Vertrauen ist
das Produkt

Wo mit Mandantengeheimnissen gearbeitet wird, muss alles nachvollziehbar sein. Hier steht, wo Clara läuft, wer beteiligt ist und wie wir §203 StGB und DSGVO erfüllen.

DSGVO & AV-Vertrag

Art. 28 DSGVO, unterzeichnet pro Kanzlei

EU-Server

Google Cloud · europe-west3 · Frankfurt

§203 StGB-konform

Berufsgeheimnis vertraglich geregelt

Zero Data Retention

Keine Daten ins KI-Training

Dokumente

Der AV-Vertrag im Original

Der vollständige Auftragsverarbeitungsvertrag nach Art. 28 DSGVO inklusive TOMs und Subprozessoren-Liste. Wird pro Kanzlei beim Onboarding unterzeichnet.

AV-Vertrag öffnen (PDF) →

Kontakt

Fragen zu Datenschutz oder Compliance?

Wir antworten persönlich. Für formale Anfragen, Audit-Wünsche oder Fragen zu Subprozessoren:

elias.bienek@intoconvo.com

Datenschutz

DSGVO, §203 StGB und Betroffenenrechte

Die Verarbeitung erfolgt ausschließlich im Auftrag und nach Weisung der Kanzlei, auf Grundlage eines AV-Vertrags nach Art. 28 DSGVO. Ein eigener Paragraph regelt die §203-StGB-konforme Behandlung von Berufsgeheimnisdaten: Mitarbeiter und Subprozessoren sind vertraglich verpflichtet, Betroffenenrechte werden über die Kanzlei als Verantwortliche bearbeitet.

Art. 28 DSGVO Auftragsverarbeitung
§203 StGB-konforme Prozesse
48-Stunden-Meldefrist bei Datenschutzverletzungen
Löschung oder Rückgabe nach Vertragsende

Infrastruktur

EU-Hosting mit zertifizierten Providern

Clara läuft auf Google Cloud Platform in der Region europe-west3 (Frankfurt), kein eigenes Rechenzentrum. Infrastruktur-Provider sind ISO-27001- und SOC-2-zertifiziert. Logische Mandantentrennung via Tenant-ID, Endgeräte sind festplattenverschlüsselt.

Verschlüsselung: AES-256 at rest, TLS 1.2+ in transit
SSO via Microsoft Entra ID, 2FA-Zwang für Admins
Redundante Availability Zones + Point-in-Time-Backups
DDoS-Schutz via Google Cloud Armor

Datenverarbeitung

Was rein- und was rausgeht

Clara verarbeitet nur, was zur Erfüllung der beauftragten Leistung erforderlich ist. Nichts fließt ins Modelltraining, nichts verlässt die EU-Infrastruktur für Kernprozesse.

Input
E-Mails (Betreff, Body, Header) und Dokumente (PDF, Word, Excel)
Output
Antwort-Entwürfe, Zusammenfassungen, Analyseergebnisse
Stammdaten
Namen, E-Mail-Adressen, Microsoft-Tenant-IDs, technische Logfiles

AI-Transparenz

Welche Modelle, welche Zusagen

Clara nutzt mehrere spezialisierte LLMs, alle EU-gehostet, alle mit Zero-Data-Retention-Zusage. Kein automatischer E-Mail-Versand: Clara entwirft, der Steuerberater entscheidet.

Google Vertex AI: Claude Sonnet 4.6, Gemini, Claude Haiku
Mistral Small 3 (EU · Frankreich) für Vorverarbeitung
Zero Data Retention vertraglich zugesichert
Human-in-the-Loop: kein automatischer Versand

Vollständige Liste der Subprozessoren ↓

Subprozessoren & Dienste

Wer auf welche Daten Zugriff hat

Wir unterscheiden klar zwischen Unterauftragsverarbeitern nach Art. 28 DSGVO und weiteren Diensten, bei denen keine personenbezogenen Nutzerdaten in unserem Auftrag verarbeitet werden.

Stand: 30. April 2026. Änderungen werden mindestens 30 Tage im Voraus angekündigt.

Sektion 01

Unterauftragsverarbeiter (Art. 28 DSGVO)

Folgende Unternehmen verarbeiten personenbezogene Daten im Auftrag der Intoconvo GmbH gemäß Art. 28 DSGVO.

Google Cloud EMEA Ltd.
Bereitstellung von LLMs über Google Cloud (Vertex AI: Claude Sonnet 4.6, Claude Haiku 4.5, Gemini Embeddings), Cloud-Infrastruktur und Hosting
EU · europe-west · Belgien · Frankfurt
Cloudflare, Inc.
Sicherheit & CDN (DDoS-Schutz, Web Application Firewall)
Global · Edge Network
Drittlandtransfer · SCC + zusätzliche Schutzmaßnahmen
PostHog, Inc.
Produktanalyse & Fehler-Tracking
EU · Frankfurt am Main
Vertragspartner USA · SCC abgeschlossen
Mistral AI SAS
KI-Modelle / LLM (Body-Vorverarbeitung & Anonymisierung mit Mistral Small 3 via Mistral API)
EU · Frankreich
Amazon Web Services EMEA SARL
KI-Modelle / LLM (Bereitstellung der Claude-Modelle via Amazon Bedrock) sowie Versand von System- und Verifikationsmails und eingehender inbox@-Kanal via Amazon SES
EU · eu-central-1 · Frankfurt

Sektion 02

Weitere eingesetzte Dienste & Technologien

Folgende Dienste werden im Rahmen von Clara eingesetzt, verarbeiten jedoch keine personenbezogenen Daten unserer Nutzer im Sinne des Art. 28 DSGVO.

TaxGraph
Recherche-API für deutsches Steuerrecht. Es werden ausschließlich generische Rechercheanfragen übermittelt; keine Mandanten- oder E-Mail-Daten.
Klardaten GmbH (DATEVconnect Gateway)
Technischer Connector zu DATEV. Daten werden nicht bei Klardaten gespeichert oder verarbeitet, sondern lediglich durchgereicht.

Häufige Fragen

Noch Fragen zur Compliance?

Werden Mandantendaten zum KI-Training verwendet?

Wo werden die Daten verarbeitet?

Wie ist das Mandantengeheimnis nach §203 StGB geregelt?

Gibt es Daten-Transfers in die USA?

Wie schnell werden Sicherheitsvorfälle gemeldet?

Ist der AV-Vertrag unterzeichenbar?

Mehr Zeit für das Wesentliche

Vereinbare einen Termin und sieh, wie Clara täglich Zeit spart.

Demo vereinbaren →

Vertrauen istdas Produkt