Privacy Policy

Datenschutzerklärung

Zuletzt aktualisiert: 27. März 2026

1. Datencontroller

Der Verantwortliche für Ihre personenbezogenen Daten ist: Kamil Zwarycz, Geschäftsleitung unter dem Namen LogicLoom Kamil Zwarycz Registriert in der zentralen Registrierung und Information über Unternehmen (CEIDG) NIP: 5871749235 | REGON: 540001576 Kalinowa 6L lok. 3, 81-198 Kosakowo, Polen Email: legal@budiflow.com Öffentliches Register: biznes.gov.pl Diese Datenschutzerklärung erklärt, wie wir personenbezogene Daten im Zusammenhang mit der BudiFlow-Plattform erheben, nutzen, speichern und schützen, und beschreibt Ihre Rechte gemäß der Verordnung (EU) 2016/679 (DSGVO), dem polnischen Datenschutzgesetz und dem Gesetz über die Bereitstellung elektronischer Dienste. Wir haben keinen Datenschutzbeauftragten (DPO) ernannt, da wir nicht den Schwellenwerten entsprechen, die eine zwingende DPO-Bestellung nach Art. 37 DSGVO erfordern. Datenschutzanfragen können an legal@budiflow.com gerichtet werden.

2. Unsere Dual-Rolle: Controller und Prozessor

BudiFlow arbeitet in zwei verschiedenen Datenschutzfunktionen, und es ist wichtig, die Unterscheidung zu verstehen: Rolle 1 — Datenverantwortlicher (für Abonnentenkontodaten): Bei der Registrierung und Nutzung von BudiFlow bestimmen wir die Zwecke und Mittel der Verarbeitung Ihrer personenbezogenen Daten (Name, E-Mail-Adresse, Rechnungsinformationen, Nutzungsdaten). In dieser Eigenschaft sind wir Ihr Verantwortlicher und diese Datenschutzerklärung gilt vollständig. Rolle 2 — Datenverarbeitung (für die Daten Ihrer Kunden): Wenn Sie BudiFlow verwenden, um Aufzeichnungen über Ihre eigenen Kunden zu speichern (Client-Namen, Kontaktdaten, Terminnoten, Servicehistorie), sind Sie – der Auftragnehmer oder Dienstleister – der Datenverantwortliche dieser Clientdaten. Wir verarbeiten sie ausschließlich in Ihrem Auftrag, unter Ihren Anweisungen, als Ihre Datenverarbeitung nach Art. 28 DSGVO. Als Datenprozessor: • Verarbeiten Sie die Daten Ihrer Kunden nur, wenn erforderlich, um den Service zu bieten, nie für unsere eigenen Marketing- oder Analysezwecke. • Wahrung der Vertraulichkeit und Umsetzung geeigneter technischer Sicherheitsmaßnahmen. • Benachrichtigen Sie umgehend über die Daten Ihrer Kunden. • Löschen oder Rückgabe aller Clientdaten nach Beendigung des Abonnements. Sie sind dafür verantwortlich, dass Sie eine gesetzliche DSGVO-Grundlage zur Erfassung und Speicherung der Daten Ihrer Kunden in BudiFlow haben. Wenn Ihre Kunden Bewohner der EU/EWR sind, müssen Sie ihnen eine DSGVO-konforme Datenschutzerklärung zur Verfügung stellen. Die in unsere Nutzungsbedingungen eingebettete Datenverarbeitungsvereinbarung (DPA) regelt unsere Prozessorbeziehung mit Ihnen.

