Datenschutzerklärung
Wie anwalt.avantwerk.de personenbezogene Daten verarbeitet. Informationspflicht gemäß Art. 13 und Art. 14 DSGVO (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016) in Verbindung mit dem BDSG (Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 30. Juni 2017, BGBl. I S. 2097, zuletzt geändert).
1. Verantwortlicher
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Dienst Avantwerk Legal AI ist:
Bennovate spółka z ograniczoną odpowiedzialnością
ul. Christiana Andersena 25, 94-118 Łódź, Polen
KRS: 0000597272 · NIP: 7272799328 · REGON: 363700466
Eingetragen beim Bezirksgericht Łódź-Śródmieście, XX. Wirtschaftsabteilung des Nationalen Gerichtsregisters
Stammkapital: 5.000 PLN, vollständig eingezahlt
Das Unternehmen tritt in Deutschland unter der Handelsbezeichnung Avantwerk Legal AI auf. Bennovate sp. z o.o. ist keine Rechtsanwaltskanzlei und kein zugelassener Rechtsanwalt; das Unternehmen erbringt Softwareleistungen.
E-Mail: legal@avantwerk.com
2. Datenschutzbeauftragter
Wir haben einen Datenschutzbeauftragten (DSB) bestellt, der für alle Fragen zur Verarbeitung personenbezogener Daten und zur Ausübung von Betroffenenrechten erreichbar ist:
E-Mail: dpo@avantwerk.com
Die Kontaktaufnahme mit dem DSB ist keine Voraussetzung für die Ausübung von Betroffenenrechten. Anfragen können direkt nach dem unter Ziffer 11 beschriebenen Verfahren gestellt werden.
3. Für wen gilt diese Datenschutzerklärung?
Diese Datenschutzerklärung, erteilt gemäß Art. 13 DSGVO (Erhebung bei der betroffenen Person) und Art. 14 DSGVO (nicht bei der betroffenen Person erhobene Daten), gilt für personenbezogene Daten der folgenden Personengruppen:
- Kanzleikontakte — natürliche Personen, die ein Testkonto anlegen, den Dienst abonnieren oder als Rechnungs- oder technische Kontaktpersonen einer Abonnentenkanzlei benannt sind;
- Sachbearbeiter und Rechtsanwältinnen/Rechtsanwälte — Personen einer Abonnentenkanzlei, die den Dienst im Rahmen einer Nutzerlizenz (Platz) verwenden;
- Interessenten — Personen, die uns über die Website, per E-Mail oder telefonisch anfragen oder Informationen zum Dienst einholen; und
- potenzielle Kunden — Personen, die Marketingkommunikation von uns über den Dienst erhalten.
Was diese Datenschutzerklärung nicht erfasst. Die Verarbeitung von Mandantendaten und Akteninhalten durch den Kunden im Rahmen seiner anwaltlichen Tätigkeit obliegt dem Kunden als Verantwortlichem allein. Akteninhalte verbleiben auf dem Gerät und dem lokalen Datenträger des Kunden (Local-First-Architektur). Wir sind weder Verantwortlicher noch Auftragsverarbeiter für Akteninhalte oder für die Endmandanten der Abonnentenkanzlei.
4. Welche personenbezogenen Daten verarbeiten wir?
Wir verarbeiten ausschließlich die personenbezogenen Daten, die für den Betrieb des Dienstes und zur Erfüllung unserer rechtlichen und vertraglichen Pflichten erforderlich sind. Akteninhalte (vgl. Ziffer 10) verarbeiten wir nicht.
