Zurück zur Startseite

Datenschutzerklärung

Stand: April 2026 · Version 2.0 · DSGVO-konform · Google API-verifiziert

1. Verantwortlicher

Cyfire Rechtsanwaltsgesellschaft mbH
vertreten durch RA Mirco Lehr
Thurn und Taxis Platz 6
60313 Frankfurt am Main
Deutschland

E-Mail: datenschutz@felex.ai
Web: felex.ai

Wir betreiben die Software-Plattform FELEX.AI, eine Legal-Tech-SaaS-Lösung für Verfahren zur außergerichtlichen Schuldenbereinigung nach § 305 InsO.

2. Datenschutzbeauftragter

Der Datenschutzbeauftragte der Cyfire Rechtsanwaltsgesellschaft mbH ist:

RA Mirco Lehr
Cyfire Rechtsanwaltsgesellschaft mbH
Thurn und Taxis Platz 6, 60313 Frankfurt am Main
E-Mail: datenschutz@felex.ai

Rechtsgrundlage: Art. 13 Abs. 1 lit. b DSGVO.

3. Verwendung von Google-Nutzerdaten

FELEX.AI ermöglicht die Anmeldung über Google OAuth 2.0. Die nachstehenden Angaben erfüllen die Anforderungen der Google API Services User Data Policy sowie die Vorgaben des Google OAuth-Verifizierungsprozesses.

Welche Google-Daten wir erheben

Im Rahmen der Google-Anmeldung erhalten wir ausschließlich folgende Daten:

  • E-Mail-Adresse – zur Kontoidentifikation und Kommunikation
  • Name – zur Anzeige im Nutzerprofil
  • Profilbild-URL (sofern vorhanden) – zur optionalen Darstellung
  • Google-Benutzer-ID – als eindeutiger technischer Bezeichner

Weitere Google-Kontoinhalte (Gmail, Kalender, Drive, Kontakte o. ä.) werden von FELEX.AI nicht abgerufen und nicht verarbeitet.

Verwendungszweck

Die über Google übermittelten Daten werden ausschließlich genutzt für:

  • Authentifizierung und Zugangssteuerung zur FELEX.AI-Plattform
  • Erstellung und Verwaltung des Nutzerkontos
  • Versand plattformbezogener Benachrichtigungen

Einschränkung der Verwendung (Limited Use)

Die Nutzung von Informationen aus Google APIs beschränkt sich auf die Bereitstellung und Verbesserung der nutzerseitigen Funktionen von FELEX.AI. Eine Verwendung für Werbezwecke, Datenhandel, KI-Training, Kreditwürdigkeitsprüfung oder sonstige Zwecke außerhalb des Anwendungsbetriebs findet nicht statt. FELEX.AI hält die Google API Services User Data Policy einschließlich der Limited Use Requirements vollständig ein.

Weitergabe und Schutz

Google-Nutzerdaten werden nicht an Dritte verkauft. Die Datenbankinfrastruktur wird eigenständig auf einem eigenen Server in Deutschland betrieben – ohne Einbindung eines US-amerikanischen Datenbankdienstleisters. Alle Google-Nutzerdaten werden verschlüsselt übertragen (TLS 1.3) und verschlüsselt gespeichert (AES-256). Nach Kontolöschung erfolgt die vollständige Datenlöschung innerhalb von 30 Tagen.

4. Erhebung und Verarbeitung personenbezogener Daten

Wir erheben personenbezogene Daten nur im Rahmen der Nutzung von FELEX.AI. Dies umfasst Daten, die bei der Registrierung, Anmeldung und Nutzung der Plattform angegeben werden (z. B. Name, E-Mail-Adresse, Kanzleidaten).

