Datenschutzerklärung

Willkommen zu unserer Datenschutzerklärung.

Diese Datenschutzerklärung erläutert, in welcher Weise im Rahmen des Betriebs der Website „doctrine.eu“ (nachfolgend: „Website“) personenbezogene Daten erhoben, verwendet, offengelegt, gespeichert und übermittelt werden. Zudem wird dargestellt, welche Rechte den betroffenen Personen in Bezug auf diese Datenverarbeitungen zustehen.

Im Rahmen dieser Datenschutzerklärung ist festzuhalten, dass sich der Begriff „Doctrine“ auf die Forseti SAS bezieht, welche für sämtliche in dieser Datenschutzerklärung beschriebenen Verarbeitungsvorgänge verantwortlich ist, mit Ausnahme derjenigen Funktionen, die das Hochladen von Dokumenten umfassen. Die Forseti SAS ist im Handels- und Gesellschaftsregister von Paris unter der Nummer 820 867 877 eingetragen und hat ihren Sitz in 190, rue Championnet, 75018 Paris (Frankreich).

Der datenschutzrechtliche Ansprechpartner der Organisation, an den sich betroffene Personen zur Ausübung ihrer Rechte gemäß der Datenschutz-Grundverordnung (DSGVO) oder bei sonstigen datenschutzrechtlichen Anfragen wenden können, ist Herr Hugo Ruggieri. Die Kontaktaufnahme erfolgt über die hierfür vorgesehene E-Mail-Adresse: dpo@doctrine.fr.

Der Begriff „betroffene Person“ sowie sämtliche davon abgeleiteten Formen beziehen sich in dieser Datenschutzerklärung auf die jeweilige natürliche Person, deren personenbezogene Daten Gegenstand der Verarbeitung sind.

Um den Anforderungen an Transparenz und Nachvollziehbarkeit gerecht zu werden, orientiert sich der Aufbau dieser Datenschutzerklärung an den für betroffene Personen regelmäßig relevanten Problem- und Fragestellungen. Die nachfolgenden Abschnitte orientieren sich an diesen Fragestellungen, ohne sie notwendigerweise in Frageform wiederzugeben, insbesondere:

1. Welche Informationen erhebt Doctrine, wie werden diese verwendet und aus welchen Gründen?

2. Erfolgt eine Weitergabe von Informationen an Dritte oder in Staaten außerhalb der Europäischen Union?

3. Wie lautet die Cookie-Richtlinie von Doctrine?

4. Welche Rechte stehen betroffenen Personen in Bezug auf ihre Daten zu?

5. In welcher Weise kann eine Gerichtsentscheidung pseudonymisiert („anonymisiert“) werden?

6. Werden neben Namen und Vornamen auch weitere personenbezogene Daten anonymisiert

7. Sind die von Doctrine verarbeiteten Daten hinreichend geschützt?

8. Auf welche Weise können betroffene Personen ihre Rechte in Bezug auf ihre Daten ausüben?

9. Seit wann ist diese Datenschutzerklärung in Kraft?

1. Verarbeitung personenbezogener Daten – Art und Zweck

Zur Klarstellung ist zwischen den unterschiedlichen Verarbeitungskontexten und Verwendungszwecken zu differenzieren:

1.1. Als Verantwortlicher für die Datenverarbeitung

(a) Verarbeitung personenbezogener Daten von Besuchern der Website,

(b) Verarbeitung personenbezogener Daten von Interessenten, Mandanten sowie Inhabern eines Doctrine-Benutzerkontos,

(d) Verarbeitung personenbezogener Daten, die in sonstigen auf der Plattform Doctrine veröffentlichten Inhalten enthalten sind.

1.2. Als Auftragsverarbeiter

1.1. Als Verantwortlicher

1.1.1. Verarbeitung personenbezogener Daten von Besuchern der Website

Beim Aufruf der Website werden Doctrine durch den jeweils eingesetzten Internetbrowser der betroffenen Person automatisch bestimmte, im Folgenden näher bezeichnete technische Zugriffsdaten übermittelt, welche einer automatisierten Verarbeitung unterliegen:

(a) das auf dem Endgerät der betroffenen Person installierte Betriebssystem (z. B. Windows, macOS, Android, iOS),

(b) den verwendeten Internetbrowser einschließlich der Spracheinstellung,

(d) Datum und Uhrzeit des Zugriffs,

(e) technische Merkmale des verwendeten Endgeräts (z. B. Desktop-Computer, Smartphone),

(f) gegebenenfalls die Internetseite, von der aus der Zugriff auf die Website „doctrine.eu“ erfolgt ist.

Die automatisierte Erhebung dieser Informationen erfolgt durch den von Doctrine beauftragten Hosting-Dienstleister Amazon Web Service (AWS), mit Sitz in Frankfurt am Main. Die Speicherung erfolgt für die dort vorgesehene Dauer gemäß den in den Datenschutz- und Nutzungsbedingungen von Amazon Web Services festgelegten Bestimmungen, abrufbar unter https://aws.amazon.com/fr/privacy/. Die Verarbeitung dieser Informationen ist erforderlich, um den technischen Betrieb der Website sowie die Inanspruchnahme der von Doctrine bereitgestellten Dienste gemäß den Nutzungsbedingungen(doctrine.eu/cgu) sicherzustellen.

Darüber hinaus verarbeitet Doctrine alle personenbezogenen Daten, die von betroffenen Personen über die auf der Website bereitgestellten elektronischen Formulare übermittelt werden (insbesondere Kontaktformular, Anfrage einer Produktdemonstration, Vereinbarung eines Termins oder Anmeldung zu einem Webinar). Die Verarbeitung dieser Daten erfolgt zum Zweck der Entgegennahme, Prüfung und Beantwortung der jeweiligen Anfrage.

Die im Rahmen dieser Kommunikation erhobenen personenbezogenen Daten werden für die Dauer des bestehenden Nachrichtenverlaufs gespeichert und aufbewahrt, bis die betroffene Person von ihrem Recht auf Löschung Gebrauch macht oder, sofern dies nicht erfolgt, längstens für einen Zeitraum von drei Jahren. In sämtlichen Formularen sind die angeforderten Angaben als verpflichtend gekennzeichnet. Die Erhebung der Information zur Unternehmensgröße ist erforderlich, da diese Doctrine die Zuordnung der jeweiligen Anfrage an das zuständige Vertriebsteam ermöglicht und somit eine sachgerechte Bearbeitung gewährleistet.

