Zum Inhalt springen
Zurück zur Startseite
Rechtliches

Datenschutzerklärung

Zuletzt aktualisiert: 14. Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) ist:

FluxHuman
Martin Benes (Einzelunternehmer)
Wien, Österreich
E-Mail: hello@fluxhuman.com

Aufgrund der Größe des Unternehmens besteht keine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO). Datenschutzanfragen richten Sie bitte an die oben genannte E-Mail-Adresse.

2. Hosting und Server-Logs

Die Website wird auf eigener Infrastruktur betrieben und über das Edge-Netzwerk von Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) ausgeliefert. Cloudflare verarbeitet als Auftragsverarbeiter Verbindungsdaten (insbesondere IP-Adressen) zur Bereitstellung, DDoS-Abwehr und TLS-Terminierung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, performanten Betrieb). Die Übermittlung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln und des EU-US Data Privacy Framework.

Beim Aufruf der Website verarbeitet unser Server kurzzeitig folgende Daten:

  • IP-Adresse (von Cloudflare als cf-connecting-ip übergeben)
  • Datum und Uhrzeit der Anfrage
  • Aufgerufene URL bzw. Pfad
  • HTTP-Statuscode und übertragene Datenmenge
  • Browser-Typ, Browser-Version und Betriebssystem (User-Agent)
  • Referrer-URL (sofern vom Browser übermittelt)

IP-Adressen werden ausschließlich im Arbeitsspeicher zur Erkennung und Begrenzung von missbräuchlichem Verhalten (Rate-Limiting) gehalten und spätestens nach elf Minuten automatisch verworfen. Wir führen keine permanenten Zugriffsprotokolle mit IP-Adressen. An unsere Analyse-Komponente (siehe Abschnitt 5) werden IP-Adressen serverseitig entfernt und nicht weitergegeben.

3. Kontaktformular, Chat und Newsletter

3.1 Kontaktformular

Wenn Sie unser Kontaktformular nutzen, verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, optional Unternehmen, Nachricht sowie eine optionale Newsletter-Einwilligung). Diese Daten werden in unserer selbst gehosteten PostgreSQL-Datenbank (Payload CMS, Server in der EU) gespeichert und an unsere selbst gehostete Automatisierungs-Plattform n8n weitergeleitet, die im selben privaten Docker-Netzwerk läuft. n8n übergibt die Daten anschließend an die in Abschnitt 9 aufgeführten Empfänger (insbesondere Brevo für den E-Mail-Versand und Slack für die interne Lead-Benachrichtigung). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (Beantwortung Ihrer Anfrage).

Werbe- und Kanal-Attribution (nur mit Marketing-Einwilligung).Wenn Sie über einen Werbeklick auf unsere Seite gelangt sind und im Cookie-Banner ausdrücklich der Marketing-Verarbeitung zugestimmt haben, speichern wir zusätzlich die Klick-Kennung des Anzeigennetzwerks (z. B. Google, Microsoft, Meta, LinkedIn) sowie die ursprüngliche Einstiegsseite und UTM-Parameter und legen diese gemeinsam mit dem Lead-Datensatz ab. Diese Information dient ausschließlich der internen Kanal-Auswertung; eine Weitergabe an die jeweiligen Werbenetzwerke erfolgt nur, wenn und soweit Sie auch dazu eingewilligt haben. Ohne diese Marketing-Einwilligung werden die Klick-Kennungen weder gespeichert noch weitergeleitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können die Einwilligung jederzeit über den Cookie-Banner („Konfigurieren“) widerrufen.

