Datenschutz, Sicherheit & Recht
Gerade in NGOs, Bildungseinrichtungen, Verbänden und der Zivilgesellschaft ist die Frage berechtigt: „Dürfen wir das überhaupt einsetzen — und was passiert mit den Daten unserer Teilnehmenden?” flow present ist genau für diese Arbeit gebaut. Diese Seite beantwortet die wichtigsten rechtlichen Fragen in Klartext, damit ihr eine Entscheidung mit gutem Gewissen treffen könnt.
Wer ist wofür verantwortlich?
Abschnitt betitelt „Wer ist wofür verantwortlich?“Das ist die zentrale Frage — und die Antwort ist klar geregelt.
Wenn ihr mit flow present einen Workshop durchführt und dabei personenbezogene Daten von Teilnehmenden erhebt (etwa Umfrage-Antworten oder hochgeladene Dateien), seid ihr die Verantwortliche im Sinne der DSGVO. flow present verarbeitet diese Daten in eurem Auftrag — als Auftragsverarbeiter nach Art. 28 DSGVO. Genau dafür gibt es den AVV (siehe unten).
Für die reinen Kontodaten der Nutzung (Anmelde-E-Mail, Profil, Abrechnung) ist flow present selbst Verantwortlicher; dafür gilt die Datenschutzerklärung.
| Datenart | Verantwortlich | Grundlage |
|---|---|---|
| Teilnehmenden-Daten im Workshop (Umfragen, Uploads, Namen) | Eure Organisation | Auftragsverarbeitung (AVV, Art. 28) |
| Workshop-Inhalte eures Teams (Briefing, Folien, Plan) | Eure Organisation | Auftragsverarbeitung (AVV, Art. 28) |
| Kontodaten (Anmelde-E-Mail, Profil, Abrechnung) | flow present | eigene Datenschutzerklärung |
Der Auftragsverarbeitungsvertrag (AVV)
Abschnitt betitelt „Der Auftragsverarbeitungsvertrag (AVV)“Der AVV ist das Dokument, das eure Datenschutzbeauftragten sehen wollen — und flow present stellt ihn für alle Tarife bereit, auch den kostenlosen. Ihr erzeugt euch ein auf eure Organisation personalisiertes PDF selbst und in Minuten; die eingegebenen Angaben werden ausschließlich ins PDF übernommen und nirgends gespeichert.
Der Vertrag (aktuell Version 1, Juni 2026) regelt alles, was Art. 28 DSGVO verlangt:
- Gegenstand, Art und Zweck der Verarbeitung sowie Datenkategorien und betroffene Personen (Anhang 1).
- Weisungsbindung — verarbeitet wird nur nach eurer Weisung; die vertragsgemäße Nutzung gilt als dokumentierte Weisung.
- Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Anhang 2) — Verschlüsselung, Zugriffs- und Trennungskontrolle, Pseudonymisierung u. a.
- Meldung von Datenpannen in der Regel innerhalb von 48 Stunden nach Kenntnis.
- Unterauftragsverarbeiter mit allgemeiner Genehmigung und 14-tägigem Widerspruchsrecht (Anhang 3).
- Löschung und Rückgabe nach Vertragsende sowie Kontroll- und Nachweisrechte (inkl. Audit).
Wie du das PDF bekommst, steht Schritt für Schritt unter AVV herunterladen.
Wo liegen die Daten? Hosting & Unterauftragsverarbeiter
Abschnitt betitelt „Wo liegen die Daten? Hosting & Unterauftragsverarbeiter“Die Verarbeitung findet grundsätzlich innerhalb der EU bzw. des EWR statt. Das sind die Kern-Unterauftragsverarbeiter, die im Auftrag Daten verarbeiten:
| Dienst | Leistung | Ort | Grundlage |
|---|---|---|---|
| Supabase | Datenbank, Anmeldung, Datei-Speicher, Echtzeit | EU – Frankfurt (AWS eu-central-1), ISO 27001 | AVV nach Art. 28; SCC / EU-US Data Privacy Framework für etwaige US-Zugriffe |
| Vercel | Anwendungs-Hosting; Zugriffslogs (max. 30 Tage) | EU-Region-Routing | AVV/DPA; SCC / DPF |
| Sentry | Fehler- und Stabilitäts-Monitoring | EU-Region (Frankfurt/Deutschland) | AVV/DPA; IP-Übermittlung deaktiviert |
Alle Daten sind unterwegs per TLS verschlüsselt und ruhen verschlüsselt auf Infrastrukturebene (AWS eu-central-1, Frankfurt). Einen eigenen physischen Serverbetrieb gibt es nicht.
