Datenschutzerklärung

Wir nehmen den Schutz Ihrer personenbezogenen Daten ernst. Diese Datenschutz­erklärung informiert Sie gemäß Art. 13, 14 DSGVO sowie § 25 TDDDG über Art, Umfang und Zweck der Verarbeitung im Rahmen der Plattform Smart Legal Pro.

1. Verantwortlicher

MaSa Tech und Betriebs GmbH, Rathenaustr. 58a, 14612 Falkensee, Deutschland
Vertretung: Marian Härtel (Geschäftsführer)
E-Mail: info@smartlegalpro.com

Einen externen Datenschutz­beauftragten haben wir aufgrund der gesetzlichen Schwellenwerte (§ 38 BDSG) derzeit nicht bestellt. Anfragen zum Datenschutz richten Sie bitte direkt an die o. g. E-Mail-Adresse.

2. Hosting, Datenverarbeitungsorte, Verschlüsselung

Die Anwendung wird über Lovable Tech AB (Schweden) auf AWS-Infrastruktur in der EU-Region Frankfurt (eu-central-1) betrieben; Datenbankschicht, Authentifizierung und Datei-Speicher laufen auf Supabase-Infrastruktur (EU/Frankfurt, Sub-Prozessor von Lovable). Alle Daten sind durch Verschlüsselung at-rest (AES-256) und in-transit (TLS 1.3) sowie zeilen­basierte Zugriffsregeln (Row-Level Security) abgesichert. Sie sehen ausschließlich Ihre eigenen Dokumente und Analysen.

3. Verarbeitete Daten, Zwecke, Rechtsgrundlagen, Speicherdauer

4. KI-Verarbeitung, AI-Gateway, Modelle

Dokumenttexte werden zur Analyse über unseren AI-Gateway-Anbieter Requesty Inc.(USA) an führende US-/EU-LLM-Anbieter übermittelt (sog. „Routing"). Mit Requesty sowie den Modell­anbietern bestehen vertragliche Zusicherungen, dass Inhalte ausschließlich zur Beantwortung Ihrer Anfrage genutzt und nicht für Modelltraining verwendet werden („Zero-Retention"). Eingesetzt werden je nach Aufgabe verschiedene Modell­familien führender US-/EU-Anbieter (generische Bezeichnung; konkrete Modelle können sich technisch ändern). Details siehe AI-Transparenz und Subprozessoren.

4a. Drittland­übermittlung & SCC-Kette (KI)

Bei der Nutzung von Requesty Inc. (USA) erfolgt eine Übermittlung in einen Drittstaat. Diese stützt sich auf das EU-US Data Privacy Framework (Angemessen­heits­beschluss der EU-Kommission vom 10.07.2023, sofern Requesty zertifiziert ist) und/oder EU-Standard­vertrags­klauseln (SCCs) gemäß Durchführungs­beschluss (EU) 2021/914 — in der Regel Modul 2 (Controller → Processor) zwischen uns und Requesty sowie Modul 3 (Processor → Processor) in der Kette Requesty → nachgelagerte Modellanbieter. Ergänzt wird dies durch ein Transfer Impact Assessment (TIA) und technische Schutzmaßnahmen (TLS 1.3, PII-Maskierung — siehe §4c, Zero-Retention, siehe §4).

Nachgelagerte Modellanbieter: Requesty leitet Prompts an führende US-/EU-LLM-Anbieter weiter (Modell-Mix variiert). Diese sind bei uns nicht direkte Vertragspartner, sondern Sub-Unternehmer von Requesty. Vertraglich sichern wir über Requesty ab: kein Training auf Ihren Inhalten, Löschung/Zero-Retention nach Verarbeitung, SCC-Weitergabe in der Processor-Kette. Eine Kopie der relevanten Garantien (SCC-Modul, DPF-Nachweis, TIA-Auszug) erhalten Sie auf Anfrage.

4c. PII-Maskierung (Edge-seitig)

Vor der Übergabe an LLMs wenden wir Edge-seitige, reversible PII-Maskierung an (Schalter PII_MASK_ENABLED, Mustererkennung in unseren Supabase Edge Functions). Personenbezogene Muster (insb. Namen, E-Mail-Adressen, Telefonnummern, IBAN/BIC, Kreditkartennummern, Sozialversicherungs­nummern, Krankenversichertennummern, UID AT/CH, API-Schlüssel sowie aus Ihren Account-Identitäten bekannte Werte) werden durch Platzhalter ersetzt und in der Antwort zurückübersetzt, soweit technisch möglich.

Standardmäßig maskiert u. a.: Schnell-Triage, Tiefenanalyse, Dokument-Chat (Streaming), Schreib-Assistent (Intake), Vorlagen-Schreiben, Rechtsfragen-Analyse.

