Zum Hauptinhalt springen

Datenschutzerklärung

Stand: April 2026. Diese Erklärung informiert nach Art. 13 und 14 der Verordnung (EU) 2016/679 (DSGVO) über Art, Umfang und Zwecke der Verarbeitung personen­bezogener Daten bei Nutzung von Aequitas AI. Weitere Rechtsgrundlagen sind das Bundesdatenschutzgesetz (BDSG), das Telekommunikations-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) und ergänzend die Verordnung (EU) 2024/1689 (EU-KI-VO).

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Verantwortlicher für die Verarbeitung personenbezogener Daten im Rahmen der Plattform Aequitas AI ist:

[Name / Firma des Anbieters]
[Postanschrift]
E-Mail: kontakt@aequitas-ai.de

2. Datenschutz­beauftragter

Eine Pflicht zur Bestellung eines Datenschutz­beauftragten besteht nach § 38 BDSG derzeit nicht. Anfragen zum Datenschutz richten Sie bitte an datenschutz@aequitas-ai.de.

3. Rollen­verteilung bei Mandantendaten

Werden über Aequitas AI Mandantendaten oder vergleichbare personenbezogene Daten Dritter verarbeitet, so ist die nutzende Kanzlei (oder Rechtsabteilung) datenschutz­rechtlich Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO; der Anbieter ist insoweit Auftragsverarbeiter nach Art. 28 DSGVO. Hierfür stellt der Anbieter eine AV-Vertrags-Vorlage nach Art. 28 Abs. 3 DSGVO bereit.

Für die Plattform-Verarbeitung im Verhältnis Anbieter ↔ Endnutzer (Account-Daten, Login, technische Logs) ist der oben genannte Anbieter Verantwortlicher.

4. Zwecke und Rechtsgrundlagen der Verarbeitung

  • Konto­registrierung und Login — Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung): E-Mail-Adresse, Anzeigename, Passwort-Hash (bcrypt mit 12 Runden), optional TOTP-Secret für Zwei-Faktor-Authentifizierung.
  • Sicherheit und Missbrauchs­vorbeugung — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Betrieb der Plattform): IP-Adressen werden ausschließlich als SHA-256-Hash mit Salt gespeichert (keine Klartext-IPs); Login-Versuche, Session-Metadaten.
  • Bereitstellung der Kernfunktion (KI-gestützte juristische Recherche) — Art. 6 Abs. 1 lit. b DSGVO: Eingegebene Anfrage­texte werden zur Beantwortung an die in Abschnitt 6 genannten KI-Anbieter weitergeleitet. Die erzeugten Antworten und die Anfrage werden im Konto des Nutzers gespeichert, damit Arbeits­stände erhalten bleiben.
  • Cookies und vergleichbare Technologien — § 25 Abs. 2 TDDDG für technisch notwendige Cookies; § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO für nicht notwendige Cookies (Einwilligung).
  • E-Mail-Versand — Art. 6 Abs. 1 lit. b DSGVO: Transaktions-Mails (Verifizierung, Passwort-Reset) werden über Resend (siehe Abschnitt 6) zugestellt.
  • Erfüllung gesetzlicher Pflichten — Art. 6 Abs. 1 lit. c DSGVO: Rechenschafts­pflicht (Art. 5 Abs. 2 DSGVO), steuer- und handelsrechtliche Aufbewahrungs­pflichten soweit einschlägig.

5. Verarbeitete Datenkategorien

  • Stammdaten: E-Mail-Adresse, Anzeige­name, optionales Profilbild.
  • Anmelde­daten: bcrypt-Hash des Passworts, ggf. TOTP-Secret (verschlüsselt gespeichert), Session-Tokens.
  • Inhalts­daten: Texte und Dateianhänge, die Sie in das System eingeben; KI-generierte Antworten, Zeitstempel, gewähltes Rechtsgebiet, Modell-Auswahl.
  • Technische Metadaten: gehashte IP-Adresse, User-Agent, Consent-Version.
  • Consent-Log: Ihre Einwilligungs­entscheidungen zur Nachweisführung (Art. 7 Abs. 1 DSGVO).
  • Nutzungs­statistiken: Anzahl Anfragen, eingesetzte Modelle, Token-Verbrauch (rein technisch, zur Kosten- und Limits-Steuerung).