1.1.2. Verarbeitung personenbezogener Daten von Interessenten, Kunden und Kontoinhabern

1.1.2.a. Verarbeitung personenbezogener Daten von Interessenten

Wir verarbeiten Ihre personenbezogenen Daten (Name, Vorname, E-Mail-Adresse, Telefonnummer) zu Werbe- und Marketingzwecken.

Die Erhebung und Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer freiwillig erteilten Einwilligung oder – im Falle der Zusendung elektronischer Direktwerbung – auf Grundlage der gesetzlichen Erlaubnis des § 7 Abs. 3 UWG. Darüber hinaus kann Direktwerbung auch telefonisch erfolgen. Rechtsgrundlage hierfür ist unser berechtigtes Interesse an der Absatzförderung im Sinne von Erwägungsgrund 47 DSGVO sowie die gesetzlich vermutete Einwilligung gemäß § 7 Abs. 1 UWG.

Eine einmal erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft kostenfrei widerrufen werden. Der Widerruf kann per E-Mail an dpo@doctrine.fr erfolgen; bei automatisierten elektronischen Marketingmitteilungen steht zudem ein entsprechender Abmeldelink zur Verfügung.

Die betreffenden personenbezogenen Daten werden entweder unmittelbar bei der betroffenen Person erhoben, durch spezialisierte, in der Rubrik „Datenübermittlungen“ dieser Datenschutzerklärung genannte Dienstleister übermittelt oder aus allgemein zugänglichen Quellen bezogen, insbesondere aus amtlichen Rechtsanwaltsverzeichnissen, Unternehmensregistern oder der eigenen Internetpräsenz der betroffenen Person. Doctrine führt darüber hinaus eine Dokumentation der Kommunikationshistorie, die Datum und Art der jeweils letzten Interaktion umfasst. Bei Rechtsanwältinnen und Rechtsanwälten kann Doctrine ergänzend Informationen zur Kanzleistruktur sowie zum Datum der Vereidigung aus öffentlich zugänglichen Anwaltsverzeichnissen oder von der Website der jeweiligen Kanzlei erheben und speichern.

Die Inanspruchnahme der Funktion „Demo anfordern“ setzt die Erhebung der von der betroffenen Person angegebenen personenbezogenen Daten sowie deren Speicherung zum Zweck der Terminorganisation voraus.

Sofern die betroffene Person der Speicherung eines Google Click ID-Cookies (gclid) oder eines Facebook Click ID-Cookies (fbclid) gemäß der Cookie-Richtlinie von Doctrine zugestimmt hat, verarbeitet Doctrine die hierbei erhobenen personenbezogenen Daten (insbesondere die eindeutige Identifikationsnummer sowie den Conversion-Verlauf), um Marketingkampagnen präzise nachzuverfolgen, den Conversion-Pfad der Website-Besucher nachzuvollziehen und zielgerichtete Werbung auszuspielen.

Erstellt eine betroffene Person ein Benutzerkonto auf der Website, nachdem sie auf eine Werbeanzeige eines Drittanbieters reagiert und infolgedessen die Website aufgerufen hat, werden die entsprechenden Informationen in das Vertriebsverwaltungssystem (Salesforce) von Doctrine importiert. Das Entfernen des betreffenden Cookies führt nicht zur Löschung der bereits erhobenen Daten.

Die so verarbeiteten Informationen werden für einen Zeitraum von drei Jahren ab dem Zeitpunkt des letzten Kontakts der betroffenen Person mit dem Vertriebsteam von Doctrine (insbesondere letzter Telefonkontakt, letztes Meeting oder letzter Klick der betroffenen Person auf eine E-Mail oder SMS) gespeichert – unabhängig davon, ob der jeweilige Drittanbieter-Cookie zwischenzeitlich entfernt oder blockiert wurde.

Zu diesem Zweck nutzt Doctrine die Dienste von LinkedIn und Facebook, um nach einem Besuch der Website gezielte Werbeanzeigen innerhalb dieser sozialen Netzwerke zu schalten. Auch diese Werbung erfolgt unter Verwendung von Cookies, deren Setzung die betroffene Person jederzeit ablehnen oder widerrufen kann, indem sie den entsprechenden Opt-out-Link aufruft: https://www.doctrine.eu/cookies

1.1.2.b. Verwendung personenbezogener Daten von Kunden und Kundenunternehmen

Erfolgt eine Einladung zur Einrichtung eines Benutzerkontos durch Doctrine oder durch eine Kundenorganisation, werden die von der betroffenen Person angegebenen Telefonnummern erhoben und verarbeitet. Die Verarbeitung dieser Daten dient der Gewährleistung einer ordnungsgemäßen Betreuung der Geschäftsbeziehung sowie der Organisation und Durchführung von Schulungen. Die Speicherung der Telefonnummern erfolgt bis zur Löschung des Benutzerkontos durch die betroffene Person über die hierfür vorgesehene Funktion im Bereich „Einstellungen“. Die Verarbeitung der Telefonnummern beruht auf dem berechtigten Interesse von Doctrine und der betroffenen Person, eine verlässliche Erreichbarkeit sicherzustellen, um eine sachgerechte Einführung in die Funktionen der angebotenen Produkte zu ermöglichen und die ordnungsgemäße Erfüllung der in den Allgemeinen Geschäftsbedingungen von Doctrine (https://www.doctrine.eu/cgv) geregelten vertraglichen Pflichten zu gewährleisten.

Soweit dies vertraglich mit einem Kundenunternehmen vereinbart ist, stellt Doctrine diesem Unternehmen Nutzungsstatistiken über die Verwendung der Plattform „Doctrine“ zur Verfügung. Diese Statistiken können personenbezogene Daten wie Name, Vorname, E-Mail-Adresse und Angaben zu den Aktivitäten der betroffenen Person auf der Website enthalten. Die Verarbeitung dieser Daten erfolgt als Weiterverarbeitung der im Rahmen der Nutzung der Plattform erhobenen Informationen. Rechtsgrundlage ist das berechtigte Interesse von Doctrine und des jeweiligen Kundenunternehmens an der ordnungsgemäßen Durchführung des Vertragsverhältnisses, soweit der Vertrag eine solche Datenübermittlung vorsieht.

Beim Abschluss eines Abonnements verarbeitet Doctrine zudem die für das gewählte Zahlungsmittel erforderlichen Zahlungsdaten. Diese Daten werden an einen sicheren Zahlungsdienstleister weitergegeben. Die Auswahl des Dienstleisters richtet sich nach der jeweils gewählten Zahlungsmethode (siehe Ziffer 2). Die Verarbeitung dieser Zahlungsdaten ist erforderlich, um die vertraglichen Pflichten aus den Allgemeinen Geschäftsbedingungen von Doctrine (https://www.doctrine.eu/cgv) zu erfüllen.

Im Falle eines Zahlungsverzugs ist Doctrine berechtigt, die im Rahmen der Registrierung für das Abonnement erhobenen personenbezogenen Daten (insbesondere Name, Vorname, Berufsbezeichnung, E-Mail-Adresse sowie Rechnungsanschrift) zum Zwecke der Identifizierung der betroffenen Vertragspartner, der Durchführung von Mahn- und Inkassoverfahren sowie des internen Forderungsmanagements zu verarbeiten.

Die Verarbeitung erfolgt ausschließlich zur Geltendmachung und Durchsetzung vertraglicher Zahlungsansprüche sowie zur Verwaltung von Forderungsausfällen. Rechtsgrundlage hierfür ist die Erforderlichkeit der Datenverarbeitung zur Erfüllung des Vertrags gemäß den Allgemeinen Geschäftsbedingungen: (doctrine.eu/cgv). Die Speicherung der personenbezogenen Daten erfolgt bis zur vollständigen Begleichung der offenen Forderung; spätestens fünf Jahre nach Eintritt des Zahlungsverzugs werden sie gelöscht.

1.1.3. Verarbeitung von Daten aus gerichtlichen Entscheidungen

1.1.3.a. Zweck und Rechtsgrundlage der Verarbeitung

Doctrine verarbeitet und veröffentlicht Entscheidungen deutscher Gerichte mit dem Ziel, den Zugang zu rechtlichen Informationen zu gewährleisten und die Transparenz der Rechtsprechung zu fördern. Im Rahmen dieser Veröffentlichungen kann es zur Verarbeitung personenbezogener Daten kommen, sofern diese in den gerichtlichen Entscheidungen enthalten sind. Die Verarbeitung erfolgt auf Grundlage des berechtigten Interesses von Doctrine an der Bereitstellung und Zugänglichmachung juristischer Informationen gemäß Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit dem überwiegenden Informationsinteresse der Öffentlichkeit an der Veröffentlichung gerichtlicher Entscheidungen.

1.1.3.b. Kategorien der verarbeiteten Daten, Herkunft der Daten und Speicherdauer

Die veröffentlichten Gerichtsentscheidungen können personenbezogene Daten der an den jeweiligen Verfahren beteiligten natürlichen Personen enthalten. Die Gerichtsentscheidungen werden aus den im Impressum von Doctrine (https://www.doctrine.eu/impressum) genannten Quellen bezogen. Hierzu zählen insbesondere:

die offiziellen Internetseiten der Gerichte,
Websites staatlicher Stellen und öffentlicher Einrichtungen,
Inhalte aus Abonnements, Lizenzvereinbarungen und Kooperationspartnerschaften, insbesondere mit dem Partner dejure.org,
sowie durch Nutzer eingereichte Beiträge.

Die in Gerichtsentscheidungen deutscher Gerichte enthaltenen Vor- und Nachnamen natürlicher Personen – insbesondere von Parteien und Zeugen – werden pseudonymisiert. Die Pseudonymisierung erfolgt entweder durch die zuständigen Gerichte vor der Übermittlung an Doctrine oder, soweit erforderlich, durch Doctrine selbst.

Betroffene Personen, die feststellen, dass ihr Name in einer veröffentlichten Entscheidung enthalten ist, können die Anonymisierung beantragen. Hierzu steht das unter folgendem Link abrufbare Formular zur Verfügung:https://doctrine.typeform.com/to/PAW9cqyy

Für die von Doctrine selbst vorgenommenen Pseudonymisierungen werden die nachfolgenden technischen und organisatorischen Maßnahmen umgesetzt:

Die Pseudonymisierung erfolgt durch Ersetzung der in den gerichtlichen Entscheidungen enthaltenen Namen natürlicher Personen mittels zufällig generierter Buchstabenkombinationen. Eine Verwendung von Initialen wird ausdrücklich ausgeschlossen, um die Wirksamkeit der Pseudonymisierung sicherzustellen. Die anstelle der tatsächlichen Namen eingefügten Buchstabensequenzen stehen in keinerlei Bezug zu den Initialen oder sonstigen identifizierenden Merkmalen der betroffenen Personen.
Der von Doctrine eingesetzte Pseudonymisierungsalgorithmus ist so konfiguriert, dass im Zweifelsfall eine überschießende Pseudonymisierung erfolgt. Dies kann dazu führen, dass in Einzelfällen auch Namen von Justizangehörigen oder Bezeichnungen juristischer Personen pseudonymisiert werden. Sofern Nutzerinnen oder Nutzer eine derartige Entscheidung feststellen, können sie den betreffenden Link an Doctrine übermitteln, um eine manuelle Überprüfung und gegebenenfalls Korrektur der Pseudonymisierung veranlassen zu lassen.

Entscheidungen des Europäischen Gerichtshofs für Menschenrechte werden gemäß den Artikeln 33 und 47 der Verfahrensordnung des Gerichts teilweise nicht pseudonymisiert. Entsprechendes gilt für Entscheidungen des Gerichtshofs der Europäischen Union. Es entspricht der internen Datenverarbeitungspraxis von Doctrine, die von den jeweiligen Gerichten veröffentlichten Entscheidungen inhaltlich unverändert zu übernehmen und keine redaktionellen Anpassungen vorzunehmen.

Für diese Verarbeitung wurde gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung durchgeführt. Im Rahmen dieser Bewertung, die unter anderem eine externe Überprüfung durch eine unabhängige Rechtsanwaltskanzlei umfasste, wurde festgestellt, dass zwar inhärente Risiken im Zusammenhang mit der Online-Bereitstellung gerichtlicher Entscheidungen bestehen, diese jedoch durch geeignete technische und organisatorische Maßnahmen (TOM) auf ein vertretbares Restrisiko reduziert werden können:

Die von Doctrine implementierten Schutzmechanismen gewährleisten, dass der weit überwiegende Teil der veröffentlichten Entscheidungen keine identifizierbaren personenbezogenen Daten enthält.
In den Ausnahmefällen, in denen personenbezogene Bezeichnungen dennoch fortbestehen, stellen die angewandten Maßnahmen sicher, dass eine Beeinträchtigung der Rechte und Freiheiten betroffener Personen mit hinreichender Wahrscheinlichkeit ausgeschlossen werden kann.