Dokumentierte Ausnahmen (technisch begründet):

• Brief-Generator mit Brieftkopf (generate-letter): Sender/Empfänger unmaskiert für korrekte Anrede und Adressblock.
• Klassifikation & Vertragsvergleich: Volltext erforderlich für strukturelle Analyse.
• Bei sehr vielen erkannten Entitäten (>500): Schutz-Bypass, um LLM-Verwirrung zu vermeiden.

Hinweis: Die Maskierung erfolgt musterbasiert auf unserer Infrastruktur. In Einzelfällen kann das LLM weniger spezifisch antworten — ein bewusster Trade-off zugunsten des Datenschutzes.

4d. Schreib-Assistent (dialogbasierter Intake)

Der Schreib-Assistent sammelt in einem geführten Dialog Fakten zu Ihrem Anliegen (Intent, Rückfragen, strukturierte Felder). Die Klärungsrunden sind für Sie kostenfrei; vor der Brief-Erzeugung erfolgt eine gesonderte Credit-Abrechnung. Verarbeitet werden u. a. Ihre Eingaben, Session-Status, empfohlene Vorlage und vorausgefüllte Antworten. Scope-Gates blockieren automatisch Vertrags-, Langdokument- und Out-of-Scope-Anfragen — der Assistent erzeugt nur Standard-Antwortschreiben (ca. 1–3 Seiten). Rate-Limits (Sessions/Turns pro Tag) dienen dem Missbrauchsschutz. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Details: KI-Transparenz.

4g. KI-Agenten (Anwaltsportal)

Das Anwaltsportal bietet verifizierte Anwält:innen optional automatisierte KI-Agenten(z. B. Akten-Scan, Zusammenfassung, Zitationsprüfung, Vorbereitung auf Verhandlung). Agenten verarbeiten ausschließlich Inhalte, die der/die Anwält:in aktiv in die jeweilige Akte eingestellt hat. Verarbeitete Inhalte umfassen: Dokument­texte, strukturierte Metadaten der Akte, Agenten-Schritte und -Ergebnisse (Step-Log, Output-JSON). Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO (Vertrags­erfüllung) für Anwalt-Konto-Inhaber; ggf. lit. a (Einwilligung) für optionale Analysen. Die Agenten-Verarbeitung erfolgt über denselben AI-Gateway (Requesty) wie die übrigen KI-Funktionen; Zero-Retention und PII-Maskierung gelten entsprechend. Agenten-Läufe und deren Ergebnisse werden in der Akte protokolliert und können vom Konto-Inhaber gelöscht werden.

4f. Sprachgespräch mit dem KI-Agenten („Sprechen mit Lexi/Lex")

Optional können Sie Ihre Rechtsfrage in einem Live-Sprachgespräch mit unserem KI-Agenten stellen. Die Sprachverarbeitung (Spracherkennung, Sprachausgabe, Gesprächssteuerung) erfolgt durch ElevenLabs, Inc. (169 Madison Ave, New York, NY 10016, USA) auf Servern in den USA. Das Gespräch wird hierfür in Echtzeit dorthin übertragen.

• Rechtsgrundlage: Ihre ausdrückliche Einwilligung vor dem ersten Gespräch (Art. 6 Abs. 1 lit. a DSGVO); für die Drittland­übermittlung Art. 49 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung nach Information über die Risiken) — ergänzend bestehen mit ElevenLabs EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und ein Auftragsverarbeitungs­vertrag.
• Kein KI-Training: Ihre Gesprächsinhalte werden vertraglich nicht zum Training von KI-Modellen verwendet (API-/Enterprise-Bedingungen von ElevenLabs).
• Keine dauerhafte Audio-Speicherung: Die Audio-Aufzeichnung wird nach der Transkription gelöscht (ElevenLabs-seitig konfiguriert: Audio-Löschung, Aufbewahrung der Konversations­metadaten max. 30 Tage). Bei uns verbleibt ausschließlich das Text-Transkript mit Zusammenfassung in Ihrem Konto.
• Ihre Kontrolle: Transkripte können Sie jederzeit selbst löschen; sie sind im DSGVO-Export enthalten und werden bei Konto­löschung mit entfernt.
• Hinweis: Nennen Sie im Gespräch keine besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten), soweit für Ihr Anliegen nicht erforderlich. Der Agent ist angewiesen, keine unnötigen personenbezogenen Daten zu erfragen.

