Datenschutzerklärung
Stand: März 2026
Hinweis zum Early Access
SynqFlow befindet sich derzeit in der Early-Access-Phase. Durch die Nutzung unserer Dienste stimmst du der Erhebung und Verarbeitung deiner Daten gemäss dieser Datenschutzerklärung zu. Wir behandeln alle im Rahmen des Early Access erhobenen Daten mit der gleichen Sorgfalt wie im Regelbetrieb.
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Schweizer Datenschutzgesetzes (DSG) ist:
SynqFlow
Neuhardstrasse 15d
8105, Regensdorf
Schweiz
E-Mail: help@synqflow.app
Website: https://synqflow.app
Bei Fragen zum Datenschutz kannst du uns jederzeit unter der oben angegebenen E-Mail-Adresse erreichen.
2. Überblick — Welche Daten wir verarbeiten
Wir verarbeiten folgende Kategorien personenbezogener Daten:
a) Beim Besuch unserer Website (synqflow.app)
IP-Adresse (anonymisiert oder vollständig, je nach Einstellung)
Browsertyp und -version
Betriebssystem
Referrer-URL (Seite, von der du zu uns gelangt bist)
Datum und Uhrzeit des Zugriffs
Aufgerufene Seiten und Verweildauer
Cookie-Daten (siehe Abschnitt 7)
b) Beim Early-Access-Formular und der Registrierung
Vorname und Nachname
E-Mail-Adresse
Unternehmensname / Markenname
Geplantes monatliches Sendevolumen
Einwilligung zur Verarbeitung (Consent-Checkbox mit Zeitstempel)
c) Bei der Nutzung der SynqFlow-App (app.synqflow.app)
Login-Daten (E-Mail, verschlüsseltes Passwort via Supabase Auth)
Klaviyo-API-Key (AES-256-GCM verschlüsselt gespeichert)
Klaviyo-Konto-ID
Audit-Ergebnisse und Action Items
KI-generierte E-Mail-Texte
Abonnement- und Zahlungsdaten (via Stripe)
Nutzungsverhalten innerhalb der App (Klicks, aufgerufene Seiten)
d) Verarbeitung von Klaviyo-Daten im Auftrag (als Auftragsverarbeiter)
SynqFlow greift über die von dir bereitgestellte Klaviyo-API-Verbindung auf Daten aus deinem Klaviyo-Konto zu, darunter:
Flow-Konfigurationen und Status
Segmente und Listen (Anzahl, nicht Einzelprofile)
Kampagnendaten (Sendezeitpunkt, A/B-Tests)
Lieferbarkeitskennzahlen (Bounce-Rate, Abmelderate)
Suppressionslisten (aggregiert)
Wir speichern keine rohen E-Mail-Adressen deiner Abonnenten. Wir greifen ausschliesslich auf aggregierte Metriken und strukturelle Daten (Flows, Segmente) zu, um den Audit durchzuführen.
3. Zwecke und Rechtsgrundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen gemäss Art. 6 DSGVO:
Zweck
Rechtsgrundlage
Bereitstellung der SynqFlow-App
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Early-Access-Verwaltung und Kommunikation
Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung)
Transaktionale E-Mails (Bestätigung, Passwort-Reset)
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Zahlungsabwicklung via Stripe
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Technisch notwendige Cookies
Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)
KI-Analyse der Klaviyo-Daten
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Marketing- und Analytics-Cookies
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Produktverbesserung und Fehlerdiagnose
Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)
Direktmarketing (Newsletter, Product Updates)
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Einhaltung gesetzlicher Pflichten
Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung)
4. Weitergabe von Daten an Dritte
Wir geben personenbezogene Daten nur in folgenden Fällen an Dritte weiter:
An Auftragsverarbeiter, mit denen wir einen Auftragsverarbeitungsvertrag (AV-Vertrag) gemäss Art. 28 DSGVO abgeschlossen haben (siehe Abschnitt 6)
Wenn wir gesetzlich dazu verpflichtet sind (z.B. auf behördliche Anfrage)
Wenn es zur Durchsetzung unserer Rechte notwendig ist
Wir verkaufen keine personenbezogenen Daten an Dritte und nutzen sie nicht für Werbung durch Dritte.
5. Datenübertragung in Drittländer
Einige unserer Dienstleister haben ihren Sitz ausserhalb der EU/des EWR, insbesondere in den USA. Wir stellen durch geeignete Garantien sicher, dass deine Daten auch dort angemessen geschützt werden:
Standardvertragsklauseln (SCCs) der EU-Kommission gemäss Art. 46 Abs. 2 lit. c DSGVO
Angemessenheitsbeschlüsse der EU-Kommission (z.B. EU-U.S. Data Privacy Framework, sofern anwendbar)
Zusätzliche technische und organisatorische Massnahmen (Verschlüsselung, Pseudonymisierung)
Konkret betroffen sind: Vercel (USA), Supabase (EU-Region Frankfurt angestrebt), Stripe (USA/EU), Resend (USA), Anthropic (USA). Details findest du in Abschnitt 6.
6. Drittanbieter und Auftragsverarbeiter
6.1 Vercel Inc. (Hosting)
SynqFlow wird auf der Infrastruktur von Vercel, Inc. (340 Pine Street, Suite 701, San Francisco, CA 94104, USA) gehostet. Vercel stellt Webhosting und Serverless-Funktionen bereit. Dabei können Server-Logs mit IP-Adressen und Zugriffszeiten entstehen.
