LF
LokalFlow← Zurück zur Startseite

Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

LokalFlow
Tim Brehmer
Untergasse 32
55234 Esselborn
Deutschland
E-Mail: info@lokalflow.de

Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.

2. Übersicht der Verarbeitungen

LokalFlow ist eine SaaS-Plattform zur KI-gestützten Geschäftskommunikation für kleine und mittlere Unternehmen (KMU). Im Rahmen der Bereitstellung und Nutzung des Dienstes verarbeiten wir personenbezogene Daten. Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und ihre Zwecke zusammen; vollständige Details finden sich in den jeweiligen Abschnitten dieser Datenschutzerklärung.

Verarbeitete Datenkategorien im Überblick:

  • Stamm- und Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)
  • Kommunikationsinhalte (Nachrichten, E-Mails, Sprachaufnahmen)
  • Nutzungs- und Protokolldaten (IP-Adresse, User-ID, Zeitstempel)
  • Inhaltsdaten (hochgeladene Dokumente, Geschäftsdaten)
  • Kalender- und Termindaten
  • KI-generierte Texte und Bilder (Entwürfe)

Verarbeitungszwecke im Überblick:

  • Bereitstellung und Betrieb der Plattform (Vertragserfüllung)
  • Kundenkommunikation über verschiedene Kanäle
  • KI-gestützte Textgenerierung, Bildgenerierung und Sprachtranskription
  • Verwaltung von Kundenbewertungen
  • CRM- und Kontaktverwaltung
  • Sicherheit, Audit-Logging und Compliance
  • Kalender-Synchronisation
  • Erstellung von Marketing-Inhalten

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten nur, wenn eine der folgenden Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO vorliegt:

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Die betroffene Person hat ihre Einwilligung zur Verarbeitung für einen oder mehrere bestimmte Zwecke gegeben. Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.
  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Die Verarbeitung ist zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  • Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (z. B. handels- oder steuerrechtliche Aufbewahrungspflichten, Audit-Logging).
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen. Wir setzen diese Rechtsgrundlage insbesondere für KI-gestützte Dienste, Sicherheitsmaßnahmen und die Weiterentwicklung unserer Plattform ein.

4. Cookies und Tracking

LokalFlow verwendet ausschließlich technisch notwendige Cookies für den Betrieb der Plattform (Session-Token, Authentifizierungs-Cookies, CSRF-Schutz). Für diese Cookies ist gemäß § 25 Abs. 2 TTDSG keine Einwilligung erforderlich.

Optionale Analyse- und Marketing-Cookies werden nur eingesetzt, wenn Sie hierzu ausdrücklich eingewilligt haben (§ 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Cookie-Einstellungen jederzeit in den Datenschutz-Einstellungen Ihres Nutzerkontos anpassen oder eine erteilte Einwilligung widerrufen.

Wir setzen aktuell keine Tracking-Pixel, Social-Media-Plugins oder verhaltensbasierte Werbenetzwerke ein.

5. Hosting und Infrastruktur

Unsere Server werden betrieben bei:

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland

Sämtliche Daten verbleiben auf Servern innerhalb der Europäischen Union. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Die Infrastruktur ist ISO 27001-zertifiziert. Bei jedem Zugriff auf unsere Plattform werden Server-Logdaten (IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Statuscode) vorübergehend gespeichert und nach 7 Tagen automatisch gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Fehlerdiagnose).

6. KI-Verarbeitung (Mistral AI)

Für KI-gestützte Funktionen setzen wir Modelle von Mistral AI, S.A.S., 15 rue des Halles, 75001 Paris, Frankreich (EU), ein. Mistral AI ist ein europäisches Unternehmen; eine Datenübermittlung in Drittstaaten findet nicht statt.

Eingesetzte KI-Dienste:

  • Textgenerierung: Automatische Antwortvorschläge und E-Mail-Entwürfe. Vor der Übertragung an die API werden personenbezogene Daten (PII) durch ein internes Maskierungsverfahren anonymisiert. Mistral AI speichert keine Anfragedaten dauerhaft; eine Nutzung zur Modellverbesserung findet nicht statt (vertraglich vereinbart). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
  • Bildgenerierung: Erstellung von Marketing-Bildmaterial auf Basis von Prompt-Texten. Es werden keine personenbezogenen Daten übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
  • Sprachtranskription (Voxtral): Umwandlung von Sprachnachrichten (WhatsApp, Telegram) in Text. Audiodaten werden ausschließlich zur Transkription übertragen und nicht gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

KI-generierte Inhalte sind im Dashboard entsprechend gekennzeichnet (vgl. EU AI Act, Art. 50).

