Datenschutzerklärung

1. Verantwortlicher

• Melik Musinian
• FlowBrief Studio
• Posener Str. 17, 47055 Duisburg, Deutschland
• Telefon: +49 151 10607607
• E-Mail: melikmusinian@gmail.com

Grundsätze der Verarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website, zur Anbahnung oder Durchführung von Verträgen sowie zur gesetzlichen Dokumentationspflicht erforderlich ist.

Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb, Kommunikation und Produktentwicklung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten).

Sofern wir Sie um Einwilligung bitten, erfolgt die Verarbeitung auf Basis von Art. 6 Abs. 1 lit. a DSGVO. Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Automatisierte Entscheidungsfindungen einschließlich Profiling gemäß Art. 22 DSGVO finden nicht statt.

Hosting & Server-Logfiles (Vercel)

Unsere Website wird bei Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA gehostet.

Beim Aufruf der Website verarbeitet Vercel technische Logdaten (IP-Adresse, Zeitstempel, URL, Referrer, User-Agent, Statuscode), um die Auslieferung zu ermöglichen, Angriffe zu erkennen und die Stabilität sicherzustellen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Vercel handelt als Auftragsverarbeiter auf Basis von Standardvertragsklauseln bzw. Data Privacy Framework.

Logdaten werden in der Regel binnen 30 Tagen gelöscht, sofern kein Sicherheitsvorfall eine längere Aufbewahrung erfordert.

Backend, Datenbanken & Auth (Supabase, Render)

Für Registrierung, Authentifizierung (Magic-Link), Dashboards, Fragebögen und interne Nachrichten setzen wir Supabase (Hosted Postgres, Auth, Storage) ein.

Supabase verarbeitet u. a. E-Mail-Adressen, optionale Profilangaben, Fragebogendaten, Metadaten zu Anmeldungen (IP, Zeit, Device-Fingerprint) sowie Kommunikationsinhalte in unserem Auftrag. Row-Level-Security ist aktiviert.

Render Services Inc. (USA) wird optional für Edge-Funktionen und Hintergrundjobs genutzt (z. B. Vorverarbeitung ausgefüllter Fragebögen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der vereinbarten Leistungen) sowie Art. 6 Abs. 1 lit. f DSGVO (sichere und skalierbare Infrastruktur). Beide Anbieter setzen Standardvertragsklauseln ein.

Registrierung, Login & interne Kommunikation

Bei der Kontoerstellung speichern wir die von Ihnen angegebenen Daten (mindestens E-Mail, optional Name und Telefonnummer) sowie Nutzungsdaten wie Registrierungsdatum, letzte Anmeldung oder Projektstatus.

Beim Magic-Link-Login werden zur Missbrauchsvermeidung IP-Adresse, Zeit und Browserdaten protokolliert.

Interne Nachrichten im Dashboard werden gespeichert, bis das Projekt abgeschlossen ist oder Sie eine Löschung beantragen, sofern keine Aufbewahrungspflichten entgegenstehen.

Accounts und zugehörige Fragebögen werden nach 40 Tagen Inaktivität gelöscht oder anonymisiert, falls keine gesetzlichen Gründe für längere Speicherung bestehen.

Fragebögen & Projektbriefings

Nicht registrierte Nutzer:innen können Fragebögen temporär ausfüllen; die Daten werden nur verarbeitet, um das Formular darzustellen, und dauerhaft gespeichert erst bei Absenden einer Anfrage.

Registrierte Nutzer:innen können Fragebögen speichern, bearbeiten oder löschen; alle Eingaben werden in Supabase abgelegt, um Projektdaten verfügbar zu halten.

Wir behalten uns vor, nach vollständig ausgefüllten Fragebögen einmalig per E-Mail ein individuelles Angebot zu senden (Art. 6 Abs. 1 lit. f DSGVO). Dem können Sie jederzeit widersprechen.

Kontaktformulare, Support & Gmail

Anfragen über Kontaktformular, E-Mail oder Telefon werden zur Bearbeitung Ihres Anliegens verarbeitet. Pflichtangaben sind E-Mail-Adresse und Nachrichtentext; weitere Angaben sind freiwillig.

Wir setzen Google Workspace (Gmail) für den E-Mail-Verkehr ein. Google Ireland Limited bzw. Google LLC agiert dabei als eigener Verantwortlicher und verarbeitet Metadaten und Inhalte nach eigenen Datenschutzbestimmungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Kommunikation) bzw. Art. 6 Abs. 1 lit. f DSGVO (effiziente Kundenkommunikation).