| Kategorie | Beispiele | Herkunft |
|---|---|---|
| Kontodaten | Vor- und Nachname, Berufsbezeichnung, Kanzleiname | Von Ihnen bei der Registrierung angegeben |
| Kontaktdaten | Dienstliche E-Mail-Adresse, Telefon, Postanschrift | Von Ihnen bei Registrierung oder Korrespondenz angegeben |
| Abrechnungsdaten | Name des Rechnungsempfängers, Rechnungsanschrift, Zahlungsbestätigungen (Kartendaten werden vom Zahlungsdienstleister verarbeitet) | Bei Abonnementabschluss angegeben |
| Nutzungsdaten | Anmeldezeitpunkte, Funktionsinteraktionen, Protokollereignisse | Automatisch erzeugt |
| Technische Daten | IP-Adresse, Browser, Endgerät, Betriebssystem | Automatisch erzeugt |
| Kommunikation | E-Mails, Support-Anfragen, Korrespondenz | Von Ihnen übermittelt |
| Marketingpräferenzen | Einwilligungs- oder Widerspruchsstatus für Marketing-E-Mails | Von Ihnen angegeben |
Wir verarbeiten keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO im Rahmen des Dienstes, es sei denn, Sie teilen solche Daten freiwillig in einer Support-Anfrage mit; in diesem Fall werden diese ausschließlich zur Beantwortung Ihrer Anfrage verarbeitet.
5. Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten wir Ihre Daten?
5.1 Vertragserfüllung — Art. 6 Abs. 1 lit. b DSGVO
Wir verarbeiten Kontodaten, Kontaktdaten, Abrechnungsdaten und Nutzungsdaten, um: (a) Ihr Konto einzurichten und zu verwalten; (b) den Zugang zum Dienst im Rahmen des Abonnements bereitzustellen; (c) Rechnungen zu erstellen und Zahlungen einzuziehen; (d) Kundensupport zu leisten.
Speicherdauer: Dauer des Abonnements zuzüglich 10 Jahre (§ 147 Abs. 1 AO für steuerrelevante Unterlagen; § 257 Abs. 1 HGB für kaufmännische Unterlagen; im Übrigen 3 Jahre ab Vertragsende nach §§ 195, 199 BGB).
5.2 Erfüllung rechtlicher Verpflichtungen — Art. 6 Abs. 1 lit. c DSGVO
Wir verarbeiten Rechnungsdaten, Transaktionsnachweise und bestimmte Sicherheitsprotokolle zur Erfüllung von: (a) steuerrechtlichen und handelsrechtlichen Aufbewahrungspflichten nach §§ 238 ff. HGB, §§ 140 ff. AO; (b) Verpflichtungen gegenüber Betroffenen und Aufsichtsbehörden nach der DSGVO und dem BDSG.
Speicherdauer: Steuer- und Handelsbücher — 10 Jahre gemäß § 147 Abs. 1 Nr. 1 AO. Sicherheitsprotokolle — 90 Tage routinemäßig; länger bei bestätigtem Sicherheitsvorfall.
5.3 Berechtigte Interessen — Art. 6 Abs. 1 lit. f DSGVO
Wir verarbeiten technische Daten (IP-Adressen, Browser-Informationen) und Nutzungsdaten auf Grundlage unserer berechtigten Interessen: (a) Aufrechterhaltung der Sicherheit, Integrität und Verfügbarkeit des Dienstes; (b) Erkennung und Verhinderung von Betrug und unberechtigtem Zugriff; (c) Verbesserung des Dienstes durch anonymisierte aggregierte Nutzungsanalysen. Wir haben eine Interessenabwägung durchgeführt.
Speicherdauer: Technische Daten — 90 Tage, außer bei laufenden Sicherheitsuntersuchungen.
5.4 Einwilligung — Art. 6 Abs. 1 lit. a DSGVO
Soweit Sie eine Einwilligung erteilt haben, verarbeiten wir: (a) Ihre E-Mail-Adresse für Marketingkommunikation; (b) zusätzliche personenbezogene Daten, die Sie freiwillig in Umfragen oder Rückmeldungen angeben.
Die Einwilligung kann jederzeit mit Wirkung für die Zukunft durch Klick auf den Abmeldelink oder schriftlich an dpo@avantwerk.com widerrufen werden. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung (Art. 7 Abs. 3 DSGVO).
Speicherdauer für Einwilligungsnachweise: 3 Jahre ab Einwilligung oder Widerruf.
6. Cookies und Tracking-Technologien
Unser Einsatz von Cookies richtet sich nach § 25 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz, BGBl. I 2021 S. 1982) in Verbindung mit Art. 6 DSGVO. Technisch notwendige Cookies bedürfen keiner Einwilligung. Alle übrigen Cookies erfordern eine vorherige, freiwillige, spezifische und informierte Einwilligung. Einzelheiten in unserer Cookie-Richtlinie.
7. Wer erhält Ihre personenbezogenen Daten?
Wir übermitteln personenbezogene Daten nur, soweit dies erforderlich ist und eine geeignete Rechtsgrundlage besteht. Übermittlungen an Dritte erfolgen auf der Grundlage schriftlicher Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.
| Empfänger | Funktion | Sitz | Übermittlungsgrundlage |
|---|---|---|---|
| Hetzner Online GmbH | VPS-Hosting (Webanwendung und selbstgehostete E-Signatur) | Deutschland (EU/EWR) | Keine Drittlandübermittlung — EU/EWR-intern |
| Unser CRM-Anbieter | Kundenbeziehungsmanagement | USA | Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO |
| Zahlungsdienstleister | Abonnementzahlungen | USA | Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO |
| E-Mail-Versanddienstleister | Konto- und Rechnungs-E-Mails | USA | Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO |
| Selbstgehostete E-Signatur (Documenso, auf unserem Hetzner-VPS) | Mandatsschreiben und AVV bei der Onboarding | Deutschland (unser VPS) | Keine Drittlandübermittlung — kein Drittanbieter |
| Prezes UODO / Landesdatenschutzbehörden | Aufsichtsbehörden | Polen / Deutschland | Nicht anwendbar (gesetzliche Verpflichtung) |
Wir können personenbezogene Daten ferner übermitteln: an Gerichte, Behörden und Strafverfolgungsbehörden, soweit gesetzlich vorgeschrieben; und an Rechts- und Steuerberater unter Vertraulichkeitspflichten.
Hinweis zum KI-Anbieter (BYOK). Wir empfangen, übertragen und verarbeiten Akteninhalte nicht für den Kunden. Wenn der Kunde die BYOK-Funktion (Bring Your Own Key — eigener KI-Anbieter-Schlüssel) aktiviert und Auszüge aus Akten an seinen gewählten KI-Anbieter übermittelt, findet diese Verarbeitung im Rahmen des eigenen Vertragsverhältnisses des Kunden mit seinem KI-Anbieter statt. Der KI-Anbieter ist der eigene Auftragsverarbeiter des Kunden — kein Unterauftragsverarbeiter von Bennovate. Vgl. das KI-Addendum am Ende dieser Datenschutzerklärung.
8. Drittlandübermittlungen
Soweit wir personenbezogene Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln, erfolgt dies auf Grundlage eines der in Kapitel V DSGVO (Art. 44 ff. DSGVO) vorgesehenen Übermittlungsinstrumente:
- Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO, sofern für das Empfängerland ein solcher Beschluss vorliegt;
- Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO in der Fassung des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021, für Übermittlungen in die USA.
Auf Anfrage stellen wir eine Kopie der einschlägigen Übermittlungsgarantien zur Verfügung (Anfragen an dpo@avantwerk.com).
9. Speicherdauer — Übersicht
| Kategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Konto- und Vertragsdaten | Abonnementlaufzeit + 10 Jahre | § 147 AO; § 257 HGB; Art. 6 Abs. 1 lit. b und c DSGVO |
| Steuer- und Handelsunterlagen | 10 Jahre ab Ende des Geschäftsjahres | § 147 Abs. 1 Nr. 1 AO; Art. 6 Abs. 1 lit. c DSGVO |
| Sicherheitsprotokolle (Routine) | 90 Tage | Berechtigte Interessen; Art. 6 Abs. 1 lit. f DSGVO |
| Sicherheitsprotokolle (Vorfall) | Bis Vorfallsabschluss + Verjährungsfrist | Berechtigte Interessen |
| Einwilligungsnachweise | 3 Jahre ab Einwilligung oder Widerruf | Rechenschaftspflicht; Art. 5 Abs. 2 DSGVO |
| Testdaten (nicht konvertiert) | 30 Tage nach Ablauf des Testzeitraums | Art. 6 Abs. 1 lit. b DSGVO |
10. Unsere Local-First-Architektur — was wir nicht speichern
Der Dienst ist so gestaltet, dass Akteninhalte (Mandantendateien, verschwiegenheitspflichtige Dokumente, Schriftsätze, Gerichtsunterlagen und sonstige anwaltliche Arbeitsergebnisse) auf dem eigenen Gerät und Datenträger des Kunden verbleiben. Akteninhalte werden nicht über Server von Bennovate übertragen. Dementsprechend gilt:
- Bennovate ist weder Verantwortlicher noch Auftragsverarbeiter für Akteninhalte;
- der Auftragsverarbeitungsvertrag erfasst keine Akteninhalte, da diese uns gegenüber nie offenbart werden;
- der Kunde hält personenbezogene Daten in Akteninhalten als Verantwortlicher und trägt hierfür die eigene datenschutzrechtliche und berufsrechtliche Verantwortung; und
- Verlust von oder unberechtigter Zugriff auf Akteninhalte liegt außerhalb der datenschutzrechtlichen Verantwortung von Bennovate — der Kunde ist für die Sicherheit auf seinem eigenen Gerät und Datenträger verantwortlich.
