Datenschutzerklärung

// LAWBSTER ist eine B2B-API, die deutsche und europäische Rechtsdokumente über das Model Context Protocol (MCP) durchsuchbar macht.

Für die Verarbeitung von Vertrags-, Konto-, Abrechnungs- und Sicherheitsdaten sind wir eigenständig Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Soweit unsere Kunden im Rahmen der API-Nutzung personenbezogene Daten in Suchanfragen eingeben, verarbeiten wir diese im Auftrag des jeweiligen Kunden gemäß Art. 28 DSGVO, sofern nicht im Einzelfall eine eigenständige Verantwortlichkeit besteht.

Alle Daten werden ausschließlich auf Servern in Deutschland (Hetzner Online GmbH) verarbeitet und gespeichert, mit Ausnahme der Zahlungsabwicklung über Stripe (siehe Abschnitt 13).

Verarbeitete Daten: Name, E-Mail-Adresse, Benutzerkennung (Subject-ID), Client-ID, Zeitpunkt der Registrierung und letzten Nutzung, E-Mail-Verifizierungsstatus.

Zweck: Bereitstellung und Verwaltung des Nutzerkontos, Authentifizierung bei API-Zugriffen mittels OAuth 2.1 (JWT) oder API-Schlüssel.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Für die Dauer des Vertragsverhältnisses. Abrechnungsrelevante Daten werden nach Vertragsende gemäß steuer- und handelsrechtlicher Aufbewahrungsfristen aufbewahrt (§§ 147 AO, 257 HGB; i.d.R. 6 bzw. 10 Jahre). Reine Authentifizierungsdaten werden nach Kontolöschung unverzüglich gelöscht.

Verarbeitete Daten: SHA-256-Hash des API-Schlüssels (der Klartext wird nicht gespeichert), vom Nutzer vergebener Name und Beschreibung, nicht-umkehrbarer Hinweis (z. B. sk-legal-...xxxx), Erstellungs- und Nutzungszeitpunkte.

Zweck: Authentifizierung von API-Anfragen, Verwaltung des Schlüssel-Lebenszyklus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Verarbeitete Daten: E-Mail-Adressen eingeladener Teammitglieder (normalisiert), Einladungs-, Annahme- und ggf. Entfernungszeitpunkt.

Datenquelle: Wir erhalten diese Daten vom einladenden Team-Administrator bzw. unserem Kunden, nicht von der betroffenen Person selbst (Art. 14 DSGVO). Die betroffene Person wird bei Einladung über die Datenverarbeitung informiert.

Zweck: Verwaltung von Teamzugängen im Rahmen des gebuchten Abonnements.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Bis zur Entfernung des Teammitglieds oder Beendigung des Vertragsverhältnisses.

Verarbeitete Daten: Name, E-Mail-Adresse, Stripe-Kundennummer, Abonnementdaten (Tarif, Anzahl gebuchter Seats, Status, Laufzeiten).

Zweck: Abwicklung von Zahlungen, Abonnementverwaltung, Rechnungsstellung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Hinweis: Für die Zahlungsabwicklung nutzen wir Stripe (siehe Abschnitt 13). Stripe verarbeitet Zahlungsdaten teils in unserem Auftrag (Art. 28 DSGVO) und teils als eigenständig Verantwortlicher, soweit dies für Betrugsprävention und die Erfüllung gesetzlicher Pflichten (PSD2) erforderlich ist. Zahlungsmittelinformationen (Kreditkartendaten etc.) werden ausschließlich bei Stripe verarbeitet und nicht auf unseren Servern gespeichert.

Verarbeitete Daten: Monatliche und tägliche Anfragezähler pro API-Schlüssel und Nutzer, Kontingent-Warnungen.

Zweck: Durchsetzung der vertraglichen Nutzungskontingente, Anzeige der Nutzungsstatistiken im Kundenportal.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Aggregierte Nutzungsdaten werden für die Dauer des Vertragsverhältnisses und anschließend für Abrechnungszwecke gemäß den gesetzlichen Aufbewahrungsfristen gespeichert.

Verarbeitete Daten: Klartext der Suchanfrage (für 30 Tage), SHA-256-Hash der Suchanfrage, aufgerufenes Tool, Ergebnistyp, Relevanz-Score, Ergebnisanzahl, Antwortgröße, Verarbeitungsdauer, Fehlerdetails.

Zweck: Qualitätssicherung und Verbesserung der Suchergebnisse, Fehlerdiagnose, Missbrauchserkennung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der kontinuierlichen Verbesserung der Suchqualität und der Sicherstellung eines zuverlässigen Dienstbetriebs. IP-Adressen werden in diesem Zusammenhang nicht gespeichert.

