Datenschutz
Datenschutzerklärung
Datenschutzerklärung (Deutsch — maßgebliche Fassung)
Stand: 04.06.2026 · Die deutsche Fassung ist rechtlich maßgeblich. An English version follows below.
1. Verantwortlicher und Kontakt
Diese Datenschutzerklärung beschreibt die Verarbeitung personenbezogener Daten im Zusammenhang mit der Software-as-a-Service-Lösung „rightflow" (nachfolgend „Plattform").
Betreiber der Plattform:
rightflow GmbH Julius-Hatry-Straße 1 68163 Mannheim, Deutschland
Vertreten durch den Geschäftsführer: Jascha Quintern Registergericht: Amtsgericht Mannheim, HRB 750928 USt-IdNr.: DE368562906
Datenschutzkontakt: privacy@rightflow.de
2. Rolle von rightflow: Auftragsverarbeiter
rightflow stellt Rechtsanwaltskanzleien eine Softwarelösung zur Bearbeitung von Mandaten zur Verfügung. Bei der Verarbeitung der Daten von Mandantinnen und Mandanten, Anspruchstellern und sonstigen Verfahrensbeteiligten handelt rightflow ausschließlich als Auftragsverarbeiter im Sinne von Art. 28 DSGVO und verarbeitet diese Daten nur auf dokumentierte Weisung der jeweiligen Kanzlei.
Datenschutzrechtlich Verantwortlicher für diese Inhalts- und Mandantendaten ist die jeweilige Rechtsanwaltskanzlei, die rightflow einsetzt. Die Kanzlei bestimmt Zwecke und Mittel der Verarbeitung, erfüllt die Informationspflichten gegenüber den betroffenen Personen und holt – soweit erforderlich – deren Einwilligung ein.
Mit jeder Kanzlei besteht ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.
Betroffene Personen, die ihre Rechte ausüben oder Auskunft über die Verarbeitung ihrer Daten erhalten möchten, wenden sich bitte an die sie betreuende Kanzlei als Verantwortliche. rightflow unterstützt die Kanzlei bei der Erfüllung dieser Anfragen.
3. Geltungsbereich
Diese Erklärung gilt für die Verarbeitung personenbezogener Daten innerhalb der Plattform, einschließlich der integrierten WhatsApp-Business-Kommunikation (siehe Ziffer 5). Für die öffentliche Website rightflow.de und vorvertragliche Geschäftskontakte gelten ergänzende Hinweise, soweit dort angegeben.
4. Verarbeitete Daten und betroffene Personen
Kategorien betroffener Personen: Mandantinnen und Mandanten, Anspruchsteller sowie weitere am Verfahren beteiligte Personen, die von der Kanzlei über die Plattform kontaktiert werden.
Kategorien personenbezogener Daten:
Kontaktdaten (insbesondere Name und Telefonnummer)
Kommunikationsinhalte (Nachrichtentexte sowie übermittelte Dokumente und Anhänge)
Metadaten der Kommunikation (z. B. Zeitstempel, Zustellstatus)
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): Da die Kommunikation der Bearbeitung eines konkreten Rechtsfalls dient, können die Inhalte besondere Kategorien personenbezogener Daten enthalten (z. B. Angaben zur Gesundheit oder zu dem zugrunde liegenden Rechtsverhältnis). Die Verarbeitung erfolgt zum Zweck der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
5. WhatsApp-Business-Integration (Meta)
Die Plattform ermöglicht es Kanzleien, mit betroffenen Personen über WhatsApp zu kommunizieren. Hierzu nutzt rightflow die WhatsApp Business Platform (Cloud API). Anbieter und Auftragsverarbeiter der europäischen Daten ist die WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland (Unternehmen des Meta-Konzerns; nachfolgend „WhatsApp").
Welche Daten an WhatsApp übermittelt werden: Um eine WhatsApp-Nachricht zuzustellen, werden die Telefonnummer der empfangenden Person, der Nachrichteninhalt sowie etwaige Anhänge an WhatsApp übermittelt. Eingehende Antworten der betroffenen Person werden über dieselbe Schnittstelle empfangen und in der Plattform gespeichert.
