LF
LokalFlow← Zurück zur Startseite

Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

LokalFlow
Tim Brehmer
Untergasse 32
55234 Esselborn
Deutschland
E-Mail: lokalflow.ai@gmail.com

Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.

2. Übersicht der Verarbeitungen

LokalFlow ist eine SaaS-Plattform zur KI-gestützten Geschäftskommunikation für kleine und mittlere Unternehmen (KMU). Im Rahmen der Bereitstellung und Nutzung des Dienstes verarbeiten wir personenbezogene Daten. Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und ihre Zwecke zusammen; vollständige Details finden sich in den jeweiligen Abschnitten dieser Datenschutzerklärung.

Verarbeitete Datenkategorien im Überblick:

  • Stamm- und Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)
  • Kommunikationsinhalte (Nachrichten, E-Mails, Sprachaufnahmen)
  • Nutzungs- und Protokolldaten (IP-Adresse, User-ID, Zeitstempel)
  • Inhaltsdaten (hochgeladene Dokumente, Geschäftsdaten)
  • Kalender- und Termindaten
  • KI-generierte Texte und Bilder (Entwürfe)

Verarbeitungszwecke im Überblick:

  • Bereitstellung und Betrieb der Plattform (Vertragserfüllung)
  • Kundenkommunikation über verschiedene Kanäle
  • KI-gestützte Textgenerierung, Bildgenerierung und Sprachtranskription
  • Verwaltung von Kundenbewertungen
  • CRM- und Kontaktverwaltung
  • Sicherheit, Audit-Logging und Compliance
  • Kalender-Synchronisation
  • Erstellung von Marketing-Inhalten

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten nur, wenn eine der folgenden Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO vorliegt:

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Die betroffene Person hat ihre Einwilligung zur Verarbeitung für einen oder mehrere bestimmte Zwecke gegeben. Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.
  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Die Verarbeitung ist zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  • Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (z. B. handels- oder steuerrechtliche Aufbewahrungspflichten, Audit-Logging).
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen. Wir setzen diese Rechtsgrundlage insbesondere für KI-gestützte Dienste, Sicherheitsmaßnahmen und die Weiterentwicklung unserer Plattform ein.

4. Cookies und Tracking

LokalFlow verwendet ausschließlich technisch notwendige Cookies für den Betrieb der Plattform (Session-Token, Authentifizierungs-Cookies, CSRF-Schutz). Für diese Cookies ist gemäß § 25 Abs. 2 TTDSG keine Einwilligung erforderlich.

Optionale Analyse- und Marketing-Cookies werden nur eingesetzt, wenn Sie hierzu ausdrücklich eingewilligt haben (§ 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Cookie-Einstellungen jederzeit in den Datenschutz-Einstellungen Ihres Nutzerkontos anpassen oder eine erteilte Einwilligung widerrufen.

Wir setzen aktuell keine Tracking-Pixel, Social-Media-Plugins oder verhaltensbasierte Werbenetzwerke ein.

5. Hosting und Infrastruktur

Unsere Server werden betrieben bei:

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland

Sämtliche Daten verbleiben auf Servern innerhalb der Europäischen Union. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Die Infrastruktur ist ISO 27001-zertifiziert. Bei jedem Zugriff auf unsere Plattform werden Server-Logdaten (IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Statuscode) vorübergehend gespeichert und nach 7 Tagen automatisch gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Fehlerdiagnose).

6. KI-Verarbeitung (Mistral AI)

Für KI-gestützte Funktionen setzen wir Modelle von Mistral AI, S.A.S., 15 rue des Halles, 75001 Paris, Frankreich, ein. Mistral AI ist ein europäisches Unternehmen mit Sitz in Frankreich. Die Verarbeitung erfolgt auf Grundlage des Data Processing Addendum (DPA) von Mistral AI; die konkrete Verarbeitungsregion sowie Subprozessoren ergeben sich aus den jeweils geltenden Anbieterbedingungen und werden im Rahmen der AVV-Anlage transparent gemacht.

