Zum Inhalt springen
← Zurück zur Startseite

Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

embedflow UG (haftungsbeschränkt)
Geschäftsführer: Alexander Wagenleitner, Emre Nasuhoglu
Rossinistraße 3
85057 Ingolstadt
Deutschland

E-Mail: kontakt@embedflow.de

Wenn Sie Fragen zum Datenschutz haben, können Sie sich jederzeit an uns wenden.

2. Überblick der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

  • Bestandsdaten (z. B. Namen, Adressen)
  • Kontaktdaten (z. B. E-Mail, Telefonnummer)
  • Inhaltsdaten (z. B. Texteingaben, Nachrichteninhalte)
  • Nutzungsdaten (z. B. besuchte Webseiten, Zugriffszeiten)
  • Meta-/Kommunikationsdaten (z. B. Geräte-Informationen, IP-Adressen)

Kategorien betroffener Personen

  • Besucher und Nutzer der Website
  • Kommunikationspartner (E-Mail-Kontakt)
  • Geschäfts- und Vertragspartner

3. Maßgebliche Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten. Zusätzlich gelten die Bestimmungen des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG).

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / § 25 Abs. 1 TDDDG) — Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten bzw. in den Zugriff auf Informationen in ihrem Endgerät gegeben.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Die Verarbeitung ist zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.
  • Technische Notwendigkeit (§ 25 Abs. 2 Nr. 2 TDDDG) — Der Zugriff auf Informationen in der Endeinrichtung des Nutzers ist unbedingt erforderlich, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Dienst bereitstellen kann.

4. Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den Maßnahmen gehören insbesondere:

  • TLS/SSL-Verschlüsselung der gesamten Datenübertragung
  • Regelmäßige Sicherheitsupdates der eingesetzten Software
  • Zugriffsbeschränkung auf personenbezogene Daten nach dem Need-to-know-Prinzip
  • Hosting der Webanwendung ausschließlich in deutschen Rechenzentren. Externe KI-Dienstleister, die im Rahmen des KI-Chatbots eingesetzt werden, sind in Abschnitt 7 gesondert aufgeführt.

5. Bereitstellung des Onlineangebots und Webhosting

Wir verarbeiten die Daten der Nutzer, um ihnen unsere Online-Dienste zur Verfügung stellen zu können. Zu diesem Zweck verarbeiten wir die IP-Adresse des Nutzers, die notwendig ist, um die Inhalte und Funktionen unserer Online-Dienste an den Browser bzw. das Endgerät der Nutzer zu übermitteln.

Erhobene Daten (Server-Logfiles)

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Datei
  • Website, von der aus der Zugriff erfolgt (Referrer-URL)
  • Verwendeter Browser und ggf. Betriebssystem
  • Name Ihres Access-Providers

Die Server-Logfiles werden nach spätestens 7 Tagen automatisch gelöscht.

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — Sicherstellung des Betriebs und der Sicherheit der Website.

Hosting-Anbieter

Diese Website wird bei Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, gehostet. Hetzner verarbeitet Ihre Daten in unserem Auftrag und nur nach unserer Weisung. Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO wurde geschlossen. Alle Server befinden sich in Deutschland. Weitere Informationen finden Sie in der Datenschutzerklärung von Hetzner.

6. Kontaktaufnahme

Bei der Kontaktaufnahme mit uns — per E-Mail oder über das Kontaktformular auf unserer Website — werden Ihre Angaben zur Bearbeitung der Anfrage und deren Abwicklung verarbeitet.

6.1 Kontaktformular

Unser Kontaktformular erhebt folgende Daten:

  • Name und E-Mail-Adresse (Pflichtfelder)
  • Unternehmen, Interessenbereich und Nachricht (freiwillige Angaben)
  • Herkunftsseite (technisch ermittelt, z. B. "embedflow.de")

Beim Absenden des Formulars wird Ihre IP-Adresse zur Missbrauchsprävention (Rate-Limiting: max. 5 Anfragen pro 15 Minuten pro IP) kurzfristig im Arbeitsspeicher verarbeitet und nicht dauerhaft gespeichert.

Nach dem Absenden erhalten Sie eine automatische Bestätigungs-E-Mail an die von Ihnen angegebene Adresse. Ihre Anfrage wird per E-Mail an kontakt@embedflow.de weitergeleitet. Der E-Mail-Versand erfolgt über unsere eigene SMTP-Infrastruktur bei unserem Hosting-Anbieter in Deutschland (siehe Abschnitt 5).

