Datenschutzerklärung — WissMit Hub Plattform
Stand: 2026-07-06 · v1.3 · Volltext für /datenschutz-Route.
Geltungsbereich: Webdienst app.wissmit-hub.de (Plattform für Kanzleien und WissMits) sowie der allgemeine Webauftritt wissmit-hub.de, soweit nicht abweichend geregelt.
Vorgänger: v1.2 vom 2026-06-17 (Stack-Angleichung EU-souverän), v1.1 vom 2026-05-29 (RA-Review) und v1.0 vom 2026-05-27 (Erst-Voll-Integration); alle bleiben als Permalink-Quelle erreichbar. v1.3 präzisiert den Wortlaut zur Rolle der KI-gestützten Fallaufnahme (Abschnitt 6.6, Abschnitt 13).
Änderungen v1.2 → v1.3:
- Abschnitt 6.6 + Abschnitt 13 (Subprozessoren-Tabelle, IONOS-AI-Zeile) + Abschnitt 20 (beschreibender Nebensatz zur KI-Rolle; die Art.-22-Kernaussage bleibt unverändert): KI-Rolle präzisiert — die KI formuliert aus Ihren abstrakten Angaben den Auftragsbrief (Aufgabenstellung) und leitet das Rechtsgebiet ab; die Produktauswahl trifft die Kanzlei selbst (Karten-Auswahl). Klargestellt, dass hochgeladene Fall-Unterlagen nicht an die KI übermittelt werden. Reine Präzisierung/Verengung des Wortlauts an die tatsächliche (engere) Verarbeitung — keine Ausweitung.
- Interne Versionsverweise auf den AVV-Mustertext auf v1.3 angeglichen (inhaltliche Substanz-Aussage unverändert).
Änderungen v1.1 → v1.2:
- Abschnitte 4.1 / 4.2 / 16 (Hosting, Cookies, Logs): Hosting-/Infrastruktur-Dienstleister von Vercel auf IONOS umgestellt; Session-Cookies auf Better Auth aktualisiert.
- Abschnitt 8 (Storage): Datei-Storage von Supabase auf IONOS Object-Storage (Deutschland) umgestellt; Envelope-Verschlüsselung (AES-256-GCM) und authentifizierter Download-Proxy statt vorsignierter Links.
- Abschnitt 9 (Rechnungsstellung): SEPA-Lastschrifteinzug über Mollie ergänzt.
- Abschnitte 13 / 14 (Subprozessoren / Drittland): Subprozessoren-Liste auf IONOS-Kern + IONOS AI Model Hub + Mollie aktualisiert; Supabase und Vercel entfernt; Drittland-Abschnitt entsprechend reduziert (verbleibend nur Microsoft).
- Abschnitt 6.6 (NEU): KI-gestützte Fallaufnahme offengelegt.
- Abschnitt 20 (Automatisierte Entscheidungsfindung): von „spätere Ausbaustufen" auf Present-Tense umgestellt, Verweis auf Abschnitt 6.6. Die Art.-22-Aussage (keine ausschließlich automatisierte Entscheidung) bleibt unverändert.
(AVV-Mustertext unverändert v1.1.)
1. Verantwortlicher und Kontakt
Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO ist:
WissMit Hub GmbH Breite Straße 27 40213 Düsseldorf Deutschland
Vertreten durch den Geschäftsführer Frederik Schnell.
Eingetragen im Handelsregister des Amtsgerichts Düsseldorf, HRB 108855. Umsatzsteuer-Identifikationsnummer (§ 27a UStG): DE456244614.
Telefon: +49 151 55301376 Allgemeiner Kontakt: kontakt@wissmit-hub.de Kontakt in Datenschutzangelegenheiten: datenschutz@wissmit-hub.de
Der Mail-Eingang
datenschutz@wissmit-hub.dewird zur Sicherstellung kurzer Reaktionszeiten an das Hauptpostfach der Geschäftsleitung weitergeleitet. Eine ausschließliche Bearbeitung im Vier-Augen-Prinzip ist mit Wachstum der Gesellschaft vorgesehen.
2. Datenschutzbeauftragter
Die WissMit Hub GmbH ist gemäß § 38 BDSG nicht zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet, da sie weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt und keine Verarbeitungen durchführt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen.
Bei Fragen zum Datenschutz wenden Sie sich an: datenschutz@wissmit-hub.de.
3. Allgemeines zur Datenverarbeitung
3.1 Umfang der Verarbeitung
Wir erheben und verwenden personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie zur Erbringung unserer Leistungen erforderlich ist.
3.2 Rechtsgrundlagen der Verarbeitung
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — für freiwillige Verarbeitungen mit ausdrücklicher Zustimmung.
- Art. 6 Abs. 1 lit. b DSGVO (Vertrag und vorvertragliche Maßnahmen) — für die Erfüllung des Plattformnutzungsvertrags und der einzelnen Aufträge.
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) — insbesondere für steuerliche und handelsrechtliche Aufbewahrungspflichten sowie für die Rechenschafts- und Sicherheits-Pflichten nach Art. 5 Abs. 2 und Art. 32 DSGVO.