Datenschutz: https://vercel.com/legal/privacy-policy
AV-Vertrag: https://vercel.com/legal/dpa
Drittland-Transfer: USA — abgesichert durch SCCs
6.2 Supabase Inc. (Datenbank und Authentifizierung)
Wir nutzen Supabase (970 Toa Payoh North, #07-04, Singapur) als Datenbank- und Authentifizierungsdienst. Alle Nutzerdaten (Konto, Workspace, Audit-Ergebnisse) werden in einer Supabase-PostgreSQL-Datenbank gespeichert. Wir streben die Nutzung der EU-Region Frankfurt (eu-central-1) an.
Datenschutz: https://supabase.com/privacy
AV-Vertrag: https://supabase.com/legal/dpa
Drittland-Transfer: abgesichert durch SCCs
6.3 Stripe Inc. (Zahlungsabwicklung)
Für die Abwicklung von Zahlungen nutzen wir Stripe (Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland). Stripe verarbeitet Zahlungsdaten wie Kreditkarteninformationen direkt — wir haben keinen Zugriff auf vollständige Zahlungsdaten.
Stripe verarbeitet als eigenverantwortlicher Verantwortlicher gemäss seinen eigenen Datenschutzrichtlinien:
Datenschutz: https://stripe.com/privacy
Drittland-Transfer: Stripe ist nach EU-U.S. Data Privacy Framework zertifiziert
6.4 Resend Inc. (Transaktionale E-Mails)
Für den Versand von Transaktions-E-Mails (Willkommens-Mail, Audit-abgeschlossen-Benachrichtigung, Passwort-Reset) nutzen wir Resend (Resend Inc., USA).
Datenschutz: https://resend.com/legal/privacy-policy
AV-Vertrag: https://resend.com/legal/dpa
Drittland-Transfer: USA — abgesichert durch SCCs
6.5 Anthropic PBC (KI-Verarbeitung)
Zur Durchführung von Audit-Analysen und zur Generierung von E-Mail-Texten nutzen wir die Claude-API von Anthropic, PBC (548 Market Street PMB 90375, San Francisco, CA 94104, USA). Dabei werden anonymisierte Klaviyo-Metriken (keine personenbezogenen Endkunden-Daten) und deine Eingaben an die API übermittelt.
Anthropic verarbeitet API-Anfragen gemäss seiner Datenschutzrichtlinie. Im API-Betrieb werden Daten nicht für das Training von Modellen verwendet (Enterprise Data Protection).
Datenschutz: https://www.anthropic.com/privacy
Drittland-Transfer: USA — abgesichert durch SCCs
6.6 Klaviyo Inc. (Integrierter Dienst)
SynqFlow greift auf Basis deiner ausdrücklichen Autorisierung (API-Key) auf dein Klaviyo-Konto zu. Klaviyo (225 Franklin Street, Floor 10, Boston, MA 02110, USA) ist in diesem Zusammenhang ein separater Verantwortlicher für deine dort gespeicherten Daten.
SynqFlow ist in Bezug auf die aus Klaviyo abgerufenen Daten deiner Endkunden als Auftragsverarbeiter tätig. Wir verarbeiten diese Daten ausschliesslich zur Erbringung des Audit-Dienstes.
Datenschutz Klaviyo: https://www.klaviyo.com/legal/privacy-notice
6.7 Tally.so (Early-Access-Formular)
Das Early-Access-Anmeldeformular auf unserer Website wird über Tally.so (Tally Software BV, Rue Royale 155, 1000 Brüssel, Belgien) bereitgestellt. Dabei werden die von dir eingegebenen Daten (Name, E-Mail, Unternehmensname) an Tally übermittelt.
Datenschutz: https://tally.so/help/privacy-policy
7. Cookies und Tracking-Technologien
Wir verwenden Cookies und ähnliche Technologien auf unserer Website und in unserer App. Beim ersten Besuch unserer Website wird dir ein Cookie-Banner angezeigt, über den du deine Einwilligung zu nicht notwendigen Cookies erteilen oder verweigern kannst.
7.1 Technisch notwendige Cookies (keine Einwilligung erforderlich)
Diese Cookies sind für den Betrieb der Website und der App unbedingt erforderlich. Sie können nicht deaktiviert werden.
Cookie
Anbieter
Zweck
Speicherdauer
Session-Cookie (Auth)
Supabase
Authentifizierung und Sitzungsverwaltung
Sitzungsende / 7 Tage
CSRF-Token
SynqFlow
Schutz vor Cross-Site-Request-Forgery
Sitzungsende
Cookie-Consent
SynqFlow
Speicherung deiner Cookie-Einstellungen
12 Monate
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der sicheren Bereitstellung des Dienstes)
7.2 Analytics-Cookies (Einwilligung erforderlich)
Wir nutzen Vercel Analytics zur Auswertung des Nutzerverhaltens auf unserer Website und in der App. Vercel Analytics ist datenschutzfreundlich konzipiert: Es werden keine Drittanbieter-Cookies gesetzt, IP-Adressen werden nicht vollständig gespeichert, und Daten werden aggregiert ausgewertet.
Cookie / Technologie
Anbieter
Zweck
Speicherdauer
Vercel Analytics
Vercel Inc.
Seitenaufrufe, Verweildauer, Referrer
Aggregiert, keine persistenten Cookies
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Widerspruch: Du kannst die Einwilligung jederzeit im Cookie-Banner widerrufen.
7.3 Marketing- und Werbe-Cookies (Einwilligung erforderlich)
Für Marketing-Aktivitäten können wir Cookies von Drittanbietern einsetzen. Diese werden nur nach deiner ausdrücklichen Einwilligung aktiviert.
Mögliche Marketing-Technologien (nur nach Einwilligung aktiv):
Meta Pixel (Facebook): SynqFlow kann den Meta-Pixel-Dienst von Meta Platforms Ireland Limited (4 Grand Canal Square, Dublin 2, Irland) nutzen, um die Wirksamkeit von Werbeanzeigen zu messen und Conversion-Tracking durchzuführen. Das Meta-Pixel überträgt dabei Daten an Meta, möglicherweise auch in die USA (abgesichert durch SCCs und das EU-U.S. Data Privacy Framework).
Datenschutz Meta: https://www.facebook.com/privacy/policy
LinkedIn Insight Tag: Zur Messung der Performance von LinkedIn-Kampagnen kann der LinkedIn Insight Tag von LinkedIn Ireland Unlimited Company (Gardner House, Wilton Plaza, Dublin 2, Irland) eingesetzt werden. Dabei werden Daten zu Seitenbesuchen und Conversions erfasst.
Datenschutz LinkedIn: https://www.linkedin.com/legal/privacy-policy
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Widerspruch: Du kannst die Einwilligung jederzeit über das Cookie-Einstellungs-Center widerrufen. Eine Deaktivierung ist auch über die Opt-out-Seiten der jeweiligen Anbieter möglich.
7.4 Cookie-Verwaltung
Du kannst deine Cookie-Einstellungen jederzeit anpassen:
Über den Link "Cookie-Einstellungen" in der Fusszeile unserer Website
Über die Einstellungen deines Browsers (Cookies löschen oder blockieren)
Über branchenweite Opt-out-Tools wie youronlinechoices.eu oder optout.aboutads.info
Bitte beachte: Das Deaktivieren bestimmter Cookies kann die Funktionalität unserer Website beeinträchtigen.
8. Auftragsverarbeitungsvertrag mit unseren Kunden
Als Betreiber eines B2B-Dienstes, der personenbezogene Daten deiner Endkunden (Klaviyo-Abonnenten) im Auftrag verarbeitet, sind wir nach Art. 28 DSGVO verpflichtet, mit dir einen Auftragsverarbeitungsvertrag (AV-Vertrag) abzuschliessen. Dieser Vertrag wird dir bei der Registrierung zur Unterzeichnung vorgelegt und ist Bestandteil unserer Nutzungsbedingungen.
Im Rahmen dieses AV-Vertrags verpflichten wir uns insbesondere:
Deine Klaviyo-Daten ausschliesslich zur Erbringung des vereinbarten Dienstes zu verarbeiten
Geeignete technische und organisatorische Massnahmen zum Schutz der Daten zu treffen
Sub-Auftragsverarbeiter nur mit deiner Zustimmung einzusetzen
Dich bei der Erfüllung deiner Pflichten als Verantwortlicher zu unterstützen
9. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:
Datenart
Speicherdauer
Nutzerkonto und Profildaten
Bis zur Kontolöschung + 30 Tage (Backup)
Audit-Berichte und Action Items
Bis zur Kontolöschung
Zahlungsbelege und Rechnungen
10 Jahre (gesetzliche Aufbewahrungspflicht)
Klaviyo-Metriken (gecacht)
Maximal 24 Stunden (für laufende Session)
E-Mail-Versandlogs (Resend)
30 Tage
Server-Logs (Vercel)
Gemäss Vercel-Richtlinien (in der Regel 30 Tage)
Early-Access-Anfragen (Tally)
Bis zum Ende der Early-Access-Phase oder auf Anfrage
Cookie-Consent-Protokoll
12 Monate
Nach Ablauf der Speicherfrist werden Daten sicher gelöscht oder anonymisiert.
10. Deine Rechte als betroffene Person
Du hast gemäss DSGVO (Art. 15–22) folgende Rechte bezüglich deiner personenbezogenen Daten:
Recht auf Auskunft (Art. 15 DSGVO)
Du kannst jederzeit Auskunft darüber verlangen, welche personenbezogenen Daten wir über dich gespeichert haben, zu welchem Zweck, woher sie stammen und an wen sie weitergegeben wurden.
Recht auf Berichtigung (Art. 16 DSGVO)
Du hast das Recht, unrichtige oder unvollständige Daten korrigieren zu lassen. Viele Daten kannst du direkt in deinen Account-Einstellungen anpassen.
Recht auf Löschung / "Recht auf Vergessenwerden" (Art. 17 DSGVO)
Du kannst die Löschung deiner personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Kontolöschung kannst du direkt in den Account-Einstellungen initiieren — dabei werden alle gespeicherten Daten innerhalb von 30 Tagen unwiderruflich gelöscht.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Du kannst die Einschränkung der Verarbeitung deiner Daten verlangen, wenn du die Richtigkeit der Daten bestreitest, die Verarbeitung unrechtmässig ist oder wir die Daten nicht mehr benötigen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Du hast das Recht, deine Daten in einem strukturierten, maschinenlesbaren Format zu erhalten (JSON-Export). Diese Funktion ist in deinen Account-Einstellungen verfügbar.
