Datenschutzerklärung

Stand: 5. Juni 2026

1. Verantwortlicher

David Greiner
Bäckerstraße 8, 14770 Brandenburg an der Havel
E-Mail: datenschutz@klauselklaus.de

2. Welche Daten wir erheben

Bei der Nutzung ohne Account

• Keine personenbezogenen Daten
• Der hochgeladene Vertragstext wird ausschließlich zur Analyse an unseren KI-Dienstleister gesendet (Details unter „4. Weitergabe an Dritte") und danach nicht gespeichert
• Technische Logs (IP-Adresse, Zeitstempel) durch den Hosting-Anbieter – Aufbewahrung max. 7 Tage
• Missbrauchsabwehr: Zur Begrenzung automatisierter Anfragen (Rate-Limiting auf Login, Registrierung und Analyse) verarbeiten wir die IP-Adresse kurzzeitig in flüchtigen Zähl-Fenstern. Eine dauerhafte Speicherung findet nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Schutz vor Missbrauch).
• Anonyme Zugriffsstatistik (AWStats): Aus den Webserver-Logs werden mit AWStatsrein serverseitig aggregierte Reports erzeugt (Seitenaufrufe, Referrer, Browser-Typ). AWStats selbst setzt keine Cookies und bindet kein JavaScript ein; IP-Adressen werden vor der Aggregation gekürzt, die Reports enthalten keine personenbezogenen Daten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenmessung und Sicherheit).
• Reichweitenmessung mit Matomo: Zusätzlich nutzen wir das selbst auf unserem Server gehostete Analyse-Werkzeug Matomo, um die Nutzung unserer Website zu verstehen (Seitenaufrufe, Herkunft/Referrer, ungefähre Region, genutzte Funktionen). Matomo arbeitet ohne Cookies und ohne geräteübergreifende Wiedererkennung; IP-Adressen werden vor der Speicherung gekürzt und ein Do-Not-Track-Signal deines Browsers wird respektiert. Es werden dabei keine Informationen auf deinem Endgerät gespeichert oder ausgelesen, und die Daten verlassen unseren Server nicht (kein Drittanbieter, keine Auftragsverarbeitung). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an datensparsamer Reichweitenmessung); § 25 Abs. 2 Nr. 2 TDDDG. Du kannst der Messung jederzeit über die Do-Not-Track-Funktion deines Browsers widersprechen.
• Google Search Console: Zur Auswertung der Sichtbarkeit unserer Website in der Google-Suche nutzen wir Google Search Console (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland). Search Console übermittelt uns ausschließlich aggregierte Statistiken aus dem Google-Index (z. B. Suchanfragen, Impressionen, Klicks auf unsere Seiten in den Suchergebnissen). Es findet keine Datenverarbeitung der Besucher dieser Website durch Search Console statt: es werden keine Cookies gesetzt, kein JavaScript geladen und keine personenbezogenen Daten an Google übertragen. Die Verifizierung erfolgt passiv über einen DNS- bzw. Meta-Tag-Eintrag. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenmessung und Auffindbarkeit in Suchmaschinen).

Lokale Zwischenspeicherung im Browser

Während einer Analyse-Sitzung halten wir den Analyse-Kontext – den von dir eingegebenen bzw. hochgeladenen Vertragstext und das Analyse-Ergebnis – ausschließlich lokal in deinem Browser (im sogenanntensessionStorage) vor. Das dient allein dazu, dass dein Ergebnis ein versehentliches Neuladen der Seite sowie die Weiterleitung zur Zahlung übersteht, ohne dass du den Vertrag erneut hochladen musst. Diese Daten werden – über die eigentliche Analyse hinaus (siehe „4. Weitergabe an Dritte") – nicht an uns übertragen und nicht auf unseren Servern gespeichert. Der Speicher ist auf den jeweiligen Browser-Tab beschränkt, wird beim Schließen des Tabs automatisch geleert und zusätzlich beim Abmelden sowie beim Start einer neuen Analyse gelöscht. Auf gemeinsam genutzten Geräten empfehlen wir, dich nach der Nutzung abzumelden. Diese lokale Speicherung ist für den von dir angefragten Dienst unbedingt erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG) und bedarf daher keiner Einwilligung.

Bei der Registrierung

• E-Mail-Adresse (Pflicht)
• Passwort (verschlüsselt gespeichert, nie im Klartext)
• Analyse-Ergebnisse als JSON (nicht der Originalvertragstext)
• Credits-Zähler (Anzahl deiner freigeschalteten Vollanalysen)
• Rechnungsdaten beim Kauf einer Vollanalyse: Name und Anschrift, die du in deinem Konto als Rechnungsadresse hinterlegst, sowie der Kauf- und Zahlungsstatus. Diese Daten brauchen wir, um dir eine ordnungsgemäße Rechnung auszustellen.
• Zahlungsdaten: werden ausschließlich von Stripe verarbeitet – wir sehen keine Kreditkartendaten

Kaufst du als Gast ohne Konto, fragen wir keine Rechnungsadresse ab; du erhältst den Zahlungsbeleg von Stripe.

Bei der Durchführung von Analysen

• Nutzungs- und Kostenerfassung: Zu jeder durchgeführten Analyse speichern wir technische Eckdaten (verwendetes KI-Modell, Zeitpunkt, Token-Mengen, berechnete Kosten, Zweck „frei"/„bezahlt") mit Bezug zu deinem Konto. Diese Daten enthalten keinen Vertragsinhalt und keine IP-Adresse und dienen der Kostenkontrolle und Missbrauchserkennung. Bei Account-Löschung wird der Kontobezug entfernt; eine anonyme Mengen-/Kostenstatistik kann erhalten bleiben.
• Conversion-Statistik: Zur Auswertung, welcher Anteil der Voranalysen zu einer Vollanalyse führt, protokollieren wir intern Zeitpunkt, Ereignis (frei/bezahlt), Zahlungsweg und Vertragstyp mit einer Konto-Kennung – ohne Vertragsinhalt und ohne IP. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Produktverbesserung).

Interne Betriebs-Benachrichtigungen: Der Betreiber erhält bei neuen Registrierungen und durchgeführten Analysen eine interne E-Mail-Notiz (E-Mail-Adresse, Vertragstyp, Bewertung – kein Vertragsinhalt) zur Funnel- und Betriebsbeobachtung (Art. 6 Abs. 1 lit. f DSGVO).

Bei der Eintragung in die Pre-Launch-Warteliste

Während der Pre-Launch-Phase bieten wir eine freiwillige Warteliste an. Die Eintragung erfolgt im Double-Opt-In-Verfahren: Nach Eingabe deiner E-Mail-Adresse senden wir dir eine Bestätigungsmail. Erst nach Klick auf den darin enthaltenen Bestätigungs-Link wird dein Eintrag aktiv und für die Launch-Benachrichtigung berücksichtigt. Unbestätigte Einträge werden regelmäßig gelöscht.

Aus Gründen der Datenminimierung verarbeiten wir ausschließlich:

• E-Mail-Adresse (Pflichtangabe) – ausschließlich zur einmaligen Benachrichtigung beim Start des Produkts
• Quelle des Eintrags (z. B. „Hero-Banner", „Preise-Seite") – pseudonym, zur Auswertung welche Seitenbereiche zur Eintragung führen
• Bestätigungs-Token (Zufallszeichenfolge) – zur Validierung des Klicks auf den Bestätigungs-Link in der Double-Opt-In-Mail
• Zeitstempel der Eintragung und der Bestätigung

Es wird keine IP-Adresse zum Eintrag gespeichert. Spam-Schutz erfolgt serverseitig über kurzlebige Rate-Limit-Zähler ohne Personenbezug.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung beim Eintragen über die Checkbox im Warteliste-Formular).

Speicherdauer: Die E-Mail-Adresse wird gespeichert, bis Klauselklaus startet und die einmalige Benachrichtigung versandt wurde. Anschließend wird der Eintrag spätestens nach 14 Tagen vollständig gelöscht. Bei vorzeitigem Widerruf der Einwilligung erfolgt die Löschung unverzüglich.

Widerruf: Du kannst deine Einwilligung jederzeit per Mail an datenschutz@klauselklaus.de widerrufen. Es entstehen keinerlei Nachteile aus dem Widerruf.

Wartelisten-Bonus: Eingetragene und bestätigte Mail-Adressen erhalten beim Start einen einmaligen Rabatt auf die erste Vollanalyse (4,90 € statt 9 €). Dieser Bonus ist nicht übertragbar und gilt nur einmal pro Mail-Adresse. Er stellt kein Vertragsangebot vor dem Start dar.

Weitergabe: Die Daten der Warteliste werden ausschließlich auf unseren Servern in der EU (DomainFactory, Serverstandort Deutschland) gespeichert und nicht an Dritte weitergegeben. Es findet kein Tracking, keine Profilbildung und keine Werbung statt.

