KanzleianrufPilot-Gespräch buchen
Für Ihren Datenschutzbeauftragten

Sicherheit & Datenschutz

Diese Seite richtet sich an Datenschutzbeauftragte und technisch verantwortliche Personen in Kanzleien. Sie enthält alle relevanten Unterlagen, die für eine DSGVO-Prüfung nach Art. 28 und eine Datenschutz-Folgenabschätzung nach Art. 35 benötigt werden.

1. Einleitung — wie Kanzleianruf Mandantendaten behandelt

Kanzleianruf verarbeitet personenbezogene Daten von Anrufern (Mandanten und potenziellen Mandanten) ausschließlich im Auftrag der beauftragenden Kanzlei. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO in Verbindung mit einem Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Alle Daten werden in EU-Rechenzentren verarbeitet. Es erfolgt keine Übermittlung in Drittländer.

2. Sub-Auftragsverarbeiter

NameZweckRegionAVV
Twilio Ireland LimitedTelefonie (SIP-Trunk, EU-Region)Irland (EU)Link
Mistral AISprachmodell (LLM)Paris, Frankreich (EU)Link
CartesiaText-to-Speech (Sprachsynthese)Western EuropeLink
Hetzner Online GmbHHosting & InfrastrukturNürnberg / Falkenstein (DE)Link
Plausible Insights OÜWebsite-Analytics (cookie-frei)Tallinn, Estland (EU)Link

3. Datenflussdiagramm

Anrufer (Mandant)
   │
   ▼  PSTN → SIP-Trunk (Twilio Ireland, EU)
Kanzleianruf Voice Runtime  (Hetzner Frankfurt, DE)
   │
   ├── Audio → Mistral Voxtral (STT, Paris, EU)
   ├── Dialog → Mistral Large (LLM, Paris, EU)
   └── Antwort → Cartesia Sonic (TTS, Western Europe, EU)
   │
   ▼
Transkript + Zusammenfassung
   │
   ├── E-Mail an Kanzlei (verschlüsselt, EU-SMTP)
   └── Speicherung 30 Tage (Hetzner DE, AES-256 at rest)
         │
         └── Automatische Löschung nach 30 Tagen

4. §43a BRAO — Kompatibilitätserklärung

Kanzleianruf ist speziell für die Anforderungen des anwaltlichen Berufsrechts konzipiert. Mandantengeheimnis nach §43a Abs. 2 BRAO wird durch folgende Produktentscheidungen gewährleistet: per-Kanzlei isolierter Datenkontext, Opt-out-Mechanismus für Anrufer, die keine KI-Interaktion wünschen, „Always-human"-Routing für konfigurierte Mandantennummern, sowie eine Mandanten-Einwilligungsvorlage für den Kanzlei-Webseiten-Hinweis. Die BRAK-Positionspapiere zu Cloud-Diensten (2021, 2023) wurden bei der Architektur berücksichtigt.

5. CLOUD Act — Risikoanalyse

Der US CLOUD Act (2018) erlaubt US-Behörden den Zugriff auf Daten, die von US-Unternehmen verarbeitet werden — unabhängig vom Speicherort. Für anwaltliche Daten ist dies mit §43a BRAO unvereinbar. Kanzleianruf vermeidet diese Exposition durch eine strikt EU-basierte Anbieterauswahl: Twilio Ireland Ltd. (nicht Twilio Inc.), Mistral AI SA (Frankreich), Cartesia (europäische Verarbeitung), Hetzner Online GmbH (Deutschland). Schrems II (C-311/18) bestätigt diese Vorgehensweise als einzige rechtssichere Option für Daten unter Art. 9 DSGVO-ähnlichem Schutzniveau.

6. Auftragsverarbeitungsvertrag (AVV, Art. 28 DSGVO)

AVV-Vorlage nach Art. 28 DSGVODokument auf Anfrage

7. Transfer Impact Assessment (TIA)

TIA gemäß EDPB-Empfehlungen 01/2020Dokument auf Anfrage

8. DSFA-Vorlage (Art. 35 DSGVO)

Datenschutz-Folgenabschätzung für VerantwortlicheDokument auf Anfrage

9. Sicherheitsmaßnahmen

  • TLS 1.3 für alle Transportwege zwischen Komponenten
  • AES-256-Verschlüsselung aller gespeicherten Audio- und Textdaten
  • Per-Tenant-Isolierung (separate Datenbank-Schemas pro Kanzlei)
  • Zwei-Faktor-Authentifizierung für alle Admin-Zugänge
  • Incident-Response-Prozess mit 24-Stunden-Meldefrist nach Art. 33 DSGVO
  • Jährliche Penetrationstests (geplant ab Q4 2026)

10. C5-Zertifizierungs-Fahrplan

Eine C5-Testierung nach BSI-Standard ist für Q2 2027 geplant. Bis dahin orientieren sich alle internen Prozesse an den C5-Mindestanforderungen (Teil B/C). Dokumentation auf Anfrage.

11. Kontakt

Für alle datenschutzrechtlichen Anfragen: datenschutz@kanzleianruf.de

Stand der Seite: April 2026. Änderungen werden mit Datum publiziert.

← Zurück zur Startseite