Recht auf Widerspruch (Art. 21 DSGVO)
Du kannst der Verarbeitung deiner Daten widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) oder für Direktmarketing-Zwecke erfolgt. Bei einem Widerspruch gegen Direktmarketing werden wir deine Daten unverzüglich nicht mehr für diesen Zweck verarbeiten.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Soweit wir Daten auf Basis deiner Einwilligung verarbeiten (z.B. Marketing-Cookies, Newsletter), kannst du diese Einwilligung jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmässigkeit der bis dahin erfolgten Verarbeitung.
Recht auf Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO)
Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für Nutzer aus der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zuständig (www.edoeb.admin.ch). Für Nutzer aus Deutschland ist die Aufsichtsbehörde des jeweiligen Bundeslandes zuständig.
Zur Ausübung deiner Rechte wende dich bitte per E-Mail an: help@synqflow.app
Wir werden deine Anfrage innerhalb von 30 Tagen beantworten.
11. Datensicherheit
Wir treffen angemessene technische und organisatorische Massnahmen (TOMs), um deine Daten vor unbefugtem Zugriff, Verlust, Veränderung oder Offenlegung zu schützen:
Verschlüsselung in Transit: Alle Verbindungen zu unseren Diensten sind durch TLS 1.2+ verschlüsselt (HTTPS)
Verschlüsselung at Rest: Klaviyo-API-Keys werden mit AES-256-GCM verschlüsselt gespeichert; Datenbankdaten werden durch Supabase verschlüsselt
Zugriffskontrolle: Row Level Security (RLS) stellt sicher, dass jeder Nutzer nur auf seine eigenen Daten zugreifen kann
Authentifizierung: Sichere Authentifizierung via Supabase Auth mit PKCE-Flow; Passwörter werden gehasht gespeichert
Security Headers: Content Security Policy (CSP), HTTP Strict Transport Security (HSTS), X-Frame-Options und weitere Sicherheits-Header
Rate Limiting: API-Routen sind gegen Missbrauch durch Rate Limiting abgesichert
Input Validation: Alle Eingaben werden serverseitig validiert (Zod)
Regelmässige Updates: Abhängigkeiten und Systeme werden regelmässig auf Sicherheitslücken geprüft
Trotz aller Schutzmassnahmen kann keine vollständige Sicherheit der Datenübertragung im Internet garantiert werden. Im Fall einer Datenpanne werden wir betroffene Nutzer und zuständige Behörden gemäss den gesetzlichen Anforderungen (Art. 33 und 34 DSGVO innerhalb von 72 Stunden) informieren.
12. Dienste für Minderjährige
SynqFlow richtet sich ausschliesslich an Unternehmen und professionelle Nutzer. Unsere Dienste sind nicht für Personen unter 18 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen. Wenn wir erfahren, dass eine minderjährige Person Daten bereitgestellt hat, werden wir diese unverzüglich löschen.
13. Newsletter und Marketing-Kommunikation
Wenn du unseren Newsletter oder Produkt-Updates abonnierst, verarbeiten wir deine E-Mail-Adresse auf Grundlage deiner ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Du kannst dich jederzeit vom Newsletter abmelden:
Über den Abmelde-Link in jeder E-Mail
Per E-Mail an help@synqflow.app
Die Abmeldung gilt nur für Marketing-Kommunikation — transaktionale E-Mails (z.B. Rechnungen, Passwort-Reset) können weiterhin versendet werden.
14. Automatisierte Entscheidungsfindung
SynqFlow nutzt KI (Claude API von Anthropic) zur Analyse deiner Klaviyo-Daten und zur Generierung von Empfehlungen. Diese Analysen dienen als Entscheidungsunterstützung — du triffst alle Entscheidungen eigenständig. Es findet keine vollständig automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die dir gegenüber rechtliche Wirkung entfaltet.
15. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen — etwa bei der Einführung neuer Funktionen, der Nutzung neuer Dienstleister oder bei gesetzlichen Änderungen. Die jeweils aktuelle Version ist unter https://synqflow.app/datenschutz abrufbar. Bei wesentlichen Änderungen werden wir dich per E-Mail informieren (sofern du einen Account bei uns hast) und im Falle einwilligungspflichtiger Verarbeitungen eine erneute Einwilligung einholen.
Datum der letzten Aktualisierung: März 2026
16. Kontakt und Datenschutzanfragen
Für alle datenschutzrelevanten Anfragen, zur Ausübung deiner Betroffenenrechte oder bei Fragen zu dieser Datenschutzerklärung kontaktiere uns bitte:
SynqFlow — Datenschutz
E-Mail: help@synqflow.app
Website: https://synqflow.app
Wir sind bestrebt, alle Anfragen innerhalb von 30 Tagen zu beantworten.
14
KOSTENLOS STARTEN
14 Tage kostenlos.
Verbinde Klaviyo in 2 Minuten und sieh sofort, wo du Umsatz verlierst.
Jetzt kostenlos starten
Jederzeit kundbar
DSGVO konform
SynqFlow
Login
DE
EN
Bereit durchzustarten?
