Verantwortlich für die Datenverarbeitung auf dieser Website und im Rahmen des Angebots von Kernflow ist:
Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
Falls Kernflow im Auftrag seiner Kunden personenbezogene Daten verarbeitet, kann Kernflow gegenüber diesen Kunden zusätzlich als Auftragsverarbeiter im Sinne von Art. 28 DSGVO tätig werden. In diesem Fall wird die Verarbeitung in einem Vertrag über Auftragsverarbeitung geregelt.
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung der Website, zur Bearbeitung von Anfragen, zur Durchführung vorvertraglicher Maßnahmen, zur Erbringung unserer Leistungen, zur Vertragserfüllung, zur Abrechnung, zur Kommunikation mit Kunden und Interessenten oder zur Wahrung berechtigter Interessen erforderlich ist.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu können insbesondere Name, E-Mail-Adresse, Telefonnummer, geschäftliche Kontaktdaten, IP-Adresse, Nutzungsdaten, Kommunikationsinhalte sowie Inhalte gehören, die in Arbeitsmaterialien, Transkripten, Skripten oder Content-Dokumenten enthalten sind.
Je nach Verarbeitung stützen wir uns auf folgende Rechtsgrundlagen:
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.
Anfragen per Formular, E-Mail oder Telefon speichern wir grundsätzlich für die Dauer der Bearbeitung und anschließend, soweit dies zur Nachverfolgung geschäftlicher Kommunikation erforderlich ist.
Vertrags- und abrechnungsrelevante Daten speichern wir entsprechend gesetzlicher Aufbewahrungsfristen in der Regel für sechs bis zehn Jahre.
Kundendaten, die im Rahmen von Kernflow verarbeitet werden, speichern wir grundsätzlich für die Dauer der Zusammenarbeit und löschen oder anonymisieren sie nach Ende der Zusammenarbeit, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen entgegenstehen. Konkrete Löschfristen können im Vertrag oder im Vertrag über Auftragsverarbeitung geregelt werden.
Sie haben im Rahmen der gesetzlichen Bestimmungen jederzeit das Recht auf Auskunft über Ihre gespeicherten personenbezogenen Daten. Außerdem haben Sie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen bestimmte Verarbeitungen.
Wenn eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt unberührt.
Außerdem haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig kann insbesondere die Aufsichtsbehörde an Ihrem Wohnsitz, Arbeitsplatz oder am Sitz der verantwortlichen Stelle sein.
Zuständige Aufsichtsbehörde für Kernflow ist die:
Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers mit „https://" beginnt.
Unsere Website wird bei folgendem Anbieter gehostet bzw. technisch bereitgestellt:
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.
Mit Hetzner liegt ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO vor.
Beim Besuch der Website werden durch den Hosting-Anbieter automatisch Server-Logfiles verarbeitet. Dazu können gehören:
Die Verarbeitung erfolgt, um die Website stabil, sicher und funktionsfähig bereitzustellen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technisch fehlerfreien, sicheren und effizienten Bereitstellung unseres Online-Angebots.
Unsere Website kann Cookies, lokale Speichertechnologien oder ähnliche Technologien verwenden. Technisch notwendige Cookies und Speicherzugriffe dienen der Bereitstellung grundlegender Websitefunktionen, etwa Sicherheit, Seitennavigation oder Formularfunktionen. Soweit Cookies oder vergleichbare Technologien nicht technisch erforderlich sind, setzen wir sie nur nach Ihrer Einwilligung ein.
Rechtsgrundlage für technisch notwendige Verarbeitungen ist Art. 6 Abs. 1 lit. f DSGVO. Soweit eine Einwilligung erforderlich ist, erfolgt die Speicherung oder der Zugriff auf Informationen im Endgerät auf Grundlage von § 25 Abs. 1 TDDDG und die anschließende Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO.
Ein Cookie-Consent-Tool setzen wir derzeit nicht ein. Nicht technisch notwendige Cookies oder Trackingtools kommen aktuell nicht zum Einsatz; es werden ausschließlich technisch notwendige Cookies bzw. Speicherzugriffe verwendet, die für die Bereitstellung grundlegender Websitefunktionen erforderlich sind.
