CustomrflowCustomrflow
← Zurück zur StartseiteEN

Datenschutzerklärung

Zuletzt aktualisiert: 27. März 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

customrflow

by BURD digital solutions and consulting LLC

1309 Coffeen Avenue STE 1200

Sheridan, Wyoming 82801, USA

E-Mail: datenschutz@customrflow.com

Website: https://customrflow.com

2. Überblick der verarbeiteten Daten

Im Rahmen der Nutzung unserer Plattform und aller verbundenen Dienste verarbeiten wir folgende Kategorien personenbezogener Daten:

Kontodaten

  • Name, E-Mail-Adresse
  • Organisationsname, Standortinformationen
  • Passwort (gehasht gespeichert)
  • Abonnement- und Zahlungsinformationen (über Stripe)

CRM-Daten (Kontakte Ihrer Kunden)

  • Vor- und Nachname, E-Mail, Telefonnummer
  • Firma, Adresse, Geburtsdatum
  • Benutzerdefinierte Felder
  • Kommunikationsverlauf und Aktivitätenprotokoll

Terminbuchungsdaten

  • Terminzeit, gebuchte Dienstleistungen, zugewiesene Ressourcen
  • Buchungsreferenz, Status, Stornierungsgrund
  • E-Mail-Adressen für Bestätigungen und Erinnerungen
  • Google Calendar Event-IDs (bei aktivierter Synchronisation)

Marketing- und Analytics-Daten

  • Tracking-Daten (Seitenaufrufe, Conversions, Kampagnen-Attribution)
  • Werbeausgaben und Performance-Metriken
  • Lead-Formulardaten und Conversion-Events
  • IP-Adressen (anonymisiert für Analytics)

Integrationsdaten

  • OAuth-Zugriffstoken (AES-256-GCM verschlüsselt)
  • Verknüpfte Konten bei Drittanbietern (Meta, Google, TikTok u.a.)
  • Synchronisationstoken und Webhook-Konfigurationen

Formular- und Website-Daten

  • Eingaben in erstellte Formulare
  • Website-Inhalte und Design-Konfigurationen
  • Hochgeladene Medien und Assets

3. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage von:

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Verarbeitung zur Bereitstellung der Plattform und ihrer Dienste
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: Insbesondere bei optionalen Integrationen (z. B. Google Calendar, Meta), Tracking-Einwilligungen und E-Mail-Benachrichtigungen
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Sicherstellung der Plattformsicherheit, Betrugsprävention, Fehleranalyse
  • Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Erfüllung gesetzlicher Aufbewahrungspflichten

4. Google Calendar Integration

Bei Aktivierung der Google Calendar Synchronisation gelten folgende Bestimmungen:

Umfang des Zugriffs

Wir fordern den OAuth-Scope https://www.googleapis.com/auth/calendar an, der Lese- und Schreibzugriff auf Ihre Google Kalender gewährt. Dies ist für die bidirektionale Synchronisation erforderlich.

Verarbeitete Daten

  • Kalenderliste (Name, ID, Farbe)
  • Termine (Titel, Zeitraum, Beschreibung, Teilnehmer)
  • Änderungsbenachrichtigungen über Google Push Notifications

Token-Speicherung

OAuth-Zugriffs- und Refresh-Token werden mit AES-256-GCM verschlüsselt in unserer Datenbank gespeichert und automatisch erneuert. Bei Widerruf der Verbindung werden alle Token und Synchronisationsdaten gelöscht.

Widerruf

Sie können die Google Calendar Verbindung jederzeit in den Kalendereinstellungen trennen. Zusätzlich können Sie den Zugriff in Ihrem Google-Konto widerrufen.

5. Weitere Drittanbieter-Integrationen

Bei Nutzung von Drittanbieter-Integrationen werden Daten mit folgenden Diensten ausgetauscht:

DienstZweckDaten
Meta (Facebook)Werbeanzeigen, Lead-Formulare, Conversion-APIKampagnendaten, Kosten, Leads
Google AdsWerbekampagnen-TrackingKampagnendaten, Kosten, Conversions
Google CalendarBidirektionale Kalender-SynchronisationTermine, Teilnehmer, Kalendermetadaten
TikTokWerbeanzeigen-TrackingKampagnendaten, Kosten
StripeZahlungsabwicklungZahlungsinformationen, Abonnements

Alle Integrationen sind optional und werden erst nach ausdrücklicher Aktivierung durch den Nutzer aktiv. Für jeden Drittanbieter gelten zusätzlich dessen eigene Datenschutzrichtlinien.

6. E-Mail-Benachrichtigungen

Im Rahmen der Terminverwaltung werden automatisierte E-Mails versendet:

  • Terminbestätigungen an Kunden und Gäste
  • Terminerinnerungen (konfigurierbare Vorlaufzeiten)
  • Statusänderungs- und Stornierungsbenachrichtigungen
  • Gästeeinladungen zu Terminen

Der Versand dieser E-Mails kann pro Kalender in den Benachrichtigungseinstellungen aktiviert oder deaktiviert werden.

7. Datensicherheit

Wir treffen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

  • Verschlüsselung: Sensible Daten (Token, API-Keys) werden mit AES-256-GCM verschlüsselt gespeichert
  • Transportverschlüsselung: Alle Verbindungen erfolgen über HTTPS/TLS
  • Authentifizierung: JWT-basierte Zugriffskontrolle mit Mandantentrennung (Multi-Tenant-Architektur)
  • CSRF-Schutz: OAuth-Flows verwenden signierte State-Parameter mit Nonce-basiertem Replay-Schutz
  • Zugangskontrolle: Rollenbasierte Berechtigungen auf Organisations- und Standortebene
  • Audit-Logging: Sicherheitsrelevante Aktionen werden protokolliert
  • Automatische Token-Erneuerung: Ablaufende Zugriffstoken werden automatisch erneuert

8. Cookies und Tracking

Die Plattform selbst setzt funktional notwendige Cookies für die Authentifizierung und Sitzungsverwaltung ein.

Über die Plattform erstellte Websites und Formulare können Tracking-Pixel und Analyse-Tools einbinden. Der Nutzer (Plattform-Kunde) ist selbst dafür verantwortlich, eine datenschutzkonforme Einwilligungslösung (Consent Management) für seine Endnutzer bereitzustellen. Die Plattform unterstützt Google Consent Mode v2.

9. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Verarbeitungszweck erforderlich ist:

  • Kontodaten: Bis zur Löschung des Kontos
  • CRM-Daten: Bis zur Löschung durch den Nutzer oder Kontolöschung
  • Termindaten: Bis zur Löschung durch den Nutzer; Stornierungsgründe werden archiviert
  • Integrations-Token: Bis zur Trennung der Verbindung; werden dann sofort gelöscht
  • Analytics-Daten: Entsprechend den konfigurierten Aufbewahrungsfristen
  • Rechnungsdaten: 10 Jahre gemäß handels- und steuerrechtlichen Vorgaben

10. Ihre Rechte

Gemäß DSGVO haben Sie folgende Rechte:

Auskunftsrecht

Art. 15 DSGVO — Auskunft über verarbeitete Daten

Berichtigungsrecht

Art. 16 DSGVO — Korrektur unrichtiger Daten

Löschungsrecht

Art. 17 DSGVO — Löschung Ihrer Daten

Einschränkungsrecht

Art. 18 DSGVO — Einschränkung der Verarbeitung

Datenübertragbarkeit

Art. 20 DSGVO — Datenexport in maschinenlesbarem Format

Widerspruchsrecht

Art. 21 DSGVO — Widerspruch gegen die Verarbeitung

Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@customrflow.com

Sie haben zudem das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.

11. Auftragsverarbeitung

Soweit Sie als Nutzer unserer Plattform personenbezogene Daten Ihrer Kunden verarbeiten (z. B. CRM-Kontakte, Terminbuchungen), handeln wir als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Ein Auftragsverarbeitungsvertrag (AVV) kann auf Anfrage bereitgestellt werden.

12. Internationale Datenübermittlung

Bei Nutzung von Drittanbieter-Integrationen können Daten in Drittländer übermittelt werden (z. B. USA bei Google- und Meta-Diensten). Diese Übermittlungen erfolgen auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO oder eines Angemessenheitsbeschlusses der EU-Kommission.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslage oder bei Änderungen des Dienstes anzupassen. Die aktuelle Fassung ist stets auf dieser Seite abrufbar.

Siehe auch unsere Nutzungsbedingungen · Meta Privacy Policy