Starte jetzt deine 14-tägige kostenlose Testphase.
Jetzt kostenlos testen
Keine Kreditkarte erforderlich • Jederzeit kündbar
Datenschutzerklärung
Stand: März 2026
Hinweis zum Early Access
SynqFlow befindet sich derzeit in der Early-Access-Phase. Durch die Nutzung unserer Dienste stimmst du der Erhebung und Verarbeitung deiner Daten gemäss dieser Datenschutzerklärung zu. Wir behandeln alle im Rahmen des Early Access erhobenen Daten mit der gleichen Sorgfalt wie im Regelbetrieb.
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Schweizer Datenschutzgesetzes (DSG) ist:
[FIRMENNAME / DEIN VOLLSTÄNDIGER NAME]
[Strasse und Hausnummer]
[PLZ Ort]
Schweiz
E-Mail: help@synqflow.app
Website: https://synqflow.app
Bei Fragen zum Datenschutz kannst du uns jederzeit unter der oben angegebenen E-Mail-Adresse erreichen.
2. Überblick — Welche Daten wir verarbeiten
Wir verarbeiten folgende Kategorien personenbezogener Daten:
a) Beim Besuch unserer Website (synqflow.app)
IP-Adresse (anonymisiert oder vollständig, je nach Einstellung)
Browsertyp und -version
Betriebssystem
Referrer-URL (Seite, von der du zu uns gelangt bist)
Datum und Uhrzeit des Zugriffs
Aufgerufene Seiten und Verweildauer
Cookie-Daten (siehe Abschnitt 7)
b) Beim Early-Access-Formular und der Registrierung
Vorname und Nachname
E-Mail-Adresse
Unternehmensname / Markenname
Geplantes monatliches Sendevolumen
Einwilligung zur Verarbeitung (Consent-Checkbox mit Zeitstempel)
c) Bei der Nutzung der SynqFlow-App (app.synqflow.app)
Login-Daten (E-Mail, verschlüsseltes Passwort via Supabase Auth)
Klaviyo-API-Key (AES-256-GCM verschlüsselt gespeichert)
Klaviyo-Konto-ID
Audit-Ergebnisse und Action Items
KI-generierte E-Mail-Texte
Abonnement- und Zahlungsdaten (via Stripe)
Nutzungsverhalten innerhalb der App (Klicks, aufgerufene Seiten)
d) Verarbeitung von Klaviyo-Daten im Auftrag (als Auftragsverarbeiter)
SynqFlow greift über die von dir bereitgestellte Klaviyo-API-Verbindung auf Daten aus deinem Klaviyo-Konto zu, darunter:
Flow-Konfigurationen und Status
Segmente und Listen (Anzahl, nicht Einzelprofile)
Kampagnendaten (Sendezeitpunkt, A/B-Tests)
Lieferbarkeitskennzahlen (Bounce-Rate, Abmelderate)
Suppressionslisten (aggregiert)
Wir speichern keine rohen E-Mail-Adressen deiner Abonnenten. Wir greifen ausschliesslich auf aggregierte Metriken und strukturelle Daten (Flows, Segmente) zu, um den Audit durchzuführen.
3. Zwecke und Rechtsgrundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen gemäss Art. 6 DSGVO:
Zweck
Rechtsgrundlage
Bereitstellung der SynqFlow-App
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Early-Access-Verwaltung und Kommunikation
Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung)
Transaktionale E-Mails (Bestätigung, Passwort-Reset)
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Zahlungsabwicklung via Stripe
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Technisch notwendige Cookies
Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)
KI-Analyse der Klaviyo-Daten
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Marketing- und Analytics-Cookies
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Produktverbesserung und Fehlerdiagnose
Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)
Direktmarketing (Newsletter, Product Updates)
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Einhaltung gesetzlicher Pflichten
Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung)
4. Weitergabe von Daten an Dritte
Wir geben personenbezogene Daten nur in folgenden Fällen an Dritte weiter:
An Auftragsverarbeiter, mit denen wir einen Auftragsverarbeitungsvertrag (AV-Vertrag) gemäss Art. 28 DSGVO abgeschlossen haben (siehe Abschnitt 6)
Wenn wir gesetzlich dazu verpflichtet sind (z.B. auf behördliche Anfrage)
Wenn es zur Durchsetzung unserer Rechte notwendig ist
Wir verkaufen keine personenbezogenen Daten an Dritte und nutzen sie nicht für Werbung durch Dritte.
5. Datenübertragung in Drittländer
Einige unserer Dienstleister haben ihren Sitz ausserhalb der EU/des EWR, insbesondere in den USA. Wir stellen durch geeignete Garantien sicher, dass deine Daten auch dort angemessen geschützt werden:
Standardvertragsklauseln (SCCs) der EU-Kommission gemäss Art. 46 Abs. 2 lit. c DSGVO
Angemessenheitsbeschlüsse der EU-Kommission (z.B. EU-U.S. Data Privacy Framework, sofern anwendbar)
Zusätzliche technische und organisatorische Massnahmen (Verschlüsselung, Pseudonymisierung)
Konkret betroffen sind: Vercel (USA), Supabase (EU-Region Frankfurt angestrebt), Stripe (USA/EU), Resend (USA), Anthropic (USA). Details findest du in Abschnitt 6.
