Datenschutzerklärung

Stand: 2026-05-12 · Geltungsbereich: selbert.ai und alle Unterseiten

Hinweis — Entwurf: Dieser Text wurde anhand allgemeiner DSGVO- und AGB-Vorlagen erstellt und ist noch nicht von einem Rechtsanwalt geprüft. Vor der Verwendung für externe Kanzlei-Kunden oder im Geschäftsbetrieb bitte rechtsanwaltlich finalisieren lassen.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG):

[Firma, vollständige Anschrift]
[Geschäftsführer]
E-Mail: [datenschutz@selbert.ai]
Telefon: [Tel.-Nr.]

Hinweis: Die Felder in eckigen Klammern werden im Zuge der anwaltlichen Finalisierung eingetragen (Handelsregister- Eintrag der Holding-GmbH, ggf. Datenschutzbeauftragter).

2. Zwecke der Verarbeitung und Rechtsgrundlagen

Selbert ist eine SaaS-Plattform zur KI-gestützten Bearbeitung juristischer Dokumente. Wir verarbeiten personenbezogene Daten der Nutzer zu folgenden Zwecken:

  • Bereitstellung des Dienstes (Konto, Authentifizierung, Speicherung Ihrer Dokumente, Chats, Workflows und tabellarischer Auswertungen) — Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • KI-Verarbeitung Ihrer Inhalte über die LLM-Anbieter Anthropic und Google, ausschließlich auf Ihre Veranlassung hin (Eingabeaufforderung, Workflow, Edit-Aktion) — Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Sicherheit und Audit-Protokoll (Aufzeichnung mutierender Aktionen, Fehlerprotokollierung über Sentry, IP- und User-Agent- Daten) — Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Nachvollziehbarkeit des Dienstes).
  • Transaktionale E-Mails (Anmelde- bestätigung, Einladungen, Benachrichtigungen) — Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3. Kategorien personenbezogener Daten

  • Stammdaten: E-Mail-Adresse, optional Name und Organisation.
  • Inhaltsdaten: Hochgeladene Dokumente (DOCX, DOC, PDF), Chat-Verläufe, Workflow-Definitionen, tabellarische Auswertungen. Diese können bei juristischen Nutzern dem anwaltlichen Berufsgeheimnis (§ 203 StGB) und der Schweigepflicht der Bundesrechtsanwaltsordnung (BRAO) unterliegen.
  • Nutzungsdaten: IP-Adresse, User-Agent, Zeitstempel mutierender Aktionen (Audit-Log).
  • Authentifizierungsdaten: Sitzungstoken (Supabase-Auth-Cookie), Passwort ausschließlich verschlüsselt bei unserem Auth-Anbieter Supabase.
  • Optional vom Nutzer selbst hinterlegte Drittanbieter-Schlüssel (Anthropic Claude API Key, Google Gemini API Key). Diese werden vor der Speicherung mit AES-256-GCM verschlüsselt, der Hauptschlüssel liegt außerhalb der Datenbank.

4. Empfänger und Auftragsverarbeiter

Zur Erbringung des Dienstes binden wir folgende externe Auftragsverarbeiter (Art. 28 DSGVO) ein. Mit allen besteht ein Auftragsverarbeitungsvertrag.

  • Supabase (Datenbank, Authentifizierung, Speicherung im EU-Rechenzentrum / Frankfurt) — Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapore. Vertragsverarbeitung in der EU.
  • Cloudflare (R2-Objektspeicher für Dokument-Inhalte, Workers-Hosting des Frontends, EU- Rechenzentrum) — Anbieter: Cloudflare Germany GmbH / Cloudflare Inc., 101 Townsend St, San Francisco, USA.
  • Railway (Hosting des Backend-Service) — Anbieter: Railway Corp., USA. Die Daten werden in EU-Region (Amsterdam) verarbeitet.
  • Anthropic, PBC (LLM „Claude“, Drittlandsübermittlung USA) — Anbieter: Anthropic, PBC, 548 Market St, San Francisco, USA.
  • Google LLC (LLM „Gemini“, Drittlandsübermittlung USA, sofern vom Nutzer aktiviert) — Anbieter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, USA.
  • Sentry (Fehler- und Performance- Telemetrie, EU-Region Frankfurt) — Anbieter: Functional Software, Inc. (Sentry), USA. Selbert nutzt die EU-Datenresidenz.
  • Resend (transaktionaler E-Mail-Versand) — Anbieter: Resend, Inc., USA. Aktuell nur bei aktiviertem Versand (z. B. Konto-Verifikation).

