Datenschutzerklärung

Stand: 16. Mai 2026

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Fluxward GmbH i.G.
vertreten durch David Rofall und Frederic Baltes
In Gerichhausen 23 A
41844 Wegberg
Deutschland
Telefon: +49 170 3211648
E-Mail: hello@fluxward.com

2. Allgemeine Hinweise

Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten je nach Kontext auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen und Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Auftragsverarbeitung

Soweit externe Dienstleister personenbezogene Daten in unserem Auftrag verarbeiten, stützen wir die Zusammenarbeit auf die jeweils erforderlichen vertraglichen Regelungen, insbesondere auf Auftragsverarbeitungsverträge, Data Processing Addenda oder vergleichbare vertragliche Schutzmechanismen der Anbieter.

Datenschutzbeauftragter

Derzeit ist kein Datenschutzbeauftragter benannt. Für datenschutzrechtliche Anliegen erreichen Sie uns unter hello@fluxward.com.

Betroffenenrechte

Sie haben nach Maßgabe der gesetzlichen Voraussetzungen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen sowie auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.

Außerdem besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde. Zuständig ist für uns insbesondere die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr. 2-4, 40213 Düsseldorf, https://www.ldi.nrw.de.

Datenschutz by Design und Nachweis

Wir behandeln Datenschutz als Teil der Produkt- und Projektarchitektur. Für Website-Flows und KI-Projekte dokumentieren wir Datenarten, Zwecke, Empfänger, technische Schutzmaßnahmen, Auftragsverarbeitung, Freigaben und Löschlogik. Diese Nachweise werden intern über Verarbeitungstabelle, Legal-/Datenschutzregister und operatives Betroffenenrechte- und Aufbewahrungs-Runbook gepflegt.

3. Hosting und technische Auslieferung

Vercel

Diese Website wird über Vercel bereitgestellt. Dabei verarbeitet der Hosting-Anbieter technisch erforderliche Verbindungsdaten wie IP-Adresse, Zeitpunkte, Geräte- und Browserinformationen sowie angeforderte Dateien, um die Website zuverlässig auszuliefern und die Sicherheit der Systeme zu gewährleisten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Weitere Informationen: https://vercel.com/legal/privacy-policy

4. Cookies, lokale Speicherung und Drittinhalte

Keine Fluxward-Tracking-Cookies

Wir setzen aktuell keine eigenen Tracking- oder Marketing-Cookies ein. Ergänzende Details zu lokaler Speicherung und Einwilligungslogik finden Sie zusätzlich auf unserer Seite zu Cookie- und Einwilligungshinweisen.

Lokale Speicherung im Browser

Für technische Komfortfunktionen speichern wir Werte in Ihrem Browser:

• den Status, ob Sie den Privacy-Hinweis bereits ausgeblendet haben

Diese Informationen verbleiben lokal im Browser und werden nicht als eigene Tracking-Daten an unsere Server übertragen.

Rechtsgrundlage: § 25 Abs. 2 TDDDG und Art. 6 Abs. 1 lit. f DSGVO.

Kontakt-Scheduler und Microsoft Bookings

Auf der Kontaktseite nutzen wir einen eigenen Fluxward-Kontakt-Scheduler. Der Kalenderbereich lädt dort keinen Microsoft-Bookings-iFrame in Ihrem Browser. Die Verfügbarkeit wird serverseitig geprüft, soweit Microsoft Graph für unsere Kalender konfiguriert ist.

In noch nicht umgestellten oder vorbereiteten Detailkontexten kann weiterhin Microsoft Bookings als Kalender eingebettet sein. Nur dort wird Microsoft Bookings beim Laden des Kalenderbereichs in Ihrem Browser geladen und kann technische Daten wie IP-Adresse, Browserinformationen, Zeitpunkte und gegebenenfalls eigene Cookies oder vergleichbare Technologien verarbeiten.

Rechtsgrundlage für erforderliche Termin- und Verfügbarkeitsfunktionen: Art. 6 Abs. 1 lit. b und f DSGVO. Für eine aktive Microsoft-Bookings-Einbettung gilt zusätzlich § 25 Abs. 2 Nr. 2 TDDDG; soweit Microsoft eigene nicht erforderliche Cookies oder vergleichbare Technologien einsetzt, gelten die Microsoft-Hinweise und Auswahlmöglichkeiten dort.
Weitere Informationen: https://www.microsoft.com/de-de/privacy/privacystatement

5. Kommunikations- und Lead-Flows

Kontakt-Scheduler und Erstgespräch

Wenn Sie über den Kontakt-Scheduler ein kostenloses Erstgespräch anfragen, verarbeiten wir insbesondere Name, E-Mail-Adresse, Unternehmen, Telefonnummer optional, Anliegen optional, die gewählte Ansprechperson, den gewünschten Slot, Ihre Datenschutzbestätigung sowie technische Metadaten wie IP-Adresse, User-Agent und Zeitpunkte.