6. Empfänger / Auftrags­verarbeiter / Dritt­länder

Die Anwendung wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, betrieben. Standort der Server: Rechenzentrum Falkenstein, Deutschland. Mit der Hetzner Online GmbH besteht ein Auftragsverarbeitungs­vertrag nach Art. 28 DSGVO. Anwendungs-, Konto- und Inhalts­daten werden ausschließlich auf diesen EU-Servern gespeichert.

Für die Erbringung KI-gestützter Funktionen (Modell-Aufrufe) werden die jeweils konkret eingegebenen Anfragetexte an die folgenden Anbieter übermittelt. Diese sind als Unterauftrags­verarbeiter im Sinne von Art. 28 Abs. 4 DSGVO eingebunden:

  • OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland (Mutter­gesellschaft: OpenAI, L.L.C., USA). Verarbeitung in der EU sowie ergänzend in den USA. Rechtsgrundlage für USA-Verarbeitung: EU-US Data Privacy Framework (Beschluss der Europäischen Kommission vom 10.07.2023) bzw. ergänzende Standard­vertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Geschäfts­konto mit Daten-Nicht-Verwendung zu Trainings­zwecken; Aufbewahrung max. 30 Tage zum Zwecke der Missbrauchs­erkennung.
  • Anthropic PBC, 548 Market Street PMB 90375, San Francisco, CA 94104, USA. Rechtsgrundlage: Standard­vertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und ergänzende technische Maßnahmen. Geschäfts­konto mit Daten-Nicht-Verwendung zu Trainings­zwecken.
  • Perplexity AI Inc., 575 Market Street, Suite 1450, San Francisco, CA 94105, USA — wird ausschließlich in den Modi „Deep-Research" und „Web-Recherche" eingesetzt. Rechtsgrundlage: Standard­vertragsklauseln; eingegebene Suchanfragen können dabei an Drittquellen weitergeleitet werden.
  • Resend Inc., 2261 Market Street #4942, San Francisco, CA 94114, USA — wird ausschließlich für den Versand transaktionaler E-Mails (Verifizierung, Passwort-Reset, System­benachrichtigungen) genutzt. Rechtsgrundlage: Standard­vertrags­klauseln. Verarbeitete Daten: E-Mail-Adresse, Inhalt der Versand-Mail.

Eine Übermittlung von Inhalts­daten an die genannten US-Anbieter erfolgt nur dann, wenn Sie eine Anfrage über das jeweilige Modul stellen. Sie können in den Einstellungen das standardmäßig genutzte Modell wechseln. Soweit Sie Mandantendaten verarbeiten, prüfen Sie bitte gesondert, ob die Übermittlung an einen US-Anbieter berufsrechtlich zulässig ist (vgl. § 43e BRAO, § 203 StGB) — alternativ bietet der Anbieter Beratung zur Installation einer lokalen KI-Umgebung in den Räumen Ihrer Kanzlei an.

7. Speicherdauer

  • Konto-Daten: bis zur Löschung durch Sie selbst (Art. 17 DSGVO, „Account-Löschung" in den Einstellungen) oder durch den Anbieter im Falle einer rechtmäßigen Aufhebung des Zugangs.
  • Chat-Inhalte: bis Sie die jeweilige Konversation löschen oder Ihren Account beenden. Es gibt kein Auto-Delete, damit Arbeits­stände erhalten bleiben.
  • Login-Versuchs-Log: 30 Tage.
  • Sessions: 30 Tage; Rotation bei jedem Login.
  • Consent-Log: 3 Jahre nach Widerruf, anschließend Löschung oder Anonymisierung.
  • Bei externen Modell-Anbietern: gemäß deren Vertrag (für OpenAI z. B. max. 30 Tage zur Missbrauchs­erkennung, anschließend Löschung).

