Datenschutzerklärung Advocado

4.1 Kundendaten (Anwaltskanzleien)

• Identifikationsdaten (Name, Vorname, Firma)
• Kontaktdaten (E-Mail-Adresse, Telefonnummer, Geschäftsadresse)
• Anmeldedaten (Benutzername, E-Mail)
• Abrechnungsdaten (Rechnungsadresse)
• Nutzungsdaten (Log-Dateien, IP-Adressen, Zugriffszeiten)

4.2 Mandantendaten

Im Auftrag unserer Kunden (Anwaltskanzleien) bearbeiten wir Mandantendaten, die je nach Einzelfall folgende Kategorien umfassen können:

• Identifikationsdaten (Name, Vorname, Geburtsdatum, Adresse)
• Kontaktdaten (E-Mail, Telefon)
• Fallbezogene Daten (Rechtssache, Dokumente, Korrespondenz)
• Besonders schützenswerte Personendaten im Sinne von Art. 5 lit. c DSG (bzw. besondere Kategorien nach Art. 9 DSGVO), soweit diese für die Mandatsbearbeitung erforderlich sind (z.B. Gesundheitsdaten, Daten über strafrechtliche Verfolgungen)

5.1 Systematik nach DSG

Das DSG kennt keinen Erlaubnisvorbehalt. Die Bearbeitung von Personendaten ist grundsätzlich zulässig, sofern sie die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzt (Art. 30 Abs. 1 DSG). Eine Persönlichkeitsverletzung liegt insbesondere vor bei Verstoss gegen die Bearbeitungsgrundsätze (Art. 30 Abs. 2 lit. a DSG) oder bei Bearbeitung gegen den ausdrücklichen Willen der betroffenen Person (Art. 30 Abs. 2 lit. b DSG).

Eine Persönlichkeitsverletzung ist gerechtfertigt durch Einwilligung, ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz (Art. 31 Abs. 1 DSG). Ein überwiegendes Interesse kommt insbesondere in Betracht bei Bearbeitung in unmittelbarem Zusammenhang mit einem Vertrag (Art. 31 Abs. 2 lit. a DSG).

5.2 Systematik nach DSGVO (soweit anwendbar)

Soweit die DSGVO Anwendung findet, stützen wir die Datenverarbeitung auf folgende Rechtsgrundlagen:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

5.3 Vertragserfüllung

Wir bearbeiten Personendaten zur Erfüllung unserer vertraglichen Verpflichtungen gegenüber unseren Kunden. Dies umfasst:

• Bereitstellung der Advocado-Plattform
• Verwaltung von Benutzerkonten
• Technischer Support und Kundenservice
• Abrechnung und Zahlungsabwicklung

DSG-Rechtfertigung: Bearbeitung in unmittelbarem Zusammenhang mit einem Vertrag (Art. 31 Abs. 2 lit. a DSG).

DSGVO-Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

5.4 Auftragsbearbeitung

Soweit wir Mandantendaten im Auftrag unserer Kunden bearbeiten, handeln wir als Auftragsbearbeiter im Sinne von Art. 9 DSG (bzw. Art. 28 DSGVO). Die Verantwortung für die Rechtmässigkeit der Datenbearbeitung gegenüber den Mandanten liegt beim Kunden (Anwaltskanzlei) als Verantwortlichem.

5.5 Rechtliche Verpflichtungen

Wir bearbeiten Daten zur Erfüllung gesetzlicher Pflichten, insbesondere:

• Aufbewahrungspflichten nach Handels- und Steuerrecht (Art. 958f OR, Art. 71 MWSTG)
• Meldepflichten gegenüber Behörden

DSG-Rechtfertigung: Gesetzliche Grundlage (Art. 31 Abs. 1 DSG).

DSGVO-Rechtsgrundlage: Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO).

