Übersicht Datenschutz
Datenschutzerklärung
Deine Daten gehören dir. Wir verarbeiten sie ausschließlich zur Bereitstellung von ContractLife – transparent, DSGVO-konform und auf Servern in Deutschland bzw. der EU.
Verantwortlicher
Fabian Lehmann
Einzelunternehmen
Abraham-Wolf-Str. 51c
70597 Stuttgart
Deutschland

E-Mail: kontakt@contractlife.de
Tel.: +49 151 29828719
Hinweis: ContractLife ist ein Informationsdienst. Die bereitgestellten Analysen und Empfehlungen stellen keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar.
Welche Daten wir verarbeiten
Registrierungsdaten Name, E-Mail-Adresse, verschlüsseltes Passwort
Vertragsdaten Von dir hochgeladene PDFs zur KI-Analyse
Nutzungsdaten Fristen, Belege, Haushaltsdaten, Garantien
Technische Daten IP-Adresse, Browser-Typ, Zugriffszeiten
KI-gestützte Vertragsanalyse
KI-Funktionen

ContractLife nutzt KI für folgende Funktionen:

  • Vertragsanalyse (Stärken, Schwächen, Sparpotenzial)
  • Vertragsvergleich (Gegenüberstellung zweier Verträge)
  • DeepDive (vertiefte Klausel-Analyse)
  • Beleg-Erkennung (Händler, Datum, Betrag)
Welche Daten gesendet werden
  • Der extrahierte Text aus dem Vertrag oder Beleg
  • KEINE persönlichen Identifikatoren wie Name, E-Mail, Geburtsdatum oder Adresse
Wohin die Daten gehen
  • Unser eigener Backend-Server
  • Gehostet bei der ADACOR Hosting GmbH
  • Standort: Offenbach am Main (Deutschland)
  • Übertragung: TLS-verschlüsselt
Keine Weitergabe an Dritte
  • Keine Übermittlung an externe KI-Anbieter
  • Kein Drittland-Transfer
  • Keine Verarbeitung durch Werbedienstleister oder Datenhändler
Speicherdauer

Vertragstexte werden ausschließlich während der Analyse verarbeitet und nicht dauerhaft auf dem KI-Server gespeichert. Das Analyse-Ergebnis wird nur in deinem Account gespeichert (siehe Karte „Speicherdauer").

Einwilligung

Vor der ersten Nutzung einer KI-Funktion holt die App eine ausdrückliche Einwilligung des Nutzers ein. Diese kann jederzeit in den Einstellungen widerrufen werden — danach werden KI-Funktionen deaktiviert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Ein regelbasierter DSGVO-Filter (Best-Effort-Maskierung) versucht zusätzlich, Namen, IBANs und E-Mail-Adressen vor der Analyse zu entfernen. Eine 100%-Erkennungsgarantie ist technisch nicht möglich; lade daher keine Dokumente hoch, die hochsensible Daten enthalten, deren Verarbeitung du strikt ausschließen willst. Es findet keine vollautomatische Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Hochgeladene Dokumente werden nicht für das Training von KI-Modellen verwendet.

