DSGVO Art. 13, 14

Datenschutzerklärung

Version 1.1 · Stand: 23.06.2026


1. Verantwortlicher

flowgeist (Inhaber: Ralf Carsjens)
Eidamshauser Straße 13
40822 Mettmann
Deutschland
Email: info@flowgeist.de
Web: https://flowgeist.de

Datenschutzbeauftragter (DPO): Gemäß Art. 37 DSGVO und § 38 BDSG ist derzeit kein Datenschutzbeauftragter bestellt, da die gesetzlichen Schwellenwerte (unter 20 ständig mit automatisierter Verarbeitung beschäftigte Personen) nicht erreicht werden. Datenschutz-Ansprechpartner: datenschutz@flowgeist.de (interim).


2. Überblick

Diese Datenschutzerklärung informiert Sie über die Verarbeitung Ihrer personenbezogenen Daten durch die flowgeist-Plattform. Wir verarbeiten Ihre Daten gemäß der DSGVO (Verordnung (EU) 2016/679) und dem BDSG.


3. Kategorien personenbezogener Daten

Wir verarbeiten folgende Kategorien personenbezogener Daten:

Datenkategorie Beschreibung Rechtsgrundlage
Kontaktdaten Name, Email, Firma Art. 6 Abs. 1 lit. b DSGVO (Vertrag)
KI-System-Daten KI-System-Name, Risiko-Klassifizierung Art. 6 Abs. 1 lit. b DSGVO (Vertrag)
Schulungs-Daten Schulungs-Status, Zertifikate Art. 6 Abs. 1 lit. b DSGVO (Vertrag)
Audit-Daten Login-Zeiten, Aktionen Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)
Zahlungsdaten Stripe-Kunden-ID, Abonnement-Status, SEPA-Lastschriftmandat (IBAN verschlüsselt gespeichert) Art. 6 Abs. 1 lit. b DSGVO (Vertrag)

4. Verarbeitungszwecke

Wir verarbeiten Ihre Daten zu folgenden Zwecken:

  • Bereitstellung der flowgeist-Plattform (Art. 6 Abs. 1 lit. b DSGVO)
  • Compliance-Dokumentation (KI-Nutzungsrichtlinie, Compliance-Dossier) (Art. 6 Abs. 1 lit. b DSGVO)
  • Audit-Trail für ISO 27001 (Art. 6 Abs. 1 lit. f DSGVO)
  • Support und Kommunikation (Art. 6 Abs. 1 lit. b DSGVO)
  • Abrechnung (Art. 6 Abs. 1 lit. b DSGVO)
  • Sicherheit und Betrugprävention (Art. 6 Abs. 1 lit. f DSGVO)

5. Rechtsgrundlagen

Die Verarbeitung erfolgt auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO: Erfüllung eines Vertrags (Abonnement)
  • Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse (Audit-Trail, Sicherheit)

6. Empfänger personenbezogener Daten

Wir geben Ihre Daten nur an folgende Empfänger (Auftragsverarbeiter gem. Art. 28 DSGVO) weiter:

Empfänger Zweck Standort Rechtsgrundlage
Stripe Payments Europe, Ltd. Zahlungsabwicklung, Subscription-Management Irland (EU) + USA (Konzernmutter) EU-US DPF + SCC
Postmark (ActiveCampaign LLC) Transaktionale Emails USA EU-US DPF + SCC
Hetzner Online GmbH Server-Hosting, PostgreSQL-Datenbank, Backups Deutschland (Falkenstein) Keine Drittstaaten-Übermittlung
Lexware GmbH Rechnungsstellung, Kontaktverwaltung, Angebotserstellung Deutschland (Kiel) Keine Drittstaaten-Übermittlung
Mistral AI KI-Textgenerierung (Compliance-Befüllung) Frankreich (Paris) Keine Drittstaaten-Übermittlung (EU-only)
Partner (bei High-Risk-Klassifikation) Lead-Referral nach expliziter Zustimmung EU (Heidrich, Aitava, activeMind) bzw. USA-DPF (eRecht24, iubenda) Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Keine Weitergabe an Dritte ohne Ihre Zustimmung, außer:

  • Gesetzliche Verpflichtungen (z.B. Behörden, Steuerprüfung gem. §147 AO)
  • Unter-Auftragsverarbeiter (siehe AVV §4.3)

Partner-Programm (High-Risk-Referral): Lead-Daten werden ausschließlich nach aktiver Auswahl eines Partners durch den Nutzer (Klick auf "Kontakt zu Partner X") übermittelt. Inhalt der Übermittlung: Firma, Email, Fit-Check-Ergebnis (Risikoklasse), Kurzbeschreibung KI-System.


7. Datenübermittlung in Drittstaaten

Die primäre Verarbeitung (Hosting, Datenbank, Backups) erfolgt in Deutschland (Hetzner Falkenstein)keine Drittstaaten-Übermittlung. Auch Lexware GmbH (Deutschland) und Mistral AI (Frankreich) verarbeiten Daten ausschließlich innerhalb der EU.

Folgende Sub-Unternehmer verarbeiten Daten in Drittstaaten (USA):

  • Stripe (USA, Konzernmutter): EU-US DPF + Standardvertragsklauseln (SCC)
  • Postmark / ActiveCampaign (USA): EU-US DPF + SCC

Die Übermittlung erfolgt unter Einhaltung der Art. 44 ff. DSGVO und des EU-US Data Privacy Framework (gültig seit Juli 2023, Angemessenheitsbeschluss C(2023) 4745). Bei Aufhebung des DPF greifen die SCC als sekundäre Rechtsgrundlage.


