Datenschutzerklärung
Informationen zum Datenschutz und zur Verarbeitung personenbezogener Daten. Zuletzt aktualisiert: Klarstellung zur Google API Services User Data Policy (Limited Use) im Abschnitt E-Mail-Anbindungen sowie präzisere Beschreibung der Speicherfristen (Speicherfristen selbst unverändert); vorherige Aktualisierung: Aufnahme von Azure Document Intelligence zur Dokumenten-Texterkennung auf EU-Servern (Deutschland, Germany West Central).
Stand: Juni 2026Inhaltsverzeichnis
1Datenschutz auf einen Blick
Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie viamind Flow nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen entnehmen Sie der nachfolgenden Datenschutzerklärung.
Datenerfassung in dieser Anwendung
Wer ist verantwortlich? Die Datenverarbeitung erfolgt durch die viamind GmbH als Websitebetreiber. Die Kontaktdaten finden Sie im Abschnitt „Hinweis zur verantwortlichen Stelle“.
Wie erfassen wir Ihre Daten? Zum einen durch Angaben, die Sie uns aktiv mitteilen (z. B. bei der Registrierung oder beim Verknüpfen eines E-Mail-Postfachs). Zum anderen werden technische Daten (z. B. Browser, Betriebssystem, IP-Adresse) automatisch bei Serveranfragen erfasst.
Wofür nutzen wir Ihre Daten? Zur Bereitstellung und Verbesserung der Anwendung sowie zur Erfüllung des Nutzungsvertrags.
2Hosting
Hetzner mit Coolify
Wir hosten diese Anwendung bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Wenn Sie die Anwendung nutzen, erfasst Hetzner verschiedene Logfiles inklusive Ihrer IP-Adresse. Details entnehmen Sie der Datenschutzerklärung von Hetzner: https://www.hetzner.com/de/rechtliches/datenschutz
Die Verwendung von Hetzner erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer zuverlässigen und sicheren Bereitstellung der Anwendung. Die Server befinden sich in Deutschland.
3Allgemeine Hinweise und Pflichtinformationen
Datenschutz
Die Betreiber dieser Anwendung nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.
Hinweis zur verantwortlichen Stelle
Die verantwortliche Stelle für die Datenverarbeitung in dieser Anwendung ist:
viamind GmbH
Geschäftsführer: Jan Verhagen, Andres Andreas, Philipp Reitzmann
E-Mail: kontakt@viamind.ai
Speicherdauer
Für die wichtigsten Datenkategorien gelten klar definierte Aufbewahrungsfristen:
- E-Mail-Inhalte (Body, Anhänge): maximal 30 Tage nach Eingang. Der HTML-Body und die Anhang-Dateien werden bereits 3 Tage nach erfolgreicher Pipeline-Verarbeitung entfernt; Plaintext und Metadaten folgen spätestens nach 30 Tagen automatisch durch unseren täglichen Retention-Job.
- Verarbeitungs-Audit-Trail (Spur, welche Mail wann wie verarbeitet wurde, ohne Mail-Inhalt): 3 Jahre — zur Compliance und Nachvollziehbarkeit. Danach automatische Löschung.
- LLM-Telemetrie (Token-Zahlen, Verarbeitungsdauer, Kosten, ohne Mail-Inhalt): 3 Jahre.
- Account-Daten und OAuth-Tokens: bis Sie den Account löschen bzw. die Verbindung trennen.
Hintergrund: Die Original-E-Mails verbleiben in Ihrem Gmail- oder Outlook-Postfach — wir sind nicht das System of Record. Unsere lokale Kopie brauchen wir nur für ein kurzes Debug-Fenster und wird daher bewusst nur kurz gespeichert.
Wenn Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung zur Datenverarbeitung widerrufen, werden Ihre Daten entsprechend gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung haben.
Selbst-Verwaltung des Mail-Lebenszyklus
In der App stehen Ihnen folgende Aktionen pro E-Mail zur Verfügung, um den Mail-Lebenszyklus selbst zu steuern:
- In Papierkorb verschieben: Mail-Inhalt wird sofort entfernt; der Datensatz bleibt wiederherstellbar, bis die Mail spätestens 30 Tage nach Eingang automatisch endgültig gelöscht wird.
- Wiederherstellen: aus dem Papierkorb-Tab zurück in die Mail-Liste; der vorherige Pipeline-Status wird aus dem Audit-Trail rekonstruiert.
- Endgültig löschen (DSGVO-Forget): die Mail wird unwiderruflich aus unseren Systemen entfernt und nie wieder importiert, auch wenn sie noch in Ihrem Postfach liegt. Es bleibt nur ein anonymisierter technischer Tombstone als Re-Import-Schutz — kein Mail-Inhalt, keine Klassifikation.