3. Rechtsgrundlage

Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb).

4. Weitergabe an Dritte

• KI-Analyse-Dienstleister (AWS Bedrock): Zur Analyse senden wir deinen Vertragstext an AWS Bedrock in der Region eu-central-1 (Frankfurt). Einzelheiten zur Verarbeitung, zum Auftragsverarbeitungsvertrag und zum Drittlandbezug findest du unten unter „5. Verarbeitung von Vertragsinhalten".
• Stripe: Zahlungsabwicklung – eigene Datenschutzerklärung gilt.
• Sentry (Error-Tracking): Bei technischen Fehlern senden wir anonymisierte Fehlerberichte (Stack-Trace, Browser, Route, keine Vertragsdaten, keine IP-Adressen im Klartext) an Functional Software, Inc. d/b/a Sentry, San Francisco/USA. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Fehlerbehebung). Datentransfer in die USA auf Grundlage des EU-US Data Privacy Framework (Sentry ist zertifiziert) sowie ergänzender Standardvertragsklauseln.
• HaveIBeenPwned (Pwned-Passwords-API): Bei der Registrierung und beim Passwort-Reset prüfen wir, ob das gewählte Passwort in bekannten Datenleaks auftaucht. Dazu wird nur ein 5-Zeichen-Präfix des SHA-1-Hashs (k-Anonymität) an haveibeenpwned.com (1Password / Have I Been Pwned LLC, Australien) übermittelt — das Passwort selbst und der vollständige Hash verlassen unseren Server nie. Keine Account-/E-Mail-Daten gehen mit. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Account-Sicherheit).
• Cloudflare Turnstile (Bot-Schutz): Auf dem kostenlosen Analyse-Pfad prüfen wir mit Cloudflare Turnstile, ob eine Anfrage von einem Menschen stammt. Dabei werden technische Interaktions- und Geräte-Signale sowie die IP-Adresse an Cloudflare übermittelt; es werden keine Vertrags- oder Account-Daten weitergegeben und keine Cookies zu Werbezwecken gesetzt. Anbieter: Cloudflare, Inc., San Francisco/USA. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Bot- und Missbrauchsabwehr). Datentransfer in die USA auf Grundlage des EU-US Data Privacy Framework (Cloudflare zertifiziert) sowie ergänzender Standardvertragsklauseln.
• E-Mail-Versand (GoDaddy): Transaktionale E-Mails (Verifizierung, Passwort-Reset, Rechnungen, Wartelisten-Bestätigung) versenden wir über den Mail-Dienst von GoDaddy (GoDaddy.com, LLC, Arizona/USA; „Secure Server", smtpout.secureserver.net). Verarbeitet werden dabei die E-Mail-Adresse des Empfängers und der Mailinhalt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO. Datentransfer in die USA auf Grundlage des EU-US Data Privacy Framework sowie ergänzender Standardvertragsklauseln.
• Hosting-Anbieter: DomainFactory GmbH, c/o WeWork, Neuturmstrasse 5, 80331 München, Deutschland – Serverstandort Deutschland.

Eine Weitergabe an weitere Dritte oder zu Werbezwecken findet nicht statt.

5. Verarbeitung von Vertragsinhalten

Wenn du einen Vertrag zur Analyse hochlädst, wird der Vertragstext ausschließlich transient verarbeitet, um die KI-Analyse durchzuführen. Der Originaltext des Vertrags wird zu keinem Zeitpunkt in unserer Datenbank gespeichert.

Die Verarbeitung erfolgt über AWS Bedrock in der Region eu-central-1 (Frankfurt). Die AWS EMEA SARL ist als Auftragsverarbeiter nach Art. 28 DSGVO tätig; der Auftragsverarbeitungsvertrag erfolgt über das Data Processing Addendum von AWS. AWS verarbeitet Prompts und Outputs gemäß den AWS-Service-Terms nicht für eigene Modell-Trainingszwecke.

Soweit der Mutterkonzern Amazon.com Inc. (USA) involviert ist, erfolgt der Drittlandtransfer auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission) und ergänzend abgesichert über Standardvertragsklauseln.

6. Verarbeitung personenbezogener Daten Dritter im Vertragstext

Verträge enthalten typischerweise personenbezogene Daten Dritter (Namen von Geschäftsführern, Ansprechpartner, Adressen, Kontaktdaten). Diese Daten werden im Rahmen der KI-Analyse transient verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Bereitstellung des Analyse-Dienstes und am berechtigten Interesse des Nutzers an der Prüfung seiner Vertragsposition.

Eine individuelle Information der betroffenen Dritten nach Art. 14 DSGVO ist nicht möglich oder mit unverhältnismäßigem Aufwand verbunden (Art. 14 Abs. 5 lit. b DSGVO). Diese Datenschutzerklärung dient als öffentlich zugängliche Information im Sinne dieser Vorschrift.

Vor der Auslieferung und Speicherung des Analyse-Ergebnisses durchläuft dieses eine automatisierte Anonymisierung: Anhand von Mustererkennung werden E-Mail-Adressen, Telefonnummern, IBANs, Steuer- und Umsatzsteuer-Nummern, Handelsregister-Nummern, Anschriften (mit Postleitzahl) sowie Firmennamen mit Rechtsformzusatz (z. B. GmbH, AG, UG) durch generische Platzhalter ersetzt. Zusätzlich werden beim Speichern nur bekannte Ergebnis-Felder übernommen; der Originaltext des Vertrags wird ohnehin nie gespeichert. Die Erkennung erfolgt musterbasiert und kann untypisch formatierte Angaben (etwa Personennamen ohne weiteren Kontext oder Anschriften ohne Postleitzahl) nicht in jedem Fall vollständig erfassen.

7. Auftragsverarbeiter und Unter-Auftragsverarbeiter

8. KI-gestützte Inhalte

Inhalte im Magazin, Glossar und in den Analyse-Outputs werden mit Unterstützung von KI-Systemen erstellt und redaktionell geprüft. Die Inhalte basieren auf der einschlägigen Rechtsprechung, AGB-Kommentarliteratur und Praxis-Diskussion in Berufsverbänden. Sie stellen keine Rechtsdienstleistung im Sinne des § 2 RDG dar.

9. Speicherdauer

• Account-Daten (E-Mail, Passwort): bis zur Löschung durch den Nutzer oder uns
• Analyse-Ergebnisse: bis zur manuellen Löschung durch den Nutzer
• Rechnungsadresse: solange dein Konto besteht oder bis du sie selbst löschst
• Warteliste: bis zur Launch-Benachrichtigung + max. 14 Tage (oder bei Widerruf sofort)
• Nutzungs-/Kostenerfassung (Analyse-Metadaten): mit Kontobezug bis zur Account-Löschung, danach anonymisiert
• Interne Conversion-Statistik: aggregiert, mit regelmäßiger Bereinigung
• Rechnungen und Zahlungsbelege: 8 Jahre gemäß § 14b Abs. 1 UStG und § 147 Abs. 1 Nr. 4 i. V. m. Abs. 3 AO. Diese gesetzliche Aufbewahrungspflicht geht einem Löschverlangen vor; für diese Dauer schränken wir die Verarbeitung ein, statt zu löschen.

10. Deine Rechte

Du hast das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Anfragen an: datenschutz@klauselklaus.de

Du hast außerdem das Recht, bei der zuständigen Datenschutzbehörde Beschwerde einzulegen.

11. Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies: Die HttpOnly-Cookies klk_access und klk_refresh halten deinen Login-Status (signierte Token) und sind für die angemeldeten Funktionen erforderlich. Ergänzend speichern wir einen technisch notwendigen Wert lokal in deinem Browser (fc_user zur Anzeige deines Login-Status).

Wir setzen keine optionalen Cookies und keine geräteübergreifende Wiedererkennung ein. Zur Reichweitenmessung nutzen wir Matomo (siehe Abschnitt 2) – ein selbst auf unserem Server gehostetes Analyse-Werkzeug, das ohne Cookies arbeitet, IP-Adressen vor der Speicherung kürzt und das Do-Not-Track-Signal deines Browsers respektiert. Da hierbei keine Informationen auf deinem Endgerät gespeichert oder ausgelesen werden, ist keine Einwilligung erforderlich(§ 25 Abs. 2 Nr. 2 TDDDG; Art. 6 Abs. 1 lit. f DSGVO). Du kannst der Messung jederzeit über die Do-Not-Track-Funktion deines Browsers widersprechen. Weitere Hinweise unter Cookie-Einstellungen.

Klauselklaus ist kein Anwalt, erbringt keine Rechtsdienstleistung im Sinne des § 2 RDG und ersetzt keine individuelle Rechtsberatung. Für Streitfälle und vor Gericht ist ein Anwalt der richtige Ansprechpartner.