Die Anfrage und ein temporärer Slot-Hold werden in Supabase gespeichert. Vor dem Absenden und vor der internen Freigabe prüfen wir die Verfügbarkeit erneut. Erst nach interner Bestätigung erstellen wir über Microsoft Graph einen Outlook-/Teams-Termin und laden Sie dazu ein.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO für Ihre abgesendete Anfrage, Art. 6 Abs. 1 lit. b DSGVO für vorvertragliche Terminabstimmung sowie Art. 6 Abs. 1 lit. f DSGVO für Missbrauchsschutz, Kollisionsschutz und effiziente Bearbeitung.
Empfänger: Supabase sowie Microsoft 365 / Microsoft Graph für Verfügbarkeitsprüfung, E-Mail und bestätigte Outlook-/Teams-Termine.

Kontaktformular

Wenn Sie uns über ein Kontaktformular schreiben, verarbeiten wir insbesondere Name, E-Mail-Adresse, Unternehmen optional, Ihre Nachricht, die gewählte Quick Action sowie technische Metadaten wie IP-Adresse, User-Agent und Zeitpunkte.

Die Anfrage wird in Supabase gespeichert. Zum Schutz vor einfachen Missbrauchsmustern setzen wir zusätzlich ein Honeypot-Feld und ein schlichtes serverseitiges Rate Limiting ein. Dafür wird aus der Client-IP ein gehashter Fingerprint gebildet.

Zur Bearbeitung versenden wir Bestätigungen und interne Hinweise primär über Microsoft Graph beziehungsweise Microsoft 365. Resend wird für Supabase-Auth-Mails und gegebenenfalls als technischer E-Mail-Fallback verwendet. Eine automatische fachliche KI-Vorverarbeitung ist im öffentlichen Kontaktflow aktuell nicht produktiv aktiviert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO für die abgesendete Anfrage, Art. 6 Abs. 1 lit. b DSGVO für vorvertragliche Kommunikation sowie Art. 6 Abs. 1 lit. f DSGVO für Missbrauchsschutz und effiziente Bearbeitung.
Empfänger: Supabase, Microsoft 365 / Microsoft Graph und Resend soweit für Auth- oder Fallback-E-Mails aktiviert.

KI-Readiness-Check

Beim KI-Readiness-Check verarbeiten wir Ihre Fragebogenantworten, Kontaktdaten und technische Metadaten. Die aktuelle öffentliche Check-Version zeigt die Empfehlung regelbasiert im Browser an; eine E-Mail- oder Kontaktübermittlung ist optional.

Wenn Sie das Ergebnis übermitteln, werden die Daten in Supabase gespeichert. Die öffentliche API akzeptiert ausschließlich die aktuelle V1.1-Struktur und löst keine externe KI-Auswertung aus. Das Ergebnis ist eine regelbasierte Orientierung, keine verbindliche Bewertung und keine automatisierte Entscheidung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 lit. b DSGVO.
Empfänger: Supabase.

Webinar-Registrierungen und Replay-Zugänge

Wenn Sie sich für ein Webinar oder einen Replay-Zugang registrieren, verarbeiten wir Name, E-Mail-Adresse, Unternehmen optional, ausgewähltes Format, Terminbezug, Registrierungszeitpunkt und den erzeugten Zugangslink.

Die Registrierungsdaten werden in Supabase gespeichert. Zugangs- und Organisationsmails können über Microsoft Graph beziehungsweise Microsoft 365 versendet werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 lit. b DSGVO.

Workshops

Der öffentliche Standardpfad für Workshops läuft derzeit über Kontaktaufnahme und individuelle Abstimmung. Wenn Sie uns hierzu schreiben, gelten die Hinweise zum Kontaktformular.

Soweit Fluxward für einzelne Termine ausdrücklich eine Online-Reservierung freischaltet, verarbeiten wir dafür zusätzlich Unternehmensname, Ansprechperson, E-Mail-Adresse, Telefon optional, Teilnehmerangaben, gewählten Slot sowie technische Zahlungs- und Statusdaten. Zahlungsdaten selbst werden auf von Stripe bereitgestellten Seiten verarbeitet; wir erhalten dabei vor allem Transaktions- und Referenzdaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Empfänger bei aktivierter Online-Reservierung: Supabase, Stripe und für Bestätigungen gegebenenfalls Microsoft Graph.

