Datenschutzerklärung

Zuletzt aktualisiert: 20. Februar 2026

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Wer ist verantwortlich für die Datenerfassung?

Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Abschnitt “Hinweis zur verantwortlichen Stelle” in dieser Datenschutzerklärung entnehmen.

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z. B. um Daten handeln, die Sie in ein Kontaktformular eingeben oder bei der Registrierung angeben.

Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z. B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs).

Wofür nutzen wir Ihre Daten?

Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können zur Analyse Ihres Nutzerverhaltens verwendet werden. Darüber hinaus werden Daten zur Bereitstellung unserer KI-gestützten Services (Agenten-Konversationen, Pipeline-Ausführungen) verarbeitet.

Welche Rechte haben Sie bezüglich Ihrer Daten?

Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Wenn Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese Einwilligung jederzeit für die Zukunft widerrufen. Außerdem haben Sie das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

2. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Hinweis zur verantwortlichen Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

Luis Ens – Flowent
Am Neugraben 9
79112 Freiburg
E-Mail: anfrage@flowent.de

Widerruf Ihrer Einwilligung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Beschwerderecht bei der zuständigen Aufsichtsbehörde

Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Die für uns zuständige Aufsichtsbehörde ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

Recht auf Datenübertragbarkeit

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen.

Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Hierzu können Sie sich jederzeit an uns wenden. Das Recht auf Einschränkung der Verarbeitung besteht insbesondere, wenn die Richtigkeit der Daten bestritten wird, die Verarbeitung unrechtmäßig ist oder der Verarbeitungszweck entfallen ist.

Auskunft, Löschung und Berichtigung

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung oder Löschung dieser Daten.

Aufbewahrungsfristen

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherfrist genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Konversationsdaten mit KI-Agenten werden für die Dauer Ihres Nutzungsvertrags gespeichert. Nach Kündigung werden Ihre Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. steuer- oder handelsrechtliche) entgegenstehen. Audit-Logs werden für 12 Monate aufbewahrt.

3. Datenerfassung auf dieser Website

Cookies

Unsere Internetseiten verwenden so genannte “Cookies”. Cookies sind kleine Datenpakete und richten auf Ihrem Endgerät keinen Schaden an. Sie werden entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert.

Wir verwenden folgende Cookies:

  • sintra.sid (httpOnly) – Enthält Ihr verschlüsseltes Session-Token (JWT). Lebensdauer: 7–14 Tage.
  • sintra.csrf – CSRF-Schutztoken zur Absicherung von Formularübermittlungen. Lebensdauer: 24 Stunden.
  • sintra_email_verified – Zeigt den E-Mail-Verifizierungsstatus an. Lebensdauer: 7 Tage.

Rechtsgrundlage für die Verwendung technisch notwendiger Cookies ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Bereitstellung der Website).

Local Storage (Browser-Speicher)

Zusätzlich zu Cookies speichern wir bestimmte Daten im Local Storage Ihres Browsers. Dabei handelt es sich um:

  • Sitzungsdaten: Ihre Benutzer-ID, Anzeigename, E-Mail und Rolle (zur Vermeidung unnötiger Server-Anfragen)
  • Einstellungen: Gewähltes Farbschema (Theme), Spracheinstellungen

Diese Daten werden ausschließlich lokal in Ihrem Browser gespeichert und nicht an Dritte übermittelt. Sie können den Local Storage jederzeit über die Entwicklertools Ihres Browsers löschen.

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Grundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO.

Registrierung auf dieser Website

Sie können sich auf dieser Website registrieren, um zusätzliche Funktionen auf der Seite zu nutzen. Bei der Registrierung erfassen wir:

  • Name und E-Mail-Adresse
  • Verschlüsseltes Passwort (Bcrypt-Hash mit dynamischem Kostenfaktor)
  • Zeitpunkt der Registrierung

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Optional können Sie weitere Profildaten angeben (Anzeigename, Profilbild, Biographie, Standort, Pronomen, Berufsbezeichnung). Diese Angaben sind freiwillig.

Geräteerkennung und Sicherheitsmaßnahmen

Zum Schutz Ihres Kontos erfassen und speichern wir bei jeder Anmeldung folgende gerätebezogene Daten:

  • IP-Adresse und User-Agent (Browserkennung)
  • Geräte-Hash (pseudonymisierter Fingerprint aus User-Agent und partieller IP)
  • Geräteinformationen (Browsername, Betriebssystem, Gerätetyp)
  • Zeitpunkt der letzten Anmeldung

Bei Erkennung eines unbekannten Geräts erhalten Sie eine Sicherheitsbenachrichtigung per E-Mail. Sie können vertrauenswürdige Geräte in Ihren Kontoeinstellungen verwalten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor unbefugtem Zugriff).