Wenn Sie uns per E-Mail, Telefon, Kontaktformular oder Demo-Formular kontaktieren, verarbeiten wir die von Ihnen übermittelten Daten zur Bearbeitung Ihrer Anfrage. Dazu können insbesondere Name, Unternehmen, E-Mail-Adresse, Telefonnummer, Nachrichtentext, gewünschter Termin, Website, Social-Media-Profile und weitere freiwillig übermittelte Informationen gehören.
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern die Anfrage der Durchführung vorvertraglicher Maßnahmen oder der Vertragserfüllung dient. In allen übrigen Fällen erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der effizienten Bearbeitung eingehender Anfragen.
Ein gesondertes Kontakt- oder Demo-Formular setzen wir nicht ein. Terminanfragen und Erstkontakte laufen direkt über unseren Terminbuchungsanbieter Calendly; die entsprechenden Angaben zu Anbieter, Auftragsverarbeitung und Drittlandübermittlung finden Sie in Ziffer 11 und Ziffer 23 dieser Datenschutzerklärung.
Falls Sie über unsere Website einen Termin buchen, verarbeiten wir die dafür erforderlichen Daten. Dazu können Name, E-Mail-Adresse, Unternehmen, Telefonnummer, Terminwunsch, Zeitzone, Inhalt der Anfrage und technische Metadaten gehören.
Für die Terminbuchung verwenden wir den Anbieter Calendly, betrieben durch Calendly LLC, 271 17th St NW, Suite 1000, Atlanta, GA 30363, USA.
Mit Calendly liegt ein Auftragsverarbeitungsvertrag (Data Processing Addendum) vor, der automatisch Bestandteil der Calendly Customer Terms ist.
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, soweit der Termin der Vertragsanbahnung oder Vertragserfüllung dient. Im Übrigen erfolgt sie auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
Im Rahmen von Demo-Calls, Onboarding-Calls, Kunden-Workshops oder Support-Terminen können Video-Call-Tools eingesetzt werden. Dabei können Name, E-Mail-Adresse, Profilbild, Unternehmen, Gesprächsinhalte, Chatnachrichten, technische Verbindungsdaten sowie freiwillig geteilte Inhalte verarbeitet werden.
Falls Calls aufgezeichnet, transkribiert oder mit KI-gestützten Meeting-Tools zusammengefasst werden, erfolgt dies nur, wenn dies für den jeweiligen Zweck erforderlich ist oder eine entsprechende Einwilligung bzw. vertragliche Grundlage besteht. Betroffene Teilnehmer werden vor einer Aufzeichnung oder Transkription informiert.
Für Video-Calls setzen wir Zoom ein. Ergänzend nutzen wir das Meeting-Tool Fathom zur Erstellung von Aufzeichnungen und Transkripten.
Eine Aufzeichnung oder Transkription von Calls erfolgt nur, wenn die Teilnehmer zuvor ausdrücklich zugestimmt haben; die Zustimmung wird dokumentiert und ist auf der Aufzeichnung selbst erkennbar.
Mit Zoom liegt ein Auftragsverarbeitungsvertrag vor, der automatisch Bestandteil der Zoom-Nutzungsbedingungen ist. Mit Fathom liegt zum Zeitpunkt der Erstellung dieser Datenschutzerklärung noch kein gesondert unterzeichneter Auftragsverarbeitungsvertrag vor; dieser wird zeitnah abgeschlossen.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen Terminen, Art. 6 Abs. 1 lit. f DSGVO bei berechtigtem Interesse an effizienter Kommunikation und Dokumentation oder Art. 6 Abs. 1 lit. a DSGVO, sofern eine Einwilligung erforderlich ist.
Kernflow unterstützt Agenturen dabei, Content Research, Ideenfindung und Skriptvorbereitung für deren Kundenaccounts effizienter und strukturierter umzusetzen. Dafür können Kunden uns Inhalte und Arbeitsmaterialien bereitstellen oder über angebundene Systeme zugänglich machen.
Dabei können insbesondere folgende Daten verarbeitet werden:
Die Verarbeitung erfolgt zur Erbringung der vereinbarten Leistungen, insbesondere zur Erstellung von Content-Ideen, Skriptvorschlägen, Hook-Varianten, Content-Plänen, Briefings, Zusammenfassungen und Workflow-Ergebnissen.
Soweit Kernflow personenbezogene Daten im Auftrag eines Kunden verarbeitet, erfolgt die Verarbeitung auf Grundlage eines Vertrags über Auftragsverarbeitung gemäß Art. 28 DSGVO. Der Kunde bleibt in diesem Fall Verantwortlicher für die von ihm eingebrachten personenbezogenen Daten. Kernflow verarbeitet diese Daten nur nach Weisung des Kunden und nur zu den vereinbarten Zwecken.
Die entsprechenden Regelungen zur Auftragsverarbeitung sind Bestandteil unseres Kundenvertrags.
Kernflow verarbeitet die von Kunden bereitgestellten oder über das Kernflow-Tool eingespeisten Inhalte (insbesondere Transkripte, Skripte, Briefings, Brand-Voice-Vorgaben und Content-Performance-Daten) im Regelfall als Auftragsverarbeiter im Sinne von Art. 28 DSGVO, da Kernflow diese Daten weisungsgebunden zur Erstellung von Content-Ideen, Skriptvorschlägen und vergleichbaren Arbeitsresultaten verarbeitet. Für eigene Zwecke, etwa die Verwaltung der Vertragsbeziehung, Rechnungsstellung oder den Betrieb der Kernflow-Plattform, verarbeitet Kernflow personenbezogene Daten hingegen als eigenständig Verantwortlicher.
Kernflow kann KI-Systeme einsetzen, um aus bereitgestellten Informationen Content-Ideen, Skriptvorschläge, Hook-Varianten, Zusammenfassungen, Strukturierungen, Content-Pläne oder andere Arbeitsresultate zu erstellen.
Dabei können Inhalte an externe KI-Anbieter oder Modellanbieter übermittelt werden, sofern diese technisch für die Leistungserbringung erforderlich sind. Dies kann insbesondere Arbeitsmaterialien, Texte, Transkripte, Briefings, Brand Guidelines, Produktinformationen, Zielgruppeninformationen und sonstige vom Kunden bereitgestellte Inhalte betreffen.
Wir achten darauf, nur solche Daten zu verarbeiten, die für den jeweiligen Zweck erforderlich sind. Kunden sollten keine sensiblen Daten oder Daten besonderer Kategorien im Sinne von Art. 9 DSGVO bereitstellen, sofern dies nicht ausdrücklich erforderlich und rechtlich abgesichert ist.
Wir setzen KI-Systeme von Anthropic (Claude), OpenAI (ChatGPT/API) und Google (Gemini) jeweils im Rahmen bezahlter Business- bzw. API-Nutzung ein.
Nach den jeweiligen Geschäftsbedingungen der Anbieter werden die von uns über diese Business- bzw. API-Zugänge übermittelten Daten nicht zum Training der zugrunde liegenden KI-Modelle verwendet.
Mit den genannten Anbietern liegen Auftragsverarbeitungsverträge (Data Processing Addendum) nach Art. 28 DSGVO vor bzw. werden im Rahmen der jeweiligen Geschäftsbedingungen abgeschlossen.
Da es sich bei Anthropic, OpenAI und Google um Unternehmen mit Sitz bzw. Datenverarbeitung in den USA handelt, erfolgt die Datenübermittlung auf Grundlage von Standardvertragsklauseln gemäß Art. 46 DSGVO sowie, soweit die jeweilige Konzerngesellschaft entsprechend zertifiziert ist, ergänzend auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission im Rahmen des EU-U.S. Data Privacy Framework.
Die Verarbeitung erfolgt, soweit sie zur Leistungserbringung erforderlich ist, auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO oder im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO. Soweit wir KI-Systeme zur Produktverbesserung oder internen Optimierung verwenden, erfolgt dies nur im rechtlich zulässigen Rahmen und grundsätzlich mit minimierten, anonymisierten oder pseudonymisierten Daten, soweit möglich.
Für die interne Zusammenarbeit und Dokumentenablage setzen wir Google Workspace (insbesondere Google Drive und Google Docs) ein. Für die Projektorganisation nutzen wir Asana, für Automatisierungen und Systemanbindungen n8n, sowie ergänzend Google Sheets zur Verwaltung von Kontakt- und Lead-Daten.
Mit den genannten Anbietern liegen Auftragsverarbeitungsverträge nach Art. 28 DSGVO bzw. deren Standard-Auftragsverarbeitungsbedingungen vor.
Aktuell setzen wir keine Analyse- oder Marketingtools ein. Es findet daher keine Verarbeitung von IP-Adresse, Geräteinformationen, Browserinformationen, besuchten Seiten, Klicks, Referrern, Interaktionen oder Kampagnenparametern zu Analyse- oder Marketingzwecken statt. Ein Cookie- bzw. Consent-Banner ist entsprechend derzeit nicht im Einsatz, da hierfür keine Einwilligung einzuholen ist.
Die auf unserer Website verwendeten Schriftarten sind lokal auf unserem eigenen Server eingebunden. Es findet keine Verbindung zu externen Schriftarten-Anbietern wie Google Fonts oder Adobe Fonts statt, und es werden hierfür keine Daten an Dritte übertragen.
Wir binden Videos unseres YouTube-Kanals ein. Diese Einbindung erfolgt im erweiterten Datenschutzmodus von YouTube (über die Domain youtube-nocookie.com). Dadurch setzt YouTube beim bloßen Laden der Seite keine Cookies zur Analyse des Nutzerverhaltens; eine Verbindung zu Servern von Google wird jedoch bereits beim Laden der Seite technisch hergestellt, um das Video anzuzeigen, wobei unter anderem Ihre IP-Adresse übertragen werden kann. Erst mit dem aktiven Abspielen eines Videos können weitere Daten verarbeitet werden. Verantwortlich für diese Verarbeitung ist Google LLC bzw. Google Ireland Limited; zu den Grundlagen der Datenübermittlung an Google LLC in die USA siehe Ziffer 23 dieser Datenschutzerklärung.
Weitere externe Medien (z. B. Vimeo, Loom, Instagram, TikTok) sind derzeit nicht eingebunden. Eine gesonderte Einwilligung vor dem Laden der Videos wird aufgrund des erweiterten Datenschutzmodus derzeit nicht eingeholt; sollten wir künftig Medien ohne vergleichbare Datenschutzeinstellung einbinden, werden wir diese Einbindung entsprechend ergänzen und ggf. eine vorherige Einwilligung einholen.
Auf unserer Website ist ein Link zu unserem LinkedIn-Profil eingebunden. Der bloße Besuch unserer Website führt hierdurch zu keiner Datenübertragung an LinkedIn; erst mit dem aktiven Anklicken des Links verlassen Sie unsere Website und es gelten die Datenschutzbestimmungen von LinkedIn.
Zu eingebetteten YouTube-Videos auf unserer Website siehe Ziffer 18 dieser Datenschutzerklärung.
Aktuell setzen wir keinen gesonderten Newsletter- oder Marketing-Automation-Dienst ein. Ein regelmäßiger Newsletter-Versand findet derzeit nicht statt; entsprechend sind Fragen zu Double-Opt-in und einem Auftragsverarbeitungsvertrag mit einem Newsletter-Anbieter aktuell nicht einschlägig.
Geschäftliche Direktansprache im B2B-Kontext kann im Einzelfall auf Grundlage berechtigter Interessen erfolgen, sofern die gesetzlichen Voraussetzungen eingehalten werden und kein überwiegendes Interesse der betroffenen Person entgegensteht. Sie können einer solchen Verarbeitung jederzeit widersprechen.
Sofern Verträge mit Kernflow abgeschlossen werden, verarbeiten wir die für Angebot, Vertrag, Rechnungsstellung und Zahlungsabwicklung erforderlichen Daten. Dazu können insbesondere Name, Unternehmen, Rechnungsadresse, E-Mail-Adresse, Leistungsdaten, Vertragsdaten, Bankdaten, Zahlungsstatus und steuerlich relevante Informationen gehören.
Wenn Zahlungen über externe Zahlungsanbieter abgewickelt werden, können Daten an diese Anbieter übermittelt werden.