Zweck: Zustellung und Empfang von Nachrichten zwischen Kanzlei und betroffener Person über den von der betroffenen Person genutzten Kommunikationskanal WhatsApp.
Rolle von WhatsApp: WhatsApp verarbeitet diese Daten im Rahmen der Nachrichtenzustellung. Es gelten zusätzlich die Datenschutzbestimmungen von WhatsApp/Meta: https://www.whatsapp.com/legal/privacy-policy. rightflow ist gegenüber der Kanzlei Auftragsverarbeiter; WhatsApp ist insoweit als Unterauftragsverarbeiter bzw. Empfänger eingebunden.
Einwilligung und Verantwortung der Kanzlei: Die WhatsApp-Kommunikation ist optional, standardmäßig deaktiviert und wird allein durch die Kanzlei aktiviert. Sie setzt voraus, dass die betroffene Person der Kanzlei gegenüber in die Nutzung dieses Kanals eingewilligt hat. Die Einholung dieser Einwilligung sowie die Bewertung, ob die Nutzung von WhatsApp mit den anwaltlichen Berufspflichten – insbesondere der Verschwiegenheitspflicht (§ 43a, § 43e BRAO, § 203 StGB) – vereinbar ist, obliegen ausschließlich der verantwortlichen Kanzlei.
Datenübermittlung in Drittländer: WhatsApp Ireland Limited übermittelt europäische Daten an die WhatsApp LLC in den USA. Eine EU-/Deutschland-Datenresidenz wird für WhatsApp-Daten – anders als für die übrige Plattform (Ziffer 7) – nicht gewährleistet. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework sowie ergänzend der EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) gemäß Art. 44 ff. DSGVO.
6. Rechtsgrundlagen
Die Kanzlei als Verantwortliche stützt die Verarbeitung regelmäßig auf:
Art. 6 Abs. 1 lit. b DSGVO – Durchführung des Mandatsverhältnisses bzw. vorvertraglicher Maßnahmen;
Art. 6 Abs. 1 lit. a DSGVO – Einwilligung der betroffenen Person in die Kommunikation über WhatsApp;
für besondere Kategorien personenbezogener Daten Art. 9 Abs. 2 lit. f DSGVO (Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen) sowie ergänzend Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).
rightflow verarbeitet die Daten als Auftragsverarbeiter auf Grundlage des Auftragsverarbeitungsvertrags (Art. 28 DSGVO).
7. Hosting und Speicherort
Die Plattform wird in einer Cloud-Umgebung der Microsoft Deutschland GmbH (Microsoft Azure) mit Serverstandort in Deutschland betrieben (Azure Blob Storage / Kubernetes, Dokumentenspeicherung). Mit Microsoft besteht ein Auftragsverarbeitungsvertrag.
8. Unterauftragsverarbeiter
rightflow setzt sorgfältig ausgewählte Unterauftragsverarbeiter ein, jeweils auf Grundlage von Verträgen nach Art. 28 DSGVO. Hierzu zählt insbesondere WhatsApp Ireland Limited für die WhatsApp-Business-Kommunikation sowie Microsoft Deutschland GmbH für Hosting und KI-/Dokumentenverarbeitung.
Eine stets aktuelle Übersicht der Unterauftragsverarbeiter ist abrufbar unter: https://support.rightflow.de
9. Internationale Datenübermittlung
Soweit Unterauftragsverarbeiter Daten außerhalb der EU/des EWR verarbeiten (insbesondere WhatsApp LLC in den USA, siehe Ziffer 5), erfolgt dies ausschließlich auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO, insbesondere des EU-US Data Privacy Framework oder der EU-Standardvertragsklauseln.
10. Speicherdauer
Die Speicherdauer richtet sich nach den Vorgaben der verantwortlichen Kanzlei. Für anwaltliche Handakten gilt die gesetzliche Aufbewahrungsfrist nach § 50 Abs. 1 BRAO von sechs Jahren, beginnend mit Ablauf des Kalenderjahres, in dem das Mandat beendet wurde. Über eine Löschung oder weitere Aufbewahrung nach Ablauf dieser Frist entscheidet die Kanzlei als Verantwortliche. rightflow stellt hierfür die technischen Mittel bereit.
11. Rechte der betroffenen Personen
Betroffene Personen haben gegenüber dem Verantwortlichen (der Kanzlei) die Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21 DSGVO). Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3 DSGVO).
Zur Ausübung dieser Rechte wenden Sie sich bitte an die Sie betreuende Kanzlei. Anfragen können auch an privacy@rightflow.de gerichtet werden; rightflow leitet diese an die zuständige Kanzlei weiter bzw. unterstützt diese bei der Bearbeitung.
12. Beschwerderecht bei einer Aufsichtsbehörde
Betroffene Personen haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für rightflow zuständig ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) Lautenschlagerstraße 20, 70173 Stuttgart
13. Datensicherheit
rightflow trifft geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um personenbezogene Daten gegen unbefugten Zugriff, Verlust und Missbrauch zu schützen (u. a. Verschlüsselung, Zugriffskontrollen, Mandantentrennung).
14. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich die Verarbeitung oder die Rechtslage ändert. Es gilt die jeweils unter rightflow.de/privacy veröffentlichte Fassung.
Privacy Policy (EN)
Last updated: 4th June 2026 · The German version above is the legally authoritative version; this English translation is provided for convenience.
1. Controller and Contact
This Privacy Policy describes the processing of personal data in connection with the Software-as-a-Service solution "rightflow" (the "Platform").
Platform operator:
rightflow GmbH Julius-Hatry-Straße 1 68163 Mannheim, Germany
Represented by Managing Director: Jascha Quintern Commercial register: Local Court (Amtsgericht) Mannheim, HRB 750928 VAT ID: DE368562906
Data protection contact: privacy@rightflow.de
2. rightflow's Role: Data Processor
rightflow provides law firms with software to manage their cases. When processing the data of clients, claimants and other parties involved, rightflow acts solely as a data processor within the meaning of Art. 28 GDPR and processes such data only on the documented instructions of the respective law firm.
The controller for this content and client data is the respective law firm using rightflow. The law firm determines the purposes and means of processing, fulfils the information obligations towards data subjects and obtains their consent where required.
A data processing agreement (DPA) under Art. 28 GDPR is in place with each law firm.
Data subjects wishing to exercise their rights or obtain information about the processing of their data should contact the law firm handling their matter as the controller. rightflow assists the law firm in responding to such requests.
3. Scope
This Policy applies to the processing of personal data within the Platform, including the integrated WhatsApp Business communication (see Section 5).
4. Data Processed and Data Subjects
Categories of data subjects: clients, claimants and other parties involved who are contacted by the law firm via the Platform.
Categories of personal data:
Contact data (in particular name and phone number)
Communication content (message text as well as transmitted documents and attachments)
Communication metadata (e.g. timestamps, delivery status)
Special categories of personal data (Art. 9 GDPR): Because the communication serves the handling of a specific legal matter, the content may contain special categories of personal data (e.g. health data or data concerning the underlying legal relationship). Such processing is carried out for the purpose of establishing, exercising or defending legal claims.
5. WhatsApp Business Integration (Meta)
The Platform enables law firms to communicate with data subjects via WhatsApp. For this purpose, rightflow uses the WhatsApp Business Platform (Cloud API). The provider and processor of European data is WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland (a Meta group company; "WhatsApp").
Data transmitted to WhatsApp: To deliver a WhatsApp message, the recipient's phone number, the message content and any attachments are transmitted to WhatsApp. Incoming replies from the data subject are received via the same interface and stored in the Platform.
Purpose: Delivery and receipt of messages between the law firm and the data subject via WhatsApp, the communication channel used by the data subject.
WhatsApp's role: WhatsApp processes this data to deliver the messages. WhatsApp's/Meta's privacy terms additionally apply: https://www.whatsapp.com/legal/privacy-policy. rightflow is a processor vis-à-vis the law firm; WhatsApp is engaged as a sub-processor / recipient in this respect.
Consent and the law firm's responsibility: WhatsApp communication is optional, disabled by default and activated solely by the law firm. It requires that the data subject has consented to the use of this channel with the law firm. Obtaining this consent — and assessing whether the use of WhatsApp is compatible with the lawyer's professional duties, in particular the duty of confidentiality (Sections 43a, 43e BRAO, Section 203 of the German Criminal Code) — is the sole responsibility of the controlling law firm.
Transfers to third countries: WhatsApp Ireland Limited transfers European data to WhatsApp LLC in the USA. EU/Germany data residency is not guaranteed for WhatsApp data — unlike the rest of the Platform (Section 7). The transfer is based on the EU-US Data Privacy Framework and, additionally, the EU Standard Contractual Clauses (Implementing Decision (EU) 2021/914) pursuant to Art. 44 et seq. GDPR.
6. Legal Bases
The law firm, as controller, generally relies on:
Art. 6(1)(b) GDPR – performance of the mandate/engagement or pre-contractual measures;
Art. 6(1)(a) GDPR – the data subject's consent to communication via WhatsApp;
for special categories of data, Art. 9(2)(f) GDPR (establishment, exercise or defence of legal claims) and, additionally, Art. 9(2)(a) GDPR (explicit consent).
rightflow processes the data as a processor on the basis of the data processing agreement (Art. 28 GDPR).
7. Hosting and Storage Location
The Platform is operated in a cloud environment of Microsoft Deutschland GmbH (Microsoft Azure) with servers located in Germany (Azure Blob Storage / Kubernetes, document storage). A data processing agreement is in place with Microsoft.
8. Sub-processors
rightflow uses carefully selected sub-processors, each on the basis of agreements under Art. 28 GDPR. These include in particular WhatsApp Ireland Limited for WhatsApp Business communication and Microsoft Deutschland GmbH for hosting and AI/document processing.
An up-to-date list of sub-processors is available at: https://support.rightflow.de
9. International Data Transfers
Where sub-processors process data outside the EU/EEA (in particular WhatsApp LLC in the USA, see Section 5), this is done exclusively on the basis of appropriate safeguards under Art. 44 et seq. GDPR, in particular the EU-US Data Privacy Framework or the EU Standard Contractual Clauses.
10. Retention Period
The retention period is determined by the controlling law firm. For lawyers' case files, the statutory retention period under Section 50(1) of the German Federal Lawyers' Act (BRAO) of six years applies, beginning at the end of the calendar year in which the mandate ended. The law firm, as controller, decides on deletion or further retention after this period expires. rightflow provides the technical means for this.
11. Data Subject Rights
Data subjects have the rights, vis-à-vis the controller (the law firm), to access (Art. 15), rectification (Art. 16), erasure (Art. 17), restriction of processing (Art. 18), data portability (Art. 20) and objection (Art. 21 GDPR). Any consent given may be withdrawn at any time with effect for the future (Art. 7(3) GDPR).
To exercise these rights, please contact the law firm handling your matter. Requests may also be addressed to privacy@rightflow.de; rightflow will forward them to the responsible law firm or assist in handling them.
12. Right to Lodge a Complaint
Data subjects have the right to lodge a complaint with a data protection supervisory authority. The competent authority for rightflow is:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) Lautenschlagerstraße 20, 70173 Stuttgart, Germany
13. Data Security
rightflow implements appropriate technical and organisational measures pursuant to Art. 32 GDPR to protect personal data against unauthorised access, loss and misuse (including encryption, access controls and tenant separation).
14. Changes to this Privacy Policy
We update this Privacy Policy when processing activities or the legal situation change. The version published at rightflow.de/privacy applies.