7. Kommunikationskanäle

7.1 WhatsApp Business

Die Integration der WhatsApp Business API erfolgt über Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Bei der Nutzung von WhatsApp für die Kundenkommunikation werden Nachrichten über die Infrastruktur von Meta übertragen. Meta verarbeitet hierbei Metadaten gemäß den WhatsApp Business Terms of Service. Für eine mögliche Datenübertragung in die USA hat Meta Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7.2 Telegram

Die Telegram-Integration erfolgt über die Bot-API von Telegram FZ-LLC (Dubai, VAE) und Telegram Messenger Limited (London, UK). Bot-Nachrichten sind nicht Ende-zu-Ende-verschlüsselt. Secret Chats bieten Ende-zu-Ende-Verschlüsselung, sind aber für Bot-Integrationen nicht verfügbar. Nachrichten, die über LokalFlow verarbeitet werden, werden auf unseren EU-Servern gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7.3 E-Mail (Brevo)

Für den E-Mail-Versand nutzen wir den SMTP-Relay-Dienst von Brevo SAS (ehemals Sendinblue), 55 rue d'Amsterdam, 75008 Paris, Frankreich. Brevo ist ein EU-ansässiges Unternehmen; die Datenverarbeitung erfolgt auf EU-Servern. Mit Brevo besteht ein AVV gemäß Art. 28 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

8. Google-Dienste

Wir nutzen folgende Dienste von Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (für den Europäischen Wirtschaftsraum: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland):

  • Google Calendar API: Bidirektionale Kalender-Synchronisation für Terminverwaltung. Es werden Name, E-Mail-Adresse und Terminzeiten übertragen.
  • Google Business Profile API: Abruf und Verwaltung von Kundenbewertungen (Bewertungstext, Kundenname).

Die Authentifizierung erfolgt über OAuth 2.0. Google kann Daten in die USA übermitteln; die Übermittlung ist durch Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

9. Zahlungsabwicklung

Für die Zahlungsabwicklung ist die Integration von Stripe Inc., 510 Townsend Street, San Francisco, CA 94103, USA, vorbereitet. Diese Funktion ist aktuell noch nicht aktiv. Sobald Zahlungsverarbeitung aktiviert wird, werden Zahlungsdaten ausschließlich über die verschlüsselte Stripe-Infrastruktur verarbeitet; LokalFlow selbst speichert keine Kreditkarten- oder Bankdaten. Stripe verarbeitet Daten ggf. in den USA auf Grundlage von SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO.

10. Rechte der betroffenen Personen

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen. LokalFlow stellt hierfür eine integrierte Exportfunktion in den Kontoeinstellungen bereit.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine Aufbewahrungspflichten entgegenstehen. Eine vollständige Account-Löschung ist direkt in den Datenschutz-Einstellungen möglich.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. LokalFlow bietet einen vollständigen Datenexport in den Kontoeinstellungen an.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) jederzeit widersprechen. Bei Verarbeitungen zu Direktmarketingzwecken ist der Widerspruch stets ohne Angabe von Gründen möglich.
  • Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@lokalflow.de

11. Speicherfristen

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Konkrete Fristen im Überblick:

  • Audit-Logs: 90 Tage, danach automatische Löschung
  • Flowy-Chat-Sessions: 30 Tage nach der letzten Aktivität
  • Marketing-Bilder (KI-generiert): 90 Tage
  • Kontaktdaten: Bis zur Löschung durch den Nutzer oder Vertragsbeendigung
  • Konversationen (alle Kanäle): 90 Tage nach Konversationsende
  • Mandantendaten nach Vertragsbeendigung: Löschung innerhalb von 30 Tagen nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Buchhaltungsrelevante Daten (Rechnungen, Zahlungsbelege): 10 Jahre gemäß § 257 HGB und § 147 AO

Nach Ablauf der jeweiligen Frist werden Daten automatisch und unwiederbringlich gelöscht oder so anonymisiert, dass kein Bezug mehr zu natürlichen Personen hergestellt werden kann.

12. Datensicherheit

Wir setzen dem Stand der Technik entsprechende technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ein:

  • Transportverschlüsselung: Alle Verbindungen erfolgen über TLS 1.3 (HTTPS). Unverschlüsselte Verbindungen werden automatisch umgeleitet.
  • Authentifizierung: JWT-basierte Authentifizierung mit kurzen Token-Laufzeiten sowie optionale Zwei-Faktor-Authentifizierung (2FA).
  • Mandantentrennung: Vollständige logische und physische Trennung von Kundendaten auf Datenbankebene (Row-Level Security).
  • Audit-Logging: Alle sicherheitsrelevanten Aktionen werden unveränderlich protokolliert.
  • PII-Maskierung: Personenbezogene Daten werden vor der Übertragung an KI-Dienste automatisch pseudonymisiert.
  • Backups: Tägliche verschlüsselte Backups mit 7-tägiger Aufbewahrung auf getrennter Infrastruktur.
  • Zugriffskontrollen: Rollenbasierte Zugriffskontrolle (RBAC), Prinzip der minimalen Rechtevergabe (Least Privilege).
  • Sicherheitsupdates: Regelmäßige Aktualisierung aller Systemkomponenten und Abhängigkeiten.

13. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen gemäß Art. 77 DSGVO das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Zuständig ist der/die Landesbeauftragte/r für den Datenschutz des jeweiligen Bundeslandes des Verantwortlichen sowie des Landes, in dem Sie Ihren gewöhnlichen Aufenthalt oder Arbeitsplatz haben. Eine Liste aller deutschen Datenschutz-Aufsichtsbehörden finden Sie auf der Website der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen oder Änderungen unserer Leistungen zu entsprechen. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert. Die jeweils aktuelle Fassung gilt ab dem angegebenen Datum.

Stand: April 2026