Für Echtzeit-Zusammenarbeit (Briefing, Protokoll, Gruppen-Pads), Live-Übersetzung und den KI-Import betreiben wir eigene Dienste (Hocuspocus, LibreTranslate, Ollama) auf einem Server in Deutschland. Diese verarbeiten Inhalte nur flüchtig; dauerhaft gespeichert wird ausschließlich in Supabase.
Optionale Dienste, die erst durch eine eigene Handlung ausgelöst werden — und daher nur dann Daten sehen: Stripe (Zahlung kostenpflichtiger Tarife), Unsplash (Bildsuche) und Open-Meteo (Wetter-Variable, keine personenbezogenen Daten). Die jeweils aktuelle Liste ist Anhang 3 des AVV.
Datensparsamkeit ist eingebaut
Abschnitt betitelt „Datensparsamkeit ist eingebaut“flow present verarbeitet bewusst so wenig wie möglich (Art. 25 DSGVO, Datenschutz durch Technikgestaltung):
- Bei der Registrierung wird nur die E-Mail-Adresse gespeichert. Der Login läuft passwortlos per Magic Link — es werden keine Passwörter gespeichert.
- Keine Nutzungsprofile zu Werbezwecken, keine Weitergabe an Werbetreibende, keine Third-Party-Tracking-Pixel.
- Zur Produktverbesserung nutzen wir PostHog ausschließlich auf EU-Servern, ohne Cookies, ohne geräteübergreifende Zusammenführung — die Daten verlassen den flüchtigen Speicher des Browsers nicht.
So sind eure Teilnehmenden geschützt
Abschnitt betitelt „So sind eure Teilnehmenden geschützt“Teilnehmende öffnen den Link oder scannen den QR-Code — ganz ohne Konto und ohne App. Ihre Antworten auf Umfragen, Skalen, Freitexte und Wortwolken werden über einen zufälligen, gerätegebundenen Schlüssel gespeichert, der nicht mit einem Nutzungskonto verknüpft ist. Die Antworten sind damit pseudonym (mehrere Antworten desselben Geräts können verbunden sein, aber nicht einer Person zugeordnet werden).
Und: Teilnehmende sehen genau das, was ihr freigebt — Folien, Datei-Bereich, Live-Übersetzung, Protokoll, Umfragen. Ihr steuert den Umfang selbst.
KI-Import: läuft auf unserem eigenen Server
Abschnitt betitelt „KI-Import: läuft auf unserem eigenen Server“Der Import von PPTX/PDF/DOC in einen Sessionplan nutzt ein lokales KI-Modell auf unserem eigenen Server in Deutschland (Ollama) — nicht OpenAI, Google oder andere US-KI-Clouds. Eure Dokumente werden also nicht an einen externen KI-Anbieter gesendet. Das Ergebnis ist immer nur ein Vorschlag zur Vorschau und Korrektur, nie ein automatischer Direkt-Import. Für alle, die bei „KI” zu Recht genau hinschauen: Hier bleibt die Verarbeitung in eurer Datenhoheit.
Live-Übersetzung: ohne Big Tech
Abschnitt betitelt „Live-Übersetzung: ohne Big Tech“Die Live-Übersetzung nutzt das quelloffene LibreTranslate auf unserem eigenen EU-Server in Deutschland — nicht Google Translate, DeepL o. Ä. Die Folieninhalte verlassen unsere Infrastruktur nicht. Es ist eine maschinelle Übersetzung zur inhaltlichen Orientierung, nicht für rechtlich bindende Kontexte.
