Datenschutzerklärung

Stand: 12. April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

SteadyFlow — Maxim Werle
Im Birkenwaeldchen 31, 63225 Langen, Deutschland
Korrespondenzadresse USA: 1337 W 43rd St, Unit #1365, Houston, TX 77018
E-Mail: hello@steadyflow.io

Rechtsform: Kleingewerbe (kein Handelsregistereintrag, keine USt-IdNr. gemäß § 19 UStG Kleinunternehmerregelung)

2. Erhebung und Verarbeitung personenbezogener Daten

Kontaktformular (steadyflow.io)

Wenn Sie unser Kontaktformular nutzen, erheben wir folgende Daten:

  • Ihren Namen
  • Ihre E-Mail-Adresse
  • Ihre Website-URL (optional)
  • Ihre Nachricht

Zweck: Bearbeitung Ihrer Anfrage und mögliche Anbahnung einer Geschäftsbeziehung.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Sie stimmen unserer Datenschutzerklärung vor dem Absenden des Formulars ausdrücklich zu.

Website-Scanner

Wenn Sie unseren kostenlosen Website-Scanner unter steadyflow.io/scanner nutzen, wird die eingegebene URL an die Google PageSpeed Insights API zur Analyse gesendet. Wir speichern die von Ihnen gescannten URLs nicht. Die Scan-Ergebnisse werden für 24 Stunden im localStorage Ihres Browsers zwischengespeichert, um wiederholte API-Aufrufe zu vermeiden.

Zweck: Bereitstellung einer Website-Performance-Analyse.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Sie initiieren den Scan freiwillig.

Hero-Section Website-Preview-Generator

Wenn Sie Ihre Website-URL in das Formular auf unserer Startseite einfügen, laden wir öffentlich zugängliche Inhalte Ihrer Website (HTML, Bilder, Überschriften, Kontaktlinks von der Startseite und bis zu drei Unterseiten), übergeben diese Inhalte an die Gemini-AI von Google zur Extraktion der Markenmerkmale und geben diese Merkmale anschließend an die Stitch-AI von Google weiter, um eine personalisierte Landing-Page-Vorschau zu erzeugen. Die Vorschau wird unter preview.steadyflow.io gehostet und auf dieser Seite in einem iframe eingebettet. Wir speichern die Original-URL, einen IP-Hash (mit täglich rotierendem Salt — nicht die rohe IP), die extrahierten Markenmerkmale, das erzeugte Preview-HTML und einen Screenshot für 30 Tage zu Caching-, Missbrauchsabwehr- und Audit-Zwecken. Nach 30 Tagen wird alles automatisch aus unserem R2-Storage und unserer Datenbank gelöscht.

Zweck: Ihnen zu zeigen, wie ein Redesign Ihrer Seite durch SteadyFlow aussehen könnte, bevor Sie entscheiden, ob Sie uns beauftragen möchten.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Sie senden Ihre URL freiwillig ab und stoßen die Generierung mit einem Klick auf den Button an. Die gescrapten Inhalte sind Ihre eigenen öffentlich zugänglichen Website-Inhalte.

Wir respektieren die robots.txt jeder Seite (keine Admin-Bereiche, keine eingeloggten Seiten, kein Umgehen von Rate-Limits). Wir umgehen keine Zugriffskontrollen.

Speicherdauer: 30 Tage. Sowohl die R2-gehostete Vorschau als auch der Datenbankeintrag werden am Tag 31 gelöscht.

Server-Protokolle

Unser Hosting-Anbieter (Vercel) erfasst bei jedem Besuch unserer Website automatisch standardmäßige Server-Protokolldaten, darunter:

  • IP-Adresse (wird nach 24 Stunden anonymisiert)
  • Browsertyp und -version (User-Agent)
  • Referrer-URL
  • Aufgerufene Seiten und Zugriffszeit

Zweck: Gewährleistung der Website-Sicherheit, Missbrauchsprävention und Aufrechterhaltung der Dienstverfügbarkeit.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — Sicherung unserer Web-Infrastruktur.

E-Mail-Kommunikation

Wenn wir Sie per E-Mail kontaktieren, verarbeiten wir ggf. Ihre geschäftliche E-Mail-Adresse, Ihren Namen und Ihren Firmennamen. Unsere E-Mails können Tracking-Technologien (Tracking-Pixel und Link-Tracking) enthalten, um Öffnungsraten und Klickraten zu messen.

Zweck: Geschäftliche Kontaktaufnahme und Messung der E-Mail-Interaktion.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — Direktwerbung gegenüber Unternehmen mit öffentlich verfügbaren Kontaktdaten (vgl. § 7 Abs. 2 Nr. 3 UWG für B2B).

Hinweis zum E-Mail-Tracking: Unsere geschäftlichen E-Mails können Tracking-Pixel und Link-Tracking enthalten, um Öffnungs- und Klickraten zu messen. Dies dient der Optimierung unserer Kommunikation (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO). Das Setzen von Tracking-Pixeln kann nach § 25 TDDDG einwilligungspflichtig sein. Wenn Sie dem E-Mail-Tracking widersprechen möchten, kontaktieren Sie uns bitte unter hello@steadyflow.io oder nutzen Sie den Abmeldelink in jeder E-Mail.

