Datenschutzerklärung

Stand: 30.05.2026 · Version 1.0

1. Verantwortlicher

flowgeist
Inhaber: Ralf Carsjens
Eidamshauser Straße 13
40822 Mettmann
Deutschland

Kontakt:
E-Mail: info@flowgeist.de
Telefon: +49 155 109 251 22

Datenschutzbeauftragter:
E-Mail: datenschutz@flowgeist.de

2. Allgemeines zur Datenverarbeitung

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten im Rahmen der Nutzung unserer flowgeist-Plattform.

Alle Datenverarbeitungen erfolgen unter Beachtung der EU-Datenschutzgrundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG).

3. Verarbeitungszwecke und Rechtsgrundlagen

Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO):

  • Benutzerkonten und Authentifizierung
  • Provisionierung von SaaS-Diensten
  • Rechnungsstellung und Zahlungsabwicklung
  • Kunden- und Produktsupport

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO):

  • Fraud-Prevention und Sicherheitsüberwachung
  • Systemstabilität und Performance-Monitoring
  • Audit-Logging (ISO 27001-Konformität)

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO):

  • Steuerrechtliche Aufbewahrung (§ 147 AO)
  • Gesetzliche Meldepflichten
4. Speicherdauern
  • Aktive Nutzungsdaten:
    30 Tage Anforderungsfrist nach Kündigung + 30 Tage Karenz zur Löschung/Rückgabe
    (Gemäß AGB § 5 Abs. 4 und AVV § 4 Abs. 2)
  • Rechnungsdaten: 10 Jahre (§ 147 AO)
  • Audit-Logs (pseudonymisiert): 3 Jahre nach Kündigung
  • Technische Log-Dateien: 30 Tage (IP-Anonymisierung)

Nach Ablauf der jeweiligen Fristen werden die Daten gelöscht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5. Empfänger und Datenübermittlung

Auftragsverarbeiter (Art. 28 DSGVO):

  • Hetzner Online GmbH (Server-Hosting, DE)
  • Postmark (E-Mail-Versand, USA - EU-Standardvertragsklauseln)
  • Stripe, Inc. (Zahlungsabwicklung, USA - EU-Standardvertragsklauseln)
  • Lexware (Rechnungsstellung, DE)
  • Mistral AI SAS (KI-Textgenerierung, FR - keine Drittstaaten-Übermittlung)

Unterauftragsverarbeiter (gemäß AVV § 3 Abs. 3):

  • Hetzner Online GmbH – Server-Hosting, PostgreSQL-Datenbank, Backups (Falkenstein, DE) – kein Drittstaatentransfer
  • ActiveCampaign LLC (Postmark) – Transaktionale E-Mails (USA) – EU-US Data Privacy Framework + Standardvertragsklauseln (SCC)
  • Stripe Payments Europe, Ltd. – Zahlungsabwicklung (IE + USA) – EU-US Data Privacy Framework + Standardvertragsklauseln (SCC)
  • Lexware GmbH & Co. KG – Rechnungsstellung und Buchhaltung (DE) – kein Drittstaatentransfer
  • Mistral AI SAS – KI-Textgenerierung (Paris, FR) – kein Drittstaatentransfer

Änderungen der Unterauftragsverarbeiter werden gemäß AGB § 9 Abs. 6 mindestens 30 Tage vor Wirksamwerden in Textform angekündigt. Sie haben das Recht, aus berechtigten datenschutzrechtlichen Gründen zu widersprechen.

Eine Datenübermittlung in Drittländer (USA) erfolgt nur mit angemessenen Garantien gemäß Art. 46-49 DSGVO (EU-Standardvertragsklauseln). Für Mistral AI (Frankreich) liegt kein Drittstaatentransfer vor.

6. Ihre Rechte als Betroffener

Sie haben folgende Rechte gemäß DSGVO:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO - „Recht auf Vergessenwerden")
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: info@flowgeist.de

Datenexport (Art. 20 DSGVO)

Gemäß § 5 Abs. 4 AGB und Art. 20 DSGVO erhalten Sie alle Ihre gespeicherten Daten in einem gängigen, maschinenlesbaren Format.

7. Cookies und LocalStorage (§ 25 TTDSG)

Wir verwenden ausschließlich technisch notwendige Cookies und LocalStorage-Einträge, die für den Betrieb der Plattform erforderlich sind. Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt.

NameZweckDauerRechtsgrundlage
accessTokenJWT-Session-Authentifizierung15 Minuten§ 25 Abs. 2 Nr. 2 TTDSG (technisch notwendig)
refreshTokenSession-Verlängerung (HttpOnly)7 Tage§ 25 Abs. 2 Nr. 2 TTDSG (technisch notwendig)
cookieNoticeSeenSpeichert Cookie-Banner-Zustimmung365 Tage§ 25 Abs. 2 Nr. 2 TTDSG (technisch notwendig)
localStorage (diverse)UI-Zustände (Sidebar, Theme)Bis zur manuellen Löschung§ 25 Abs. 2 Nr. 2 TTDSG (technisch notwendig)

Hinweis: Sie können Cookies in Ihren Browser-Einstellungen blockieren oder löschen. Beachten Sie, dass dies die Funktionsfähigkeit der Plattform beeinträchtigen kann.

8. Technische und organisatorische Maßnahmen (TOM)
  • Verschlüsselung aller Datenübertragungen (TLS 1.3)
  • Passwort-Hashing mit Argon2id (memory-hard, OWASP-konform)
  • Zugriffskontrolle durch Authentifizierung (optional: Multi-Faktor TOTP)
  • Rollenbasierter Zugriff (Least-Privilege-Prinzip)
  • Regelmäßige Abhängigkeits-Updates und Sicherheitsaudits
  • Hosting auf ISO 27001:2022 zertifizierter Infrastruktur (Hetzner Online GmbH)
  • Eingabevalidierung und XSS-Schutz (OWASP-Richtlinien)
  • Vollständige Auftragsverarbeitungsvereinbarung (AVV) mit allen Auftragsverarbeitern
9. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf
www.ldi.nrw.de

10. Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Rechtslage oder unserer Dienste zu aktualisieren. Die jeweils aktuelle Version ist auf dieser Seite einsehbar.

Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder über ein Banner in der Anwendung. Die vorherige Version ist auf Anfrage erhältlich.

© 2026 flowgeist - Alle Rechte vorbehalten