DocFlowAnmelden

Datenschutzerklärung

DocFlow · Stand: 11. Mai 2026

1. Verantwortlicher

Michel Winkler
Einzelunternehmen, handelnd unter der Marke „ibx company“
Laher Kirchweg 24
30659 Hannover
Deutschland
E-Mail: info@docflow-personal.de

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit der Datenschutz-Grundverordnung (DSGVO) sowie den geltenden nationalen Datenschutzbestimmungen.

Die Verarbeitung erfolgt zur Bereitstellung unserer Softwarelösung DocFlow – einer KI-gestützten Plattform zur Dokumentenverwaltung und -analyse.

3. Art der verarbeiteten Daten

Im Rahmen der Nutzung von DocFlow können folgende Daten verarbeitet werden:

  • Stammdaten (Name, E-Mail-Adresse)
  • Zugangsdaten (Login-Informationen)
  • hochgeladene Dokumente (z. B. Rechnungen, Verträge, Lohnabrechnungen, Versicherungen)
  • daraus extrahierte Inhalte und Metadaten
  • Kommunikationsdaten (Chat-Anfragen innerhalb der Anwendung)
  • Nutzungsdaten (z. B. Logfiles, Interaktionen)

4. Zweck der Verarbeitung

Die Datenverarbeitung erfolgt zu folgenden Zwecken:

  • Bereitstellung und Betrieb der Plattform
  • Automatische Klassifizierung und Analyse von Dokumenten
  • Extraktion relevanter Inhalte (z. B. Beträge, Fristen, Vertragsdaten)
  • Bereitstellung von Such- und Chatfunktionen
  • Anzeige von Fristen und Terminen
  • Verbesserung der Nutzererfahrung

5. Einsatz von Künstlicher Intelligenz

Zur Analyse und Klassifizierung von Dokumenten setzen wir externe KI-Dienste ein.

(a) Klassifizierung, Textextraktion (OCR) und Chat-Antworten:
Für die Texterkennung (OCR), Klassifizierung und Beantwortung von Chat-Anfragen werden die vollständigen Inhalte der hochgeladenen Dokumente sowie die zugehörigen Chat-Anfragen an folgenden Anbieter übermittelt:

  • Google Ireland Ltd. / Google LLC (Gemini API, Modell gemini-2.5-flash) – Verarbeitung der Dokumenteninhalte zur OCR, Klassifizierung und Beantwortung von Chat-Anfragen. Verarbeitungsorte können nach Google's globaler Infrastruktur auch außerhalb der EU (insbesondere USA) liegen.

Konkret an Google Gemini übermittelte Datenkategorien:

  • Vollständiger Text (OCR-Output) jeder hochgeladenen Datei — inklusive möglicherweise enthaltener besonderer Datenkategorien gem. Art. 9 DSGVO (Gesundheitsdaten in Arztrechnungen, Sozialdaten in Lohnabrechnungen, Religion/weltanschauliche Daten in Spendenbelegen etc.)
  • Bei Chat-Anfragen: der Wortlaut der Frage des Nutzers sowie die als relevant identifizierten Doc-Volltexte als Kontext
  • Bei Sprach-Eingabe im Chat: die Audio-Aufnahme der Frage (zur Transkription via gemini-2.5-flash)

Was NICHT an Google übermittelt wird:

  • Die Originaldatei (PDF, Bild) — sie verbleibt ausschließlich im vom Nutzer verbundenen Cloud-Speicher. Nur der textuelle Inhalt nach OCR wird übermittelt.
  • Account-Daten (E-Mail, Name, Passwort), Login-Tokens, Zahlungsdaten, Cloud-Zugangs-Tokens.

Transparenz-Hinweis: Vor der Übermittlung an Google findet aktuell keine automatische Maskierung oder Abtrennung personenbezogener Daten im JSON-Payload statt — der Volltext des Dokuments wird unverkürzt zur Verarbeitung übergeben, da OCR und semantische Klassifizierung auf den Originalinhalt angewiesen sind. Die Übertragung erfolgt verschlüsselt (TLS 1.2+).

Die Verarbeitung erfolgt ausschließlich zweckgebunden. Nach den Nutzungsbedingungen der kostenpflichtigen Gemini API werden die übermittelten Inhalte nicht zum Training von KI-Modellen verwendet und nicht dauerhaft gespeichert.

Rechtsgrundlage der Übermittlung ist die ausdrückliche Einwilligung des Nutzers gemäß Art. 6 Abs. 1 lit. a DSGVO, die bei der Registrierung über eine separate Checkbox sowie zusätzlich vor dem ersten Doc-Upload in der App über einen eigenen Einwilligungs-Dialog erteilt wird. Diese Einwilligung umfasst auch besondere Datenkategorien gemäß Art. 9 Abs. 2 lit. a DSGVO (z. B. Gesundheitsdaten in Arztrechnungen, Sozialdaten in Lohnabrechnungen). Die Drittlandübermittlung in die USA ist zusätzlich abgesichert durch das EU-US Data Privacy Framework sowie EU-Standardvertragsklauseln nach Art. 46 DSGVO. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden — der Widerruf erfolgt direkt in der App unter Einstellungen → Datenschutz → KI-Einwilligung widerrufen, durch Löschung des Nutzerkontos oder formlos per E-Mail an info@docflow-personal.de. Nach dem Widerruf können keine neuen Dokumente mehr verarbeitet und keine Chat-Anfragen mehr gestellt werden; bereits klassifizierte Dokumente und ihre Metadaten bleiben erhalten.