Folgende Datenkategorien werden verarbeitet:

  • Kontodaten – Name, E-Mail-Adresse, Passwort-Hash, Nutzerrolle
  • Mandantendaten – Name, Anschrift, Geburtsdatum, Schuldnerinformationen
  • Gläubigerdaten – Firmenname, Forderungshöhe, Kontaktdaten
  • E-Mail-Anhänge und Dokumente – durch Kanzleimitarbeiter hochgeladene Schreiben, Bescheide, Kontoauszüge
  • Nutzungsdaten – IP-Adresse, Browsertyp, Seitenaufrufe, Zeitstempel
  • Kommunikationsdaten – E-Mail-Versandprotokoll, Systembenachrichtigungen
  • Integrierte E-Mail- und Dokumentendaten (Gmail, Google Drive) – E-Mail-Inhalte und Dateiinhalte, die Kanzleimitarbeiter über die Gmail- und Google-Drive-Integration in FELEX.AI abrufen oder verarbeiten; Zugriff erfolgt ausschließlich auf Basis expliziter Nutzerautorisierung und beschränkt sich auf die vom Nutzer freigegebenen Scopes
  • beA-Kommunikationsdaten – über die beA-Schnittstelle (bereitgestellt durch beA.expert) übermittelte und empfangene Schriftsätze, Bescheide und Korrespondenz mit Gerichten und Behörden; unterliegen der anwaltlichen Schweigepflicht gemäß § 203 StGB
  • WhatsApp- und Chat-Kommunikationsdaten – Nachrichten, die über die WhatsApp Business API (Meta) oder den internen FELEX.AI-Chat im Rahmen der Mandantenkommunikation übermittelt werden
  • Zahlungs- und Finanzdaten – Zahlungsstatus, Transaktionsreferenzen und Rechnungsdaten über Stripe (Zahlungsabwicklung) und Qonto (Geschäftskonto-Integration); Zahlungsmitteldetails (Kartennummern o. ä.) werden ausschließlich durch Stripe verarbeitet und nicht durch FELEX.AI gespeichert
  • Anonymisierte Chat-Verlaufsdaten – Interaktionsinhalte aus dem internen Chat, die ohne Personenbezug, ohne Zeitstempel und ohne Nutzer-ID gespeichert und intern zur Qualitätsverbesserung und Modelloptimierung verwendet werden; eine Rückführung auf einzelne Personen ist technisch ausgeschlossen
  • Anonymisierte Navigationsdaten – aggregierte Seitenaufruf- und Klickpfad-Daten zur Analyse des Nutzungsverhaltens; es werden weder IP-Adressen noch Nutzer-IDs noch Zeitstempel gespeichert; eine Zuordnung zu Personen ist technisch nicht möglich

Alle im Rahmen der Mandatsbearbeitung verarbeiteten Inhalte – insbesondere E-Mail-Anhänge und hochgeladene Dokumente – unterliegen der anwaltlichen Schweigepflicht gemäß § 203 StGB sowie § 43a BRAO.

5. Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

  • Bereitstellung der FELEX.AI-Plattform und Vertragserfüllung – Art. 6 Abs. 1 lit. b DSGVO
  • Authentifizierung via Google OAuth – Art. 6 Abs. 1 lit. b, lit. f DSGVO
  • Bearbeitung außergerichtlicher Schuldenbereinigung (§ 305 InsO) – Art. 6 Abs. 1 lit. b, lit. c DSGVO; § 3 BDSG
  • Sicherheit und Betrugsprävention – Art. 6 Abs. 1 lit. f DSGVO
  • E-Mail-Benachrichtigungen (Transactional) – Art. 6 Abs. 1 lit. b DSGVO
  • Gesetzliche Aufbewahrungspflichten – Art. 6 Abs. 1 lit. c DSGVO; § 257 HGB; § 147 AO
  • Verarbeitung von E-Mail-Anhängen durch Kanzleimitarbeiter – Art. 6 Abs. 1 lit. b DSGVO; § 203 StGB; § 43a BRAO
  • Besondere Datenkategorien (Finanz-/Gesundheitsdaten) – Art. 9 Abs. 2 lit. f DSGVO
  • Beschäftigtendaten (Kanzleimitarbeiter) – § 26 Abs. 1 BDSG; Art. 88 DSGVO
  • SCHUFA-Korrektur-Service – Art. 6 Abs. 1 lit. b; Art. 22 Abs. 2 lit. a DSGVO
  • Zahlungsabwicklung (Stripe) und Geschäftskonto-Integration (Qonto) – Art. 6 Abs. 1 lit. b DSGVO; ggf. PSD2
  • Integration externer Dienste (Gmail, Google Drive, beA, WhatsApp) auf Basis expliziter Nutzerautorisierung – Art. 6 Abs. 1 lit. a, lit. b DSGVO
  • Anonymisierte Chat-Logs für interne Qualitätssicherung und Modellverbesserung – kein Personenbezug; kein DSGVO-Anwendungsbereich (Erwägungsgrund 26 DSGVO)
  • Anonymisiertes Navigations-Tracking und automatisches Nächste-Schritt-System – kein Personenbezug; kein DSGVO-Anwendungsbereich (Erwägungsgrund 26 DSGVO)

6. Datenweitergabe und Auftragsverarbeiter

Wir geben personenbezogene Daten nur weiter, wenn eine Einwilligung vorliegt, die Weitergabe zur Vertragserfüllung notwendig ist, eine gesetzliche Verpflichtung besteht oder ein berechtigtes Interesse vorliegt. Wir verkaufen personenbezogene Daten zu keinem Zeitpunkt an Dritte.

Folgende Auftragsverarbeiter sind eingesetzt:

  • Cyfire Rechtsanwaltsgesellschaft mbH (Eigenbetrieb) – Datenbank und Authentifizierung auf eigenem dediziertem Server in Deutschland; kein Drittanbieter
  • Logicc GmbH, Hamburg – KI-gestützte Dokumentenverarbeitung und LLM-Dienste; mit Logicc bestehen ein AVV sowie eine gesonderte Verschwiegenheitsverpflichtung (VV) zum Schutz anwaltlicher Berufsgeheimnisse gemäß § 203 StGB
  • Resend Inc., USA – transaktionaler E-Mail-Versand (Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO)
  • Google LLC, USA – OAuth 2.0 Authentifizierung (Standardvertragsklauseln)
  • Hostinger International Ltd., Litauen – Webhosting, Serverstandort Deutschland
  • GoDaddy Inc., USA – Domain-Registrar, ausschließlich DNS-Verwaltung, kein Zugriff auf Mandanteninhalte (Standardvertragsklauseln)
  • Meta Platforms Ireland Ltd., Irland – WhatsApp Business API für Mandantenkommunikation; Datenübermittlung in die USA auf Basis von Standardvertragsklauseln
  • Google LLC / Google Ireland Ltd. – Gmail & Google Drive – optionale Integration für Kanzleimitarbeiter; Zugriff ausschließlich auf Basis expliziter OAuth-Autorisierung
  • beA.expert (Rechtsanwaltskammer-Schnittstelle) – Intermediär für die Anbindung an das besondere elektronische Anwaltspostfach (beA) der BRAK; alle übertragenen Inhalte unterliegen § 203 StGB
  • Stripe Payments Europe Ltd., Irland – Zahlungsabwicklung und Rechnungsmanagement
  • Qonto SAS, Frankreich (EU) – Geschäftskonto-Integration für automatisierte Zahlungsabgleiche

Soweit Daten in Drittstaaten außerhalb der EU/des EWR übertragen werden, stützen wir uns auf Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

7. Anwaltliche Schweigepflicht und KI-Dienste (§ 203 StGB)

FELEX.AI setzt für bestimmte Funktionen KI-gestützte Sprachmodelle ein, die über die Logicc GmbH bereitgestellt werden. Zum Schutz dieser Berufsgeheimnisse bestehen folgende Maßnahmen:

  • Mit der Logicc GmbH ist eine gesonderte Verschwiegenheitsverpflichtung (VV) gemäß § 203 Abs. 3 StGB abgeschlossen
  • Logicc verarbeitet Berufsgeheimnisse grundsätzlich im Inland
  • Eine Verarbeitung oder Einsichtnahme in bereitgestellte Berufsgeheimnisse erfolgt ausschließlich, soweit dies zur Erbringung der vertraglich vereinbarten Dienstleistungen erforderlich ist
  • Vor einer erzwungenen Offenlegung aufgrund gesetzlicher oder behördlicher Anordnung prüft Logicc zumutbare Schritte zur Abwehr und informiert Cyfire im rechtlich zulässigen Umfang

8. Datensicherheit und Serverstandort

Alle Produktivdaten von FELEX.AI werden auf einem eigenen dedizierten Server in Deutschland gespeichert und verarbeitet. Technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO:

  • Verschlüsselung in der Übertragung: TLS 1.3
  • Verschlüsselung im Ruhezustand: AES-256, einschließlich aller E-Mail-Anhänge und hochgeladener Dokumente
  • Zugriff auf Mandantendaten ausschließlich durch nach § 203 Abs. 3 StGB eingebundenes Personal
  • Rollenbasierte Zugriffsrechte mit Row-Level Security; Principle of Least Privilege
  • Multi-Faktor-Authentifizierung (MFA); JWT-basierte Sessions mit kurzlebigen Tokens
  • Vollständige Protokollierung sicherheitsrelevanter Ereignisse (Audit-Logs)
  • Incident-Response-Prozess gemäß Art. 33/34 DSGVO; Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden bei Datenschutzverletzungen

9. Datenisolation und Mandantentrennung

Jede Kanzlei erhält bei der Registrierung einen vollständig isolierten Kanzlei-Space. Es ist technisch ausgeschlossen, dass ein Nutzer der Kanzlei A auf Daten der Kanzlei B zugreifen kann.

  • Eine eigene verschlüsselte Datenbank-Instanz – keine gemeinsame Datenbankstruktur
  • Einen eigenen verschlüsselten Datei-Speicher – E-Mail-Anhänge sind physisch und logisch von anderen Kanzleien getrennt
  • Einen kanzlei-spezifischen AES-256-Schlüssel
  • Rollenbasierte Zugriffsrechte innerhalb des Space

10. Integrierte externe Dienste

Gmail und Google Drive

FELEX.AI bietet eine optionale Integration mit Gmail und Google Drive. Kanzleimitarbeiter können nach expliziter OAuth-Autorisierung E-Mails und Dokumente direkt in FELEX.AI abrufen und verarbeiten. Der Zugriff beschränkt sich strikt auf die vom Nutzer freigegebenen Scopes.

beA (Besonderes elektronisches Anwaltspostfach)

Die beA-Anbindung erfolgt über den Intermediär beA.expert und ermöglicht den Versand und Empfang von Schriftsätzen über das beA der BRAK gemäß § 31a BRAO. Alle über beA übermittelten Inhalte unterliegen der anwaltlichen Schweigepflicht nach § 203 StGB.

WhatsApp Business API und interner Chat

FELEX.AI integriert die WhatsApp Business API für die Mandantenkommunikation. Personen, die über WhatsApp kontaktiert werden, erhalten spätestens mit der ersten Nachricht einen standardisierten Datenschutzhinweis gemäß Art. 13 DSGVO.

Stripe und Qonto

FELEX.AI ist an Stripe (Zahlungsabwicklung) und Qonto (Geschäftskonto-Integration) angebunden. Zahlungsmitteldetails werden ausschließlich durch Stripe verarbeitet und niemals durch FELEX.AI gespeichert.

11. Anonymes Navigations-Tracking und Nächste-Schritt-System

FELEX.AI erfasst das Navigationsverhalten von Nutzern innerhalb der Plattform vollständig anonym und ohne Personenbezug:

  • Es werden keine IP-Adressen gespeichert
  • Es werden keine Nutzer-IDs oder Sitzungs-IDs in den Tracking-Daten gespeichert
  • Es werden keine Zeitstempel erfasst, die eine zeitliche Zuordnung zu Personen ermöglichen
  • Alle erfassten Daten liegen ausschließlich in aggregierter Form vor
  • Eine Rückführung auf einzelne Personen ist technisch ausgeschlossen

Da ein Personenbezug technisch ausgeschlossen ist, handelt es sich bei diesen Daten nicht um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO (vgl. Erwägungsgrund 26 DSGVO).

12. Anonyme Chat-Logs und Systemverbesserung

Chat-Verläufe aus dem internen FELEX.AI-Chat werden in anonymisierter Form ohne Personenbezug gespeichert. Vor der Speicherung werden sämtliche personenbeziehbaren Merkmale technisch entfernt.

Mandatsbezogene Inhalte und Berufsgeheimnisse nach § 203 StGB werden von dieser Anonymisierungsverarbeitung ausgenommen und nicht für Systemverbesserungszwecke verwendet.

13. Speicherung und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:

  • Kontodaten – bis zur Kontolöschung, danach vollständige Löschung innerhalb von 30 Tagen
  • Mandanten- und Verfahrensdaten – 10 Jahre nach Verfahrensabschluss (§ 257 HGB, § 147 AO, anwaltliche Aufbewahrungspflicht)
  • E-Mail-Anhänge und hochgeladene Dokumente – 10 Jahre nach Mandatsabschluss (§ 203 StGB, § 50 BRAO, § 257 HGB)
  • Nutzungs- und Zugriffslogs – 90 Tage (Sicherheitslogs: 12 Monate)
  • E-Mail-Protokolle – 6 Monate
  • Stripe-Zahlungsdaten – Zahlungsstatus, Transaktionsreferenzen: 10 Jahre (§ 257 HGB, § 147 AO)
  • Qonto-Kontobewegungsdaten – 10 Jahre (§ 257 HGB, § 147 AO)
  • WhatsApp- und Chat-Nachrichten (mandatsbezogen) – 10 Jahre nach Mandatsabschluss (§ 203 StGB, § 50 BRAO)
  • beA-Kommunikationsdaten – 10 Jahre nach Verfahrensabschluss (§ 50 BRAO, § 257 HGB)
  • Anonymisierte Chat-Logs und Navigationsdaten – unbegrenzt; kein Personenbezug, kein DSGVO-Löschanspruch

Löschanträge richten Sie bitte per E-Mail an datenschutz@felex.ai mit dem Betreff „Datenlöschung – [Ihre E-Mail-Adresse]".

14. Informationspflicht bei Dritterhebung (Art. 14 DSGVO)

Mandantendaten werden in FELEX.AI nicht direkt durch die betroffenen Personen, sondern durch Kanzleimitarbeiter eingegeben. Die nutzende Kanzlei ist verpflichtet, ihre Mandanten bei Beginn des Mandatsverhältnisses über die Datenverarbeitung in FELEX.AI zu informieren.

15. Verarbeitung von Beschäftigtendaten (§ 26 BDSG)

Kanzleimitarbeiter, die FELEX.AI nutzen, sind Beschäftigte im Sinne des § 26 Abs. 8 BDSG. Ihre Nutzungskonten, Zugriffsprotokolle und Aktivitätsdaten werden auf Grundlage von § 26 Abs. 1 BDSG und Art. 88 DSGVO verarbeitet.