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — z.B. für IT-Sicherheit, Missbrauchserkennung und ergänzend für Audit-/Lifecycle-Nachvollziehbarkeit.
- Art. 28 DSGVO (Auftragsverarbeitung) — soweit die WissMit Hub GmbH personenbezogene Daten weisungsgebunden im Auftrag einer Kanzlei verarbeitet (siehe Abschnitt 15).
3.3 Datenlöschung und Speicherdauer
Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine längere Speicherung erfolgt, wenn dies durch Vorschriften des Unionsgesetzgebers oder des deutschen Gesetzgebers vorgesehen ist; konkrete Speicherfristen finden Sie in Abschnitt 16.
4. Zugriff auf die Plattform
4.1 Server-Logfiles
Beim Aufruf der Plattform app.wissmit-hub.de werden durch unseren Hosting-/Infrastruktur-Dienstleister IONOS automatisch folgende Daten erhoben:
- IP-Adresse des anfragenden Rechners
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL und HTTP-Statuscode
- Datenmenge in Bytes
- Browser-Typ und User-Agent
- Betriebssystem
- Referrer-URL (sofern übermittelt)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Bereitstellung des Dienstes, Fehleranalyse, IT-Sicherheit, Missbrauchsabwehr. Speicherdauer: 30 Tage. Verarbeiter: IONOS SE (Hosting/Infrastruktur), siehe Abschnitt 13.
4.2 Cookies und vergleichbare Technologien
Wir verwenden ausschließlich technisch erforderliche Cookies. Diese sind notwendig, damit Sie sich anmelden und die Plattform nutzen können. Eine Einwilligung nach § 25 Abs. 1 TDDDG ist hierfür nicht erforderlich, da die Speicherung gemäß § 25 Abs. 2 Nr. 2 TDDDG für die Erbringung des ausdrücklich gewünschten Dienstes unbedingt erforderlich ist.
| Cookie-Name | Zweck | Speicherdauer |
|---|---|---|
__Secure-better-auth.session_token | Anmelde-Session (Better Auth) — signiertes Session-Token; in der Entwicklungsumgebung ohne das __Secure--Präfix | 7 Tage |
Wir setzen keine Cookies oder vergleichbaren Technologien für Tracking, Analyse, Werbung oder Marketing ein. Die Plattform nutzt insbesondere kein Google Analytics, kein Meta-Pixel und keine sonstigen Tracking-Pixel oder Reidentifikations-Werkzeuge.
5. Registrierung und Nutzerkonto
5.1 Kanzlei-Konten
Beim Anlegen eines Kanzlei-Kontos erheben wir folgende Daten:
- Vor- und Nachname des registrierenden Kanzlei-Vertreters
- Geschäftliche E-Mail-Adresse
- Passwort (gespeichert ausschließlich als kryptografischer Hash, nicht im Klartext)
- Spätere Stammdaten der Kanzlei (Firmierung, Anschrift, Umsatzsteuer-Identifikationsnummer oder Steuernummer, Rechnungs-E-Mail-Adresse) — siehe 5.4.
Zwecke: Identifizierung, Authentifizierung, Vertragsdurchführung, Rechnungsstellung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; bei steuerlichen Pflichtdaten zusätzlich Art. 6 Abs. 1 lit. c DSGVO.
5.2 Email-Bestätigung beim Erstanlegen eines Kontos
Bei der Erstanlage eines Kanzlei-Kontos versenden wir eine Bestätigungs-Mail an die angegebene E-Mail-Adresse. Erst nach Klick auf den Bestätigungslink wird das Konto freigeschaltet. Bis zur Bestätigung speichern wir die im Registrierungsformular angegebenen Daten ausschließlich zum Zweck der Kontoaktivierung. Wird das Konto innerhalb von 24 Stunden nicht bestätigt, ist der Bestätigungslink ungültig; eine erneute Aktivierung erfordert eine neue Registrierung.
Zweck: Sicherstellung, dass die angegebene E-Mail-Adresse dem registrierenden Nutzer tatsächlich gehört (Vorbeugung gegen Identitätsmissbrauch und versehentliche Falscheingabe). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich) i.V.m. Art. 6 Abs. 1 lit. f DSGVO (Sicherheit der Anmeldung). Verarbeiter für den Mailversand: Brevo (siehe Abschnitt 10 und 13).
5.3 WissMit-Konten
Beim Anlegen eines WissMit-Kontos erheben wir:
- Vor- und Nachname
- E-Mail-Adresse
- Passwort (gehasht)
- Spezialisierung, Reputationsstufe (Plattform-intern)
- Spätere Stammdaten zur Vergütungsabwicklung (Bankverbindung, Steuernummer oder USt-IdNr.) sowie eine elektronisch dokumentierte Verschwiegenheits- und Datenschutz-Verpflichtung gemäß Anlage 4 zum AVV (siehe Abschnitt 15).
Zwecke: Identifizierung, Vertragsdurchführung der Rahmenvereinbarung und Einzelaufträge, Vergütungsabwicklung, Dokumentation der Sub-Auftragsverarbeitung gegenüber Kanzleien. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; bei steuer- und sozialrechtlichen Pflichtdaten zusätzlich Art. 6 Abs. 1 lit. c DSGVO.