3.2 Chat-Widget

Unser Chat-Widget verarbeitet Ihre Nachrichten zur Beantwortung Ihrer Anfrage. Je nach Betriebsmodus läuft die Antwortgenerierung über ein lokal betriebenes Sprachmodell (Ollama) auf eigener Infrastruktur oder über eine n8n-Automatisierung, die für die KI-Inferenz den europäischen Auftragsverarbeiter Mistral AI SAS (Paris, Frankreich) nutzt. In beiden Fällen verlassen Ihre Nachrichten die EU-Rechtshoheit nicht. Eine zufällige, nicht personenbezogene Sitzungs-ID (z. B. session-1742...) wird auf Ihrem Gerät im Browser-Speicher (localStorage, Schlüssel Flux_chat_user_id für die stabile Kennung und Flux_chat_session_id für die jeweils 30 Minuten gültige Sitzungs-ID) abgelegt, um den Gesprächsverlauf innerhalb einer Sitzung zusammenzuführen. Wenn Sie über den Chat ein Buchungs- oder Kontaktformular ausfüllen, gelten zusätzlich die Hinweise aus Abschnitt 3.1. Reichen Sie im Anschluss an einen Chat im selben Browser-Tab ein Kontaktformular ein, kann die anonyme Chat-ID in unserer Reichweitenmessung mit dem aus Ihrer E-Mail-Adresse gebildeten pseudonymen Kennwert (siehe Abschnitt 5) zusammengeführt werden, damit Chat- und Formular-Ereignisse als ein Vorgang ausgewertet werden können. Chat-Verläufe werden in unserer Automatisierungsplattform nach spätestens 30 Tagen automatisch gelöscht.

3.3 Newsletter

Wenn Sie sich für unseren Newsletter anmelden, übermitteln wir Ihre E-Mail-Adresse an unsere n8n-Automatisierung, die den Versand über den Auftragsverarbeiter Brevo abwickelt (siehe Abschnitt 4). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können die Einwilligung jederzeit per Klick auf den Abmelde-Link in jeder Newsletter-E-Mail oder per Nachricht an hello@fluxhuman.com widerrufen.

3.4 Outbound-Recherche (B2B-Akquise)

Im Rahmen unserer B2B-Akquise recherchieren wir öffentlich zugängliche geschäftliche Kontaktdaten (z. B. aus Unternehmenswebseiten, öffentlichen Branchen- und Firmenverzeichnissen) und legen daraus einen Lead-Datensatz in unserer eigenen Datenbank an. Verarbeitete Kategorien: geschäftliche E-Mail-Adresse, Name der Ansprechperson, Unternehmen, ggf. Branche und eine kurze, KI-generierte Zusammenfassung der öffentlich verfügbaren Webseite. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an direkter B2B-Geschäftsanbahnung mit Entscheidungsträgern).

Gemäß Art. 14 DSGVO informieren wir betroffene Personen spätestens beim ersten Kontakt (Erst-E-Mail) über die Verarbeitung, die Quelle der Daten und die Empfänger. Sie haben jederzeit das Recht, der Verarbeitung gemäß Art. 21 DSGVO zu widersprechen und die Löschung Ihres Datensatzes gemäß Art. 17 DSGVO zu verlangen; ein formloses Schreiben an hello@fluxhuman.com genügt. Die Speicherdauer nicht-kontaktierter Datensätze beträgt maximal 12 Monate; nach erstem Kontakt gelten die Speicherdauern aus Abschnitt 10.

4. E-Mail-Versand (Brevo)

Für den Versand transaktionaler E-Mails (z. B. Bestätigungen, Antwort-E-Mails, Newsletter, Lead-Nachfass-E-Mails) nutzen wir den SMTP-Dienst Brevo, betrieben von Sendinblue SAS(106 Boulevard Haussmann, 75008 Paris, Frankreich). Brevo verarbeitet hierfür Empfängername, E-Mail-Adresse, Inhalt der Nachricht sowie technische Versand-Metadaten (z. B. Zustellstatus, Bounces). Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO. Verarbeitung erfolgt innerhalb der EU; ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO liegt vor.

5. Reichweitenmessung (PostHog, EU)

Wir messen die Nutzung unserer Website mit dem Analyse-Werkzeug PostHog, betrieben von PostHog Inc., gehostet auf der EU-Region (eu.i.posthog.com, Server in Frankfurt am Main, Deutschland). Anders als bei klassischen Analyse-Diensten:

  • Es wird kein clientseitiges Tracking-Skript in Ihrem Browser ausgeführt. Stattdessen melden wir Ereignisse serverseitig über unsere eigene Schnittstelle /api/track.
  • Ihre IP-Adresse wird serverseitig entfernt, bevor das Ereignis an PostHog übergeben wird. PostHog erhält ausdrücklich kein $ip-Feld.
  • Es wird keine browserübergreifende Wiedererkennung verwendet. Eine zufällige Sitzungs-ID wird ausschließlich im sessionStorageIhres Browsers gespeichert (Schlüssel fluxhuman-session-id) und beim Schließen des Tabs gelöscht.