Weiterführende Informationen zu dieser Verarbeitung können unter folgendem Link abgerufen werden:

Sämtliche in den gerichtlichen Entscheidungen enthaltenen oder diesen zuordenbaren personenbezogenen Daten werden für den Zeitraum der öffentlichen Bereitstellung der jeweiligen Entscheidung auf der Website verarbeitet und gespeichert. Während dieses Zeitraums sind sie den internen Organisationseinheiten von Doctrine, den registrierten Nutzerinnen und Nutzern sowie der interessierten Öffentlichkeit zur Einsichtnahme zugänglich.

1.1.4. Verarbeitung personenbezogener Daten im Zusammenhang mit sonstigen auf Doctrine veröffentlichten Inhalten

Im Rahmen des Unternehmenszwecks von Doctrine, den Zugang zu juristischen Informationen sicherzustellen und deren Verfügbarkeit zu erweitern, verarbeitet Doctrine weitere Kategorien juristischer Inhalte, in denen personenbezogene Daten enthalten sein können.

Nutzerinnen und Nutzer haben die Möglichkeit, zur Erweiterung der verfügbaren Inhalte beizutragen. Zu diesem Zweck werden der Vor- und Nachname sowie die E-Mail-Adresse der beitragenden Person erhoben, um diese über die Veröffentlichung ihres Beitrags zu informieren und die Kommunikation im Hinblick auf etwaige Rückmeldungen zu ermöglichen.

Darüber hinaus erfasst Doctrine Kommentare und rechtswissenschaftliche Beiträge, die auf Drittplattformen oder -websites öffentlich zugänglich sind, in denen betroffene Personen als Autorinnen oder Autoren beziehungsweise als juristische Fachpersonen (insbesondere als Rechtsanwältinnen oder Rechtsanwälte) genannt werden können.

Doctrine verarbeitet ferner parlamentarische Dokumente – insbesondere Berichte, Sitzungsprotokolle und Folgenabschätzungen –, in denen natürliche Personen in ihrer amtlichen Eigenschaft als Mitglieder parlamentarischer Gremien, Abgeordnete oder Senatorinnen beziehungsweise Senatoren namentlich genannt sein können. Diese Dokumente können personenbezogene Daten enthalten.

Die Verarbeitung erfolgt auf Grundlage des berechtigten Interesses von Doctrine an der Wiederverwendung rechtmäßig zugänglicher amtlicher Informationen in Verbindung mit dem überwiegenden Informationsinteresse der Öffentlichkeit im Sinne der Informations- und Meinungsfreiheit.

Die in diesen Dokumenten enthaltenen personenbezogenen Daten werden für die Dauer der öffentlichen Bereitstellung der jeweiligen Dokumente auf der Website verarbeitet und gespeichert. Während dieses Zeitraums sind sie der interessierten Öffentlichkeit zur Einsichtnahme zugänglich.

1.2. Tätigkeit als Auftragsverarbeiter – Verarbeitung personenbezogener Daten

Nutzung von Funktionalitäten zur Verarbeitung und Speicherung nutzereigener Dokumente

Doctrine stellt Funktionalitäten bereit, die das Hochladen, die Speicherung und die automatisierte Verarbeitung nutzereigener Dokumente ermöglichen. Diese Verarbeitungsvorgänge dienen ausschließlich der Durchführung von Recherche-, Extraktions- und Analyseprozessen auf Grundlage der von den Nutzerinnen und Nutzern bereitgestellten Arbeitsunterlagen.

Die Funktion „Flow“ ermöglicht das Hochladen von Dokumenten – insbesondere von Beweisstücken im Zusammenhang mit gerichtlichen oder außergerichtlichen Verfahren – zum Zweck der strukturierten Erfassung, Verwaltung und Analyse elektronischer Akten. Die hochgeladenen Dokumente werden automatisiert nach den angegebenen Datumsangaben geordnet. Auf dieser Grundlage erfolgt die Erstellung einer zeitlichen Chronologie sowie einer zusammenfassenden inhaltlichen Aufbereitung der in den Dokumenten enthaltenen Sachverhalte.

Doctrine stellt die Funktionalität „Chatbot-Dokumente“ bereit, die es Nutzerinnen und Nutzern ermöglicht, auf Grundlage ihrer Arbeitsdokumente in natürlicher Sprache Anfragen zu formulieren und strukturierte, mit Quellenangaben versehene Antworten zu erhalten.

Die Extraktionsfunktion ermöglicht die Übermittlung einer größeren Anzahl von Dokumenten zum Zweck der automatisierten Informationsgewinnung. Dabei werden die den Benutzeranfragen entsprechenden Informationen extrahiert und anhand eines definierten Analyserasters in Form einer generierten Tabelle ausgewertet.

Im Rahmen der Nutzung dieser Funktionalitäten handeln die Nutzerinnen und Nutzer beziehungsweise die von ihnen vertretenen Organisationen als Verantwortliche im Sinne der DSGVO. Die Nutzung erfordert die Übermittlung und Verarbeitung von Dokumenten, die personenbezogene Daten enthalten können, deren Art und Umfang Doctrine im Vorfeld nicht bestimmen kann.

Zur Bereitstellung und Aufrechterhaltung der Dienste sowie zur Sicherstellung ihrer ununterbrochenen Funktionsfähigkeit verarbeitet Doctrine Nutzungsdaten, übermittelte Dateien, erstellte Akten sowie daraus resultierende Extraktionen und Analysen.

Rechtsgrundlage dieser Verarbeitung ist die Erforderlichkeit der Datenverarbeitung zur Erfüllung der vertraglichen Verpflichtungen gemäß Art. 6 Abs. 1 lit. b DSGVO in Verbindung mit den Allgemeinen Geschäftsbedingungen von Doctrine (doctrine.eu/cgv) sowie dem zwischen den Parteien bestehenden Auftragsverarbeitungsvertrag.

Die betreffenden Informationen werden für die Dauer der Nutzung der jeweiligen Funktionalität gespeichert und gelöscht, sobald die Nutzerin oder der Nutzer die übermittelten Dokumente, Akten oder Teile des eigenen Verlaufs innerhalb der Chatbot- beziehungsweise Extraktionsfunktion entfernt. Ungeachtet dessen erfolgt eine automatische Löschung sämtlicher übermittelter Dokumente und der damit verbundenen Nutzungsdaten spätestens zwei Wochen nach Ablauf oder Beendigung des Abonnements. Alle übrigen Nutzungsdaten werden entweder bei manueller Löschung des Kontos oder automatisch nach Ablauf von zwölf Monaten Inaktivität gelöscht.

Der Zugriff auf die im Rahmen dieser Verarbeitung gespeicherten Daten ist ausschließlich autorisierten Personen vorbehalten und erfolgt nur für den Zeitraum, der zur Vertragserfüllung und zur Sicherstellung der Dienstkontinuität zwingend erforderlich ist, wie in den Allgemeinen Geschäftsbedingungen (doctrine.eu/cgv) festgelegt.

2. Weitergabe personenbezogener Daten an Dritte und in Drittländer

Die Verarbeitung der in Abschnitt 1 genannten personenbezogenen Daten erfolgt ausschließlich zur Erfüllung der eigenen vertraglichen und betrieblichen Zwecke von Doctrine. Eine Offenlegung oder Weitergabe personenbezogener Daten zu kommerziellen Zwecken an Dritte findet nicht statt. Eine Weitergabe personenbezogener Daten erfolgt ausschließlich an die nachstehend aufgeführten Dienstleister, deren Einbindung für die Bereitstellung, Aufrechterhaltung und Sicherheit der von Doctrine angebotenen Dienste erforderlich ist. Mit diesen Dienstleistern bestehen vertragliche Vereinbarungen, die eine Verarbeitung personenbezogener Daten nur im Rahmen der jeweils beauftragten Leistungen und unter Einhaltung der geltenden Datenschutzbestimmungen zulassen.

Ein Teil dieser Dienstleister hat seinen Sitz oder verarbeitet personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR). In diesen Fällen stellt Doctrine sicher, dass für die Datenübermittlung geeignete Garantien bestehen. Dies erfolgt insbesondere durch den Abschluss der Standardvertragsklauseln der Europäischen Kommission in ihrer jeweils geltenden Fassung oder auf Grundlage eines Angemessenheitsbeschlusses.

Nach dem Urteil des Gerichtshofs der Europäischen Union vom 16. Juli 2020 überprüft Doctrine fortlaufend sämtliche Übermittlungsvorgänge personenbezogener Daten an Dienstleister mit Sitz in den Vereinigten Staaten von Amerika im Hinblick auf deren Vereinbarkeit mit den Anforderungen der Art. 44 ff. DSGVO.

Es ist festzuhalten, dass bestimmte Unternehmen, die im Rahmen des EU-US Privacy Shield zertifiziert wurden, die aus diesem Programm resultierenden Selbstverpflichtungen weiterhin erfüllen, wenngleich dieser Angemessenheitsbeschluss infolge der Entscheidung des Gerichtshofs der Europäischen Union vom 16. Juli 2020 keine eigenständige Rechtsgrundlage für Datenübermittlungen in die Vereinigten Staaten von Amerika mehr darstellt. Soweit Standarddatenschutzklauseln abgeschlossen wurden, steht betroffenen Personen das Recht zu, eine Kopie dieser Vereinbarungen zu verlangen.

Nachfolgend werden die von Doctrine eingesetzten Dienstleister, deren jeweiliger Sitz sowie – soweit einschlägig – die implementierten Garantien und Schutzmaßnahmen zur Sicherstellung eines angemessenen Datenschutzniveaus aufgeführt.

Hosting-Dienstleister

Amazon Web Services (AWS): Die Website wird durch AWS am Standort Frankfurt am Main gehostet. Der Anbieter hat seinen Sitz in Deutschland.

Dienst zur Erhebung der Produktzufriedenheit

Ask Nicely: Zur Erhebung der Kundenzufriedenheit wird der Dienst Ask Nicely mit Sitz in Neuseeland eingesetzt. Neuseeland verfügt über ein von der Europäischen Kommission anerkanntes angemessenes Datenschutzniveau.

Datensicherheit und Website-Analyse

Esendex: Versand von SMS-Nachrichten zur Verifizierung von Benutzerkonten; Anbieter mit Sitz im Vereinigten Königreich.
Rollbar: Fehlerverfolgung; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, zertifiziert nach dem EU-US Data Privacy Framework, Standardvertragsklauseln unterzeichnet.
Sentry: Fehlerverfolgung; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, zertifiziert nach dem EU-US Data Privacy Framework, Standardvertragsklauseln unterzeichnet.
Google Analytics und Search Console: Analyse des Website-Traffics; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, Privacy Shield-zertifiziert, Standardvertragsklauseln unterzeichnet.
Fullstory: Analyse des Nutzerverhaltens auf der Website; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, zertifiziert nach dem EU-US Data Privacy Framework, Standardvertragsklauseln unterzeichnet.
Mixpanel: Analyse des Nutzerverhaltens auf der Website; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, zertifiziert nach dem EU-US Data Privacy Framework, Standardvertragsklauseln vertraglich integriert.
Google ReCaptcha: Gewährleistung der Website-Sicherheit; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, Privacy Shield-zertifiziert, Standardvertragsklauseln unterzeichnet.
Auth0: Authentifizierungsdienst auf doctrine.eu; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, zertifiziert nach dem EU-US Data Privacy Framework, Standardvertragsklauseln unterzeichnet.
Google Firebase Authentication: Authentifizierungsdienst auf jobexit.fr; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, Standardvertragsklauseln unterzeichnet.
Datadog: Gewährleistung der Website-Sicherheit; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, zertifiziert nach dem EU-US Data Privacy Framework.

Produktfunktionalität

Google Cloud (Gemini und Vision): Verarbeitung personenbezogener Daten; Anbieter mit Sitz in Europa, Privacy Shield-zertifiziert, Standardvertragsklauseln abgeschlossen.
Snowflake: Datenbankdienst; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, zertifiziert nach dem Data Privacy Framework, Standardvertragsklauseln abgeschlossen.
Microsoft Azure OpenAI: Hosting der OpenAI-Modelle; Anbieter mit Sitz in Europa.

Direktwerbung und Marketingkommunikation

Aircall: Durchführung von Telefonanrufen; Anbieter mit Sitz in Frankreich, Standardvertragsklauseln vertraglich integriert.
Sakari.io: Versand von SMS-Mitteilungen; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, Standardvertragsklauseln abgeschlossen.
Primo Texto: Versand von Werbe-SMS; Anbieter mit Sitz in Frankreich.
Brevo: Versand von E-Mail-Mitteilungen; Anbieter mit Sitz in Frankreich.
Hubspot: Durchführung von E-Mail-Marketingkampagnen und Customer-Relationship-Management-Verarbeitung; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, zertifiziert nach dem EU-US Data Privacy Framework, Standardvertragsklauseln abgeschlossen.
Outreach: Durchführung von Multichannel-Marketingkampagnen; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, zertifiziert nach dem EU-US Data Privacy Framework, Standardvertragsklauseln abgeschlossen.
Lemlist: Durchführung von Multichannel-Marketingkampagnen; Anbieter mit Sitz in Frankreich.
Lusha: Anreicherung von CRM-Daten; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, Standardvertragsklauseln abgeschlossen.
Nomination: Anreicherung von CRM-Daten; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, Standardvertragsklauseln abgeschlossen.
Dropcontact: Anreicherung von CRM-Daten; Anbieter mit Sitz in Frankreich.
Cognism: Anreicherung von CRM-Daten; Anbieter mit Sitz im Vereinigten Königreich, angemessenes Datenschutzniveau gemäß Beschluss der Europäischen Kommission.
Mailjet: Versand von E-Mail-Mitteilungen; Anbieter mit Sitz in Frankreich.
MySendingBox: Versand postalischer Sendungen; Anbieter mit Sitz in Frankreich.
ScaleSERP: Durchführung von Suchmaschinenrecherchen; Anbieter mit Sitz im Vereinigten Königreich, angemessenes Datenschutzniveau gemäß Beschluss der Europäischen Kommission.

Zahlungs- und Abrechnungszwecke

Stripe: Abwicklung von Kreditkartenzahlungen; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, zertifiziert nach dem EU-US Data Privacy Framework, Standardvertragsklauseln vertraglich integriert.
Chargebee: Abwicklung wiederkehrender Kreditkartenzahlungen; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, zertifiziert nach dem EU-US Data Privacy Framework, Standardvertragsklauseln vertraglich integriert.
GoCardless: Durchführung von SEPA-Überweisungen; Anbieter mit Sitz im Vereinigten Königreich, angemessenes Datenschutzniveau gemäß Beschluss der Europäischen Kommission.
Upflow: Forderungsmanagement und Einzug offener Forderungen; Anbieter mit Sitz in Frankreich.

Kundenmanagement und Vertriebszwecke

Typeform: Erhebung und Verwaltung von Formularinhalten; Anbieter mit Sitz in Spanien.
Intercom: Durchführung von Chat- und E-Mail-Kommunikation; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, zertifiziert nach dem EU-US Data Privacy Framework, Standardvertragsklauseln vertraglich integriert.
Salesforce: Kundenbeziehungsmanagement (CRM); Anbieter mit Sitz in den Vereinigten Staaten von Amerika, zertifiziert nach dem EU-US Data Privacy Framework, Standardvertragsklauseln vertraglich integriert.

Gezielte Werbemaßnahmen und Retargeting

Facebook: Durchführung zielgerichteter Werbe- und Retargetingmaßnahmen; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, zertifiziert nach dem EU-US Data Privacy Framework, Standardvertragsklauseln vertraglich integriert.
LinkedIn:Durchführung zielgerichteter Werbe- und Retargetingmaßnahmen; Anbieter mit Sitz in den Vereinigten Staaten von Amerika, zertifiziert nach dem EU-US Data Privacy Framework, Standardvertragsklauseln vertraglich integriert.

Webinare

Get Contrast: Bereitstellung und Durchführung von Webinar-Diensten; Anbieter mit Sitz im Vereinigten Königreich, angemessenes Datenschutzniveau gemäß Beschluss der Europäischen Kommission.

3. Cookie-Richtlinie

Auf unserer Website kommen Cookies sowie sonstige Tracking-Technologien zum Einsatz, um die Funktionsfähigkeit und Bereitstellung unserer Online-Dienste sicherzustellen sowie die Nutzung unserer Website zu analysieren und fortlaufend zu optimieren. Einzelheiten zu den eingesetzten Technologien, deren Zweckbestimmung, Speicherdauer und Rechtsgrundlagen sowie zu Ihren Widerspruchs- und Einstellungsoptionen können Sie der Cookie-Richtlinie entnehmen: https://www.doctrine.eu/cookies

4. Rechte der betroffenen Personen

Den betroffenen Personen stehen nach Maßgabe der Datenschutz-Grundverordnung die nachfolgend aufgeführten Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten zu:

4.1. Recht auf Auskunft;
4.2. Recht auf Datenübertragbarkeit;
4.3. Recht auf Berichtigung;
4.4. Recht auf Löschung;
4.5. Recht auf Widerspruch;
4.6. Recht auf Einschränkung der Verarbeitung;
4.7. Recht, Anordnungen über den Umgang mit personenbezogenen Daten im Todesfall zu treffen;
4.8. Recht auf Widerruf der Einwilligung;
4.9. Recht auf Beschwerde.

4.1. Recht auf Auskunft (Artikel 15 DSGVO)

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden.
Sofern eine derartige Verarbeitung stattfindet, besteht ein Anspruch auf Auskunft über diese personenbezogenen Daten sowie auf Übermittlung einer Kopie derselben.

Der Auskunftsanspruch erstreckt sich insbesondere auf folgende Informationen:

(a) die Kategorien der verarbeiteten personenbezogenen Daten;

(b) die Verarbeitungszwecke;

(c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;

(d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

(e) Informationen über die der betroffenen Person zustehenden Rechte im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten.

4.2. Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)

Soweit die Verarbeitung personenbezogener Daten auf einer Einwilligung oder auf einem Vertrag beruht, besteht für die betroffene Person ein Anspruch auf Datenübertragbarkeit. Dieses Recht ist gegenüber dem Auskunftsrecht insoweit abzugrenzen, als es ausschließlich die von der betroffenen Person bereitgestellten personenbezogenen Daten erfasst; hiervon unberührt bleiben durch den Verantwortlichen selbst erhobene oder aus den bereitgestellten Informationen abgeleitete Daten. Die betroffene Person kann verlangen, dass ihr diese Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden.

Im Unterschied zum Auskunftsrecht umfasst die Bereitstellung keine menschenlesbare Aufbereitung, sondern ausschließlich die personenbezogenen Daten der betroffenen Person in technischer Form.

Das Recht auf Datenübertragbarkeit schließt die Übermittlung der betreffenden Daten an einen anderen Verantwortlichen ein, sofern dies technisch möglich ist und dem erklärten Willen der betroffenen Person entspricht.

4.3. Recht auf Berichtigung (Artikel 16 DSGVO)

Die betroffene Person ist berechtigt, vom Verantwortlichen die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Sie kann ferner die Ergänzung unvollständiger oder die Aktualisierung veralteter personenbezogener Daten begehren. Ein solcher Antrag hat hinreichend substantiiert zu erfolgen.