5.6 Überwiegende Interessen

Wir bearbeiten Daten zur Wahrung überwiegender Interessen (Art. 31 Abs. 1 DSG; Art. 6 Abs. 1 lit. f DSGVO):

• IT-Sicherheit und Systemstabilität
• Verhinderung von Missbrauch
• Geschäftsanalyse und Produktverbesserung
• Geltendmachung rechtlicher Ansprüche

5.7 Einwilligung

Soweit erforderlich, holen wir Ihre ausdrückliche Einwilligung ein (Art. 31 Abs. 1 DSG; Art. 6 Abs. 1 lit. a DSGVO). Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmässigkeit der bis zum Widerruf erfolgten Bearbeitung bleibt davon unberührt.

6.1 Daten, die Sie uns zur Verfügung stellen

• Registrierungsdaten bei Kontoerstellung
• Mandatsdaten, die Sie über die Plattform eingeben oder hochladen
• Kommunikationsdaten bei Kontaktaufnahme
• Zahlungsinformationen bei Vertragsabschluss

6.2 Automatisch erhobene Daten

Bei der Nutzung unserer Plattform werden automatisch technische Daten erhoben:

• IP-Adresse
• Browsertyp und -version
• Betriebssystem
• Zugriffszeitpunkte
• Referrer-URL
• Übertragene Datenmenge

7.1 Einsatz von Cookies

Wir verwenden Cookies, um die Funktionalität unserer Plattform zu gewährleisten und die Nutzererfahrung zu verbessern. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden.

7.2 Kategorien von Cookies

Notwendige Cookies: Erforderlich für die Basisfunktionen der Plattform (Session-Management, Authentifizierung).

Analytische Cookies: Zur Verbesserung der Plattform durch Nutzungsanalyse (nur mit Ihrer Einwilligung).

7.3 Cookie-Verwaltung

Sie können Cookies in Ihren Browser-Einstellungen jederzeit löschen oder blockieren. Dies kann jedoch die Funktionalität der Plattform einschränken.

8.1 Rolle als Auftragsbearbeiter

Beim Einsatz von KI-gestützten Funktionen zur Analyse und Bearbeitung von Mandatsdaten handeln wir als Auftragsbearbeiter für unsere Kunden. Mit jedem Kunden wird ein separater Auftragsbearbeitungsvertrag (Data Processing Agreement, DPA) abgeschlossen, der die spezifischen Bedingungen und Sicherheitsmassnahmen regelt. Der DPA ist auf Anfrage verfügbar und gewährleistet die Einhaltung aller datenschutzrechtlichen Vorgaben gemäss Art. 9 DSG (bzw. Art. 28 DSGVO).

8.2 Verwendete KI-Technologien

Wir nutzen Large Language Models (LLMs) von AWS Bedrock zur:

• Dokumentenanalyse und -zusammenfassung
• Unterstützung bei der rechtlichen Recherche
• Automatisierung von Routineaufgaben

8.3 Datenbearbeitung durch KI

Verarbeitungsort: Die Bearbeitung von Prompts und Outputs erfolgt primär in der AWS-Region Schweiz (Zürich). Im Rahmen der AWS EU Cross-Region Inference können Anfragen zur Optimierung der Verfügbarkeit und Performance temporär auch in weiteren europäischen AWS-Regionen bearbeitet werden, namentlich Stockholm, Paris, Mailand, Spanien, Irland und Frankfurt. Alle diese Regionen befinden sich in Ländern mit einem angemessenen Datenschutzniveau gemäss der Staatenliste des EDÖB (Art. 16 Abs. 1 DSG) bzw. Art. 45 DSGVO.

Datenschutzmassnahmen:

• Keine Speicherung von Prompts oder Outputs durch AWS zur Verbesserung der Modelle
• Keine Verwendung Ihrer Daten für das Training von KI-Modellen
• Ende-zu-Ende-Verschlüsselung der Datenübertragung
• Strikte Zugriffskontrollen

Datenschutz durch Technikgestaltung (Art. 7 DSG): Wir implementieren Massnahmen, um sicherzustellen, dass nur notwendige Daten an die KI übermittelt werden und besonders schützenswerte Informationen nach Möglichkeit anonymisiert oder pseudonymisiert werden.

8.4 Transparenz und menschliche Aufsicht

KI-generierte Inhalte werden stets als solche gekennzeichnet. Die Verantwortung für die rechtliche Beurteilung und finale Entscheidung liegt beim Anwalt. Die KI dient ausschliesslich als Hilfsmittel.

8.5 Keine Rechtsberatung durch KI

Die KI-gestützten Analysen und Vorschläge der Plattform stellen keine Rechtsberatung dar und ersetzen nicht die eigenständige fachliche Beurteilung durch den Rechtsanwalt. Advocado übernimmt keine Haftung für die inhaltliche Richtigkeit, Vollständigkeit oder Aktualität von KI-generierten Outputs. Die Verantwortung für die Verwendung der Plattform-Ergebnisse liegt ausschliesslich beim Kunden.

9.1 Verantwortlichkeit des Kunden

Der Kunde ist als Verantwortlicher im Sinne des DSG für die Rechtmässigkeit der Datenbearbeitung gegenüber seinen Mandanten verantwortlich. Er stellt sicher, dass er über die erforderliche Rechtfertigung für die Übermittlung von Mandantendaten an Advocado verfügt.

9.2 Berufsgeheimnis (Art. 321 StGB)

Der Kunde bestätigt durch die Nutzung der Plattform, dass die Übermittlung von Mandantendaten an Advocado im Einklang mit seinen berufsrechtlichen Pflichten erfolgt, insbesondere mit dem Anwaltsgeheimnis gemäss Art. 321 StGB und Art. 13 BGFA. Advocado empfiehlt den Kunden, die Einwilligung ihrer Mandanten zur Nutzung der Plattform einzuholen, soweit dies aufgrund des Berufsgeheimnisses erforderlich ist.

Advocado gewährleistet im Rahmen seiner Rolle als Auftragsbearbeiter, dass keine gesetzliche Geheimhaltungspflicht im Sinne von Art. 9 Abs. 1 lit. b DSG der Datenbearbeitung entgegensteht: Alle Mitarbeitenden und Hilfspersonen von Advocado sind auf Vertraulichkeit verpflichtet.

9.3 Nutzungsverantwortung und Inhalte

Der Kunde trägt die alleinige Verantwortung für die Inhalte und Daten, die er in die Plattform eingibt. Advocado überprüft diese Inhalte nicht und übernimmt keine Haftung für rechtswidrige, unrichtige oder unvollständige Kundendaten.

10.1 Nutzerdaten (Anwaltskanzleien)

• Während der Vertragslaufzeit: Solange das Konto aktiv ist und der Vertrag besteht
• Nach Vertragsende: 30 Tage zur Abwicklung offener Vorgänge und Klärung allfälliger Ansprüche
• Abrechnungsrelevante Daten: 10 Jahre gemäss handels- und steuerrechtlichen Aufbewahrungspflichten (Art. 958f OR, Art. 71 MWSTG)

10.2 Mandatsdaten

Als Auftragsbearbeiter löschen oder retournieren wir Mandatsdaten gemäss den Weisungen unserer Kunden (Anwaltskanzleien). Sofern keine anderen Weisungen vorliegen:

• Während der Mandatsbearbeitung: Solange der Fall aktiv ist
• Nach Archivierung: 12 Monate nach Archivierung des Falls durch den Kunden
• Nach Vertragsende mit dem Kunden: Löschung oder Retournierung gemäss DPA, spätestens innerhalb von 30 Tagen

10.3 Technische Daten und Logfiles

• Server-Logfiles: 90 Tage (CloudWatch Logs)
• Backup-Daten: 14 Tage (Supabase Point-in-Time Recovery)
• Sicherheitslogs: 12 Monate zur Gewährleistung der IT-Sicherheit

