Datenschutzerklaerung

Stand: Februar 2026

1. Verantwortlicher

FlowBrain Alexander Burghart
Echinger Str. 13a, 80805 Muenchen
E-Mail: info@flowbrain.de

2. Ueberblick der Verarbeitungen

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienste erforderlich ist. Die nachfolgende Uebersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen.

3. Rechtsgrundlagen

  • Vertragserfluellung (Art. 6 Abs. 1 lit. b DSGVO): Verarbeitung zur Erfluellung vertraglicher Pflichten oder vorvertraglicher Massnahmen.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): IT-Sicherheit, Betrieb der Website.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Nur sofern Sie Ihre Einwilligung erteilt haben (z.B. Analytics).

4. Kontaktformular

Wenn Sie uns ueber das Kontaktformular kontaktieren, verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail, optional Telefon, Firma, Branche, Nachricht) zur Bearbeitung Ihrer Anfrage.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Massnahmen)
  • Speicherdauer: 6 Monate nach Bearbeitung der Anfrage, sofern kein Vertragsverhaeltnis entsteht
  • Empfaenger: Ihre Daten werden nicht an Dritte weitergegeben, ausser an die unter Punkt 12 genannten Auftragsverarbeiter

5. Kundenportal

Wenn Sie als Kunde einen Account in unserem Kundenportal erhalten, verarbeiten wir die folgenden Daten zur Durchfuehrung des Vertragsverhaeltnisses.

  • Datenkategorien: Name, E-Mail-Adresse, Firmenname, Passwort (nur als Hash gespeichert), Projektdaten (Name, Beschreibung, Phasen, Meilensteine, Notizen), Rechnungen und Angebote (siehe Punkt 7), Termine (siehe Punkt 8), Nachrichten (siehe Punkt 9)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfluellung)
  • Speicherdauer: Fuer die Dauer des Vertragsverhaeltnisses. Nach Vertragsende werden Ihre Daten geloescht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
  • Zugriffskontrolle: Jeder Kunde sieht ausschliesslich seine eigenen Projekte und Daten. Der Zugriff ist durch technische Massnahmen (Row Level Security) sichergestellt.
  • Protokollierung: Anmeldungen werden zur Erkennung unbefugter Zugriffe protokolliert (Zeitpunkt, keine IP-Adressen).

6. Dokumente im Kundenportal

Im Rahmen der Projektarbeit koennen Dokumente (z.B. Angebote, Rechnungen, Vertraege, Briefings) ueber das Kundenportal bereitgestellt und heruntergeladen werden.

  • Datenkategorien: Dokumentdateien und deren Metadaten (Dateiname, Kategorie, Dateityp, Dateigroesse, Hochladedatum, zugeordnetes Projekt)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfluellung)
  • Speicherort: Supabase Storage, EU-Rechenzentrum Frankfurt (aws-eu-central-1), verschluesselt
  • Erlaubte Dateitypen: PDF, Word, Excel, PNG, JPEG (max. 10 MB je Datei)
  • Zugriffskontrolle: Dokumente sind nur fuer den zugeordneten Kunden und den Administrator zugaenglich. Downloads werden protokolliert.
  • Speicherdauer: Dokumente werden fuer die Dauer des Vertragsverhaeltnisses gespeichert. Nach Vertragsende oder auf Ihren Wunsch werden Dokumente geloescht. Rechnungen unterliegen der gesetzlichen Aufbewahrungspflicht (10 Jahre gemaess HGB/AO).
  • Datenexport: Sie koennen jederzeit einen Export aller zu Ihnen gespeicherten Daten einschliesslich der Dokumenten-Metadaten anfordern (Art. 15, 20 DSGVO).

7. Rechnungen und Angebote

Im Rahmen der Geschaeftsbeziehung erstellen und verwalten wir Rechnungen und Angebote fuer unsere Kunden.

  • Datenkategorien: Rechnungs-/Angebotsnummer, Betrag, Status, Rechnungs-/Angebotsdatum, Faelligkeitsdatum, Beschreibung, zugeordnetes Projekt und Kunde. Rechnungs-PDFs enthalten zusaetzlich unsere Bankverbindung (IBAN, BIC, Kreditinstitut) zur Zahlungsabwicklung.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfluellung) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfluellung der Buchfuehrungspflicht gemaess §257 HGB, §147 AO)
  • Speicherdauer: 10 Jahre nach Ablauf des Kalenderjahres der Rechnungsstellung (handels- und steuerrechtliche Aufbewahrungspflicht gemaess §257 HGB, §147 AO)
  • Zugriffskontrolle: Kunden koennen ihre eigenen Rechnungen und Angebote im Kundenportal einsehen. Der Administrator hat Zugriff auf alle Rechnungen und Angebote. Die Zugriffstrennung ist durch technische Massnahmen (Row Level Security) sichergestellt.
  • E-Mail-Versand: Rechnungen und Angebote koennen als PDF per E-Mail an den Kunden versendet werden. Der Versand erfolgt ueber den Auftragsverarbeiter Resend Inc. (siehe Punkt 12).
  • Datenexport fuer Steuerberater: Der Administrator kann steuerrelevante Daten (Rechnungen, Angebote, Kundenstammdaten) als DATEV-kompatible CSV-Dateien exportieren. Die Weitergabe an den Steuerberater erfolgt auf Basis eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO).