4.4. Recht auf Löschung (Artikel 17 DSGVO)

Die betroffene Person hat das Recht, vom Verantwortlichen die unverzügliche Löschung sie betreffender personenbezogener Daten zu verlangen, sofern einer der nachstehenden Gründe vorliegt:

die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich;
die betroffene Person hat ihre Einwilligung widerrufen, sofern diese die Rechtsgrundlage der Verarbeitung bildete und keine anderweitige Rechtsgrundlage die Verarbeitung zu legitimieren vermag;
die betroffene Person hat gemäß Artikel 21 DSGVO Widerspruch gegen die Verarbeitung eingelegt, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor;
die Verarbeitung der personenbezogenen Daten erfolgt rechtswidrig;
die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
die personenbezogenen Daten wurden in Bezug auf ein Kind im Sinne von Artikel 8 Absatz 1 DSGVO erhoben. In diesem Fall können auch die Inhaber der elterlichen Sorge die Löschung beantragen, sofern die betroffene Person zum Zeitpunkt des Antrags minderjährig ist.

4.5. Recht auf Widerspruch (Artikel 21 DSGVO)

Der betroffenen Person steht das Recht zu, der Verarbeitung sie betreffender personenbezogener Daten zu widersprechen, sofern Gründe vorliegen, die sich aus ihrer besonderen Situation ergeben, und die Verarbeitung auf berechtigten Interessen des Verantwortlichen beruht.

Der Verantwortliche darf der Verarbeitung personenbezogener Daten nach einem Widerspruch nur fortführen, sofern er das Vorliegen zwingender schutzwürdiger Gründe nachweist, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder sofern die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

Unbeschadet dessen steht der betroffenen Person das Recht zu, jederzeit und ohne Angabe von Gründen der Verarbeitung ihrer personenbezogenen Daten zu Zwecken der Direktwerbung zu widersprechen.

4.6. Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO)

Die betroffene Person ist berechtigt, vom Verantwortlichen die Einschränkung der Verarbeitung personenbezogener Daten zu verlangen, wenn einer der nachstehenden Gründe vorliegt:

die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für die Dauer, die erforderlich ist, um die Richtigkeit der Daten zu überprüfen;
die Verarbeitung erfolgt unrechtmäßig, und die betroffene Person verlangt anstelle der Löschung die Einschränkung der Nutzung der personenbezogenen Daten;
der Verantwortliche benötigt die personenbezogenen Daten nicht länger für die Zwecke der Verarbeitung, die betroffene Person jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen;
die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

4.8. Recht auf Widerruf der Einwilligung (Artikel 7 DSGVO)

Der betroffenen Person steht das Recht zu, eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten jederzeit und ohne Angabe von Gründen mit Wirkung für die Zukunft zu widerrufen.

4.9. Recht auf Beschwerde

Der betroffenen Person steht das Recht zu, im Falle einer nicht einvernehmlich beilegbaren Streitigkeit eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einzulegen. In Frankreich ist hierfür die Commission Nationale de l’Informatique et des Libertés (CNIL) zuständig: https://cnil.fr/fr

Unbeschadet dessen kann die betroffene Person jederzeit, auch ohne vorherige Kontaktaufnahme mit der Aufsichtsbehörde, den Rechtsweg beschreiten und Klage vor dem zuständigen Gericht erheben.

5. Verfahren zur Pseudonymisierung gerichtlicher Entscheidungen

Wir verpflichten uns, Namen, Vornamen oder Anschriften betroffener Personen unverzüglich zu entfernen, sofern derartige Angaben in einer gerichtlichen Entscheidung noch enthalten sind. Die Pseudonymisierung kann über das nachstehende Formular beantragt werden: https://doctrine.typeform.com/to/PAW9cqyy

Sofern die Entscheidung aus einer Rechtsprechungsdatenbank des Bundesgerichtshofs oder des Bundesverwaltungsgerichts stammt, kann nicht ausgeschlossen werden, dass sie von anderen juristischen Herausgebern weiterhin in nicht anonymisierter Form veröffentlicht wird. Es wird daher empfohlen, parallel die nachstehenden Stellen zu kontaktieren, um den Umstand zu melden und eine Berichtigung durch sämtliche Herausgeber zu veranlassen:

Bundesgerichtshof: anonymisierung@bgh.de (Beispiel-E-Mail)
Bundesverwaltungsgericht: anonymisierung@bverwg.de (Beispiel-E-Mail)

Nach erfolgter Korrektur der Daten auf unserer Website kann zudem beantragt werden, dass die betreffenden Informationen nicht länger durch Suchmaschinen aufgefunden werden können. Hierzu ist das vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vorgesehene Verfahren anzuwenden.

Gemäß Artikel 35 der Datenschutz-Grundverordnung wurde hinsichtlich der vorliegenden Verarbeitungsvorgänge eine Datenschutz-Folgenabschätzung durchgeführt. Die Bewertung umfasste unter anderem eine Überprüfung durch eine unabhängige Anwaltskanzlei. Im Ergebnis wurde festgestellt, dass zwar tatsächliche Risiken im Zusammenhang mit der Online-Veröffentlichung gerichtlicher Entscheidungen bestehen, diese jedoch durch angemessene technische und organisatorische Maßnahmen in einem Maße reduziert werden können, das als hinreichend anzusehen ist. Die getroffenen Vorkehrungen gewährleisten, dass die weit überwiegende Mehrzahl der veröffentlichten Entscheidungen keine personenbezogenen Identifikationsmerkmale betroffener Personen enthält.
In den seltenen Ausnahmefällen, in denen dennoch eine namentliche Nennung bestehen bleibt, stellen die implementierten Schutzmaßnahmen sicher, dass hierdurch keine Beeinträchtigungen der Rechte oder Freiheiten der betroffenen Personen eintreten. Weiterführende Informationen können auf Anfrage bereitgestellt werden.

Die Veröffentlichung gerichtlicher Entscheidungen auf der Plattform Doctrine erfolgt im überwiegenden öffentlichen Informationsinteresse und stellt eine zulässige Weiterverwendung von Informationen aus dem öffentlichen Bereich dar.
Entscheidungen, an denen juristische Personen oder Unternehmen beteiligt sind, sind ihrer Art nach öffentlich und werden entweder unmittelbar von den zuständigen Gerichten übermittelt, im Rahmen bestehender Kooperationen zur Verfügung gestellt oder auf individuelle Anfrage hin bereitgestellt. Die Namen von Unternehmen bleiben in den veröffentlichten Entscheidungen enthalten, da ausschließlich personenbezogene Daten natürlicher Personen – insbesondere von Verfahrensbeteiligten oder Zeuginnen und Zeugen – einer Anonymisierungspflicht unterliegen. Eine Anonymisierung des Unternehmensnamens erfolgt nur, sofern eine offensichtliche Rechtsverletzung vorliegt. Sollten Sie der Ansicht sein, dass ein solcher Fall gegeben ist, können Sie uns unter dpo@doctrine.fr kontaktieren.