Speicherdauer: Der Klartext der Suchanfrage wird nach 30 Tagen automatisch gelöscht. Der SHA-256-Hash und die übrigen Metadaten werden für die Dauer des Vertragsverhältnisses und anschließend für bis zu 12 Monate zur Missbrauchserkennung und Qualitätssicherung gespeichert, danach gelöscht.

Soweit wir Daten auf Grundlage berechtigter Interessen verarbeiten, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einlegen (siehe Abschnitt 15).

Verarbeitete Daten: Empfänger-E-Mail-Adresse, Name, Tarif- und Nutzungsinformationen.

Zweck: Versand von Willkommensnachrichten, Zahlungserinnerungen, Kontingent-Warnungen und Zugangssperrungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Hinweis: API-Schlüssel werden in E-Mails nicht übermittelt.

Verarbeitete Daten: Technische Fehlermeldungen und Stack-Traces. Wir konfigurieren Sentry so, dass personenbezogene Daten grundsätzlich nicht verarbeitet werden (PII-Scrubbing ist standardmäßig aktiviert). Eine vollständige Ausschließbarkeit im Einzelfall kann bei technischen Fehlermeldungen jedoch nicht garantiert werden.

Zweck: Erkennung und Behebung technischer Fehler, Sicherstellung der Dienstverfügbarkeit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem fehlerfreien Betrieb).

Hinweis: Sentry wird auf unserer eigenen Infrastruktur in Deutschland (Hetzner) betrieben. Es findet keine Datenübermittlung an Dritte statt.

Bei jedem Zugriff auf unseren Dienst werden durch den Webserver automatisch Informationen erfasst.

Verarbeitete Daten: IP-Adresse, Zeitpunkt des Zugriffs, angeforderte Ressource, HTTP-Statuscode, User-Agent-String.

Zweck: Sicherstellung des technischen Betriebs, Erkennung und Abwehr von Angriffen, Rate-Limiting.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität des Dienstes).

Speicherdauer: Server-Logdateien werden nach 14 Tagen automatisch rotiert.

Unser Kundenportal setzt einen einzigen funktionalen Cookie:

• „locale“ — speichert die gewählte Spracheinstellung (Deutsch/Englisch). Technisch erforderlich für die korrekte Darstellung.

Es werden keine Tracking-, Analyse- oder Werbe-Cookies durch unser Portal eingesetzt.

Zur Sitzungsaufrechterhaltung werden technisch erforderliche Authentifizierungsinformationen im Browser gespeichert. Diese werden beim Abmelden gelöscht.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderliche Speicherung).

Hinweis: Sofern Sie die Hauptwebsite planitprima.com besucht haben, können Cookies dieser Website auf der übergeordneten Domain gesetzt worden sein, die auch auf dieser Subdomain sichtbar sind. Für diese Cookies gilt die Datenschutzerklärung der Hauptwebsite planitprima.com.

Hosting: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Alle Server befinden sich in Deutschland. Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO liegt vor.

Zahlungsabwicklung: Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA. Stripe verarbeitet Zahlungsdaten teils in unserem Auftrag (Art. 28 DSGVO) und teils als eigenständig Verantwortlicher für Betrugsprävention und regulatorische Pflichten. Datenschutzerklärung: stripe.com/de/privacy

Authentifizierung und Fehlerüberwachung werden auf unserer eigenen Infrastruktur in Deutschland betrieben (Keycloak, Sentry). Es findet keine Übermittlung an Dritte statt.

Eine Übermittlung personenbezogener Daten in Drittländer erfolgt ausschließlich an Stripe, Inc. (USA) im Rahmen der Zahlungsabwicklung. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss gemäß Art. 45 DSGVO). Soweit Stripe als eigenständig Verantwortlicher handelt, erfolgt die Verarbeitung auf Grundlage von Stripes eigener Datenschutzerklärung.

Alle übrigen Datenverarbeitungen finden ausschließlich auf Servern in Deutschland statt.

Nach der DSGVO stehen Ihnen folgende Rechte zu:

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO) — soweit wir Daten auf Grundlage berechtigter Interessen verarbeiten, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einlegen (betrifft Abschnitte 8, 10, 11)
• Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Kontakt: datenschutz@planitprima.com

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt. Die in der Suchpipeline eingesetzten KI-Modelle (Embedding, Reranking) dienen ausschließlich der semantischen Suche in Rechtsdokumenten und treffen keine Entscheidungen über betroffene Personen.

Wir behalten uns vor, diese Datenschutzerklärung an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite.