Datenschutzerklärung

Zuletzt aktualisiert: 24. Juni 2026

1. Einleitung

Renewly Limited ("Renewly", "wir", "uns" oder "unser"), eine in England und Wales eingetragene Gesellschaft (Handelsregisternummer 17297981) mit eingetragenem Sitz in 128 City Road, London, EC1V 2NX, Vereinigtes Königreich, ist der für Ihre personenbezogenen Daten Verantwortliche. Wir verpflichten uns, diese Daten und Ihr Recht auf Privatsphäre zu schützen.

Diese Datenschutzerklärung erläutert, wie wir Ihre Daten erheben, verwenden, offenlegen und schützen, wenn Sie unsere Plattform zur Nachverfolgung von Vertragsverlängerungen bei Anbietern auf renewly.gg nutzen.

2. Daten, die wir erheben

2.1 Von Ihnen bereitgestellte Daten

  • Kontoinformationen: E-Mail-Adresse (erforderlich), vollständiger Name, Firmenname
  • Vertragsinformationen: Vertragsdateien (PDF), Titel und Metadaten
  • Einstellungen & Präferenzen: Benachrichtigungseinstellungen und Kommunikationseinstellungen
  • Passkey-Anmeldedaten: Wenn Sie einen Passkey registrieren, speichern wir das von Ihrem Gerät zurückgegebene öffentliche Schlüsselmaterial und die Credential-Kennung. Der private Schlüssel verlässt Ihr Gerät nie.

2.2 Automatisch erhobene Daten

  • Nutzungsinformationen: Besuchte Seiten, genutzte Funktionen, im Dienst verbrachte Zeit
  • Geräteinformationen: Browsertyp, IP-Adresse, Betriebssystem
  • Cookies: Essenzielle Sitzungscookies (immer aktiv) und, mit Ihrer Einwilligung, Analyse-Cookies. Details finden Sie in unserer Cookie-Richtlinie.

2.3 Sicherheits- und Aktivitätsprotokolle (Audit-Log)

Wir führen ein Audit-Log, um die Sicherheit Ihres Kontos zu schützen und gesetzliche Verpflichtungen zu erfüllen. Das Audit-Log erfasst:

  • Authentifizierungsereignisse: Anmeldung, Abmeldung, Aktivierung/Deaktivierung von MFA, Sitzungswiderruf, Registrierung und Entfernung von Passkeys, Magic-Link-Anfragen
  • Organisationsereignisse: Erstellung von Organisationen, Hinzufügen/Entfernen von Mitgliedern, Rollenänderungen, Annahme/Ablehnung von Einladungen
  • Abrechnungsereignisse: Gestarteter Checkout, Abonnementänderungen, Kündigung
  • Datenereignisse: Vertragsuploads, Vertragslöschungen, Anträge auf Kontolöschung, GDPR-Datenexporte
  • Einstellungsänderungen: Benachrichtigungseinstellungen, Verbinden/Trennen von Integrationen, Workspace-Wechsel

Jeder Protokolleintrag erfasst den Ereignistyp, einen Zeitstempel, die Benutzer-ID des Handelnden, die Organisations-ID (sofern zutreffend) und relevante Metadaten zur Aktion (zum Beispiel, welcher Vertrag gelöscht oder welche Mitgliedsrolle geändert wurde). IP-Adressen werden in Audit-Log-Einträgen nicht gespeichert.

Audit-Log-Einträge werden 3 Jahre aufbewahrt (siehe Abschnitt 4, Datenaufbewahrung). Sie können die Audit-Log-Historie Ihres eigenen Kontos einsehen, indem Sie sich wenden an privacy@renewly.gg.

3. Wie wir Ihre Daten verwenden

3.1 Diensterbringung

Rechtsgrundlage: Vertragserfüllung

  • Ihr Konto erstellen und verwalten
  • Ihre Verträge automatisch verarbeiten und analysieren
  • Verlängerungsbenachrichtigungen senden
  • Kundensupport bereitstellen

3.2 Einhaltung gesetzlicher Vorschriften

Rechtsgrundlage: Rechtliche Verpflichtung

  • Gesetzliche Anforderungen erfüllen
  • Vor Betrug und Missbrauch schützen
  • Unsere Nutzungsbedingungen durchsetzen

4. Datenaufbewahrung

Wir bewahren Ihre personenbezogenen Daten so lange auf, wie Ihr Konto aktiv ist oder wie es für die Erbringung unserer Dienste erforderlich ist.

