Datenschutzerklärung

Stand: April 2026 (aktualisiert: argon2id-Hashing, Stripe-Vertragspartner, EU AI Act, Cloudflare-Zweck, AVV-Anlage 1)

1. Verantwortlicher

NeuronForge UG (haftungsbeschränkt)
Brillenburgsweg 7
21614 Buxtehude, Deutschland
E-Mail: hello@streamlain.de

2. Überblick über die Datenverarbeitung

StreamLain ist eine SaaS-Plattform für Docs, Canvas, Datenbanken, Automations und KI-Features. Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienste erforderlich ist oder Sie eingewilligt haben. Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten.

3. Hosting und Infrastruktur

Unsere Server stehen in Deutschland bei Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen). Es findet keine Datenübermittlung in Drittländer für das Hosting statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung).

4. Nutzerkonto und Accountdaten

Bei der Registrierung verarbeiten wir:

• E-Mail-Adresse (Pflicht)
• Name (optional)
• Passwort (speicherhart gehasht mit argon2id nach BSI TR-02102 / OWASP Password Storage Cheat Sheet, mit individuellem Salt und serverseitigem Pepper, niemals im Klartext gespeichert)
• Workspace-Zugehörigkeit und Rolle

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: Bis zur Löschung des Accounts, dann innerhalb von 30 Tagen vollständig entfernt.

5. Zwei-Faktor-Authentifizierung

Zur Erhöhung der Kontosicherheit können Sie die Zwei-Faktor-Authentifizierung (2FA) aktivieren. Dabei verarbeiten wir:

• TOTP-Secret: Verschlüsselt mit AES-256-GCM gespeichert, wird zur Generierung zeitbasierter Einmalpasswörter verwendet
• Backup-Codes: Speicherhart mit argon2id gehasht gespeichert, dienen als Notfallzugang bei Verlust des Authentifizierungsgeräts
• Device-Trust-Cookies: Gültig für 30 Tage, enthalten einen HMAC-SHA256-Fingerprint des vertrauenswürdigen Geräts

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Nutzerkonten).

6. Authentifizierung über Drittanbieter (Google OAuth)

Sie können sich alternativ über Ihr Google-Konto anmelden. Bei der Anmeldung über Google OAuth übermittelt Google folgende Daten an uns:

• Name
• E-Mail-Adresse
• Profilbild-URL

Die Anmeldung über Google ist freiwillig. Als Alternative steht die Registrierung mit E-Mail und Passwort zur Verfügung. Bei der Anmeldung über Google wird eine Verbindung zu den Servern von Google LLC (Mountain View, USA) hergestellt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können die Verknüpfung jederzeit in Ihren Kontoeinstellungen aufheben.

Drittlandtransfer: USA. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework sowie ergänzender Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

7. Nutzungsdaten

Bei der Nutzung der Plattform verarbeiten wir technisch notwendige Daten: IP-Adresse (gekürzt), Browser-Typ, Zeitpunkt des Zugriffs, aufgerufene Seiten. Eine routinemäßige Zusammenführung mit anderen Datenquellen findet nicht statt. Ausgenommen sind anlassbezogene Sicherheitsuntersuchungen bei begründetem Verdacht auf Missbrauch oder Angriffe auf die Plattform.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität des Dienstes).

8. Datei-Upload

StreamLain ermöglicht den Upload von Dateien (Bilder, Dokumente, Anhänge) in Workspaces. Der Upload erfolgt über das tus-Protokoll (resumable uploads).

• Speicherort: Hetzner-Server in Deutschland
• Verschlüsselung: TLS 1.3 bei der Übertragung
• Löschung: Dateien werden zusammen mit dem zugehörigen Workspace/Dokument gelöscht, spätestens 30 Tage nach Vertragsende

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Dateiverwaltung ist Kernfunktion der Plattform).

9. Cookies

Die StreamLain-Plattform verwendet ausschließlich technisch notwendige Session-Cookies zur Authentifizierung. Eine Einwilligung ist hierfür nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG). Tracking-Cookies oder Cookies zu Analysezwecken werden nicht eingesetzt.

10. KI-Funktionen und Drittanbieter

StreamLain bietet KI-gestützte Funktionen (Copilot, Automations mit AI-Nodes). Dabei werden Daten an folgende Drittanbieter über deren API-Schnittstellen übermittelt:

10.1 Eingesetzte KI-Anbieter

StreamLain nutzt ausschließlich EU-basierte Endpoints für die KI-Verarbeitung (EU Data Residency). Alle KI-Anfragen werden in EU-Rechenzentren (Frankfurt, Deutschland) verarbeitet:

• Anthropic Claude — über Amazon Web Services (AWS) Bedrock, Region eu-central-1 (Frankfurt). Auftragsverarbeiter: Amazon Web Services EMEA SARL (Luxemburg). Anthropic, PBC ist Sub-Auftragsverarbeiter von AWS.
• Google Gemini — über Google Cloud Vertex AI, Region europe-west3 (Frankfurt). Auftragsverarbeiter: Google Cloud EMEA Limited (Irland).

