Datenschutzerklärung
Stand: Mai 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Samia Zahoor
Alsterkrugchaussee 595
22335 Hamburg
Deutschland
E-Mail: datenschutz@notizflow.de
2. Grundsätze der Datenverarbeitung
Wir verarbeiten personenbezogene Daten nur, soweit dies gesetzlich erlaubt ist oder Sie eingewilligt haben. Die Verarbeitung erfolgt auf folgenden Rechtsgrundlagen:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Verarbeitung zur Erfüllung des Nutzungsvertrags (Konto, Meeting-Verarbeitung, Abonnement).
- Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Betrieb, Sicherheit und Missbrauchsprävention der Plattform.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für Analytics (PostHog), wenn Sie dem im Cookie-Banner zustimmen.
- Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung von Rechnungsdaten gemäß HGB / AO.
3. Daten beim Besuch unserer Website
Server-Logfiles
Beim Aufruf unserer Website werden durch den Webserver automatisch folgende Daten erfasst und in Server-Logfiles gespeichert:
- IP-Adresse des anfragenden Geräts (anonymisiert)
- Datum und Uhrzeit des Zugriffs
- Name und URL der abgerufenen Datei
- Website, von der aus der Zugriff erfolgte (Referrer-URL)
- Verwendeter Browser und Betriebssystem
- HTTP-Statuscode
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Betrieb und Sicherheit der Website). Logfiles werden nach 30 Tagen automatisch gelöscht.
4. Registrierung und Nutzerkonto
Registrierungsdaten
Bei der Registrierung erheben wir Ihre E-Mail-Adresse und ein selbst gewähltes Passwort. Das Passwort wird nicht im Klartext gespeichert, sondern als bcrypt-Hash (Cost-Faktor 12).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Eine E-Mail-Adresse ist technisch notwendig, um Ihnen Zugang zum Konto zu ermöglichen.
E-Mail-Verifizierung und Passwort-Reset
Wir versenden Verifizierungs- und Passwort-Reset-E-Mails über den Dienstleister Resend (EU-Region). Die dafür verwendeten Token werden in unserer Datenbank gehashed gespeichert und nach Ablauf (24 h bzw. 1 h) automatisch gelöscht.
Profilangaben
Optional können Sie Ihren Tätigkeitsbereich (z. B. "Vertrieb", "Beratung") angeben. Diese Angabe dient ausschließlich der Anpassung der Zusammenfassungsvorschläge.
5. Meeting-Verarbeitung
Audio-Upload
Beim Hochladen einer Aufnahmedatei wird diese über eine signierte Upload-URL direkt auf unseren Speicher bei Hetzner Object Storage (Nürnberg, Deutschland) übertragen. Die Datei wird dort verschlüsselt gespeichert und ist nicht öffentlich zugänglich.
Transkription
Zur Transkription wird die Audio-Datei auf unseren Servern bei Hetzner Online GmbH (Nürnberg, Deutschland) lokal verarbeitet. Es findet keine Übermittlung an Dritte statt. Die Verarbeitung erfolgt mit dem Open-Source-Modell faster-whisper.
KI-Zusammenfassung
Der transkribierte Text (kein Audio) wird zur Erstellung der Zusammenfassung an Anthropic PBC (USA) über LiteLLM übermittelt. Mit Anthropic besteht ein Auftragsverarbeitungsvertrag (DPA) sowie EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Eine Migration zu einem EU-basierten LLM-Anbieter (Mistral AI, Frankreich) ist für Q3/2026 geplant.
Speicherung und Löschung
Audio-Quelldateien werden automatisch 90 Tage nach dem Upload gelöscht. Sie können die Quelldatei jederzeit sofort in den Meeting-Einstellungen löschen.
Transkripte und Zusammenfassungen bleiben erhalten, bis Sie das Meeting oder Ihren Account löschen.
Freigabelinks
Wenn Sie einen Freigabelink für ein Meeting erstellen, wird die Zusammenfassung über einen zufällig generierten Link abrufbar. Sie können diesen Link jederzeit widerrufen. Optional können Sie den Link mit einem Passwort schützen.
6. Zahlungsabwicklung
Abonnements werden über Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Dublin, Irland) abgewickelt. Stripe ist Auftragsverarbeiter gemäß Art. 28 DSGVO.
Wir übermitteln Stripe Ihre E-Mail-Adresse für die Kundenanlage. Zahlungsdaten (Kreditkartennummer, IBAN) werden ausschließlich bei Stripe verarbeitet und gespeichert — wir speichern keine Zahlungsdaten in unserer Datenbank.
Rechnungsdaten werden gemäß § 257 HGB für 10 Jahre aufbewahrt.
7. E-Mail-Kommunikation
Transaktionale E-Mails (Kontoverifizierung, Meeting-Benachrichtigungen, Zahlungsbestätigungen) versenden wir über Resend (EU-Region). Mit Resend besteht ein Auftragsverarbeitungsvertrag.
Wir versenden keine Marketing-E-Mails ohne Ihre ausdrückliche Einwilligung.
8. Analytics und Monitoring
Produkt-Analytics (PostHog)
Wir nutzen PostHog (EU-hosted, Frankfurt) für Produkt-Analytics. PostHog erfasst pseudonymisierte Nutzungsereignisse (z. B. hochgeladene Meetings, besuchte Seiten).
PostHog wird nur geladen, wenn Sie im Cookie-Banner ausdrücklich zustimmen. Die Standardeinstellung ist "abgelehnt". Sie können Ihre Einwilligung jederzeit in den Einstellungen (Datenschutz → Analytics) widerrufen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Fehler-Monitoring (Sentry)
Für technisches Fehler-Monitoring setzen wir Sentry (EU-Region, Frankfurt) ein. Sentry erfasst Fehlermeldungen und Stack-Traces. Wir konfigurieren Sentry so, dass keine personenbezogenen Daten (E-Mail, Nutzernamen) in Fehlermeldungen übermittelt werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit).
Uptime-Monitoring (Better Stack)
Zur Überwachung der Systemverfügbarkeit nutzen wir Better Stack (EU-Region). Better Stack prüft regelmäßig die Erreichbarkeit unserer Server. Es werden keine personenbezogenen Nutzerdaten an Better Stack übermittelt.
10. Auftragsverarbeiter (Subprocessors)
Folgende Dienstleister verarbeiten im Auftrag von Notizflow personenbezogene Daten. Mit allen Dienstleistern besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO:
| Dienstleister | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Hosting, Datenbankserver, Object Storage | Deutschland (Nürnberg) |
| Anthropic PBC | KI-Zusammenfassung (nur Textdaten) | USA (DPA + SCC) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland |
| Resend Inc. | Transaktionale E-Mails | EU-Region |
| Functional Software Inc. (Sentry) | Fehler-Monitoring | EU (Frankfurt) |
| PostHog Inc. | Produkt-Analytics (nur mit Einwilligung) | EU (Frankfurt) |
| Better Stack | Uptime-Monitoring | EU-Region |
11. Ihre Rechte
Als betroffene Person haben Sie gemäß DSGVO folgende Rechte:
Auskunft (Art. 15)
Sie können eine vollständige Kopie Ihrer bei uns gespeicherten Daten als ZIP-Datei über Einstellungen → Datenschutz → Daten exportieren herunterladen.
Berichtigung (Art. 16)
Sie können Ihre Profildaten in den Einstellungen jederzeit korrigieren.
Löschung (Art. 17)
Sie können Ihren Account inklusive aller Daten in den Einstellungen löschen. Die Löschung erfolgt unmittelbar.
Einschränkung (Art. 18)
Bei Streit über Richtigkeit oder Rechtmäßigkeit der Verarbeitung können Sie die Einschränkung beantragen. Richten Sie Ihre Anfrage an datenschutz@notizflow.de.
Datenübertragbarkeit (Art. 20)
Der Datenexport (JSON + Markdown) nach Einstellungen → Datenschutz erfüllt die Anforderung an Datenübertragbarkeit.
Widerspruch (Art. 21)
Für Analytics können Sie jederzeit widersprechen, indem Sie die Einwilligung in den Einstellungen → Datenschutz widerrufen.
Widerruf von Einwilligungen (Art. 7 Abs. 3)
Eine erteilte Einwilligung (Analytics) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
Bearbeitungsfrist: Wir beantworten Anfragen innerhalb von einem Monat (Art. 12 Abs. 3 DSGVO).
Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Zuständig ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22, 20459 Hamburg.
12. Aufbewahrungsfristen
| Datenkategorie | Aufbewahrungsfrist |
|---|---|
| Kontodaten | Bis zur Account-Löschung |
| Meetings, Transkripte, Zusammenfassungen | Bis zur Account-Löschung oder Löschung des Meetings |
| Audio-Quelldateien | 90 Tage nach Upload, dann automatische Löschung |
| Anonymisiertes Löschprotokoll | 12 Monate |
| Rechnungsdaten (Stripe) | 10 Jahre (HGB / AO) |
| Server-Logs | 30 Tage |
| Backups | 7 Tage rollend |
13. Änderungen dieser Erklärung
Wir können diese Datenschutzerklärung aktualisieren, wenn wir neue Dienste einführen oder sich rechtliche Anforderungen ändern. Bei wesentlichen Änderungen informieren wir Sie per E-Mail. Das Datum der letzten Aktualisierung ist oben angegeben.
Bei Fragen zum Datenschutz: datenschutz@notizflow.de