Zum Hauptinhalt springen

Datenschutzerklärung

Informationen zum Datenschutz und zur Verarbeitung personenbezogener Daten · Stand: Mai 2026 (zuletzt aktualisiert: Erweiterung der KI-Verarbeitung um Microsoft Azure AI Foundry als zweiten EU-Sub-Auftragsverarbeiter)

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie viamind Flow nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen entnehmen Sie der nachfolgenden Datenschutzerklärung.

Datenerfassung in dieser Anwendung

Wer ist verantwortlich? Die Datenverarbeitung erfolgt durch die viamind GmbH als Websitebetreiber. Die Kontaktdaten finden Sie im Abschnitt „Hinweis zur verantwortlichen Stelle“.

Wie erfassen wir Ihre Daten? Zum einen durch Angaben, die Sie uns aktiv mitteilen (z. B. bei der Registrierung oder beim Verknüpfen eines E-Mail-Postfachs). Zum anderen werden technische Daten (z. B. Browser, Betriebssystem, IP-Adresse) automatisch bei Serveranfragen erfasst.

Wofür nutzen wir Ihre Daten? Zur Bereitstellung und Verbesserung der Anwendung sowie zur Erfüllung des Nutzungsvertrags.

2. Hosting

Hetzner mit Coolify

Wir hosten diese Anwendung bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Wenn Sie die Anwendung nutzen, erfasst Hetzner verschiedene Logfiles inklusive Ihrer IP-Adresse. Details entnehmen Sie der Datenschutzerklärung von Hetzner: https://www.hetzner.com/de/rechtliches/datenschutz

Die Verwendung von Hetzner erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer zuverlässigen und sicheren Bereitstellung der Anwendung. Die Server befinden sich in Deutschland.

3. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Die Betreiber dieser Anwendung nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Hinweis zur verantwortlichen Stelle

Die verantwortliche Stelle für die Datenverarbeitung in dieser Anwendung ist:

viamind GmbH
Geschäftsführer: Jan Verhagen, Andres Andreas, Philipp Reitzmann
E-Mail: kontakt@viamind.ai

Speicherdauer

Für die wichtigsten Datenkategorien gelten klar definierte Aufbewahrungsfristen:

  • E-Mail-Inhalte (Body, Anhänge): maximal 30 Tage nach Eingang. HTML-Body und Anhänge werden bereits sofort nach erfolgreicher Pipeline-Verarbeitung entfernt; Plaintext und Metadaten folgen nach 30 Tagen automatisch durch unseren täglichen Retention-Job.
  • Verarbeitungs-Audit-Trail (Spur, welche Mail wann wie verarbeitet wurde, ohne Mail-Inhalt): 3 Jahre — zur Compliance und Nachvollziehbarkeit. Danach automatische Löschung.
  • LLM-Telemetrie (Token-Zahlen, Verarbeitungsdauer, Kosten, ohne Mail-Inhalt): 3 Jahre.
  • Account-Daten und OAuth-Tokens: bis Sie den Account löschen bzw. die Verbindung trennen.

Hintergrund: Die Original-E-Mails verbleiben in Ihrem Gmail- oder Outlook-Postfach — wir sind nicht das System of Record. Unsere lokale Kopie brauchen wir nur für ein kurzes Debug-Fenster und wird daher bewusst nur kurz gespeichert.

Wenn Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung zur Datenverarbeitung widerrufen, werden Ihre Daten entsprechend gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung haben.

Selbst-Verwaltung des Mail-Lebenszyklus

In der App stehen Ihnen folgende Aktionen pro E-Mail zur Verfügung, um den Mail-Lebenszyklus selbst zu steuern:

  • In Papierkorb verschieben: Mail-Inhalt wird sofort entfernt, der Datensatz bleibt 30 Tage wiederherstellbar.
  • Wiederherstellen: aus dem Papierkorb-Tab zurück in die Mail-Liste; der vorherige Pipeline-Status wird aus dem Audit-Trail rekonstruiert.
  • Endgültig löschen (DSGVO-Forget): die Mail wird unwiderruflich aus unseren Systemen entfernt und nie wieder importiert, auch wenn sie noch in Ihrem Postfach liegt. Es bleibt nur ein anonymisierter technischer Tombstone als Re-Import-Schutz — kein Mail-Inhalt, keine Klassifikation.
  • Hart zurücksetzen: Mail wird komplett aus unserer Datenbank entfernt und beim nächsten Pipeline-Lauf vom Provider neu importiert und frisch verarbeitet.
  • Neu analysieren: die Klassifikation wird verworfen und beim nächsten Pipeline-Lauf erneut durchgeführt — nützlich nach Konfigurations-Änderungen am Workflow.
  • Verlauf einsehen:pro Mail steht eine chronologische Aufstellung aller Verarbeitungsschritte und manuellen Eingriffe zur Verfügung. Workflow-weite Übersicht unter „Protokoll“.

