Datenschutzerklärung — Legal Monitor
Version 1.1 — gültig ab 28.03.2026
1. Verantwortlicher
Thorsten Ahrens, Serahr
E-Mail: contact@serahr.de
Website: serahr.de
2. Überblick: Welche Daten werden verarbeitet?
| Kategorie | Daten | Zweck |
|---|---|---|
| Account | E-Mail, Passwort (gehasht) | Authentifizierung |
| Unternehmensprofil | Firmenname, Branche, Mitarbeiterzahl, Umsatzregion, Geschäftsmodell | Relevanz-Bewertung der Rechtsänderungen |
| Datenverarbeitungs-Angaben | Analytics-Tool, Newsletter-Dienst, Zahlungsanbieter, Hosting-Standort | DSE-Abgleich beim Website-Scan |
| Keywords | Gewählte Themen, eigene Suchbegriffe | Filterung der Rechtsquellen |
| Website-Scan | URL, erkannte Cookies, Third-Party-Services, Impressum-/DSE-/AGB-Prüfung, KI-gestützte rechtliche Bewertung (Typ, Schweregrad, Empfehlung) | Compliance-Scan |
| Vertragsdaten | Abo-Status, verfügbare Scan-Tokens, Zugangszeitraum nach Kündigung | Vertragsabwicklung |
| Registrierungsquelle | UTM-Parameter aus der URL, Referrer-Seite (einmalig bei Registrierung, kein Tracking) | Analyse der Marketingkanäle |
| Zahlungsdaten | Ausschließlich über Stripe verarbeitet | Abrechnung |
| Server-Logs | IP-Adresse, Browser, Zeitpunkt | Sicherheit, Fehleranalyse |
3. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Account, Monitoring, Scan)
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (Server-Logs, Sicherheit)
- Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung (Aufbewahrungspflichten)
4. KI-Verarbeitung
Die Auswertung der Rechtsquellen erfolgt mithilfe eines KI-Sprachmodells (derzeit Claude Sonnet, Anthropic, über den Vermittlungsdienst OpenRouter). Dabei werden keine personenbezogenen Daten des Kunden an das KI-Modell übermittelt. Übermittelt werden ausschließlich:
- Texte aus öffentlich zugänglichen Rechtsquellen
- Das anonymisierte Unternehmensprofil (Branche, Größe — ohne Name oder E-Mail)
- Die gewählten Keywords
5. Website-Scan
Beim Website-Scan wird die vom Kunden angegebene URL mit einem automatisierten Browser (Playwright/Chromium) aufgerufen. Dabei werden die gleichen Informationen erfasst, die jeder Besucher der Website sehen würde: Cookies, geladene Scripts, Third-Party-Requests, Impressum, Datenschutzerklärung und AGB. Es werden keine Daten an Dritte übermittelt — der Scan läuft auf unserem eigenen Server.
6. Weitergabe an Strafverfolgungsbehörden
Wir können gesetzlich verpflichtet sein, gespeicherte Daten auf Grundlage einer Europäischen Herausgabeanordnung oder Sicherungsanordnung gemäß Verordnung (EU) 2023/1543 an Strafverfolgungsbehörden weiterzugeben. Eine solche Weitergabe erfolgt ausschließlich auf Grundlage einer rechtmäßigen Anordnung und im gesetzlich vorgeschriebenen Umfang. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO.
7. Auftragsverarbeiter
| Dienst | Anbieter | Zweck | Standort |
|---|---|---|---|
| Supabase | Supabase Inc. | Datenbank, Authentifizierung | EU (Irland) |
| Vercel | Vercel Inc. | Hosting der Website | EU (Edge) |
| Hetzner | Hetzner Online GmbH | Website-Scanner | Deutschland |
| Resend | Resend Inc. | E-Mail-Versand | USA (DPF) |
| Stripe | Stripe Inc. | Zahlungsabwicklung | USA (DPF) |
| OpenRouter | OpenRouter Inc. | KI-Analyse (nur Rechtsquellen-Texte) | USA (DPF) |
DPF = EU-U.S. Data Privacy Framework
Mit allen oben genannten Auftragsverarbeitern bestehen Vereinbarungen zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Für die US-amerikanischen Dienstleister (Resend, Stripe, OpenRouter) sind zusätzlich zum DPF Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart, um den Schutz Ihrer Daten auch unabhängig vom DPF-Status sicherzustellen.
8. Speicherdauer
| Daten | Dauer |
|---|---|
| Account-Daten | Bis zur Kontolöschung |
| Unternehmensprofil | Bis zur Kontolöschung |
| Scan-Ergebnisse | 12 Monate, dann automatisch gelöscht |
| Monitoring-Ergebnisse | 12 Monate |
| Server-Logs (Vercel) | 30 Tage |
| Zahlungsdaten (Stripe) | Gemäß Stripe Datenschutzerklärung |
Nach einem Löschantrag werden alle Daten innerhalb von 30 Tagen endgültig gelöscht. In dieser Frist können Sie Ihre Daten exportieren.
9. Ihre Rechte
Sie haben gemäß DSGVO folgende Rechte:
- Auskunft (Art. 15) — Welche Daten über Sie gespeichert sind
- Berichtigung (Art. 16) — Korrektur unrichtiger Daten
- Löschung (Art. 17) — Löschung Ihrer Daten
- Einschränkung (Art. 18) — Einschränkung der Verarbeitung
- Datenübertragbarkeit (Art. 20) — Export Ihrer Daten
- Widerspruch (Art. 21) — Widerspruch gegen die Verarbeitung
Anfragen richten Sie an contact@serahr.de.
10. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.
11. Automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt. Die KI-gestützte Analyse der Rechtsquellen dient ausschließlich der Informationsaufbereitung und trifft keine Entscheidungen über Rechte oder Pflichten des Nutzers. Die Bewertung der Relevanz und die daraus resultierenden Handlungsempfehlungen haben reinen Hinweischarakter.
12. Erforderlichkeit der Datenbereitstellung
Die Bereitstellung Ihrer E-Mail-Adresse und Ihres Unternehmensprofils ist für die Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Ohne diese Angaben kann der Monitoring-Dienst nicht erbracht werden, da die Relevanz-Bewertung auf Ihrem Unternehmensprofil basiert und die Ergebnisse per E-Mail zugestellt werden. Die Angabe von Keywords und Datenverarbeitungs-Details ist freiwillig, verbessert aber die Qualität der Ergebnisse.
13. Cookies und Tracking
Diese Website verwendet keine Tracking-Cookies und keine Third-Party-Tracker. Die Authentifizierung nutzt Supabase Auth mit sicheren HTTP-Cookies.
14. Änderungen
Der Anbieter behält sich vor, diese Datenschutzerklärung bei Bedarf anzupassen. Änderungen werden auf dieser Seite veröffentlicht.