- Hart zurücksetzen: Mail wird komplett aus unserer Datenbank entfernt und beim nächsten Pipeline-Lauf vom Provider neu importiert und frisch verarbeitet.
- Neu analysieren: die Klassifikation wird verworfen und beim nächsten Pipeline-Lauf erneut durchgeführt — nützlich nach Konfigurations-Änderungen am Workflow.
- Verlauf einsehen:pro Mail steht eine chronologische Aufstellung aller Verarbeitungsschritte und manuellen Eingriffe zur Verfügung. Workflow-weite Übersicht unter „Protokoll“.
Widerruf Ihrer Einwilligung zur Datenverarbeitung
Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.
4Datenerfassung in dieser Anwendung
Server-Log-Dateien
Der Provider der Anwendung erhebt und speichert automatisch Informationen in Server-Log-Dateien, die Ihr Browser automatisch übermittelt:
- Browsertyp und Browserversion
- Verwendetes Betriebssystem
- Referrer URL
- Hostname des zugreifenden Rechners
- Uhrzeit der Serveranfrage
- IP-Adresse
Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
Nutzerkonten & Authentifizierung
Bei der Registrierung und Nutzung von viamind Flow speichern wir folgende personenbezogene Daten:
- E-Mail-Adresse (Pflichtfeld, dient als Anmelde-Kennung)
- Passwort (als bcrypt-Hash gespeichert, nicht im Klartext)
- Sitzungsdaten (JWT-Token, gültig für 30 Tage, im HTTP-only-Cookie)
- Zeitstempel der Registrierung
- Zeitstempel der letzten Anmeldung (zur Lizenzverwaltung und Systemsicherheit)
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
E-Mail-Anbindungen (Gmail & Outlook)
viamind Flow ermöglicht die Anbindung externer E-Mail-Postfächer über OAuth 2.0 (Google Gmail API, Microsoft Graph API). Dabei werden folgende Daten gespeichert:
- OAuth Access Token und Refresh Token (AES-256-GCM verschlüsselt in der Datenbank)
- E-Mail-Adresse des verbundenen Postfachs
- Ablaufzeitpunkt des Access Tokens
Gmail-Berechtigungen (Scopes): Wir fordern ausschließlich folgende Berechtigungen an:
gmail.readonly– E-Mails lesengmail.modify– Labels setzen und verwalten, Archivieren, Verschieben sowie Weiterleiten (Fwd:) auf explizite Nutzer-Anweisung
Importierte E-Mails (Betreff, Absender, Empfänger, Textinhalt, Anhänge) werden in unserer Datenbank gespeichert, um die KI-Analyse und Workflow-Verarbeitung zu ermöglichen. Es werden nur explizit vom Nutzer importierte E-Mails gespeichert. Auf Basis konfigurierter Workflow-Regeln können folgende Aktionen automatisiert ausgeführt werden: Archivieren, Verschieben, Labels setzen, Löschen sowie Weiterleiten (Fwd:) an eine konfigurierte Empfängeradresse.
Google API Services User Data Policy (Limited Use): Die Verwendung und Weitergabe der von Google APIs erhaltenen Informationen durch viamind Flow hält die Google API Services User Data Policy ein, einschließlich der Limited-Use-Anforderungen. Insbesondere werden aus Gmail erhaltene Daten ausschließlich zur Bereitstellung und Verbesserung der vom Nutzer angeforderten Funktionen verwendet, nicht für Werbezwecke verkauft oder übertragen und nicht zum Training allgemeiner KI-/ML-Modelle genutzt (vertraglich ausgeschlossen bei unseren KI-Dienstleistern). Eine menschliche Einsichtnahme in diese Daten erfolgt nur durch die berechtigten Mitarbeitenden des Kunden für dessen eigenes Postfach, mit Einwilligung, zur Wahrung der Sicherheit oder soweit gesetzlich erforderlich.
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Ihrer ausdrücklichen Einwilligung beim Verbinden des Postfachs.
Sie können die OAuth-Verbindung jederzeit in den Einstellungen trennen. Wir empfehlen zusätzlich, den Zugriff direkt in Ihrem Google-Konto bzw. im Microsoft-Konto zu widerrufen.
SFTP-Export
viamind Flow ermöglicht den Export transformierter E-Mail-Daten auf nutzer-konfigurierte SFTP-Server. Dabei werden folgende Daten gespeichert:
- SFTP-Zugangsdaten (Hostname, Port, Nutzername, Passwort/ SSH-Fingerprint) – AES-256-GCM verschlüsselt in der Datenbank
- Exportprotokolle (Dateiname, Zeitstempel, Status)
Der Export erfolgt ausschließlich auf explizite Nutzer-Anweisung (manuell oder als konfigurierter Workflow-Schritt). Der SFTP-Server kann sich außerhalb der EU befinden – die Verantwortung für die Wahl des Zielsystems und die entsprechenden Drittland-Transfers liegt beim Nutzer (Art. 44 ff. DSGVO).