Der Einwilligungs­dialog wird vor dem ersten Gespräch angezeigt und revisionssicher protokolliert (Zeitpunkt, Version). Sie können Ihre Einwilligung mit Wirkung für die Zukunft jederzeit widerrufen, indem Sie das Feature nicht mehr nutzen bzw. uns kontaktieren.

4b. Automatisierte Verarbeitung (Art. 22 DSGVO)

Die KI-Analyse ist ausschließlich unterstützend und führt zu keiner ausschließlich automatisierten Entscheidung mit rechtlicher Wirkung i. S. d. Art. 22 DSGVO. Sie entscheiden selbst, ob Sie auf Basis der KI-Hinweise handeln, ein Antwortschreiben versenden oder eine:n Anwält:in einbinden. KI-Ergebnisse können Fehler enthalten und sind keine Rechtsberatung.

4e. Qualitätsprüfung von KI-Ergebnissen (Feedback)

Wenn Sie ein KI-Ergebnis mit 👍 oder 👎 bewerten, speichern wir die Bewertung, optional Ihren Kommentar sowie die Referenz auf die bewertete Ausgabe (z. B. ID des Vertrags, der Analyse oder des Schreibens), Land und Sprache. Diese Daten dienen ausschließlich der Qualitätssicherung der KI und werden nicht für Marketing verwendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Modell- und Produktqualität).

Wenn Sie zusätzlich die optionale Checkbox „Inhalt zur Qualitätsprüfung freigeben" aktivieren, darf unser Qualitäts-Team die zugehörigen Inhalte (KI-Ausgabe und ggf. das zugrundeliegende Dokument) zur Fehleranalyse einsehen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Wenn Sie zusätzlich „Bei bestätigten Fehlern via Support kontaktieren" aktivieren, melden wir uns ausschließlich bei bestätigten Fehlern über ein Support-Ticket; je nach Schweregrad bedanken wir uns mit Token-Gutschriften — ohne Verpflichtung. Beide Einwilligungen sind freiwillig, separat und jederzeit widerrufbar (im Profil oder per E-Mail an die o. g. Adresse). Aufbewahrung: maximal 24 Monate, anschließend Anonymisierung.

5. Subprozessoren / Empfänger

• Supabase Inc. (Hosting, Datenbank, Authentifizierung, Storage) — EU (Frankfurt)
• Requesty Inc. (AI-Gateway zu LLM-Anbietern) — USA, DPF/SCCs
• ElevenLabs, Inc. (Sprachverarbeitung für das optionale Sprachgespräch) — USA, SCCs + Einwilligung Art. 49 Abs. 1 lit. a DSGVO; kein Modell-Training, Audio-Löschung nach Transkription
• Brevo SAS (transaktionale E-Mails) — EU (Frankreich)
• Stripe Payments Europe Ltd. (Zahlungs­abwicklung) — EU (Irland)
• Cloudflare, Inc. (CDN, DDoS, TLS sowie Turnstile-Bot-Schutz auf dem Registrierungsformular) — USA, DPF/SCCs

Stets aktuelle Liste: /legal/subprocessors.

5a. Bot- und Missbrauchsschutz mit Cloudflare Turnstile

Beim Anlegen eines Kontos prüfen wir die Anfrage über den Dienst „Turnstile" von Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA). Übermittelt werden Ihre IP-Adresse, anonymisierte Browser- und Geräte-Signale (User-Agent, Bildschirmgröße, Sprache, Zeit­verhalten) sowie ein verschlüsselter Anti-Replay-Token. Ziel ist ausschließlich die Erkennung und Abwehr automatisierter Massen-Registrierungen (Bots) und Spam.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz unserer Systeme vor Missbrauch und Spam-Registrierungen). Erforderlich für den Vertragsschluss (Art. 6 Abs. 1 lit. b DSGVO), da ohne Bot-Schutz kein sicherer Account-Anlage-Prozess möglich ist.
• Cookies/Tracking: Turnstile setzt keine Tracking-Cookies und erstellt keine Werbeprofile. Eine technisch notwendige Anti-Replay-Kennung kann kurzzeitig im Browser gespeichert werden.
• Drittland (USA): Übermittlung auf Basis der EU-Standardvertragsklauseln (Beschluss 2021/914) und der Zertifizierung von Cloudflare unter dem EU-US Data Privacy Framework.
• Speicherdauer: Cloudflare löscht die Verifizierungs­daten nach eigenen Angaben innerhalb von 24 Stunden. Wir selbst speichern nur das Ergebnis (erfolgreich / abgelehnt) für 12 Monate im Audit-Log.
• Widerspruch: Da der Bot-Schutz für die Kontoanlage technisch erforderlich ist, ist eine Registrierung ohne Turnstile nicht möglich. Sie können stattdessen den Support (info@smartlegalpro.com) für eine manuelle Anlage kontaktieren.