10.4 Chat-Verläufe und KI-Interaktionen

• Während der Fallbearbeitung: Solange der Fall aktiv ist
• Nach Fallabschluss: Gemäss den Weisungen des Kunden (automatische Löschung ist derzeit nicht implementiert)
• Prompts und Outputs bei AWS: Keine Speicherung, ausschliesslich temporäre Bearbeitung

10.5 Kommunikationsdaten

• E-Mail-Korrespondenz mit Support: 3 Jahre
• Anfragen ohne Vertragsabschluss: 12 Monate

11.1 Hosting und Infrastruktur

Amazon Web Services EMEA SARL (AWS)

• Zweck: Hosting der Plattform, KI-Dienste (AWS Bedrock), Datenbearbeitung
• Verarbeitungsort: Primär Schweiz (Zürich), temporär weitere EU-Regionen (Schweden, Frankreich, Italien, Spanien, Irland, Deutschland)
• Datenschutzniveau: Angemessenes Datenschutzniveau gemäss Staatenliste des EDÖB (Art. 16 Abs. 1 DSG)
• Sicherheitsmassnahmen: ISO 27001, SOC 2, verschlüsselte Datenübertragung und -speicherung

11.2 Datenbank

Supabase Inc.

• Zweck: Datenbankmanagement (PostgreSQL), Dateispeicherung
• Verarbeitungsort: Schweiz (Zürich)
• Datenschutzniveau: Angemessenes Datenschutzniveau; zusätzlich Standardvertragsklauseln (Art. 16 Abs. 2 lit. d DSG)
• Sicherheitsmassnahmen: End-to-End-Verschlüsselung, Zugriffskontrollen

11.3 Authentifizierung und Identity Management

Clerk Inc.

• Zweck: Benutzerauthentifizierung, Session-Management, Multi-Faktor-Authentifizierung
• Verarbeitungsort: Europäische Union
• Datenschutzniveau: Angemessenes Datenschutzniveau gemäss Staatenliste des EDÖB (Art. 16 Abs. 1 DSG); zusätzlich Standardvertragsklauseln
• Sicherheitsmassnahmen: Verschlüsselte Passwort-Speicherung, HTTPS-Verschlüsselung

11.4 Zahlungsabwicklung

Stripe Payments Europe Ltd.

• Zweck: Zahlungsabwicklung, Rechnungsstellung, Abonnementverwaltung
• Verarbeitungsort: Europäische Union (Irland)
• Datenschutzniveau: Angemessenes Datenschutzniveau gemäss Staatenliste des EDÖB (Art. 16 Abs. 1 DSG)
• Sicherheitsmassnahmen: PCI DSS Level 1 zertifiziert, Tokenisierung von Zahlungsdaten

11.5 Änderung der Auftragsbearbeiter

Advocado informiert die Kunden mindestens 30 Tage im Voraus über geplante Änderungen der eingesetzten Unterauftragsbearbeiter. Der Kunde hat das Recht, gegen die Änderung Einspruch zu erheben. Erhebt der Kunde berechtigten Einspruch, bemüht sich Advocado um eine alternative Lösung. Ist dies nicht möglich, kann der Kunde den Vertrag auf den Zeitpunkt der Änderung kündigen.

11.6 Allgemeine Garantien

Für alle Dienstleister gilt:

• Abschluss von Auftragsbearbeitungsverträgen gemäss Art. 9 DSG (bzw. Art. 28 DSGVO)
• Bei Datenübermittlung in Staaten ohne angemessenes Datenschutzniveau: Einsatz von Standardvertragsklauseln oder gleichwertigen Garantien (Art. 16 Abs. 2 DSG)
• Regelmässige Überprüfung der Sicherheitsmassnahmen und Compliance
• Verpflichtung zur Vertraulichkeit und Datensicherheit
• Keine Weitergabe an Dritte ohne unsere ausdrückliche Genehmigung

12.1 Bekanntgabe ins Ausland (Art. 16 ff. DSG)

Grundsätzlich werden Ihre Daten innerhalb der Schweiz und in Staaten mit angemessenem Datenschutzniveau gemäss der Staatenliste des EDÖB bearbeitet (Schweiz, EU/EWR-Staaten). Soweit Daten ausnahmsweise in Staaten ohne angemessenes Datenschutzniveau bekanntgegeben werden sollten, stellen wir geeignete Garantien sicher:

• Standardvertragsklauseln (Art. 16 Abs. 2 lit. d DSG)
• Zusätzliche technische und organisatorische Massnahmen (insbesondere Verschlüsselung)

Derzeit erfolgt keine Datenbekanntgabe in Staaten ohne angemessenes Datenschutzniveau.

12.2 AWS Cross-Region Inference

Die temporäre Bearbeitung von Prompts und Outputs in verschiedenen EU-Regionen im Rahmen der AWS EU Cross-Region Inference erfolgt ausschliesslich in Staaten mit angemessenem Datenschutzniveau (Schweiz, Schweden, Frankreich, Italien, Spanien, Irland, Deutschland). Es erfolgt keine Datenbekanntgabe in Staaten ohne angemessenes Datenschutzniveau.

12.3 Information nach Art. 19 Abs. 4 DSG

Die Staaten, in welche Personendaten bekanntgegeben werden, und die jeweils anwendbaren Garantien ergeben sich aus den Angaben unter Ziff. 11.

14.1 Technische Massnahmen

• Verschlüsselung: TLS 1.3 für Datenübertragung, AES-256 für Daten im Ruhezustand
• Zugriffskontrolle: Rollenbasierte Zugriffsverwaltung, Multi-Faktor-Authentifizierung
• Netzwerksicherheit: Firewalls, Sicherheitsüberwachung, DDoS-Schutz
• Logging und Monitoring: Kontinuierliche Überwachung und Protokollierung von Systemzugriffen
• Backup-System: Regelmässige, verschlüsselte Backups

14.2 Organisatorische Massnahmen

• Verpflichtung auf Vertraulichkeit
• Incident Response Plan für Datenschutzverletzungen (Art. 24 DSG)
• Strikte Vergabe von Zugriffsberechtigungen nach dem Need-to-Know-Prinzip

14.3 Physische Sicherheit

Unsere Server werden in zertifizierten Rechenzentren betrieben, die über umfassende physische Sicherheitsmassnahmen verfügen (Zutrittskontrollen, Videoüberwachung, redundante Stromversorgung, Klimatisierung).

16.1 Auskunftsrecht (Art. 25 DSG; Art. 15 DSGVO)

Sie haben das Recht, Auskunft darüber zu verlangen (Art. 25 Abs. 2 DSG):

• Welche Personendaten wir über Sie bearbeiten
• Zu welchen Zwecken die Bearbeitung erfolgt
• Aus welchen Quellen die Daten stammen (sofern nicht direkt bei Ihnen erhoben)
• An welche Empfänger die Daten bekanntgegeben werden
• Die Aufbewahrungsdauer oder die Kriterien für deren Festlegung

Die Auskunft wird grundsätzlich kostenlos und innerhalb von 30 Tagen erteilt (Art. 25 Abs. 6 und 7 DSG).

16.2 Recht auf Berichtigung (Art. 32 Abs. 1 DSG; Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger Personendaten zu verlangen. Unter Berücksichtigung des Bearbeitungszwecks können Sie auch die Vervollständigung unvollständiger Personendaten verlangen.

16.3 Recht auf Löschung (Art. 32 Abs. 2 DSG; Art. 17 DSGVO)

Sie können verlangen, dass Personendaten gelöscht oder vernichtet werden (Art. 32 Abs. 2 lit. c DSG), insbesondere wenn die Bearbeitung widerrechtlich ist. Im Rahmen der DSGVO besteht ein Löschungsrecht auch in weiteren Fällen gemäss Art. 17 DSGVO.

