DSGVO Art. 13/14 · Version 2.0 · Gültig ab 2026-05-02
Datenschutzerklärung
Stand: 2026-05-02 · Version 2.0
Diese Datenschutzerklärung informiert dich gemäß Art. 13 + 14 DSGVO über die Verarbeitung personenbezogener Daten beim Besuch und der Nutzung der SaaS-Plattform NMS Flow (https://flow.nms.de).
1. Verantwortlicher
New Media Service GmbH Maggistr. 5, 78224 Singen, Deutschland HRB 731293 (Amtsgericht Freiburg im Breisgau) USt-IdNr: DE 281 555 447 Vertretungsberechtigte Geschäftsführer: Jan Emmerich, Daniel Penninger E-Mail: flow@nms.de · Telefon: +49 6201 26014 0 Datenschutz-Kontakt: flow@nms.de
2. Datenverarbeitungs-Übersicht
2.1 Beim Besuch der Marketing-Website (öffentliche Seiten)
| Datenart | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| IP-Adresse, User-Agent, Referrer | Server-Logs, Sicherheits-Monitoring | Art. 6 Abs. 1 lit. f (berechtigtes Interesse: Stabilität + Sicherheit) | 7 Tage in Vercel-Logs |
| __vdpl-Cookie (httpOnly, sameSite=strict) | Skew-Protection für Server-Actions nach Redeploy | Art. 6 Abs. 1 lit. f (technisch notwendig) | 24 Stunden |
| Speed-Insights / Web-Analytics (privacy-first, kein Cookie) | Core Web Vitals (LCP, INP, CLS), aggregierte Pageviews | Art. 6 Abs. 1 lit. f (berechtigtes Interesse: Performance-Optimierung) | 25.000 Events/Monat aggregiert |
| Sentry Error-Tracking | Fehleranalyse, Stabilität | Art. 6 Abs. 1 lit. f | bis zu 90 Tage |
Kein Tracking, keine Werbe-Cookies, keine Profile-Building-Cookies.
2.2 Bei Account-Erstellung + Login
| Datenart | Zweck | Rechtsgrundlage | Speicherdauer | |---|---|---|---| | E-Mail-Adresse, Name | Account, Identifizierung, Tenant-Resolution | Art. 6 Abs. 1 lit. b (Vertragserfüllung) | bis zur Account-Löschung | | Microsoft-Tenant-ID, Microsoft-OAuth-Tokens | Microsoft-365-Integration für Workflows (Email-Triage, Meeting-Briefings) | Art. 6 Abs. 1 lit. b | bis zum Widerruf des Consents oder Account-Löschung | | Tenant-Stammdaten (Firmenname, Adresse, USt-IdNr) | Vertragserfüllung, Rechnungsstellung, AVV | Art. 6 Abs. 1 lit. b + lit. c (steuerrechtliche Pflicht) | 10 Jahre nach Vertragsende (HGB/AO) | | IP-Adresse beim Login | Audit-Log, Sicherheits-Forensik | Art. 6 Abs. 1 lit. f | 90 Tage in Audit-Log |
2.3 Beim Nutzen der Plattform-Workflows
| Workflow | Daten | Speicherdauer | Besonderheit | |---|---|---|---| | Email-Triage | E-Mail-Inhalte, Klassifikations-Metadaten, Drafts, Stilmuster | bis Workflow-Deaktivierung | Daten bleiben in Customer-Mailbox, NMS speichert nur Klassifikations-Records (anonymisiert) | | Meeting-Briefing | Kalender-Daten, Mailverlauf | nur zur Laufzeit, kein Persistent-Storage | Briefing-Output wird direkt an Customer-Email gesendet | | Lead-Discovery | Eingegebene Such-Queries, generierte Profile | bis Workflow-Deaktivierung | Quellen sind öffentlich (Linkedin, Companies House, Crefo) | | AI-Chatbot | Konversations-Inhalt, Email-Hash (SHA-256) | konfigurierbar 0–365 Tage (Default 30) | Pseudonymisierte Email, EU-only LLM-Inferenz |
2.4 Profiling + automatisierte Entscheidungsfindung (Art. 22 DSGVO)
NMS Flow nutzt automatisierte Klassifikation für Email-Triage (Kategorien: Dringend / Aktion erforderlich / Information / Spam) und für AI-Drafts. Diese stellt keine "automatisierte Entscheidung im Einzelfall mit rechtlicher Wirkung" im Sinne des Art. 22 DSGVO dar, weil:
- Klassifikation ist nur Vorschlag — Mails landen in Ordnern, nicht gelöscht oder beantwortet
- AI-Drafts sind Entwürfe zur Freigabe durch User, kein Auto-Send
- User kann jede automatisierte Entscheidung jederzeit manuell überschreiben (Mail zurück in Posteingang ziehen → System lernt "Hands off")
- Override-Detection-Cron erkennt manuelle Korrekturen und respektiert sie
Falls künftig ein Workflow eingeführt wird, der unter Art. 22 fällt, wird die Datenschutzerklärung vorab um eine Major-Version-Bumps (mit 14-Tage-Re-Acceptance-Frist) aktualisiert.
