Datenschutzerklärung

Stand: Maerz 2026

1. Verantwortlicher

NeuronForge UG (haftungsbeschränkt)
Brillenburgsweg 7
21614 Buxtehude, Deutschland
E-Mail: hello@streamlain.de

2. Überblick über die Datenverarbeitung

StreamLain ist eine SaaS-Plattform für Docs, Canvas, Datenbanken, Automations und KI-Features. Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienste erforderlich ist oder Sie eingewilligt haben. Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten.

3. Hosting und Infrastruktur

Unsere Server stehen in Deutschland bei Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen). Es findet keine Datenübermittlung in Drittländer für das Hosting statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung).

4. Nutzerkonto und Accountdaten

Bei der Registrierung verarbeiten wir:

• E-Mail-Adresse (Pflicht)
• Name (optional)
• Passwort (gehasht mit bcrypt, nicht im Klartext gespeichert)
• Workspace-Zugehörigkeit und Rolle

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: Bis zur Löschung des Accounts, dann innerhalb von 30 Tagen vollständig entfernt.

5. Zwei-Faktor-Authentifizierung

Zur Erhöhung der Kontosicherheit können Sie die Zwei-Faktor-Authentifizierung (2FA) aktivieren. Dabei verarbeiten wir:

• TOTP-Secret: Verschlüsselt mit AES-256-GCM gespeichert, wird zur Generierung zeitbasierter Einmalpasswörter verwendet
• Backup-Codes: Gehasht mit bcrypt gespeichert, dienen als Notfallzugang bei Verlust des Authentifizierungsgeräts
• Device-Trust-Cookies: Gültig für 30 Tage, enthalten einen HMAC-SHA256-Fingerprint des vertrauenswürdigen Geräts

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Nutzerkonten).

6. Authentifizierung über Drittanbieter (Google OAuth)

Sie können sich alternativ über Ihr Google-Konto anmelden. Bei der Anmeldung über Google OAuth übermittelt Google folgende Daten an uns:

• Name
• E-Mail-Adresse
• Profilbild-URL

Die Anmeldung über Google ist freiwillig. Als Alternative steht die Registrierung mit E-Mail und Passwort zur Verfügung. Bei der Anmeldung über Google wird eine Verbindung zu den Servern von Google LLC (Mountain View, USA) hergestellt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können die Verknüpfung jederzeit in Ihren Kontoeinstellungen aufheben.

Drittlandtransfer: USA. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework sowie ergänzender Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

7. Nutzungsdaten

Bei der Nutzung der Plattform verarbeiten wir technisch notwendige Daten: IP-Adresse (gekürzt), Browser-Typ, Zeitpunkt des Zugriffs, aufgerufene Seiten. Diese Daten werden nicht mit anderen Datenquellen zusammengeführt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität des Dienstes).

8. Datei-Upload

StreamLain ermöglicht den Upload von Dateien (Bilder, Dokumente, Anhänge) in Workspaces. Der Upload erfolgt über das tus-Protokoll (resumable uploads).

• Speicherort: Hetzner-Server in Deutschland
• Verschlüsselung: TLS 1.3 bei der Übertragung
• Löschung: Dateien werden zusammen mit dem zugehörigen Workspace/Dokument gelöscht, spätestens 30 Tage nach Vertragsende

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Dateiverwaltung ist Kernfunktion der Plattform).

9. Cookies

Die StreamLain-Plattform verwendet ausschließlich technisch notwendige Session-Cookies zur Authentifizierung. Eine Einwilligung ist hierfür nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG). Tracking-Cookies oder Cookies zu Analysezwecken werden nicht eingesetzt.

10. KI-Funktionen und Drittanbieter

StreamLain bietet KI-gestützte Funktionen (Copilot, Automations mit AI-Nodes). Dabei werden Daten an folgende Drittanbieter über deren API-Schnittstellen übermittelt:

10.1 Eingesetzte KI-Anbieter

StreamLain nutzt ausschließlich EU-basierte Endpoints für die KI-Verarbeitung (EU Data Residency). Alle KI-Anfragen werden in EU-Rechenzentren (Frankfurt, Deutschland) verarbeitet:

• Anthropic Claude — über Amazon Web Services (AWS) Bedrock, Region eu-central-1 (Frankfurt). Auftragsverarbeiter: Amazon Web Services EMEA SARL (Luxemburg). Anthropic, PBC ist Sub-Auftragsverarbeiter von AWS.
• Google Gemini — über Google Cloud Vertex AI, Region europe-west3 (Frankfurt). Auftragsverarbeiter: Google Cloud EMEA Limited (Irland).

Nutzer können optional eigene API-Keys für direkte Verbindungen zu KI-Anbietern hinterlegen (User-Keys-Modus). In diesem Fall gelten die Datenschutzrichtlinien und DPAs des jeweiligen Anbieters direkt zwischen Nutzer und Anbieter.

10.2 Welche Daten werden übermittelt?

Je nach KI-Funktion werden übermittelt: Nutzer-Eingaben (Prompts), ausgewählte Dokumenteninhalte, Datenbank-Einträge, Bilder zur Analyse. Die Übermittlung erfolgt ausschließlich zur Verarbeitung der jeweiligen Anfrage.

10.3 Kein Training mit Ihren Daten (Zero Data Retention)

Ihre Daten werden NICHT zum Training von KI-Modellen verwendet. Wir nutzen ausschließlich die API-Schnittstellen der Anbieter, die vertraglich zusichern, dass API-Daten nicht zum Modelltraining herangezogen werden.

Zusätzlich gilt für unsere EU-Endpoints Zero Data Retention (ZDR):

• AWS Bedrock: ZDR ist Standard — Ihre Eingaben und Ausgaben werden nach der Verarbeitung nicht gespeichert.
• Google Vertex AI: Ausschließlich In-Memory-Verarbeitung mit maximal 24 Stunden projektgebundenem Cache. Kein persistentes Logging.

10.4 EU Data Residency

Alle KI-Anfragen im Managed-Modus (serverseitige Verarbeitung) werden ausschließlich in EU-Rechenzentren verarbeitet:

• AWS Bedrock: Region eu-central-1 (Frankfurt, Deutschland)
• Google Vertex AI: Region europe-west3 (Frankfurt, Deutschland)

Es findet kein Drittlandtransfer der KI-Anfragedaten statt. Die Auftragsverarbeiter (AWS EMEA, Google Cloud EMEA) unterliegen dem europäischen Datenschutzrecht. Zusätzlich sind SCCs (Standardvertragsklauseln) als Fallback inkludiert.

10.5 Speicherdauer bei KI-Anbietern

Durch Zero Data Retention werden API-Anfragen nach der Verarbeitung nicht persistent gespeichert. Die In-Memory-Verarbeitung bei Vertex AI ist auf maximal 24 Stunden begrenzt und projektgebunden isoliert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — KI-Funktionen sind Bestandteil des Dienstes).

11. Zahlungsabwicklung (Stripe)

Für die Abrechnung kostenpflichtiger Pläne nutzen wir den Zahlungsdienstleister Stripe, Inc. (San Francisco, USA). Dabei werden folgende Daten direkt an Stripe übermittelt:

• Rechnungsadresse
• Zahlungsmethode (Kreditkarte oder SEPA-Lastschrift)
• E-Mail-Adresse (für Zahlungsbelege)

StreamLain speichert keine vollständigen Kreditkartendaten. Die Eingabe der Zahlungsdaten erfolgt über Stripe Elements direkt in der Stripe-Infrastruktur. Stripe ist PCI DSS Level 1 zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Drittlandtransfer: USA, auf Grundlage des EU-US Data Privacy Framework und SCCs.

12. KI-Nutzungstracking

StreamLain protokolliert die Nutzung von KI-Funktionen: Zeitpunkt, verwendetes Modell, Anzahl der Tokens, geschätzte Kosten. Dies dient der Transparenz gegenüber dem Workspace-Admin (Kostenübersicht, Compliance) und der Erfüllung von Pflichten aus der KI-Verordnung (EU AI Act, Art. 4, 26, 50).

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kostentransparenz).

13. Auftragsverarbeitung

Wir haben mit allen relevanten Dienstleistern Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen. Aktuelle Unterauftragsverarbeiter:

• Hetzner Online GmbH — Hosting, Server-Infrastruktur, Object Storage (Nürnberg/Falkenstein, Deutschland)
• Amazon Web Services EMEA SARL — KI-Inferenz via Bedrock (eu-central-1 Frankfurt, Luxemburg)
• Google Cloud EMEA Limited — KI-Inferenz via Vertex AI (europe-west3 Frankfurt, Irland)
• Stripe Ireland Limited — Zahlungsabwicklung (Irland, EU-US DPF)
• Cloudflare, Inc. — DNS, CDN, DDoS-Schutz (USA, EU-US DPF + SCCs)
• BunnyWay d.o.o. (bunny.net) — CDN, DDoS-Schutz (Ljubljana, Slowenien / EU)

14. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein:

• Verschlüsselung: AES-256-GCM für sensible Daten (API-Keys, Zertifikate), TLS 1.3 für Datenübertragung
• Passwörter: bcrypt-Hashing (OWASP-konform)
• Zugriffskontrolle: Mehrstufiges Rollen- und Berechtigungssystem
• Integrität: Kryptographische Prüfsummen zur Integritätssicherung
• Nachvollziehbarkeit: Protokollierung sicherheitsrelevanter Vorgänge

15. Datenschutzbeauftragter

Gemäß § 38 BDSG ist die Benennung eines Datenschutzbeauftragten erst ab 20 Personen erforderlich, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Da diese Schwelle bei der NeuronForge UG derzeit nicht erreicht wird, ist kein Datenschutzbeauftragter benannt.

Für Datenschutzanfragen wenden Sie sich bitte an: hello@streamlain.de

16. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

Die in StreamLain integrierten KI-Funktionen erzeugen Vorschläge und Entwürfe. Diese stellen keine automatisierten Einzelentscheidungen dar — die endgültige Entscheidung über die Verwendung von KI-Ausgaben liegt stets beim Nutzer.

17. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

• Auskunft (Art. 15) — Welche Daten wir über Sie gespeichert haben
• Berichtigung (Art. 16) — Korrektur unrichtiger Daten
• Löschung (Art. 17) — Löschung Ihrer Daten (“Recht auf Vergessenwerden”)
• Einschränkung (Art. 18) — Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20) — Export Ihrer Daten in maschinenlesbarem Format
• Widerspruch (Art. 21) — Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
• Widerruf der Einwilligung — Jederzeit möglich, ohne Angabe von Gründen

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hello@streamlain.de.

18. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
www.lfd.niedersachsen.de

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite.