Datenschutzerklärung

Stand: Juni 2026 Gültig für: CT Flow Webanwendung (app.ct-flow.com) und zugehörige Backend-API

§ 1 Verantwortlicher

Verantwortlich für die Datenverarbeitung ist: Centraltec GmbH Blütenstraße 15 80799 München Vertreten durch den Geschäftsführer André Scheffer E-Mail: andre.scheffer@centraltec.de

Datenschutzanfragen richten Sie bitte an die genannte E-Mail-Adresse. Die gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht für uns derzeit nicht.

§ 2 Zwecke der Verarbeitung und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten ausschließlich zu festgelegten Zwecken:

- Bereitstellung von CT Flow, Verwaltung von Benutzerkonten und Mandanten (Art. 6 Abs. 1 lit. b DSGVO) - Strukturierte Prozesserhebung, -analyse und -optimierung einschließlich KI-gestützter Funktionen (Art. 6 Abs. 1 lit. b DSGVO) - Authentifizierung, E-Mail-Bestätigung und betriebsnotwendige Systembenachrichtigungen (Art. 6 Abs. 1 lit. b DSGVO) - Abrechnung kostenpflichtiger Tarife sowie Erfüllung steuer- und handelsrechtlicher Pflichten (Art. 6 Abs. 1 lit. b und lit. c DSGVO) - Schutz vor Missbrauch und Bots, IT-Sicherheit, technischer Betrieb und Fehleranalyse (Art. 6 Abs. 1 lit. f DSGVO) - Verarbeitungen auf Basis einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie jederzeit mit Wirkung für die Zukunft widerrufen können

§ 3 Welche Daten wir verarbeiten

Je nach Nutzung verarbeiten wir insbesondere:

- Stammdaten: E-Mail-Adresse, Firmen- bzw. Mandantenname - Authentifizierungsdaten: Passwort (ausschließlich als kryptografischer Hash gespeichert), Anmelde- und Sitzungs-Token - Inhaltsdaten: Prozessbeschreibungen, BPMN-Modelle, Analysen, Maßnahmen, Reports sowie Chat-Verläufe mit dem Process Agent - Vertrags- und Abrechnungsdaten bei kostenpflichtigen Tarifen - Technische Protokolldaten: IP-Adresse, Datum und Uhrzeit der Zugriffe, Browser-/Geräteinformationen, Fehlerprotokolle

Sie entscheiden selbst, welche Prozess- und Unternehmensdaten Sie eingeben. Bitte geben Sie keine personenbezogenen Daten Dritter ein, die für die Prozessdarstellung nicht erforderlich sind.

§ 4 Cookies und Sitzungsverwaltung

CT Flow verwendet ausschließlich technisch notwendige Cookies bzw. vergleichbare Token, um Sie nach der Anmeldung eingeloggt zu halten (Session- und Refresh-Token). Diese sind für den Betrieb der Anwendung erforderlich (§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. f DSGVO). Ein Tracking zu Werbe- oder Analysezwecken findet nicht statt.

§ 5 Auftragsverarbeiter und Empfänger

Wir setzen sorgfältig ausgewählte Dienstleister ein, die personenbezogene Daten weisungsgebunden in unserem Auftrag verarbeiten (Art. 28 DSGVO):

- Hetzner Online GmbH – Hosting und Serverbetrieb (Rechenzentren in Deutschland/EU) - Brevo (Sendinblue GmbH) – Versand transaktionaler E-Mails (z. B. Registrierungs- und Bestätigungsmails) - Stripe Payments Europe, Ltd. – Abwicklung von Zahlungen kostenpflichtiger Tarife - Cloudflare, Inc. (Turnstile) – Bot-Schutz bei Registrierung und Anmeldung - KI-Anbieter (insbesondere Anthropic, ggf. OpenAI) – Verarbeitung von Chat- und Prozessinhalten zur Erbringung der KI-Funktionen

Eine Weitergabe Ihrer Daten zu eigenen Zwecken der Dienstleister oder ein Verkauf an Dritte findet nicht statt.

§ 6 Datenübermittlung in Drittländer

Einzelne Dienste (insbesondere Cloudflare, Stripe sowie die KI-Anbieter OpenAI/Anthropic) können personenbezogene Daten in den USA verarbeiten. Soweit ein Anbieter unter dem EU-US Data Privacy Framework zertifiziert ist, stützen wir die Übermittlung auf diesen Angemessenheitsbeschluss der EU-Kommission. Andernfalls – insbesondere bei Anthropic – erfolgt die Übermittlung auf Grundlage von EU-Standardvertragsklauseln nebst ergänzenden Schutzmaßnahmen (Art. 46 DSGVO). Den aktuellen Zertifizierungsstatus des jeweiligen Anbieters prüfen wir fortlaufend. Eine Kopie der geeigneten Garantien stellen wir auf Anfrage bereit (Art. 44 ff. DSGVO).

§ 7 Verarbeitung durch Künstliche Intelligenz (KI)

KI-gestützte Funktionen verarbeiten die von Ihnen eingegebenen Prozess- und Chat-Inhalte, um Entwürfe, Analysen und Vorschläge zu erstellen. Dabei gilt:

- Ihre Inhalte werden nicht zum Training der KI-Modelle der Anbieter verwendet. - Alle KI-Ergebnisse sind als Entwurf zu verstehen und werden erst durch Ihre Freigabe wirksam. - Nehmen Sie in KI-Eingaben möglichst keine personenbezogenen Daten von Prozessbeteiligten auf, die dafür nicht erforderlich sind.

§ 8 Speicherdauer

Wir speichern personenbezogene Daten, solange Ihr Konto besteht und der jeweilige Zweck dies erfordert. Nach Löschung Ihres Kontos werden die zugehörigen Inhaltsdaten gelöscht. Ausgenommen sind Daten mit gesetzlicher Aufbewahrungspflicht (insbesondere Rechnungs- und Buchungsdaten nach § 257 HGB und § 147 AO mit Fristen von bis zu 10 Jahren); diese werden bis zum Ablauf der Frist in der Verarbeitung eingeschränkt und anschließend gelöscht.

§ 9 Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Dazu zählen verschlüsselte Übertragung (TLS/HTTPS), Speicherung von Passwörtern ausschließlich als Hash, Mandantentrennung sowie rollen- und zugriffsbeschränkte Datenverarbeitung.

§ 10 Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO). Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte genügt eine Nachricht an: andre.scheffer@centraltec.de

§ 11 Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns zuständig ist: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18, 91522 Ansbach

§ 12 Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Verarbeitung oder die Rechtslage ändert. Es gilt die jeweils auf app.ct-flow.com veröffentlichte Fassung.