5.4 Onboarding-Asymmetrie: Kanzleien Self-Service, WissMits Application Gate
Die Anmeldung als Kanzlei erfolgt im Self-Service. Die Anmeldung als WissMit setzt eine Bewerbung und Freischaltung durch die WissMit Hub GmbH voraus. Die im Bewerbungsverfahren übermittelten Daten (Lebenslauf, Qualifikationsnachweise, Spezialisierungsangaben) werden zur Eignungsprüfung verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich). Speicherdauer: Bei Annahme der Bewerbung zur Vertragsdurchführung. Bei Ablehnung 6 Monate (Beweissicherung im Hinblick auf das AGG), danach Löschung.
6. Auftragsabwicklung
6.1 Erstellung von Aufträgen durch die Kanzlei
Wenn eine Kanzlei einen Auftrag auf der Plattform anlegt, verarbeiten wir die im Auftragswizard eingegebenen Daten:
- Rechtsgebiet und Tätigkeitsart (Gutachten, Klagebegründung, Schriftsatz etc.)
- Beschaffenheitsmerkmale (Art und Umfang der gewünschten Leistung)
- Akten-Umfang (Akten-Staffel, geschätzte Seitenzahl)
- Frist
- Aufgabenstellung und Sachverhaltsdarstellung als Freitext
Hinweis zur Mandantendaten-Schwärzung: Die Kanzlei wird im Auftragswizard ausdrücklich darauf hingewiesen, in den Freitextfeldern (Sachverhalt, Aufgabenstellung) keine identifizierenden Mandantendaten einzutragen (insbesondere Namen, Geburtsdaten, Adressen, Aktenzeichen oder sonstige Direktidentifikatoren). Soweit die Kanzlei dennoch personenbezogene Mandantendaten in den Auftrag einbringt — sei es in Freitextfeldern oder beigefügten Akten-PDF-Dateien (Abschnitt 8.1) — verarbeiten wir diese ausschließlich als Auftragsverarbeiter im Sinne von Art. 28 DSGVO im Auftrag der Kanzlei. Die Konstruktion ist in Abschnitt 15 sowie im AVV-Mustertext v1.3 abgebildet.
Rechtsgrundlage Hub-Vertragsdurchführung: Art. 6 Abs. 1 lit. b DSGVO. Rechtsgrundlage Mandantendaten-Verarbeitung: Art. 28 DSGVO (im Auftrag der Kanzlei).
6.2 Individualauftrag-Angebots-Workflow
Bei Aufträgen, die nicht aus dem Standard-Produktkatalog der Plattform stammen (sogenannte Individualaufträge), läuft vor der Zuweisung eines WissMit ein zusätzlicher Angebots-Workflow ab: die Kanzlei sendet eine Anfrage, die WissMit Hub GmbH unterbreitet ein Festpreis-Angebot, die Kanzlei nimmt es an oder lehnt es ab. Erst nach Annahme wird der Auftrag verbindlich. Verarbeitet werden in dieser Phase ausschließlich die in 6.1 genannten Auftragsdaten plus die zwischen Kanzlei und Hub ausgehandelten Konditionen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich).
6.3 Zuweisung an WissMits
Aufträge werden ausschließlich durch die Geschäftsführung der WissMit Hub GmbH einem geeigneten WissMit zugewiesen. Es gibt keinen frei zugänglichen Auftragspool und keine automatisierte Zuweisungs-Logik. Im Rahmen der Zuweisung erhält der zugewiesene WissMit Zugriff auf die Auftragsdaten einschließlich Kanzlei-Bezeichnung und der vom Kanzlei-Vertreter eingegebenen Auftragsdetails. Der WissMit ist vertraglich und gesetzlich zur Verschwiegenheit verpflichtet (Rahmenvereinbarung Doc 13 sowie § 203 Abs. 4 StGB analog für gehilfenähnliche Tätigkeit; siehe auch AVV-Anlage 4).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; im Verhältnis zu Mandantendaten Art. 28 DSGVO als Sub-Auftragsverarbeitung.
6.4 Lieferung des Werks (Liefer-Sets, Mängelanzeige)
Der WissMit lädt seine Arbeitsergebnisse (Schriftsatz-Entwürfe, Gutachten, etc.) als Datei in die Plattform hoch (siehe Abschnitt 8.2). Eine Lieferrunde („Liefer-Set") besteht aus einer oder mehreren Dateien, die als zusammengehöriges Werk bewertet werden.
Nach Abgabe hat die Kanzlei Gelegenheit zur Prüfung. Sie kann das Werk abnehmen (Status „abgenommen") oder einen Korrekturwunsch / eine Mängelanzeige formulieren (Beschreibung als Freitext, mindestens 20 Zeichen, maximal 5.000 Zeichen). Auch der Korrekturwunsch-Freitext kann personenbezogene Daten enthalten und unterliegt dann denselben Regeln wie die Auftragsdaten (Hub als Auftragsverarbeiter der Kanzlei).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
6.5 Vertraulichkeit gegenüber Mandanten der Kanzlei
WissMits treten nicht als Erbringer der anwaltlichen Leistung gegenüber Mandanten der Kanzlei in Erscheinung. Die anwaltliche Mandatsbearbeitung gegenüber dem Mandanten erfolgt ausschließlich durch die beauftragende Kanzlei. Auf der Plattform kennen sich Kanzlei und WissMit namentlich (notwendige werkvertragliche Identifikation); gegenüber Mandanten der Kanzlei tritt der WissMit nicht in Erscheinung.
6.6 KI-gestützte Fallaufnahme
Bei der Auftragsanlage formuliert ein Sprachmodell aus Ihren abstrakten Angaben zum Fall einen Vorschlag für die Aufgabenstellung und leitet das Rechtsgebiet ab. Übermittelt werden nur diese Freitext-Angaben — keine hochgeladenen Fall-Unterlagen. Betrieb durch unseren Auftragsverarbeiter IONOS (AI Model Hub) ausschließlich in Deutschland; kein Training mit Ihren Daten, keine dauerhafte Speicherung beim Anbieter. Der Vorschlag ist editierbar und wird vor dem Absenden von Ihnen bestätigt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; für Mandantendaten Art. 28 DSGVO.
7. Kommunikation auf der Plattform
Die Plattform stellt zwei voneinander getrennte Kommunikationskanäle bereit:
7.1 Auftragsbezogener Plattform-Thread
Pro Auftrag existiert ein Nachrichten-Thread, der für Kanzlei, zugewiesenen WissMit und die Hub-Administration sichtbar ist. Der Thread dient der auftragsbezogenen fachlichen Kommunikation und enthält zusätzlich automatisch erzeugte System-Einträge (z.B. Status-Übergänge, Rechnungserzeugung).
Verarbeitete Daten: Nachrichten-Inhalte (Freitext), Absender (Name, Rolle), Zeitstempel. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Wie zugehöriger Auftrag (siehe Abschnitt 16).
7.2 Privates Postfach (Hub ↔ Kanzlei)
Zusätzlich besteht zwischen der Hub-Administration und jeder einzelnen Kanzlei ein 1:1-Kommunikationskanal, der unabhängig von einem konkreten Auftrag ist. Dieser dient Onboarding-Fragen, allgemeinen organisatorischen Themen und Welcome-Nachrichten.
Das Privat-Postfach ist nicht für WissMits zugänglich und enthält bewusst keine Auftrags- oder Mandantendaten. WissMits und Kanzleien kommunizieren ausschließlich auftragsbezogen über den Plattform-Thread (Abschnitt 7.1).
Verarbeitete Daten: Nachrichten-Inhalte (Freitext), Absender (Name, Rolle Hub-Administration oder Kanzlei-Vertreter), Lesestatus, Zeitstempel. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag und vorvertragliche Maßnahmen). Speicherdauer: Bis zur Account-Löschung der Kanzlei; bei geschäftsrelevanten Konversationen bis zu 6 Jahre gem. § 147 AO als Geschäftsbrief.
8. Dateispeicherung (Storage)
8.1 Fall-Unterlagen der Kanzlei
Die Kanzlei kann zu jedem Auftrag Dateien hochladen (z.B. Akten als PDF, ergänzende Unterlagen). Diese werden im privaten Object-Storage auftrag-dateien unseres Infrastruktur-Dienstleisters IONOS (Deutschland) abgelegt und dabei auf Anwendungsebene verschlüsselt (Envelope-Verschlüsselung, AES-256-GCM) — die Dateien liegen ausschließlich als Chiffrat. Der Speicher ist privat (kein öffentlicher Zugriff). Lesezugriffe erfolgen ausschließlich über eine authentifizierte, auftragsbezogene Download-Prüfung (Proxy); öffentliche oder vorsignierte Links werden nicht vergeben.
Verarbeitungsort: Deutschland (IONOS Object-Storage). Verschlüsselung: Envelope-Verschlüsselung auf Anwendungsebene (AES-256-GCM) at rest, TLS in transit. Maximale Dateigröße: 25 MB pro Datei. Erlaubte Datei-Typen: PDF, DOCX, ODT, XLSX, XLS, ODS, ZIP, JPG, PNG. Zugriff: Kanzlei (eigene Aufträge), zugewiesener WissMit (zugewiesene Aufträge), Hub-Administration. WissMits sehen ausschließlich Fall-Unterlagen aus ihnen zugewiesenen Aufträgen.
Rechtsgrundlage Hub-Vertragsdurchführung: Art. 6 Abs. 1 lit. b DSGVO. Rechtsgrundlage Mandantendaten-Verarbeitung: Art. 28 DSGVO (im Auftrag der Kanzlei). Sub-Auftragsverarbeiter: IONOS SE (siehe Abschnitt 13).
8.2 Deliverables des WissMit
Die vom WissMit gelieferten Arbeitsergebnisse werden im selben Storage-Bucket auftrag-dateien abgelegt, getrennt nach Lieferrunde. Verschlüsselung und Zugriff analog 8.1.
8.3 Rechnungs-PDFs
Die von der Plattform automatisch erzeugten Rechnungs-PDFs werden in einem separaten privaten Storage-Bucket rechnungen abgelegt (siehe Abschnitt 9). Zugriff hat ausschließlich die rechnungsempfangende Kanzlei sowie die Hub-Administration.
Verarbeitungsort: Deutschland (IONOS Object-Storage). Verschlüsselung: Envelope-Verschlüsselung auf Anwendungsebene (AES-256-GCM) at rest, TLS in transit; Download über authentifizierten Proxy. Maximale Dateigröße: 5 MB pro Rechnung. Speicherdauer: 10 Jahre gemäß § 257 Abs. 1 Nr. 4 i.V.m. Abs. 4 HGB (Buchungsbelege seit Bürokratieentlastungsgesetz vom 23.10.2024 8 Jahre, Handelsbücher 10 Jahre; wir wählen die längere Frist als Vorsichtsmaß für aufeinander bezogene Buchhaltungsunterlagen).
9. Rechnungsstellung
Nach Abnahme eines Werks durch die Kanzlei erstellt die Plattform automatisch eine §14-UStG-konforme PDF-Rechnung. Verarbeitete Daten:
- Rechnungsempfänger: Firmierung der Kanzlei, Geschäftsanschrift, Umsatzsteuer-Identifikationsnummer oder Steuernummer (aus den Kanzlei-Stammdaten)
- Rechnungssteller: Stammdaten der WissMit Hub GmbH (Firmierung, Anschrift, HRB, USt-IdNr., Bankverbindung, SEPA-Gläubiger-Identifikationsnummer)
- Auftragsbezug (Auftragsnummer, Tätigkeit, Lieferdatum)
- Beträge (Netto, Umsatzsteuer 19 %, Brutto)
- Rechnungsnummer (Format
YYYY-R-NNNN), Ausstellungsdatum, Zahlungsfrist (14 Tage)
Die fertige Rechnung wird:
- Im Storage-Bucket
rechnungenabgelegt (Pfad{kanzlei_id}/{rechnungsnummer}.pdf). - Per Email an die Kanzlei versandt — mit der PDF-Rechnung als Anhang. Empfängeradresse ist die in den Kanzlei-Stammdaten hinterlegte Rechnungs-E-Mail-Adresse, ersatzweise die Login-E-Mail-Adresse.
- Im Auftrags-Detail-View und im Rechnungs-Reiter der Kanzlei (
/dashboard/kanzlei/rechnungen) zur Verfügung gestellt.
Verarbeiter für den Mailversand: Brevo (siehe Abschnitt 10 und 13). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) i.V.m. Art. 6 Abs. 1 lit. c DSGVO (umsatzsteuerliche und handelsrechtliche Pflichten). Speicherdauer Rechnungs-PDF + Rechnungs-Datensatz: Siehe Abschnitt 16.
SEPA-Lastschrifteinzug. Der Rechnungsbetrag wird per SEPA-Lastschrift eingezogen; hierzu erteilt die Kanzlei beim Onboarding ein Lastschriftmandat. Die Mandats- und Zahlungsabwicklung erfolgt über unseren Zahlungsdienstleister Mollie B.V. (Niederlande, EU). An Mollie übermittelt werden Name und IBAN des Kontoinhabers sowie Zahlungs- und Abgleichsdaten zur Rechnungseinziehung. Plattformseitig speichern wir die vollständige IBAN zu keinem Zeitpunkt — nur in maskierter Form. Es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit Mollie (siehe Abschnitt 13). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
10. E-Mail-Versand (transaktional)
Im Rahmen der Plattform-Nutzung versenden wir transaktionale E-Mails an Kanzlei, WissMit und Hub-Administration. Die Verarbeitung umfasst:
| Anlass | Empfänger | Inhalt (Auszug) |
|---|---|---|
| Bestätigung Konto-Anlage (Email-Confirmation) | Registrierender Nutzer | Bestätigungslink, Hinweis auf 24h-Gültigkeit |
| Auftragseingang (Standard-Produkt) | Kanzlei | Auftragsnummer, Eingangszeit, Nächste-Schritte-Hinweis |
| Anfrageeingang (Individualauftrag) | Kanzlei | Auftragsnummer, Hinweis auf bevorstehendes Angebot |
| Angebot zu Anfrage unterbreitet | Kanzlei | Festpreis-Angebot, Annahme-/Ablehnungs-Link |
| Angebot akzeptiert / abgelehnt | Hub-Administration | Auftragsnummer, Entscheidung der Kanzlei |
| Auftragszuweisung | WissMit | Auftragsnummer, Kanzlei, Annahmefrist, Auftragsdetails |
| Auftragsannahme | Kanzlei | Auftragsnummer, namentliche Nennung des zugewiesenen WissMit |
| Auftragslieferung | Kanzlei | Auftragsnummer, Lieferzeitpunkt, Abnahme-Link |
| Auftragsabnahme | WissMit + Hub-Administration | Auftragsnummer, Abnahmezeitpunkt |
| Neue Thread-Nachricht | Beteiligte (Kanzlei, WissMit) | Auftragsnummer, Absender, Direktlink |
| Neue Postfach-Nachricht | Beteiligte (Kanzlei oder Hub) | Absender, Direktlink |
| Rechnungsversand | Kanzlei | PDF-Rechnung als Anhang, Rechnungsnummer, Brutto-Betrag |
Die Benachrichtigungs-E-Mails zu neuen Thread- und Postfach-Nachrichten enthalten bewusst keine Vorschau des Nachrichteninhalts (Datenminimierung); der Nachrichtentext wird ausschließlich nach Anmeldung innerhalb der Plattform angezeigt.