Portfolio- / Demo-Websites

Unsere Portfolio-Websites (z. B. fitness.steadyflow.io, lawyer.steadyflow.io) sind Demonstrationsseiten, die unsere Webdesign-Fähigkeiten präsentieren. Einige Demo-Seiten enthalten Formulare (z. B. Kontakt- oder Reservierungsformulare), diese sind jedoch nicht funktionsfähig — es werden keine Daten übertragen oder gespeichert.

3. Empfänger und Auftragsverarbeiter

Wir setzen folgende Dienstleister (Auftragsverarbeiter) zur Verarbeitung Ihrer Daten ein:

  • Vercel (Vercel Inc., USA)Website-Hosting und CDN. Verarbeitet Server-Protokolle inkl. IP-Adressen. Datenschutzerklärung
  • Convex (Convex Inc., USA — Daten gehostet in EU/Irland)Datenbank-Hosting. Speichert Kontaktformular-Einsendungen. Daten werden in der EU (Irland, aws-eu-west-1) gespeichert; Anbieter ist ein US-Unternehmen. Datenschutzerklärung
  • Google PageSpeed Insights API (Google LLC, USA)Betreibt unseren Website-Scanner. Die eingegebene URL wird zur Analyse an Google gesendet. Datenschutzerklärung
  • Resend (Resend Inc., USA)Versendet Bestätigungs-E-Mails für Kontaktformulare. Datenschutzerklärung
  • Discord (Discord Inc., USA)Interne Team-Benachrichtigungen bei Kontaktformular-Einsendungen (nur Name und Anfragegegenstand). Datenschutzerklärung
  • Instantly (Instantly AI Inc., USA)E-Mail-Versanddienst für geschäftliche Kontaktaufnahme. Datenschutzerklärung
  • MyEmailVerifier (MyEmailVerifier LLC, USA)E-Mail-Validierungsdienst. Wir senden Empfänger-E-Mail-Adressen zur Prüfung der Zustellbarkeit vor dem Outreach. Datenschutzerklärung
  • Google Gemini API (Google LLC, USA)Wird intern für die visuelle Website-Analyse im Rahmen unserer Lead-Qualifizierung verwendet. Das öffentlich zugängliche Erscheinungsbild Ihrer Website kann analysiert werden. Datenschutzerklärung
  • Google Stitch (Google LLC, USA)AI-Design-Tool, das die personalisierte Landing-Page-Vorschau erzeugt, wenn Sie Ihre URL im Hero-Preview-Generator absenden. Wird durch denselben Google-Cloud-Auftragsverarbeitungsvertrag wie Gemini abgedeckt. Datenschutzerklärung
  • Cloudflare (Cloudflare Inc., USA)DNS-Verwaltung, R2-Object-Storage (in dem die erzeugten Previews 30 Tage liegen) und Content Delivery für Preview-Subdomains. Datenschutzerklärung

Internationale Datenübermittlungen

Mehrere unserer Dienstleister haben ihren Sitz in den Vereinigten Staaten von Amerika. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO für zertifizierte Unternehmen) und/oder auf Basis von Standardvertragsklauseln (SVK) gemäß Art. 46 Abs. 2 lit. c DSGVO. Wir haben mit unseren wesentlichen Auftragsverarbeitern Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO geschlossen, soweit dies erforderlich ist.

4. Cookies und lokaler Speicher

Unsere Website verwendet keine Cookies. Wir nutzen jedoch den localStorage Ihres Browsers (ein clientseitiger Speichermechanismus) für folgende Zwecke:

  • Einwilligungspräferenz Speicherung Ihrer Datenschutz-Banner-Auswahl, damit wir es nicht erneut anzeigen (Schlüssel: cookie-consent).
  • Scanner-Cache Zwischenspeicherung von Website-Scan-Ergebnissen für 24 Stunden, um wiederholte API-Aufrufe zu vermeiden (Schlüssel: sf_scan_*).
  • Hero-Preview-Session-Cache Wenn Sie eine Hero-Section-Vorschau generieren, cachen wir das Ergebnis eine Stunde lang, damit ein Seiten-Refresh keine zweite Generierung auslöst (Schlüssel: sf_hero_preview_*).

localStorage-Daten werden ausschließlich in Ihrem Browser gespeichert und niemals an unsere Server übertragen. Sie können diese Daten jederzeit über Ihre Browser-Einstellungen löschen oder indem Sie in unserem Website-Footer auf „Cookie-Einstellungen“ klicken.

Rechtsgrundlage: Technisch notwendige Speicherung ist nach § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung zulässig, da sie für die Bereitstellung des von Ihnen ausdrücklich angeforderten Dienstes unbedingt erforderlich ist.

5. Speicherdauer

Wir speichern personenbezogene Daten für die folgenden Zeiträume:

  • Kontaktformular-Einsendungen: 12 Monate nach Ihrer letzten Interaktion, sofern keine Geschäftsbeziehung zustande kommt.
  • E-Mail-Outreach-Daten: Maximal 90 Tage nach dem letzten Kontakt, sofern keine Geschäftsbeziehung zustande kommt, oder bis zu Ihrer Abmeldung — je nachdem, was zuerst eintritt. Ein automatisierter Retention-Prozess löscht Outreach-Daten nach Ablauf dieses Zeitraums endgültig.
  • Server-Protokolle: Werden von Vercel gemäß deren Aufbewahrungsrichtlinie automatisch gelöscht (in der Regel 30 Tage).
  • Scanner-Ergebnisse (localStorage): 24 Stunden (automatischer Ablauf), nur in Ihrem Browser gespeichert.
  • Lead-Analyse-Daten: 12 Monate ab dem Datum der Analyse. Betrifft ausschließlich Daten zu öffentlich zugänglichen Unternehmens-Websites.

Nach Ablauf der Speicherfrist werden die Daten unwiderruflich gelöscht. Jeder Löschvorgang — ob automatisch (Retention) oder auf Ihr Verlangen — wird in einem internen Audit-Log mit Zeitstempel, Auslöser und Grund dokumentiert. Sie können jederzeit eine vorzeitige Löschung beantragen (siehe Abschnitt 6) oder sich direkt über den Abmelde-Link in unseren E-Mails abmelden (https://steadyflow.io/unsubscribe).

6. Ihre Rechte als betroffene Person

Nach der DSGVO stehen Ihnen folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO) Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, sowie Auskunft über diese Daten und eine Kopie zu erhalten.
  • Recht auf Berichtigung (Art. 16 DSGVO) Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen.
  • Recht auf Löschung (Art. 17 DSGVO) Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO) Sie haben das Recht, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen, insbesondere gegen Verarbeitung zum Zwecke der Direktwerbung.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Um eines dieser Rechte auszuüben, senden Sie bitte eine E-Mail an hello@steadyflow.io. Wir antworten innerhalb von 30 Tagen.

7. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
https://datenschutz.hessen.de

8. Automatisierte Analyse

Im Rahmen unserer Lead-Qualifizierung analysieren wir ggf. automatisiert öffentlich zugängliche Unternehmens-Websites mittels technischer Tools und KI-gestützter visueller Analyse. Diese Analyse bewertet:

  • Website-Performance und Ladegeschwindigkeit
  • Mobile Responsivität
  • Design-Qualität und visuelles Erscheinungsbild
  • SEO-Grundlagen

Basierend auf diesen Faktoren erhalten Websites eine Bewertung, die bestimmt, ob wir unsere Dienstleistungen anbieten. Diese Bewertung wird ausschließlich auf öffentlich zugängliche Unternehmens-Website-Daten angewandt — nicht auf personenbezogene Daten. Es werden keine Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung ausschließlich auf Grundlage automatisierter Verarbeitung getroffen (Art. 22 DSGVO). Sie können uns jederzeit kontaktieren, um eine menschliche Überprüfung zu verlangen, Ihren Standpunkt darzulegen oder eine Kontaktentscheidung anzufechten.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — Analyse öffentlich zugänglicher Unternehmens-Websites zur Unterbreitung relevanter Dienstleistungsangebote.

9. Kinder und Jugendliche

Unsere Dienstleistungen richten sich an Unternehmen, nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Wenn Sie glauben, dass ein Kind uns personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte unter hello@steadyflow.io und wir werden die Daten umgehend löschen.

10. Datenschutzrechte für Einwohner Kaliforniens (CCPA)

Wenn Sie in Kalifornien ansässig sind, gewährt Ihnen der California Consumer Privacy Act (CCPA) zusätzliche Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Right to Know) Sie können Auskunft über die Kategorien und spezifischen personenbezogenen Daten verlangen, die wir über Sie erhoben haben.
  • Löschungsrecht (Right to Delete) Sie können die Löschung Ihrer personenbezogenen Daten verlangen.
  • Widerspruchsrecht (Right to Opt-Out) Sie können dem „Verkauf“ personenbezogener Daten widersprechen. Wir verkaufen keine personenbezogenen Daten im Sinne des CCPA.
  • Diskriminierungsverbot (Non-Discrimination) Wir werden Sie nicht benachteiligen, weil Sie Ihre CCPA-Rechte ausüben.

Um Ihre CCPA-Rechte auszuüben, senden Sie eine E-Mail an hello@steadyflow.io. Wir werden Ihre Identität überprüfen, bevor wir Ihren Antrag bearbeiten, und innerhalb von 45 Tagen antworten.

11. Datenschutzbeauftragter

Aufgrund der Größe und des Umfangs unserer Datenverarbeitung sind wir nicht gesetzlich verpflichtet, einen Datenschutzbeauftragten (DSB) zu bestellen (Art. 37 DSGVO). Für alle datenschutzrechtlichen Anfragen können Sie uns direkt kontaktieren unter hello@steadyflow.io.

12. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Die jeweils aktuelle Fassung ist stets unter dieser URL verfügbar. Wir empfehlen Ihnen, sie regelmäßig zu überprüfen.