Seminaranfragen und vorbereitete Seminarbuchungen

Offene Seminare werden derzeit kontaktgeführt angefragt. Wenn Sie einen Seminarplatz anfragen, verarbeiten wir die Angaben aus dem Kontaktformular, den ausgewählten Termin beziehungsweise das gewünschte Format sowie getrennte Einwilligungsangaben.

Kontaktgeführte Anfragen speichern wir über den Kontaktformular-Pfad in Supabase. Für Bestätigungen und operative Kontaktmails kann Resend eingesetzt werden. Microsoft 365 beziehungsweise Microsoft Graph wird für ausgewählte automatisierte Kommunikationsabläufe eingesetzt, etwa Newsletter-Double-Opt-in, Webinar- oder spätere Buchungskommunikation. Eine Online-Zahlung über Stripe wird erst genutzt, wenn ein individueller Zahlungsweg ausdrücklich vereinbart und aktiviert ist.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für Buchung und Vertragserfüllung, Art. 6 Abs. 1 lit. a DSGVO für optionale Newsletter- oder Marketing-Einwilligungen und Art. 6 Abs. 1 lit. f DSGVO für Missbrauchsschutz.
Empfänger: Supabase, Resend soweit für Auth- oder Fallback-E-Mails aktiviert, Microsoft 365 / Microsoft Graph nur für die beschriebenen ausgewählten Kommunikationsabläufe.

Pausierte oder vorbereitete Login- und Demo-Bereiche

Öffentliche Login- und Demo-Bereiche wie ein FluxHub-Cockpit sind derzeit nicht aktiv auf dieser Website erreichbar. Soweit wir solche Bereiche später wieder ausdrücklich freischalten, verarbeiten wir Ihre E-Mail-Adresse zur Magic-Link-Anmeldung, technische Session-Cookies sowie gegebenenfalls optionale Einwilligungen für Newsletter oder individuelle Hinweise.

Bitte geben Sie in vorbereiteten oder später freigeschalteten Demo-Bereichen keine sensiblen personenbezogenen Daten, Passwörter, Bankdaten, Gesundheitsdaten oder vertraulichen Kundendaten ein.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für Account-Zugang und Nutzung, Art. 6 Abs. 1 lit. a DSGVO für optionale Einwilligungen sowie Art. 6 Abs. 1 lit. f DSGVO für Sicherheit und Missbrauchsschutz.
Empfänger bei Freischaltung: Supabase Auth.

Feedback-Widget

Falls das Feedback-Widget eingeblendet ist, können Sie darüber Fehler oder Verbesserungsvorschläge melden. Beim Öffnen und Absenden verarbeiten wir die eingegebenen Feedback-Texte, die aktuelle Seiten-URL, einen Screenshot der sichtbaren Seite, die letzten erfassten Konsolenmeldungen, Browser- und Geräteinformationen, Referrer, Zeitpunkte sowie technische Missbrauchsschutzdaten.

Bitte geben Sie im Feedback-Widget keine vertraulichen Kundendaten, besonderen Kategorien personenbezogener Daten, Passwörter, Zahlungsdaten oder sonstigen sensiblen Inhalte ein.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO für die übermittelte Meldung und Art. 6 Abs. 1 lit. f DSGVO für Qualitätssicherung, Fehleranalyse und Missbrauchsschutz.
Empfänger: Supabase.

6. Eingesetzte Dienste im Überblick

Supabase

Supabase dient uns als Datenbank- und Backend-Plattform für Kontaktanfragen, KI-Check-Daten, Newsletter, Seminarbuchungen, Webinar-Registrierungen, interne Angebots-, Content-, Blog-, Termin-, Buchungs- und Feedbackverwaltung sowie gegebenenfalls Workshop-Reservierungen.

Weitere Informationen: https://supabase.com/privacy

Resend

Resend verwenden wir für Supabase-Auth-E-Mails, insbesondere Magic Links für den internen Admin-Zugang, und gegebenenfalls als technischen Fallback für transaktionale E-Mails.

Weitere Informationen: https://resend.com/legal/privacy-policy

KI-Dienste in Kundenprojekten oder internen Arbeitsabläufen

Der öffentliche KI-Readiness-Check V1.1 nutzt keinen externen KI-Dienst für die Auswertung. Soweit wir in Kundenprojekten oder internen Arbeitsabläufen KI-Provider wie Anthropic einsetzen, geschieht dies auf Basis des jeweiligen Vertrags, der vereinbarten Datenkategorien und der erforderlichen Schutzmaßnahmen. Vertrauliche Kundendaten werden nicht ohne ausdrückliche Abstimmung in externe KI-Dienste eingegeben.

Microsoft 365 und Microsoft Graph

Microsoft nutzen wir für den Kontakt-Scheduler, Verfügbarkeitsprüfung, Outlook-/Teams-Termine nach interner Freigabe, geschäftliche E-Mail-Kommunikation und ausgewählte automatisierte Kommunikationsabläufe, etwa Webinar- oder Workshop-Benachrichtigungen und operative Follow-up-Entwürfe. Microsoft Bookings bleibt nur für Legacy-/Fallback-Kontexte relevant, solange ein solcher Kalender dort tatsächlich eingebettet ist.

Stripe

Stripe ist technisch für spätere Online-Zahlungswege vorbereitet, wird aber nur genutzt, wenn eine Online-Zahlung individuell vereinbart und ausdrücklich aktiviert ist. Solange Seminarplätze kontaktgeführt angefragt werden, werden keine Zahlungsdaten an Stripe übermittelt.

Weitere Informationen: https://stripe.com/privacy

7. Interner Admin-Bereich

Für freigeschaltete interne Nutzer existieren geschützte Admin-Routen. Dabei verarbeiten wir E-Mail-Adresse, Authentifizierungsdaten, Session-Informationen und technische Metadaten, um den Zugriff auf interne Kontakt-, KI-Check-, Angebots-, Content-, Blog-, Termin-, Registrierungs-, Buchungs- und Feedbackdaten abzusichern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO sowie Art. 32 DSGVO.

8. Drittlandtransfers

Bei einzelnen eingesetzten Diensten kann eine Verarbeitung personenbezogener Daten auch in Staaten außerhalb der EU beziehungsweise des EWR stattfinden oder nicht vollständig ausgeschlossen werden. Soweit wir solche Dienste einsetzen, achten wir auf geeignete vertragliche und organisatorische Schutzmechanismen des jeweiligen Anbieters, etwa Standardvertragsklauseln, Data Processing Addenda oder anerkannte Zertifizierungsmechanismen.

Dies betrifft insbesondere Vercel, Microsoft, Supabase, Resend, KI-Dienste in vereinbarten Projekt- oder internen Arbeitsabläufen und, falls aktiviert, Stripe.

9. Speicherdauer

Wir speichern personenbezogene Daten grundsätzlich nur so lange, wie dies für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

• Kontaktanfragen, Webinar-Registrierungen und vergleichbare Kommunikationsdaten bleiben gespeichert, solange Bearbeitung, Anschlusskommunikation oder geschäftliche Dokumentation dies erfordern.
• KI-Check-Daten bleiben gespeichert, solange die Auswertung und ein möglicher Folgekontakt dies erfordern.
• Angebots-, Vertrags-, Rechnungs- und Zahlungsdaten unterliegen gegebenenfalls längeren handels- und steuerrechtlichen Aufbewahrungspflichten.

Eine starre, technisch erzwungene Löschfrist ist derzeit nicht für alle Website-Flows zentral automatisiert hinterlegt. Wir überprüfen Datenbestände jedoch regelmäßig im Rahmen der operativen Bearbeitung und löschen sie, wenn Zweckbindung und gesetzliche Pflichten dies zulassen.

Für interne Bearbeitung nutzen wir ein operatives Lösch- und Betroffenenrechte-Runbook. Dieses umfasst insbesondere Kontaktanfragen, Scheduler-Holds, KI-Check-Einreichungen, Newsletter-Status, Feedback, Seminar-/Workshop-Anfragen und lokale Exporte.

10. Automatisierte Entscheidungen und KI-Transparenz

Auf dieser Website treffen wir keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO. Der öffentliche KI-Readiness-Check arbeitet regelbasiert und dient nur als Orientierung. KI-gestützte Auswertungen in Kundenprojekten oder internen Arbeitsabläufen werden nicht als alleinverbindliche Entscheidung eingesetzt.

Bei KI-Projekten prüfen wir den jeweiligen Einsatzkontext gesondert, insbesondere Transparenz, menschliche Kontrolle, Datenkategorien, Sicherheitsanforderungen und eine mögliche Einordnung nach der EU-KI-Verordnung. Diese Website stellt selbst kein Hochrisiko-KI-System bereit.

11. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich Website-Funktionen, eingesetzte Dienste oder rechtliche Anforderungen wesentlich ändern. Es gilt jeweils die auf dieser Seite veröffentlichte aktuelle Fassung.