6. Anonymisierung weiterer Daten

Zur Wahrung eines angemessenen Ausgleichs zwischen dem öffentlichen Informationsinteresse und dem Schutz der Privatsphäre werden Namen und Vornamen betroffener Personen standardmäßig unkenntlich gemacht beziehungsweise pseudonymisiert. Dies erfolgt auf Grundlage der Beschlussnummer 01-057 vom 29. November 2001 der Commission Nationale de l’Informatique et des Libertés (CNIL). Eine vollständige Re-Identifizierung kann unter bestimmten Umständen nicht mit absoluter Sicherheit ausgeschlossen werden. Weitergehende Informationen zu diesem Themenbereich sind in einem vom Datenschutzbeauftragten (DPO) verfassten Beitrag abrufbar.

In den Fällen, in denen die Verantwortung für die Anonymisierung von Entscheidungen bei Doctrine liegt, wird diese über die gesetzlich vorgesehenen Mindestanforderungen hinaus vorgenommen. Damit wird das besondere Anliegen des Verantwortlichen zum Schutz personenbezogener Daten gewahrt. Im Rahmen dieser erweiterten Anonymisierung können zusätzlich unmittelbar identifizierende Angaben unkenntlich gemacht werden. Hierzu zählen insbesondere private E-Mail-Adressen, Telefonnummern, Pseudonyme, Personenstandsdaten (etwa Geburts-, Todes- oder Eheschließungsdaten), internationale Bankkontonummern (IBAN), Ausweisnummern sowie Sozialversicherungsnummern. Betroffene Personen, auf die eine derartige Angabe zutrifft, können sich hierzu per E-Mail an: dpo@doctrine.fr wenden.

Bezieht sich der Antrag auf die Entfernung nicht unmittelbar identifizierender Angaben – beispielsweise auf die berufliche Tätigkeit oder den Namen eines geführten Unternehmens –, ist das Widerspruchsrecht nach dem zuvor beschriebenen Verfahren auszuüben. Ein solcher Antrag ist zu begründen und hat Umstände darzulegen, die sich aus der besonderen persönlichen Situation der betroffenen Person ergeben. Die Anonymisierung unterbleibt, soweit es sich um Angaben handelt, die für das Verständnis der Entscheidung und damit für das Informationsinteresse der Öffentlichkeit erforderlich sind.

7. Gewährleistung der Datensicherheit

Die Gewährleistung der Sicherheit und Vertraulichkeit personenbezogener Daten hat bei Doctrine höchste Priorität. Zum Schutz der übermittelten Daten vor unbefugtem Zugriff und zur Wahrung ihrer Integrität wird für sämtliche Datenübertragungen das Hypertext Transfer Protocol Secure (HTTPS) in Verbindung mit dem Transport Layer Security-Protokoll (TLS) in der Version 1.2 verwendet. Hierdurch wird eine Verschlüsselung sämtlicher Anfragen vor deren Übermittlung an die Server sichergestellt, um das unbefugte Abfangen durch Dritte auszuschließen. Für die Verschlüsselung gespeicherter Daten wird der Verschlüsselungsstandard Advanced Encryption Standard (AES 256) eingesetzt, der dem derzeit höchsten allgemein anerkannten sicherheitstechnischen Standard entspricht. Die Authentifizierungsdaten der Nutzenden werden gesondert geschützt; der hierfür eingesetzte Authentifizierungsdienst verwendet den Hashing-Algorithmus bcrypt.

Die Serverinfrastruktur von Doctrine ist gegen unbefugte Zugriffe und sonstige Sicherheitsrisiken sowohl physisch als auch logisch abgesichert. Die Speicherung und Verarbeitung personenbezogener Daten erfolgt ausschließlich innerhalb der Europäischen Union, am Standort Frankfurt am Main. Der hierfür eingesetzte Infrastrukturpartner Amazon Web Services (AWS) erfüllt die einschlägigen internationalen Sicherheitsstandards und ist nach den Normen ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019 sowie ISO 9001:2015 zertifiziert.

Zur Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten wurden umfassende technische und organisatorische Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO implementiert. Hierzu gehören insbesondere die rollenbasierte Zugriffsbeschränkung, die Verwendung pseudonymisierter Kennungen sowie die restriktive Vergabe von Zugriffsrechten ausschließlich an Personen mit einem nachweislich berechtigten dienstlichen Erfordernis. An externe Auftrags- oder Dienstleister werden nur solche Daten übermittelt, die zur Erfüllung der jeweils übertragenen Aufgaben zwingend erforderlich sind.

Die vorgenannten Sicherheitsmaßnahmen finden in gleicher Weise Anwendung auf sämtliche im Rahmen der Funktionen Document Analyzer, Flow und Extract übermittelten oder verarbeiteten Dokumente.

Weiterführende Hinweise sind den nachstehenden Informationsquellen zu entnehmen:
FAQ zum Document Analyzer: https://www.doctrine.fr/document-analyzer/faq
FAQ zu Flow: https://www.doctrine.fr/flow/faq

Zudem bestehen spezifische Grundsätze für den Einsatz der KI-Funktionalitäten von Doctrine, die unter folgendem Verweis abrufbar sind: https://www.doctrine.fr/ia-generative/code-conduite-ia

Doctrine ist nach ISO 27001 zertifiziert. Weitergehende Angaben zu den Sicherheitsstandards und internen Kontrollmechanismen sind im Trust Center veröffentlicht:
https://trust.doctrine.com/.

8. Geltendmachung von Betroffenenrechten

Anträge auf Ausübung der in dieser Datenschutzrichtlinie aufgeführten Rechte sowie sonstige Anliegen zum Datenschutz sind an folgende E-Mail-Adresse zu übermitteln: dpo@doctrine.fr.

Nach Artikel 12 Absatz 6 DSGVO ist der Verantwortliche berechtigt, von der betroffenen Person zusätzliche Angaben zu verlangen, soweit dies zur Feststellung ihrer Identität erforderlich ist und begründete Zweifel an der Identität bestehen.
Es werden sämtliche erforderlichen Maßnahmen ergriffen, um eine Antwort so zeitnah wie möglich, spätestens jedoch innerhalb der gesetzlich vorgesehenen Frist von einem Monat, zu gewährleisten.

9. Inkrafttreten der Datenschutzrichtlinie

Die vorliegende Fassung der Datenschutzrichtlinie tritt am 7. November 2025 in Kraft.