Widerruf Ihrer Einwilligung zur Datenverarbeitung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

4. Datenerfassung in dieser Anwendung

Server-Log-Dateien

Der Provider der Anwendung erhebt und speichert automatisch Informationen in Server-Log-Dateien, die Ihr Browser automatisch übermittelt:

  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

Nutzerkonten & Authentifizierung

Bei der Registrierung und Nutzung von viamind Flow speichern wir folgende personenbezogene Daten:

  • E-Mail-Adresse (Pflichtfeld, dient als Anmelde-Kennung)
  • Passwort (als bcrypt-Hash gespeichert, nicht im Klartext)
  • Sitzungsdaten (JWT-Token, gültig für 30 Tage, im HTTP-only-Cookie)
  • Zeitstempel der Registrierung
  • Zeitstempel der letzten Anmeldung (zur Lizenzverwaltung und Systemsicherheit)

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

E-Mail-Anbindungen (Gmail & Outlook)

viamind Flow ermöglicht die Anbindung externer E-Mail-Postfächer über OAuth 2.0 (Google Gmail API, Microsoft Graph API). Dabei werden folgende Daten gespeichert:

  • OAuth Access Token und Refresh Token (AES-256-GCM verschlüsselt in der Datenbank)
  • E-Mail-Adresse des verbundenen Postfachs
  • Ablaufzeitpunkt des Access Tokens

Gmail-Berechtigungen (Scopes): Wir fordern ausschließlich folgende Berechtigungen an:

  • gmail.readonly – E-Mails lesen
  • gmail.modify – Labels setzen, Archivieren, Verschieben (auf explizite Nutzer-Anweisung)
  • gmail.labels – Labels verwalten
  • gmail.send – E-Mails weiterleiten (Fwd:, auf explizite Nutzer-Anweisung)

Importierte E-Mails (Betreff, Absender, Empfänger, Textinhalt, Anhänge) werden in unserer Datenbank gespeichert, um die KI-Analyse und Workflow-Verarbeitung zu ermöglichen. Es werden nur explizit vom Nutzer importierte E-Mails gespeichert. Auf Basis konfigurierter Workflow-Regeln können folgende Aktionen automatisiert ausgeführt werden: Archivieren, Verschieben, Labels setzen, Löschen sowie Weiterleiten (Fwd:) an eine konfigurierte Empfängeradresse.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Ihrer ausdrücklichen Einwilligung beim Verbinden des Postfachs.

Sie können die OAuth-Verbindung jederzeit in den Einstellungen trennen. Wir empfehlen zusätzlich, den Zugriff direkt in Ihrem Google-Konto bzw. im Microsoft-Konto zu widerrufen.

SFTP-Export

viamind Flow ermöglicht den Export transformierter E-Mail-Daten auf nutzer-konfigurierte SFTP-Server. Dabei werden folgende Daten gespeichert:

  • SFTP-Zugangsdaten (Hostname, Port, Nutzername, Passwort/ SSH-Fingerprint) – AES-256-GCM verschlüsselt in der Datenbank
  • Exportprotokolle (Dateiname, Zeitstempel, Status)

Der Export erfolgt ausschließlich auf explizite Nutzer-Anweisung (manuell oder als konfigurierter Workflow-Schritt). Der SFTP-Server kann sich außerhalb der EU befinden – die Verantwortung für die Wahl des Zielsystems und die entsprechenden Drittland-Transfers liegt beim Nutzer (Art. 44 ff. DSGVO).