Für den Versand nutzen wir den E-Mail-Dienstleister Brevo (Sendinblue SAS, 106 Boulevard Haussmann, 75008 Paris, Frankreich) — EU-Anbieter mit Verarbeitung in Frankreich.
An Brevo übermittelte Daten: E-Mail-Adresse, Name des Empfängers, Mail-Body (inklusive Auftrags-Metadaten und ggf. PDF-Anhang Rechnung). Auftragsverarbeitung: Es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit Brevo. Die Verarbeitung erfolgt in der EU. Speicherdauer der Versandprotokolle bei Brevo: 30–60 Tage gemäß Brevo-AVV. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; bei Rechnungsmails ergänzend Art. 6 Abs. 1 lit. c DSGVO.
Newsletter oder Werbe-E-Mails versenden wir nicht.
11. Kontaktanfragen
Wenn Sie uns über kontakt@wissmit-hub.de, datenschutz@wissmit-hub.de oder eine sonstige E-Mail-Adresse der Domain wissmit-hub.de kontaktieren, verarbeiten wir Ihre E-Mail-Adresse, Ihren Namen und den Inhalt Ihrer Nachricht zur Beantwortung der Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (bei vertragsbezogenen Anfragen oder vorvertraglich) oder Art. 6 Abs. 1 lit. f DSGVO (Beantwortung sonstiger Anfragen, berechtigtes Interesse an einer geordneten Kommunikation). Verarbeiter: Microsoft Ireland Operations Ltd. (Microsoft 365 / Exchange Online, EU Data Boundary, Postfach-Speicherort Germany). Speicherdauer: Bis zur Erledigung der Anfrage; bei Geschäftsbriefen bis zu 6 Jahre nach § 147 Abs. 1 Nr. 2 AO.
12. Verarbeitungsprotokoll (Event-Stream)
Die Plattform führt zur Sicherstellung der Nachvollziehbarkeit von Auftragsabläufen ein technisches Verarbeitungsprotokoll (interne Tabelle auftrag_events). Dort werden semantisch relevante Plattform-Aktionen strukturiert vermerkt:
- Auftragsanlage, Zuweisung, Annahme/Ablehnung, Lieferung, Mängelanzeige, Abnahme, Rechnungserstellung, Pricing-Überschreibung, Nachrichten-Posting, System-Informationen.
Pro Event speichern wir: Event-Typ, Auftrags-ID, Akteur (User-ID und Rolle), Zeitstempel und eine kompakte Metadaten-Payload (z.B. Liefer-Runden-Nummer, Beschreibungs-Länge, Rechnungs-Brutto-Betrag). Inhaltliche Volltexte (z.B. Sachverhalte, Korrekturwunsch-Beschreibungen, Nachrichten-Inhalte) werden nicht in die Event-Payload geschrieben; sie verbleiben in den jeweiligen Fachtabellen.
Zweck: Auftrags-Lifecycle-Nachvollziehbarkeit, technische Audit-Spur, dokumentierter Sicherheits-Nachweis nach Art. 32 DSGVO, spätere aggregierte Plattform-Analytik (ohne Rückschluss auf Einzelpersonen). Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 5 Abs. 2 und Art. 32 DSGVO (Rechenschafts- und Sicherheits-Pflicht des Verantwortlichen) sowie ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem ordnungsgemäßen Plattformbetrieb). Speicherdauer: Solange das zugehörige Auftrags-Objekt existiert. Zugriff: Ausschließlich Hub-Administration über Service-Rollen-Zugriff; keine User-Sichtbarkeit, keine Drittweitergabe.
13. Empfänger personenbezogener Daten / Subprozessoren
Wir setzen die folgenden Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein:
| Anbieter | Zweck | Sitz / Verarbeitungsort |
|---|---|---|
| IONOS SE | Hosting, Managed-Datenbank und Object-Storage (auftrag-dateien, rechnungen) | Deutschland (Frankfurt/Berlin) |
| IONOS SE — AI Model Hub | KI-gestützte Aufbereitung der Auftragsangaben (Formulierung des Auftragsbriefs, Ableitung des Rechtsgebiets) aus abstrakten Angaben — ohne hochgeladene Fall-Unterlagen | Deutschland (self-hosted Sprachmodelle) |
| Microsoft Ireland Operations Ltd. | E-Mail-Postfächer (Microsoft 365) | EU Data Boundary (Postfach Germany) |
| Sendinblue SAS (Brevo) | Transaktionale E-Mails | Frankreich (EU) |
| Mollie B.V. | SEPA-Lastschrift-Mandat und Zahlungsabwicklung | Niederlande (EU) |
Mit allen genannten Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Eine vollständige und stets aktuelle Subprozessoren-Liste mit Details zu Verarbeitungsort, Datenkategorien und Schutzmaßnahmen finden Sie unter:
https://app.wissmit-hub.de/datenschutz/subprozessoren
Bei Aufnahme weiterer Subprozessoren oder Änderungen werden Kanzleien gemäß AVV vorab informiert (Widerspruchsrecht binnen 30 Kalendertagen, siehe AVV § 8 Abs. 4).
14. Datenübermittlung in Drittländer
Die Kern-Infrastruktur (Hosting, Managed-Datenbank, Object-Storage und die KI-gestützte Fallaufnahme) wird durch die IONOS SE ausschließlich in deutschen Rechenzentren betrieben — kein Drittlandtransfer. Auch unser E-Mail-Dienstleister Brevo (Frankreich) und unser Zahlungsdienstleister Mollie (Niederlande) sind reine EU-Anbieter mit EU-Verarbeitung — kein Drittlandtransfer.
Ein Bezug zu einem Anbieter mit Konzernsitz außerhalb der EU besteht nur bei den E-Mail-Postfächern über Microsoft (Microsoft Ireland Operations Ltd., Mutterkonzern USA). Die Verarbeitung erfolgt innerhalb der EU Data Boundary (Postfach-Speicherort Germany); die Übermittlung stützt sich auf den Angemessenheitsbeschluss der EU-Kommission 2023/1795 (EU-US Data Privacy Framework, Microsoft zertifiziert) sowie ergänzend auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO (Beschluss 2021/914).
15. Verarbeitung im Auftrag der Kanzlei (Art. 28 DSGVO)
Soweit eine Kanzlei in Auftragsanweisungen, Freitextfeldern oder beigefügten Unterlagen personenbezogene Daten ihrer Mandanten in die Plattform einbringt, ist die Kanzlei datenschutzrechtlich Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Die WissMit Hub GmbH ist insoweit Auftragsverarbeiterin im Sinne von Art. 28 DSGVO.
Mit jeder Kanzlei wird beim Onboarding ein Auftragsverarbeitungsvertrag geschlossen (AVV-Mustertext v1.3). Der zugewiesene WissMit handelt als Sub-Auftragsverarbeiter; seine Einbeziehung ist mit dem AVV mit der Kanzlei generell genehmigt. Die Kanzlei hat nach Maßgabe des AVV ein Widerspruchsrecht gegen die Hinzuziehung weiterer Sub-Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO, AVV § 8 Abs. 4 und 5).
WissMits unterzeichnen vor erstem Auftrag elektronisch eine Verschwiegenheits- und Datenschutz-Verpflichtung (Anlage 4 zum AVV) mit ausdrücklicher Belehrung über die strafrechtliche Verantwortlichkeit nach § 203 Abs. 4 StGB für die Verletzung der anwaltlichen Verschwiegenheit als anwaltliche Gehilfin/anwaltlicher Gehilfe.
Der vollständige AVV-Mustertext sowie das Begründungsmemo zur Konstruktion sind auf Anfrage über datenschutz@wissmit-hub.de erhältlich.
16. Aufbewahrung und Löschung
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Account-Daten (Profile) | Bis Account-Löschung | Art. 17 DSGVO |
| Kanzlei-Stammdaten (Firmierung, Anschrift, USt-IdNr.) | 10 Jahre nach Vertragsende | § 257 Abs. 1, Abs. 4 HGB |
| Auftragsdaten (Auftrag, Sachverhalt, Fall-Unterlagen, Deliverables, Korrekturwünsche) | Bis Account-Löschung; bei abgerechneten Aufträgen bis 10 Jahre nach Rechnungsstellung | § 257 HGB (Handelsbücher) / Vertrag Art. 6 Abs. 1 lit. b DSGVO |
| Rechnungen (Datensatz + PDF im Storage) | 10 Jahre nach Ausstellung | § 257 Abs. 1 Nr. 4 i.V.m. Abs. 4 HGB (Handelsbücher); Vorsichtswahl der längeren Frist gegenüber 8 Jahren für Buchungsbelege gemäß Bürokratieentlastungsgesetz vom 23.10.2024 |
| E-Mail-Versandprotokolle bei Brevo | 30–60 Tage | Brevo-AVV |
| Server-Logs (IONOS) | 30 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Auftrags-Events (Event-Stream) | Solange zugehöriger Auftrag existiert | Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 5 Abs. 2 und Art. 32 DSGVO |
| Plattform-Thread-Nachrichten | Wie zugehöriger Auftrag | wie Auftragsdaten |
| Privat-Postfach-Nachrichten | Bis Account-Löschung; geschäftsrelevante Inhalte 6 Jahre | § 147 Abs. 1 Nr. 2 AO (Geschäftsbriefe) |
| Bewerbungen abgelehnter WissMits | 6 Monate nach Ablehnung | Beweissicherung nach AGG |
| Kontaktanfragen (allgemein) | Bis Erledigung; bei Geschäftsbriefen 6 Jahre | § 147 Abs. 1 Nr. 2 AO |
Die handels- und steuerrechtlichen Aufbewahrungspflichten wurden mit dem Bürokratieentlastungsgesetz IV vom 23.10.2024 für Buchungsbelege (§ 257 Abs. 4 HGB) von 10 auf 8 Jahre verkürzt. Für Handelsbücher und Jahresabschlüsse bleibt es bei 10 Jahren (§ 257 Abs. 1 Nr. 1, Abs. 4 HGB). Da Rechnungen und zugehörige Auftragsunterlagen sowohl unter den Belegbegriff als auch in den Zusammenhang der Handelsbücher fallen können, wenden wir vorsorglich die längere 10-Jahres-Frist an.
