Datenschutzerklärung

Stand: 13. Mai 2026 · Version 1.0

1. Verantwortlicher

PRINCEBERG FlexCo, FN 672072 t, eingetragen beim Landesgericht Wien, Geschäftsanschrift in Wien, Österreich. E-Mail: datenschutz@princeberg.ai.

2. Datenkategorien

  • Account-Daten: Name, E-Mail, Hash des Passworts, optional Microsoft-Entra-ID-Profilfelder.
  • Inhaltliche Daten: Mandanten-Akten, hochgeladene Dokumente, Chat-Konversationen, generierte Schriftsätze. Verschlüsselt at-rest (AES-256-GCM für sensible Felder, transparent für Standardfelder).
  • Nutzungsdaten: Audit-Log-Einträge (User, Aktion, Zeitstempel, IP-Adresse) zur Compliance-Nachweisführung. 7 Jahre Aufbewahrung (steuerrechtlich), danach Archivierung in verschlüsseltem Blob-Storage.
  • Abrechnungs-Daten: Stripe verarbeitet Zahlungsmittel; wir speichern nur Customer-IDs + Status.

3. Rechtsgrundlage

Verarbeitung erfolgt auf Grundlage des Auftragsverarbeitungsverhältnisses mit der Kanzlei (Art 6 Abs 1 lit b DSGVO) sowie zur Erfüllung gesetzlicher Verpflichtungen (Art 6 Abs 1 lit c DSGVO).

4. Sub-Auftragsverarbeiter

  • Microsoft Azure West Europe (Hosting, EU-Datenresidenz)
  • Voyage AI (Embedding-Service, EU-Endpoints)
  • Azure OpenAI (LLM-Service, EU-Region Sweden)
  • Anthropic via Azure AI Foundry (LLM, EU-Datenresidenz)
  • Stripe (Payment-Processor, Ireland)
  • Resend (Transaktionsmails, EU-Endpoints)
  • Skribble (eIDAS-QES, Schweiz)

Alle Sub-AVs unterliegen ADV-Verträgen nach Art 28 DSGVO. Vollständige Liste: Sub-Processors.

5. Ihre Rechte (Art 15-22 DSGVO)

  • Auskunft über gespeicherte Daten
  • Berichtigung unrichtiger Daten
  • Löschung („Recht auf Vergessenwerden", 30-Tage-Grace)
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Export als JSON unter /account/data-privacy)
  • Widerspruch gegen Verarbeitung

6. Datentransfer in Drittländer

Standard-Verarbeitung ausschließlich in EU/EWR. Bei Drittland-Transfers (z. B. Skribble in der Schweiz) basiert die Grundlage auf Angemessenheitsbeschlüssen oder Standardvertragsklauseln (SCC).

7. Cookies + Tracking

Wir verwenden ausschließlich technisch notwendige Cookies (Session, CSRF-Token). Kein Tracking durch Drittanbieter im Standardbetrieb.

8. Beschwerderecht

Bei Datenschutzbeschwerden wenden Sie sich bitte zuerst an uns. Sie haben zudem das Recht, sich an die österreichische Datenschutzbehörde zu wenden (dsb.gv.at).

9. Änderungen

Diese Erklärung kann angepasst werden. Wesentliche Änderungen kommunizieren wir per E-Mail und mit 30 Tagen Vorlauf.