6.1 Vercel Inc. (Hosting)
SynqFlow wird auf der Infrastruktur von Vercel, Inc. (340 Pine Street, Suite 701, San Francisco, CA 94104, USA) gehostet. Vercel stellt Webhosting und Serverless-Funktionen bereit. Dabei können Server-Logs mit IP-Adressen und Zugriffszeiten entstehen.
Datenschutz: https://vercel.com/legal/privacy-policy
AV-Vertrag: https://vercel.com/legal/dpa
Drittland-Transfer: USA — abgesichert durch SCCs
6.2 Supabase Inc. (Datenbank und Authentifizierung)
Wir nutzen Supabase (970 Toa Payoh North, #07-04, Singapur) als Datenbank- und Authentifizierungsdienst. Alle Nutzerdaten (Konto, Workspace, Audit-Ergebnisse) werden in einer Supabase-PostgreSQL-Datenbank gespeichert. Wir streben die Nutzung der EU-Region Frankfurt (eu-central-1) an.
Datenschutz: https://supabase.com/privacy
AV-Vertrag: https://supabase.com/legal/dpa
Drittland-Transfer: abgesichert durch SCCs
6.3 Stripe Inc. (Zahlungsabwicklung)
Für die Abwicklung von Zahlungen nutzen wir Stripe (Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland). Stripe verarbeitet Zahlungsdaten wie Kreditkarteninformationen direkt — wir haben keinen Zugriff auf vollständige Zahlungsdaten.
Stripe verarbeitet als eigenverantwortlicher Verantwortlicher gemäss seinen eigenen Datenschutzrichtlinien:
Datenschutz: https://stripe.com/privacy
Drittland-Transfer: Stripe ist nach EU-U.S. Data Privacy Framework zertifiziert
6.4 Resend Inc. (Transaktionale E-Mails)
Für den Versand von Transaktions-E-Mails (Willkommens-Mail, Audit-abgeschlossen-Benachrichtigung, Passwort-Reset) nutzen wir Resend (Resend Inc., USA).
Datenschutz: https://resend.com/legal/privacy-policy
AV-Vertrag: https://resend.com/legal/dpa
Drittland-Transfer: USA — abgesichert durch SCCs
6.5 Anthropic PBC (KI-Verarbeitung)
Zur Durchführung von Audit-Analysen und zur Generierung von E-Mail-Texten nutzen wir die Claude-API von Anthropic, PBC (548 Market Street PMB 90375, San Francisco, CA 94104, USA). Dabei werden anonymisierte Klaviyo-Metriken (keine personenbezogenen Endkunden-Daten) und deine Eingaben an die API übermittelt.
Anthropic verarbeitet API-Anfragen gemäss seiner Datenschutzrichtlinie. Im API-Betrieb werden Daten nicht für das Training von Modellen verwendet (Enterprise Data Protection).
Datenschutz: https://www.anthropic.com/privacy
Drittland-Transfer: USA — abgesichert durch SCCs
6.6 Klaviyo Inc. (Integrierter Dienst)
SynqFlow greift auf Basis deiner ausdrücklichen Autorisierung (API-Key) auf dein Klaviyo-Konto zu. Klaviyo (225 Franklin Street, Floor 10, Boston, MA 02110, USA) ist in diesem Zusammenhang ein separater Verantwortlicher für deine dort gespeicherten Daten.
SynqFlow ist in Bezug auf die aus Klaviyo abgerufenen Daten deiner Endkunden als Auftragsverarbeiter tätig. Wir verarbeiten diese Daten ausschliesslich zur Erbringung des Audit-Dienstes.
Datenschutz Klaviyo: https://www.klaviyo.com/legal/privacy-notice
6.7 Tally.so (Early-Access-Formular)
Das Early-Access-Anmeldeformular auf unserer Website wird über Tally.so (Tally Software BV, Rue Royale 155, 1000 Brüssel, Belgien) bereitgestellt. Dabei werden die von dir eingegebenen Daten (Name, E-Mail, Unternehmensname) an Tally übermittelt.
Datenschutz: https://tally.so/help/privacy-policy
6. Drittanbieter und Auftragsverarbeiter
7. Cookies und Tracking-Technologien
Wir verwenden Cookies und ähnliche Technologien auf unserer Website und in unserer App. Beim ersten Besuch unserer Website wird dir ein Cookie-Banner angezeigt, über den du deine Einwilligung zu nicht notwendigen Cookies erteilen oder verweigern kannst.
7.1 Technisch notwendige Cookies (keine Einwilligung erforderlich)
Diese Cookies sind für den Betrieb der Website und der App unbedingt erforderlich. Sie können nicht deaktiviert werden.
Cookie
Anbieter
Zweck
Speicherdauer
Session-Cookie (Auth)
Supabase
Authentifizierung und Sitzungsverwaltung
Sitzungsende / 7 Tage
CSRF-Token
SynqFlow
Schutz vor Cross-Site-Request-Forgery
Sitzungsende
Cookie-Consent
SynqFlow
Speicherung deiner Cookie-Einstellungen
12 Monate
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der sicheren Bereitstellung des Dienstes)
7.2 Analytics-Cookies (Einwilligung erforderlich)
Wir nutzen Vercel Analytics zur Auswertung des Nutzerverhaltens auf unserer Website und in der App. Vercel Analytics ist datenschutzfreundlich konzipiert: Es werden keine Drittanbieter-Cookies gesetzt, IP-Adressen werden nicht vollständig gespeichert, und Daten werden aggregiert ausgewertet.