10.2 Welche Daten werden übermittelt?

Je nach KI-Funktion werden übermittelt: Nutzer-Eingaben (Prompts), ausgewählte Dokumenteninhalte, Datenbank-Einträge, Bilder zur Analyse. Die Übermittlung erfolgt ausschließlich zur Verarbeitung der jeweiligen Anfrage.

10.3 Kein Training mit Ihren Daten (Zero Data Retention)

Ihre Daten werden NICHT zum Training von KI-Modellen verwendet. Wir nutzen ausschließlich die API-Schnittstellen der Anbieter, die vertraglich zusichern, dass API-Daten nicht zum Modelltraining herangezogen werden.

Zusätzlich gilt für unsere EU-Endpoints Zero Data Retention (ZDR):

• AWS Bedrock: ZDR ist Standard — Ihre Eingaben und Ausgaben werden nach der Verarbeitung nicht gespeichert.
• Google Vertex AI: Ausschließlich In-Memory-Verarbeitung mit maximal 24 Stunden projektgebundenem Cache. Kein persistentes Logging.

10.4 EU Data Residency

Alle KI-Anfragen werden ausschließlich in EU-Rechenzentren verarbeitet:

• AWS Bedrock: Region eu-central-1 (Frankfurt, Deutschland)
• Google Vertex AI: Region europe-west3 (Frankfurt, Deutschland)

Es findet kein Drittlandtransfer der KI-Anfragedaten statt. Die Auftragsverarbeiter (AWS EMEA, Google Cloud EMEA) unterliegen dem europäischen Datenschutzrecht. Zusätzlich sind SCCs (Standardvertragsklauseln) als Fallback inkludiert.

10.5 Speicherdauer bei KI-Anbietern

Durch Zero Data Retention werden API-Anfragen nach der Verarbeitung nicht persistent gespeichert. Die In-Memory-Verarbeitung bei Vertex AI ist auf maximal 24 Stunden begrenzt und projektgebunden isoliert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — KI-Funktionen sind Bestandteil des Dienstes).

11. Zahlungsabwicklung (Stripe)

Für die Abrechnung kostenpflichtiger Pläne nutzen wir den Zahlungsdienstleister Stripe Ireland Limited (1 Grand Canal Street Lower, Dublin 2, Irland) als Vertragspartner für EU-Kunden. Stripe Ireland setzt die Konzernmuttergesellschaft Stripe, Inc. (San Francisco, USA) als Sub-Auftragsverarbeiter ein. Dabei werden folgende Daten direkt an Stripe übermittelt:

• Rechnungsadresse
• Zahlungsmethode (Kreditkarte oder SEPA-Lastschrift)
• E-Mail-Adresse (für Zahlungsbelege)

StreamLain speichert keine vollständigen Kreditkartendaten. Die Eingabe der Zahlungsdaten erfolgt über Stripe Elements direkt in der Stripe-Infrastruktur. Stripe ist PCI DSS Level 1 zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Drittlandtransfer: USA, auf Grundlage des EU-US Data Privacy Framework und SCCs.

12. Kostenlose Testphase (Free Trial)

12.1 Zweck der Verarbeitung

Wir bieten registrierten Nutzern eine einmalige kostenlose 14-tägige Testphase des Pro-Plans an. Um Missbrauch dieses Angebots zu verhindern (z.B. wiederholte Registrierung zur mehrfachen Nutzung), speichern wir einen pseudonymisierten Hash-Wert Ihrer E-Mail-Adresse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verhinderung von Trial-Missbrauch). Die Interessenabwägung ist in unserer internen Legitimate Interest Assessment (LIA) dokumentiert.

12.2 Verarbeitete Daten

• E-Mail-Hash: SHA-256-Hash Ihrer E-Mail-Adresse, gesalzen mit einem geheimen Schlüssel. Der Hash lässt keinen Rückschluss auf Ihre E-Mail-Adresse zu.
• Zeitstempel: Datum und Uhrzeit der Trial-Nutzung
• Ablaufdatum: Automatisches Löschdatum (24 Monate nach Trial-Nutzung)

12.3 Speicherdauer und Account-Löschung

Der Hash-Record wird automatisch 24 Monate nach der Trial-Nutzung gelöscht. Nach Ablauf dieser Frist sind Sie erneut für eine kostenlose Testphase berechtigt.

Bei Löschung Ihres Accounts wird der Hash-Record beibehalten, da: der gesalzene Hash ohne Kenntnis des geheimen Schlüssels und Ihrer E-Mail-Adresse keiner Person zugeordnet werden kann, die Löschung den Schutzzweck vereiteln würde, und der Record automatisch nach 24 Monaten gelöscht wird.