6. Hosting und Datenverarbeitung

Unsere Plattform wird betrieben über:

  • Anwendungsserver: dedizierter VPS in Frankfurt am Main, Deutschland (Hostinger International Ltd.). Auf diesem Server findet die Auslieferung der Web-Anwendung, das Routing der API-Anfragen und die lokale Embedding-Berechnung statt.
  • Supabase Inc. – Datenbank, Authentifizierung und Speicherung von Metadaten sowie Systemdaten. Die Datenbank-Instanz liegt in Frankfurt am Main, Deutschland (AWS-Region eu-central-1).

Hinweis: Die hochgeladenen Dokumente selbst werden weder auf unserem VPS noch in Supabase dauerhaft gespeichert. Die Originaldateien verbleiben ausschließlich im vom Nutzer angebundenen Cloud-Dienst (vgl. Ziffer 7).

7. Speicherung von Dokumenten (Cloud-Dienste)

Die Speicherung der hochgeladenen Dokumente erfolgt ausschließlich in den vom Nutzer angebundenen Cloud-Diensten:

  • Google Drive
  • Dropbox

Die Verbindung erfolgt über OAuth-Authentifizierung. DocFlow speichert keine Zugangsdaten zu diesen Diensten, sondern ausschließlich verschlüsselte Zugriffstoken.

Die Speicherung und Verwaltung der Dokumente erfolgt im Verantwortungsbereich des jeweiligen Cloud-Anbieters und des Nutzers.

8. Zahlungsabwicklung

Sofern kostenpflichtige Leistungen (Pro- oder Premium-Abonnement) gebucht werden, erfolgt die Zahlungsabwicklung ausschließlich über:

PayPal (Europe) S.à r.l. et Cie, S.C.A.
22-24 Boulevard Royal, L-2449 Luxembourg

PayPal verarbeitet als eigenständiger Verantwortlicher u.a. Name, E-Mail-Adresse, Rechnungsanschrift, Zahlungsinformationen, Transaktionsdaten und Abonnementdaten. Innerhalb von DocFlow speichern wir lediglich die von PayPal vergebene Subscription-ID sowie den Abonnement-Status (aktiv, gekündigt, abgelaufen) zur Steuerung der App-Funktionen. Wir erhalten keine Zahlungsdaten wie Kreditkartennummern oder Bankverbindungen.

Weitere Informationen: PayPal-Datenschutzerklärung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9. Rechtsgrundlagen

Die Verarbeitung erfolgt auf Grundlage von:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung – insbesondere bei KI-Verarbeitung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb und Sicherheit)

10. Speicherdauer

  • Dokumente: Speicherung erfolgt in den angebundenen Cloud-Diensten des Nutzers
  • Metadaten: bis zur Löschung durch den Nutzer
  • Chat-Daten: automatische Löschung nach 7 Tagen
  • Nutzerdaten: bis zur Account-Löschung

11. Weitergabe an Dritte

Eine Weitergabe erfolgt ausschließlich an:

  • technische Dienstleister (Hosting, KI, Cloud)
  • im Rahmen gesetzlicher Verpflichtungen

Es erfolgt keine Weitergabe zu Werbezwecken.

12. Drittlandübertragung

Bei Nutzung folgender Dienste kann eine Übermittlung personenbezogener Daten in Drittländer (insbesondere USA) erfolgen:

  • Google (Gemini API) – Übermittlung der Dokumenten-Volltexte zur OCR, Klassifizierung und Chat-Verarbeitung (vgl. Ziffer 5 a)
  • Google (Google Drive) – Speicherung der Original-Dokumente im Drive-Account des Nutzers (über OAuth)
  • Dropbox – alternative Cloud-Speicherung der Original-Dokumente im Konto des Nutzers (über OAuth)

Die Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO, insbesondere EU-Standardvertragsklauseln (SCC). Für US-Anbieter, die nach dem EU-US Data Privacy Framework zertifiziert sind (Google, Dropbox), gilt zusätzlich der Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023.

Der Nutzer wird vor der ersten KI-Verarbeitung gesondert über die Drittlandübermittlung informiert und willigt in diese ein (Art. 49 Abs. 1 lit. a DSGVO).

13. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, darunter:

  • TLS-Verschlüsselung
  • Zugriffsbeschränkungen (RLS)
  • verschlüsselte Speicherung von Metadaten
  • Authentifizierungssysteme

14. Rechte der betroffenen Personen

Nutzer haben das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)

15. Widerruf der Einwilligung

Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

16. Beschwerderecht

Es besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde.

17. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen.