Datenschutzerklärung

Attorly hat gemäß DSGVO je nach Datentyp zwei Rollen. Bei Kontoinformationen (Name, E-Mail, Rechnungsdaten, Nutzungsprotokolle, Supportnachrichten) agiert Getia AS als Verantwortlicher und bestimmt die Zwecke und Mittel der Verarbeitung. Bei Dokumenten, Entwürfen und anderen Inhalten, die Sie zur Durchführung juristischer Arbeit hochladen ("Kundeninhalte"), agiert Getia AS als Auftragsverarbeiter in Ihrem Auftrag oder im Auftrag Ihrer Organisation; ein Auftragsverarbeitungsvertrag (DPA) regelt dieses Verhältnis und ist unter /dpa verfügbar.

Wir erfassen: (a) Identifikations- und Kontodaten (Name, E-Mail, Passwort-Hash, Organisation, Workspace-Rollen, gewählte Sprache); (b) Rechnungsdaten (Land, ggf. USt-IdNr., Abonnementstatus, Status der Testphase, Rechnungshistorie — vollständige Kartendaten liegen bei Stripe, nicht bei Attorly); (c) Kundeninhalte, die Sie hochladen (Dokumente, Entwürfe, Notizen, Zeitstrahlereignisse, Recherchen); (d) technische Daten, die für den Betrieb des Dienstes erforderlich sind (IP-Adresse, Session-Cookies, Audit-Logs wesentlicher Aktionen, länderweite Geolokalisierung über Cloudflare zur Währungsauswahl und Betrugsprävention); (e) Kommunikation, die Sie an den Support senden. Wir erfassen keine besonderen Kategorien sensibler personenbezogener Daten, es sei denn, sie treten in Kundeninhalten auf, in welchem Fall wir sie ausschließlich nach Ihren Weisungen verarbeiten.

Wir verarbeiten Ihre Daten, um: (a) den Dienst bereitzustellen (DSGVO Art. 6 Abs. 1 lit. b, Vertrag); (b) gesetzliche Pflichten wie Steuer und Buchhaltung zu erfüllen (Art. 6 Abs. 1 lit. c); (c) transaktionsbezogene E-Mails zu Ihrem Konto, zur Abrechnung und zu kritischen Service-Updates zu senden (Art. 6 Abs. 1 lit. b und f); (d) den Dienst abzusichern und Missbrauch zu verhindern (Art. 6 Abs. 1 lit. f, berechtigtes Interesse); (e) den Dienst durch aggregierte, anonymisierte Analysen zu verbessern (Art. 6 Abs. 1 lit. f); und (f) Marketingkommunikation zu versenden, wenn Sie eingewilligt haben (Art. 6 Abs. 1 lit. a), die Sie jederzeit widerrufen können. Kundeninhalte werden von unseren KI-Unterauftragsverarbeitern (auf der Unterauftragsverarbeiter-Seite aufgeführt) ausschließlich verarbeitet, um das von Ihnen angeforderte Ergebnis zu liefern. Wir nutzen Kundeninhalte nicht zum Training unserer eigenen oder fremder KI-Modelle.

Kontodaten werden gespeichert, solange Ihr Konto aktiv ist. Bei Kontoschließung löschen wir Kontodaten und Kundeninhalte innerhalb von 30 Tagen, sofern nicht eine längere Aufbewahrung gesetzlich vorgeschrieben oder zur Streitbeilegung erforderlich ist. Rechnungen und Zahlungsbelege werden für den gesetzlich vorgeschriebenen Zeitraum nach norwegischem Buchführungsrecht aufbewahrt (derzeit 5 Jahre ab Ende des Geschäftsjahres). Protokolle über fehlgeschlagene Zahlungen und zur Betrugsprävention werden bis zu 12 Monate lang aufbewahrt. Audit-Logs administrativer und Admin-Panel-Aktionen werden 2 Jahre aufbewahrt (Art. 32 Sicherheit). Analysedaten werden in aggregierter, anonymisierter Form aufbewahrt. Der vollständige Aufbewahrungsplan ist in unserem Auftragsverarbeitungsvertrag veröffentlicht.

Wir setzen branchenübliche Verschlüsselung und Sicherheitskontrollen ein. Kundeninhalte und sensible Felder werden ruhend mit authentifizierter Verschlüsselung (AES-256-GCM) verschlüsselt; wir unterstützen Bring-Your-Own-Key-Verschlüsselung (BYOK) in den entsprechenden Plänen. Der gesamte Netzwerkverkehr wird während der Übertragung mit TLS 1.2 oder höher verschlüsselt. Der Zugriff auf Produktionsdaten ist auf namentlich benannte Ingenieure beschränkt, durch Mehr-Faktor-Authentifizierung geschützt und vollständig auditiert. Wir führen kontinuierliche automatisierte Schwachstellen-Scans durch und folgen Verfahren für verantwortungsvolle Offenlegung; melden Sie Sicherheitsprobleme an security@attorly.ai.

Wir verkaufen Ihre personenbezogenen Daten niemals. Wir geben sie nur an Unterauftragsverarbeiter weiter, die für die Bereitstellung des Dienstes erforderlich sind, unter schriftlichen Auftragsverarbeitungsverträgen, die unsere Verpflichtungen Ihnen gegenüber abbilden. Die aktuelle Liste wird unter /subprocessors veröffentlicht und mindestens 30 Tage vor jeder wesentlichen Änderung aktualisiert. Übermittlungen an Unterauftragsverarbeiter außerhalb des EWR sind durch Standardvertragsklauseln (SCCs), das EU–US Data Privacy Framework, soweit anwendbar, oder einen anderen rechtmäßigen Übermittlungsmechanismus abgesichert, einschließlich ergänzender Maßnahmen wie Verschlüsselung und Zugriffskontrollen (Schrems II).

Nach der DSGVO haben Sie das Recht auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und Einschränkung der Verarbeitung Ihrer personenbezogenen Daten, auf Widerspruch gegen eine auf berechtigten Interessen beruhende Verarbeitung sowie auf Widerruf einer erteilten Einwilligung. Die meisten dieser Rechte können Sie direkt in Ihren Kontoeinstellungen ausüben (Daten exportieren, Konto schließen). Für sonstige Anfragen oder wenn Sie mit unserer Antwort nicht zufrieden sind, kontaktieren Sie privacy@attorly.ai — wir antworten innerhalb von 30 Tagen. Sie haben das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen, einschließlich der norwegischen Datenschutzbehörde (Datatilsynet) unter datatilsynet.no.

Wir verwenden zwingend erforderliche Cookies (Authentifizierungssitzung, CSRF-Schutz, Cookie-Einwilligungseinstellung), die keiner Einwilligung bedürfen. Optionale Analyse-Cookies setzen wir nur ein, wenn Sie über das Cookie-Banner zustimmen. Sie können Ihre Einstellungen jederzeit über den Link zu den Cookie-Einstellungen in der Fußzeile verwalten.

Attorly ist eine B2B-Plattform für juristische Arbeit und richtet sich nicht an Personen unter 18 Jahren. Wir erfassen wissentlich keine personenbezogenen Daten von Kindern. Wenn Sie vermuten, dass ein Kind uns personenbezogene Daten übermittelt hat, kontaktieren Sie privacy@attorly.ai, und wir werden die Daten löschen.

Wir können diese Datenschutzerklärung aktualisieren. Bei wesentlichen Änderungen benachrichtigen wir Sie mindestens 30 Tage vor Inkrafttreten per E-Mail und im Produkt. Bei Klarstellungen, Tippfehlern oder gesetzlich vorgeschriebenen Aktualisierungen können wir die Änderung sofort vornehmen.

Für Datenschutzfragen kontaktieren Sie privacy@attorly.ai. Verantwortlicher: Getia AS, Oslo, Norwegen. Wir antworten in der Regel innerhalb von 30 Tagen. Wir haben keinen Datenschutzbeauftragten bestellt, da wir nach Art. 37 DSGVO hierzu nicht verpflichtet sind; privacy@attorly.ai erreicht jedoch die für den Datenschutz verantwortliche Person bei Getia AS.