Eingesetzte KI-Dienste:

  • Textgenerierung: Automatische Antwortvorschläge und E-Mail-Entwürfe. Vor der Übertragung an die API werden personenbezogene Daten (PII) durch ein internes Maskierungsverfahren reduziert bzw. pseudonymisiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
  • Bildgenerierung: Erstellung von Marketing-Bildmaterial auf Basis von Prompt-Texten. Es werden grundsätzlich keine personenbezogenen Daten übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
  • Sprachtranskription: Umwandlung von Sprachnachrichten in Text, sofern entsprechende Kanäle aktiv sind. Audiodaten werden zur Transkription übertragen und nur im erforderlichen Umfang verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Wir setzen technische und organisatorische Maßnahmen wie Datenminimierung, PII-Maskierung, Prompt-Minimierung und Human-in-the-loop-Freigaben ein. Aussagen zu Speicherdauer, Trainingsnutzung und ausschließlicher EU-Verarbeitung richten sich nach den jeweils geltenden Vertragsbedingungen des Anbieters und werden, sobald abschließend dokumentiert, in der AVV-Anlage ausgewiesen.

KI-generierte Inhalte sind im Dashboard entsprechend gekennzeichnet (vgl. EU AI Act, Art. 50).

7. Kommunikationskanäle

7.1 WhatsApp Business

Sofern die WhatsApp-Integration aktiv ist, erfolgt sie über Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Bei der Nutzung von WhatsApp für die Kundenkommunikation werden Nachrichten über die Infrastruktur von Meta übertragen. Meta verarbeitet hierbei Metadaten gemäß den WhatsApp Business Terms of Service und den zugehörigen Data Processing Terms. Für eine mögliche Datenübertragung in Drittländer nutzt Meta Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Je nach genutztem WhatsApp-Modus (geteilte Pilotnummer, dediziert verwaltete Nummer oder kundeneigener WhatsApp Business Account) kann die Verantwortlichkeit unterschiedlich verteilt sein; Einzelheiten regelt der jeweilige Auftragsverarbeitungsvertrag.

7.2 Telegram (optional, intern)

Sofern ein Telegram-Kanal als interner Steuerungs-, Freigabe- oder Reportkanal aktiviert ist, erfolgt die Integration über die Bot-API von Telegram FZ-LLC (Dubai, VAE) und Telegram Messenger Limited (London, UK). Bot-Nachrichten sind nicht Ende-zu-Ende-verschlüsselt. Über LokalFlow verarbeitete Nachrichten werden auf unseren EU-Servern gespeichert. Telegram wird nicht als klassischer Auftragsverarbeiter behandelt; der Einsatz erfolgt im Rahmen einer dokumentierten Risikoentscheidung und ist auf interne Pilotfälle beschränkt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

7.3 E-Mail-Versand (Brevo)

Für den Versand von System-E-Mails (z. B. Registrierungs- und Verifikations-Mails, Passwort-Reset, Benachrichtigungen) nutzen wir den SMTP-Relay-Dienst von Brevo SAS (ehemals Sendinblue), 55 rue d'Amsterdam, 75008 Paris, Frankreich. Brevo ist ein EU-ansässiges Unternehmen. Mit Brevo gelten die in den General Conditions of Use enthaltenen Vertrags- und Datenschutzbestimmungen einschließlich des Data Processing Agreement gemäß Art. 28 DSGVO. Verarbeitet werden insbesondere E-Mail-Adresse, ggf. Name, Inhalt der jeweiligen Nachricht sowie Zustell- und Bounce-Metadaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

7.4 KI-Telefonie (optional)

Sofern KI-Telefonie als optionale Funktion aktiviert wird, erfolgt die Bereitstellung über einen darauf spezialisierten Anbieter (Famulor). Verarbeitet werden in diesem Fall insbesondere Telefonnummern, Anruf-Metadaten, ggf. Audioaufnahmen und Transkripte. Diese Funktion ist nicht standardmäßig aktiv und wird erst nach gesonderter Aktivierung im jeweiligen Mandanten genutzt. Region, Speicherfristen und Subprozessoren ergeben sich aus dem jeweiligen Anbietervertrag und werden im Rahmen der AVV-Anlage ausgewiesen, sobald die Funktion produktiv genutzt wird. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