Die Auftragsverarbeiter dürfen die Daten nur weisungsgebunden und nur zu den hier genannten Zwecken verarbeiten. Sie erhalten ausschließlich die Daten, die zur Erfüllung ihrer konkreten Aufgabe erforderlich sind.

5. Drittlandsübermittlung (USA)

Die Übermittlung an Anthropic, Google, Cloudflare (HQ) und Resend findet (auch) in die USA statt. Die Übermittlung erfolgt auf Grundlage:

  • des EU-US Data Privacy Frameworks (Art. 45 DSGVO) bei Anbietern, die unter dem Framework zertifiziert sind, und
  • ergänzend der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) inkl. der zugehörigen technischen und organisatorischen Maßnahmen (TOMs).

Vor jeder Übermittlung führen wir ein Transfer Impact Assessment (TIA) durch. Der jeweilige Stand wird auf Anfrage zugänglich gemacht.

6. Speicherdauer

  • Konto- und Inhaltsdaten werden bis zur Löschung Ihres Accounts gespeichert. Sie können den Account jederzeit über die Account-Einstellungen löschen.
  • Audit-Protokoll-Einträge werden auch nach Löschung des Accounts aufbewahrt — anonymisiert, soweit gesetzlich möglich (Art. 17 Abs. 3 lit. b DSGVO, Erfüllung rechtlicher Verpflichtungen). Wir orientieren uns an handels- und steuerrechtlichen Fristen (i. d. R. bis zu zehn Jahren).
  • Sentry-Telemetrie wird nach 90 Tagen automatisch gelöscht.

7. Ihre Rechte (Betroffenenrechte)

Ihnen stehen jederzeit folgende Rechte gegenüber dem Verantwortlichen zu:

  • Auskunft (Art. 15 DSGVO) und Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihren vollständigen, maschinenlesbaren Datenexport jederzeit über Account → Daten exportieren abrufen.
  • Berichtigung (Art. 16 DSGVO): Stammdaten direkt im Account anpassbar; sonstige Korrekturen über datenschutz@selbert.ai.
  • Löschung (Art. 17 DSGVO): Account löschen über Account → Konto löschen. Alle gespeicherten Inhalte und Dokumente werden unverzüglich gelöscht; das Audit-Protokoll wird wie unter Ziff. 6 beschrieben behandelt.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO) und Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO).
  • Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO). Für uns örtlich zuständig ist je nach Sitz des Verantwortlichen die jeweilige Landesdatenschutzbehörde.

8. Cookies und ähnliche Technologien

Selbert setzt ausschließlich technisch erforderliche Cookies und Speicher (LocalStorage) für Authentifizierung und Sitzungsverwaltung ein. Es werden keine Tracking-, Werbe- oder Profiling-Cookies eingesetzt. Eine Einwilligung gemäß § 25 TTDSG ist nicht erforderlich.

9. Verschlüsselung und Sicherheit

Sämtliche Verbindungen zur Plattform sind TLS-1.3- verschlüsselt. Dokument-Inhalte werden im Ruhezustand vom Speicheranbieter (Cloudflare R2) verschlüsselt abgelegt. Optionale Drittanbieter-API-Schlüssel der Nutzer werden vor der Ablage in der Datenbank zusätzlich mit AES-256-GCM verschlüsselt; der Hauptschlüssel liegt außerhalb der Datenbank. Mutierende Aktionen werden in einem fortschreibungssicheren Audit-Protokoll dokumentiert.

10. Berufsgeheimnis und besondere Schutzbedürftigkeit

Selbert wird typischerweise von Rechtsanwälten, Steuerberatern und in-house Counsels eingesetzt, die einer gesetzlichen Verschwiegenheitspflicht (§ 203 StGB, § 43a BRAO, § 57 StBerG) unterliegen. Die Plattform ist technisch und organisatorisch darauf ausgelegt, diese Verschwiegenheit zu unterstützen:

  • Strikte Mandantentrennung über Row-Level-Security-Richtlinien;
  • Verschlüsselung der externen API-Schlüssel des Nutzers;
  • Audit-Protokollierung jeder mutierenden Aktion;
  • Bei B2B-Nutzung: Abschluss eines Auftragsverarbeitungsvertrages (AVV) nach Art. 28 DSGVO.

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, soweit dies aufgrund neuer Rechtslage, technischer Änderungen oder neuer Datenverarbeitungsvorgänge erforderlich ist. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar; Nutzer werden über wesentliche Änderungen per E-Mail informiert.