Datenschutzerklärung Advocado

4.1 Kundendaten (Anwaltskanzleien)

• Identifikationsdaten (Name, Vorname, Firma)
• Kontaktdaten (E-Mail-Adresse, Telefonnummer, Geschäftsadresse)
• Anmeldedaten (Benutzername, E-Mail)
• Abrechnungsdaten (Rechnungsadresse)
• Nutzungsdaten (Log-Dateien, IP-Adressen, Zugriffszeiten)

4.2 Mandantendaten

Im Auftrag unserer Kunden (Anwaltskanzleien) verarbeiten wir Mandantendaten, die je nach Einzelfall folgende Kategorien umfassen können:

• Identifikationsdaten (Name, Vorname, Geburtsdatum, Adresse)
• Kontaktdaten (E-Mail, Telefon)
• Fallbezogene Daten (Rechtssache, Dokumente, Korrespondenz)
• Besondere Kategorien von Personendaten im Sinne von Art. 17 DSG bzw. Art. 9 DSGVO, soweit diese für die Mandatsbearbeitung erforderlich sind

5.1 Vertragserfüllung

Wir verarbeiten Personendaten zur Erfüllung unserer vertraglichen Verpflichtungen gegenüber unseren Kunden (Art. 6 Abs. 1 lit. b DSGVO, Art. 31 Abs. 1 DSG). Dies umfasst:

• Bereitstellung der Advocado-Plattform
• Verwaltung von Benutzerkonten
• Technischer Support und Kundenservice
• Abrechnung und Zahlungsabwicklung

5.2 Auftragsbearbeitung

Soweit wir Mandantendaten im Auftrag unserer Kunden verarbeiten, handeln wir als Auftragsbearbeiter im Sinne von Art. 28 DSGVO bzw. Art. 9 DSG. Die Rechtsgrundlage ergibt sich aus dem Auftragsverhältnis zwischen dem Kunden und seinem Mandanten.

5.3 Rechtliche Verpflichtungen

Wir verarbeiten Daten zur Erfüllung gesetzlicher Pflichten, insbesondere:

• Aufbewahrungspflichten nach Handels- und Steuerrecht (Art. 6 Abs. 1 lit. c DSGVO, Art. 31 Abs. 2 lit. a DSG)
• Meldepflichten gegenüber Behörden

5.4 Berechtigte Interessen

Wir verarbeiten Daten zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO, Art. 31 Abs. 1 DSG):

• IT-Sicherheit und Systemstabilität
• Verhinderung von Missbrauch
• Geschäftsanalyse und Produktverbesserung
• Geltendmachung rechtlicher Ansprüche

5.5 Einwilligung

Soweit erforderlich, holen wir Ihre ausdrückliche Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO, Art. 31 Abs. 1 DSG). Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.

6.1 Daten, die Sie uns zur Verfügung stellen

• Registrierungsdaten bei Kontoerstellung
• Mandatsdaten, die Sie über die Plattform eingeben oder hochladen
• Kommunikationsdaten bei Kontaktaufnahme
• Zahlungsinformationen bei Vertragsabschluss

6.2 Automatisch erhobene Daten

Bei der Nutzung unserer Plattform werden automatisch technische Daten erhoben:

• IP-Adresse
• Browsertyp und -version
• Betriebssystem
• Zugriffszeitpunkte
• Referrer-URL
• Übertragene Datenmenge

8.1 Rolle als Auftragsbearbeiter

Beim Einsatz von KI-gestützten Funktionen zur Analyse und Bearbeitung von Mandatsdaten handeln wir als Auftragsbearbeiter für unsere Kunden. Mit jedem Kunden wird ein separater Auftragsbearbeitungsvertrag (DPA) abgeschlossen, der die spezifischen Bedingungen und Sicherheitsmassnahmen regelt. Der DPA ist auf Anfrage verfügbar.

8.2 Verwendete KI-Technologien

Wir nutzen Large Language Models (LLMs) von AWS Bedrock zur:

• Dokumentenanalyse und -zusammenfassung
• Unterstützung bei der rechtlichen Recherche
• Erstellung von Dokumententwürfen

8.3 Datenverarbeitung durch KI

Verarbeitungsort: Die Verarbeitung von Prompts und Outputs erfolgt primär in der AWS-Region Schweiz (Zürich). Im Rahmen der AWS EU Cross-Region Inference können Anfragen zur Optimierung der Verfügbarkeit und Performance temporär auch in weiteren europäischen AWS-Regionen verarbeitet werden, namentlich Stockholm, Paris, Mailand, Spanien, Irland und Frankfurt. Alle diese Regionen befinden sich in Ländern mit einem angemessenen Datenschutzniveau gemäss Art. 16 Abs. 1 DSG bzw. Art. 45 DSGVO.

