Datenschutz

English: Privacy policy

Stand dieser Erklärung: April 2026. Diese Seite beschreibt, wie der Betreiber von Behind The Workflow (im Folgenden „wir“) personenbezogene Daten verarbeitet, wenn du unsere Web-Anwendung, zugehörige APIs oder die optionale Chrome-Erweiterung „BTW Capture“ nutzt. Die Fassung ist ein Entwurf und ersetzt keine individuelle Rechtsberatung — bitte durch eine Rechtsanwältin bzw. einen Rechtsanwalt oder Datenschutzbeauftragte:n prüfen lassen, bevor du sie als verbindlich veröffentlichst (insbesondere Verantwortliche:r, Impressum, Speicherdauern und Auftragsverarbeitungsverträge).

1. Verantwortliche:r

Verantwortliche:r im Sinne der Datenschutz-Grundverordnung (DSGVO) ist der Betreiber von Behind The Workflow. Kontakt: hello@behindtheworkflow.ai. Rechtliche Anbieterkennzeichnung: Impressum.

2. Hosting, Infrastruktur und Unterauftragsverarbeiter

Die Plattform wird technisch über Dienstleister betrieben, die als Auftragsverarbeiter:innen tätig werden können. Für Vertragspartner:innen und AVV-Anhänge führen wir eine aktuelle Liste der eingesetzten Subprozessoren (Rollen, Region, Nachweise) — auf Anfrage oder als Anlage zu euren Vereinbarungen. Wesentliche Kategorien im Produktbetrieb:

• Vercel Inc. — Hosting und Auslieferung der Next.js-Anwendung (Edge/Serverless), Build und Deploy. Verarbeitung kann je nach Konfiguration in der EU und/oder den USA erfolgen; Regionen bitte im Vercel-Dashboard prüfen.
• Supabase — relationale Datenbank (PostgreSQL), Authentifizierung, Datei-Speicher (Storage) sowie damit verbundene Dienste. Die Speicherregion des Supabase-Projekts legt fest, wo Inhalte und Metadaten vorrangig verarbeitet werden.
• Cloudflare Turnstile (optional) — nur wenn im Betrieb die zugehörigen Umgebungsvariablen gesetzt sind: serverseitige Verifikation von Challenge-Token zum Schutz vor automatisiertem Missbrauch (z. B. bei Login). Ohne Aktivierung findet keine Verarbeitung durch Turnstile statt.
• GitHub (optional) — Quellcodeverwaltung und ggf. CI; personenbezogene Daten entstehen hier vor allem über Konten der Entwicklungsteams, nicht über Endnutzer:innen der Produkt-App.
• E-Mail-Versand (Auth) — Transaktions-E-Mails (z. B. Passwort-Reset, Magic Links) laufen über die von Supabase Auth bzw. dem dort konfigurierten Provider bereitgestellte Infrastruktur.
• Stripe (optional) — bei aktivierter kostenpflichtiger Organisation/Abonnement-Funktion: Zahlungsabwicklung und abrechnungsrelevante Metadaten über Stripe, Inc. Es gelten die Datenschutzhinweise und Vertragsbedingungen von Stripe; Zahlungsmitteldaten werden in der Regel direkt bei Stripe erfasst, nicht auf unseren Servern gespeichert.

Für Kontaktanfragen aus dem Marketing-Bereich kann ein eigener SMTP-Dienst oder ein Webhook (z. B. Slack/Discord) konfiguriert sein — dann gelten zusätzlich die Bedingungen dieses Dienstes; Inhalte der Anfrage werden zudem in der Datenbank gespeichert (siehe unten).