Dies ist eine strukturelle Datenschutz-durch-Technik-Maßnahme gemäß Art. 25 Abs. 1 DSGVO (Privacy by Design).
11. Ihre Betroffenenrechte
Gemäß Kapitel III DSGVO (Art. 15–22) stehen Ihnen folgende Rechte zu:
| Recht | Rechtsgrundlage | Inhalt |
|---|---|---|
| Auskunftsrecht | Art. 15 DSGVO | Kopie Ihrer verarbeiteten personenbezogenen Daten. Antwort innerhalb eines Monats. |
| Recht auf Berichtigung | Art. 16 DSGVO | Korrektur unrichtiger personenbezogener Daten. |
| Recht auf Löschung | Art. 17 DSGVO | Löschung Ihrer Daten, sofern kein Aufbewahrungsgrund entgegensteht. |
| Recht auf Einschränkung der Verarbeitung | Art. 18 DSGVO | Einschränkung der Verarbeitung in bestimmten Fällen. |
| Recht auf Datenübertragbarkeit | Art. 20 DSGVO | Erhalt Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format. |
| Widerspruchsrecht | Art. 21 DSGVO | Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen. |
| Rechte bei automatisierter Entscheidungsfindung | Art. 22 DSGVO | Wir setzen keine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher Wirkung ein. KI-Ergebnisse erfordern stets die Prüfung und Freigabe durch einen Rechtsanwalt/eine Rechtsanwältin (HITL-Vorbehalt). |
| Recht auf Widerruf der Einwilligung | Art. 7 Abs. 3 DSGVO | Jederzeitiger Widerruf mit Wirkung für die Zukunft; berührt nicht die Rechtmäßigkeit vorheriger Verarbeitung. |
Ausübung Ihrer Rechte: Reichen Sie eine schriftliche Anfrage an dpo@avantwerk.com ein. Wir antworten innerhalb eines Kalendermonats. Wir können zur Identitätsüberprüfung verpflichtet sein. Für eine erstmalige Anfrage innerhalb von zwölf Monaten entstehen keine Kosten.
12. Beschwerderecht bei der Aufsichtsbehörde
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie gemäß Art. 77 DSGVO das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzulegen.
Als Verantwortlicher mit Sitz in Polen ist unsere federführende Aufsichtsbehörde:
Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO)
(Präsident des Amtes für den Schutz personenbezogener Daten)
ul. Stawki 2, 00-193 Warszawa, Polen
uodo.gov.pl
Als in Deutschland ansässige betroffene Person können Sie sich darüber hinaus an die für Sie zuständige Landesdatenschutzbehörde wenden (One-Stop-Shop-Mechanismus, Art. 56 DSGVO). Eine Liste der deutschen Landesdatenschutzbehörden finden Sie auf der Website der Datenschutzkonferenz (DSK) unter datenschutzkonferenz-online.de.
Wir würden eine Beschwerde gern zunächst intern klären — bitte wenden Sie sich zuerst an dpo@avantwerk.com.
13. Technische und organisatorische Maßnahmen (TOMs)
Wir setzen technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO um:
- TLS 1.2/1.3-Verschlüsselung der Datenübertragung; HSTS-Preloading;
- BYOK-Schlüsselverschlüsselung im Browser (IndexedDB) — der Schlüssel verlässt nie das Endgerät des Kunden;
- serverseitige Zugriffskontrollen und Protokollierung für Kontodaten;
- Brute-Force-Schutz (fail2ban);
- regelmäßige Abhängigkeits- und Schwachstellenprüfungen.
14. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden registrierten Nutzern mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt.
KI-Addendum — BYOK-Architektur
A.1 Das BYOK-Modell
Avantwerk Legal AI basiert auf einer „Bring Your Own Key"-Architektur (BYOK — eigener KI-Anbieter-Schlüssel). Wenn der Kunde die KI-gestützte Analyse aktiviert, stellt er seinen eigenen API-Schlüssel zu einem von ihm gewählten Drittanbieter zur Verfügung. Dieser Schlüssel wird im Browser des Kunden verschlüsselt und niemals an Server von Bennovate übertragen oder dort gespeichert. Die Token-Nutzung unter dem Schlüssel des Kunden wird dem Kunden direkt von seinem gewählten KI-Anbieter nach dessen Tarifen in Rechnung gestellt; Bennovate rechnet, schlägt auf oder vermittelt nicht.
A.2 Wer verarbeitet Akteninhalte bei aktivierter KI?
Wenn der Kunde Auszüge aus Akten an seinen gewählten KI-Anbieter übermittelt:
- handelt der Kunde als Verantwortlicher für die in der Übermittlung enthaltenen personenbezogenen Daten;
- handelt der KI-Anbieter als eigener Auftragsverarbeiter des Kunden im Rahmen des eigenen Vertrags des Kunden mit diesem KI-Anbieter;
- Bennovate ist weder Verantwortlicher noch Auftragsverarbeiter für diese Übermittlung von Akteninhalten — wir empfangen sie nie; und
- die datenschutzrechtlichen Pflichten des Kunden in Bezug auf diese Verarbeitung liegen allein beim Kunden.
A.3 Egress-Gate (Ausgangsfilter)
Der Dienst umfasst ein technisches Egress-Gate, das Inhalte anonymisiert, bevor sie den Browser des Kunden verlassen. Die Vollständigkeit dieser Anonymisierung hängt vom Akteninhalt ab. Der Kunde darf das Egress-Gate nicht als Ersatz für sein eigenes professionelles Urteil behandeln.
A.4 Datenschutz-Checkliste des Kunden für BYOK
Vor Aktivierung von BYOK sollte der Kunde: (a) die Datenverarbeitungsbedingungen des KI-Anbieters prüfen; (b) sicherstellen, dass ein schriftlicher Auftragsverarbeitungsvertrag mit dem KI-Anbieter abgeschlossen wurde; (c) prüfen, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist; (d) abwägen, ob eine Unterrichtung der Mandantschaft oder deren Einwilligung nach Berufsrecht (§ 43a Abs. 2 BRAO, § 2 BORA) erforderlich ist; (e) die Drittlandübermittlungsimplikationen gemäß Art. 44 ff. DSGVO prüfen.
A.5 Kein Unterauftragsverarbeiter-Verhältnis zwischen Bennovate und dem KI-Anbieter
Da Akteninhalte nie über die Infrastruktur von Bennovate übertragen werden, ist der KI-Anbieter nicht als Unterauftragsverarbeiter von Bennovate in unserem Unterauftragsverarbeiter-Verzeichnis aufgeführt. Das Vertragsverhältnis mit dem KI-Anbieter besteht ausschließlich beim Kunden.
A.6 KI-Ergebnisse und der anwaltliche Vorbehalt
Jedes vom Dienst erzeugte KI-Ergebnis ist ein Entwurf, der vor der Verwendung einer fachkundigen Prüfung und Freigabe durch eine zugelassene Rechtsanwältin oder einen zugelassenen Rechtsanwalt bedarf (HITL-Vorbehalt — Human in the Loop). Der Kunde darf kein KI-Ergebnis als verbindliche Rechtsauskunft behandeln. Die Entscheidungsverantwortung verbleibt stets beim qualifizierten Rechtsanwalt; dies entspricht dem Gebot der anwaltlichen Kontrolle gemäß dem BRAK-Leitfaden für den Einsatz von KI in der Anwaltschaft (Dezember 2024).