6.2 E-Mail-Kontakt

Bei direkter E-Mail-Kontaktaufnahme werden die von Ihnen mitgeteilten Daten (Name, E-Mail-Adresse, Nachrichteninhalt) verarbeitet.

Empfänger: Die Geschäftsführer der embedflow UG (haftungsbeschränkt) als Bearbeiter der Anfragen. Der technische E-Mail-Versand erfolgt über unseren Hosting-Anbieter als Auftragsverarbeiter (siehe Abschnitt 5). Darüber hinaus erfolgt keine Weitergabe an Dritte.

Rechtsgrundlage: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 lit. b DSGVO). Soweit die Anfrage nicht auf einen Vertragsschluss gerichtet ist, verarbeiten wir die Daten auf Grundlage unserer berechtigten Interessen an der ordnungsgemäßen Bearbeitung von Anfragen und der Qualitätssicherung unserer Kommunikation (Art. 6 Abs. 1 lit. f DSGVO). Die IP-basierte Missbrauchsprävention erfolgt auf Grundlage unseres berechtigten Interesses am Schutz unserer Systeme vor Spam und Überlastung (Art. 6 Abs. 1 lit. f DSGVO).

Speicherdauer: Wir löschen die Anfragen, sofern diese nicht mehr erforderlich sind. Wir überprüfen die Erforderlichkeit alle zwei Jahre. Gesetzliche Archivierungspflichten (6 bzw. 10 Jahre nach HGB/AO) bleiben unberührt.

Erforderlichkeit der Bereitstellung: Die Angabe von Name und E-Mail-Adresse ist zur Bearbeitung Ihrer Anfrage erforderlich. Ohne diese Angaben können wir Ihre Anfrage nicht entgegennehmen und beantworten. Alle weiteren Angaben (Unternehmen, Interessenbereich, Nachricht) sind freiwillig.

6.3 Chatbot auf der Website

Wenn Sie den Chatbot nutzen, verarbeiten wir Ihre Chatnachrichten, technische Sitzungsdaten und freiwillig mitgeteilte Kontaktdaten wie Name, E-Mail-Adresse oder Telefonnummer zur Beantwortung Ihrer Anfrage, zur Bereitstellung des Gesprächsverlaufs und zur Qualitätssicherung.

Chatnachrichten werden für bis zu 90 Tage gespeichert. Wenn Sie Kontaktdaten im Chat nennen und eine Anfrage an uns richten, speichern wir diese Angaben als Lead, damit unser Team antworten kann. Die Angabe von Kontaktdaten ist freiwillig; ohne Kontaktdaten können wir jedoch keine persönliche Rückmeldung außerhalb des Chats geben.

LLM-Anfragen werden über Mistral in der EU verarbeitet. Für Embeddings und Reranking nutzen wir Cohere in der EU. Hosting und Datenbankbetrieb erfolgen über unsere Infrastruktur in Deutschland. Sprachnachrichten werden nur zur Transkription verarbeitet; dauerhaft gespeichert wird das Transkript wie eine Chatnachricht.

7. Cookies, lokale Speicherung und Endgerätezugriff

Gemäß § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) holen wir Ihre Einwilligung ein, bevor wir nicht-essenzielle Informationen auf Ihrem Endgerät speichern oder darauf zugreifen. Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Footer dieser Website ändern oder widerrufen.

7.1 Essenzielle Speicherung (ohne Einwilligung)

Die folgenden Speichervorgänge sind technisch unbedingt erforderlich gemäß § 25 Abs. 2 Nr. 2 TDDDG und bedürfen keiner Einwilligung:

NameTypZweckDauer
ef-themelocalStorageSpeichert Ihre Auswahl zwischen hellem und dunklem Design. Wird ausschließlich lokal gespeichert und nicht an uns übermittelt.Unbegrenzt
ef-consentlocalStorageSpeichert Ihre Cookie-Einstellungen (welche Kategorien Sie akzeptiert haben) versioniert ab. Enthält keine personenbezogenen Daten.Unbegrenzt

7.2 Analyse-Cookies (mit Einwilligung)

Wir verwenden Google Analytics 4 (GA4) über den Google Tag Manager (GTM) zur Analyse der Websitenutzung. Der Tag Manager wird gemäß Google Consent Mode v2 stets mit allen Speicher-Feldern auf denied initialisiert, bevor irgendein Tag feuert. Solange Sie nicht zugestimmt haben, werden keine Analyse-Cookies gesetzt und keine personenbezogenen Ereignisse an GA4 weitergeleitet — nur DSGVO-konforme Cookieless-Pings mit ads_data_redaction und url_passthrough. Erst wenn Sie im Cookie-Banner der Kategorie „Analyse“ zustimmen, schalten wir analytics_storage auf granted und GA4 darf Daten erheben. Bei Widerruf wird der Wert sofort zurück auf denied gesetzt.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Verarbeitete Daten: Nutzungsdaten (besuchte Seiten, Verweildauer, Absprungraten), Geräte- und Browserinformationen, ungefährer Standort (auf Stadtebene), Referrer-URL. Die IP-Adresse wird von Google anonymisiert (IP-Anonymisierung ist in GA4 standardmäßig aktiviert).

DienstCookie/IDZweckDauer
Google Analytics 4_gaUnterscheidung eindeutiger Nutzer2 Jahre
Google Analytics 4_ga_*Speicherung des Sitzungsstatus2 Jahre

Datenübermittlung in Drittländer: Google kann Daten in die USA übermitteln. Google ist unter dem EU-US Data Privacy Framework zertifiziert, was ein angemessenes Datenschutzniveau gewährleistet.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG).

Weitere Informationen: Datenschutzerklärung von Google | Google Analytics Opt-Out Browser-Add-on

7.3 Marketing — Werbe- und Remarketing-Tools (mit Einwilligung)

Bei aktivierter Kategorie Marketing können Werbe- und Remarketing-Cookies (z. B. Google Ads, Conversion-Tracking, Floodlight) gesetzt werden. Diese steuern die Consent-Mode-v2-Felder ad_storage, ad_user_data, ad_personalization und personalization_storage. Ohne Ihre Einwilligung bleiben alle vier Felder auf denied; Werbe-Tags feuern nicht und es werden keine personenbezogenen Marketing-Daten an Drittanbieter übermittelt. Cookieless-Pings im denied-Zustand sind durch ads_data_redaction und url_passthrough DSGVO-konform abgesichert.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG).

7.4 Einwilligung verwalten und widerrufen

Sie können Ihre Cookie-Einstellungen jederzeit ändern oder Ihre Einwilligung widerrufen, indem Sie im Footer dieser Website auf „Cookie-Einstellungen“ klicken. Der Banner öffnet sich erneut mit Ihren bisherigen Einstellungen, sodass Sie einzelne Kategorien wieder ablehnen können. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung.

Darüber hinaus können Sie Ihren Browser so einstellen, dass er Sie über das Setzen von Cookies informiert und diese nur im Einzelfall erlaubt, die Annahme von Cookies für bestimmte Fälle oder generell ausschließt sowie das automatische Löschen der Cookies beim Schließen des Browsers aktiviert.

8. KI-Chatbot (Embedflow Assistant)

Auf unserer Website setzen wir einen eigenen, von uns betriebenen KI-Chatbot ein, der unter der Subdomain chatbot.embedflow.de läuft und über einen iframe in unsere Website eingebunden wird. Der Chatbot beantwortet Fragen rund um unsere Leistungen und nutzt dafür Verfahren der semantischen Suche (Embeddings + Reranking) sowie ein Sprachmodell (LLM).

8.1 Aktivierung und Einwilligung

Solange Sie den Chatbot nicht aktiv öffnen, wird keine Verbindung zu Servern des Chatbots oder zu KI-Dienstleistern aufgebaut. Erst wenn Sie auf das Chat-Symbol klicken, wird der iframe geladen und Sie werden im Chatfenster gesondert um Zustimmung zur Datenverarbeitung gebeten. Erst nach dieser Zustimmung werden Nachrichten verarbeitet.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG).

8.2 Verarbeitete Daten

  • Inhalte Ihrer Chat-Nachrichten (Texteingaben und ggf. Sprachnachrichten)
  • Eine pseudonyme Besucher-Kennung (Visitor-ID), die in Ihrem Browser gespeichert wird, um den Gesprächsverlauf während Ihrer Sitzung verfügbar zu halten
  • Zeitstempel, Sitzungs-IDs und technische Metadaten zur Funktionsfähigkeit und Missbrauchsprävention
  • Bei Sprachnachrichten: die Audio-Aufnahme zum Zweck der Transkription. Dauerhaft gespeichert wird ausschließlich der erzeugte Text, die Audiodaten werden nach der Transkription verworfen.

8.3 Eingesetzte Auftragsverarbeiter

Wir setzen folgende externe Dienstleister als Auftragsverarbeiter nach Art. 28 DSGVO ein. Mit allen genannten Anbietern bestehen Auftragsverarbeitungsverträge.