Ohne Ihre Einwilligung erfassen wir nur einen anonymen Seitenaufruf mit folgenden Inhalten: aufgerufener Pfad, Viewport-Größe, sitzungsbezogene anonyme ID sowie die Herkunftsdomain (Hostname der zuvor besuchten Seite, z. B. google.com — ausdrücklich ohne Pfad und ohne Query-String, um keine personenbezogenen URL-Bestandteile zu verarbeiten). Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO bzw. § 165 Abs. 3 TKG 2021 (technisch notwendige Reichweitenmessung ohne Cookies und ohne IP-Speicherung).

Nach Ihrer Einwilligung erfassen wir zusätzlich nicht-anonyme Interaktionsereignisse (z. B. Kontaktformular-Absendung, Chat-Nachricht, Klick auf einen Buchungs-Link), die vollständige Herkunfts-URL, Bildschirmauflösung und Sitzungsdauer, eine technische Messung der Zeit bis zur ersten Interaktion mit der Seite (first interaction timing) sowie Fehlerereignisse aus dem Browser, falls die Seite einen JavaScript-Fehler auslöst (client error reporting; potenziell personenbezogene Inhalte wie E-Mail-Adressen oder Tokens werden vor der Übermittlung serverseitig automatisch entfernt). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Damit wir nachweisen können, ob Besucher die Datenschutz-Einwilligung erteilen oder ablehnen, übermitteln wir die Anzeige des Einwilligungs-Banners sowie Ihre Wahl (consent_banner_shown, consent_choice) auch ohne Einwilligung anonym an PostHog. Es werden dabei keine personen- bezogenen Daten und keine IP-Adresse übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nachweis und Auswertung der Einwilligungsabfrage gem. Art. 7 Abs. 1 DSGVO).

Sie können Ihre Einwilligung jederzeit über den Cookie-Banner („Konfigurieren“) widerrufen. Ein Auftragsverarbeitungsvertrag mit PostHog liegt vor.

Pseudonymes Personen-Kennzeichen nach Lead-Erfassung.Wenn Sie unser Kontaktformular abschicken, wird Ihre E-Mail-Adresse vor jeder Übergabe an PostHog auf unserem eigenen Server in einen einseitigen Hash-Wert umgewandelt (gekürzter SHA-256). PostHog erhält ausschließlich diesen pseudonymen Kennwert; Ihre tatsächliche E-Mail-Adresse wird zu keinem Zeitpunkt an PostHog übermittelt. Damit können Ereignisse aus Ihrer vorhergehenden Chat-Sitzung im selben Browser-Tab demselben pseudonymen Vorgang zugeordnet und unsere Konversionsmessung kohärent ausgewertet werden. Es handelt sich um eine Pseudonymisierung im Sinne von Art. 4 Z 5 DSGVO; eine Re-Identifizierung ist auf Seiten von PostHog ohne unsere Mitwirkung nicht ohne weiteres möglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer aussagekräftigen, datenminimierten Konversionsmessung); ein Widerspruch gegen diese Verarbeitung ist gemäß Art. 21 DSGVO jederzeit möglich.

6. Speicherung im Browser (kein Tracking durch Cookies)

Diese Website setzt keine Tracking-Cookies und keine Werbe-Cookies. Es werden keine Drittanbieter-Cookies geladen. Wir verwenden ausschließlich Erstanbieter-Speicher in Ihrem Browser (localStorage / sessionStorage) für folgende, technisch notwendige Zwecke:

  • fluxhuman-theme – Ihre gewählte Farbgebung (hell/dunkel).
  • fluxhuman-locale – Ihre gewählte Sprache.
  • fluxhuman-consent – Ihre Einwilligungs-Entscheidung.
  • fluxhuman-session-id / fluxhuman-session-start / fluxhuman-session-utm – anonyme Sitzungs-ID und UTM-Parameter, ausschließlich für die Dauer der Browser-Sitzung.
  • fluxhuman-session-attribution – Klick-IDs sowie Erst-Landingpage und Erst-Herkunft, ausschließlich nach Marketing-Einwilligung und nur für die Dauer der Browser-Sitzung.
  • Flux_chat_user_id – stabile, pseudonyme Kennung Ihres Chat-Widgets, persistent gespeichert. Ermöglicht die Zuordnung mehrerer Chat-Unterhaltungen.
  • Flux_chat_session_id / Flux_chat_session_last_activity– pseudonyme Sitzungs-ID und Zeitstempel der letzten Aktivität. Eine Sitzung läuft nach 30 Minuten Inaktivität ab.

Diese Einträge verbleiben ausschließlich auf Ihrem Gerät und werden nicht an Dritte übermittelt. Sie können sie jederzeit über die Einstellungen Ihres Browsers löschen.

7. Externe Buchungs-Links (Cal.com)

Auf einigen Seiten verlinken wir auf Cal.com (Cal.com, Inc.) zur Terminbuchung. Erst wenn Sie diesen Link aktiv anklicken, verlassen Sie unsere Website. Auf den Seiten von Cal.com gilt die Datenschutzerklärung von Cal.com. Wir betten keine Cal.com-Skripte oder Iframes auf unseren Seiten ein.

8. Schriftarten

Wir verwenden die Schriftarten „Geist“ und „Geist Mono“. Diese werden über die Selbst-Hosting-Funktion von next/font beim Build heruntergeladen und von unserem Server ausgeliefert. Es besteht keine Verbindung Ihres Browsers zu Google Fonts oder einem anderen Schriftarten-CDN.

9. Empfänger personenbezogener Daten (Auftragsverarbeiter)

  • Cloudflare, Inc. – Edge-/Tunnel-Anbindung, DDoS-Schutz, TLS (USA, EU-SCC + DPF).
  • Sendinblue SAS (Brevo) – SMTP-Versand und Newsletter (Frankreich, EU).
  • PostHog Inc. – Reichweitenmessung über EU-Region (Deutschland; Vertrag nach Art. 28 DSGVO).
  • Mistral AI SAS – KI-Inferenz für das Chat-Widget (Paris, Frankreich; Vertrag nach Art. 28 DSGVO). Verarbeitete Daten: Inhalt Ihrer Chat-Nachrichten und unsere Antworten zum Zweck der Generierung der jeweils nächsten Antwort. Es findet kein Training mit Ihren Eingaben statt.
  • Slack Technologies LLC – interne Lead-Benachrichtigung über einen privaten Slack-Kanal (USA; Vertrag nach Art. 28 DSGVO, Übermittlungsgrundlage: EU-Standardvertragsklauseln und EU-US Data Privacy Framework). Verarbeitete Daten: Name, E-Mail, Unternehmen und ein Auszug der Nachricht aus dem Kontaktformular bzw. Lead-Kennzahlen.

Unsere Datenbank (PostgreSQL), das Payload-CMS, der Chat-Server (Ollama) und die Automatisierungs-Plattform (n8n) werden auf eigener Infrastruktur in der EU betrieben.

10. Speicherdauer

  • Server-Memory mit IP-Adresse für Rate-Limiting: max. 11 Minuten.
  • Anfragen aus dem Kontaktformular und Lead-Datensätze: bis zum Abschluss bzw. Abbruch der Anfrage und für die Dauer gesetzlicher Aufbewahrungspflichten (z. B. 7 Jahre nach § 132 BAO bei Rechnungen).
  • Newsletter-Daten: bis zum Widerruf der Einwilligung.
  • Chat-Verläufe in der Automatisierungsplattform: max. 30 Tage.
  • PostHog-Ereignisse: 30 Tage, danach automatische Löschung.
  • n8n-Ausführungshistorie (interne Workflow-Logs, ggf. mit Lead-Inhalten): max. 30 Tage.

11. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Datenübertragbarkeit (Art. 20 DSGVO).
  • Widerspruchsrecht (Art. 21 DSGVO), insbesondere gegen Verarbeitungen auf Grundlage berechtigter Interessen.
  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO), mit Wirkung für die Zukunft.

Zur Ausübung dieser Rechte genügt eine formlose E-Mail an hello@fluxhuman.com.

12. Beschwerderecht

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
E-Mail: dsb@dsb.gv.at

13. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen. Die Übertragung erfolgt durchgängig per TLS, Passwörter werden gehashed gespeichert, und der Zugriff auf den Adminbereich ist auf einen begrenzten Personenkreis beschränkt.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Version finden Sie stets auf dieser Seite. Das Datum der letzten Aktualisierung ist oben ausgewiesen.

15. Kontakt für Datenschutzanfragen

Bei Fragen zum Datenschutz wenden Sie sich bitte an:
E-Mail: hello@fluxhuman.com