16. Automatisierte Entscheidungen und SCHUFA-Korrektur (Art. 22 DSGVO)

FELEX.AI bietet einen SCHUFA-Korrektur-Service auf Basis von BGH-Rechtsprechung und DSGVO-Betroffenenrechten an. Der Service wird ausschließlich auf Basis Ihrer ausdrücklichen Einwilligung aktiviert. Alle Korrekturmaßnahmen werden vor Einreichung durch einen Rechtsanwalt der Cyfire Rechtsanwaltsgesellschaft mbH geprüft und freigegeben.

17. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO folgende Rechte gegenüber uns:

  • Auskunft (Art. 15 DSGVO) – Recht auf Auskunft über die Sie betreffenden gespeicherten Daten
  • Berichtigung (Art. 16 DSGVO) – Recht auf Berichtigung unrichtiger oder unvollständiger Daten
  • Löschung (Art. 17 DSGVO) – Recht auf Löschung, soweit keine Aufbewahrungspflichten entgegenstehen
  • Einschränkung (Art. 18 DSGVO) – Recht auf Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20 DSGVO) – Herausgabe Ihrer Daten in maschinenlesbarem Format
  • Widerspruch (Art. 21 DSGVO) – Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
  • Widerruf (Art. 7 Abs. 3 DSGVO) – Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft
  • Automatisierte Entscheidungen (Art. 22 DSGVO) – Recht auf menschliche Überprüfung und Erläuterung
  • Beschwerde (Art. 77 DSGVO) – Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde

Zuständige Aufsichtsbehörde: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Gustav-Stresemann-Ring 1, 65189 Wiesbaden, datenschutz.hessen.de

18. Cookies und Tracking

FELEX.AI setzt technisch notwendige Cookies ein, um die Funktionsfähigkeit der Plattform sicherzustellen (z. B. Session-Token, CSRF-Schutz). Diese Cookies sind zur Nutzung des Dienstes erforderlich und werden ohne Einwilligung gesetzt (Art. 6 Abs. 1 lit. b DSGVO).

Das anonyme Navigations-Tracking setzt keine Cookies und erfordert daher weder Einwilligung noch Cookie-Hinweis. Google-Nutzerdaten werden zu keinem Zeitpunkt für Werbe- oder Retargeting-Zwecke verwendet.

19. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Die Cyfire Rechtsanwaltsgesellschaft mbH führt ein internes Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. Das Verzeichnis wird durch den Datenschutzbeauftragten (RA Mirco Lehr) gepflegt.

20. Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Für folgende Verarbeitungstätigkeiten wurde geprüft, ob eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist:

  • KI-gestützte Dokumentenverarbeitung (Logicc) – DSFA wurde durchgeführt; Risiken durch VV, AVV, Inlandsverarbeitung und § 203 StGB-konforme Einbindung mitigiert
  • SCHUFA-Korrektur-Service – DSFA wurde durchgeführt; Risiken durch Einwilligungserfordernis und obligatorische anwaltliche Freigabe mitigiert
  • Automatisches Nächste-Schritt-System – vollständig anonymisierte Verarbeitung; DSFA-Pflicht entfällt gemäß Erwägungsgrund 26 DSGVO
  • beA-Integration – DSFA wurde durchgeführt; Risiken durch Ende-zu-Ende-Verschlüsselung gemäß BRAK-Standard und AVV mit beA.expert mitigiert

21. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Rechtslage, der Plattformfunktionen oder behördlicher Anforderungen anzupassen. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

22. Kontakt

Für alle Datenschutzfragen, Auskunftsersuchen oder Löschanträge wenden Sie sich bitte an:

RA Mirco Lehr – Datenschutzbeauftragter
Cyfire Rechtsanwaltsgesellschaft mbH
Thurn und Taxis Platz 6, 60313 Frankfurt am Main
E-Mail: datenschutz@felex.ai

Betreff: „Datenschutz FELEX.AI – [Ihr Anliegen]"
Eingangsbestätigung innerhalb von 48 Stunden · Vollständige Antwort innerhalb von einem Monat.