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Externe Stammdaten
Optional können Sie eigene Stammdaten (z. B. Kunden-, Lieferanten- oder Artikellisten) als CSV-, JSON- oder Excel-Datei hochladen, um die Datenextraktion anzureichern. Diese Daten können personenbezogene Angaben enthalten; sie werden in unserer Datenbank gespeichert, ausschließlich Ihrem Kundenkonto zugeordnet und nur zur Anreicherung Ihrer eigenen Verarbeitungen verwendet. Für den Inhalt der von Ihnen hochgeladenen Stammdaten sind Sie als Nutzer verantwortlich. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
KI-Verarbeitung (zentral verwaltete LLM-Anbieter)
Zur KI-gestützten Analyse und Verarbeitung von E-Mail-Inhalten betreibt viamind Flow zwei zentral verwaltete LLM-Anbieter. Der jeweilige Anbieter wird pro Workflow bzw. pro Kategorie/ Transformation gewählt; bei Standard-Konfiguration läuft alles über den voreingestellten Anbieter. Übertragen werden in beiden Fällen: E-Mail-Betreff, Textinhalt, ggf. extrahierter Anhangstext sowie – bei aktivierter Bildanalyse (Vision) – Bild-Anhänge im Original (z. B. Fotos von Belegen).
a) Langdock GmbH (Deutschland) — Anthropic Claude
- Verwendet für die Modell-Familie Anthropic Claude (z. B. Claude Haiku 4.5, Claude Sonnet 4.6)
- Hosting: Langdock betreibt die Inferenz auf Microsoft Azure West Europe / Frankfurt — Daten bleiben in der EU
- Sub-Auftragsverarbeiter: Anthropic, eingebunden über Langdock (kein direkter Vertrag zwischen viamind und Anthropic)
- Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit Langdock GmbH besteht
- Kein Training: Die übermittelten Daten werden vertraglich ausgeschlossen vom Training der zugrundeliegenden Sprachmodelle verwendet
b) Microsoft Ireland Operations Limited — Azure AI Foundry
- Verwendet für die OpenAI GPT-Modell-Familie (z. B. GPT-5 mini, GPT-5.1, GPT-5.4)
- Hosting: Microsoft Azure Sweden Central im Data Zone Standard (EU) — Inputs, Outputs und Modell-Inferenz bleiben innerhalb der Microsoft EU Data Boundary
- Sub-Auftragsverarbeiter: OpenAI L.L.C., eingebunden über Microsoft als „Azure OpenAI“-Service (kein direkter Vertrag zwischen viamind und OpenAI)
- Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist Bestandteil des Microsoft Online Services Data Protection Addendum (DPA)
- Kein Training: Microsoft garantiert vertraglich, dass Customer-Daten im Azure-OpenAI-Service nicht zum Training der OpenAI-Modelle oder anderer Microsoft-Modelle verwendet werden
Modell-Auswahl pro Anbieter: Über Microsoft Azure beziehen wir ausschließlich OpenAI-Modelle (GPT-Familie). Anthropic Claude läuft ausschließlich über Langdock. Anbieter- oder Modell-Wechsel werden in dieser Datenschutzerklärung dokumentiert.
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Wir empfehlen, keine besonders sensiblen personenbezogenen Daten (z. B. Gesundheitsdaten, Bankgeheimnisse) über die Plattform zu verarbeiten.
Information zur Sub-Auftragsverarbeiter-Liste: Mit der Aufnahme von Microsoft Azure AI Foundry haben wir im Mai 2026 einen zusätzlichen Sub-Auftragsverarbeiter eingebunden (Art. 28 Abs. 2 DSGVO). Bestehende Kunden mit Auftragsverarbeitungsvertrag wurden hierüber separat informiert. Bei Fragen oder Widerspruch wenden Sie sich bitte an kontakt@viamind.ai.
Dokumenten-Texterkennung (Azure Document Intelligence)
Für eingescannte oder bildbasierte PDF-Anhänge, deren Text sich nicht zuverlässig direkt auslesen lässt, setzen wir – sofern für den jeweiligen Workflow aktiviert – den Dienst Azure AI Document Intelligence der Microsoft Ireland Operations Limited zur Texterkennung (OCR- und Layout-Analyse) ein.
- Übertragen wird der jeweilige PDF-Anhang zur Text- und Tabellenerkennung; zurückgegeben wird der erkannte Text.
