Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich und wurde nicht bestellt (§ 38 BDSG).

2. Allgemeines zur Datenverarbeitung & Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten unserer Nutzerinnen und Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig auf Grundlage einer der folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung der betroffenen Person.
• Art. 6 Abs. 1 lit. b DSGVO — Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen (z. B. Terminanfrage, Erstgespräch).
• Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen Verpflichtung (z. B. handels- und steuerrechtliche Aufbewahrungspflichten).
• Art. 6 Abs. 1 lit. f DSGVO — Wahrung berechtigter Interessen, soweit nicht die Interessen oder Grundrechte der betroffenen Person überwiegen.

Unsere berechtigten Interessen liegen insbesondere im sicheren und stabilen Betrieb der Website, der Beantwortung von Anfragen, dem Schutz vor Missbrauch sowie der Bereitstellung einer Vorschau auf unsere Leistungen über den Demo-Chatbot.

3. Bereitstellung der Website & Server-Logfiles

Beim Aufruf dieser Website erhebt unser Webhoster automatisch Informationen, die Ihr Browser an unseren Server übermittelt. Diese sogenannten Server-Logfiles umfassen:

• IP-Adresse des anfragenden Geräts (gekürzt/anonymisiert sobald technisch möglich)
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Übertragene Datenmenge und HTTP-Statuscode
• Referrer-URL (zuvor besuchte Seite)
• Verwendeter Browser, Browserversion und Betriebssystem

Zweck

Bereitstellung und Auslieferung der Website, technische Administration, Abwehr von Angriffen, Fehleranalyse.

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb)

Speicherdauer

Maximal 14 Tage; danach automatische Anonymisierung oder Löschung.

Empfänger

Hostinger International Ltd. (Auftragsverarbeiter, siehe Abschnitt 4)

4. Webhosting (Hostinger)

Wir hosten diese Website bei Hostinger. Anbieter:

Hostinger verarbeitet im Rahmen des Hostings insbesondere Server-Logdaten (siehe Abschnitt 3) sowie technische Metadaten, die für die Auslieferung der Website erforderlich sind. Die eingesetzten Server stehen innerhalb der Europäischen Union.

Zweck

Bereitstellung von Webhosting, E-Mail-Diensten und der zugrunde liegenden Server-Infrastruktur

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO; Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung)

AV-Vertrag

Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit Hostinger vom 01.07.2025

Datenschutz

hostinger.com/legal/privacy-policy

5. Schriftarten

Zur einheitlichen Darstellung der Schriftarten verwenden wir die freien Schriften Inter und Instrument Serif. Die Schriftdateien werden ausschließlich von unserem eigenen Server (Hostinger, EU) ausgeliefert. Eine Verbindung zu Servern Dritter — insbesondere zu Google Fonts — findet beim Aufruf der Website nicht statt. Ihre IP-Adresse wird durch die Schrifteneinbindung nicht an Drittanbieter übertragen.

6. Externes Skript des Chat-Widgets (jsDelivr)

Für die Anzeige unseres Demo-Chatbots (siehe Abschnitt 8) laden wir das Frontend-Skript des Open-Source-Pakets @n8n/chat sowie das zugehörige Stylesheet einmalig vom Content-Delivery-Network jsDelivr. Anbieter:

Beim Laden des Skripts wird Ihre IP-Adresse technisch bedingt an jsDelivr übermittelt. Eine Auswertung, Profilbildung oder Übermittlung weiterer Daten findet nach unserer Kenntnis durch jsDelivr nicht statt; jsDelivr ist ein quelloffenes, werbefreies CDN.

Zweck

Bereitstellung der Chat-Oberfläche

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer schnellen, ressourcenschonenden Auslieferung des Chat-Skripts)

Datenschutz

jsdelivr.com/terms/privacy-policy-jsdelivr-net

7. Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, werden die übermittelten Angaben (insbesondere E-Mail-Adresse, ggf. Name und Inhalt der Nachricht) ausschließlich zur Bearbeitung Ihrer Anfrage verarbeitet. Eine Weitergabe an Dritte erfolgt nicht.