Datenschutzmassnahmen:

• Keine Speicherung von Prompts oder Outputs durch AWS zur Verbesserung der Modelle
• Keine Verwendung Ihrer Daten für das Training von KI-Modellen
• Ende-zu-Ende-Verschlüsselung der Datenübertragung
• Strikte Zugriffskontrollen

Datenschutz durch Technikgestaltung: Wir implementieren Massnahmen, um sicherzustellen, dass nur notwendige Daten an die KI übermittelt werden und besonders schützenswerte Informationen nach Möglichkeit anonymisiert oder pseudonymisiert werden.

8.4 Transparenz und menschliche Aufsicht

KI-generierte Inhalte werden stets als solche gekennzeichnet. Die Verantwortung für die rechtliche Beurteilung und finale Entscheidung liegt beim Anwalt. Die KI dient ausschliesslich als Hilfsmittel.

9.1 Nutzerdaten (Anwaltskanzleien)

• Während der Vertragslaufzeit: Solange das Konto aktiv ist und der Vertrag besteht
• Nach Vertragsende: 30 Tage zur Abwicklung offener Vorgänge und Klärung allfälliger Ansprüche
• Abrechnungsrelevante Daten: 10 Jahre gemäss handels- und steuerrechtlichen Aufbewahrungspflichten (Art. 958f OR, Art. 71 MWSTG)

9.2 Mandatsdaten

Als Auftragsbearbeiter löschen oder retournieren wir Mandatsdaten gemäss den Weisungen unserer Kunden (Anwaltskanzleien). Sofern keine anderen Weisungen vorliegen:

• Während der Mandatsbearbeitung: Solange der Fall aktiv ist
• Nach Archivierung: 12 Monate nach Archivierung des Falls durch den Kunden
• Nach Vertragsende mit dem Kunden: Unverzügliche Löschung oder Retournierung gemäss DPA, spätestens innerhalb von 30 Tagen

9.3 Technische Daten und Logfiles

• Server-Logfiles: 90 Tage (CloudWatch Logs)
• Backup-Daten: 14 Tage (Supabase Point-in-Time Recovery)
• Sicherheitslogs: 12 Monate zur Gewährleistung der IT-Sicherheit

9.4 Chat-Verläufe und KI-Interaktionen

• Während der Fallbearbeitung: Solange der Fall aktiv ist
• Nach Fallabschluss: Gemäss den Weisungen des Kunden (automatische Löschung ist derzeit nicht implementiert)
• Prompts und Outputs bei AWS: Keine Speicherung, ausschliesslich temporäre Verarbeitung

9.5 Kommunikationsdaten

• E-Mail-Korrespondenz mit Support: 3 Jahre
• Anfragen ohne Vertragsabschluss: 12 Monate

10.1 Amazon Web Services (AWS)

• Zweck: Hosting der Plattform, KI-Dienste (AWS Bedrock), Datenverarbeitung
• Verarbeitungsort: Primär Schweiz (Zürich), temporär weitere EU-Regionen (Stockholm, Paris, Mailand, Spanien, Irland, Frankfurt)
• Sicherheitsmassnahmen: ISO 27001, SOC 2, verschlüsselte Datenübertragung und -speicherung

10.2 Supabase Inc.

• Zweck: Datenbankmanagement (PostgreSQL), Dateispeicherung
• Verarbeitungsort: Schweiz (Zürich)
• Sicherheitsmassnahmen: End-to-End-Verschlüsselung, Zugriffskontrollen

10.3 Clerk Inc.

• Zweck: Benutzerauthentifizierung, Session-Management, Multi-Faktor-Authentifizierung
• Verarbeitungsort: Europäische Union
• Sicherheitsmassnahmen: Verschlüsselte Passwort-Speicherung, HTTPS-Verschlüsselung

10.4 Stripe Payments Europe Ltd.

• Zweck: Zahlungsabwicklung, Rechnungsstellung, Abonnementverwaltung
• Verarbeitungsort: Europäische Union (Irland)
• Sicherheitsmassnahmen: PCI DSS Level 1 zertifiziert, Tokenisierung von Zahlungsdaten

13.1 Technische Massnahmen

• Verschlüsselung: TLS 1.3 für Datenübertragung, AES-256 für Daten im Ruhezustand
• Zugriffskontrolle: Rollenbasierte Zugriffsverwaltung, Multi-Faktor-Authentifizierung
• Netzwerksicherheit: Firewalls, Sicherheitsüberwachung, DDoS-Schutz
• Logging und Monitoring: Kontinuierliche Überwachung und Protokollierung von Systemzugriffen
• Backup-System: Regelmässige, verschlüsselte Backups

13.2 Organisatorische Massnahmen

• Verpflichtung auf Vertraulichkeit
• Incident Response Plan für Datenpannen
• Strikte Vergabe von Zugriffsberechtigungen nach dem Need-to-Know-Prinzip

13.3 Physische Sicherheit

Unsere Server werden in zertifizierten Rechenzentren betrieben, die über umfassende physische Sicherheitsmassnahmen verfügen (Zutrittskontrollen, Videoüberwachung, redundante Stromversorgung, Klimatisierung).