- Hosting: Microsoft Azure Germany West Central (Deutschland) – die Verarbeitung bleibt innerhalb der Microsoft EU Data Boundary.
- Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist Bestandteil des Microsoft Online Services Data Protection Addendum (DPA).
- Kein Training: Die übermittelten Dokumente werden nicht zum Training von Modellen verwendet.
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Error-Tracking (Sentry)
Zur frühzeitigen Erkennung und Behebung technischer Fehler setzen wir das Error-Tracking-Tool der Functional Software, Inc. d/b/a Sentry ein. Die Verarbeitung erfolgt ausschließlich über das EU-Datacenter der Sentry-Plattform (Region Frankfurt am Main) und unterliegt einem Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
Welche Daten übertragen werden:
- Technische Fehler-Informationen (Stack-Trace, Fehler-Typ, betroffene Datei und Zeile, HTTP-Statuscode)
- Aufgerufene Route (z. B.
/api/workflows/[id]/execute) - Pseudonymisierte interne IDs zur Zuordnung von Fehlern zum betroffenen Kundenkonto und Benutzer (
customerId, interneuserId) - Browser-Informationen (User-Agent, Sprache) ohne IP-Adresse
- Zeitstempel des Fehlers
Welche Daten ausdrücklich NICHT übertragen werden:
- E-Mail-Inhalte, Anhänge, extrahierte Belegdaten
- OAuth-Tokens, SFTP-Zugangsdaten, sonstige Geheimnisse
- Session-Cookies und Authentifizierungs-Header
- IP-Adressen der Endnutzer
- Vollständige Anfrage- und Antwort-Bodies
Vor dem Versand jedes Events durchläuft der Inhalt einen Filtermechanismus, der bekannte sensitive Schlüsselnamen (z. B. password, token, body, attachment) automatisch durch [REDACTED] ersetzt. Session-Cookies werden vollständig entfernt.
Browser-seitige Kommunikation mit Sentry läuft über unsere eigene Domain (/monitoring) und nicht direkt zur Sentry-Cloud. Session-Replay (Video-artige Aufzeichnung von Nutzungssitzungen) ist vollständig deaktiviert.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen und sicheren Betrieb der Anwendung). Die Speicherdauer in Sentry beträgt 90 Tage, danach werden die Fehler-Daten automatisch gelöscht.
Kontaktaufnahme
Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben inklusive Kontaktdaten zum Zweck der Bearbeitung der Anfrage bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effektiven Bearbeitung von Anfragen).
Versand von System-E-Mails
Transaktions-E-Mails (z. B. Einladungen, Passwort-Zurücksetzen, Benachrichtigungen über getrennte Postfach-Verbindungen sowie Antworten auf Kontaktanfragen) versenden wir über Microsoft 365 / Microsoft Graph. Dabei werden die Empfänger-E-Mail-Adresse und der Inhalt der jeweiligen Nachricht verarbeitet. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. lit. f DSGVO (berechtigtes Interesse an betrieblichen Benachrichtigungen).
5Plattform-Administration
Als Betreiber der Plattform (viamind GmbH) verarbeiten wir bestimmte Nutzungsdaten zur Lizenzverwaltung, Sicherheitsüberwachung und zum Nutzungsmonitoring. Diese Verarbeitung betrifft ausschließlich Konten, die einem von uns verwalteten Kundenkonto zugeordnet sind.
Welche Daten werden verarbeitet?
- Zeitpunkt der letzten Anmeldung (
lastLoginAt) - Zeitpunkt der letzten Pipeline-Ausführung
- Name und E-Mail-Adresse der Mitglieder
- Plattform- und Kunden-Rolle
Zweck der Verarbeitung
Lizenzverwaltung (Überprüfung aktiver Nutzer pro Kundenkonto), Sicherheitsüberwachung (Erkennung inaktiver oder verwaister Konten) sowie Nutzungsmonitoring im Rahmen des Plattformbetriebs.
Zugriff
Diese Daten sind ausschließlich für globale Plattform-Admins der viamind GmbH einsehbar. Kunden-Admins sehen keine Aktivitätsdaten anderer Kunden.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und ordnungsgemäßen Verwaltung der Plattform).
Speicherdauer
Die Aktivitätsdaten werden für die Dauer des aktiven Nutzerkontos gespeichert. Nach Löschung des Kontos werden diese Daten innerhalb von 30 Tagen gelöscht. Es bestehen keine gesetzlichen Aufbewahrungspflichten (kein HGB- oder AO-Tatbestand) für Login-Zeitstempel.
6Ihre Rechte
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Bei Fragen zum Datenschutz wenden Sie sich bitte an: kontakt@viamind.ai