17. Ihre Rechte als betroffene Person
Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO) — über die zu Ihrer Person gespeicherten Daten
- Berichtigung (Art. 16 DSGVO) — bei unrichtigen oder unvollständigen Daten
- Löschung (Art. 17 DSGVO) — soweit nicht gesetzliche Aufbewahrungspflichten entgegenstehen
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) — insbesondere bei Verarbeitungen auf Grundlage berechtigter Interessen
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) — mit Wirkung für die Zukunft
Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@wissmit-hub.de.
Soweit Sie als Mandantin/Mandant einer Kanzlei betroffen sind, deren Auftragsabwicklung über die Plattform läuft, richten Sie Betroffenen-Rechte primär an die Kanzlei als datenschutzrechtlich Verantwortliche (siehe Abschnitt 15). Wir leiten entsprechende Anfragen unverzüglich an die zuständige Kanzlei weiter.
18. Beschwerderecht bei der Aufsichtsbehörde
Sie haben unbeschadet anderweitiger Rechtsbehelfe das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere im Mitgliedstaat Ihres Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO).
Die für die WissMit Hub GmbH zuständige Aufsichtsbehörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Kavalleriestr. 2–4 40213 Düsseldorf Telefon: +49 211 38424-0 https://www.ldi.nrw.de
19. Verpflichtung zur Bereitstellung; Folgen der Nichtbereitstellung
Die Bereitstellung der für die Registrierung und Auftragsdurchführung erforderlichen Daten ist freiwillig, aber zur Nutzung der Plattform notwendig. Ohne diese Daten können wir den Vertragsschluss und die Auftragsabwicklung nicht durchführen.
20. Automatisierte Entscheidungsfindung
Eine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO einschließlich Profiling findet auf der Plattform nicht statt. Insbesondere erfolgt die Auftragszuweisung an WissMits durch eine menschliche Entscheidung der Geschäftsführung. Die Plattform setzt eine KI-gestützte Fallaufnahme ein (siehe Abschnitt 6.6); diese dient ausschließlich der Unterstützung bei der Auftragsanlage (Formulierung des Auftragsbriefs und Ableitung des Rechtsgebiets) und ist mit keiner abschließenden Entscheidung mit rechtlicher Wirkung verbunden — die Auftragsangaben prüfen und bestätigen Sie vor dem Absenden selbst. Abschließende Entscheidungen mit rechtlicher Wirkung treffen weiterhin Menschen.
21. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung gelegentlich anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung. Wesentliche Änderungen kommunizieren wir Kanzleien zusätzlich über das Privat-Postfach (Abschnitt 7.2).
Versionshistorie:
- v1.3 — 2026-07-06 (KI-Rolle präzisiert: KI formuliert den Auftragsbrief [Aufgabenstellung] + leitet das Rechtsgebiet ab; Produkt = Karten-Auswahl der Kanzlei; klargestellt, dass hochgeladene Fall-Unterlagen nicht an die KI übermittelt werden — §6.6 + §13 + §20 (Nebensatz; Art.-22-Kernaussage unverändert). Interne AVV-Versionsverweise auf v1.3 angeglichen. Reine Präzisierung, keine Ausweitung.)
- v1.2 — 2026-06-17 (Stack-Reality: Hosting Vercel→IONOS, Auth-Cookies Better Auth, Datei-Storage Supabase→IONOS Object-Storage mit Envelope-Verschlüsselung und Download-Proxy, Subprozessoren-Liste auf IONOS-Kern + AI Model Hub + Mollie aktualisiert, Supabase/Vercel entfernt, Drittland-Abschnitt reduziert; SEPA-Einzug über Mollie ergänzt §9; KI-gestützte Fallaufnahme offengelegt §6.6 + §20 present-tense)
- v1.1 — 2026-05-29 (RA-Review abgeschlossen: Verarbeitungsprotokoll-Rechtsgrundlage auf Doppel-Begründung lit. c + lit. f umgestellt; Postfach-Produktverbesserungs-Zweck gestrichen; Subprozessoren-Widerspruchsfrist 14 → 30 Tage korrigiert + Verweis auf AVV § 8 Abs. 4; AVV-Referenz auf v1.1 aktualisiert; Vercel-Region-Klarstellung + Microsoft-Speicherort Germany aus AVV v1.1 übernommen)
- v1.0 — 2026-05-27 (Vollintegration der Plattform-Stände aus Sprints 7–11 und Compliance-Subsprint C2; Stammdaten finalisiert)
- v0.1 — 2026-05-02 (Erst-Entwurf)