// Art. 13/14 DSGVO · § 25 TTDSG

Datenschutz — kurz und konkret.

Ich erhebe nur, was die Funktion der Seite und der Produkte technisch zwingend braucht. Hosting in der EU, keine US-Cloud, keine Drittland-Übermittlung ohne Standardvertragsklauseln.

In einer Minute

Verantwortlich

FloW Software, Florian Weise (siehe Impressum)

Hosting

Frankfurt am Main, Deutschland (Hostinger VPS)

Tracking

Keine Cookies, kein Google Analytics, kein Meta-Pixel, keine Fingerprinting-Skripte

Drittanbieter

Google Fonts (selbst gehostet möglich auf Anfrage), Mistral AI (FR · Inferenz in EU/EWR · KI-Anbieter aller Produkte). Vollständige Liste auf der AVV-Seite.

AVV

Liegt unterschrieben bereit (siehe AVV-Seite)

Datenschutzbeauftragter

Bei Bedarf extern beauftragt — Anfrage per Mail

1 · Wer ist verantwortlich?

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist Florian Weise, FloW Software, Einzelunternehmen in Deutschland. Kontakt: florian@flow-software.eu. Postanschrift siehe Impressum.

2 · Welche Daten erhebe ich beim Besuch dieser Webseite?

Server-Logs

Beim Aufruf der Seite werden technisch notwendige Daten temporär verarbeitet: IP-Adresse, Browser-Typ und -Version, Datum und Uhrzeit des Zugriffs, abgerufene Seite, Referrer. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: sicherer Betrieb der Webseite). Speicherdauer: maximal 30 Tage, dann automatische Löschung.

Kontaktaufnahme

Schreibst du mir eine Mail, verarbeite ich deine Mail-Adresse und den Nachrichteninhalt zur Beantwortung deiner Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Vertrags) bzw. lit. f (berechtigtes Interesse an Kommunikation). Speicherung bis Erledigung des Anliegens, dann gemäß gesetzlicher Aufbewahrungsfristen.

3 · Welche Daten verarbeite ich in den Produkten?

Pro Produkt (DokuHilfe, Worklogs, Kalendrix, VetDoku, Speisekarte+, SocialBot, KI-Telefonagent) ist eine eigene Datenschutz-Information Bestandteil des Vertrags und der AVV. Die wichtigsten Punkte vorab:

Daten werden auf einem VPS in Frankfurt am Main verarbeitet (Hostinger International Ltd.).
KI-Verarbeitung läuft primär über Mistral AI SAS (Paris, FR). Die eigentliche Modell-Inferenz findet auf EU/EWR-Infrastruktur statt (Microsoft Azure Schweden/Norwegen, CoreWeave EWR). DPA durch ToS-Annahme (Stand 12.03.2026), Speicherdauer maximal 30 Tage zur Missbrauchs-Erkennung, kein Training auf API-Daten (Default des bezahlten Tiers).
Alle KI-gestützten Produkte (DokuHilfe, Worklogs, VetDoku, SocialBot, KI-Telefonagent) arbeiten seit der Mistral-Only-Migration (Stand 2026-05-31) ausschließlich über Mistral AI in der EU/EWR. Anthropic wird nicht mehr eingesetzt — kein USA-Drittlandtransfer durch KI-Verarbeitung mehr.
Nur bei Kalendrix (Buchungs-Erinnerungen per SMS): Versand über seven communications GmbH & Co. KG, Kiel, DE. Server bei Hetzner Online (Deutschland, ISO 27001), „Pure EU Routing". Verarbeitete Daten: Empfänger-Telefonnummer + SMS-Inhalt (Terminzeit, Bestätigungs-Link). AVV online im seven.io-Account abgeschlossen.
Nur beim KI-Telefonagent: Telefonie über Twilio Inc. (USA; Streit-Gerichtsstand Irland). Übermittlung in die USA über EU-US Data Privacy Framework + SCC Modul 1–3 + BCRs (DPA Stand 09.04.2026). Twilio darf Service-Abuse-Daten zur internen Tool-Verbesserung verwenden — kein vollständiges Trainings-Verbot wie bei Mistral. Löschung 30 Tage nach Vertragsende (60 Tage Backups). Auf Wunsch aktivierbar: „Regional Twilio" Irland-Region für Customer-Daten.
Bei Produkten mit optionaler Google-Kalender-Anbindung (z.B. Kalendrix, Kleinanzeigen-/Telefonagent): Die Verbindung erfolgt ausdrücklich und freiwillig über das offizielle Google-OAuth-Verfahren. Gelesen werden Frei/Belegt-Zeiten (zur Vermeidung von Doppelbuchungen), geschrieben werden bestätigte Termine in den Google-Kalender. Gespeichert wird ausschließlich ein OAuth-Refresh-Token, keine Kalenderinhalte. Die Nutzung der von Google-APIs erhaltenen Daten entspricht der Google API Services User Data Policy inkl. „Limited Use": Google-Nutzerdaten werden ausschließlich für die Kalender-Synchronisation verwendet, nicht an Dritte weitergegeben, nicht für Werbung und nicht zum Training von KI-/ML-Modellen genutzt. Widerruf jederzeit in der App („Trennen") oder im Google-Konto.
Pflichtdokumentations-Inhalte (z.B. in DokuHilfe) verbleiben getrennt pro Auftraggeber, kein Pooling.
Kein Training fremder KI-Modelle auf deinen Doku-Inhalten — Ausnahme: Twilio darf Telefonie-Metadaten zur Service-Abuse-Erkennung verwenden (siehe oben).

4 · Deine Rechte

Du hast das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Anfragen an florian@flow-software.eu — ich antworte innerhalb von spätestens 30 Tagen, in der Regel deutlich schneller.

Du hast außerdem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Aufsichtsbehörde deines Bundeslandes (bei Sachsen-Anhalt z.B. das Landesbeauftragte für den Datenschutz Sachsen-Anhalt).

5 · Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird angepasst, sobald sich rechtliche Anforderungen oder die Datenverarbeitung selbst ändern. Stand: 26.05.2026.

Status: Erstfassung. Bei Aufnahme als Pilot-Kunde bekommst du zusätzlich die produktspezifische Datenschutz-Information + AVV als PDF. Fragen vorab gerne per Mail.