Datenschutzerklärung — Legal Monitor
Version 1.3 — gültig ab 19.04.2026 (legal: Marketing-Kommunikation Art. 6 Abs. 1 lit. a DSGVO, Opt-In-Mails an Free-User)
1. Verantwortlicher
Thorsten Ahrens, Serahr
E-Mail: contact@serahr.de
Website: serahr.de
2. Überblick: Welche Daten werden verarbeitet?
| Kategorie | Daten | Zweck |
|---|---|---|
| Account | E-Mail, Passwort (gehasht), Email-Bestätigungs-Zeitstempel und -IP | Authentifizierung, Double-Opt-In-Nachweis |
| Consent | Akzeptierte AGB-Version, akzeptierte DSE-Version, Zeitpunkt | Nachweis nach Art. 7 Abs. 1 DSGVO |
| Marketing-Einwilligung | Opt-In-Status für zweiwöchentliche Benachrichtigungen, Zeitpunkt der Einwilligung, DSE-Version zum Zeitpunkt der Einwilligung | Nachweis der Einwilligung nach Art. 7 Abs. 1 DSGVO, Versand der Benachrichtigungen |
| Unternehmensprofil | Firmenname, Branche, Mitarbeiterzahl, Umsatzregion, Geschäftsmodell | Relevanz-Bewertung der Rechtsänderungen |
| Datenverarbeitungs-Angaben | Analytics-Tool, Newsletter-Dienst, Zahlungsanbieter, Hosting-Standort | DSE-Abgleich beim Website-Scan |
| Keywords | Gewählte Themen, eigene Suchbegriffe | Filterung der Rechtsquellen |
| Website-Scan | URL, erkannte Cookies, Third-Party-Services, Impressum-/DSE-/AGB-Prüfung, KI-gestützte rechtliche Bewertung, Scan-Autorisierungs-Bestätigung | Compliance-Scan, Nachweis der Scan-Berechtigung |
| Vertragsdaten | Abo-Status, Stripe-IDs, verfügbare Scan-Tokens, Zugangszeitraum nach Kündigung | Vertragsabwicklung |
| Registrierungsquelle | UTM-Parameter aus der URL, Referrer-Seite (einmalig bei Registrierung, kein Tracking) | Analyse der Marketingkanäle |
| API-Key | Persönlicher API-Key (gehasht gespeichert) | Authentifizierung für API-Zugriff |
| Webhook-URL | Vom Kunden konfigurierte URL für Webhook-Benachrichtigungen | Automatischer POST bei neuen Findings |
| Zahlungsdaten | Ausschließlich über Stripe verarbeitet | Abrechnung |
| Server-Logs (Vercel) | IP-Adresse, Browser, Zeitpunkt, Request-Path | Sicherheit, Fehleranalyse |
| Scanner-Logs (Hetzner) | Scan-URL, Zeitpunkt, Scanner-interne Client-IP (Vercel-Edge), Ergebnis | Debugging, Missbrauchserkennung |
3. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Account, Monitoring, Scan, Webhook-Aufrufe an die vom Kunden konfigurierte URL, Stripe-Email-Sync.
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Server-Logs, Scanner-Logs, Missbrauchsprävention (Rate-Limiting), pseudonyme Marketing-Kanal-Analyse (UTM/Referrer). Die Interessenabwägung ergibt das Überwiegen berechtigter Interessen, weil die Verarbeitung auf das technisch Notwendige beschränkt ist und nicht zur Profilbildung dient.
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: (a) Scan-Autorisierung (aktive Bestätigung, dass der Kunde zur Prüfung der angegebenen Website berechtigt ist); (b) zweiwöchentliche Marketing-Benachrichtigungen an Free-User, die in den Opt-In eingewilligt haben (siehe § 14).
- Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Steuerrechtliche Aufbewahrungspflichten (§ 147 AO, 10 Jahre für Rechnungen), Weitergabe an Strafverfolgungsbehörden gemäß Verordnung (EU) 2023/1543.
4. KI-Verarbeitung
Die Auswertung der Rechtsquellen erfolgt mithilfe eines KI-Sprachmodells. Anbieter des Modells: Anthropic PBC (USA). Der Zugriff erfolgt über den Vermittlungsdienst OpenRouter Inc. (USA). Beide sind in der Auftragsverarbeiter-Tabelle (§ 7) gelistet.