  • ✓ Vollständige Verarbeitung in Deutschland
  • ✓ Kein Drittland-Transfer
  • ✓ Kein US-Cloud-Anbieter
Wichtiger Hinweis: Die KI-Analysen von ContractLife stellen ausdrücklich KEINE Rechts-, Steuer- oder Finanzberatung dar. Sie ersetzen nicht die Beratung durch einen zugelassenen Rechtsanwalt, Steuerberater oder Versicherungsfachmann. Nutze die Ergebnisse als erste Orientierung, nicht als rechtlich bindende Grundlage.
Backend-Hosting und KI-Infrastruktur
Anbieter ADACOR Hosting GmbH
Anschrift Kaiserleistraße 51, 63067 Offenbach am Main, Deutschland
Website www.adacor.com
Zweck Hosting unseres Backend-Servers, auf dem die KI-gestützte Vertragsanalyse läuft
Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Datenort Deutschland (Offenbach am Main / Frankfurt am Main)
AV-Vertrag Mit der ADACOR Hosting GmbH besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
Wichtiger Hinweis: Die ADACOR Hosting GmbH stellt ausschließlich Server-Infrastruktur bereit. ADACOR ist kein KI-Anbieter und verarbeitet keine Vertragsdaten inhaltlich. Die KI-Analyse läuft auf unserem eigenen Backend, das bei ADACOR gehostet wird.
Weitere Auftragsverarbeiter
Supabase Inc. (USA) Datenbank & Authentifizierung. Speicherung primär auf EU-Servern (Frankfurt). Drittlandtransfer in die USA möglich, Rechtsgrundlage Art. 46 Abs. 2 lit. c DSGVO (Standardvertragsklauseln) bzw. EU-US Data Privacy Framework. Kopie der Garantien auf Anfrage.
RevenueCat, Inc. (USA) Verwaltung von In-App-Abonnements (Subscription-Status, Receipt-Validierung im App Store / Play Store). Übermittelt werden: anonymisierte AppUserID, Plan-Status, Store-Receipt-Daten. KEINE Klarnamen, KEINE E-Mail-Adresse, KEINE Zahlungsdaten — die Zahlung wickelt Apple bzw. Google direkt mit dem Nutzer ab. Drittlandtransfer in die USA via Art. 46 DSGVO (SCCs) + EU-US Data Privacy Framework. AV-Vertrag (DPA) gemäß Art. 28 DSGVO vorhanden.
TARIFCHECK24 GmbH (Deutschland) Vergleichsrechner & Affiliate-Tracking nach aktivem Klick auf einen Partnerlink (Wentorf bei Hamburg). Kein Drittlandtransfer.
Rechtsgrundlagen
Art. 6 Abs. 1 lit. b DSGVO Vertragserfüllung – Bereitstellung der App-Funktionen
Art. 6 Abs. 1 lit. a DSGVO Einwilligung – z.B. KI-Analyse, optionale Funktionen
Art. 6 Abs. 1 lit. f DSGVO Berechtigtes Interesse – Sicherheit, Missbrauchsprävention
Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO)

Speicherdauer pro Datenkategorie:

Account-Stammdaten (Name, E-Mail, Passwort-Hash) Solange der Account aktiv ist. Nach Löschung: 30 Tage bis zur vollständigen Entfernung aus Backups.
Hochgeladene Vertrags-PDFs Bis zu 30 Tage nach Upload, danach automatische Löschung. Nur wenn du den Vertrag aktiv ins Portfolio aufnimmst, bleibt die strukturierte Analyse länger.
Vertragstexte auf dem KI-Server Werden ausschließlich während der Analyse verarbeitet und nicht dauerhaft gespeichert. Nach Abschluss der Analyse werden sie verworfen.
Strukturierte Analyse-Ergebnisse & Portfolio-Verträge Bis du den Vertrag oder Account löschst.
Belege, Fristen, Sparziele, Garantien (User Content) Bis du sie selbst löschst oder den Account schließt.
Technische Logs (IP-Adresse, User-Agent, Zugriffszeit) Maximal 14 Tage rolling, dann automatische Anonymisierung/Löschung.
RevenueCat- / App-Store-Daten Subscription-Status und Receipt-Daten werden bei RevenueCat sowie bei Apple/Google gehostet (nicht bei uns). Aufbewahrung dort gemäß §147 AO bis zu 10 Jahre, soweit Transaktion erfolgt.
Smart Alerts & Notifications Bis Status „erledigt" oder Account-Löschung.

