet und tritt mit ihrer Veröffentlichung in Kraft.
Wesentliche Änderungen werden per E-Mail oder in den Diensten mindestens 30 Tage vor ihrem Inkrafttreten mitgeteilt. Frühere Versionen sind auf Anfrage bei hei@native.no erhältlich.
19. So kontaktieren Sie uns
Bei Fragen oder Anliegen zu dieser Erklärung wenden Sie sich an unseren Datenschutzkontakt:
Native AS, Registrierungsnr. 930 324 787, Møllergata 6, 0155 Oslo, Norwegen. E-Mail: hei@native.no. Kontaktformular: native.no/en/contact.
Für US-Nutzer können Anfragen zu Datenschutzrechten auch über native.no/en/contact eingereicht werden.
20. So können Sie Ihre Daten einsehen, aktualisieren oder löschen
- Einsehen: Melden Sie sich bei Native an und öffnen Sie die Kontoeinstellungen, oder kontaktieren Sie hei@native.no für einen vollständigen Datenexport.
- Aktualisieren: Aktualisieren Sie Profilinformationen direkt in Native oder kontaktieren Sie uns für Unterstützung.
- Löschen: Beantragen Sie die Kontolöschung, indem Sie hei@native.no kontaktieren. Wir löschen die Daten innerhalb von 30 Tagen, mit Ausnahme von Daten, die wir nach Buchführungs- oder anderen anwendbaren Gesetzen aufbewahren müssen (siehe Abschnitt 9).