Zum Inhalt springen
Produkt
Preise
Unternehmen
Ressourcen
Kostenloses Gespräch vereinbaren →
clara-agent.de

Vertrauen ist
das Produkt

Wo mit Mandantengeheimnissen gearbeitet wird, muss alles nachvollziehbar sein. Hier steht, wo Clara läuft, wer beteiligt ist und wie wir §203 StGB und DSGVO erfüllen.

DSGVO & AV-Vertrag
Art. 28 DSGVO, unterzeichnet pro Kanzlei
EU-Server
Hosting & DB Frankfurt · LLMs EU-Regionen
§203 StGB-konform
Berufsgeheimnis vertraglich geregelt
Zero Data Retention
LLM: kein Training, keine Speicherung
Dokumente

Der AV-Vertrag im Original

Der vollständige Auftragsverarbeitungsvertrag nach Art. 28 DSGVO inklusive TOMs und Subprozessoren-Liste. Wird pro Kanzlei beim Onboarding unterzeichnet.

AV-Vertrag öffnen (PDF) →
Kontakt

Fragen zu Datenschutz oder Compliance?

Wir antworten persönlich. Für formale Anfragen, Audit-Wünsche oder Fragen zu Subprozessoren:

datenschutz@intoconvo.com
Datenschutz

DSGVO, §203 StGB und Betroffenenrechte

Die Verarbeitung erfolgt ausschließlich im Auftrag und nach Weisung der Kanzlei, auf Grundlage eines AV-Vertrags nach Art. 28 DSGVO. Ein eigener Paragraph regelt die §203-StGB-konforme Behandlung von Berufsgeheimnisdaten: Mitarbeiter und Subprozessoren sind vertraglich verpflichtet, Betroffenenrechte werden über die Kanzlei als Verantwortliche bearbeitet.

  • Art. 28 DSGVO Auftragsverarbeitung
  • §203 StGB-konforme Prozesse, Berufsgeheimnis gewahrt
  • §62a StBerG: Verschwiegenheitsverpflichtung als Vertragsbestandteil
  • 48-Stunden-Meldefrist bei Datenschutzverletzungen
  • Löschung oder Rückgabe nach Vertragsende
Infrastruktur

EU-Hosting mit zertifizierten Providern

Anwendungs-Hosting und Datenbank laufen auf Google Cloud Platform in der Region europe-west3 (Frankfurt), kein eigenes Rechenzentrum. Infrastruktur-Provider sind ISO-27001- und SOC-2-zertifiziert. Mandantentrennung auf Datenbank-Ebene erzwungen (PostgreSQL Row-Level Security), Endgeräte sind festplattenverschlüsselt.

  • Mandantenisolierung per Row-Level Security — die Datenbank gibt physisch keine Daten fremder Kanzleien heraus, unabhängig von der Anwendungslogik
  • Verschlüsselung: AES-256 at rest, TLS 1.2+ in transit
  • SSO via Microsoft Entra ID, 2FA-Zwang für Admins
  • Redundante Availability Zones + Point-in-Time-Backups
  • DDoS-Schutz via Google Cloud Armor
Datenverarbeitung

Was rein- und was rausgeht

Clara verarbeitet nur, was zur Erfüllung der beauftragten Leistung erforderlich ist. Mandanten- und E-Mail-Inhalte werden ausschließlich in der EU verarbeitet und fließen nicht ins Modelltraining; außerhalb der EU fließen nur technische Betriebsdaten (Verbindungsmetadaten über das Cloudflare-Edge-Netzwerk). Gespeichert wird im Auftrag der Kanzlei für die Vertragsdauer — nach Vertragsende Löschung oder Rückgabe nach Wahl der Kanzlei (§16 AVV).

  • Input
    E-Mails (Betreff, Body, Header) und Dokumente (PDF, Word, Excel)
  • Output
    Antwort-Entwürfe, Zusammenfassungen, Analyseergebnisse
  • Stammdaten
    Namen, E-Mail-Adressen, Microsoft-Tenant-IDs, technische Logfiles
AI-Transparenz

Welche Modelle, welche Zusagen

Clara nutzt mehrere spezialisierte LLMs. Das LLM-Hosting läuft ausschließlich in der EU, alle Modelle mit Zero-Data-Retention-Zusage. Kein automatischer E-Mail-Versand: Clara entwirft, der Steuerberater entscheidet.

  • Google Vertex AI (EU, europe-west): Claude Sonnet 4.6, Claude Haiku, Gemini Embeddings
  • Amazon Bedrock (eu-central-1, Frankfurt): Claude-Modelle
  • Zero Data Retention: kein Training, keine dauerhafte Speicherung beim Modell-Anbieter (§7 AVV)
  • Human-in-the-Loop: kein automatischer Versand
Vollständige Liste der Subprozessoren ↓
Subprozessoren & Dienste

Wer auf welche Daten Zugriff hat

Wir unterscheiden klar zwischen Unterauftragsverarbeitern nach Art. 28 DSGVO und weiteren Diensten, bei denen keine personenbezogenen Nutzerdaten in unserem Auftrag verarbeitet werden.

Stand: 11. Juni 2026. Änderungen werden vorab in Textform angekündigt; die Kanzlei kann innerhalb von 3 Wochen widersprechen, vorher wird nichts umgesetzt (§12 AVV).
Sektion 01

Unterauftragsverarbeiter (Art. 28 DSGVO)

Folgende Unternehmen verarbeiten personenbezogene Daten im Auftrag der Intoconvo GmbH gemäß Art. 28 DSGVO.

  • Google Cloud EMEA Ltd.
    Bereitstellung von LLMs über Google Cloud (Vertex AI: Claude Sonnet 4.6, Claude Haiku 4.5, Gemini Embeddings), Cloud-Infrastruktur und Hosting
    EU · europe-west · Belgien · Frankfurt
  • Amazon Web Services EMEA SARL
    KI-Modelle / LLM (Bereitstellung der Claude-Modelle via Amazon Bedrock) sowie Versand von System- und Verifikationsmails und eingehender inbox@-Kanal via Amazon SES. Inhalte aus angebundenen Postfächern (Microsoft 365, Exchange, IMAP) erreichen AWS im Rahmen des Mailversands zu keinem Zeitpunkt
    EU · eu-central-1 · Frankfurt
  • Cloudflare, Inc.
    Sicherheit & CDN (DDoS-Schutz, Web Application Firewall). Verarbeitet ausschließlich Verbindungsmetadaten — kein Zugriff auf E-Mail-Inhalte, Anhänge oder Mandantendaten
    Global · Edge Network
    Drittlandtransfer · DPF-zertifiziert + SCC
  • PostHog, Inc.
    Produktanalyse & Fehler-Tracking. Verarbeitet ausschließlich Nutzungsmetadaten und Fehlerprotokolle — kein Zugriff auf E-Mail-Inhalte, Anhänge oder Mandantendaten
    EU · Frankfurt am Main
    Vertragspartner USA · DPF-zertifiziert + SCC
Sektion 02

Weitere eingesetzte Dienste & Technologien

Folgende Dienste werden im Rahmen von Clara eingesetzt, verarbeiten jedoch keine personenbezogenen Daten unserer Nutzer im Sinne des Art. 28 DSGVO.

  • Riecken Webservice Application GmbH
    Technischer Connector zu DATEV (DATEV-zertifizierte Schnittstelle). Daten werden nicht bei Riecken gespeichert oder verarbeitet, sondern lediglich durchgereicht.
Dokumente mit Zugriffskontrolle

Vertrauliche Nachweise auf Anfrage

Diese Dokumente geben wir nach einer kurzen Prüfung gezielt heraus. Fordere den Zugriff an, wir melden uns mit den Unterlagen.

  • AWS · Professional Secrecy Addendum (§203 StGB)

    Zusatzvereinbarung zur Wahrung des Berufsgeheimnisses nach §203 StGB mit Amazon Web Services.

  • Google Cloud · Professional Secrecy Addendum (§203 StGB)

    Zusatzvereinbarung zur Wahrung des Berufsgeheimnisses nach §203 StGB mit Google Cloud.

Häufige Fragen

Noch Fragen zur Compliance?

Mehr Zeit für das Wesentliche

Vereinbare einen Termin und sieh, wie Clara täglich Zeit spart.

Kostenloses Gespräch vereinbaren →

Unverbindliche Demokeine Setup-KostenDSGVO-konform