Was wird übermittelt:
- Texte aus öffentlich zugänglichen Rechtsquellen (Bundesgesetzblatt, EUR-Lex, BfDI etc.)
- Das anonymisierte Unternehmensprofil (Branche, Größe — ohne Name, E-Mail oder andere identifizierende Merkmale)
- Aggregierte Keywords aller aktiven Abonnenten, pseudonymisiert (ohne Zuordnung zu einem bestimmten Abonnenten). Diese Multi-Subscriber-Aggregation dient der Cross-Topic-Relevanzprüfung. Gib daher keine geheimhaltungsbedürftigen oder personenbezogen identifizierbaren Begriffe als Keywords ein.
Was wird NICHT übermittelt: Name, E-Mail, Firmenname, Zahlungsdaten, Webhook-URL, API-Key, Scan-URL, rohe Scan-Ergebnisse des Kunden (außer den o.g. pseudonymen Aggregaten).
Scanner-KI-Verarbeitung: Beim Website-Scan sendet der Scanner zusätzlich die Scan-Ergebnisse (Cookies, Third-Party-Services, Legal-Pages-Extrakte max. 1500 Zeichen) an das KI-Modell, um eine strukturierte rechtliche Bewertung zu erhalten. Diese Daten beziehen sich ausschließlich auf die vom Kunden zum Scan autorisierte Website (siehe AGB § 3).
5. Website-Scan
Beim Website-Scan wird die vom Kunden angegebene URL mit einem automatisierten Browser (Playwright/Chromium) aufgerufen. Es werden die gleichen Informationen erfasst, die jeder Besucher sehen würde (Cookies, Scripts, Third-Party-Requests, Impressum, Datenschutzerklärung, AGB). Der Scanner:
- identifiziert sich mit User-Agent
SerahrLegalMonitor/1.0 (+https://serahr.de/legal-monitor/bot), - respektiert
robots.txt-Anweisungen (eigene + generelle), - speichert nur die ersten 1500 Zeichen der verlinkten DSE-/Impressum-/AGB-Seite als Heuristik-Grundlage,
- blockiert Scans auf interne und Cloud-Metadata-Endpunkte (SSRF-Schutz),
- läuft auf einem Hetzner-Server in Deutschland.
Der Scan setzt die aktive Scan-Autorisierungs-Bestätigung des Kunden voraus (AGB § 3), die mit Zeitstempel gespeichert wird.
6. Weitergabe an Strafverfolgungsbehörden
Wir können gesetzlich verpflichtet sein, gespeicherte Daten auf Grundlage einer Europäischen Herausgabeanordnung oder Sicherungsanordnung gemäß Verordnung (EU) 2023/1543 an Strafverfolgungsbehörden weiterzugeben. Eine solche Weitergabe erfolgt ausschließlich auf Grundlage einer rechtmäßigen Anordnung und im gesetzlich vorgeschriebenen Umfang. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO.
7. Auftragsverarbeiter
| Dienst | Anbieter | Zweck | Standort |
|---|---|---|---|
| Supabase | Supabase Inc. | Datenbank, Authentifizierung | EU (Irland) |
| Vercel | Vercel Inc. | Hosting der Website + Cron-Jobs | EU (Edge) |
| Hetzner | Hetzner Online GmbH | Website-Scanner-Server | Deutschland |
| Resend | Resend Inc. | E-Mail-Versand | USA (DPF) |
| Stripe | Stripe Inc. | Zahlungsabwicklung | USA (DPF) |
| OpenRouter | OpenRouter Inc. | KI-Zugangs-Vermittlung | USA (DPF) |
| Anthropic | Anthropic PBC | KI-Sprachmodell (Claude Sonnet 4) für Rechtsquellen-Analyse und Scan-Bewertung | USA (DPF) |
DPF = EU-U.S. Data Privacy Framework
Mit allen oben genannten Auftragsverarbeitern bestehen Vereinbarungen zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Für die US-amerikanischen Dienstleister sind zusätzlich zum DPF Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart, um den Schutz Ihrer Daten auch unabhängig vom DPF-Status sicherzustellen.