3. Zwecke und Datenarten — Web-App und APIs

Wir verarbeiten personenbezogene Daten, soweit dies zur Bereitstellung von Behind The Workflow, zur Vertragsanbahnung oder -durchführung, zur Sicherheit des Systems und zur Erfüllung gesetzlicher Pflichten erforderlich ist. Dazu können insbesondere gehören:

• Konto- und Profildaten: z. B. E-Mail-Adresse, Anzeigename, Organisationszugehörigkeit, Rollen — soweit du sie im Produkt anlegst oder ein Drittanbieter-Login sie übergibt.
• Authentifizierung und Sitzung: technische Identifikatoren und Sitzungsinformationen (Cookies bzw. vergleichbare Mechanismen über Supabase). Hinweise zu Cookies: Cookies & Speicherung. Die Sitzungsdauer ist serverseitig begrenzt (u. a. über konfigurierbare Cookie-Maximalalter).
• Inhalte, die du einstellst: Projekte, Workflows, Prompts, Anhänge, Metadaten und ähnliche produktbezogene Daten, die du bewusst speicherst oder verarbeiten lässt.
• Nutzungs- und Sicherheitslogs: begrenzte technische Protokolle (z. B. zur Missbrauchsprävention, Fehleranalyse, Rate-Limits), soweit im Code vorgesehen.
• Marketing-Kontaktformular: wenn du uns über das öffentliche Kontaktformular erreichst, verarbeiten wir die von dir angegebenen Felder (z. B. Name, E-Mail, Nachricht) zur Bearbeitung der Anfrage und speichern sie in der Datenbank; optional erfolgt eine Benachrichtigung per E-Mail oder Webhook.

4. Rechtsgrundlagen (Orientierung)

Die konkrete Rechtsgrundlage hängt von der jeweiligen Verarbeitung ab (bitte final mit Jurist:in abstimmen). Typischerweise kommen in Betracht:

• Art. 6 Abs. 1 lit. b DSGVO — Verarbeitung zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen (Nutzung des Produkts nach Registrierung bzw. Angebot eines Nutzungsverhältnisses).
• Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an einer sicheren, stabilen und missbrauchsfreien Nutzung (z. B. technische Logs, Bot-Schutz, IT-Sicherheit).
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung, soweit wir explizit darauf angewiesen sind (z. B. optionale Marketing-Cookies, sofern später eingebunden und über Einstellungen gesteuert).
• Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung, soweit wir gesetzlich zur Speicherung oder Offenlegung verpflichtet sind.

5. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Kontodaten und von dir angelegte Inhalte bleiben bestehen, bis du sie löschst oder dein Konto bzw. Organisation gelöscht wird — konkrete technische Löschkonzepte und Fristen sollten intern dokumentiert und hier nachgetragen werden. Server- und Sicherheitslogs können kürzerfristig rotieren.

6. Weitergabe und Drittlandübermittlung

Eine Weitergabe an Dritte erfolgt im Wesentlichen über die genannten Unterauftragsverarbeiter zur Plattformbereitstellung. Soweit Anbieter außerhalb des Europäischen Wirtschaftsraums sitzen oder dort verarbeiten, stützen wir uns — soweit erforderlich — auf geeignete Garantien (z. B. EU-Standardvertragsklauseln) im Rahmen der jeweiligen Vertragsbeziehung; Details bitte mit den Anbietern und rechtlich klären.

7. KI-Assistent (LLM-Verarbeitung)

Behind The Workflow enthält einen optional aktivierbaren AI-Assistenten. Er ist im Dashboard durchgängig als KI-Funktion gekennzeichnet (Sparkle-Symbol, Beschriftung „AI assistant“) — du interagierst zu jeder Zeit erkennbar mit einem KI-System und nicht mit einem Menschen.

Was übermittelt wird: deine Chat-Nachricht, ein verdichteter Snapshot des aktuellen Projekts (Asset-IDs, Namen, Prompt-Auszüge, Verbindungen), das aktuelle UI-Kontext-Snippet (Tab, aktive Filter, ausgewählte IDs) sowie die Argumente, die das Modell für Tool-Aufrufe ausgibt. Nicht übermittelt werden hochgeladene Mediendateien (Storage), Inhalte fremder Organisationen oder Bereiche deines Kontos, die nicht Teil der konkreten Anfrage sind.

Anbieter und Vertragspartner: je nach Server-Konfiguration Anthropic (Claude-Modelle) oder Google (Gemini-Modelle). Für Nutzer:innen aus dem EWR, dem Vereinigten Königreich und der Schweiz ist der vertragliche Anbieter auf Anthropic-Seite Anthropic Ireland, Limited (Dublin, Irland) — also eine Gesellschaft mit Sitz in der EU. Eine physische Verarbeitung kann dennoch auf Servern außerhalb des EWR stattfinden; für solche Übermittlungen stützen wir bzw. der Anbieter sich auf geeignete Garantien (EU-Standardvertragsklauseln, Auftragsverarbeitungsvertrag).

Kein Training auf euren Daten: Anthropic verpflichtet sich in den Commercial Terms § B ausdrücklich: „Anthropic may not train models on Customer Content from Services.“ Das DPA ist über Commercial Terms § C per Verweis Bestandteil dieses Vertrags. Google gibt analog in den Generative AI Service Terms an, API-Daten standardmäßig nicht zum Modelltraining zu verwenden.

Speicherdauer beim Anbieter: Anthropic speichert API-Eingaben und -Ausgaben standardmäßig maximal 30 Tage zur Missbrauchsprävention und löscht sie anschließend automatisch (konfigurierbar in der Anthropic-Console unter „Datenschutzeinstellungen → Datenspeicherungszeitraum“). Google verarbeitet API-Daten der Gemini-API ebenfalls nicht zum Modelltraining und unterhält eigene Aufbewahrungszeitfenster (Details siehe Google's Generative AI Privacy Hub).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsverhältnisses) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionsfähigen Produkt). Die konkret aktive Anbieterzuordnung ergibt sich aus der Server-Konfiguration und ist in der Subprozessor-Liste dokumentiert. Wenn du eine bestimmte Information nicht an einen KI-Anbieter weitergeben möchtest, nutze die betreffende Funktion nicht.

Verbrauch und Kontingent: jede Anfrage zählt gegen ein monatliches Kontingent pro Konto, das in den Account-Einstellungen unter „AI assistant“ sichtbar ist und am 1. eines Kalendermonats (UTC) automatisch zurücksetzt. Über das Audit-Log kannst du nachvollziehen, welche AI-Aktionen in deinem Projekt ausgeführt wurden.

8. Browser-Erweiterung „BTW Capture“ (Chrome)

Die optionale Erweiterung dient dazu, von einer beliebigen Webseite aus Prompt und Metadaten in ein von dir gewähltes Behind The Workflow-Projekt zu übertragen. Geheime API-Schlüssel liegen nicht in der Erweiterung; Anmeldung erfolgt über dieselbe Domain wie die Web-App oder über lokal verschlüsselt gespeicherte Sitzungsdaten (OAuth/Token-Handling wie in der aktuellen Implementierung vorgesehen).

• Zweck: Übermittlung von Workflow-Daten (u. a. Prompt, Tool, optionale Modell-/Parameterangaben) sowie Seitentitel und URL der aktuellen Registerkarte an die von dir konfigurierte BTW-App (HTTPS).
• Lokal im Browser: Konfiguration (Basis-URL, Projekt-ID) und optional verschlüsselte Tokens in Chrome-Speicher (storage.local / sync / session je nach Einstellung).
• Empfänger: ausschließlich die BTW-Backend-Infrastruktur wie bei der Web-App; keine Weitergabe zu Werbezwecken über die Erweiterung.
• Freiwilligkeit: Nutzung der Erweiterung ist optional; ohne Konfiguration und ohne Aktion im Panel erfolgt keine Datenübermittlung.

9. Betroffenenrechte

Du hast — vorbehaltlich der gesetzlichen Voraussetzungen — Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21). Sofern Verarbeitungen auf Einwilligung beruhen, kannst du diese mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).

Zur Ausübung der Rechte genügt eine Nachricht an hello@behindtheworkflow.ai. Du hast zudem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

10. Änderungen

Wir können diese Erklärung anpassen, wenn sich das Produkt, eingesetzte Dienstleister oder Rechtslage ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar; bei wesentlichen Änderungen sollte eine angemessene Information der Nutzer:innen erfolgen.