Maßgebliches Kriterium ist immer der Zweck der Verarbeitung — ist er erfüllt oder entzogen, werden die Daten gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Deine Rechte
Auskunft (Art. 15) Recht auf Auskunft über gespeicherte Daten.
Berichtigung (Art. 16) Recht auf Korrektur unrichtiger Daten.
Löschung (Art. 17) Recht auf Löschung deiner Daten („Recht auf Vergessenwerden"). Direkt in der App: Profil → Konto löschen.
Einschränkung (Art. 18) Recht auf Einschränkung der Verarbeitung.
Datenübertragbarkeit (Art. 20) Recht auf Herausgabe deiner Daten in maschinenlesbarem Format. Anfrage formlos per E-Mail an kontakt@contractlife.de — Auslieferung als JSON-Export innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).
Widerspruch (Art. 21) Recht auf Widerspruch gegen die Verarbeitung.
Widerruf der Einwilligung (Art. 7 Abs. 3) Erteilte Einwilligungen — insbesondere die KI-Einwilligung — kannst du jederzeit mit Wirkung für die Zukunft widerrufen: in der App (Einstellungen) oder formlos per E-Mail an kontakt@contractlife.de. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Beschwerderecht bei Aufsichtsbehörde (Art. 13 Abs. 2 lit. d, Art. 77) Du kannst dich jederzeit bei einer Datenschutz-Aufsichtsbehörde beschweren. Zuständig für unseren Sitz in Stuttgart: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Königstraße 10a, 70173 Stuttgart, Tel. 0711/615541-0, poststelle@lfdi.bwl.de.
Anfragen an: kontakt@contractlife.de — Bearbeitung innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).
Cookies & lokale Speicherung
Wir setzen ausschließlich technisch notwendige Cookies bzw. lokale Speicherung für Session-Verwaltung und Login (Art. 6 Abs. 1 lit. b DSGVO, §25 Abs. 2 TDDDG).
Kein Einsatz von Google Analytics, Facebook Pixel oder vergleichbaren Cross-Site-Tracking-Diensten.
Keine Werbe-Cookies. Keine Cookies oder Identifier vor aktiver Nutzerinteraktion.
Hinweis Affiliate: Wenn du auf einen Partnerlink klickst, wird ein anonymisierter Klick-Identifier serverseitig an die TARIFCHECK24 GmbH übermittelt — ausschließlich nach deinem aktiven Klick und ohne Cookies. Details siehe Sektion „Werbung & Affiliate-Empfehlungen".
Werbung & Affiliate-Empfehlungen

ContractLife zeigt nach einer Vertragsanalyse gelegentlich Empfehlungen für alternative Anbieter an. Diese Empfehlungen sind als Partnerlinks (Affiliate-Links) gekennzeichnet.

Wenn du über einen solchen Link einen Vertrag abschließt, erhalten wir eine Vermittlungsprovision vom jeweiligen Anbieter. Für dich entstehen dabei keine Mehrkosten.

Unsere Vertragsanalyse ist davon vollständig unabhängig – wir zeigen dir immer zuerst das objektive Analyseergebnis. Eine Empfehlung erscheint nur, wenn dein Vertrag ein Verbesserungspotenzial aufweist (Score unter 50%).

Unser Partnerlink-Anbieter ist die TARIFCHECK24 GmbH, Wentorf bei Hamburg. Bei einem Klick auf einen Partnerlink wird deine IP-Adresse sowie ein anonymisierter Klick-Identifier an den Anbieter übermittelt, um die Provision technisch nachvollziehen zu können. Es werden keine persönlichen Vertragsdaten weitergegeben.

Verarbeitungsverzeichnis gem. Art. 30 DSGVO

Verarbeitete Daten:

  • Name, E-Mail-Adresse (Registrierung & Login)
  • Vertragsdaten (Analyse & Portfolio)
  • PDF-Dokumente (temporär zur Analyse, anschließende Löschung nach Speicherdauer-Sektion)
  • Subscription-Status: Bei In-App-Abonnement (Apple App Store / Google Play) verwaltet RevenueCat die Receipt-Validierung. Wir erhalten ausschließlich anonymisierte AppUserID + Plan-Status. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Drittlandtransfer USA via SCCs + EU-US Data Privacy Framework. RevenueCat-Datenschutz: revenuecat.com/privacy.
  • Nutzungsdaten (anonymisiert, keine Tracking-Cookies)

Auftragsverarbeiter (Art. 28 DSGVO):

  • ADACOR Hosting GmbH (Deutschland) – Backend-Hosting & KI-Inferenz. Kaiserleistraße 51, 63067 Offenbach am Main. Server in Offenbach / Frankfurt am Main. AV-Vertrag gem. Art. 28 DSGVO. Kein Drittlandtransfer.
  • Supabase Inc. (USA) – Datenbank & Authentifizierung (DPA vorhanden, EU-Server Frankfurt, Drittlandtransfer USA via SCCs/DPF)
  • RevenueCat, Inc. (USA) – Subscription-Verwaltung & Receipt-Validierung (DPA vorhanden, Drittlandtransfer USA via SCCs/DPF)