Zweck

Bearbeitung Ihrer Anfrage, Anbahnung einer möglichen Geschäftsbeziehung

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen); Art. 6 Abs. 1 lit. f DSGVO (Beantwortung allgemeiner Anfragen)

Speicherdauer

Bis zur abschließenden Bearbeitung; bei vertragsrelevanten Inhalten gelten die gesetzlichen Aufbewahrungsfristen (i. d. R. 6 bzw. 10 Jahre nach §§ 147 AO, 257 HGB).

E-Mail-Hosting

Hostinger International Ltd. (siehe Abschnitt 4)

8. Demo-Chatbot (n8n, Anthropic, OpenAI, Supabase)

Auf dieser Website bieten wir einen Demo-Chatbot an, mit dem Sie unseren Service kostenfrei und unverbindlich ausprobieren können. Der Chatbot dient ausschließlich zu Demonstrations- und Anbahnungszwecken.

8.1 Verarbeitete Daten

• Inhalte Ihrer Chat-Nachrichten
• Eine zufällig erzeugte Sitzungs-ID
• Zeitstempel der Nachrichten
• IP-Adresse (technisch übermittelt durch Ihren Browser)

Bitte übermitteln Sie über den Chatbot keine besonderen Kategorien personenbezogener Daten (etwa Gesundheitsdaten, religiöse oder politische Überzeugungen) und keine sensiblen Geschäftsgeheimnisse. Der Demo-Bot ist hierfür nicht ausgelegt.

8.2 Verarbeitungs­kette

Die Antworten des Chatbots werden über eine Kette mehrerer Dienstleister generiert. Mit allen unten genannten Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO.

8.3 n8n (Workflow-Engine, selbst gehostet)

Die Logik des Chatbots läuft auf einer von uns selbst betriebenen Instanz der quelloffenen Workflow-Software n8n. Die Instanz läuft auf einem vServer (VPS) der Hostinger International Ltd. in der Europäischen Union. Eine Übermittlung der Chat-Daten an die Hersteller von n8n findet nicht statt.

8.4 Anthropic Claude API (Antwort­generierung)

Zur Generierung der Antworten werden die Inhalte Ihrer Anfragen an die Claude API von Anthropic übermittelt. Anbieter:

Anthropic verpflichtet sich vertraglich, übermittelte API-Inhalte nicht zum Training seiner Modelle zu verwenden und sie nur zur Bereitstellung des Dienstes zu verarbeiten. Die Übermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie ergänzender technischer und organisatorischer Maßnahmen. Eine Speicherung der API-Inhalte bei Anthropic findet maximal 30 Tage zur Missbrauchskontrolle statt.

Sub-Verarbeiter von Anthropic sind Cloud-Anbieter in den USA (insbesondere Amazon Web Services und Google Cloud). Eine Liste der Sub-Verarbeiter wird durch Anthropic veröffentlicht.

AV-Vertrag

Data Processing Addendum mit Anthropic, PBC (Wirksamkeit ab 26.04.2026, Bestandteil der Commercial Terms of Service)

Datenschutz

anthropic.com/legal/privacy

8.5 OpenAI Embedding-API (Vektorisierung von Anfragen)

Um Ihre Anfrage mit unseren hinterlegten Wissensinhalten abgleichen zu können (sog. Retrieval-Augmented Generation, RAG), wird der Text Ihrer Anfrage in eine mathematische Vektordarstellung (Embedding) überführt. Hierfür rufen wir die Embedding-API von OpenAI auf. Anbieter (für Nutzer mit Sitz im Europäischen Wirtschaftsraum):

OpenAI verpflichtet sich vertraglich, API-Inhalte nicht zum Training seiner Modelle zu verwenden. Es können Sub-Verarbeiter in den USA (insbesondere Microsoft Azure) eingebunden sein. Die Übermittlung an Sub-Verarbeiter in Drittländern erfolgt auf Grundlage der EU-Standardvertragsklauseln.

AV-Vertrag

Data Processing Addendum mit OpenAI Ireland Ltd. vom 18.05.2026

Datenschutz

openai.com/policies/eu-privacy-policy

8.6 Supabase (Vektor-Datenbank, EU-Region)

Die im vorigen Schritt erzeugte Vektordarstellung Ihrer Anfrage wird an unsere Wissensdatenbank übermittelt, um die passendsten Inhalte zur Beantwortung zu finden. Die Wissensdatenbank wird als Vektor-Datenbank in der EU-Region von Supabase betrieben. Anbieter:

In Supabase werden ausschließlich anonyme Wissensinhalte (FAQs, Studioinformationen, statische Texte) sowie zur Laufzeit die Vektorrepräsentation Ihrer Anfrage verarbeitet. Personen­bezogene Stammdaten oder Chat-Verläufe werden in Supabase nicht abgelegt.