Die Rechnungsstellung erfolgt überwiegend gegen Zahlung per Banküberweisung. Ergänzend setzen wir den Zahlungsdienstleister Stripe ein (siehe Ziffer 23 zu Drittlandübermittlungen); eine Zahlung über PayPal ist in Einzelfällen möglich. Bei Zahlung per Vorkasse/Banküberweisung erfolgt keine Datenübermittlung an einen Zahlungsdienstleister; die Verarbeitung erfolgt insoweit ausschließlich durch die beteiligten Kreditinstitute in eigener Verantwortung.
Die Buchhaltung wird durch unseren Steuerberater unter Einsatz der Software DATEV durchgeführt. Der Steuerberater wird hierbei im Rahmen seiner gesetzlichen Verschwiegenheitspflicht eigenverantwortlich tätig und ist datenschutzrechtlich kein Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Ein Auftragsverarbeitungsvertrag ist daher weder mit dem Steuerberater noch mit DATEV erforderlich.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für Vertragsdurchführung und Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Aufbewahrungspflichten.
Wir geben personenbezogene Daten nur weiter, wenn dies zur Vertragserfüllung, zur technischen Bereitstellung, zur Bearbeitung von Anfragen, zur Abrechnung, zur Erfüllung gesetzlicher Pflichten oder auf Grundlage eines berechtigten Interesses erforderlich ist oder Sie eingewilligt haben.
Für Kernflow können insbesondere folgende Kategorien von Dienstleistern relevant sein:
Konkret setzen wir hierfür insbesondere folgende Dienstleister ein:
Analyse-, Marketing- und Newsletter-Tools setzen wir derzeit nicht ein.
Mit den genannten Dienstleistern liegen, soweit es sich datenschutzrechtlich um eine Auftragsverarbeitung handelt, Verträge über Auftragsverarbeitung gemäß Art. 28 DSGVO vor bzw. werden zeitnah abgeschlossen.
Wenn Dienstleister personenbezogene Daten in unserem Auftrag verarbeiten, schließen wir, soweit erforderlich, einen Vertrag über Auftragsverarbeitung gemäß Art. 28 DSGVO.
Einige der eingesetzten Dienstleister können ihren Sitz außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums haben oder Daten dort verarbeiten. In solchen Fällen erfolgt eine Übermittlung personenbezogener Daten nur, wenn hierfür eine geeignete datenschutzrechtliche Grundlage besteht, zum Beispiel ein Angemessenheitsbeschluss der EU-Kommission, Standardvertragsklauseln oder eine andere gesetzlich zulässige Garantie.
Im Einzelnen betrifft dies folgende von uns eingesetzte Dienstleister:
Wir treffen angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten gegen Verlust, Missbrauch, unbefugten Zugriff, Veränderung oder Offenlegung zu schützen. Dazu können insbesondere Zugriffsbeschränkungen, Rollen- und Rechtekonzepte, sichere Passwörter, Zwei-Faktor-Authentifizierung, verschlüsselte Übertragung, Protokollierung, regelmäßige Prüfung von Zugriffsrechten und sorgfältige Auswahl von Dienstleistern gehören.
Bei Kernflow ist besonders wichtig, dass Kundenmaterialien wie Skripte, Transkripte, Brand Guidelines und Content-Daten nicht unnötig breit intern geteilt werden. Zugriff erhalten grundsätzlich nur Personen, die ihn für Projektumsetzung, Support, Qualitätssicherung oder Administration benötigen.
Sie sind grundsätzlich nicht verpflichtet, uns personenbezogene Daten bereitzustellen. Für bestimmte Funktionen, Anfragen oder Leistungen sind bestimmte Daten jedoch erforderlich. Ohne diese Daten können wir Ihre Anfrage möglicherweise nicht bearbeiten oder unsere Leistungen nicht erbringen.
Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt. KI-gestützte Vorschläge, Analysen oder Skriptideen dienen der Unterstützung kreativer und operativer Prozesse. Rechtlich oder ähnlich erheblich wirkende Entscheidungen über Personen werden dadurch nicht automatisiert getroffen.
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich unsere Website, unsere Leistungen, eingesetzte Tools oder rechtliche Anforderungen ändern. Es gilt die jeweils auf der Website veröffentlichte Version.