Datenschutzerklärung — WissMit Hub Plattform
Stand: 2026-05-29 · v1.1 · Volltext für /datenschutz-Route.
Geltungsbereich: Webdienst app.wissmit-hub.de (Plattform für Kanzleien und WissMits) sowie der allgemeine Webauftritt wissmit-hub.de, soweit nicht abweichend geregelt.
Vorgänger: v1.0 vom 2026-05-27 (Erst-Voll-Integration). v1.1 enthält die in der RA-Review vom 2026-05-29 beschlossenen substantiellen Änderungen sowie zwei Konsistenz-Fixes gegenüber dem AVV-Mustertext.
Änderungen v1.0 → v1.1:
- Abschnitt 12 (Verarbeitungsprotokoll): Rechtsgrundlage auf Doppel-Begründung Art. 6 Abs. 1 lit. c + lit. f DSGVO umgestellt. Lit. c i.V.m. Art. 5 Abs. 2 und Art. 32 DSGVO (Rechenschafts- und Sicherheits-Pflicht) immunisiert die Audit-Spur gegen Widerspruchsrecht nach Art. 21 DSGVO.
- Abschnitt 7.2 (Privates Postfach): Zweck „Produktverbesserung" und ergänzende Art. 6 Abs. 1 lit. f-Rechtsgrundlage gestrichen. Postfach läuft sauber auf Art. 6 Abs. 1 lit. b — Vertrags- und vorvertragliche Maßnahmen.
- Abschnitt 13 + 15 (Subprozessoren): Widerspruchsfrist auf 30 Kalendertage (statt 14) korrigiert; Paragraphen-Verweis von AVV § 5 auf AVV § 8 Abs. 4 berichtigt. Drift gegenüber AVV-Mustertext aufgelöst.
- Abschnitt 15 + Versionshistorie: Referenz auf AVV-Mustertext v1.1 (statt v1.0) — beinhaltet die Klarstellung der AV-Außenhaftungs-Beschränkung nach Art. 82 Abs. 2 Satz 2 DSGVO und die Freistellungs-Klausel zugunsten des Hubs.
1. Verantwortlicher und Kontakt
Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO ist:
WissMit Hub GmbH Breite Straße 27 40213 Düsseldorf Deutschland
Vertreten durch den Geschäftsführer Frederik Schnell.
Eingetragen im Handelsregister des Amtsgerichts Düsseldorf, HRB 108855. Umsatzsteuer-Identifikationsnummer (§ 27a UStG): DE456244614.
Telefon: +49 151 55301376 Allgemeiner Kontakt: kontakt@wissmit-hub.de Kontakt in Datenschutzangelegenheiten: datenschutz@wissmit-hub.de
Der Mail-Eingang
datenschutz@wissmit-hub.dewird zur Sicherstellung kurzer Reaktionszeiten an das Hauptpostfach der Geschäftsleitung weitergeleitet. Eine ausschließliche Bearbeitung im Vier-Augen-Prinzip ist mit Wachstum der Gesellschaft vorgesehen.
2. Datenschutzbeauftragter
Die WissMit Hub GmbH ist gemäß § 38 BDSG nicht zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet, da sie weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt und keine Verarbeitungen durchführt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen.
Bei Fragen zum Datenschutz wenden Sie sich an: datenschutz@wissmit-hub.de.
3. Allgemeines zur Datenverarbeitung
3.1 Umfang der Verarbeitung
Wir erheben und verwenden personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie zur Erbringung unserer Leistungen erforderlich ist.
3.2 Rechtsgrundlagen der Verarbeitung
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — für freiwillige Verarbeitungen mit ausdrücklicher Zustimmung.
- Art. 6 Abs. 1 lit. b DSGVO (Vertrag und vorvertragliche Maßnahmen) — für die Erfüllung des Plattformnutzungsvertrags und der einzelnen Aufträge.
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) — insbesondere für steuerliche und handelsrechtliche Aufbewahrungspflichten sowie für die Rechenschafts- und Sicherheits-Pflichten nach Art. 5 Abs. 2 und Art. 32 DSGVO.
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — z.B. für IT-Sicherheit, Missbrauchserkennung und ergänzend für Audit-/Lifecycle-Nachvollziehbarkeit.
- Art. 28 DSGVO (Auftragsverarbeitung) — soweit die WissMit Hub GmbH personenbezogene Daten weisungsgebunden im Auftrag einer Kanzlei verarbeitet (siehe Abschnitt 15).
3.3 Datenlöschung und Speicherdauer
Personenbezogene Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine längere Speicherung erfolgt, wenn dies durch Vorschriften des Unionsgesetzgebers oder des deutschen Gesetzgebers vorgesehen ist; konkrete Speicherfristen finden Sie in Abschnitt 16.
4. Zugriff auf die Plattform
4.1 Server-Logfiles
Beim Aufruf der Plattform app.wissmit-hub.de werden durch unseren Hosting-Dienstleister Vercel automatisch folgende Daten erhoben:
- IP-Adresse des anfragenden Rechners
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL und HTTP-Statuscode
- Datenmenge in Bytes
- Browser-Typ und User-Agent
- Betriebssystem
- Referrer-URL (sofern übermittelt)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Bereitstellung des Dienstes, Fehleranalyse, IT-Sicherheit, Missbrauchsabwehr. Speicherdauer: 30 Tage. Verarbeiter: Vercel Inc. (Hosting), siehe Abschnitt 13.
4.2 Cookies und vergleichbare Technologien
Wir verwenden ausschließlich technisch erforderliche Cookies. Diese sind notwendig, damit Sie sich anmelden und die Plattform nutzen können. Eine Einwilligung nach § 25 Abs. 1 TDDDG ist hierfür nicht erforderlich, da die Speicherung gemäß § 25 Abs. 2 Nr. 2 TDDDG für die Erbringung des ausdrücklich gewünschten Dienstes unbedingt erforderlich ist.
| Cookie-Name | Zweck | Speicherdauer |
|---|---|---|
sb-access-token | Anmelde-Session (Supabase Auth) | 1 Stunde |
sb-refresh-token | Erneuerung der Session | 7 Tage |
Wir setzen keine Cookies oder vergleichbaren Technologien für Tracking, Analyse, Werbung oder Marketing ein. Die Plattform nutzt insbesondere kein Google Analytics, kein Meta-Pixel und keine sonstigen Tracking-Pixel oder Reidentifikations-Werkzeuge.
5. Registrierung und Nutzerkonto
5.1 Kanzlei-Konten
Beim Anlegen eines Kanzlei-Kontos erheben wir folgende Daten:
- Vor- und Nachname des registrierenden Kanzlei-Vertreters
- Geschäftliche E-Mail-Adresse
- Passwort (gespeichert ausschließlich als kryptografischer Hash, nicht im Klartext)
- Spätere Stammdaten der Kanzlei (Firmierung, Anschrift, Umsatzsteuer-Identifikationsnummer oder Steuernummer, Rechnungs-E-Mail-Adresse) — siehe 5.4.
Zwecke: Identifizierung, Authentifizierung, Vertragsdurchführung, Rechnungsstellung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; bei steuerlichen Pflichtdaten zusätzlich Art. 6 Abs. 1 lit. c DSGVO.
5.2 Email-Bestätigung beim Erstanlegen eines Kontos
Bei der Erstanlage eines Kanzlei-Kontos versenden wir eine Bestätigungs-Mail an die angegebene E-Mail-Adresse. Erst nach Klick auf den Bestätigungslink wird das Konto freigeschaltet. Bis zur Bestätigung speichern wir die im Registrierungsformular angegebenen Daten ausschließlich zum Zweck der Kontoaktivierung. Wird das Konto innerhalb von 24 Stunden nicht bestätigt, ist der Bestätigungslink ungültig; eine erneute Aktivierung erfordert eine neue Registrierung.
Zweck: Sicherstellung, dass die angegebene E-Mail-Adresse dem registrierenden Nutzer tatsächlich gehört (Vorbeugung gegen Identitätsmissbrauch und versehentliche Falscheingabe). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich) i.V.m. Art. 6 Abs. 1 lit. f DSGVO (Sicherheit der Anmeldung). Verarbeiter für den Mailversand: Brevo (siehe Abschnitt 10 und 13).
5.3 WissMit-Konten
Beim Anlegen eines WissMit-Kontos erheben wir:
- Vor- und Nachname
- E-Mail-Adresse
- Passwort (gehasht)
- Spezialisierung, Reputationsstufe (Plattform-intern)
- Spätere Stammdaten zur Vergütungsabwicklung (Bankverbindung, Steuernummer oder USt-IdNr.) sowie eine elektronisch dokumentierte Verschwiegenheits- und Datenschutz-Verpflichtung gemäß Anlage 4 zum AVV (siehe Abschnitt 15).
Zwecke: Identifizierung, Vertragsdurchführung der Rahmenvereinbarung und Einzelaufträge, Vergütungsabwicklung, Dokumentation der Sub-Auftragsverarbeitung gegenüber Kanzleien. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; bei steuer- und sozialrechtlichen Pflichtdaten zusätzlich Art. 6 Abs. 1 lit. c DSGVO.
5.4 Onboarding-Asymmetrie: Kanzleien Self-Service, WissMits Application Gate
Die Anmeldung als Kanzlei erfolgt im Self-Service. Die Anmeldung als WissMit setzt eine Bewerbung und Freischaltung durch die WissMit Hub GmbH voraus. Die im Bewerbungsverfahren übermittelten Daten (Lebenslauf, Qualifikationsnachweise, Spezialisierungsangaben) werden zur Eignungsprüfung verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich). Speicherdauer: Bei Annahme der Bewerbung zur Vertragsdurchführung. Bei Ablehnung 6 Monate (Beweissicherung im Hinblick auf das AGG), danach Löschung.
6. Auftragsabwicklung
6.1 Erstellung von Aufträgen durch die Kanzlei
Wenn eine Kanzlei einen Auftrag auf der Plattform anlegt, verarbeiten wir die im Auftragswizard eingegebenen Daten:
- Rechtsgebiet und Tätigkeitsart (Gutachten, Klagebegründung, Schriftsatz etc.)
- Beschaffenheitsmerkmale (Art und Umfang der gewünschten Leistung)
- Akten-Umfang (Akten-Staffel, geschätzte Seitenzahl)
- Frist
- Aufgabenstellung und Sachverhaltsdarstellung als Freitext
Hinweis zur Mandantendaten-Schwärzung: Die Kanzlei wird im Auftragswizard ausdrücklich darauf hingewiesen, in den Freitextfeldern (Sachverhalt, Aufgabenstellung) keine identifizierenden Mandantendaten einzutragen (insbesondere Namen, Geburtsdaten, Adressen, Aktenzeichen oder sonstige Direktidentifikatoren). Soweit die Kanzlei dennoch personenbezogene Mandantendaten in den Auftrag einbringt — sei es in Freitextfeldern oder beigefügten Akten-PDF-Dateien (Abschnitt 8.1) — verarbeiten wir diese ausschließlich als Auftragsverarbeiter im Sinne von Art. 28 DSGVO im Auftrag der Kanzlei. Die Konstruktion ist in Abschnitt 15 sowie im AVV-Mustertext v1.1 abgebildet.
Rechtsgrundlage Hub-Vertragsdurchführung: Art. 6 Abs. 1 lit. b DSGVO. Rechtsgrundlage Mandantendaten-Verarbeitung: Art. 28 DSGVO (im Auftrag der Kanzlei).
6.2 Individualauftrag-Angebots-Workflow
Bei Aufträgen, die nicht aus dem Standard-Produktkatalog der Plattform stammen (sogenannte Individualaufträge), läuft vor der Zuweisung eines WissMit ein zusätzlicher Angebots-Workflow ab: die Kanzlei sendet eine Anfrage, die WissMit Hub GmbH unterbreitet ein Festpreis-Angebot, die Kanzlei nimmt es an oder lehnt es ab. Erst nach Annahme wird der Auftrag verbindlich. Verarbeitet werden in dieser Phase ausschließlich die in 6.1 genannten Auftragsdaten plus die zwischen Kanzlei und Hub ausgehandelten Konditionen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich).
6.3 Zuweisung an WissMits
Aufträge werden ausschließlich durch die Geschäftsführung der WissMit Hub GmbH einem geeigneten WissMit zugewiesen. Es gibt keinen frei zugänglichen Auftragspool und keine automatisierte Zuweisungs-Logik. Im Rahmen der Zuweisung erhält der zugewiesene WissMit Zugriff auf die Auftragsdaten einschließlich Kanzlei-Bezeichnung und der vom Kanzlei-Vertreter eingegebenen Auftragsdetails. Der WissMit ist vertraglich und gesetzlich zur Verschwiegenheit verpflichtet (Rahmenvereinbarung Doc 13 sowie § 203 Abs. 4 StGB analog für gehilfenähnliche Tätigkeit; siehe auch AVV-Anlage 4).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; im Verhältnis zu Mandantendaten Art. 28 DSGVO als Sub-Auftragsverarbeitung.
6.4 Lieferung des Werks (Liefer-Sets, Mängelanzeige)
Der WissMit lädt seine Arbeitsergebnisse (Schriftsatz-Entwürfe, Gutachten, etc.) als Datei in die Plattform hoch (siehe Abschnitt 8.2). Eine Lieferrunde („Liefer-Set") besteht aus einer oder mehreren Dateien, die als zusammengehöriges Werk bewertet werden.
Nach Abgabe hat die Kanzlei Gelegenheit zur Prüfung. Sie kann das Werk abnehmen (Status „abgenommen") oder einen Korrekturwunsch / eine Mängelanzeige formulieren (Beschreibung als Freitext, mindestens 20 Zeichen, maximal 5.000 Zeichen). Auch der Korrekturwunsch-Freitext kann personenbezogene Daten enthalten und unterliegt dann denselben Regeln wie die Auftragsdaten (Hub als Auftragsverarbeiter der Kanzlei).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
6.5 Vertraulichkeit gegenüber Mandanten der Kanzlei
WissMits treten nicht als Erbringer der anwaltlichen Leistung gegenüber Mandanten der Kanzlei in Erscheinung. Die anwaltliche Mandatsbearbeitung gegenüber dem Mandanten erfolgt ausschließlich durch die beauftragende Kanzlei. Auf der Plattform kennen sich Kanzlei und WissMit namentlich (notwendige werkvertragliche Identifikation); gegenüber Mandanten der Kanzlei tritt der WissMit nicht in Erscheinung.
7. Kommunikation auf der Plattform
Die Plattform stellt zwei voneinander getrennte Kommunikationskanäle bereit:
7.1 Auftragsbezogener Plattform-Thread
Pro Auftrag existiert ein Nachrichten-Thread, der für Kanzlei, zugewiesenen WissMit und die Hub-Administration sichtbar ist. Der Thread dient der auftragsbezogenen fachlichen Kommunikation und enthält zusätzlich automatisch erzeugte System-Einträge (z.B. Status-Übergänge, Rechnungserzeugung).
Verarbeitete Daten: Nachrichten-Inhalte (Freitext), Absender (Name, Rolle), Zeitstempel. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Wie zugehöriger Auftrag (siehe Abschnitt 16).
7.2 Privates Postfach (Hub ↔ Kanzlei)
Zusätzlich besteht zwischen der Hub-Administration und jeder einzelnen Kanzlei ein 1:1-Kommunikationskanal, der unabhängig von einem konkreten Auftrag ist. Dieser dient Onboarding-Fragen, allgemeinen organisatorischen Themen und Welcome-Nachrichten.
Das Privat-Postfach ist nicht für WissMits zugänglich und enthält bewusst keine Auftrags- oder Mandantendaten. WissMits und Kanzleien kommunizieren ausschließlich auftragsbezogen über den Plattform-Thread (Abschnitt 7.1).
Verarbeitete Daten: Nachrichten-Inhalte (Freitext), Absender (Name, Rolle Hub-Administration oder Kanzlei-Vertreter), Lesestatus, Zeitstempel. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag und vorvertragliche Maßnahmen). Speicherdauer: Bis zur Account-Löschung der Kanzlei; bei geschäftsrelevanten Konversationen bis zu 6 Jahre gem. § 147 AO als Geschäftsbrief.
8. Dateispeicherung (Storage)
8.1 Fall-Unterlagen der Kanzlei
Die Kanzlei kann zu jedem Auftrag Dateien hochladen (z.B. Akten als PDF, ergänzende Unterlagen). Diese werden im verschlüsselten Storage-Bucket auftrag-dateien unseres Datenbank-Dienstleisters Supabase abgelegt. Der Bucket ist privat (kein öffentlicher Zugriff). Lesezugriffe erfolgen ausschließlich über zeitlich begrenzte Signed URLs (typischerweise 5 Minuten Gültigkeit), die ad-hoc bei Klick generiert werden.
Verarbeitungsort: EU (AWS-Region Frankfurt, eu-central-1). Verschlüsselung: AES-256 at rest, TLS in transit. Maximale Dateigröße: 25 MB pro Datei. Erlaubte Datei-Typen: PDF, DOCX, ODT, XLSX, XLS, ODS, ZIP, JPG, PNG. Zugriff: Kanzlei (eigene Aufträge), zugewiesener WissMit (zugewiesene Aufträge), Hub-Administration. WissMits sehen ausschließlich Fall-Unterlagen aus ihnen zugewiesenen Aufträgen.
Rechtsgrundlage Hub-Vertragsdurchführung: Art. 6 Abs. 1 lit. b DSGVO. Rechtsgrundlage Mandantendaten-Verarbeitung: Art. 28 DSGVO (im Auftrag der Kanzlei). Sub-Auftragsverarbeiter: Supabase Inc. (siehe Abschnitt 13).
8.2 Deliverables des WissMit
Die vom WissMit gelieferten Arbeitsergebnisse werden im selben Storage-Bucket auftrag-dateien abgelegt, getrennt nach Lieferrunde. Zugriff analog 8.1.
8.3 Rechnungs-PDFs
Die von der Plattform automatisch erzeugten Rechnungs-PDFs werden in einem separaten privaten Storage-Bucket rechnungen abgelegt (siehe Abschnitt 9). Zugriff hat ausschließlich die rechnungsempfangende Kanzlei sowie die Hub-Administration.
Verarbeitungsort: EU (AWS-Region Frankfurt, eu-central-1). Maximale Dateigröße: 5 MB pro Rechnung. Speicherdauer: 10 Jahre gemäß § 257 Abs. 1 Nr. 4 i.V.m. Abs. 4 HGB (Buchungsbelege seit Bürokratieentlastungsgesetz vom 23.10.2024 8 Jahre, Handelsbücher 10 Jahre; wir wählen die längere Frist als Vorsichtsmaß für aufeinander bezogene Buchhaltungsunterlagen).
9. Rechnungsstellung
Nach Abnahme eines Werks durch die Kanzlei erstellt die Plattform automatisch eine §14-UStG-konforme PDF-Rechnung. Verarbeitete Daten:
- Rechnungsempfänger: Firmierung der Kanzlei, Geschäftsanschrift, Umsatzsteuer-Identifikationsnummer oder Steuernummer (aus den Kanzlei-Stammdaten)
- Rechnungssteller: Stammdaten der WissMit Hub GmbH (Firmierung, Anschrift, HRB, USt-IdNr., Bankverbindung, SEPA-Gläubiger-Identifikationsnummer)
- Auftragsbezug (Auftragsnummer, Tätigkeit, Lieferdatum)
- Beträge (Netto, Umsatzsteuer 19 %, Brutto)
- Rechnungsnummer (Format
YYYY-R-NNNN), Ausstellungsdatum, Zahlungsfrist (14 Tage)
Die fertige Rechnung wird:
- Im Storage-Bucket
rechnungenabgelegt (Pfad{kanzlei_id}/{rechnungsnummer}.pdf). - Per Email an die Kanzlei versandt — mit der PDF-Rechnung als Anhang. Empfängeradresse ist die in den Kanzlei-Stammdaten hinterlegte Rechnungs-E-Mail-Adresse, ersatzweise die Login-E-Mail-Adresse.
- Im Auftrags-Detail-View und im Rechnungs-Reiter der Kanzlei (
/dashboard/kanzlei/rechnungen) zur Verfügung gestellt.
Verarbeiter für den Mailversand: Brevo (siehe Abschnitt 10 und 13). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) i.V.m. Art. 6 Abs. 1 lit. c DSGVO (umsatzsteuerliche und handelsrechtliche Pflichten). Speicherdauer Rechnungs-PDF + Rechnungs-Datensatz: Siehe Abschnitt 16.
10. E-Mail-Versand (transaktional)
Im Rahmen der Plattform-Nutzung versenden wir transaktionale E-Mails an Kanzlei, WissMit und Hub-Administration. Die Verarbeitung umfasst:
| Anlass | Empfänger | Inhalt (Auszug) |
|---|---|---|
| Bestätigung Konto-Anlage (Email-Confirmation) | Registrierender Nutzer | Bestätigungslink, Hinweis auf 24h-Gültigkeit |
| Auftragseingang (Standard-Produkt) | Kanzlei | Auftragsnummer, Eingangszeit, Nächste-Schritte-Hinweis |
| Anfrageeingang (Individualauftrag) | Kanzlei | Auftragsnummer, Hinweis auf bevorstehendes Angebot |
| Angebot zu Anfrage unterbreitet | Kanzlei | Festpreis-Angebot, Annahme-/Ablehnungs-Link |
| Angebot akzeptiert / abgelehnt | Hub-Administration | Auftragsnummer, Entscheidung der Kanzlei |
| Auftragszuweisung | WissMit | Auftragsnummer, Kanzlei, Annahmefrist, Auftragsdetails |
| Auftragsannahme | Kanzlei | Auftragsnummer, namentliche Nennung des zugewiesenen WissMit |
| Auftragslieferung | Kanzlei | Auftragsnummer, Lieferzeitpunkt, Abnahme-Link |
| Auftragsabnahme | WissMit + Hub-Administration | Auftragsnummer, Abnahmezeitpunkt |
| Neue Thread-Nachricht | Beteiligte (Kanzlei, WissMit) | Auftragsnummer, Absender, Direktlink |
| Neue Postfach-Nachricht | Beteiligte (Kanzlei oder Hub) | Absender, Direktlink |
| Rechnungsversand | Kanzlei | PDF-Rechnung als Anhang, Rechnungsnummer, Brutto-Betrag |
Die Benachrichtigungs-E-Mails zu neuen Thread- und Postfach-Nachrichten enthalten bewusst keine Vorschau des Nachrichteninhalts (Datenminimierung); der Nachrichtentext wird ausschließlich nach Anmeldung innerhalb der Plattform angezeigt.
Für den Versand nutzen wir den E-Mail-Dienstleister Brevo (Sendinblue SAS, 106 Boulevard Haussmann, 75008 Paris, Frankreich) — EU-Anbieter mit Verarbeitung in Frankreich.
An Brevo übermittelte Daten: E-Mail-Adresse, Name des Empfängers, Mail-Body (inklusive Auftrags-Metadaten und ggf. PDF-Anhang Rechnung). Auftragsverarbeitung: Es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit Brevo. Die Verarbeitung erfolgt in der EU. Speicherdauer der Versandprotokolle bei Brevo: 30–60 Tage gemäß Brevo-AVV. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; bei Rechnungsmails ergänzend Art. 6 Abs. 1 lit. c DSGVO.
Newsletter oder Werbe-E-Mails versenden wir nicht.
11. Kontaktanfragen
Wenn Sie uns über kontakt@wissmit-hub.de, datenschutz@wissmit-hub.de oder eine sonstige E-Mail-Adresse der Domain wissmit-hub.de kontaktieren, verarbeiten wir Ihre E-Mail-Adresse, Ihren Namen und den Inhalt Ihrer Nachricht zur Beantwortung der Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (bei vertragsbezogenen Anfragen oder vorvertraglich) oder Art. 6 Abs. 1 lit. f DSGVO (Beantwortung sonstiger Anfragen, berechtigtes Interesse an einer geordneten Kommunikation). Verarbeiter: Microsoft Ireland Operations Ltd. (Microsoft 365 / Exchange Online, EU Data Boundary, Postfach-Speicherort Germany). Speicherdauer: Bis zur Erledigung der Anfrage; bei Geschäftsbriefen bis zu 6 Jahre nach § 147 Abs. 1 Nr. 2 AO.
12. Verarbeitungsprotokoll (Event-Stream)
Die Plattform führt zur Sicherstellung der Nachvollziehbarkeit von Auftragsabläufen ein technisches Verarbeitungsprotokoll (interne Tabelle auftrag_events). Dort werden semantisch relevante Plattform-Aktionen strukturiert vermerkt:
- Auftragsanlage, Zuweisung, Annahme/Ablehnung, Lieferung, Mängelanzeige, Abnahme, Rechnungserstellung, Pricing-Überschreibung, Nachrichten-Posting, System-Informationen.
Pro Event speichern wir: Event-Typ, Auftrags-ID, Akteur (User-ID und Rolle), Zeitstempel und eine kompakte Metadaten-Payload (z.B. Liefer-Runden-Nummer, Beschreibungs-Länge, Rechnungs-Brutto-Betrag). Inhaltliche Volltexte (z.B. Sachverhalte, Korrekturwunsch-Beschreibungen, Nachrichten-Inhalte) werden nicht in die Event-Payload geschrieben; sie verbleiben in den jeweiligen Fachtabellen.
Zweck: Auftrags-Lifecycle-Nachvollziehbarkeit, technische Audit-Spur, dokumentierter Sicherheits-Nachweis nach Art. 32 DSGVO, spätere aggregierte Plattform-Analytik (ohne Rückschluss auf Einzelpersonen). Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 5 Abs. 2 und Art. 32 DSGVO (Rechenschafts- und Sicherheits-Pflicht des Verantwortlichen) sowie ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem ordnungsgemäßen Plattformbetrieb). Speicherdauer: Solange das zugehörige Auftrags-Objekt existiert. Zugriff: Ausschließlich Hub-Administration über Service-Rollen-Zugriff; keine User-Sichtbarkeit, keine Drittweitergabe.
13. Empfänger personenbezogener Daten / Subprozessoren
Wir setzen die folgenden Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein:
| Anbieter | Zweck | Sitz / Verarbeitungsort |
|---|---|---|
| Supabase Inc. | Authentifizierung, Datenbank, File-Storage (auftrag-dateien, rechnungen) | Konzernsitz USA, Verarbeitung EU (Frankfurt) |
| Vercel Inc. | Hosting, Serverless Functions, Edge-CDN | USA; Function-Region und Edges EU (Frankfurt fra1) |
| Sendinblue SAS (Brevo) | Transaktionale E-Mails | Frankreich (EU) |
| Microsoft Ireland Operations Ltd. | E-Mail-Postfächer (Microsoft 365) | EU Data Boundary (Postfach Germany) |
| IONOS SE | DNS und Domain-Verwaltung | Deutschland |
Mit allen genannten Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Eine vollständige und stets aktuelle Subprozessoren-Liste mit Details zu Verarbeitungsort, Datenkategorien und Schutzmaßnahmen finden Sie unter:
https://app.wissmit-hub.de/datenschutz/subprozessoren
Bei Aufnahme weiterer Subprozessoren oder Änderungen werden Kanzleien gemäß AVV vorab informiert (Widerspruchsrecht binnen 30 Kalendertagen, siehe AVV § 8 Abs. 4).