8. Google-Dienste (optional, je Mandant)

Folgende Dienste von Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland bzw. Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA werden nur eingesetzt, wenn die zugehörige Funktion oder Verknüpfung im Mandanten ausdrücklich aktiviert wurde:

  • Google Calendar API: Bidirektionale Kalender-Synchronisation für Terminverwaltung. Übertragen werden Name, E-Mail-Adresse und Terminzeiten.
  • Google Business Profile API: Abruf und Verwaltung von Kundenbewertungen (Bewertungstext, Kundenname).
  • Google Maps: Kartendarstellung in optionalen Funktionen. Generierte Kundenwebsites zeigen ohne separate Freigabe nur einen Kartenlink oder Platzhalter; externe Embeds duerfen erst nach Consent-/Legal-Pruefung genutzt werden.
  • Google Fonts: Generierte Kundenwebsites laden Google Fonts standardmaessig nicht extern. Falls ein Mandant externe Fonts einbindet, ist lokale Bereitstellung oder eine passende Consent-/Legal-Pruefung erforderlich.

Die Authentifizierung für Google-API-Dienste erfolgt über OAuth 2.0. Google kann Daten in die USA übermitteln; die Übermittlung wird durch Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

8a. Microsoft-Dienste (optional, je Mandant)

Sofern Funktionen wie Outlook-/Microsoft-365-Kalender- Synchronisation aktiviert sind, werden Daten an Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland bzw. Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA übermittelt. Die Authentifizierung erfolgt über OAuth 2.0. Microsoft kann Daten ggf. in die USA übermitteln; die Übermittlung ist durch Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

9. Zahlungsabwicklung (optional)

Sofern eine kostenpflichtige Nutzung aktiviert wird, erfolgt die Zahlungsabwicklung über Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin, Irland bzw. Stripe, Inc., 354 Oyster Point Boulevard, South San Francisco, CA 94080, USA. Zahlungsdaten werden ausschließlich über die verschlüsselte Stripe-Infrastruktur verarbeitet; LokalFlow selbst speichert keine Kreditkarten- oder Bankdaten. Stripe verarbeitet Daten ggf. in den USA auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO.

9a. Weitere optionale Integrationen

Bestimmte Integrationen sind nicht standardmäßig aktiv, sondern werden nur eingesetzt, wenn der Verantwortliche sie in seinem Mandanten verbindet oder beauftragt:

  • Zapier, Inc. für externe Automationen und Drittsystem-Integrationen. Übertragen werden je nach Zap unterschiedliche Datenkategorien (z. B. Leads, Termine, Formulardaten). Zapier kann Daten in den USA verarbeiten und nutzt hierfür SCC.
  • Trustpilot A/S für optionalen Review-Import, Review-Einladungen oder Widgets. Übertragen werden je nach Funktion Name, E-Mail-Adresse, Bestell-/Reviewdaten sowie Metadaten.

Die jeweiligen Anbieter handeln auf Basis ihrer Vertragsbedingungen und DPA. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

9b. Clientseitige Drittinhalte und Website-Analyse

In von LokalFlow erzeugten Website-Inhalten und in der Website-Analyse können Dienste Dritter eingebunden sein. Diese Dienste sind keine klassischen Auftragsverarbeiter, werden jedoch aus Transparenzgründen ausgewiesen:

