Stand: 6.7.2026 · Version 2
Timo Grethe (Einzelunternehmen, Kleinunternehmer Schweiz), Brühlstrasse 3b, 8956 Killwangen, Schweiz.
E-Mail: info@northflow.finance
Verantwortlich im Sinne von Art. 5 lit. j revDSG sowie Art. 4 Nr. 7 DSGVO.
Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich (Einzelunternehmen, kein Kerngeschäft mit umfangreicher Verarbeitung besonders schützenswerter Daten i.S.v. Art. 37 DSGVO / Art. 10 revDSG). Für Anliegen rund um Datenschutz wende dich direkt an die oben genannte E-Mail.
Diese Erklärung gilt für die Bearbeitung von Personendaten im Zusammenhang mit der Nutzung der Northflow-Anwendung und der Website northflow.finance. Es gelten das revidierte Schweizer Datenschutzgesetz (revDSG) und – soweit anwendbar – die EU-Datenschutz-Grundverordnung (DSGVO) für Nutzer:innen aus dem EWR.
Wir bearbeiten folgende Kategorien zu folgenden Zwecken:
| Kategorie | Zweck | Rechtsgrundlage (DSGVO) |
|---|---|---|
| Konto- & Login-Daten (E-Mail, Passwort-Hash, OAuth-ID) | Bereitstellung des Kontos, Authentifizierung | Art. 6 I lit. b (Vertrag) |
| Workspace- und Finanzdaten (Transaktionen, Konten, Deals, Forecasts) | Bereitstellung der SaaS-Funktionen | Art. 6 I lit. b (Vertrag) |
| Technische Logs (IP-Adresse, User-Agent, Zeitstempel) | IT-Sicherheit, Missbrauchs- und Betrugsprävention, Stabilität | Art. 6 I lit. f (berechtigtes Interesse) |
| Audit-Logs (Änderungen an Finanzdaten) | Nachvollziehbarkeit, Compliance-Anforderungen unserer B2B-Kunden | Art. 6 I lit. b und f |
| Eingaben an den KI-CFO (pseudonymisierte Finanzaggregate) | Bereitstellung der KI-Analysefunktion | Art. 6 I lit. b |
| Zahlungs- und Rechnungsdaten | Abrechnung der Abos, Steuer-/MwSt-Compliance | Art. 6 I lit. b und c |
| Support-Korrespondenz | Bearbeitung von Anfragen | Art. 6 I lit. b und f |
Nach revDSG bearbeiten wir diese Daten gestützt auf die Vertragsbeziehung mit dir, das überwiegende berechtigte Interesse an sicherem Betrieb sowie gesetzliche Pflichten.
Die Anwendung wird über Lovable Cloud betrieben (technisch basierend auf Supabase). Datenhaltung erfolgt primär in der Schweiz (eu-central-2, Zürich). Administrative Vorgänge können in der EU verarbeitet werden. Beim Aufruf werden technisch notwendige Logdaten (IP-Adresse, Zeitpunkt, User-Agent) zur Bereitstellung und Sicherheit bearbeitet.
Wir setzen folgende Auftragsbearbeiter ein (Subprozessoren):
Eine aktuelle Liste der Subprozessoren stellen wir B2B-Kunden im Rahmen unseres Auftragsverarbeitungsvertrags (/dpa) zur Verfügung.
Eine Übermittlung in Drittstaaten (insb. USA, UK) kann nicht ausgeschlossen werden. UK gilt nach Art. 16 Abs. 1 revDSG als Staat mit angemessenem Datenschutzniveau (EDÖB-Liste). Für die USA stützen wir die Übermittlung auf EU-Standardvertragsklauseln (SCC) bzw. das EU-US Data Privacy Framework und entsprechende Garantien gemäss Art. 16 Abs. 2 revDSG.
Wir setzen ausschliesslich technisch notwendige Cookies/Local-Storage-Einträge ein (Session/Authentifizierung). Es findet kein Tracking, keine Werbung und keine Reichweitenmessung durch Dritte statt. Der Zahlungs-Anbieter Paddle kann bei aktivem Checkout eigene Sicherheits-Cookies setzen, die der Betrugsprävention dienen (Einwilligung nach Art. 25 TDDDG / Art. 5 III ePrivacy nicht erforderlich, da unbedingt erforderlich i.S.v. Art. 25 II Nr. 2 TDDDG).
Der Northflow-CFO ist ein KI-Assistent auf Basis von Google Gemini (Lovable AI Gateway). Nutzeranfragen werden zusammen mit einem Workspace-Kontext an das Modell gesendet:
Vor jeder Übermittlung an Gemini werden serverseitig Klarnamen pseudonymisiert: Gegenparteien werden zu stabilen Tokens (z.B. VENDOR_001), Deal-Firmennamen zu COMPANY_001. In Freitexten (Beschreibungen, Deal-Titeln) werden E-Mail-Adressen, IBANs, Telefonnummern und lange Ziffernfolgen durch Platzhalter ersetzt. Dein eigener Workspace-Name und Kontobezeichnungen (Kontenplan) bleiben sichtbar, da sie keine personenbezogenen Daten Dritter darstellen.
Gemäss Google-Vertragslage werden API-Eingaben nicht zu Trainingszwecken verwendet. Es findet keine automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO statt: Die KI gibt Vorschläge, die Entscheidung triffst du selbst. Im Sinne von Art. 50 EU AI Act weisen wir transparent darauf hin, dass du mit einer KI interagierst.
Du hast nach DSGVO/revDSG Anspruch auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie das Recht, einer Bearbeitung zu widersprechen und eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Anfragen an info@northflow.finance.
Beschwerderecht: Schweiz — Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Bern. EU/DE — die für deinen Wohnsitz zuständige Aufsichtsbehörde (in Deutschland z.B. BfDI oder die Landesdatenschutzbehörde deines Bundeslandes).
Technische und organisatorische Massnahmen u.a.: TLS-Transportverschlüsselung, Verschlüsselung at-rest auf Datenbank-Ebene, Row-Level-Security pro Workspace, FORCE RLS für Finanztabellen, Audit-Trail, Least-Privilege-Zugriff, getrennte Test-/Live-Umgebungen, regelmässige Backups. Eine ausführliche Darstellung findest du unter /security.
Wir können diese Erklärung anpassen, um sie an geänderte Rechtslage oder Produktfunktionen anzupassen. Massgeblich ist die jeweils aktuelle, auf dieser Seite veröffentlichte Version.