Auftragsverarbeitung (AVV) und Unterauftragnehmer
gemäß Art. 28 DSGVO — Stand: Mai 2026
Diese Seite beschreibt den Rahmen der Auftragsverarbeitung durch LokalFlow sowie das Register der eingesetzten und optional aktivierbaren Unterauftragnehmer. Sie ergänzt einen mit dem Kunden individuell vereinbarten Auftragsverarbeitungsvertrag (AVV) und ersetzt diesen nicht. Maßgeblich ist der jeweils mit dem Kunden geschlossene AVV; bei Abweichungen geht der individuelle Vertrag dieser Seite vor.
§ 1 Gegenstand und Dauer der Verarbeitung
LokalFlow verarbeitet personenbezogene Daten ausschließlich im Auftrag und auf Weisung des Kunden (nachfolgend „Verantwortlicher") zur Erbringung der vertraglich vereinbarten SaaS-Leistungen. Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrages. Nach Beendigung des Vertragsverhältnisses werden personenbezogene Daten des Verantwortlichen innerhalb von 30 Tagen gelöscht oder zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung dient der Bereitstellung der LokalFlow-Plattform sowie der vom Verantwortlichen aktivierten Funktionen. Dazu zählen insbesondere:
- KI-gestützte Bearbeitung von Geschäftskommunikation (z. B. E-Mail, WhatsApp, optional Telefonie und Bewertungsplattformen)
- Verwaltung und Speicherung von Kundennachrichten, Wissensdatenbank und Kontakten
- KI-basierte Entwürfe, Klassifizierung, Zusammenfassung und Vorschläge mit Human-in-the-loop-Freigabe
- Bereitstellung von Dashboards, Berichten und Audit-Protokollen
- Optionale Integrationen wie Zahlungsabwicklung, Kalender, Bewertungen oder externe Automationen, sofern vom Verantwortlichen aktiviert
§ 3 Kategorien personenbezogener Daten
- Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)
- Kommunikationsinhalte (Nachrichtentexte, Betreffzeilen, ggf. Audio/Transkripte)
- Metadaten (Zeitstempel, Absender, Empfänger, Kanal, Status)
- Bewertungs- und Reviewdaten, sofern entsprechende Integration aktiv
- Benutzerkontodaten (E-Mail, Name, Rolle, Authentifizierungsmerkmale)
- Inhalts-, Wissens- und Uploaddaten des Verantwortlichen
- Abrechnungs- und Nutzungsdaten bei kostenpflichtiger Nutzung
§ 4 Kategorien betroffener Personen
- Endkunden und Interessenten des Verantwortlichen
- Mitarbeiter und Nutzer:innen des Verantwortlichen
- Geschäftspartner und Kontakte aus eingebundenen Systemen
§ 5 Pflichten von LokalFlow als Auftragsverarbeiter
- Verarbeitung personenbezogener Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO).
- Vertraulichkeitsverpflichtung aller zur Verarbeitung befugten Personen (Art. 28 Abs. 3 lit. b DSGVO).
- Umsetzung der nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe § 6).
- Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten und Aufsichtsanfragen (Art. 28 Abs. 3 lit. e und f DSGVO).
- Unverzügliche Information über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO).
- Löschung oder Rückgabe der Daten nach Beendigung des Auftrags (Art. 28 Abs. 3 lit. g DSGVO).
- Bereitstellung der zum Nachweis erforderlichen Informationen und Ermöglichung von Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO).
§ 6 Technische und organisatorische Maßnahmen (TOMs)
Die folgenden Maßnahmen werden von LokalFlow im Rahmen des Plattformbetriebs umgesetzt. Detaillierte TOMs werden auf Anfrage als Anlage zum AVV zur Verfügung gestellt.