3. Persönliche Daten Wir sammeln

Wir erheben und verarbeiten folgende Kategorien personenbezogener Daten über Abonnenten (nicht Endkunden): Kontodaten: Vollname, Geschäftsname (falls zutreffend), E-Mail-Adresse, Passwort (speichert als ein-Wege-Kryptografische Hash - wir können Ihr Passwort nicht wiederherstellen), Profilfoto (optional). Rechnungs- und Zahlungsdaten: Rechnungsname und Adresse, Rechnungs-E-Mail, MwSt.-Nummer (falls zutreffend). Zahlungskartendaten werden ausschließlich von Stripe, Inc. erfasst und gespeichert — wir erhalten nur einen Zahlungstoken und die letzten vier Ziffern Ihrer Karte. Nutzung und technische Daten: IP-Adresse, Browsertyp und Version, Gerätetyp, besuchte Seiten, verwendete Funktionen, Sitzungsdauer, Zeitstempel, Fehlerprotokolle und Leistungsmetriken. Diese Daten werden automatisch bei Nutzung des Dienstes erhoben. Kommunikationsdaten: der Inhalt von E-Mails, Support-Tickets und Chat-Nachrichten, die Sie an uns senden. Abonnenten Client-Daten: Als Datenprozessor (siehe Abschnitt 2) speichern wir die von Ihnen eingegebenen Client-Daten. Diese Daten gehören zu Ihren Kunden und Sie sind dafür verantwortlich. Wir erheben und verarbeiten keine speziellen Kategorien personenbezogener Daten (sensitive Daten) gemäß Art. 9 DSGVO – wie Gesundheitsdaten, biometrische Daten oder religiöse Überzeugungen – über Abonnenten. Wenn solche Daten in Abonnenten-Client-Datensätzen angezeigt werden, sind Sie dafür verantwortlich, eine rechtmäßige Grundlage zu gewährleisten.

4. Rechtliche Grundlagen für die Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen gemäß Art. 6 DSGVO: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Kontendaten und Abrechnungsdaten werden verarbeitet, um das Abonnentenabkommen mit Ihnen einzugehen und durchzuführen – um Zugriff zu bieten, Ihr Konto zu verwalten, Rechnungen auszustellen und Unterstützung zu leisten. Die Bereitstellung dieser Daten ist eine vertragliche Anforderung, ohne dass wir den Service nicht bereitstellen können. Legitimierte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Nutzung und technische Daten werden für unsere berechtigten Interessen verarbeitet: Verbesserung der Service- und Nutzererfahrung, Erkennung und Verhinderung von Betrug, Missbrauch und Sicherheitsvorfälle sowie Überwachung der Systemleistung. Wir haben diese Interessen gegen Ihre Rechte ausgewogen und der Schluss gezogen, dass unsere Interessen Ihre nicht überwiegen, angesichts der begrenzten Empfindlichkeit der Nutzungsdaten. gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO): Billing-Aufzeichnungen und Rechnungen werden gehalten, um das polnische Steuer- und Rechnungswesen (Ustawa o rachunkowości, Ordynacja podatkowa) einzuhalten, das 5 Jahre lang eine Retention erfordert. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Wenn wir uns auf eine Einwilligung verlassen, zum Beispiel für nicht wesentliche Analytik-Cookies oder für den Versand von Marketing-Kommunikation, können Sie Ihre Einwilligung jederzeit widerrufen, ohne die Rechtmäßigkeit der vorherigen Verarbeitung zu beeinträchtigen. Die Rücknahme kann über das Cookie-Management-Panel oder per E-Mail an legal@budiflow.com erfolgen.