12.4 Widerspruchsrecht

Sie können der Verarbeitung gemäß Art. 21 DSGVO widersprechen. Wenden Sie sich dazu an hello@streamlain.de. Nach Löschung des Hash-Records ist keine erneute Berechtigungsprüfung möglich.

12.5 Stripe-Verarbeitung

Die Testphase wird über Stripe verwaltet. Stripe verarbeitet dabei Ihre E-Mail-Adresse zur Erstellung eines Stripe-Customer-Objekts. Für die Testphase wird keine Zahlungsmethode benötigt. Nach Ablauf wird das Abonnement automatisch beendet, wenn keine Zahlungsmethode hinterlegt wurde.

12.6 E-Mail-Benachrichtigungen

Im Zusammenhang mit der Testphase senden wir Ihnen:

• 3 Tage vor Ablauf: Erinnerung an das bevorstehende Ende der Testphase
• Bei Ablauf: Information über die Beendigung und Downgrade auf den Free-Plan

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

13. KI-Nutzungstracking und Transparenzpflichten

StreamLain protokolliert die Nutzung von KI-Funktionen: Zeitpunkt, verwendetes Modell und verbrauchte Credits. Dies dient der Transparenz gegenüber dem Workspace-Admin (Credit-Verbrauchsübersicht) und der Nachvollziehbarkeit der Datenverarbeitung gemäß Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht).

Soweit StreamLain KI-generierte Inhalte ausliefert, kennzeichnen wir diese gegenüber Nutzern als KI-Output. Damit setzen wir die Transparenzpflichten gemäß Art. 50 der Verordnung (EU) 2024/1689 (KI-Verordnung / EU AI Act) in unserer Rolle als Anbieter (für eigene KI-Funktionen) bzw. Betreiber (für die Nutzung der KI-Modelle von Anthropic und Google) um. Die Vorschriften des Art. 50 sind ab dem 02.08.2026 anwendbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kostentransparenz und Nachvollziehbarkeit der KI-Nutzung) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung aus Art. 50 EU AI Act).

14. Auftragsverarbeitung

Wir haben mit allen relevanten Dienstleistern Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen. Aktuelle Unterauftragsverarbeiter:

• Hetzner Online GmbH — Hosting, Server-Infrastruktur, Object Storage (Nürnberg/Falkenstein, Deutschland)
• Amazon Web Services EMEA SARL — KI-Inferenz via Bedrock (eu-central-1 Frankfurt, Luxemburg)
• Google Cloud EMEA Limited — KI-Inferenz via Vertex AI (europe-west3 Frankfurt, Irland)
• Stripe Ireland Limited — Zahlungsabwicklung (Irland), Sub-Verarbeitung über Stripe, Inc. (USA, EU-US DPF + SCCs)
• Cloudflare, Inc. — DNS-Verwaltung (USA, EU-US DPF + SCCs). Kein Proxy/CDN — ausschließlich DNS-Auflösung (Grey Cloud).
• BunnyWay d.o.o. (bunny.net) — CDN, DDoS-Schutz (Ljubljana, Slowenien / EU)

15. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, um Ihre Daten zu schützen. Dazu gehören unter anderem Verschlüsselung bei der Übertragung und im Ruhezustand, sicheres Passwort-Hashing, mehrstufige Zugriffskontrolle mit Mandantentrennung, redundante Infrastruktur mit automatisierten Backups sowie Protokollierung sicherheitsrelevanter Vorgänge.

16. Datenschutzbeauftragter

Gemäß § 38 BDSG ist die Benennung eines Datenschutzbeauftragten erst ab 20 Personen erforderlich, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Da diese Schwelle bei der NeuronForge UG derzeit nicht erreicht wird, ist kein Datenschutzbeauftragter benannt.

Für Datenschutzanfragen wenden Sie sich bitte an: hello@streamlain.de

17. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

Die in StreamLain integrierten KI-Funktionen erzeugen Vorschläge und Entwürfe. Diese stellen keine automatisierten Einzelentscheidungen dar — die endgültige Entscheidung über die Verwendung von KI-Ausgaben liegt stets beim Nutzer.

18. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

• Auskunft (Art. 15) — Welche Daten wir über Sie gespeichert haben
• Berichtigung (Art. 16) — Korrektur unrichtiger Daten
• Löschung (Art. 17) — Löschung Ihrer Daten (“Recht auf Vergessenwerden”)
• Einschränkung (Art. 18) — Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20) — Export Ihrer Daten in maschinenlesbarem Format
• Widerspruch (Art. 21) — Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
• Widerruf der Einwilligung — Jederzeit möglich, ohne Angabe von Gründen

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hello@streamlain.de.

19. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
www.lfd.niedersachsen.de

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite.