Datenschutzerklärung

1. Verantwortliche Person

Mandria Labs GbR
vertreten durch die Gesellschafter Martin Dietrich und Daniel Seitz
Lachenmeyrstr. 16
81827 München
E-Mail: info@flowpresent.org

2. Grundsätze der Datenverarbeitung

Flow Present ist ein Werkzeug für politische Bildung, gemeinnützige Arbeit und Zivilgesellschaft. Wir verarbeiten nur so viele personenbezogene Daten, wie für den Betrieb des Dienstes notwendig sind. Es werden:

• keine Nutzungsprofile zu Werbezwecken erstellt,
• keine personenbezogenen Daten an Werbetreibende weitergegeben,
• keine Third-Party-Tracking-Pixel eingesetzt,
• Umfrage-Antworten von Workshop-Teilnehmenden pseudonym gespeichert (über einen zufälligen, gerätegebundenen Schlüssel ohne Verknüpfung mit einem Nutzerkonto).

3. Registrierung und Nutzerkonto

Welche Daten werden verarbeitet?

Bei der Registrierung wird ausschließlich Ihre E-Mail-Adresse gespeichert. Der Zugang erfolgt per Magic Link (passwortlos) — es werden keine Passwörter gespeichert. Optional können Sie einen Anzeigenamen und ein Profilbild hinterlegen.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Bereitstellung des Dienstes.

Speicherdauer

Kontodaten werden so lange gespeichert, wie das Konto aktiv ist. Sie können Ihr Konto jederzeit selbst in den Einstellungen unter „Profil" löschen; die Löschung erfolgt unmittelbar. Dabei werden Ihre persönlichen Organisationen (Organisationen, in denen Sie alleiniges Mitglied sind) samt zugehöriger Inhalte und hochgeladener Dateien sowie Ihr Anmeldekonto entfernt. Aus geteilten Organisationen mit weiteren Mitgliedern scheiden Sie lediglich aus. Alternativ können Sie die Löschung per E-Mail an datenschutz@flowpresent.org verlangen. Gesetzliche Aufbewahrungspflichten (insbesondere für Rechnungs-/Abrechnungsdaten) bleiben unberührt; solche Daten werden für die Dauer der gesetzlichen Fristen lediglich gesperrt und anschließend gelöscht.

4. Workshop-Inhalte und -Teilnahme

Team-Mitglieder (angemeldet)

Organisationen und ihre Mitglieder können umfangreiche Workshop-Inhalte erstellen und bearbeiten. Konkret werden folgende Daten gespeichert:

• Briefing: Freitext-Dokument (Ziele, Zielgruppe, Zeitplan) als kollaboratives Echtzeit-Dokument via Yjs/Hocuspocus. Inhalte werden in der Supabase-Datenbank persistiert.
• Sessionplan: Session-Blöcke mit Titel, Dauer, Startzeit, Ziele, Inhalte, Methoden, Materialien, Kategorie- und Rollenzuweisungen sowie Strukturinformationen (Gruppe, Breakout, Eltern-Block).
• Folien: Canvas-Dokumente mit Texten, Bildern, Videos, iFrames, Diagrammen, Formeln, Programmcode sowie Speaker*innen-Notizen. Folieninhalte werden als strukturiertes JSON in der Datenbank gespeichert; Bilddateien in Supabase Storage.
• Live-Session-Daten: Zustand aktiver Workshop-Sessions (aktuelle Folie, Timer-Status), Team-Chat-Nachrichten (mit Verfasser*innen-Name, ohne Verknüpfung mit Nutzerkonten bei Gästen), hochgeladene Dateien im Supabase Storage.
• Teilnehmenden-Namen: Freitext-Namen, die für die Gruppenauslosung eingegeben werden. Keine weiteren personenbezogenen Attribute.
• Nutzer*innenprofile: Optional: Anzeigename und Profilbild (Supabase Storage, Bucket „avatars").

Diese Daten sind ausschließlich für das jeweilige Team zugänglich und werden nicht an Dritte übermittelt.

Workshop-Teilnehmende (ohne Login)

Teilnehmende an Workshops können die öffentliche Live-Ansicht ohne Login aufrufen. Umfrage-Antworten (Polls, Skala-Fragen, Freitexte, Wortwolken) werden mit einem zufällig generierten Schlüssel (localStorage-UUID) verknüpft, der auf Ihrem Gerät gespeichert ist. Die Antworten sind dadurch pseudonym (nicht anonym), da der Schlüssel mehrere Antworten desselben Geräts verbinden kann. Freitextfelder können personenbezogene Angaben enthalten, sofern Sie solche eingeben. Teilnehmende können optional Dateien über die Live-Ansicht hochladen; diese werden in Supabase Storage gespeichert. Verantwortlich für die Verarbeitung der in einem Workshop erhobenen Teilnehmenden-Daten ist in der Regel die durchführende Organisation (Kund*in); Flow Present verarbeitet diese Daten in deren Auftrag (Art. 28 DSGVO).

Hochgeladene Dateien

Im Live-Betrieb können Team-Mitglieder und (sofern aktiviert) Teilnehmende Dateien hochladen. Diese Dateien werden im Supabase-Storage in einem öffentlich zugänglichen Bucket gespeichert und können von allen Personen mit dem zugehörigen Link abgerufen werden.

5. Hosting und Infrastruktur

Flow Present nutzt Supabase (Supabase Inc., San Francisco, USA) für PostgreSQL-Datenbank, Authentifizierung (Magic Link), Datei-Speicherung (Storage) und Echtzeit-Funktionen (Realtime). Supabase ist ISO-27001-zertifiziert. Die Daten werden auf EU-Servern (Frankfurt, AWS eu-central-1) gespeichert. Supabase agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO; ein Auftragsverarbeitungsvertrag (AVV) ist abgeschlossen.

Für kollaborative Echtzeit-Bearbeitung des Briefings wird Hocuspocus (selbst gehosteter WebSocket-Server) in Verbindung mit Yjs eingesetzt. Der Server verarbeitet Dokumentänderungen transient; persistiert wird ausschließlich in Supabase.

Die Anwendung wird auf Vercel (Vercel Inc., San Francisco, USA) gehostet, ebenfalls mit EU-Region-Routing. Vercel verarbeitet Zugangslogs (IP-Adresse, User-Agent, Zeitstempel) für maximal 30 Tage.

Self-Hosting-Option: Flow Present ist Open Source und kann vollständig selbst gehostet werden. In diesem Fall gelten die Datenschutzpraktiken der betreibenden Organisation.

6. Cookies und lokale Speicherung

Flow Present setzt keine Drittanbieter-Cookies und keine Tracking-Cookies. Eingesetzt werden:

• Session-Cookie (httpOnly, Secure): für die Authentifizierung, notwendig für den Betrieb.
• localStorage: für Benutzereinstellungen (Theme, Spalten-Konfiguration, Sortierung) sowie den pseudonymen Teilnehmenden-Schlüssel. Diese Daten verlassen Ihr Gerät nicht.

Da ausschließlich technisch notwendige Cookies eingesetzt werden, ist kein Cookie-Banner erforderlich (Art. 5 Abs. 3 ePrivacy-Richtlinie i.V.m. § 25 Abs. 2 TTDSG).

7. Drittdienste

Stripe (Zahlungsabwicklung)

Für kostenpflichtige Tarife nutzen wir den Zahlungsdienstleister Stripe (Stripe Payments Europe, Ltd., Irland; ggf. Stripe Inc., USA). Bei einem Kauf werden die für die Zahlung erforderlichen Daten (z. B. Name, E-Mail-Adresse, Zahlungsmittel-Informationen) an Stripe übermittelt und dort verarbeitet. Vollständige Zahlungsdaten werden nicht bei uns gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für Übermittlungen in die USA stützt sich Stripe auf das EU-US Data Privacy Framework bzw. EU-Standardvertragsklauseln. Datenschutzhinweise: stripe.com/de/privacy.

Unsplash (optionale Bildsuche)

Bei Nutzung der optionalen Bildsuche wird Ihre Anfrage an Unsplash (Unsplash Inc., USA) übermittelt; dabei kann Ihre IP-Adresse an Unsplash-Server gesendet werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bildauswahl).

Fehleranalyse & Monitoring (Sentry)

Zur Erkennung und Behebung technischer Fehler sowie zur Sicherstellung der Stabilität und Sicherheit des Dienstes setzen wir Sentry (Functional Software, Inc., USA) ein. Tritt ein Fehler auf, werden technische Diagnosedaten (z. B. Fehlermeldung, Stacktrace, betroffene Seite/URL, Browser- und Gerätetyp, Zeitpunkt) an Sentry übermittelt. Die Verarbeitung erfolgt in der EU-Region von Sentry (Rechenzentren in Deutschland/Frankfurt). Eine standardmäßige Übermittlung personenbezogener Daten wie der IP-Adresse ist deaktiviert; gleichwohl können Diagnosedaten im Einzelfall personenbezogene Angaben enthalten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit). Für etwaige Zugriffe aus den USA stützt sich Sentry auf das EU-US Data Privacy Framework bzw. EU-Standardvertragsklauseln.

Google Fonts

Diese Website lädt Schriften von Google Fonts (Google LLC). Dabei wird Ihre IP-Adresse an Google-Server übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an optimalem Schriftrendering). Alternativ können Schriften lokal eingebunden werden.

LibreTranslate (optional)

Die optionale Live-Übersetzungsfunktion nutzt LibreTranslate. Bei Nutzung der Cloud-Version werden Folieninhalte an den LibreTranslate-Proxy-Server übermittelt. Bei Self-Hosting läuft die Übersetzung vollständig lokal ohne externe Übermittlung.

Open-Meteo (optional)

Die optionale Wetter-Variable in Folien nutzt die kostenfreie Open-Meteo-API (Open-Meteo.com, Schweiz). Dabei wird der eingegebene Ortsname an Open-Meteo übermittelt. Es werden keine personenbezogenen Daten übermittelt.

8. Ihre Rechte

Sie haben nach DSGVO das Recht auf:

• Auskunft (Art. 15 DSGVO) über Ihre gespeicherten Daten,
• Berichtigung (Art. 16) unrichtiger Daten,
• Löschung (Art. 17) — direkt in den Kontoeinstellungen („Profil") möglich oder auf Anfrage,
• Einschränkung der Verarbeitung (Art. 18),
• Datenübertragbarkeit (Art. 20),
• Widerspruch (Art. 21) gegen bestimmte Verarbeitungen,
• Beschwerde bei einer Aufsichtsbehörde (Art. 77) — zuständig ist die Datenschutzbehörde des Bundeslandes des Verantwortlichen.

9. Kontakt in Datenschutzsachen

Für Anfragen zu Ihren Rechten oder zum Datenschutz wenden Sie sich an: datenschutz@flowpresent.org

Wir antworten auf Anfragen nach Art. 12 DSGVO innerhalb von einem Monat.