5. Wie wir Ihre Daten verwenden

Wir verwenden Ihre personenbezogenen Daten zu folgenden Zwecken: Serviceangebot: Ihr Konto zu erstellen und zu verwalten, Zugriff auf alle Service-Funktionen zu bieten und die Service-Funktionen korrekt für Sie zu gewährleisten. Abrechnung und Rechnungslegung: Abozahlungen über Stripe bearbeiten, Mehrwertsteuerrechnungen ausgeben, fehlgeschlagene Zahlungen handhaben und Finanzprotokolle pflegen. Kundenbetreuung: auf Ihre Supportanfragen zu reagieren, Probleme zu beheben und unsere Hilfedokumentation basierend auf gemeinsamen Problemen zu verbessern. Service-Kommunikation: um Transaktions-E-Mails, die für Ihre Nutzung des Dienstes unerlässlich sind, zu senden — Kontobestätigung, Passwortrückstellungen, Abonnement-Erneuerungsankündigungen, Zahlungseingang und wichtige Service-Updates. Service Verbesserung und Sicherheit: die Systemleistung zu überwachen, Fehler zu erkennen, Nutzungsmuster zu analysieren (soweit möglich aggregiert/anonymisiert), Betrug zu verhindern und die Sicherheit und Integrität des Dienstes zu wahren. Rechtliche Einhaltung: Erfüllung unserer Verpflichtungen aus dem polnischen und EU-Recht, einschließlich der Steuer-, Rechnungs- und Datenschutzanforderungen. Marketing (nur mit Zustimmung): Wenn Sie sich entschieden haben, können wir Newsletter, Produkt-Update-Ankündigungen und Werbeangebote senden. Sie können sich jederzeit über den Link in jeder Marketing-E-Mail oder durch Kontakt mit legal@budiflow.com abmelden. Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte. Wir verwenden Ihre personenbezogenen Daten nicht zur automatisierten Profilierung, die rechtliche oder ähnlich signifikante Auswirkungen hervorruft.

6. Datenretention

Wir behalten Ihre personenbezogenen Daten nur solange, wie dies für die in dieser Richtlinie beschriebenen Zwecke erforderlich ist: Kontodaten (Name, E-Mail, Profil): gespeichert für die Dauer Ihres aktiven Abonnements plus 30 Tage nach Kontoauslöschung. Die 30-Tage-Periode ermöglicht es Ihnen, Ihre Daten vor einer dauerhaften Löschung zu exportieren. Client-Daten (eingesehen von Ihnen als Abonnenten): identisch behandelt – 30 Tage nach der Terminierung aufbewahrt, dann dauerhaft gelöscht. Billing-Aufzeichnungen und Rechnungen: 5 Jahre ab Ende des Steuerjahres, in dem die Transaktion stattgefunden hat, nach Bedarf des polnischen Steuerrechts (Ordynacja podatkowa, Art. 70) und des Rechnungswesens (Ustawa o rachunkowości). Nutzungsprotokolle und technische Daten: bis zu 12 Monate für Sicherheitsüberwachung, Betrugsdetektion und Serviceverbesserung aufbewahrt. Die aggregierte, anonymisierte Analytik kann unbestimmt aufbewahrt werden. Unterstützungsmitteilungen: 3 Jahre ab dem Zeitpunkt der Entschließung beibehalten, um mit Folgefragen und Qualitätsverbesserungen zu helfen. Einwilligungsaufzeichnungen: gehalten für die Dauer Ihres Kontos plus 3 Jahre, als Nachweis der Zustimmung für die Erfüllung Zwecke. Wenn Daten nicht mehr benötigt werden, wird diese mittels branchenüblicher Methoden sicher gelöscht oder anonymisiert, sodass Sie nicht mehr identifiziert werden können.

7. Ihre Rechte unter DSGVO

Als betroffene Person haben Sie die folgenden Rechte: Zugriffsrecht (Art. 15): Bitte eine Kopie aller personenbezogenen Daten, die wir über Sie speichern, anfordern, einschließlich Informationen über Verarbeitungszwecke, Empfänger und Aufbewahrungsfristen. Recht auf Berichtigung (Art. 16): Beantragen Sie die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten. Recht auf Löschung / Recht auf Vergessenheit (Art. 17): Beantragen Sie die Löschung Ihrer personenbezogenen Daten, wenn: sie für ihren ursprünglichen Zweck nicht mehr erforderlich ist; Sie widerrufen die Einwilligung (wenn die Einwilligung die Rechtsgrundlage war); Sie widersprechen der Verarbeitung auf Grundlage berechtigter Interessen und wir haben keine übergeordneten Gründe; oder die Verarbeitung ist unrechtmäßig. Recht auf Einschränkung der Verarbeitung (Art. 18): Bitten Sie, dass wir vorübergehend begrenzen, wie wir Ihre Daten verwenden, während ein Streit um Genauigkeit oder Rechtmäßigkeit gelöst wird. Recht auf Datenübertragbarkeit (Art. 20): Erhalten Sie Ihre personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON oder CSV) und übermitteln Sie diese an einen anderen Verantwortlichen. Dieses Recht gilt für Daten, die auf der Grundlage von Vertrag oder Zustimmung verarbeitet werden. Widerspruchsrecht (Art. 21): Widerspruch gegen die Verarbeitung aufgrund unserer berechtigten Interessen. Wir beenden die Verarbeitung, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen. Sie haben ein absolutes Recht auf Widerspruch gegen Direktmarketing. Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3): Sofern die Verarbeitung auf Ihrer Einwilligung beruht, widerrufen Sie diese jederzeit. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung vor dem Widerruf. Keine automatisierte Entscheidungsfindung: Wir treffen keine Entscheidungen über Sie allein auf der Grundlage einer automatisierten Verarbeitung, die rechtliche oder ähnlich signifikante Auswirkungen hervorruft (Art. 22 DSGVO). Wie Sie Ihre Rechte ausüben: Email legal@budiflow.com mit der Betreffzeile "GDPR Rechte Anfrage". Wir überprüfen Ihre Identität und reagieren innerhalb von 30 Tagen (erweiterbar auf 60 Tage für komplexe Anfragen mit Mitteilung). Alle Anfragen sind kostenlos. Wir müssen bestimmte Daten trotz eines Löschungsantrags behalten, wenn wir eine gesetzliche Verpflichtung dazu haben.

8. Prozessoren Dritter Teil

Wir beschäftigen uns mit folgenden vertrauenswürdigen Subprozessoren, die personenbezogene Daten in unserem Auftrag verarbeiten. Alle sind durch schriftliche Datenverarbeitungsvereinbarungen gebunden: Stripe, Inc. (USA) — Zahlungsabwicklung. Prozesse Abrechnungsinformationen, Zahlungskartendaten und Betrugserkennungssignale. PCI DSS Level 1 zertifiziert. Die Übertragungen in die USA unterliegen Standardvertragsklauseln (SCC) pro EU-Entscheidung 2021/914 und Stripes EU-US Data Privacy Framework Zertifizierung. Datenschutzerklärung von Stripe: stripe.com/privacy. Streifen DPA: stripe.com/legal/dpa. Auth.js (NextAuth) v5 — Open-Source-Identitäts- und Authentifizierungsverwaltung. Verarbeitet Konto-Anmeldeinformationen (E-Mail, gehashtes Passwort), Sitzungstoken und Authentifizierungsereignisse. Die Auth.js-Bibliothek wird auf unserer eigenen Infrastruktur (EU/EWR) selbst gehostet; wir delegieren die Anmeldung an OAuth-Anbieter (Google, Apple, Microsoft Entra ID, Facebook, LinkedIn, X/Twitter) — nur die in der Bereitstellung aktivierten Anbieter werden genutzt. Auth.js-Dokumentation: authjs.dev. Cloud Hosting Provider (EU/EEA) — Anwendungsserver, Datenbanken und Dateispeicher. Alle Primärdaten werden innerhalb der EU/EWR gehostet. Verarbeitet alle Kategorien von im Service gespeicherten personenbezogenen Daten. Eine aktuelle Liste aller Subprozessoren ist bei budiflow.com/subprocessors verfügbar. Wir benachrichtigen Abonnenten mindestens 14 Tage vor dem Hinzufügen oder Ersetzen eines Subprozessors. Abonnenten, die einer Subprozessoränderung widersprechen, können ihr Abonnement innerhalb dieser Frist mit einer Pro-Rata-Rückerstattung beenden. Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte.

9. Internationaler Datentransfer

Einige unserer Subprozessoren (Stripe, Cloudflare, die OAuth-Identitätsanbieter, an die wir delegieren) sind in den Vereinigten Staaten angesiedelt, die außerhalb des Europäischen Wirtschaftsraums (EWR) liegen. Die auf diese Prozessoren übertragenen personenbezogenen Daten werden durch folgende Schutzmaßnahmen geschützt: Standardvertragsklauseln (SCCs): Wir verlassen uns auf die von der Europäischen Kommission im Rahmen des Durchführungsbeschlusses (EU) 2021/914 genehmigten SCCs. Diese Klauseln schaffen durchsetzbare Datenschutzverpflichtungen für den Empfänger. EU-US Datenschutzrahmen (DPF): Gegebenenfalls verwenden wir im Rahmen der DPF zertifizierte Prozessoren, die in ihrer Entscheidung vom 10. Juli 2023 als angemessener Schutz der Europäischen Kommission anerkannt wurden. Ihre Rechte: Sie können weitere Informationen über die spezifischen Schutzmaßnahmen für Transfers erhalten, indem Sie sich an legal@budiflow.com wenden. Sie haben das Recht, eine Kopie der geltenden SCCs anzufordern. Alle in unserer primären Datenbank- und Anwendungsinfrastruktur gespeicherten Daten werden innerhalb der EU/EWR gehostet und unterliegen nicht der internationalen Übertragung.

10. Cookies und Tracking Technologies

Wir verwenden Cookies und ähnliche Technologien gemäß dem polnischen Gesetz über elektronische Kommunikation (Prawo komunikacji elektronicznej, PKE, Dz.U. 2024 Pos. 1221, Art. 399-400) und DSGVO. Streng notwendige Cookies (keine Zustimmung erforderlich): Diese sind für die Funktion des Dienstes unerlässlich und können nicht behindert werden. Dazu gehören: Authentifizierungs-/Sessions-Cookies, die von Auth.js (NextAuth) benötigt werden, Sicherheits-Cookies (einschließlich CSRF-Schutz) und unseren Cookie-konformen Zustands-Cookies benötigt werden. Aktuelles Cookie-Modell: BudiFlow ermöglicht derzeit keine optionalen Analyse-, Marketing-, Sozial- oder Personalisierungs-Cookies über das Zustimmungsfeld. Optionale Kategorien werden standardmäßig deaktiviert und nicht aktiv genutzt. Ihre Cookie-Entscheidungen: • Sie können das aktuelle Cookie-Modell auf budiflow.com/cookies überprüfen. • Sie können Ihren Einwilligungszustand aus Cookie-Einstellungen in der App zurücksetzen. • Sie können Cookies auch über Ihre Browser-Einstellungen verwalten, obwohl dies die Service-Funktionalität beeinflussen kann. Cookie-Retention: Session-Cookies werden gelöscht, wenn Sie Ihren Browser schließen. Consent-state Cookies werden bis zu einem Jahr aufbewahrt. Wir verwenden keine Werbung oder Cross-Site-Tracking-Cookies, um gezielte Werbung zu bedienen.

11. Kinder und Minderjährige

BudiFlow ist ein professionelles Business-Tool für die Verwendung von Erwachsenen (18+) als Vertragspartner oder Dienstleister. Wir erheben keine personenbezogenen Daten von Personen unter 18 Jahren. Alter der Einwilligung für digitale Dienste: Gemäß der polnischen Umsetzung der DSGVO beträgt das Mindestalter für die Zustimmung der Dienste der Informationsgesellschaft 16 Jahre. Unser Service richtet sich nicht an Personen unter 18 Jahren. Wenn wir uns bewusst werden, dass wir personenbezogene Daten von jemandem unter 18 ohne entsprechende Einwilligung erhoben haben, werden wir diese Daten umgehend löschen. Bitte wenden Sie sich an legal@budiflow.com, wenn Sie glauben, dass wir versehentlich Daten von einem Minderjährigen erhoben haben. Zu den Daten Ihrer Kunden: Als Vertragspartner können Sie Projektdaten für kleinere Kunden speichern (unter 16). Sie sind als für die Verarbeitung Verantwortlicher dafür verantwortlich, dass Sie nach geltendem Recht eine angemessene elterliche oder bewachte Einwilligung erhalten haben. Unsere Nutzungsbedingungen und DPA verlangen, dass Sie eine rechtmäßige Grundlage für alle Daten, die Sie in den Service eingeben, gewährleisten.

12. Automatisierte Entscheidungsfindung und Profilierung

Wir führen keine automatisierte Entscheidungsfindung, einschließlich Profiling, durch, die Sie im Sinne von Art. 22 DS-GVO rechtliche Wirkungen oder ähnlich deutlich beeinträchtigt. Wir verwenden automatisierte Systeme für: Betrugserkennung (zur Identifizierung ungewöhnlicher Account-Aktivität, die unbefugte Nutzung oder Zahlungsbetrug anzeigen können) und Spamfilterung (um bösartige Inhalte zu blockieren). Diese Systeme stellen Fälle für die menschliche Überprüfung dar und treffen keine endgültigen verbindlichen Entscheidungen ohne menschliche Beteiligung. Jede Analyse oder Nutzungsanalyse, die wir durchführen, wird nur genutzt, um den Service insgesamt zu verbessern und führt nicht zu individuellen Entscheidungen, die Ihre Rechte oder den Zugriff auf den Service beeinflussen.

13. Aufsichtsbehörde

Sie haben das Recht, bei der zuständigen Datenschutzaufsichtsbehörde eine Beschwerde einzureichen, wenn Sie der Ansicht sind, dass wir Ihre personenbezogenen Daten unter Verletzung der DSGVO verarbeitet haben. Die zuständige Aufsichtsbehörde für Polen ist: Prezes Urzędu Ochrony Danych Osobowych (UODO) Präsident des Amtes für den Datenschutz ul. Stawki 2, 00-193 Warszawa, Polen Website: uodo.gov.pl Telefon: +48 22 531 03 00 Email: legal@budiflow.com Sie können auch eine Beschwerde bei der Aufsichtsbehörde im EU-Mitgliedstaat Ihres gewöhnlichen Wohnsitzes oder Arbeitsplatzes einreichen. Ein Verzeichnis der Aufsichtsbehörden der EU ist auf edpb.europa.eu erhältlich. Wir freuen uns über die Gelegenheit, Ihre Bedenken zu behandeln, bevor Sie UODO kontaktieren. Bitte erreichen Sie uns zuerst unter legal@budiflow.com.

14. Kontaktieren Sie uns

Für alle datenschutzbezogenen Anfragen, Rechteanfragen oder Anliegen: Kamil Zwarycz, Geschäftsleitung unter dem Namen LogicLoom Kamil Zwarycz Kalinowa 6L lok. 3, 81-198 Kosakowo, Polen NIP: 5871749235 | REGON: 540001576 Email: legal@budiflow.com Wir werden Ihre Anfrage innerhalb von 3 Werktagen anerkennen und eine vollständige Antwort innerhalb von 30 Tagen (erweiterbar bis 60 Tage für komplexe Anfragen, mit vorheriger Mitteilung) bereitstellen. Diese Datenschutzerklärung wurde zuletzt am 26. März 2026 aktualisiert. Wir benachrichtigen Sie über wesentliche Änderungen per E-Mail und/oder eine prominente Mitteilung im Service mindestens 30 Tage vor der Wirkung der Änderungen. Die aktuelle Version ist immer bei budiflow.com/privacy verfügbar.

Wir informieren Sie per E-Mail, sobald BudiFlow startet — treten Sie der Warteliste bei, um benachrichtigt zu werden.