Eigene Verantwortliche / Datenempfänger (Art. 4 Nr. 7 DSGVO):

  • Apple Inc. (USA) / Apple Distribution International Ltd. (IE) – Sign in with Apple (optional) sowie Abwicklung von In-App-Abonnements. Apple ist eigener Verantwortlicher für Zahlungs-, Account- und Receipt-Daten. Bei „Sign in with Apple" wird ein anonymisierter Apple-Identifier ausgetauscht. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO; Drittlandtransfer via DPF.
  • Google Ireland Ltd. / Google LLC (USA) – Sign in with Google (optional) sowie Abwicklung von Google-Play-Abonnements (sofern Android). Bei „Sign in with Google" wird die hinterlegte Google-Account-E-Mail an uns übermittelt. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO; Drittlandtransfer via SCCs/DPF.
  • TARIFCHECK24 GmbH (Deutschland) – Affiliate-Partner. Bei aktivem Klick auf einen Partnerlink wird IP-Adresse + anonymisierter Klick-Identifier übermittelt. TARIFCHECK24 ist eigener Verantwortlicher für die anschließende Vermittlung — keine Auftragsverarbeitung. Details: Sektion „Werbung & Affiliate-Empfehlungen".

Auftragsverarbeiter verarbeiten Daten ausschließlich nach unserer Weisung gemäß Art. 28 DSGVO. Eigene Verantwortliche bestimmen Zwecke und Mittel der Datenverarbeitung selbst — auf deren Datenschutzhinweise wird verwiesen.

Datensicherheit
Alle Verbindungen sind durch HTTPS/TLS verschlüsselt.
Passwörter werden ausschließlich als bcrypt-Hash gespeichert – nie im Klartext.
Backend & KI-Inferenz laufen auf Servern in Deutschland (ADACOR, Offenbach / Frankfurt am Main).
Pflicht zur Bereitstellung (Art. 13 Abs. 2 lit. e DSGVO)

Die Bereitstellung deiner Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Du bist nicht verpflichtet, Daten zur Verfügung zu stellen.

Folgen einer Nichtbereitstellung: Ohne Angabe von Name + E-Mail kann kein Account erstellt werden — die App ist dann nicht nutzbar. Ohne Hochladen von Vertrags-PDFs bzw. ohne KI-Einwilligung kann keine KI-Analyse durchgeführt werden. Die übrigen Funktionen (manuelle Vertrags-Eintragung, Belege, Fristen) sind dadurch jedoch nicht eingeschränkt.

Eine Pflicht zur Angabe von Zahlungsdaten besteht nur, wenn du ein kostenpflichtiges Abo abschließen möchtest — kein Abo-Abschluss = keine Datenpflicht. Die Zahlung läuft direkt über Apple bzw. Google.

Minderjährigenschutz (Art. 8 DSGVO, Apple 5.1.4)

ContractLife richtet sich an volljährige Privatpersonen ab 18 Jahren. Die App ist nicht für Kinder oder Jugendliche unter 16 Jahren bestimmt.

Bei Registrierung versichern Nutzer, das 16. Lebensjahr vollendet zu haben. Wir erheben bewusst kein Alter, da wir die Plattform nicht für Minderjährige bewerben oder optimieren.

Die optionale „Familie"-Sektion (z.B. Aufgaben für Kinder) wird vom volljährigen Account-Inhaber selbst geführt — Kinder haben keinen eigenen Login. Es werden lediglich vom Eltern-Account hinterlegte Vornamen + Aufgaben gespeichert. Eine eigenständige Datenverarbeitung Minderjähriger findet nicht statt.

Sollten wir Kenntnis erlangen, dass ein Account von einem Minderjährigen unter 16 Jahren ohne Einwilligung der Erziehungsberechtigten angelegt wurde, löschen wir diesen umgehend. Hinweise an: kontakt@contractlife.de.