Weitere Informationen: Cloudflare Turnstile, Cloudflare Datenschutz­erklärung.

6. Weitergabe an Anwält:innen (auf Ihre Initiative)

Wenn Sie über die Funktion „Anwält:in einbinden" eine:n Anwält:in zu einem KI-Befund kontaktieren, übermitteln wir nach Ihrer ausdrücklichen Einwilligung folgende Daten an die ausgewählte Kanzlei:

• Den konkreten KI-Befund (Klausel/Risiko/Frist, Severity, Empfehlung, ggf. Gesetzesreferenz)
• Den relevanten Dokument-Auszug; optional das gesamte Dokument, sofern Sie es freigeben
• Ihre Kontaktdaten (Name, E-Mail, Sprache, ggf. Region) und die Sprache der Anfrage

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung Mandat) und lit. a (Einwilligung). Empfänger­kategorie: in Smart Legal Pro registrierte und verifizierte Anwält:innen mit Berufs­zulassung. Die Anwält:in unterliegt ab Empfang der anwaltlichen Verschwiegenheits­pflicht(§ 43a Abs. 2 BRAO, § 203 StGB) und ist insoweit eigene Verantwortliche; ihre Aufbewahrungs­fristen richten sich nach BRAO/BORA (i. d. R. 6 Jahre, § 50 BRAO). Wir dokumentieren Ihre Einwilligung revisions­sicher; ein Widerruf für die Zukunft ist jederzeit per E-Mail möglich. Details siehe Übergabe an Anwält:in.

7. Anwalts-Self-Signup & Verifizierung (für Berufsträger)

Bei Registrierung als Anwält:in verarbeiten wir zusätzlich: Kammer-Land/-Code, Mitglieds-/Bar-ID, Link zum öffentlichen Berufs­register-Profil, Schwerpunkte, Sprachen, Kanzlei. Wir gleichen Eingaben automatisiert mit dem öffentlichen Berufs­register ab (Verifizierungs-Score) und archivieren das Ergebnis zu Beweis­zwecken (Art. 6 Abs. 1 lit. f DSGVO). Berufs­trägerprofile werden in einer kuratierten öffentlichen Sicht (ohne E-Mail/Telefon/Bar-ID) angezeigt.

8. Cookies und vergleichbare Technologien

Wir verwenden ausschließlich technisch notwendige Cookies (§ 25 Abs. 2 TDDDG). Kein Tracking ohne Ihre ausdrückliche Einwilligung. Details: Cookie-Richtlinie.

9. Ihre Rechte

Sie haben das Recht auf:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Anfragen richten Sie bitte an info@smartlegalpro.com. Wir antworten unverzüglich, spätestens innerhalb der gesetzlichen Frist (in der Regel 1 Monat, verlängerbar um 2 Monate).

10. Beschwerderecht bei der Aufsichts­behörde

Sie haben das Recht, sich bei einer Aufsichts­behörde zu beschweren. Zuständig für uns ist:

Die Landes­beauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
Stahnsdorfer Damm 77, 14532 Kleinmachnow
Telefon: +49 33203 356-0 · E-Mail: poststelle@lda.brandenburg.de · Web: www.lda.brandenburg.de

11. Pflicht zur Bereitstellung; Folgen der Nichtbereitstellung

Die Bereitstellung der Daten ist weder gesetzlich noch vertraglich zwingend; ohne Bereitstellung ist eine Nutzung der Plattform jedoch ggf. nicht möglich (z. B. ohne E-Mail kein Account).

12. Änderungen dieser Datenschutz­erklärung

Wir passen diese Erklärung an, wenn sich Verarbeitungen oder Rechtslage ändern. Die jeweils aktuelle Fassung ist hier abrufbar; wesentliche Änderungen kommunizieren wir gesondert.

13. Hinweis für Nutzer im Vereinigten Königreich (UK GDPR) und der Schweiz (DSG)

Nutzer mit Wohnsitz im Vereinigten Königreich haben nach UK GDPR dieselben Datenschutzrechte wie EU-Bürger (Auskunft, Berichtigung, Löschung, Übertragbarkeit, Widerspruch, Widerruf). Die Aufsichtsbehörde im VK ist das Information Commissioner's Office (ICO), Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF, ico.org.uk.

Nutzer mit Wohnsitz in der Schweiz haben vergleichbare Rechte nach dem revidierten schweizerischen Datenschutzgesetz (DSG, in Kraft seit 1.9.2023). Aufsichtsbehörde: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern, edoeb.admin.ch. Soweit das DSG abweichende oder strengere Vorgaben macht, gelten diese zusätzlich.