14. Datenübermittlung in Drittländer
Soweit Daten an Anbieter mit Konzernsitz in den USA (Supabase, Vercel, Microsoft) übertragen werden, erfolgt dies auf folgenden Grundlagen:
- Vercel und Microsoft sind unter dem EU-US Data Privacy Framework (DPF) zertifiziert; die Übermittlung stützt sich auf den Angemessenheitsbeschluss der EU-Kommission 2023/1795. Ergänzend gelten Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO (Beschluss 2021/914).
- Supabase ist nicht unter dem DPF zertifiziert; die Übermittlung stützt sich auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO (Beschluss 2021/914) in Verbindung mit ergänzenden technischen und organisatorischen Schutzmaßnahmen (insbesondere EU-Datenhaltung, Verschlüsselung und Datenminimierung).
Die konkreten produktiven Verarbeitungen erfolgen in der EU, soweit der Anbieter dies anbietet:
- Supabase: EU-Region Frankfurt (AWS eu-central-1).
- Vercel: EU (Frankfurt fra1) sowohl als Function-Region als auch als Edge-Region; Plattform-Logs verbleiben überwiegend in den USA.
- Microsoft 365: EU Data Boundary; Postfach-Speicherort Germany.
Brevo (Frankreich) und IONOS (Deutschland) sind reine EU-Anbieter — kein Drittlandtransfer.
15. Verarbeitung im Auftrag der Kanzlei (Art. 28 DSGVO)
Soweit eine Kanzlei in Auftragsanweisungen, Freitextfeldern oder beigefügten Unterlagen personenbezogene Daten ihrer Mandanten in die Plattform einbringt, ist die Kanzlei datenschutzrechtlich Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Die WissMit Hub GmbH ist insoweit Auftragsverarbeiterin im Sinne von Art. 28 DSGVO.
Mit jeder Kanzlei wird beim Onboarding ein Auftragsverarbeitungsvertrag geschlossen (AVV-Mustertext v1.1). Der zugewiesene WissMit handelt als Sub-Auftragsverarbeiter; seine Einbeziehung ist mit dem AVV mit der Kanzlei generell genehmigt. Die Kanzlei hat nach Maßgabe des AVV ein Widerspruchsrecht gegen die Hinzuziehung weiterer Sub-Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO, AVV § 8 Abs. 4 und 5).
WissMits unterzeichnen vor erstem Auftrag elektronisch eine Verschwiegenheits- und Datenschutz-Verpflichtung (Anlage 4 zum AVV) mit ausdrücklicher Belehrung über die strafrechtliche Verantwortlichkeit nach § 203 Abs. 4 StGB für die Verletzung der anwaltlichen Verschwiegenheit als anwaltliche Gehilfin/anwaltlicher Gehilfe.
Der vollständige AVV-Mustertext sowie das Begründungsmemo zur Konstruktion sind auf Anfrage über datenschutz@wissmit-hub.de erhältlich.
16. Aufbewahrung und Löschung
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Account-Daten (Profile) | Bis Account-Löschung | Art. 17 DSGVO |
| Kanzlei-Stammdaten (Firmierung, Anschrift, USt-IdNr.) | 10 Jahre nach Vertragsende | § 257 Abs. 1, Abs. 4 HGB |
| Auftragsdaten (Auftrag, Sachverhalt, Fall-Unterlagen, Deliverables, Korrekturwünsche) | Bis Account-Löschung; bei abgerechneten Aufträgen bis 10 Jahre nach Rechnungsstellung | § 257 HGB (Handelsbücher) / Vertrag Art. 6 Abs. 1 lit. b DSGVO |
| Rechnungen (Datensatz + PDF im Storage) | 10 Jahre nach Ausstellung | § 257 Abs. 1 Nr. 4 i.V.m. Abs. 4 HGB (Handelsbücher); Vorsichtswahl der längeren Frist gegenüber 8 Jahren für Buchungsbelege gemäß Bürokratieentlastungsgesetz vom 23.10.2024 |
| E-Mail-Versandprotokolle bei Brevo | 30–60 Tage | Brevo-AVV |
| Server-Logs (Vercel) | 30 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Auftrags-Events (Event-Stream) | Solange zugehöriger Auftrag existiert | Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 5 Abs. 2 und Art. 32 DSGVO |
| Plattform-Thread-Nachrichten | Wie zugehöriger Auftrag | wie Auftragsdaten |
| Privat-Postfach-Nachrichten | Bis Account-Löschung; geschäftsrelevante Inhalte 6 Jahre | § 147 Abs. 1 Nr. 2 AO (Geschäftsbriefe) |
| Bewerbungen abgelehnter WissMits | 6 Monate nach Ablehnung | Beweissicherung nach AGG |
| Kontaktanfragen (allgemein) | Bis Erledigung; bei Geschäftsbriefen 6 Jahre | § 147 Abs. 1 Nr. 2 AO |
Die handels- und steuerrechtlichen Aufbewahrungspflichten wurden mit dem Bürokratieentlastungsgesetz IV vom 23.10.2024 für Buchungsbelege (§ 257 Abs. 4 HGB) von 10 auf 8 Jahre verkürzt. Für Handelsbücher und Jahresabschlüsse bleibt es bei 10 Jahren (§ 257 Abs. 1 Nr. 1, Abs. 4 HGB). Da Rechnungen und zugehörige Auftragsunterlagen sowohl unter den Belegbegriff als auch in den Zusammenhang der Handelsbücher fallen können, wenden wir vorsorglich die längere 10-Jahres-Frist an.
17. Ihre Rechte als betroffene Person
Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO) — über die zu Ihrer Person gespeicherten Daten
- Berichtigung (Art. 16 DSGVO) — bei unrichtigen oder unvollständigen Daten
- Löschung (Art. 17 DSGVO) — soweit nicht gesetzliche Aufbewahrungspflichten entgegenstehen
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) — insbesondere bei Verarbeitungen auf Grundlage berechtigter Interessen
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) — mit Wirkung für die Zukunft
Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@wissmit-hub.de.
Soweit Sie als Mandantin/Mandant einer Kanzlei betroffen sind, deren Auftragsabwicklung über die Plattform läuft, richten Sie Betroffenen-Rechte primär an die Kanzlei als datenschutzrechtlich Verantwortliche (siehe Abschnitt 15). Wir leiten entsprechende Anfragen unverzüglich an die zuständige Kanzlei weiter.
18. Beschwerderecht bei der Aufsichtsbehörde
Sie haben unbeschadet anderweitiger Rechtsbehelfe das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere im Mitgliedstaat Ihres Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO).
Die für die WissMit Hub GmbH zuständige Aufsichtsbehörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Kavalleriestr. 2–4 40213 Düsseldorf Telefon: +49 211 38424-0 https://www.ldi.nrw.de
19. Verpflichtung zur Bereitstellung; Folgen der Nichtbereitstellung
Die Bereitstellung der für die Registrierung und Auftragsdurchführung erforderlichen Daten ist freiwillig, aber zur Nutzung der Plattform notwendig. Ohne diese Daten können wir den Vertragsschluss und die Auftragsabwicklung nicht durchführen.
20. Automatisierte Entscheidungsfindung
Eine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO einschließlich Profiling findet auf der Plattform nicht statt. Insbesondere erfolgt die Auftragszuweisung an WissMits durch eine menschliche Entscheidung der Geschäftsführung. Soweit die Plattform in späteren Ausbaustufen Empfehlungs- oder Aufbereitungs-Schichten basierend auf KI einsetzt, dienen diese ausschließlich der Unterstützung menschlicher Entscheidungen; abschließende Entscheidungen mit rechtlicher Wirkung treffen weiterhin Menschen.
21. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung gelegentlich anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung. Wesentliche Änderungen kommunizieren wir Kanzleien zusätzlich über das Privat-Postfach (Abschnitt 7.2).
Versionshistorie:
- v1.1 — 2026-05-29 (RA-Review abgeschlossen: Verarbeitungsprotokoll-Rechtsgrundlage auf Doppel-Begründung lit. c + lit. f umgestellt; Postfach-Produktverbesserungs-Zweck gestrichen; Subprozessoren-Widerspruchsfrist 14 → 30 Tage korrigiert + Verweis auf AVV § 8 Abs. 4; AVV-Referenz auf v1.1 aktualisiert; Vercel-Region-Klarstellung + Microsoft-Speicherort Germany aus AVV v1.1 übernommen)
- v1.0 — 2026-05-27 (Vollintegration der Plattform-Stände aus Sprints 7–11 und Compliance-Subsprint C2; Stammdaten finalisiert)
- v0.1 — 2026-05-02 (Erst-Entwurf)