Version 1.1 · Stand: 23.06.2026
flowgeist (Inhaber: Ralf Carsjens)
Eidamshauser Straße 13
40822 Mettmann
Deutschland
Email: info@flowgeist.de
Web: https://flowgeist.de
Datenschutzbeauftragter (DPO): Gemäß Art. 37 DSGVO und § 38 BDSG ist derzeit kein Datenschutzbeauftragter bestellt, da die gesetzlichen Schwellenwerte (unter 20 ständig mit automatisierter Verarbeitung beschäftigte Personen) nicht erreicht werden. Datenschutz-Ansprechpartner: datenschutz@flowgeist.de (interim).
Diese Datenschutzerklärung informiert Sie über die Verarbeitung Ihrer personenbezogenen Daten durch die flowgeist-Plattform. Wir verarbeiten Ihre Daten gemäß der DSGVO (Verordnung (EU) 2016/679) und dem BDSG.
Wir verarbeiten folgende Kategorien personenbezogener Daten:
| Datenkategorie | Beschreibung | Rechtsgrundlage |
|---|---|---|
| Kontaktdaten | Name, Email, Firma | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
| KI-System-Daten | KI-System-Name, Risiko-Klassifizierung | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
| Schulungs-Daten | Schulungs-Status, Zertifikate | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
| Audit-Daten | Login-Zeiten, Aktionen | Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) |
| Zahlungsdaten | Stripe-Kunden-ID, Abonnement-Status, SEPA-Lastschriftmandat (IBAN verschlüsselt gespeichert) | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
Wir verarbeiten Ihre Daten zu folgenden Zwecken:
Die Verarbeitung erfolgt auf folgenden Rechtsgrundlagen:
Wir geben Ihre Daten nur an folgende Empfänger (Auftragsverarbeiter gem. Art. 28 DSGVO) weiter:
| Empfänger | Zweck | Standort | Rechtsgrundlage |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung, Subscription-Management | Irland (EU) + USA (Konzernmutter) | EU-US DPF + SCC |
| Postmark (ActiveCampaign LLC) | Transaktionale Emails | USA | EU-US DPF + SCC |
| Hetzner Online GmbH | Server-Hosting, PostgreSQL-Datenbank, Backups | Deutschland (Falkenstein) | Keine Drittstaaten-Übermittlung |
| Lexware GmbH | Rechnungsstellung, Kontaktverwaltung, Angebotserstellung | Deutschland (Kiel) | Keine Drittstaaten-Übermittlung |
| Mistral AI | KI-Textgenerierung (Compliance-Befüllung) | Frankreich (Paris) | Keine Drittstaaten-Übermittlung (EU-only) |
| Partner (bei High-Risk-Klassifikation) | Lead-Referral nach expliziter Zustimmung | EU (Heidrich, Aitava, activeMind) bzw. USA-DPF (eRecht24, iubenda) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
Keine Weitergabe an Dritte ohne Ihre Zustimmung, außer:
Partner-Programm (High-Risk-Referral): Lead-Daten werden ausschließlich nach aktiver Auswahl eines Partners durch den Nutzer (Klick auf "Kontakt zu Partner X") übermittelt. Inhalt der Übermittlung: Firma, Email, Fit-Check-Ergebnis (Risikoklasse), Kurzbeschreibung KI-System.
Die primäre Verarbeitung (Hosting, Datenbank, Backups) erfolgt in Deutschland (Hetzner Falkenstein) – keine Drittstaaten-Übermittlung. Auch Lexware GmbH (Deutschland) und Mistral AI (Frankreich) verarbeiten Daten ausschließlich innerhalb der EU.
Folgende Sub-Unternehmer verarbeiten Daten in Drittstaaten (USA):
Die Übermittlung erfolgt unter Einhaltung der Art. 44 ff. DSGVO und des EU-US Data Privacy Framework (gültig seit Juli 2023, Angemessenheitsbeschluss C(2023) 4745). Bei Aufhebung des DPF greifen die SCC als sekundäre Rechtsgrundlage.