Zahlungsabwicklung (Stripe, PayPal)

Für Online-Zahlungen nutzen wir Stripe Payments Europe Ltd./Stripe, Inc. sowie PayPal (Europe) S.à r.l. et Cie, S.C.A.

Bei einer Zahlung werden die eingegebenen Zahlungsdaten direkt von Stripe oder PayPal verarbeitet. Wir erhalten lediglich transaktionsrelevante Informationen (Betrag, Status, Zeitpunkt).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Die Zahlungsdienstleister verarbeiten Daten teilweise als eigenständige Verantwortliche und setzen eigene Sicherheitsmaßnahmen sowie ggf. Betrugsprävention ein (Art. 6 Abs. 1 lit. f DSGVO).

Fonts, CDNs & Social Links

Google Fonts werden lokal eingebunden, sodass beim Laden keine Verbindung zu Google-Servern entsteht.

Für bestimmte Skripte oder Iconsets können Content Delivery Networks wie jsDelivr oder unpkg genutzt werden. Dabei werden IP-Adresse und Browserdaten an den jeweiligen CDN-Betreiber übermittelt (Art. 6 Abs. 1 lit. f DSGVO). Wo möglich, liefern wir Assets lokal aus.

Links zu LinkedIn oder Facebook sind als einfache Social-Icons umgesetzt. Tracking beginnt erst nach Klick; die Plattformbetreiber sind eigenständige Verantwortliche.

Cookies & lokale Speicher

Wir setzen ausschließlich technisch notwendige Cookies beziehungsweise lokale Speicherobjekte ein, u. a. für Supabase-Sessions (JWT, Refresh-Token) und CSRF-Schutz.

Diese Cookies sind für die Nutzung der Plattform erforderlich und werden beim Logout oder spätestens nach sieben Tagen entfernt.

Optionale Cookies (Analyse oder Marketing) setzen wir derzeit nicht ein. Sollte sich dies ändern, holen wir zuvor eine Einwilligung über ein Consent-Tool ein.

Speicherdauer & Löschfristen

• Accounts, Fragebögen und interne Nachrichten: Löschung bzw. Anonymisierung nach 40 Tagen Inaktivität, sofern keine Aufbewahrungspflichten entgegenstehen.
• Vertrags-, Rechnungs- und Zahlungsdaten: Aufbewahrung bis zu 10 Jahren gemäß § 257 HGB und § 147 AO.
• Support-Tickets und Kommunikation: bis zu 12 Monate nach Abschluss des Vorgangs, falls kein Projekt zustande kommt.
• Server- und Sicherheitslogs (Vercel, Supabase, Render): üblicherweise 30 bis 90 Tage.

Pflicht zur Bereitstellung

Die Bereitstellung von Kontaktdaten, Fragebogendaten sowie Zahlungsinformationen ist für Vertragsabschluss, Angebotslegung und Projektumsetzung erforderlich.

Technische Logdaten sind zwingend notwendig, um die Website sicher bereitzustellen. Ohne entsprechende Angaben können wir einzelne Leistungen nicht anbieten.

Rechte der betroffenen Personen

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. e oder f DSGVO.

Erteilte Einwilligungen können Sie jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft widerrufen.

Widerspruch gegen Direktwerbung sowie gegen die Verarbeitung auf Grundlage unseres berechtigten Interesses können Sie formlos per E-Mail einlegen.

• Auskunft gemäß Art. 15 DSGVO
• Berichtigung gemäß Art. 16 DSGVO
• Löschung gemäß Art. 17 DSGVO
• Einschränkung der Verarbeitung gemäß Art. 18 DSGVO
• Datenübertragbarkeit gemäß Art. 20 DSGVO
• Widerspruch gemäß Art. 21 DSGVO

Beschwerderecht & Aufsichtsbehörde

Sie können sich jederzeit bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (Kavalleriestraße 2-4, 40213 Düsseldorf, https://www.ldi.nrw.de) beschweren.

Unabhängig davon stehen Ihnen die Rechtsbehelfe nach Art. 79 DSGVO zu.

Aktualisierung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sobald neue Funktionen, gesetzliche Anforderungen oder geänderte Dienstleister dies notwendig machen.

Stand: 18. November 2025

Empfänger & Drittlandübermittlungen