Login-Verfahren (E-Mail / Apple / Google)

Du kannst dich auf drei Wegen anmelden:

  • E-Mail + Passwort — Passwort wird ausschließlich als bcrypt-Hash gespeichert.
  • Sign in with Apple — Apple übermittelt einen anonymisierten Identifier; deine echte Apple-ID-Mail kannst du verbergen (Apple Relay). Apple-Datenschutz: apple.com/legal/privacy.
  • Sign in with Google — Google übermittelt deine Google-Account-E-Mail. Google-Datenschutz: policies.google.com/privacy.

Bei OAuth-Logins (Apple/Google) werden ausschließlich die für die Authentifizierung notwendigen Daten ausgetauscht — kein Zugriff auf andere Apple-/Google-Daten. Die Wahl der Login-Methode ist freiwillig; alle drei sind gleichwertig.

Datenschutzbeauftragter (Art. 13 Abs. 1 lit. b DSGVO)

Es wurde kein Datenschutzbeauftragter bestellt. Eine Pflicht zur Bestellung besteht nach §38 BDSG nicht, da:

  • der Verantwortliche Einzelunternehmer ist (weniger als 20 Personen mit ständiger Datenverarbeitung beschäftigt),
  • keine Datenverarbeitung erfolgt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegt,
  • keine geschäftsmäßige Übermittlung personenbezogener Daten zum Zweck der Werbung oder des Adresshandels stattfindet.

Anfragen zu Datenschutz richte bitte an: kontakt@contractlife.de. Diese werden persönlich vom Verantwortlichen bearbeitet.

Account-Löschung (Apple App Store Guideline 5.1.1(v))

Du kannst dein Konto und alle damit verbundenen personenbezogenen Daten jederzeit direkt in der App löschen:

  1. Öffne Profil (Burger-Menü → Profil)
  2. Scrolle nach unten zu „Konto löschen"
  3. Bestätige die Sicherheitsabfrage

Mit der Bestätigung werden folgende Daten unwiderruflich gelöscht: Login, Profil, hochgeladene Verträge & PDFs, Analyse-Ergebnisse, Belege, Fristen, Sparziele, Vertrags-Portfolio. Die Löschung erfolgt sofort in der Datenbank und binnen 30 Tagen in den verschlüsselten Backups.

Ausnahme: Receipt- und Subscription-Daten unterliegen bei tatsächlich erfolgten Transaktionen den steuerrechtlichen Aufbewahrungspflichten (bis zu 10 Jahre, §147 AO). Diese werden bei Apple bzw. Google sowie bei RevenueCat selbst gehostet und nicht bei uns.

Datenkategorien (Apple Privacy Nutrition Labels)

Übersicht der erhobenen Datenkategorien gemäß Apple App Store Privacy-Schema. Keine dieser Kategorien wird für Tracking im Sinne von App Tracking Transparency genutzt.

Contact Info E-Mail-Adresse, Telefonnummer (optional). Linked to user. Not used for tracking. Zweck: App-Funktionalität, Authentifizierung.
User Content Hochgeladene Vertrags-PDFs, Belege, manuelle Einträge. Linked to user. Not used for tracking. Zweck: Kernfunktion (Analyse).
Identifiers User-ID (Supabase), RevenueCat AppUserID. Linked to user. Not used for tracking. Zweck: Authentifizierung, Subscription-Status.
Usage Data Funktionsnutzung (welche Analyse, wie oft). Linked to user. Not used for tracking. Zweck: Plan-Limits durchsetzen, Funktionsverbesserung.
Purchases App-Store-Receipt-Daten, Subscription-Status (via RevenueCat). Bei tatsächlicher Zahlung speichert Apple (nicht wir, nicht RevenueCat) die Kartendaten. Linked to user. Not used for tracking.
Diagnostics Technische Logs bei Fehlern (Browser-Typ, Zugriffszeit). Not linked to user. Not used for tracking. Zweck: Bug-Fixing.
Änderungen dieser Erklärung
Die aktuelle Version dieser Datenschutzerklärung ist stets in der App abrufbar.
Bei wesentlichen Änderungen informieren wir dich per E-Mail.
Stand: Mai 2026 · Version 1.2 · Impressum · AGB