8. Speicherdauer

Wir speichern Ihre Daten wie folgt:

Datenkategorie Speicherdauer Begründung
Kontaktdaten (Name, Email, Firma) 30 Tage nach Kündigung, dann Löschung Vertragsabwicklung beendet
KI-System-Daten 30 Tage nach Kündigung, dann Löschung Vertragsabwicklung beendet
Schulungs-Daten / Zertifikate 30 Tage nach Kündigung, dann Löschung Vertragsabwicklung beendet
Audit-Logs (PII pseudonymisiert) 3 Jahre nach Kündigung ISO 27001 A.12.4 + Verjährung §195 BGB
Stripe-Webhook-Logs – PII (Email, Name) 30 Tage, danach Pseudonymisierung (SHA-256) DSGVO Art. 17
Stripe-Webhook-Logs – Event-IDs, Beträge 10 Jahre §147 AO (Steuer-Aufbewahrung)
Rechnungen 10 Jahre §147 AO

Konflikt DSGVO Art. 17 vs. §147 AO: Steuerlich relevante Belege müssen 10 Jahre aufbewahrt werden. Wir reduzieren PII in diesem Zeitraum auf das gesetzlich erforderliche Minimum (Stripe-Customer-ID + Betrag + Datum, ohne Email/Name).


9. Ihre Betroffenenrechte

Sie haben folgende Rechte gemäß DSGVO:

9.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die Verarbeitung Ihrer Daten zu erhalten.

9.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unrichtige Daten berichtigen zu lassen.

9.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, Löschung Ihrer Daten zu verlangen, sofern:

  • Die Daten nicht mehr für den Zweck benötigt werden
  • Sie Ihre Einwilligung widerrufen
  • Die Daten unrechtmäßig verarbeitet wurden

9.4 Recht auf Einschränkung (Art. 18 DSGVO)

Sie haben das Recht, Einschränkung der Verarbeitung zu verlangen.

9.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten Format zu erhalten.

Gemäß § 5 Abs. 4 AGB und Art. 20 DSGVO erhalten Sie alle Ihre gespeicherten Daten in einem gängigen, maschinenlesbaren Format.

9.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, der Verarbeitung zu widersprechen (bei Art. 6 Abs. 1 lit. f DSGVO).

9.7 Recht auf Beschwerde (Art. 77 DSGVO)

Sie haben das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen.


10. Ausübung Ihrer Rechte

Zur Ausübung Ihrer Rechte kontaktieren Sie uns:

flowgeist
Email: info@flowgeist.de
Datenschutz-Anlaufstelle: datenschutz@flowgeist.de

Wir antworten gemäß Art. 12 Abs. 3 DSGVO innerhalb von einem Monat nach Eingang der Anfrage. Bei besonders komplexen Anfragen oder hohem Anfragevolumen kann diese Frist um weitere zwei Monate verlängert werden; in diesem Fall werden Sie innerhalb des ersten Monats über die Verlängerung und deren Gründe informiert.


11. Automatisierte Entscheidungsfindung

Wir verwenden keine automatisierte Entscheidungsfindung (Profiling) im Sinne von Art. 22 DSGVO.


12. Cookies und Tracking

Wir verwenden folgende Cookies:

Cookie-Typ Zweck Speicherdauer Rechtsgrundlage
Technische Cookies (erforderlich) Session-Management, Authentifizierung, Spracheinstellung Session / 1 Jahr Art. 6 Abs. 1 lit. b DSGVO (Vertrag)
Analytics (cookie-frei, anonymisiert) Nutzungsanalyse via Umami (keine Cookies, keine PII) Serverseitig 6 Monate Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, Opt-in)

Technische Cookies sind für den Betrieb der Plattform erforderlich und können nicht deaktiviert werden. Umami ist cookie-frei und wird nur nach ausdrücklicher Zustimmung über unser Cookie-Banner aktiviert. Umami verarbeitet Daten anonymisiert und DSGVO-konform.


13. Sicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen (TOMs), um ein den Risiken angemessenes Schutzniveau zu gewährleisten:

  • Verschlüsselung bei Übertragung (TLS 1.3, HSTS)
  • Backup-Verschlüsselung (AES-256, Hetzner Cloud Backup at rest)
  • Passwort-Hashing (argon2id, 64 MiB, t=3, p=4)
  • Zugriffskontrolle (RBAC, MFA/TOTP für Administratoren)
  • Audit-Trail (ISO 27001 A.12.4, unveränderbare Logs)
  • Refresh-Token-Rotation mit Reuse-Detection
  • Regelmäßige Sicherheits-Updates

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu ändern. Änderungen werden auf unserer Website veröffentlicht und per Email mitgeteilt.


15. Kontakt bei Datenschutzfragen

Bei Fragen zum Datenschutz kontaktieren Sie:

flowgeist (Inhaber: Ralf Carsjens)
Eidamshauser Straße 13
40822 Mettmann
Deutschland
Email: info@flowgeist.de
Datenschutz-Anlaufstelle: datenschutz@flowgeist.de


16. Rechtsbehelfe

Bei Verstößen gegen den Datenschutz haben Sie das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Postfach 20 04 44
40102 Düsseldorf
Web: https://www.ldi.nrw


17. Änderungshistorie

Version Datum Wesentliche Änderungen
1.0 02.05.2026 Erstfassung (Entwurf, Session #125)
1.1 23.06.2026 Finalisierung: Adresse ergänzt, Lexware + Mistral AI als Empfänger aufgenommen, Aufsichtsbehörde korrigiert (LDI NRW), Produktname aktualisiert, SEPA-Datenkategorie ergänzt, Cookies/Umami aktualisiert, Sicherheitstechnische Maßnahmen präzisiert, DPO-Status klargestellt

© 2026 flowgeist - Alle Rechte vorbehalten