8. Speicherdauer und Retention
| Daten | Dauer |
|---|---|
| Account-Daten | Bis zur Kontolöschung + 30 Tage Grace-Period |
| Unternehmensprofil | Bis zur Kontolöschung |
| Consent-Nachweise (AGB/DSE-Version + Zeitstempel) | Bis zur Kontolöschung + 30 Tage (Art. 7 Abs. 1 DSGVO Nachweispflicht) |
| Marketing-Einwilligung (Opt-In-Status, Zeitpunkt, DSE-Version) | Bis zur Kontolöschung + 30 Tage (Art. 7 Abs. 1 DSGVO Nachweispflicht, auch bei Widerruf bleibt der Nachweis erhalten) |
| Double-Opt-In-Nachweis (E-Mail-Bestätigungs-IP + Zeitstempel) | Bis zur Kontolöschung + 30 Tage (Nachweis der Einwilligung nach § 7 Abs. 2 Nr. 2 UWG) |
| Scan-Ergebnisse (inkl. DSE-Extrakt) | Maximal 12 Monate, dann automatisch gelöscht |
| Monitoring-Ergebnisse | Maximal 12 Monate |
| Server-Logs (Vercel) | 30 Tage |
| Scanner-Logs (Hetzner) | 14 Tage (Docker Log-Rotation: 3 × 10 MB) |
| Email-Delivery-Logs (Resend) | Bis zu 180 Tage gemäß Resend-Retention-Policy |
| Zahlungsdaten (Stripe-Transaktionen) | 10 Jahre gemäß § 147 AO (Stripe-Customer wird bei Löschung entfernt, Rechnungen bleiben aus steuerrechtlichen Gründen) |
Die Einhaltung der Retention wird durch zwei automatisierte Jobs sichergestellt: (1) täglicher Hard-Delete-Cron bei Nutzern mit > 30 Tagen Löschantrag, (2) monatlicher Purge-Cron zur Löschung abgelaufener Scan- und Monitoring-Daten.
9. Ihre Rechte und Löschworkflow
Sie haben gemäß DSGVO folgende Rechte:
- Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21).
Löschworkflow: Nach einem Löschantrag (im Dashboard unter Einstellungen → Konto löschen, oder per E-Mail an contact@serahr.de) wird der Eintrag deletion_requested_at gesetzt; eine sofortige Stripe-Subscription-Kündigung erfolgt. Nach 30 Tagen Grace-Period (Datenexport möglich) wird Ihr Konto inkl. Stripe-Customer (ohne gesetzliche Aufbewahrungspflichten) durch den Hard-Delete-Cron endgültig gelöscht. Bei Nachfragen: contact@serahr.de.
10. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für Serahr ist die zuständige Behörde die Datenschutzbehörde Ihres Bundeslandes bzw. die Bundesbeauftragte für den Datenschutz (BfDI).
11. KI-Transparenz (Art. 50 KI-VO)
Gemäß Art. 50 Abs. 2 KI-VO (EU 2024/1689, Transparenzpflichten gültig ab 02.08.2026) weisen wir darauf hin: Die durch den Dienst erzeugten Topic-Zusammenfassungen, Relevanz- und Handlungsempfehlungen sowie Scan-Bewertungen sind KI-generierte Inhalte (Modell: Claude Sonnet 4, Anthropic PBC, über OpenRouter). Die KI-Ausgaben sind maschinenlesbar gekennzeichnet (Attribut data-ai-generated="true" in E-Mails, Badge "KI" in der UI) und werden durch Post-Processing gegen harte Scan-Fakten abgeglichen, um offensichtliche Halluzinationen zu reduzieren.
Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt. Die KI-gestützte Analyse dient ausschließlich der Informationsaufbereitung und trifft keine Entscheidungen über Rechte oder Pflichten des Nutzers. Die Bewertung der Relevanz und die daraus resultierenden Handlungsempfehlungen haben reinen Hinweischarakter. Eine unabhängige Prüfung durch eine Fachperson bleibt erforderlich.
12. Erforderlichkeit der Datenbereitstellung
Die Bereitstellung Ihrer E-Mail-Adresse und Ihres Unternehmensprofils ist für die Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Ohne diese Angaben kann der Monitoring-Dienst nicht erbracht werden. Die Angabe von Keywords, Webhook-URL und Datenverarbeitungs-Details ist freiwillig, verbessert aber die Qualität der Ergebnisse.