8. Terminbuchung

Ueber das Kundenportal koennen registrierte Kunden Beratungstermine online buchen.

  • Datenkategorien: Gewaehltes Datum, Uhrzeit, Anlass (Freitext), Buchungszeitpunkt, zugeordneter Kunde
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfluellung bzw. vorvertragliche Massnahmen)
  • Speicherdauer: Termindaten werden fuer die Dauer des Vertragsverhaeltnisses gespeichert. Vergangene Termine werden nach 12 Monaten automatisch anonymisiert.
  • Zugriffskontrolle: Kunden sehen ausschliesslich ihre eigenen Termine. Der Zugriff ist durch technische Massnahmen (Row Level Security) sichergestellt.
  • Kollisionsschutz: Zur Vermeidung von Doppelbuchungen wird geprueft, ob der gewaehlte Zeitslot bereits belegt ist. Hierbei werden keine personenbezogenen Daten anderer Kunden verarbeitet oder offengelegt.

9. Nachrichten im Kundenportal

Ueber das Kundenportal koennen registrierte Kunden Nachrichten an uns senden.

  • Datenkategorien: Betreff, Nachrichtentext, Absendername und E-Mail-Adresse (aus dem Kundenprofil)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfluellung)
  • Uebermittlung: Die Nachricht wird per E-Mail an uns zugestellt. Der Versand erfolgt ueber den unter Punkt 12 genannten Auftragsverarbeiter Resend Inc. Nachrichten werden nicht in der Datenbank gespeichert.

10. Hosting

Diese Website wird auf einem dedizierten Virtual Private Server (VPS) bei Hostinger International Ltd. in einem europaeischen Rechenzentrum gehostet. Die Anwendung laeuft in einem Docker-Container hinter einem Nginx-Reverse-Proxy mit SSL-Verschluesselung (Let's Encrypt).

Beim Aufruf unserer Website werden durch den Server automatisch Informationen erfasst (Server-Logfiles), die Ihr Browser uebermittelt. Dies umfasst: IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL, Zeitpunkt der Anfrage.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb)
  • Hosting-Anbieter: Hostinger International Ltd., Rechenzentrum in der EU
  • Speicherdauer der Logfiles: 14 Tage, anschliessend automatische Loeschung

11. Cookies und Tracking

Diese Website verwendet ausschliesslich technisch notwendige Cookies. Es werden keine Tracking-Cookies, Analyse-Tools oder Marketing-Pixel eingesetzt. Eine Einwilligung ist daher nicht erforderlich (§ 25 Abs. 2 TDDDG).

12. Auftragsverarbeiter

  • Supabase Inc. – Datenbank, Authentifizierung und Dateispeicherung (Rechenzentrum: EU Frankfurt, aws-eu-central-1). DPA vorhanden.
  • Resend Inc. – E-Mail-Versand (Einladungen, Passwort-Zuruecksetzung, Rechnungen, Angebote, Portal-Nachrichten). DPA vorhanden.
  • Hostinger International Ltd. – Webhosting (VPS-Server, EU-Rechenzentrum). DPA vorhanden.

Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsvertraege gemaess Art. 28 DSGVO.

13. Ihre Rechte (Art. 15-21 DSGVO)

Sie haben das Recht auf:

  • Auskunft (Art. 15) ueber Ihre gespeicherten Daten
  • Berichtigung (Art. 16) unrichtiger Daten
  • Loeschung (Art. 17) Ihrer Daten
  • Einschraenkung (Art. 18) der Verarbeitung
  • Datenuebertragbarkeit (Art. 20) in einem maschinenlesbaren Format
  • Widerspruch (Art. 21) gegen die Verarbeitung

Zur Ausuebung Ihrer Rechte wenden Sie sich bitte an: info@flowbrain.de

14. Beschwerderecht bei einer Aufsichtsbehoerde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehoerde ueber die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO).

15. Aenderung dieser Datenschutzerklaerung

Wir behalten uns vor, diese Datenschutzerklaerung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen anzupassen. Die aktuelle Version finden Sie immer auf dieser Seite.