Datenschutzerklärung

Stand: Mai 2026

Entwurf. Vorläufige Fassung unter dem Vorbehalt der anwaltlichen Prüfung vor dem Live-Launch.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Rahmen von Causa AI ist:

Causa AI (Rechtsform in Gründung) · Kolja Sagorski · Gelsenkirchen · E-Mail: datenschutz@causa-ai.com

2. Datenschutzbeauftragter

Ein externer Datenschutzbeauftragter wird vor dem Live-Launch benannt; die Kontaktdaten werden hier ergänzt.

3. Verarbeitete Daten und Zwecke

3.1 Account-Daten

  • Daten: E-Mail, gehashtes Passwort, TOTP-Secret (verschlüsselt), Berufsgruppe, Registrierungsnummer, Kammer.
  • Zweck: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), Berufsverifikation, Authentifizierung.
  • Speicherdauer: Dauer der Vertragsbeziehung; gesetzliche Aufbewahrungspflichten bleiben unberührt.

3.2 Chat-Inhalte

  • Daten: Eingegebene Fragen, generierte Antworten (verschlüsselt at-rest in der EU).
  • Zweck: Bereitstellung der Recherche-Funktion.
  • Hinweis: Inhalte werden nicht für Modell-Training verwendet (vertraglich zugesichert, technisch durchgesetzt via data_retention: false).

3.3 PDF-Uploads (ab Tier Kanzlei)

  • Daten: Hochgeladene Dokumente, abgeleitete Text-Chunks und Embeddings.
  • Zweck: Eigene Wissensbasis. Speicherdauer: bis zur Löschung durch den Nutzer.

3.4 Nutzungsdaten

  • Daten: API-Aufrufe, Token-Verbrauch, Anfragen-Statistik. Zweck: Plan-Limits, Abrechnung.

3.5 Server-Logs

  • Daten: IP-Adresse und User-Agent (gehashed), Zeitstempel. Zweck: Sicherheit (Art. 6 Abs. 1 lit. f). Speicherdauer: 90 Tage.

3.6 Audit-Log

  • Daten: sicherheitsrelevante Aktionen. Zweck: Compliance (Art. 6 Abs. 1 lit. c, f). Speicherdauer: 10 Jahre.

4. Empfänger / Subprozessoren

Eine stets aktuelle Liste finden Sie unter /subprozessoren. Eingesetzt werden u. a. Cloudflare (Hosting, EU-Region), Stripe Payments Europe (Zahlungen, Irland), Resend (E-Mail, EU) und Sentry (Monitoring, EU) — jeweils mit AVV.

5. Ihre Rechte (DSGVO)

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) sowie auf Beschwerde bei einer Aufsichtsbehörde (Art. 77). Auskunft und Löschung können Sie direkt in der Anwendung auslösen (Export/Konto löschen) oder an datenschutz@causa-ai.com richten — Antwort binnen 30 Tagen.

Zuständige Aufsichtsbehörde: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Düsseldorf.

6. Übermittlung in Drittländer

US-Anbieter (Cloudflare, Resend) werden auf Basis der EU-Standardvertragsklauseln und — soweit zertifiziert — des EU-US Data Privacy Frameworks eingebunden; ein Transfer-Impact-Assessment wurde durchgeführt. Cloudflares „EU Data Localization” wird für die Datenhaltung genutzt.

7. Cookies und Tracking

Ausschließlich technisch notwendige Session-Cookies. Keine Tracking-/Marketing-Cookies. Reichweitenmessung cookielos (Cloudflare Web Analytics).

8. §203 StGB — Berufsgeheimnisträger

Bei Nutzung durch Berufsgeheimnisträger ist Causa AI als mitwirkende Person nach §203 Abs. 3 StGB eingebunden; Mitarbeiter und Subprozessoren sind nach §203 Abs. 4 StGB zur Verschwiegenheit verpflichtet.