AV-Vertrag

Data Processing Addendum mit Supabase Inc. vom 18.05.2026

Datenschutz

supabase.com/privacy

8.7 Speicherdauer der Chat-Inhalte

Chat-Inhalte werden auf unserem n8n-Server maximal 30 Tage aufbewahrt und danach automatisch gelöscht (Art. 5 Abs. 1 lit. e DSGVO). Die Aufbewahrung dient der Qualitätssicherung, der Fehleranalyse und der Missbrauchsprävention.

8.8 Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Bereitstellung einer realitätsnahen Demonstration unseres Chatbot-Produkts gegenüber Interessenten. Bei Eingabe vertragsbezogener Anfragen tritt zusätzlich Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).

9. Online-Terminbuchung (Cal.com)

Für die Buchung von Erstgesprächen setzen wir den Dienst Cal.com ein. Anbieter:

Aus Datenschutzgründen wird der Cal.com-Terminkalender auf unserer Website nicht automatisch geladen. Erst durch aktiven Klick auf den Schalter „Terminkalender laden" wird der Inhalt von Cal.com nachgeladen (sog. Two-Click-Lösung). Vor diesem Klick werden keine Daten an Cal.com übermittelt.

Sobald Sie den Terminkalender geladen haben, werden technisch bedingt Verbindungsdaten (insbesondere IP-Adresse, Browserinformationen) an Cal.com übertragen. Wenn Sie einen Termin buchen, werden zusätzlich die von Ihnen eingegebenen Daten (Name, E-Mail-Adresse, ggf. Telefonnummer, Wunschtermin) durch Cal.com verarbeitet und an uns weitergeleitet.

Zweck

Online-Terminvereinbarung für Erstgespräche, Kalenderabgleich

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung); Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in das Nachladen des Cal.com-Embeds durch aktiven Klick)

Drittland­transfer

Cal.com, Inc. ist nach dem EU-U.S. Data Privacy Framework zertifiziert. Die Übermittlung in die USA erfolgt damit auf Grundlage des Angemessenheitsbeschlusses (Art. 45 DSGVO). Ergänzend bestehen Standardvertragsklauseln.

AV-Vertrag

Data Processing Addendum mit Cal.com, Inc. (integraler Bestandteil der Allgemeinen Geschäftsbedingungen, akzeptiert bei Anmeldung)

Zertifizierungen

ISO 27001, SOC 2 Type II

Datenschutz

cal.com/privacy

10. Cookies & lokale Speicher

Wir verwenden auf dieser Website ausschließlich technisch notwendige Cookies und vergleichbare Technologien (Local Storage, Session Storage). Diese sind erforderlich, damit unsere Website und insbesondere das Chat-Widget korrekt funktionieren.

10.1 Konkret eingesetzte Speicherungen

• Chat-Widget (n8n): speichert lokal auf Ihrem Gerät eine zufällige Sitzungs-ID und die bisherige Konversation, damit das Gespräch beim Neuladen der Seite fortgesetzt werden kann. Es werden keine personenbezogenen Daten an Dritte übermittelt; die Daten verbleiben in Ihrem Browser.
• Cal.com (nur nach Two-Click-Aktivierung, siehe Abschnitt 9): kann nach aktiver Aktivierung eigene technisch notwendige Cookies setzen.

Marketing-, Tracking- oder Analyse-Cookies setzen wir nicht ein. Eine Reichweitenmessung findet nicht statt.

Rechtsgrundlage

§ 25 Abs. 2 Nr. 2 TDDDG (technisch notwendige Speicherungen) i. V. m. Art. 6 Abs. 1 lit. f DSGVO; bei Cal.com nach Klick zusätzlich Art. 6 Abs. 1 lit. a DSGVO.

Speicherdauer

Sitzungsdauer bzw. bis zur Löschung durch Sie in den Browser-Einstellungen.

11. Sicherheit der Verarbeitung

Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein, um Ihre Daten gegen Verlust, Manipulation und unberechtigten Zugriff zu schützen. Dazu gehören insbesondere:

• TLS-Verschlüsselung aller Datenübertragungen zwischen Ihrem Browser und unserem Server (HTTPS)
• Verschlüsselung der Datenübertragung zu allen genannten Auftragsverarbeitern
• Aktuelle Sicherheits-Updates auf Server- und Anwendungsebene
• Zugriffsbeschränkungen auf Verwaltungs- und Administrationsoberflächen
• Logische Trennung der Verarbeitungen pro Endkunden-Studio
• Automatische Löschroutinen (insbesondere Chat-Verläufe nach 30 Tagen)

12. Datenübermittlung in Drittländer

Soweit wir Dienste einsetzen, deren Anbieter oder Sub-Verarbeiter ihren Sitz in einem Drittland außerhalb des Europäischen Wirtschaftsraums (insbesondere USA) haben, erfolgt die Übermittlung ausschließlich auf einer der nachfolgenden Rechtsgrundlagen:

• Angemessenheits­beschluss nach Art. 45 DSGVO (EU-U.S. Data Privacy Framework) — derzeit insbesondere für Cal.com, Inc.
• EU-Standard­vertrags­klauseln nach Art. 46 Abs. 2 lit. c DSGVO — für Anthropic, PBC, sowie für Sub-Verarbeiter von Anthropic, OpenAI und Supabase
• Ergänzende technische und organisatorische Maßnahmen (z. B. Verschlüsselung, vertragliche Zusicherungen zu Modelltrainings­ausschluss und Aufbewahrungsbegrenzung)

Auf Anfrage stellen wir Ihnen die jeweils anwendbaren Garantien bzw. den Nachweis einer Kopie der Standardvertragsklauseln zur Verfügung. Wenden Sie sich hierfür an kaansevinc@ksflow.de.

13. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es zur Erfüllung des jeweiligen Verarbeitungszwecks erforderlich ist oder wir gesetzlich dazu verpflichtet sind. Im Einzelnen gelten die in den vorstehenden Abschnitten genannten Speicherfristen. Bei vertrags- oder steuerrelevanten Daten löschen oder anonymisieren wir spätestens nach Ablauf der gesetzlichen Aufbewahrungs­pflichten (i. d. R. 6 bis 10 Jahre nach §§ 147 AO, 257 HGB).

14. Ihre Rechte als betroffene Person

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO) — ob und welche Daten wir zu Ihnen verarbeiten
• Berichtigung (Art. 16 DSGVO) — unrichtige Daten korrigieren
• Löschung (Art. 17 DSGVO) — Ihre Daten löschen lassen, soweit kein Aufbewahrungsgrund entgegensteht
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO) — Erhalt Ihrer Daten in einem strukturierten, gängigen, maschinen­lesbaren Format
• Widerspruch gegen bestimmte Verarbeitungen (Art. 21 DSGVO — siehe Abschnitt 15)
• Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO) — der Widerruf gilt für die Zukunft

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an kaansevinc@ksflow.de. Wir werden Ihre Anfrage innerhalb der gesetzlichen Fristen beantworten (in der Regel innerhalb eines Monats).

15. Widerspruchsrecht nach Art. 21 DSGVO

16. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Für den hier Verantwortlichen ist zuständig:

17. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet im Rahmen dieser Website nicht statt. Insbesondere generiert der Demo-Chatbot lediglich Informationsantworten; rechtlich relevante oder vertragsbindende Entscheidungen werden ausschließlich durch eine natürliche Person getroffen.

18. Minderjährige

Unser Angebot richtet sich an gewerbliche Kundinnen und Kunden (insbesondere Betreiberinnen und Betreiber von Fitnessstudios) und damit ausschließlich an volljährige Personen. Es ist nicht für die Nutzung durch Minderjährige bestimmt. Sollten wir Kenntnis davon erlangen, dass uns ohne nachweisbare Einwilligung der Erziehungsberechtigten Daten einer minderjährigen Person übermittelt wurden, löschen wir diese Daten unverzüglich.

19. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Rahmenbedingungen, eingesetzte Dienste oder unsere Verarbeitungs­vorgänge ändern. Die jeweils aktuelle Fassung ist unter ksflow.de/datenschutz.html abrufbar. Es gilt die zum Zeitpunkt Ihrer Nutzung der Website abrufbare Fassung.

Stand dieser Fassung: 22. Mai 2026