Wir speichern Ihre Daten wie folgt:
| Datenkategorie | Speicherdauer | Begründung |
|---|---|---|
| Kontaktdaten (Name, Email, Firma) | 30 Tage nach Kündigung, dann Löschung | Vertragsabwicklung beendet |
| KI-System-Daten | 30 Tage nach Kündigung, dann Löschung | Vertragsabwicklung beendet |
| Schulungs-Daten / Zertifikate | 30 Tage nach Kündigung, dann Löschung | Vertragsabwicklung beendet |
| Audit-Logs (PII pseudonymisiert) | 3 Jahre nach Kündigung | ISO 27001 A.12.4 + Verjährung §195 BGB |
| Stripe-Webhook-Logs – PII (Email, Name) | 30 Tage, danach Pseudonymisierung (SHA-256) | DSGVO Art. 17 |
| Stripe-Webhook-Logs – Event-IDs, Beträge | 10 Jahre | §147 AO (Steuer-Aufbewahrung) |
| Rechnungen | 10 Jahre | §147 AO |
Konflikt DSGVO Art. 17 vs. §147 AO: Steuerlich relevante Belege müssen 10 Jahre aufbewahrt werden. Wir reduzieren PII in diesem Zeitraum auf das gesetzlich erforderliche Minimum (Stripe-Customer-ID + Betrag + Datum, ohne Email/Name).
Sie haben folgende Rechte gemäß DSGVO:
Sie haben das Recht, Auskunft über die Verarbeitung Ihrer Daten zu erhalten.
Sie haben das Recht, unrichtige Daten berichtigen zu lassen.
Sie haben das Recht, Löschung Ihrer Daten zu verlangen, sofern:
Sie haben das Recht, Einschränkung der Verarbeitung zu verlangen.
Sie haben das Recht, Ihre Daten in einem strukturierten Format zu erhalten.
Gemäß § 5 Abs. 4 AGB und Art. 20 DSGVO erhalten Sie alle Ihre gespeicherten Daten in einem gängigen, maschinenlesbaren Format.
Sie haben das Recht, der Verarbeitung zu widersprechen (bei Art. 6 Abs. 1 lit. f DSGVO).
Sie haben das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen.
Zur Ausübung Ihrer Rechte kontaktieren Sie uns:
flowgeist
Email: info@flowgeist.de
Datenschutz-Anlaufstelle: datenschutz@flowgeist.de
Wir antworten gemäß Art. 12 Abs. 3 DSGVO innerhalb von einem Monat nach Eingang der Anfrage. Bei besonders komplexen Anfragen oder hohem Anfragevolumen kann diese Frist um weitere zwei Monate verlängert werden; in diesem Fall werden Sie innerhalb des ersten Monats über die Verlängerung und deren Gründe informiert.
Wir verwenden keine automatisierte Entscheidungsfindung (Profiling) im Sinne von Art. 22 DSGVO.
Wir verwenden folgende Cookies:
| Cookie-Typ | Zweck | Speicherdauer | Rechtsgrundlage |
|---|---|---|---|
| Technische Cookies (erforderlich) | Session-Management, Authentifizierung, Spracheinstellung | Session / 1 Jahr | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
| Analytics (cookie-frei, anonymisiert) | Nutzungsanalyse via Umami (keine Cookies, keine PII) | Serverseitig 6 Monate | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, Opt-in) |
Technische Cookies sind für den Betrieb der Plattform erforderlich und können nicht deaktiviert werden. Umami ist cookie-frei und wird nur nach ausdrücklicher Zustimmung über unser Cookie-Banner aktiviert. Umami verarbeitet Daten anonymisiert und DSGVO-konform.
Wir treffen geeignete technische und organisatorische Maßnahmen (TOMs), um ein den Risiken angemessenes Schutzniveau zu gewährleisten:
Wir behalten uns vor, diese Datenschutzerklärung zu ändern. Änderungen werden auf unserer Website veröffentlicht und per Email mitgeteilt.
Bei Fragen zum Datenschutz kontaktieren Sie:
flowgeist (Inhaber: Ralf Carsjens)
Eidamshauser Straße 13
40822 Mettmann
Deutschland
Email: info@flowgeist.de
Datenschutz-Anlaufstelle: datenschutz@flowgeist.de
Bei Verstößen gegen den Datenschutz haben Sie das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Postfach 20 04 44
40102 Düsseldorf
Web: https://www.ldi.nrw
| Version | Datum | Wesentliche Änderungen |
|---|---|---|
| 1.0 | 02.05.2026 | Erstfassung (Entwurf, Session #125) |
| 1.1 | 23.06.2026 | Finalisierung: Adresse ergänzt, Lexware + Mistral AI als Empfänger aufgenommen, Aufsichtsbehörde korrigiert (LDI NRW), Produktname aktualisiert, SEPA-Datenkategorie ergänzt, Cookies/Umami aktualisiert, Sicherheitstechnische Maßnahmen präzisiert, DPO-Status klargestellt |
© 2026 flowgeist - Alle Rechte vorbehalten