Datenschutzerklärung

Zuletzt aktualisiert: 2026-05-12

Diese Erklärung beschreibt, wie lawcheck.io Ihre personenbezogenen Daten bei Nutzung dieses Dienstes verarbeitet. Sie erfolgt im Einklang mit der EU-Datenschutz-Grundverordnung (DSGVO) und dem deutschen Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung auf dieser Website ist der im Impressum genannte Anbieter.

2. Welche Daten wir verarbeiten

  • Vertragstext — der Text oder die Datei, die Sie zur Analyse hochladen. Wird in unserer Datenbank pseudonymisiert gespeichert und — falls Sie angemeldet sind — Ihrem Konto zugeordnet.
  • Kontodaten — E-Mail-Adresse, Anmeldezeitpunkte, Passwort-Hash (falls gesetzt). Magic-Link-Tokens werden gehasht gespeichert und laufen ab.
  • Technische Daten — IP-Adresse (verarbeitet zur Ratenbegrenzung und Missbrauchsabwehr; gespeichert in Ihrer signierten Session und in rotierten Server-Zugriffsprotokollen, nicht in einem Langzeitspeicher), User-Agent, Anfrage-Zeitstempel. Server-Protokolle werden rotiert.
  • Analyseergebnisse — Klauselbewertungen, extrahierter Text und Verarbeitungsereignisse pro Pipeline-Stufe.

3. Rechtsgrundlage

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Sie übermitteln Vertragstext zur Analyse).
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse am Betrieb und an der Absicherung des Dienstes (Rate-Limiting, Missbrauchsschutz, Fehlerprotokolle).
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung, für die optionalen Mess-Cookies von Google Ads und Microsoft Advertising, die in Abschnitt 7 beschrieben sind. Sie können diese Einwilligung jederzeit über den Link „Cookie-Einstellungen" in der Fußzeile widerrufen.

4. Empfänger Ihrer Daten

Zur Klassifizierung der Klauseln Ihres Vertrags und ihrer Zuordnung zu einer standardisierten Struktur übermitteln wir den extrahierten Vertragstext an Anthropic, PBC (San Francisco, USA) über deren Claude-API. Anthropic handelt als unser Auftragsverarbeiter (Auftragsverarbeiter) im Rahmen seines Datenverarbeitungs-Anhangs, der automatisch in unsere Commercial Terms of Service einbezogen ist und die EU-Standardvertragsklauseln enthält; die Übermittlung in die USA ist zusätzlich durch Anthropics Zertifizierung im Rahmen des EU–US Data Privacy Framework abgedeckt. Anthropic trainiert seine Modelle standardmäßig nicht mit API-Eingaben. Der eigentliche rechtliche Abgleich mit dem BGB und der BGH-Rechtsprechung findet auf unseren Servern in der Region eu-central-1 (Deutschland) statt und verlässt die EU nicht.

Den vollständigen Anthropic-AVV finden Sie unter anthropic.com/legal/data-processing-addendum.

Bevor der Vertragstext weitergeleitet wird, entfernen wir automatisch zuverlässig erkennbare direkte Identifikatoren — E-Mail-Adressen, IBANs, BICs und Telefonnummern mit internationaler Vorwahl — und ersetzen sie durch Platzhalter. Kein automatisches Filterverfahren erfasst alles; einzelne persönliche Angaben können daher noch enthalten sein. Namen und Anschriften werden bewusst nicht verändert, da automatische Regeln sie nicht zuverlässig von gewöhnlichen deutschen Substantiven unterscheiden können, ohne den rechtlichen Sinn der Klauseln zu verfälschen.

Transaktions-E-Mails (Magic-Links, Bestätigungen) werden über Amazon Web Services EMEA SARL (Amazon SES, Frankfurt, eu-central-1) versandt. Das Hosting erfolgt bei AWS in derselben Region.

Zahlungen für Credit-Pakete werden durch Stripe Payments Europe, Ltd. (Dublin, Irland) und Stripe, Inc. (San Francisco, USA) abgewickelt. Kartendaten werden direkt auf Stripe-gehosteten Seiten eingegeben und gelangen nicht auf unsere Server. Wir erhalten lediglich die Session-ID, die Payment-Intent-ID, die Kunden-ID, den Betrag und den Status. Stripe handelt als Auftragsverarbeiter im Rahmen eines Auftragsverarbeitungsvertrags; die Übermittlung in die USA ist durch den EU–US Data Privacy Framework und Standardvertragsklauseln abgesichert.

Nur und ausschließlich dann, wenn Sie im Cookie-Banner auf „Akzeptieren" klicken, werden die Tatsache und der Wert Ihres Kaufs (Transaktions-ID, Betrag, Währung) auch an Google Ireland Ltd. (Gordon House, Dublin, Irland) übermittelt, damit wir die Wirksamkeit unserer Google-Ads-Kampagnen messen können. Google Ireland ist Verantwortlicher für Nutzer im EWR und kann Daten an Google LLC (Mountain View, USA) übermitteln, gestützt auf die EU-Standardvertragsklauseln und Googles Zertifizierung unter dem EU-US Data Privacy Framework. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); die Daten werden nicht zum Training von Googles KI-Modellen verwendet. Ohne Einwilligung werden keine Google-Ads-Cookies gesetzt und keine Kaufdaten an Google übermittelt.

Auf Grundlage derselben Einwilligung — und nur wenn Sie auf „Akzeptieren" klicken — werden dieselben Kaufdaten (Transaktions-ID, Betrag, Währung) sowie die Standard-HTTP-Metadaten, die Ihr Browser sendet (IP-Adresse, User-Agent), auch über das Universal-Event-Tracking-Tag (UET) an Microsoft übermittelt, damit wir die Wirksamkeit unserer Microsoft-Advertising-(Bing-)Kampagnen messen können. Microsoft Ireland Operations Ltd. (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland) ist für Nutzer im EWR der Verantwortliche und kann Daten an die Microsoft Corporation (Redmond, USA) übermitteln — auf Grundlage der EU-Standardvertragsklauseln und der Zertifizierung von Microsoft nach dem EU-US Data Privacy Framework. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Ohne Einwilligung werden keine Microsoft-Cookies gesetzt und keine Kaufdaten an Microsoft gesendet. Ergänzend gelten die Datenschutzbestimmungen für Werbung von Microsoft: privacy.microsoft.com/privacystatement.

5. Speicherdauer

  • Hochgeladene Verträge und Analyseergebnisse werden so lange gespeichert, wie Ihr Konto besteht. Sie können Ihr Konto und die zugehörigen Daten jederzeit löschen.
  • Anonyme Analysen (ohne Konto) werden bis zu 30 Tage gespeichert und anschließend automatisch gelöscht.
  • Server-Zugriffsprotokolle werden bis zu 14 Tage aufbewahrt.
  • Zahlungsunterlagen (Stripe-Session-ID, Betrag, Status, Datum) werden 10 Jahre nach dem Kauf gemäß § 147 AO und § 257 HGB aufbewahrt. Bei Löschung Ihres Kontos bleiben diese Unterlagen bestehen, werden aber von Ihrem Nutzerprofil getrennt — eine Identifizierung ist dann nur noch über das Rechnungsarchiv von Stripe möglich. DSGVO Art. 17 Abs. 2 lit. b erlaubt diese Aufbewahrung zur Erfüllung einer gesetzlichen Verpflichtung.

6. Ihre Rechte

Nach der DSGVO haben Sie das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit. Zudem steht Ihnen das Recht zu, sich bei einer Aufsichtsbehörde zu beschweren, z. B. bei dem für Sie zuständigen Landesdatenschutzbeauftragten.

So üben Sie Ihre Rechte aus

  • Auskunft + Datenübertragbarkeit (Art. 15 + Art. 20): melden Sie sich in den Einstellungen an und nutzen Sie „Meine Daten exportieren (JSON)“, um ein Archiv Ihres Kontos, Ihrer Analysen und Tokens herunterzuladen.
  • Löschung (Art. 17): melden Sie sich in den Einstellungen an und nutzen Sie den Bereich „Konto löschen“. Die Löschung erfolgt sofort und endgültig — Konto, alle Analysen, Klauselbewertungen, Verarbeitungsereignisse und API-Tokens werden entfernt.
  • Berichtigung, Einschränkung oder Widerspruch: schreiben Sie an die im Impressum angegebene Adresse.

7. Cookies und lokaler Speicher

Wir unterscheiden zwei Gruppen von Speichereinträgen auf Ihrem Endgerät:

  • Unbedingt erforderlich — werden ohne Einwilligung gemäß § 25 Abs. 2 TDDDG gesetzt. Umfassen Login, CSRF-Schutz, Ihre Sprach- und Theme-Einstellung sowie die Speicherung Ihrer Cookie-Banner-Auswahl selbst.
  • Optional (Messung über Google Ads & Microsoft Advertising) — werden nur gesetzt, wenn Sie im Cookie-Banner auf „Akzeptieren" klicken. Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO. Bis Sie wählen, laufen sowohl gtag.js von Google als auch das UET-Tag von Microsoft im Consent-Modus mit ad_storage=denied — es werden keine Google- oder Microsoft-Cookies geschrieben; es werden nur aggregierte, cookielose Modellierungs-Pings gesendet.

Sie können Ihre Auswahl jederzeit über den Link „Cookie-Einstellungen" im Footer ändern. Ein Widerruf vergisst Ihre vorherige Antwort und unterbindet das Setzen weiterer Google-Ads-Cookies bei zukünftigen Seitenaufrufen; bereits auf Ihrem Gerät vorhandene Cookies können Sie in Ihren Browsereinstellungen löschen.

Welche Daten genau erhoben werden und wofür

Wenn Sie zustimmen, speichert Googles gtag.js genau einen First-Party-Cookie (_gcl_au) auf Ihrem Gerät. Er enthält eine zufällige Kennung, die Ihre aktuelle Browser-Sitzung mit dem Google-Ads-Klick verknüpft, der Sie zu lawcheck.io geführt hat. Der Cookie selbst enthält weder Ihren Namen noch Ihre E-Mail-Adresse, Zahlungsdaten oder Vertragsinhalte.

Bei Abschluss eines Kaufs werden folgende Daten an Google übermittelt, damit der Kauf dem ursprünglichen Anzeigen-Klick zugeordnet werden kann: die Stripe-Session-ID als Transaktionskennung, der Kaufbetrag, die Währung, die Google-Ads-Conversion-Kennung sowie die üblichen HTTP-Metadaten, die Ihr Browser bei jeder Anfrage sendet (IP-Adresse, User-Agent, Referrer).

Google verwendet diese Daten ausschließlich für die folgenden Zwecke: (a) Zählung und Zuordnung der Conversions zur ursprünglichen Kampagne, Anzeigengruppe und Keyword, damit wir sehen, welche Anzeigen funktionieren, (b) Optimierung der Gebotsstrategie für ähnliche zukünftige Klicks („Smart Bidding") sowie (c) Bildung aggregierter, anonymer Conversion-Modellierungs-Schätzungen für Nutzer, die nicht zugestimmt haben. Die Daten werden weder zum Training von Googles KI-Modellen verwendet noch an andere Werbetreibende weitergegeben.

Google speichert Conversion-Datensätze standardmäßig bis zu 26 Monate in unserem Google-Ads-Konto. Es gelten ergänzend Googles eigene Datenschutzbestimmungen für Werbung: policies.google.com/technologies/ads.

Wenn Sie zustimmen, speichert auch das UET-Tag von Microsoft Cookies auf Ihrem Gerät (MUID, _uetsid, _uetvid), die Ihren Browser mit dem Microsoft-/Bing-Anzeigenklick verknüpfen, über den Sie hierhergelangt sind, und übermittelt dieselben Kaufdaten, damit die Conversion der ursprünglichen Kampagne zugeordnet und die künftige Gebotsabgabe optimiert werden kann. Die Cookies enthalten weder Ihren Namen, Ihre E-Mail-Adresse, Zahlungsdaten noch Vertragsinhalte. Ergänzend gelten die Datenschutzbestimmungen für Werbung von Microsoft: about.ads.microsoft.com.

Zusätzlich zu Käufen wird auch dann ein Conversion-Ereignis ausgelöst, wenn Sie einen Vertrag zur kostenlosen Prüfung übermitteln, damit wir messen können, über welche Google-Ads- oder Microsoft-Advertising-Kampagne Sie zu uns gekommen sind. Dieses Ereignis übermittelt nur das Conversion-Signal und die üblichen HTTP-Metadaten Ihres Browsers — keine Vertragsinhalte und weder Name, E-Mail-Adresse noch Zahlungsdaten — und unterliegt derselben Einwilligung und demselben Consent-Mode-Verhalten wie oben beschrieben.

Name Typ Zweck Speicherdauer
_lawcheck_key Sitzungs-Cookie (notwendig) Hält Sie angemeldet, trägt CSRF- und Sprach-Status. Sitzung (wird beim Schließen des Browsers gelöscht) oder 60 Tage, wenn „angemeldet bleiben“ aktiviert ist
phx:theme localStorage (notwendig) Speichert Ihre Präferenz für helles oder dunkles Design. Bis Sie ihn löschen
lawcheck_consent_marketing localStorage (notwendig) Speichert Ihre Akzeptieren-/Ablehnen-Entscheidung für die Google-Ads-Messcookies. Bis Sie ihn löschen oder über „Cookie-Einstellungen" ändern
_gcl_au Google Ads (Einwilligung erforderlich) Misst, ob unsere Google-Anzeigen zu einem Kauf geführt haben. Wird von Googles gtag.js gesetzt — erst nachdem Sie auf „Akzeptieren" geklickt haben. 90 Tage
MUID, _uetsid, _uetvid Microsoft Advertising (Einwilligung erforderlich) Misst, ob unsere Microsoft-/Bing-Anzeigen zu einem Kauf geführt haben. Wird vom UET-Tag von Microsoft gesetzt — erst nachdem Sie auf „Akzeptieren" geklickt haben. _uetsid: 1 Tag; MUID und _uetvid: bis zu 390 Tage

8. Sicherheit

Der Datenverkehr wird mit TLS (Let's Encrypt) verschlüsselt. Passwörter — sofern gesetzt — werden mit bcrypt gehasht. Magic-Link-Tokens sind einmalig verwendbar und kurzlebig.

9. Änderungen

Wir können diese Erklärung aktualisieren. Die aktuelle Fassung ist jederzeit unter dieser URL abrufbar; das Datum oben weist auf die letzte Änderung hin.

Impressum · Haftungsausschluss