  • Unsplash: Bildmaterial fuer generierte Website-Vorlagen. Template- oder KI-Bilder duerfen nur mit geklaerter Lizenz und bevorzugt lokal gespeichert genutzt werden; Kunden bleiben fuer Bildrechte verantwortlich.
  • Jina AI / Elastic: Website-Analyse und Fallback-Fetching öffentlicher Inhalte. Verarbeitet werden URLs und öffentlich abrufbare Inhalte.
  • Internet Archive (Wayback): Abruf historischer Website-Zustände für die Analyse.
  • QRServer (api.qrserver.com): Erzeugung von QR-Codes für Referral-/Marketing-Funktionen. Eine Migration zu lokaler QR-Code-Generierung ist geplant.
  • Web Push (VAPID): Browser-Push-Benachrichtigungen werden über die Push-Dienste der jeweiligen Browserhersteller zugestellt und ausschließlich nach Opt-in genutzt.

10. Rechte der betroffenen Personen

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen. LokalFlow stellt hierfür eine integrierte Exportfunktion in den Kontoeinstellungen bereit.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflichten entgegenstehen. Eine vollständige Account-Löschung ist direkt in den Datenschutz-Einstellungen möglich.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. LokalFlow bietet einen vollständigen Datenexport in den Kontoeinstellungen an.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) jederzeit widersprechen. Bei Verarbeitungen zu Direktmarketingzwecken ist der Widerspruch stets ohne Angabe von Gründen möglich.
  • Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: lokalflow.ai@gmail.com

11. Speicherfristen

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Konkrete Fristen im Überblick:

  • Audit-Logs: 90 Tage, danach automatische Löschung
  • Flowy-Chat-Sessions: 30 Tage nach der letzten Aktivität
  • Marketing-Bilder (KI-generiert): 90 Tage
  • Kontaktdaten: Bis zur Löschung durch den Nutzer oder Vertragsbeendigung
  • Konversationen (alle Kanäle): 90 Tage nach Konversationsende
  • Mandantendaten nach Vertragsbeendigung: Löschung innerhalb von 30 Tagen nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Buchhaltungsrelevante Daten (Rechnungen, Zahlungsbelege): 10 Jahre gemäß § 257 HGB und § 147 AO

Nach Ablauf der jeweiligen Frist werden Daten automatisch und unwiederbringlich gelöscht oder so anonymisiert, dass kein Bezug mehr zu natürlichen Personen hergestellt werden kann.

12. Datensicherheit

Wir setzen dem Stand der Technik entsprechende technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ein:

  • Transportverschlüsselung: Alle Verbindungen erfolgen über TLS 1.3 (HTTPS). Unverschlüsselte Verbindungen werden automatisch umgeleitet.
  • Authentifizierung: JWT-basierte Authentifizierung mit kurzen Token-Laufzeiten sowie optionale Zwei-Faktor-Authentifizierung (2FA).
  • Mandantentrennung: Vollständige logische und physische Trennung von Kundendaten auf Datenbankebene (Row-Level Security).
  • Audit-Logging: Alle sicherheitsrelevanten Aktionen werden unveränderlich protokolliert.
  • PII-Maskierung: Personenbezogene Daten werden vor der Übertragung an KI-Dienste automatisch pseudonymisiert.
  • Backups: Tägliche verschlüsselte Backups mit 7-tägiger Aufbewahrung auf getrennter Infrastruktur.
  • Zugriffskontrollen: Rollenbasierte Zugriffskontrolle (RBAC), Prinzip der minimalen Rechtevergabe (Least Privilege).
  • Sicherheitsupdates: Regelmäßige Aktualisierung aller Systemkomponenten und Abhängigkeiten.

13. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen gemäß Art. 77 DSGVO das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Zuständig ist der/die Landesbeauftragte/r für den Datenschutz des jeweiligen Bundeslandes des Verantwortlichen sowie des Landes, in dem Sie Ihren gewöhnlichen Aufenthalt oder Arbeitsplatz haben. Eine Liste aller deutschen Datenschutz-Aufsichtsbehörden finden Sie auf der Website der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen oder Änderungen unserer Leistungen zu entsprechen. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert. Die jeweils aktuelle Fassung gilt ab dem angegebenen Datum.

Stand: Mai 2026