3. Empfänger der Daten (Sub-Prozessoren)
Personenbezogene Daten werden ausschließlich an Sub-Auftragsverarbeiter innerhalb der EU/des EWR übermittelt. Die vollständige Liste mit Region und DSGVO-Status ist abrufbar unter:
https://flow.nms.de/legal/subprocessors
Übersicht:
- Vercel (EU-Region
fra1) — Hosting + Compute - Neon Postgres (Frankfurt) — Datenbank
- Mailgun EU — Transactional E-Mails
- Upstash Redis (EU) — Rate-Limiting
- Microsoft Graph — M365-Mailbox-API (Customer-Tenant-Region)
- Anthropic via AWS Bedrock (Frankfurt) — AI-Inference Claude
- OpenAI EU (Irland) — AI-Inference GPT-4o-mini
- Google Vertex AI (EU-Region) — AI-Inference Gemini
- Sentry (de.sentry.io, Frankfurt) — Error-Tracking
- n8n.cloud (EU) — Workflow-Execution
4. Drittländer
Eine Übermittlung in Drittländer (außerhalb EU/EWR) findet nicht statt. Die DSGVO-Allowlist im Code blockt explizit Anbieter wie Kimi/Moonshot, Qwen, Baidu, DeepSeek, Zhipu, Yi, 01-ai (alle nicht-EU).
Sollte ausnahmsweise eine Drittlandübermittlung erforderlich werden, geschieht dies ausschließlich auf Basis der EU-Standardvertragsklauseln (SCC) oder eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO.
5. Rechte der Betroffenen
Du hast jederzeit das Recht auf:
| Recht | Wie ausüben |
|---|---|
| Auskunft (Art. 15) | Self-Service unter /app/data zeigt alle gespeicherten Daten-Kategorien |
| Berichtigung (Art. 16) | Self-Service in der Plattform oder per E-Mail an flow@nms.de |
| Löschung (Art. 17) | Chatbot-Konversationen Self-Service unter /app/settings. Vollständige Tenant-Löschung per E-Mail mit Betreff "DSGVO Art. 17 Löschung" |
| Einschränkung (Art. 18) | Per E-Mail an flow@nms.de |
| Datenübertragbarkeit (Art. 20) | Self-Service-Datenexport unter /app/settings bzw. /api/account/data-export; auf Anfrage zusätzlich per E-Mail |
| Widerspruch (Art. 21) | Account-Cancellation in /app/settings oder per E-Mail |
| Widerruf Einwilligung (Art. 7 Abs. 3) | Microsoft-Consent-Widerruf in /app/onboarding/setup Step 2 |
| Beschwerde (Art. 77) | Aufsichtsbehörde Land Baden-Württemberg: Lautenschlagerstraße 20, 70173 Stuttgart |
Antworten auf Anträge erfolgen binnen eines Monats nach Eingang.
6. Cookies + lokale Speicherung
NMS Flow setzt nur technisch notwendige Cookies / LocalStorage-Items und keine Tracking-/Werbe-Cookies. Daher kein Consent-Banner zwingend, lediglich ein Hinweis-Banner beim Erstbesuch.
| Name | Typ | Zweck | Lifetime |
|---|---|---|---|
| __vdpl | Cookie (httpOnly, secure, sameSite=strict) | Vercel-Skew-Protection (User bleibt auf Build-Deployment) | 24h |
| authjs.session-token | Cookie (httpOnly, secure, sameSite=lax) | NextAuth-Session-JWT | 30 Tage (täglich rotiert) |
| authjs.csrf-token | Cookie (httpOnly, secure) | NextAuth CSRF-Schutz | Session |
| authjs.callback-url | Cookie (httpOnly, secure) | OAuth-Redirect-Speicherung | 5 Min |
| nms-flow-chatbot-consent-v1 | LocalStorage | Chatbot-DSGVO-Banner-Bestätigung | persistent (User-widerrufbar) |
| nms-flow-chatbot-conv-id-v1 | LocalStorage | Chatbot-Konversations-Continuity | persistent (Reset-Button im Chatbot) |
| nms-cookie-banner-dismissed | LocalStorage | Cookie-Banner-Dismiss-State | persistent |
7. Datensicherheit (Art. 32 DSGVO)
Die technischen + organisatorischen Maßnahmen (TOMs) sind in Anlage 2 der AVV ausführlich dokumentiert (/legal/dpa).
Kurzüberblick:
- Postgres FORCE ROW LEVEL SECURITY mit Tenant-Isolation
- AES-256-GCM Verschlüsselung mit Tenant-AAD-Binding für sensible Daten
- TLS 1.3 für alle externen Verbindungen
- HSTS mit Preload-Liste
- HMAC-Signatur-Verifikation für Webhooks
- Multi-Faktor-Authentifizierung für NMS-Mitarbeiter-Zugriffe
- Audit-Log mit 10-Jahres-Aufbewahrung
- EU-only Datenfluss mit harter Allowlist-Validierung
8. Änderungen dieser Datenschutzerklärung
NMS behält sich das Recht vor, diese Datenschutzerklärung anzupassen, wenn dies durch Änderungen der Rechtslage oder der angebotenen Dienstleistungen erforderlich wird.
Bei wesentlichen Änderungen (Major-Version-Bumps wie z. B. Hinzunahme einer neuen Datenkategorie) erhält der Tenant-Admin 15 Tage Vorlauf-Notification per E-Mail + In-App-Banner. Bei AVV-relevanten Änderungen zusätzlich 14-Tage-Re-Acceptance-Pflicht (sonst Workflow-Pause).
Die jeweils aktuelle Version ist abrufbar unter https://flow.nms.de/legal/privacy.
9. Kontakt
Bei Fragen zur Datenverarbeitung, zum Widerruf von Einwilligungen oder zur Wahrnehmung deiner Rechte:
E-Mail: flow@nms.de Brief: New Media Service GmbH, Datenschutz, Maggistr. 5, 78224 Singen
Content-Hash (SHA-256, erste 16 Zeichen): 97a40498847dbf19…