8. Ihre Rechte (Art. 15–22 DSGVO)

  • Auskunft (Art. 15): Datenexport als JSON in den Einstellungen → „Privacy".
  • Berichtigung (Art. 16): Anzeige­name, Profilbild über die Einstellungen änderbar.
  • Löschung (Art. 17): Account-Löschung in den Einstellungen — wirkt unmittelbar und unumkehrbar; gespeicherte Inhalte werden vollständig gelöscht.
  • Einschränkung (Art. 18): auf Anfrage an den Verantwortlichen.
  • Datenübertragbarkeit (Art. 20): JSON-Export ist maschinen­lesbar.
  • Widerspruch (Art. 21) und Widerruf der Einwilligung (Art. 7 Abs. 3): jederzeit über den Cookie-Banner („Datenschutz & Cookies") oder per E-Mail an den Verantwortlichen.
  • Beschwerde (Art. 77): bei der für Sie zuständigen Aufsichts­behörde, z. B. Bundesbeauftragte für den Datenschutz und die Informations­freiheit (BfDI), Graurheindorfer Str. 153, 53117 Bonn, oder bei der jeweils zuständigen Landes­datenschutz­behörde.

9. Automatisierte Entscheidungen / KI-Ausgaben

Aequitas AI setzt generative KI-Modelle als Entwurfs- und Recherche­hilfe ein. Eine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO findet nicht statt — alle KI-Ausgaben sind Vorschläge, die von der nutzenden Person inhaltlich zu prüfen sind und keine Rechts­wirkung gegenüber Dritten entfalten. Hinweise nach Art. 50 EU-KI-VO finden Sie zusätzlich in der KI-Transparenz-Erklärung.

10. Sicherheit (Art. 32 DSGVO)

  • Passwort-Hashing: bcrypt mit 12 Runden.
  • Session-Cookies: HttpOnly, SameSite=Lax, Secure (im produktiven Betrieb).
  • TOTP-Zwei-Faktor-Authentifizierung mit Replay-Schutz.
  • Rate-Limits pro IP und pro Konto, Account-Lockout nach mehrfachen Fehl­versuchen.
  • IP-Speicherung ausschließlich als SHA-256-Hash mit Salt.
  • HTTP-Header: Content-Security-Policy, HSTS, X-Frame-Options DENY, Permissions-Policy.
  • TLS 1.3 für alle Verbindungen; HSTS-Preload.
  • Backups in derselben EU-Region; Festplatten­verschlüsselung über die Hosting-Infrastruktur.

11. Cookies und Tracking

Aequitas AI verwendet ausschließlich technisch notwendige Cookies (Login-Session, CSRF-Schutz). Es werden keine Werbe-Tracker, keine Analyse-Cookies und keine Drittanbieter-Tracker eingesetzt. Optional kann der Browser nicht-essentielle Funktionen (Theme-Wahl, lokale Chat-Historie) im Local-Storage speichern — dies erfolgt ausschließlich nach Einwilligung über den Cookie-Banner und kann jederzeit widerrufen werden.

12. Hinweise für Anwältinnen und Anwälte

Bei Nutzung der Plattform für Mandats­arbeit ist § 43a BRAO (Verschwiegen­heits­pflicht), § 203 StGB (Verletzung von Privat­geheimnissen) und § 43e BRAO (Inanspruchnahme von Dienst­leistern) zu beachten. Wir empfehlen, vor Eingabe von Mandats­inhalten eine Pseudonymisierung vorzunehmen oder — für strukturell vertrauliche Inhalte — auf eine lokale KI-Umgebung in Ihren Kanzlei-Räumen zurückzugreifen, die wir auf Wunsch installieren und betreuen. Die Verantwortung für die berufsrechtliche Zulässigkeit jeder einzelnen Eingabe trägt die nutzende Anwältin / der nutzende Anwalt.

13. Änderungen dieser Erklärung

Diese Erklärung wird angepasst, wenn sich Verarbeitungen, Rechts­grundlagen oder Subprocessor ändern. Wesentliche Änderungen werden über den Cookie-/Consent-Banner erneut zur Kenntnisnahme vorgelegt; die Versionsnummer wird im Header dieser Seite ausgewiesen.