Das Löschungsrecht besteht nicht, soweit die Bearbeitung auf einer gesetzlichen Pflicht beruht, überwiegende Interessen dem entgegenstehen oder die Daten zu Archivzwecken im öffentlichen Interesse bearbeitet werden.

16.4 Recht auf Datenherausgabe und -übertragung (Art. 28 DSG; Art. 20 DSGVO)

Sie haben das Recht, die Herausgabe der Sie betreffenden Personendaten, die Sie uns bekanntgegeben haben, in einem gängigen elektronischen Format zu verlangen oder deren Übertragung an einen anderen Verantwortlichen zu verlangen (Art. 28 Abs. 1 DSG), sofern:

• Wir die Daten automatisiert bearbeiten; und
• Die Daten mit Ihrer Einwilligung oder in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags bearbeitet werden

Der Verantwortliche kann die Herausgabe oder Übertragung einschränken oder verweigern, wenn überwiegende Interessen Dritter oder gesetzliche Bestimmungen entgegenstehen (Art. 29 DSG). In diesem Fall teilen wir Ihnen die Gründe mit.

16.5 Widerspruch gegen Bearbeitung (DSG / Art. 21 DSGVO)

Nach DSG: Sie können der Bearbeitung Ihrer Personendaten jederzeit widersprechen. Bearbeiten wir Ihre Daten entgegen Ihrem ausdrücklichen Willen, liegt eine Persönlichkeitsverletzung vor (Art. 30 Abs. 2 lit. b DSG), die einer Rechtfertigung bedarf.

Nach DSGVO (soweit anwendbar): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung auf Grundlage berechtigter Interessen Widerspruch einzulegen (Art. 21 DSGVO). Bei Direktwerbung besteht ein jederzeitiges, bedingungsloses Widerspruchsrecht.

16.6 Widerruf der Einwilligung

Sofern die Bearbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 31 Abs. 1 DSG; Art. 7 Abs. 3 DSGVO). Die Rechtmässigkeit der bis zum Widerruf erfolgten Bearbeitung bleibt davon unberührt.

16.7 Einschränkung der Verarbeitung (nur DSGVO, Art. 18 DSGVO)

Soweit die DSGVO Anwendung findet, haben Sie das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn:

• Die Richtigkeit der Daten bestritten wird (für die Dauer der Prüfung)
• Die Verarbeitung unrechtmässig ist, Sie aber die Löschung ablehnen
• Wir die Daten nicht mehr benötigen, Sie diese aber zur Geltendmachung von Rechtsansprüchen benötigen
• Sie Widerspruch eingelegt haben (für die Dauer der Prüfung)

Hinweis: Das DSG kennt kein eigenständiges Recht auf Einschränkung der Bearbeitung.

16.8 Beschwerderecht bei einer Aufsichtsbehörde

Schweiz (Art. 49 DSG): Sie haben das Recht, beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eine Anzeige zu erstatten, wenn Sie der Ansicht sind, dass die Bearbeitung Ihrer Personendaten gegen das DSG verstösst.

Zuständige Aufsichtsbehörde:

EU/EWR (Art. 77 DSGVO): Soweit die DSGVO anwendbar ist, können Sie sich auch an die Aufsichtsbehörde Ihres Aufenthaltsortes oder Arbeitsplatzes in der EU/im EWR wenden.

16.9 Ausübung Ihrer Rechte

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

Wir werden Ihr Anliegen innerhalb von 30 Tagen bearbeiten (Art. 25 Abs. 6 DSG). Sollte die Bearbeitung mehr Zeit in Anspruch nehmen, informieren wir Sie über die Gründe der Verzögerung.

Zur Identifikation Ihrer Person können wir zusätzliche Informationen anfordern. Dies dient dem Schutz Ihrer Daten vor unbefugtem Zugriff.