Elenra

Probieren Sie JuraGPT aus

Elenra

Probieren Sie JuraGPT aus

Elenra

Updated: 10 October 2025

Datenschutzerklärung

Privacy Policy — JuraGPT by Tuyo UG
Effective Date: [05.10.2025]
Last Updated: [10.10.2025]

1. Einleitung und Geltungsbereich

1.1. Diese Datenschutzrichtlinie beschreibt, wie die Tuyo UG („Tuyo UG“, „wir“, „uns“, „unser“) personenbezogene Daten im Zusammenhang mit der JuraGPT-Plattform („Service“) verarbeitet, einem lokal hostbaren Open-Source-Modell für Rechtsanwälte und juristische Fachkräfte.
1.2. Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten, bei der Tuyo UG als tätig ist:

  • Auftragsverarbeiter (Data Processor) für Kunden-Daten, die zur Verarbeitung in das Modell oder die unterstützenden Dienste hochgeladen und dort verarbeitet werden.

  • Verantwortlicher (Data Controller) für Registrierungsdaten, Nutzungsanalysen und Geschäftskommunikation.
    1.3. Für Verarbeitungstätigkeiten, bei denen wir als Auftragsverarbeiter fungieren, gelten zusätzlich zu dieser Richtlinie die Bestimmungen unserer Datenverarbeitungsvereinbarung („DPA“).

2. Datenkategorien und Verarbeitungszwecke

2.1. Kunden-Daten (Rolle: Auftragsverarbeiter):

  • Juristische Dokumente und Schriftsätze, die zur Verarbeitung hochgeladen werden

  • Rechtsrecherche-Daten und Fallakten (soweit in den Dienst eingegeben)

  • Chat-Konversationen, Prompts und Agenten-Interaktionsprotokolle

  • Automatisierte Workflow-Daten (z. B. Dokumentenzusammenfassung, Analyse-Ergebnisse)

  • Zweck: Bereitstellung des Dienstes nach Weisung des Kunden (z.B. Anonymisierung, Analyse, Zusammenfassung von Dokumenten).

2.2. Kontodaten (Rolle: Verantwortlicher):

  • Kanzleinformationen, autorisierte Benutzerdetails, Abrechnungsdaten

  • Zweck: Kontoverwaltung, Abrechnung, Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

2.3. Systemdaten (Rolle: Verantwortlicher):

  • Anonymisierte und aggregierte Nutzungsmuster, Performance-Metriken, Fehlerprotokolle (zur Überwachung der lokalen Instanz, falls diese Daten an Tuyo UG übermittelt werden)

  • Zweck: Serviceverbesserung, Sicherheitsüberwachung (Art. 6 Abs. 1 lit. f DSGVO - berechtigte Interessen).

Besondere Kategorien. Wir sind nicht bestrebt, besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) über den Dienst zu verarbeiten. Der Kunde sollte es vermeiden, solche Daten hochzuladen oder zu verarbeiten, es sei denn, dies ist gesetzlich zulässig und unterliegt den entsprechenden Schutzmaßnahmen.

2.4. Informationen, die nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO)

Soweit wir personenbezogene Daten verarbeiten, die nicht direkt von der betroffenen Person stammen (z.B. geschäftliche Kontaktdaten aus öffentlich zugänglichen Quellen oder Drittanbietern), stellen wir bereit:

  • Quellenkategorien: Öffentliche Webseiten/Register, professionelle soziale Netzwerke, Drittanbieter von Daten.

  • Zwecke & Rechtsgrundlagen: B2B-Kontaktpflege und Beziehungsmanagement; Service-Bereitstellung (Art. 6 Abs. 1 lit. b); berechtigte Interessen (Art. 6 Abs. 1 lit. f); Einwilligung, soweit erforderlich (Art. 6 Abs. 1 lit. a).

  • Empfänger: Unsere Unterauftragsverarbeiter (siehe Unterauftragsverarbeiterliste unter [SUBPROCESSORS_URL]) und, falls erforderlich, Zahlungs-, Support- und Sicherheitsanbieter.

  • Speicherung: Gemäß Abschnitt 6; sind Daten für die angegebenen Zwecke nicht relevant, löschen oder anonymisieren wir sie unverzüglich.

  • Internationale Übermittlung: Falls zutreffend, gemäß EU-Standardvertragsklauseln (EU 2021/914) mit TIAs und ergänzenden Maßnahmen (siehe Abschnitt 5).

  • Rechte: Betroffene Personen können ihre Rechte (Art. 15–22) wie in Abschnitt 8 beschrieben ausüben.

  • Quellenangabe: Auf Anfrage geben wir die spezifischen Quellenkategorien an, sofern dies nicht gesetzlich oder durch überwiegende Interessen eingeschränkt ist.

3. Rechtsgrundlagen für die Verarbeitung

3.1. Wir verarbeiten personenbezogene Daten auf der Grundlage von:

  • Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (Bereitstellung des Dienstes).

  • Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen (Sicherheit, Betrugsprävention, Service-Optimierung).

  • Art. 6 Abs. 1 lit. c DSGVO: Rechtliche Verpflichtungen (Steuer-, Buchhaltungsanforderungen).

  • Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (wo spezifisch angefordert).

3.2. Automatisierte Entscheidungsfindung: Der Service verwendet KI-Modelle zur Analyse und Bearbeitung von Dokumenten. Diese Prozesse unterliegen der menschlichen Aufsicht durch die Administratoren und Anwälte des Kunden. Wir treffen keine ausschließlich automatisierten Entscheidungen, die rechtliche oder ähnlich erhebliche Auswirkungen haben.

3.3. Erforderlichkeit der Bereitstellung von Daten (Art. 13 Abs. 2 lit. e DSGVO):
Bestimmte Informationen sind vertraglich erforderlich, um das Konto zu erstellen und zu verwalten sowie den Dienst bereitzustellen (z.B. Kanzlei-/Unternehmensdaten, Daten autorisierter Benutzer, Abrechnungsinformationen). Werden diese Daten nicht bereitgestellt, können wir den Vertrag möglicherweise nicht abschließen oder erfüllen, und Sie können den Dienst oder bestimmte Funktionen nicht nutzen.

4. Datenverarbeitungsvereinbarung

4.1. Soweit wir als Auftragsverarbeiter handeln, legt unsere DPA gemäß Art. 28 DSGVO Folgendes fest:

  • Gegenstand: Verarbeitung von Kunden-Daten zur Bereitstellung der JuraGPT-Dienste.

  • Dauer: Laufzeit des Servicevertrags zuzüglich Löschfrist.

  • Art und Zweck: Automatisierte Verarbeitung zur juristischen Analyse, Recherche und Dokumentenbearbeitung.

  • Datenarten: Juristische Dokumente, Kommunikationsdaten, Fallakten (vom Kunden hochgeladen).

  • Kategorien betroffener Personen: Mitarbeiter, Mandanten, Geschäftspartner des Kunden, deren Daten in den verarbeiteten Dokumenten enthalten sind.

  • Pflichten des Auftragsverarbeiters: Einhaltung der Weisungen, Vertraulichkeit, Sicherheit, Verwaltung von Unterauftragsverarbeitern, Unterstützung bei Betroffenenrechten, Löschung/Rückgabe.

4.2. Die DPA wird durch Verweis einbezogen und ist unter [DPA_URL] verfügbar.

5. Empfänger und Datenübermittlungen

5.1. Unterauftragsverarbeiter (Sub-processors): Wir beauftragen Unterauftragsverarbeiter für:

  • Cloud-Infrastruktur für Abrechnung und Support (vorrangig in der EU/EWR).

  • Zahlungsabwicklung.

  • Kunden-Support-Tools.

  • Sicherheits- und Überwachungsdienste.
    5.2. Eine aktuelle Liste der Unterauftragsverarbeiter ist unter [SUBPROCESSORS_URL] verfügbar. Wir werden Änderungen bei Unterauftragsverarbeitern im Voraus mitteilen, und der Kunde hat ein 30-tägiges Widerspruchsrecht, wie in der DPA festgelegt.
    5.3. Internationale Übermittlungen: Werden Daten außerhalb der EU/EWR übermittelt, treffen wir geeignete Garantien:

  • Standardvertragsklauseln (Durchführungsbeschluss der Kommission (EU) 2021/914).

  • Durchführung und Dokumentation von Transfer Impact Assessments.

  • Ergänzende Maßnahmen, soweit durch die Risikobewertung erforderlich.

6. Datenspeicherort und Aufbewahrung

6.1. Primäre Verarbeitung: Kunden-Daten, die in der lokalen JuraGPT-Instanz verarbeitet werden, verbleiben in der Regel beim Kunden. Soweit Daten für Abrechnungs- oder Supportzwecke an Tuyo UG übermittelt werden, erfolgt die Speicherung und Verarbeitung dieser Daten standardmäßig innerhalb der EU/EWR.
6.2. Aufbewahrungsfristen:

  • Kunden-Daten: Werden während der Vertragslaufzeit des Abonnements aufbewahrt; gelöscht innerhalb von [RETENTION_CUSTOMER_DAYS] Tagen nach Beendigung, sofern keine gesetzlichen Aufbewahrungspflichten gelten.

  • Kontodaten: 7 Jahre nach Vertragsbeendigung (steuer-/buchhalterische Anforderungen).

  • Systemdaten: Maximal [RETENTION_SYSTEM_MONTHS] Monate in anonymisierter Form.
    6.3. Löschung und Export: Nach Beendigung können Kunden ihre Daten in Standardformaten exportieren. Löschanträge werden innerhalb von 30 Tagen bearbeitet, außer wenn gesetzliche Aufbewahrungspflichten gelten.

7. Sicherheitsmaßnahmen

7.1. Wir implementieren technische und organisatorische Maßnahmen (TOMs), einschließlich:

  • Verschlüsselung ruhender Daten (AES-256) und übertragener Daten (TLS 1.2+).

  • Zugriffskontrollen und Authentifizierung (SSO/MFA unterstützt).

  • Regelmäßige Sicherheitsbewertungen und Penetrationstests.

  • Vertraulichkeitsvereinbarungen und Schulungen der Mitarbeiter.
    7.2. Sicherheitsstandards: Unser Sicherheitsprogramm orientiert sich an SOC 2 und ISO 27001 Kontrollen. Sicherheitsdokumentation und Auditberichte sind unter NDA verfügbar, wenn zutreffend.
    7.3. Reaktion auf Vorfälle: Wir werden den Kunden (als Verantwortlichen) unverzüglich und, soweit möglich, innerhalb von 72 Stunden nach Bekanntwerden benachrichtigen, die nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen zur Verfügung stellen, sobald sie verfügbar sind, und den Kunden bei etwaigen Meldungen an die Aufsichtsbehörde unterstützen.

8. Rechte der betroffenen Person

8.1. Personen haben das Recht auf:

  • Auskunft über personenbezogene Daten (Art. 15 DSGVO).

  • Berichtigung unrichtiger Daten (Art. 16 DSGVO).

  • Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO).

  • Einschränkung der Verarbeitung (Art. 18 DSGVO).

  • Datenübertragbarkeit (Art. 20 DSGVO).

  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO).

  • Widerruf der Einwilligung, wenn die Verarbeitung auf dieser beruht.
    8.2. Bei Kunden-Daten unterstützen wir unsere Kunden bei der Beantwortung von Anträgen betroffener Personen gemäß der DPA.

9. KI-Modell-Training und EU AI Act Compliance

9.1. Kein Training mit Kunden-Daten: Wir verwenden Kunden-Daten nicht zur Schulung, Verbesserung oder Feinabstimmung unserer KI-Modelle, es sei denn, der Kunde hat ausdrücklich über eine separate Vereinbarung zugestimmt.
9.2. Systemdaten-Nutzung: Anonymisierte und aggregierte Systemdaten können zur Verbesserung der Service-Performance und zur Entwicklung neuer Funktionen genutzt werden.
9.3. AI Act Readiness: Unsere KI-Systeme beinhalten Mechanismen zur menschlichen Aufsicht, wahren Transparenz durch erklärbare Ausgaben, wo dies möglich ist, und führen umfassende Protokolle zur Überprüfbarkeit. Kunden behalten die Kontrolle über die KI-Agentenkonfiguration und können zusätzliche Überprüfungsprozesse implementieren, wie von ihren Risikobewertungen gefordert. Der EU AI Act ist 2024 mit gestaffelter Anwendbarkeit in Kraft getreten; wir werden unsere Compliance-Maßnahmen entsprechend den relevanten Bestimmungen aktualisieren.

10. Cookies und Tracking-Technologien

10.1. Wir verwenden Cookies und ähnliche Technologien in Übereinstimmung mit Art. 5 Abs. 3 der ePrivacy-Richtlinie. Essenzielle Cookies werden zur Authentifizierung und Sicherheit verwendet. Analyse-Cookies erfordern eine Einwilligung.
10.2. Detaillierte Informationen zu den Arten von Cookies, Zwecken und Verwaltungsmöglichkeiten finden Sie in unserer Cookie-Richtlinie unter [COOKIE_POLICY_URL].

11. Verantwortlicher (Controller)

Tuyo UG
[ADRESSE EINFÜGEN]
[PLZ ORT EINFÜGEN]
Germany
E-Mail: [E-MAIL EINFÜGEN, z.B. privacy@tuyo-ug.com]
(Datenschutzbeauftragter – Name/Dienstleistung + Kontakt einfügen, falls formal bestellt)

12. Änderungen dieser Richtlinie

12.1. Wir können diese Datenschutzrichtlinie regelmäßig aktualisieren. Wesentliche Änderungen werden mindestens 30 Tage vor ihrem Inkrafttreten per E-Mail oder über die Service-Oberfläche mitgeteilt.
12.2. Die fortgesetzte Nutzung des Dienstes nach Änderungen stellt eine Annahme der aktualisierten Richtlinie dar.

Nutzungsbedigungen

Datenschutzerklärung

Nutzungsbedigungen

Datenschutzerklärung

Nutzungsbedigungen

Datenschutzerklärung