Cookie / Technologie
Anbieter
Zweck
Speicherdauer
Vercel Analytics
Vercel Inc.
Seitenaufrufe, Verweildauer, Referrer
Aggregiert, keine persistenten Cookies
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Widerspruch: Du kannst die Einwilligung jederzeit im Cookie-Banner widerrufen.
7.3 Marketing- und Werbe-Cookies (Einwilligung erforderlich)
Für Marketing-Aktivitäten können wir Cookies von Drittanbietern einsetzen. Diese werden nur nach deiner ausdrücklichen Einwilligung aktiviert.
Mögliche Marketing-Technologien (nur nach Einwilligung aktiv):
Meta Pixel (Facebook): SynqFlow kann den Meta-Pixel-Dienst von Meta Platforms Ireland Limited (4 Grand Canal Square, Dublin 2, Irland) nutzen, um die Wirksamkeit von Werbeanzeigen zu messen und Conversion-Tracking durchzuführen. Das Meta-Pixel überträgt dabei Daten an Meta, möglicherweise auch in die USA (abgesichert durch SCCs und das EU-U.S. Data Privacy Framework).
Datenschutz Meta: https://www.facebook.com/privacy/policy
LinkedIn Insight Tag: Zur Messung der Performance von LinkedIn-Kampagnen kann der LinkedIn Insight Tag von LinkedIn Ireland Unlimited Company (Gardner House, Wilton Plaza, Dublin 2, Irland) eingesetzt werden. Dabei werden Daten zu Seitenbesuchen und Conversions erfasst.
Datenschutz LinkedIn: https://www.linkedin.com/legal/privacy-policy
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Widerspruch: Du kannst die Einwilligung jederzeit über das Cookie-Einstellungs-Center widerrufen. Eine Deaktivierung ist auch über die Opt-out-Seiten der jeweiligen Anbieter möglich.
7.4 Cookie-Verwaltung
Du kannst deine Cookie-Einstellungen jederzeit anpassen:
Über den Link "Cookie-Einstellungen" in der Fusszeile unserer Website
Über die Einstellungen deines Browsers (Cookies löschen oder blockieren)
Über branchenweite Opt-out-Tools wie youronlinechoices.eu oder optout.aboutads.info
Bitte beachte: Das Deaktivieren bestimmter Cookies kann die Funktionalität unserer Website beeinträchtigen.
8. Auftragsverarbeitungsvertrag mit unseren Kunden
Als Betreiber eines B2B-Dienstes, der personenbezogene Daten deiner Endkunden (Klaviyo-Abonnenten) im Auftrag verarbeitet, sind wir nach Art. 28 DSGVO verpflichtet, mit dir einen Auftragsverarbeitungsvertrag (AV-Vertrag) abzuschliessen. Dieser Vertrag wird dir bei der Registrierung zur Unterzeichnung vorgelegt und ist Bestandteil unserer Nutzungsbedingungen.
Im Rahmen dieses AV-Vertrags verpflichten wir uns insbesondere:
Deine Klaviyo-Daten ausschliesslich zur Erbringung des vereinbarten Dienstes zu verarbeiten
Geeignete technische und organisatorische Massnahmen zum Schutz der Daten zu treffen
Sub-Auftragsverarbeiter nur mit deiner Zustimmung einzusetzen
Dich bei der Erfüllung deiner Pflichten als Verantwortlicher zu unterstützen
9. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:
Datenart
Speicherdauer
Nutzerkonto und Profildaten
Bis zur Kontolöschung + 30 Tage (Backup)
Audit-Berichte und Action Items
Bis zur Kontolöschung
Zahlungsbelege und Rechnungen
10 Jahre (gesetzliche Aufbewahrungspflicht)
Klaviyo-Metriken (gecacht)
Maximal 24 Stunden (für laufende Session)
E-Mail-Versandlogs (Resend)
30 Tage
Server-Logs (Vercel)
Gemäss Vercel-Richtlinien (in der Regel 30 Tage)
Early-Access-Anfragen (Tally)
Bis zum Ende der Early-Access-Phase oder auf Anfrage
Cookie-Consent-Protokoll
12 Monate
Nach Ablauf der Speicherfrist werden Daten sicher gelöscht oder anonymisiert.
10. Deine Rechte als betroffene Person
Du hast gemäss DSGVO (Art. 15–22) folgende Rechte bezüglich deiner personenbezogenen Daten:
Recht auf Auskunft (Art. 15 DSGVO)
Du kannst jederzeit Auskunft darüber verlangen, welche personenbezogenen Daten wir über dich gespeichert haben, zu welchem Zweck, woher sie stammen und an wen sie weitergegeben wurden.
Recht auf Berichtigung (Art. 16 DSGVO)
Du hast das Recht, unrichtige oder unvollständige Daten korrigieren zu lassen. Viele Daten kannst du direkt in deinen Account-Einstellungen anpassen.