Vertraulichkeit
- Mandantentrennung auf Datenbankebene (Row-Level Isolation)
- Rollenbasierte Zugriffskontrolle (RBAC) mit JWT-Authentifizierung
- Passwörter werden ausschließlich als bcrypt-Hashes gespeichert
- Zugriff auf Produktionssysteme nur über VPN und SSH-Key
- Optionale Zwei-Faktor-Authentifizierung (2FA)
Integrität
- Unveränderliches Audit-Logging sicherheitsrelevanter Aktionen und KI-Entscheidungen
- Eingabevalidierung und PII-Maskierung vor Übergabe an KI-Dienste
- Versionierung aller Datenbankänderungen (Prisma Migrations)
Verfügbarkeit
- Hosting bei Hetzner Online GmbH (Deutschland, EU)
- Tägliche, verschlüsselte Datenbankbackups mit dokumentiertem Restore-Prozess
- Container-basierte Infrastruktur mit Health-Checks und automatischem Neustart
Verschlüsselung
- TLS 1.3 für alle externen Datenübertragungen
- Verschlüsselung sensibler Felder auf Anwendungsebene mit dediziertem Encryption-Key
- Sichere Token-Verwaltung (JWT mit konfigurierbarer Ablaufzeit)
§ 7 Unterstützung bei Betroffenenrechten und Behördenanfragen
LokalFlow unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 15 bis 22 DSGVO) sowie bei Datenschutz-Folgenabschätzungen, Konsultationen mit Aufsichtsbehörden und Sicherheitsvorfällen. Hierfür stehen Exportfunktionen, Löschwerkzeuge und Audit-Protokolle bereit.
§ 8 Löschung und Rückgabe der Daten
Nach Beendigung des Hauptvertrages werden die personenbezogenen Daten des Verantwortlichen innerhalb von 30 Tagen gelöscht oder in einem strukturierten, gängigen und maschinenlesbaren Format zurückgegeben, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Konkrete Speicherfristen je Datenart sind in der Datenschutzerklärung beschrieben.
§ 9 Sicherheitsvorfälle und Meldefristen
LokalFlow informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, über jede Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO und stellt die zur Meldung an die Aufsichtsbehörde erforderlichen Informationen bereit.
§ 10 Unterauftragnehmer
LokalFlow setzt Unterauftragnehmer zur Erbringung der SaaS-Leistungen ein. Welche Anbieter konkret zum Einsatz kommen, hängt vom gebuchten Funktionsumfang und den vom Verantwortlichen aktivierten Integrationen ab. Nicht jeder gelistete Anbieter ist in jedem Mandanten aktiv.
Mit Abschluss des Hauptvertrages erteilt der Verantwortliche LokalFlow die allgemeine Genehmigung zum Einsatz der nachfolgend gelisteten Unterauftragnehmer (Art. 28 Abs. 2 DSGVO). LokalFlow informiert über Änderungen oder neue Unterauftragnehmer in angemessener Form, zum Beispiel über eine aktualisierte Online-Liste, Kundeninformation oder Vertragsanlage. Verantwortliche können einer Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen.
§ 10.1 Statuslegende
- Aktiv – Kernbetrieb: Anbieter wird für den regulären Plattformbetrieb eingesetzt.
- Aktiv – bei aktivierter Funktion: Anbieter wird nur eingesetzt, wenn die entsprechende Funktion durch den Verantwortlichen genutzt wird.
- Optional – tenantweise zu aktivieren: Anbieter ist nicht standardmäßig aktiv. Er wird erst aktiv, wenn der Verantwortliche die Integration in seinem Mandanten ausdrücklich einrichtet oder ein Konto verbindet.
- Pilot / Risikoentscheidung: Einsatz nur im Rahmen einer dokumentierten Risikoentscheidung, ohne klassischen AVV-Standardrahmen.
- Clientseitiger Website-/Frontend-Dienst: Drittanbieter, dessen Inhalte oder Schnittstellen im Frontend oder bei der Website-Analyse eingebunden sein können. Diese Dienste sind keine klassischen Auftragsverarbeiter, werden aber datenschutzrechtlich transparent ausgewiesen.
§ 10.2 Kernbetrieb
| Anbieter | Zweck | Datenarten | Region / Transfer | Status |
|---|---|---|---|---|
| Hetzner Online GmbH, Gunzenhausen, Deutschland | Hosting, Server, Reverse Proxy, PostgreSQL, Redis, Uploads, Backups | Mandanten-, Nutzer-, Inhalts-, Log- und Backupdaten | Deutschland / EU | Aktiv – Kernbetrieb |
| Brevo SAS, Paris, Frankreich | SMTP-Relay für Systemmails, Verifikation, Passwort-Reset, Benachrichtigungen | E-Mail-Adresse, Name, Versandinhalte, Zustell- und Bounce-Metadaten | EU | Aktiv – Kernbetrieb |
§ 10.3 Aktiv bei aktivierter Funktion
| Anbieter | Zweck | Datenarten | Region / Transfer | Status |
|---|---|---|---|---|
| Mistral AI, S.A.S., Paris, Frankreich | LLM-gestützte Entwürfe, Zusammenfassungen, Klassifizierungen und KI-Funktionen | Prompts, Tool-Kontext, Inhalte aus aktivierten Funktionen, ggf. personenbezogene Daten | EU (Frankreich erwartet); Transfermechanismen werden im DPA des Anbieters geregelt | Aktiv bei aktivierter KI-Funktion |
| Meta Platforms Ireland Ltd. / WhatsApp Business Platform | WhatsApp-Kommunikation, Templates, Webhooks | Telefonnummern, Nachrichteninhalte und -Metadaten, Opt-in-Status | EU/USA möglich; Transfer auf Basis von SCC durch Meta | Aktiv bei genutztem WhatsApp-Kanal; Rollenmodell je Modus (Shared / Dedicated / Customer-Owned) |
§ 10.4 Optional – tenantweise zu aktivieren
| Anbieter | Zweck | Region / Transfer | Status |
|---|---|---|---|
| Stripe Payments Europe Ltd. / Stripe Inc. | Zahlungen, Abos, Rechnungen, Kundenportal | EU/USA möglich, SCC durch Stripe | Optional – nur bei kostenpflichtiger Nutzung |
| Google Ireland Ltd. / Google LLC | Google Business Profile, Google Reviews, Google Calendar OAuth | EU/USA möglich, SCC durch Google | Optional – nur bei verbundenem Google-Konto je Mandant |
| Microsoft Ireland Operations Ltd. / Microsoft Corporation | Outlook/Microsoft 365 Kalender und Identität (OAuth) | EU/USA möglich, SCC durch Microsoft | Optional – nur bei verbundenem Microsoft-Konto je Mandant |
| Zapier, Inc. | Externe Automationen und Drittsystem-Integrationen | USA und weitere möglich, SCC durch Zapier | Optional – Aktivierung tenantweise; verbundene Drittanbieter sind eigenständig |
| Trustpilot A/S | Review-Import, Review-Einladungen, Widgets | EU / weitere möglich | Optional – nur bei verbundenem Trustpilot-Konto je Mandant |
| Famulor (KI-Telefonie) | KI-Telefonassistent, Anrufe, SMS, Transkripte, Telefonnummern | Region wird im Rahmen der Anbieterfreigabe festgelegt | Optional – vorbereitete Integration; Aktivierung im Pilot setzt eine dokumentierte Anbieterfreigabe und einen abgeschlossenen DPA voraus |
§ 10.5 Pilot / Risikoentscheidung
| Anbieter | Zweck | Hinweis |
|---|---|---|
| Telegram FZ-LLC / Telegram Messenger Limited | Interner Steuerungs-, Freigabe- und Reportkanal über Bot-API | Kein klassischer Auftragsverarbeiter. Einsatz nur für interne Pilotfälle und nur, soweit der Verantwortliche dies in seinem Mandanten aktiviert. Eine dokumentierte Risikoentscheidung ist erforderlich. |
§ 10.6 Clientseitige Website-/Frontend-Dienste
Die folgenden Dienste können im Frontend, in von LokalFlow erzeugten Website-Inhalten oder in der Website-Analyse eingebunden sein. Sie sind keine klassischen Auftragsverarbeiter im Sinne von Art. 28 DSGVO, werden jedoch aus Transparenzgründen ausgewiesen.
| Dienst | Funktion | Hinweis |
|---|---|---|
| Google Fonts | Bereitstellung von Schriftarten | Generierte Kundenwebsites laden Google Fonts standardmaessig nicht extern. Falls ein Mandant externe Fonts einbindet, ist lokale Bereitstellung oder eine passende Consent-/Legal-Pruefung erforderlich. |
| Google Maps | Kartendarstellung und Geokontext in optionalen Funktionen | Generierte Kundenwebsites nutzen ohne separate Freigabe nur Kartenlinks/Platzhalter. Externe Embeds nur nach Consent-/Legal-Pruefung. |
| Unsplash | Bildmaterial in generierten Website-Vorlagen | Template- oder KI-Bilder duerfen nur mit geklaerter Lizenz und bevorzugt lokal gespeichert genutzt werden. Kunden bleiben fuer Bildrechte verantwortlich. |
| Jina AI / Elastic | Website-Analyse und Fallback-Fetching öffentlicher Inhalte | Nutzung nur, wenn Website-Analyse aktiviert ist; verarbeitet werden URLs und öffentlich abrufbare Inhalte. |
| Internet Archive (Wayback) | Abruf historischer Website-Zustände für die Analyse | Verarbeitet werden URLs und Metadaten der angefragten Seiten. |
| QRServer (api.qrserver.com) | Erzeugung von QR-Codes für Referral-/Marketing-Funktionen | Migration zu lokaler QR-Code-Generierung ist geplant. |
| Web Push (VAPID, Browser-Push-Dienste) | Browser-Push-Benachrichtigungen | Zustellung erfolgt über Push-Infrastrukturen der jeweiligen Browserhersteller; Nutzung nur nach Opt-in. |
§ 11 Drittlandtransfers
Soweit Daten an Anbieter mit Sitz oder Verarbeitungsstandorten außerhalb des EWR übermittelt werden, erfolgt dies auf Basis geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Für Anbieter wie Meta/WhatsApp, Google, Microsoft, Stripe und Zapier werden die jeweiligen Transfermechanismen der Anbieter genutzt. Eine Transfer-Impact-Assessment (TIA) erfolgt bedarfsgerecht; für Pilot-/Risikoanbieter wird die Bewertung dokumentiert.
§ 12 KI-Verarbeitung und Human-in-the-loop
KI-Funktionen werden in LokalFlow zur Entwurfserstellung, Klassifizierung, Zusammenfassung, Bewertung und Unterstützung von Kommunikations- und Betriebsprozessen eingesetzt. Kritische Entscheidungen werden nicht ausschließlich automatisiert getroffen. LokalFlow nutzt Datenminimierung, Rollen-/ Rechtekonzepte, PII-Maskierung vor Übergabe an KI-Dienste, Protokollierung und Human-in-the-loop-Freigaben. KI-generierte Inhalte sind im Dashboard entsprechend gekennzeichnet (vgl. EU AI Act, Art. 50).
§ 13 Kontakt
LokalFlow, Tim Brehmer
Untergasse 32
55234 Esselborn
Deutschland
Datenschutzanfragen: lokalflow.ai@gmail.com
Eine Datenschutzbeauftragte/Ein Datenschutzbeauftragter ist gemäß § 38 BDSG aktuell nicht zwingend zu bestellen. Sobald eine Bestellung erfolgt, werden die Kontaktdaten an dieser Stelle veröffentlicht.
§ 14 Stand und Änderungen
Stand: Mai 2026. Diese Anlage wird laufend an die tatsächliche Anbieter- und Funktionsnutzung angepasst.