Cookies: kein Banner nötig
Abschnitt betitelt „Cookies: kein Banner nötig“flow present setzt nur technisch notwendige Elemente ein: ein Session-Cookie (httpOnly,
Secure) für die Anmeldung und localStorage für Einstellungen (z. B. Design) sowie den
pseudonymen Teilnehmenden-Schlüssel. Auch die Reichweitenmessung (PostHog) kommt ohne Cookies
und ohne Speicherung auf dem Gerät aus. Weil damit ausschließlich für den Betrieb unbedingt
erforderliche Informationen auf dem Endgerät gespeichert bzw. abgerufen werden, ist kein
Cookie-Banner erforderlich (§ 25 Abs. 2 TDDDG, vormals TTDSG).
Löschung, Export & Betroffenenrechte
Abschnitt betitelt „Löschung, Export & Betroffenenrechte“- Konto löschen: jederzeit selbst in den Einstellungen unter „Profil” — die Löschung erfolgt unmittelbar (persönliche Organisationen samt Inhalten und Dateien werden entfernt; aus geteilten Organisationen scheidet ihr aus).
- Export: Ihr könnt eure Daten während der Vertragslaufzeit jederzeit selbst exportieren.
- Betroffenenrechte der Teilnehmenden (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch) unterstützt flow present technisch; Anfragen, die uns direkt erreichen, leiten wir an euch als Verantwortliche weiter.
- Gesetzliche Aufbewahrungspflichten (v. a. Abrechnungsdaten) bleiben unberührt.
Datenschutzkontakt: datenschutz@flowpresent.org. Anfragen nach Art. 12 DSGVO beantworten wir innerhalb eines Monats.
Für eure Datenschutz-Dokumentation
Abschnitt betitelt „Für eure Datenschutz-Dokumentation“Diese Bausteine könnt ihr direkt für euer Verzeichnis von Verarbeitungstätigkeiten (Art. 30) und eine etwaige Datenschutz-Folgenabschätzung heranziehen:
- der personalisierte AVV als PDF, inkl. Datenkategorien, TOMs und Unterauftragsverarbeiter — erzeugbar auf der AVV-Seite (Anleitung),
- die Liste der Unterauftragsverarbeiter (Anhang 3) — im AVV und in der Datenschutzerklärung,
- die technischen und organisatorischen Maßnahmen (Anhang 2) — im AVV,
- die öffentliche Datenschutzerklärung und diese Seite.
Häufige Fragen
Abschnitt betitelt „Häufige Fragen“Ja, sobald ihr über flow present personenbezogene Daten Dritter verarbeitet (z. B. Teilnehmenden-Antworten), braucht ihr einen AVV. Genau deshalb steht er für alle Tarife bereit — auch kostenlos. Ihr ladet euch das personalisierte PDF selbst herunter.
Ja. Datenbank, Anmeldung und Dateien liegen bei Supabase auf EU-Servern in Frankfurt (AWS eu-central-1, ISO 27001). Echtzeit-Zusammenarbeit, Übersetzung und KI-Import laufen auf unserem eigenen Server in Deutschland. Für etwaige US-Zugriffe der Anbieter greifen EU-Standardvertragsklauseln bzw. das EU-US Data Privacy Framework.
Nein. Der KI-Import läuft auf unserem eigenen Modell in Deutschland und dient allein dazu, ein hochgeladenes Dokument in einen Plan-Vorschlag umzuwandeln. Es gibt keine Weitergabe an externe KI-Anbieter und kein Training mit euren Inhalten.
Nein. Es ist kein Konto und keine Anmeldung nötig. Antworten werden pseudonym über einen gerätegebundenen Zufallsschlüssel gespeichert — ohne Verknüpfung zu einer Person.
Für flow present selbst nicht — es werden nur technisch notwendige Cookies gesetzt. Was auf eurer eigenen Website sonst noch läuft, müsst ihr wie gewohnt selbst beurteilen.
Konto und persönliche Organisationen löscht ihr selbst in den Einstellungen — unmittelbar. Alternativ per E-Mail an datenschutz@flowpresent.org. Gesetzliche Aufbewahrungspflichten für Abrechnungsdaten bleiben davon unberührt.
Noch eine Frage offen? Schreib uns — wir nehmen sie gerne in die FAQ auf.
Frage nicht dabei?
Schreib uns kurz — wir melden uns per E-Mail.