Recht auf Löschung / "Recht auf Vergessenwerden" (Art. 17 DSGVO)
Du kannst die Löschung deiner personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Kontolöschung kannst du direkt in den Account-Einstellungen initiieren — dabei werden alle gespeicherten Daten innerhalb von 30 Tagen unwiderruflich gelöscht.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Du kannst die Einschränkung der Verarbeitung deiner Daten verlangen, wenn du die Richtigkeit der Daten bestreitest, die Verarbeitung unrechtmässig ist oder wir die Daten nicht mehr benötigen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Du hast das Recht, deine Daten in einem strukturierten, maschinenlesbaren Format zu erhalten (JSON-Export). Diese Funktion ist in deinen Account-Einstellungen verfügbar.
Recht auf Widerspruch (Art. 21 DSGVO)
Du kannst der Verarbeitung deiner Daten widersprechen, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) oder für Direktmarketing-Zwecke erfolgt. Bei einem Widerspruch gegen Direktmarketing werden wir deine Daten unverzüglich nicht mehr für diesen Zweck verarbeiten.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Soweit wir Daten auf Basis deiner Einwilligung verarbeiten (z.B. Marketing-Cookies, Newsletter), kannst du diese Einwilligung jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmässigkeit der bis dahin erfolgten Verarbeitung.
Recht auf Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO)
Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für Nutzer aus der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zuständig (www.edoeb.admin.ch). Für Nutzer aus Deutschland ist die Aufsichtsbehörde des jeweiligen Bundeslandes zuständig.
Zur Ausübung deiner Rechte wende dich bitte per E-Mail an: help@synqflow.app
Wir werden deine Anfrage innerhalb von 30 Tagen beantworten.
11. Datensicherheit
Wir treffen angemessene technische und organisatorische Massnahmen (TOMs), um deine Daten vor unbefugtem Zugriff, Verlust, Veränderung oder Offenlegung zu schützen:
Verschlüsselung in Transit: Alle Verbindungen zu unseren Diensten sind durch TLS 1.2+ verschlüsselt (HTTPS)
Verschlüsselung at Rest: Klaviyo-API-Keys werden mit AES-256-GCM verschlüsselt gespeichert; Datenbankdaten werden durch Supabase verschlüsselt
Zugriffskontrolle: Row Level Security (RLS) stellt sicher, dass jeder Nutzer nur auf seine eigenen Daten zugreifen kann
Authentifizierung: Sichere Authentifizierung via Supabase Auth mit PKCE-Flow; Passwörter werden gehasht gespeichert
Security Headers: Content Security Policy (CSP), HTTP Strict Transport Security (HSTS), X-Frame-Options und weitere Sicherheits-Header
Rate Limiting: API-Routen sind gegen Missbrauch durch Rate Limiting abgesichert
Input Validation: Alle Eingaben werden serverseitig validiert (Zod)
Regelmässige Updates: Abhängigkeiten und Systeme werden regelmässig auf Sicherheitslücken geprüft
Trotz aller Schutzmassnahmen kann keine vollständige Sicherheit der Datenübertragung im Internet garantiert werden. Im Fall einer Datenpanne werden wir betroffene Nutzer und zuständige Behörden gemäss den gesetzlichen Anforderungen (Art. 33 und 34 DSGVO innerhalb von 72 Stunden) informieren.
12. Dienste für Minderjährige
SynqFlow richtet sich ausschliesslich an Unternehmen und professionelle Nutzer. Unsere Dienste sind nicht für Personen unter 18 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen. Wenn wir erfahren, dass eine minderjährige Person Daten bereitgestellt hat, werden wir diese unverzüglich löschen.
13. Newsletter und Marketing-Kommunikation
Wenn du unseren Newsletter oder Produkt-Updates abonnierst, verarbeiten wir deine E-Mail-Adresse auf Grundlage deiner ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Du kannst dich jederzeit vom Newsletter abmelden:
Über den Abmelde-Link in jeder E-Mail
Per E-Mail an help@synqflow.app
Die Abmeldung gilt nur für Marketing-Kommunikation — transaktionale E-Mails (z.B. Rechnungen, Passwort-Reset) können weiterhin versendet werden.
14. Automatisierte Entscheidungsfindung
SynqFlow nutzt KI (Claude API von Anthropic) zur Analyse deiner Klaviyo-Daten und zur Generierung von Empfehlungen. Diese Analysen dienen als Entscheidungsunterstützung — du triffst alle Entscheidungen eigenständig. Es findet keine vollständig automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die dir gegenüber rechtliche Wirkung entfaltet.
15. Änderungen dieser
Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen — etwa bei der Einführung neuer Funktionen, der Nutzung neuer Dienstleister oder bei gesetzlichen Änderungen. Die jeweils aktuelle Version ist unter https://synqflow.app/datenschutz abrufbar. Bei wesentlichen Änderungen werden wir dich per E-Mail informieren (sofern du einen Account bei uns hast) und im Falle einwilligungspflichtiger Verarbeitungen eine erneute Einwilligung einholen.
Datum der letzten Aktualisierung: März 2026
16. Kontakt und Datenschutzanfragen
Für alle datenschutzrelevanten Anfragen, zur Ausübung deiner Betroffenenrechte oder bei Fragen zu dieser Datenschutzerklärung kontaktiere uns bitte:
SynqFlow — Datenschutz
E-Mail: help@synqflow.app
Website: https://synqflow.app
Wir sind bestrebt, alle Anfragen innerhalb von 30 Tagen zu beantworten.