DSGVO-Compliance bei Seven Layers – Überblick
Die sechs DSGVO-Säulen, abgebildet auf unsere Dokumente, Prozesse und Subunternehmer
Dies ist die Standardvorlage von Seven Layers. Wir empfehlen, sie vor Unterzeichnung durch Ihren Datenschutzbeauftragten und/oder Ihre Rechtsberatung prüfen zu lassen; kundenspezifische Anpassungen sind gerne möglich. Wir veröffentlichen sie hier transparent, damit Ihre Evaluation keinen formularbasierten Zugriffsantrag voraussetzt.
Was dieses Dokument ist
Kanzleien, die Clara evaluieren, stellen zuerst eine einzige Frage: „Wie sieht Eure DSGVO-Aufstellung aus?“ Diese Seite ist die Antwort in einem Bildschirm. Jede Säule verweist auf das konkrete Dokument oder den Abschnitt im Trust Center, der den Nachweis liefert.
Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO bleibt die Kanzlei; Seven Layers ist Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO. Diese Rollenteilung ist die Grundlage aller weiter unten genannten Dokumente.
Die sechs DSGVO-Säulen
| Säule | Umsetzung bei Seven Layers | Dokument |
|---|---|---|
| Rechtsgrundlage Art. 6 DSGVO | Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. b DSGVO (Vertrag zwischen Kanzlei und Mandantin/Mandant) sowie auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse der Kanzlei an ordnungsgemäßer Mandatsbearbeitung). | FAQ im Trust Center |
| Auftragsverarbeitung Art. 28 DSGVO | Schriftlicher AVV mit dokumentierten Weisungsrechten, Unterrichts- und Unterstützungspflichten, Audit-Rechten und klar geregelter Löschungs-/Rückgabepflicht nach Vertragsende. | AVV-Vorlage |
| Verzeichnis Art. 30 DSGVO | Verzeichnis der Verarbeitungstätigkeiten wird geführt und regelmäßig überprüft. Zusammenfassung für Kanzlei-DSB auf Anfrage verfügbar. | Art. 30 – Zusammenfassung (auf Anfrage) |
| TOMs Art. 32 DSGVO | Verschlüsselung bei Speicherung und Übertragung, Zugriffskontrolle nach Need-to-know, revisionssichere Protokollierung privilegierter Zugriffe, TÜV-auditiertes Tier-1-Rechenzentrum in Deutschland, vertraglich erzwungene Zero-Data-Retention entlang der Inferenz-Kette. | TOMs (auf Anfrage) |
| Meldepflichten Art. 33/34 DSGVO | Unverzügliche Meldung einer Datenpanne an die Kanzlei, spätestens innerhalb von 24 Stunden, damit die Kanzlei ihre 72-Stunden-Frist gegenüber der Aufsichtsbehörde einhalten kann. Incident-Response- Prozess ist dokumentiert. | Business Continuity & Incident Response (auf Anfrage) |
| Drittlandtransfer Art. 44 ff. DSGVO | Keine Übermittlung außerhalb EU/EWR. Alle Subunternehmer laufen auf EU-Endpoints mit vertraglich erzwungener Zero-Data-Retention, deaktivierter Datensammlung und keinem Nicht-EU-Fallback. Bei zukünftigen Änderungen: SCCs + TIA Pflicht, kommuniziert über die Sub-Processor-Policy. | Subunternehmer-Übersicht · Änderungs-Policy |
Zusätzlich relevant
- Art. 9 DSGVO: Anruferdaten können besondere Kategorien personenbezogener Daten enthalten (Gesundheit, Strafverfolgung). Entsprechende erhöhte Schutzpflichten sind in TOMs und AVV berücksichtigt.
- Art. 82 DSGVO: Gesamtschuldnerische Haftung gegenüber Betroffenen. Seven Layers unterhält eine Vermögensschaden-Haftpflicht mit Zielsumme 1.000.000 EUR je Schadenfall (Abschluss in Bindung, Zielstart Q2 2026).
- § 203 StGB & § 43e BRAO: Strafrechtliche Schweigepflicht und Outsourcing-Erlaubnisnorm. Gesondert abgebildet in der § 203 Abs. 4 StGB-Vertraulichkeitsvereinbarung.
- EU-KI-Verordnung Art. 50: Transparenzpflicht — Clara offenbart zu Gesprächsbeginn, dass der Anrufer mit einer KI spricht. Siehe Art. 50 Transparenz-Erklärung.
Betroffenenrechte
Rechte nach Art. 15 bis 22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) werden primär durch die Kanzlei als Verantwortliche wahrgenommen. Seven Layers unterstützt die Kanzlei vertraglich bei der Beantwortung solcher Anfragen (AVV Ziffer 5).
Kontakt
Datenschutz-Anfragen oder formale Dokumentanforderungen richten Sie bitte an security@sevenlayers.io.