Zwei-Faktor-Authentifizierung (2FA)

Wenn Sie die Zwei-Faktor-Authentifizierung aktivieren, speichern wir ein verschlüsseltes TOTP-Geheimnis (Time-based One-Time Password gemäß RFC 6238) sowie einmalig generierte Wiederherstellungscodes in unserer Datenbank. Diese Daten dienen ausschließlich der Absicherung Ihres Kontos.

KI-Konversationsdaten

Bei der Nutzung unserer KI-Agenten werden Ihre Nachrichten und die Antworten der Agenten in unserer Datenbank gespeichert, um Ihnen Ihre Konversationshistorie bereitzustellen. Zusätzlich speichern wir Token-Verbrauch, verwendetes Modell und Antwortzeiten zur Qualitätssicherung. Diese Daten werden ausschließlich für die Erbringung unserer Dienstleistung verwendet.

4. Anmeldung über Drittanbieter (OAuth)

Anmeldung mit Google

Sie können sich mit Ihrem Google-Konto auf unserer Plattform anmelden. Bei der Anmeldung erhalten wir von Google folgende Daten:

  • Google-Benutzer-ID (Sub-Claim)
  • E-Mail-Adresse und Verifizierungsstatus
  • Vor- und Nachname
  • Profilbild-URL

Die Authentifizierung erfolgt über das OAuth 2.0-Protokoll mit PKCE (Proof Key for Code Exchange) für maximale Sicherheit. Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Anmeldung mit GitHub

Bei der Anmeldung mit GitHub erhalten wir Ihren Benutzernamen, Ihre E-Mail-Adresse und Ihr Profilbild. Anbieter ist GitHub, Inc., 88 Colin P Kelly Jr Street, San Francisco, CA 94107, USA. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Frameworks.

Passkeys (WebAuthn / FIDO2)

Sie können sich passwortlos mit Passkeys anmelden (z. B. Face ID, Touch ID, YubiKey). Dabei speichern wir ausschließlich den öffentlichen Schlüssel Ihrer Zugangsdaten (Credential Public Key), die Credential-ID und den Gerätetyp. Ihr privater Schlüssel verlässt niemals Ihr Gerät. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

5. Externe Dienste und Auftragsverarbeitung

Wir setzen zur Erbringung unserer Dienste externe Dienstleister ein, mit denen wir – soweit erforderlich – Auftragsverarbeitungsverträge (AVV) gem. Art. 28 DSGVO geschlossen haben.

Hosting: Vercel Inc.

Diese Website wird auf der Plattform von Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA gehostet. Beim Besuch unserer Website werden automatisch Ihre IP-Adresse, Browsertyp und Zugriffszeit an Vercel-Server übermittelt. Vercel ist unter dem EU-US Data Privacy Framework zertifiziert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Datenbank: Supabase

Sämtliche Nutzerdaten werden in einer PostgreSQL-Datenbank gespeichert, die von Supabase, Inc. in der AWS-Region eu-west-1 (Irland) betrieben wird. Alle Daten verbleiben somit innerhalb der Europäischen Union. Die Verbindung ist SSL-verschlüsselt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Cache und Warteschlangen: Redis

Für temporäre Datenspeicherung (Session-Cache, Rate-Limiting, Hintergrund-Aufgaben) nutzen wir Redis Labs. Zwischengespeicherte Daten sind flüchtig und werden automatisch nach Ablauf der konfigurierten Lebensdauer gelöscht.

E-Mail-Versand: Resend

Für den Versand transaktionaler E-Mails (E-Mail-Verifizierung, Passwort-Reset, Sicherheitsbenachrichtigungen bei neuem Gerät) nutzen wir den Dienst Resend (Resend, Inc., USA). Dabei werden Ihre E-Mail-Adresse und der Nachrichteninhalt an Resend übermittelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Zahlungsabwicklung: Stripe

Für die Abwicklung von Zahlungen nutzen wir den Dienst von Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA. Bei einem Kauf werden Ihre E-Mail-Adresse, der gewählte Tarif und die Zahlungsinformationen direkt an Stripe übermittelt. Flowent AI speichert keine Kreditkartendaten. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe.

Fehlerüberwachung: Sentry

Zur Erkennung und Behebung technischer Fehler nutzen wir Sentry (Functional Software, Inc., San Francisco, USA). Im Fehlerfall werden technische Daten (Stack-Traces, Browser-Informationen, anonyme Session-Daten) an Sentry übermittelt. Sentry erhält keine personenbezogenen Daten wie Namen oder E-Mail-Adressen. Cookies und sensible Header werden vor der Übermittlung entfernt. Sentry ist nur in der Produktionsumgebung aktiv. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

6. KI-Dienste und Datenverarbeitung

OpenAI API

Für die Bereitstellung unserer KI-Agenten nutzen wir die API von OpenAI, Inc., 3180 18th Street, San Francisco, CA 94110, USA. Dabei werden folgende Daten an die OpenAI-Server übermittelt:

  • Ihre Eingaben (Prompts) und Konversationskontexte (letzten 10 Nachrichten)
  • Agent-spezifische System-Prompts (enthalten keine personenbezogenen Daten)
  • Modellparameter (Temperatur, Token-Limit)

Wichtig: API-Daten werden von OpenAI gemäß ihrer Datenschutzrichtlinie verarbeitet und nicht für das Training ihrer Modelle verwendet (API Data Usage Policy).