13. Cookies und Tracking
Diese Website verwendet keine Tracking-Cookies und keine Third-Party-Tracker. Die Authentifizierung nutzt Supabase Auth mit sicheren HTTP-Cookies (httpOnly, SameSite=Lax). Rechtsgrundlage für diese technisch erforderlichen Cookies ist § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, hat zum 14.05.2024 das TTDSG abgelöst).
14. Marketing-Kommunikation
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Diese Kommunikation ist optional und ausschließlich auf aktiven Opt-In gestützt — ohne Ihre Einwilligung erhalten Sie keine Marketing-E-Mails. Kostenpflichtige Produkt-E-Mails (Report-Mails zum monatlichen Monitoring, Rechnungsmails, Transactional-Mails wie Willkommen oder Passwort-Reset) fallen nicht unter diese Einwilligung, sondern sind Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Umfang der Einwilligung: Im kostenlosen Plan versenden wir nach jeder zweiwöchentlichen Prüfung (1. und 15. des Monats) eine E-Mail mit einer aggregierten Zählung, wie viele relevante Gesetzes- und Rechtsprechungsänderungen Ihre konfigurierten Keywords in dem Zeitraum betroffen hätten — aufgeschlüsselt nach den internen Kategorien "Handeln", "Beobachten" und "Informativ". Die Titel und Detailinformationen der konkreten Fundstücke werden in diesen Mails nicht übermittelt; sie sind Bestandteil der kostenpflichtigen Pro-Leistung.
Einwilligung und Widerruf: Die Einwilligung geben Sie aktiv bei der Registrierung (separat von der AGB/DSE-Zustimmung) oder jederzeit nachträglich im Dashboard unter Einstellungen → Account → Email-Benachrichtigungen. Zur Nachweisführung speichern wir Ihren Opt-In-Status, den Zeitpunkt und die zum Zeitpunkt der Einwilligung geltende DSE-Version. Widerruf ist jederzeit möglich: (a) Toggle im Dashboard, (b) Abmelde-Link in jeder Benachrichtigungs-E-Mail (List-Unsubscribe gemäß RFC 8058), (c) formlose Nachricht an contact@serahr.de. Der Widerruf wirkt mit sofortiger Zukunft; bereits erfolgter Versand bleibt rechtmäßig.
Nach Widerruf: Der Versand wird unmittelbar eingestellt. Der Nachweis der ursprünglichen Einwilligung (Status, Zeitpunkt, DSE-Version) bleibt bis zur Kontolöschung + 30 Tage erhalten — er dient ausschließlich der Erfüllung der Nachweispflicht nach Art. 7 Abs. 1 DSGVO und wird für keine weitere Verarbeitung verwendet.
Keine Weitergabe: Die Marketing-Einwilligung wird nicht an Dritte weitergegeben und nicht für personalisierte Werbung, Retargeting oder Profilbildung verwendet. Die Inhalte der Benachrichtigungen beruhen ausschließlich auf den von Ihnen im Profil gewählten Keywords und den öffentlich zugänglichen Rechtsquellen.
15. Webhook-Benachrichtigungen
Wenn Sie eine Webhook-URL konfigurieren, sendet unser System bei neuen Findings einen HTTP-POST-Request an diese URL. Dabei werden übermittelt: Zeitstempel, Ihr Firmenname, der Finding-Status und eine strukturierte Liste der Themen (Titel, Zusammenfassung, Relevanz). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (auftragsgemäße Zustellung). Die Übertragung geht direkt von unserem Server an Ihre URL — Sie sind für die Rechtsgrundlage gegenüber dem Empfänger-System verantwortlich.
Sicherheitsmaßnahmen: Die URL wird auf interne und Cloud-Metadata-Endpunkte geprüft (SSRF-Schutz). Ausschließlich HTTPS/HTTP-Ziele werden akzeptiert. Bei Erreichen interner oder link-local Adressen wird der Request unterdrückt.
16. Änderungen
Der Anbieter behält sich vor, diese Datenschutzerklärung bei Bedarf anzupassen. Änderungen werden auf dieser Seite veröffentlicht. Bei wesentlichen Änderungen werden Abonnenten per E-Mail informiert.