AnbieterZweckSitz / VerarbeitungsortDrittland­transfer
Mistral AI SAS, 5 rue de la Baume, 75008 Paris, FrankreichSprachmodell (LLM) zur Erzeugung der Chat-Antworten und ggf. Transkription von SprachnachrichtenFrankreich (EU)Nein
Cohere Inc., 552 Wellington Street West, Toronto, Ontario M5V 2V5, KanadaErzeugung semantischer Embeddings und Reranking der Suchergebnisse (Modell embed-v4)Kanada / USAJa — abgesichert durch EU-Standard­vertrags­klauseln (Art. 46 Abs. 2 lit. c DSGVO)

Hinweis zum Drittlandtransfer: Bei der Nutzung von Cohere können personenbezogene Daten (Inhalte Ihrer Chat-Nachrichten) in Länder außerhalb der EU/EWR, insbesondere die USA, übermittelt werden. Wir haben mit Cohere EU-Standard­vertrags­klauseln abgeschlossen und ergänzende Schutzmaßnahmen geprüft (Transfer Impact Assessment). Sie sollten sich dennoch bewusst sein, dass in den USA US-Behörden unter bestimmten Voraussetzungen Zugriff auf Daten erlangen können und das Datenschutzniveau nicht in jeder Hinsicht dem der EU entspricht.

8.4 Speicherdauer

Chat-Verläufe werden für maximal 90 Tage auf unseren Servern in Deutschland gespeichert, anschließend werden sie automatisch gelöscht. Audio-Aufnahmen von Sprachnachrichten werden unmittelbar nach erfolgreicher Transkription verworfen und nicht dauerhaft gespeichert.

8.5 Widerruf und Löschung

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie den Chat schließen und im Browser den lokalen Speicher Ihrer Sitzung leeren. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Über die in Abschnitt 11 genannten Betroffenenrechte können Sie außerdem die Löschung Ihrer Chat-Daten verlangen; dazu genügt eine formlose E-Mail an kontakt@embedflow.de.

9. Externe Dienste und Drittanbieter

Wir setzen auf unserer Website keine Werbe- oder Retargeting-Dienste ein. Externe Datenübermittlungen finden ausschließlich in den folgenden Fällen statt: an Google (Analytics/Tag Manager) nach Ihrer Einwilligung (siehe Abschnitt 7.3) sowie an die im Abschnitt 8 genannten KI-Dienstleister, sofern Sie den Chatbot aktiv nutzen und der Verarbeitung dort gesondert zustimmen. Ohne Ihre Zustimmung werden keine Skripte von Drittanbietern geladen und keine Inhalte an externe Server übermittelt.

Schriftarten

Alle verwendeten Schriftarten (Plus Jakarta Sans) werden lokal von unserem Server ausgeliefert. Es findet keine Verbindung zu Google-Servern oder anderen externen Servern statt.

Social-Media-Präsenzen

Unsere Website enthält Links zu unseren LinkedIn- und Facebook-Profilen. Es handelt sich um einen gewöhnlichen externen Link — es werden dabei keine Social-Media-Plugins, Tracking-Pixel oder eingebetteten Inhalte von LinkedIn oder Facebook geladen. Erst wenn Sie einen solchen Link aktiv anklicken, verlassen Sie unsere Website und gelangen auf die jeweilige Plattform. Für LinkedIn gelten die Datenschutzrichtlinien von LinkedIn, für Facebook die Datenschutzrichtlinien von Meta.

10. SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

11. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO) — Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger oder die Vervollständigung Ihrer Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) — Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermitteln.
  • Widerspruchsrecht (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer personenbezogenen Daten jederzeit widersprechen, wenn diese auf Art. 6 Abs. 1 lit. f DSGVO basiert.
  • Widerrufsrecht — Soweit Sie uns eine Einwilligung erteilt haben (z. B. für Cookie-Kategorien), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.
  • Beschwerderecht — Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

12. Löschung und Aufbewahrung von Daten

Wir löschen personenbezogene Daten, sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Gesetzliche Aufbewahrungsfristen betragen:

  • 6 Jahre — handelsrechtliche Aufbewahrungspflicht (§ 257 Abs. 1 HGB)
  • 10 Jahre — steuerrechtliche Aufbewahrungspflicht (§ 147 Abs. 1 AO)

Nach Ablauf dieser Fristen werden die Daten routinemäßig gelöscht.

13. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung. Das Datum der letzten Aktualisierung finden Sie oben auf dieser Seite.