Hinweis zur Nutzung: Geben Sie keine sensiblen personenbezogenen Daten (Gesundheitsdaten, Finanzinformationen, Sozialversicherungsnummern) in die Agenten-Konversationen ein. Die generierten Inhalte stellen keine Rechts-, Finanz- oder Medizinberatung dar.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Frameworks sowie Standardvertragsklauseln (SCCs).

7. Drittanbieter-Integrationen

Google Workspace

Sie können optional Ihr Google-Konto mit unserer Plattform verbinden, um folgende Dienste zu nutzen: Google Tasks, Google Sheets, Google Drive, Google Calendar, Google Contacts und Gmail. Dabei werden OAuth 2.0-Tokens verwendet, die in unserer Datenbank mit AES-256-GCM verschlüsselt gespeichert werden.

Die Verbindung ist freiwillig und kann jederzeit in den Kontoeinstellungen getrennt werden. Bei Trennung werden die gespeicherten Tokens unwiderruflich gelöscht. Anbieter ist Google Ireland Limited. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Slack

Bei optionaler Verbindung mit Slack werden Nachrichten, Kanalinformationen und Team-Mitgliederdaten zwischen unserer Plattform und Slack ausgetauscht. Anbieter ist Salesforce, Inc. (Slack Technologies), San Francisco, USA. Die Verbindung kann jederzeit getrennt werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Sicherheit der Zugangsdaten

Sämtliche OAuth-Tokens und API-Schlüssel, die durch Integrationen entstehen, werden mit AES-256-GCM (Advanced Encryption Standard, 256-Bit-Schlüssellänge) in unserer Datenbank verschlüsselt gespeichert. Der Verschlüsselungsschlüssel wird getrennt von der Datenbank aufbewahrt.

8. Analyse-Tools

Vercel Analytics

Diese Website nutzt Vercel Analytics, einen Webanalysedienst der Vercel Inc. Vercel Analytics verwendet keine Cookies und erfasst keine personenbezogenen Daten. Es werden lediglich anonymisierte Zugriffsdaten zur Performance-Analyse erhoben (Core Web Vitals, Seitenaufrufe). Weitere Informationen finden Sie in der Datenschutzerklärung von Vercel.

Vercel Speed Insights

Zusätzlich nutzen wir Vercel Speed Insights zur Messung der Ladegeschwindigkeit unserer Website. Dabei werden anonymisierte Performance-Metriken erhoben. Es werden keine personenbezogenen Daten erfasst. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

9. Internationale Datenübermittlung (Drittlandtransfer)

Übermittlung in die USA

Einige unserer Dienstleister haben ihren Sitz in den Vereinigten Staaten von Amerika (USA), einem Land außerhalb des Europäischen Wirtschaftsraums (EWR). Die Übermittlung personenbezogener Daten an diese Dienstleister erfolgt auf folgenden Rechtsgrundlagen:

  • EU-US Data Privacy Framework (DPF): OpenAI, Vercel, Stripe und Sentry sind unter dem DPF zertifiziert, das am 10. Juli 2023 von der EU-Kommission als angemessenes Schutzniveau anerkannt wurde.
  • Standardvertragsklauseln (SCCs): Wo keine DPF-Zertifizierung vorliegt, verwenden wir die von der EU-Kommission genehmigten Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO.

Betroffene Dienste

  • OpenAI, Inc. (San Francisco) – KI-Modell-API
  • Vercel, Inc. (San Francisco) – Hosting & Analytics
  • Stripe, Inc. (San Francisco) – Zahlungsabwicklung
  • Sentry / Functional Software, Inc. (San Francisco) – Fehlerüberwachung
  • Resend, Inc. (USA) – E-Mail-Versand
  • Redis Labs (USA) – Cache und Warteschlangen
  • GitHub, Inc. (San Francisco) – OAuth-Anmeldung

Die Datenbank (Supabase/PostgreSQL) wird in der EU-Region eu-west-1 (Irland) betrieben. Sämtliche Nutzerdaten verbleiben somit innerhalb der EU. Nur für die in dieser Erklärung genannten Zwecke werden Daten an US-Dienste übermittelt.