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

KI-Verarbeitung (zentral verwaltete LLM-Anbieter)

EUDatenverarbeitung ausschließlich auf EU-Servern (Deutschland und Schweden)

Zur KI-gestützten Analyse und Verarbeitung von E-Mail-Inhalten betreibt viamind Flow zwei zentral verwaltete LLM-Anbieter. Der jeweilige Anbieter wird pro Workflow bzw. pro Kategorie/ Transformation gewählt; bei Standard-Konfiguration läuft alles über den voreingestellten Anbieter. Übertragen werden in beiden Fällen: E-Mail-Betreff, Textinhalt, ggf. extrahierter Anhangstext.

a) Langdock GmbH (Deutschland) — Anthropic Claude

  • Verwendet für die Modell-Familie Anthropic Claude (z. B. Claude Haiku 4.5, Claude Sonnet 4.6)
  • Hosting: Langdock betreibt die Inferenz auf Microsoft Azure West Europe / Frankfurt — Daten bleiben in der EU
  • Sub-Auftragsverarbeiter: Anthropic, eingebunden über Langdock (kein direkter Vertrag zwischen viamind und Anthropic)
  • Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit Langdock GmbH besteht
  • Kein Training: Die übermittelten Daten werden vertraglich ausgeschlossen vom Training der zugrundeliegenden Sprachmodelle verwendet

b) Microsoft Ireland Operations Limited — Azure AI Foundry

  • Verwendet für die OpenAI GPT-Modell-Familie (z. B. GPT-4o mini, GPT-5 mini)
  • Hosting: Microsoft Azure Sweden Central im Data Zone Standard (EU) — Inputs, Outputs und Modell-Inferenz bleiben innerhalb der Microsoft EU Data Boundary
  • Sub-Auftragsverarbeiter: OpenAI L.L.C., eingebunden über Microsoft als „Azure OpenAI“-Service (kein direkter Vertrag zwischen viamind und OpenAI)
  • Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist Bestandteil des Microsoft Online Services Data Protection Addendum (DPA)
  • Kein Training: Microsoft garantiert vertraglich, dass Customer-Daten im Azure-OpenAI-Service nicht zum Training der OpenAI-Modelle oder anderer Microsoft-Modelle verwendet werden

Modell-Auswahl pro Anbieter: Über Microsoft Azure beziehen wir ausschließlich OpenAI-Modelle (GPT-Familie). Anthropic Claude läuft ausschließlich über Langdock. Anbieter- oder Modell-Wechsel werden in dieser Datenschutzerklärung dokumentiert.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Wir empfehlen, keine besonders sensiblen personenbezogenen Daten (z. B. Gesundheitsdaten, Bankgeheimnisse) über die Plattform zu verarbeiten.

Information zur Sub-Auftragsverarbeiter-Liste: Mit der Aufnahme von Microsoft Azure AI Foundry haben wir im Mai 2026 einen zusätzlichen Sub-Auftragsverarbeiter eingebunden (Art. 28 Abs. 2 DSGVO). Bestehende Kunden mit Auftragsverarbeitungsvertrag wurden hierüber separat informiert. Bei Fragen oder Widerspruch wenden Sie sich bitte an kontakt@viamind.ai.

Kontaktaufnahme

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben inklusive Kontaktdaten zum Zweck der Bearbeitung der Anfrage bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effektiven Bearbeitung von Anfragen).

5. Plattform-Administration

Als Betreiber der Plattform (viamind GmbH) verarbeiten wir bestimmte Nutzungsdaten zur Lizenzverwaltung, Sicherheits­überwachung und zum Nutzungsmonitoring. Diese Verarbeitung betrifft ausschließlich Konten, die einem von uns verwalteten Kundenkonto zugeordnet sind.

Welche Daten werden verarbeitet?

  • Zeitpunkt der letzten Anmeldung (lastLoginAt)
  • Zeitpunkt der letzten Pipeline-Ausführung
  • Name und E-Mail-Adresse der Mitglieder
  • Plattform- und Kunden-Rolle

Zweck der Verarbeitung

Lizenzverwaltung (Überprüfung aktiver Nutzer pro Kundenkonto), Sicherheitsüberwachung (Erkennung inaktiver oder verwaister Konten) sowie Nutzungsmonitoring im Rahmen des Plattformbetriebs.

Zugriff

Diese Daten sind ausschließlich für globale Plattform-Admins der viamind GmbH einsehbar. Kunden-Admins sehen keine Aktivitätsdaten anderer Kunden.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und ordnungsgemäßen Verwaltung der Plattform).

Speicherdauer

Die Aktivitätsdaten werden für die Dauer des aktiven Nutzerkontos gespeichert. Nach Löschung des Kontos werden diese Daten innerhalb von 30 Tagen gelöscht. Es bestehen keine gesetzlichen Aufbewahrungspflichten (kein HGB- oder AO-Tatbestand) für Login-Zeitstempel.

6. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Bei Fragen zum Datenschutz wenden Sie sich bitte an: kontakt@viamind.ai