Aufbewahrungsfristen:

  • Daten aktiver Konten: Aufbewahrt, bis Sie Ihr Konto löschen
  • Verträge: Aufbewahrt, bis Sie sie löschen
  • Audit-Logs: 3 Jahre (für Sicherheit und Compliance)
  • Backups: 30 Tage, danach dauerhaft gelöscht

5. Wie wir Ihre Daten weitergeben

Wir verkaufen Ihre personenbezogenen Daten nicht. Wir geben Daten nur an vertrauenswürdige Dienstleister weiter:

Supabase (Datenbank & Speicher)

  • Zweck: Speicherung von Kontodaten, Verträgen und Metadaten
  • Sicherheit: SOC 2 Type II, ISO/IEC 27001:2022, GDPR-konform
  • DPA: Unterzeichnet

Unterauftragsverarbeiter für die Vertragsextraktion

  • Reducto: PDF-Textextraktion (Phase vor dem LLM). Unterauftragsverarbeiter; die Datenverarbeitung ist in unserer Vereinbarung mit Reducto geregelt. Opt-out pro Organisation auf Anfrage verfügbar.
  • Google Vertex (Gemini): Primäre LLM-Extraktion. Läuft in der jeweiligen Region (EU-Region für die EU, US-Region für die USA). Keine Aufbewahrung und kein Modelltraining mit Daten, gemäß den Bedingungen von Google Vertex.
  • Anthropic (Claude): Validierungsdurchlauf. Läuft für beide Regionen über die Anthropic Direct API. Keine Aufbewahrung und kein Modelltraining mit API-Daten, gemäß den API-Bedingungen von Anthropic. Opt-out pro Organisation verfügbar.
  • Was gesendet wird: Nur Vertragstext (keine Namen, E-Mail-Adressen oder Kontoinformationen).

Die maßgebliche Liste der Unterauftragsverarbeiter und die Offenlegung zu Betriebsprotokollen finden Sie auf /trust.

Resend (E-Mail-Dienst)

  • Zweck: Versand von Verlängerungsbenachrichtigungen und Service-E-Mails
  • Sicherheit: GDPR-konform
  • Was gesendet wird: E-Mail-Adresse und Benachrichtigungsinhalt

5.1 Von Ihnen autorisierte Drittanbieter-Clients

Renewly unterstützt OAuth 2.1-Autorisierung, sodass Sie Anwendungen von Drittanbietern (zum Beispiel KI-Assistenten und Entwicklertools) mit Ihrem Konto verbinden können. Wenn Sie auf dem Autorisierungsbildschirm Ihre Einwilligung erteilen, erhält die verbundene Anwendung ein Token, mit dem sie unsere API in Ihrem Namen innerhalb der von Ihnen genehmigten Scopes aufrufen kann.

Was geteilt wird

  • Umfang: Nur die Daten, die von den von Ihnen genehmigten Scopes abgedeckt sind (z. B. Verträge lesen, E-Mail-Entwürfe erstellen). Der Einwilligungsbildschirm listet die genauen Berechtigungen auf, bevor Sie bestätigen.
  • Mandantengrenze: Die Anwendung kann nur Ihre eigenen Verträge und die Daten von Organisationen sehen, in denen Sie Mitglied sind, niemals die Daten eines anderen Kunden.
  • Was wir senden: Vertragsmetadaten, extrahierte Felder und alle Ausgaben, die das angeforderte Tool erzeugt. Wir übermitteln weder Ihr Passwort noch Ihre MFA-Faktoren, Rechnungsdaten oder sonstige Kontozugangsdaten.

Ihre Kontrolle

  • Widerruf: Sie können jede verbundene Anwendung jederzeit widerrufen unter Settings → Connections. Der Widerruf macht das Token sofort ungültig.
  • Audit: OAuth-Berechtigungen und -Widerrufe werden protokolliert und in Ihren Einstellungen angezeigt.
  • Richtlinien von Drittanbietern: Sobald Daten Renewly verlassen, unterliegen sie der Datenschutzerklärung der verbundenen Anwendung. Prüfen Sie diese Erklärung, bevor Sie Zugriff gewähren.

5.2 Von Ihnen verbundene Drittanbieterdienste (Google Calendar, Microsoft Calendar, Slack, DocuSign, Salesforce)

Renewly kann sich mit Diensten von Drittanbietern verbinden, damit Vertragsverlängerungstermine dort erscheinen, wo Sie bereits arbeiten. Wenn Sie eine dieser Verbindungen über Settings → Integrations starten, durchlaufen Sie einen OAuth- oder Webhook-Flow auf Seiten des Drittanbieters und gewähren Renewly die Mindestberechtigungen, die für die Funktion dieser Integration erforderlich sind.

Google Calendar

  • Angeforderte Scopes: https://www.googleapis.com/auth/calendar.events (Termine in Ihren Kalendern lesen und schreiben) und https://www.googleapis.com/auth/userinfo.email (die primäre E-Mail-Adresse Ihres Google-Kontos, zur Kennzeichnung der Verbindung verwendet).
  • Was wir damit tun: Wir erstellen Erinnerungstermine für Verlängerungen in Ihrem primären Google Calendar zu den Standard-Vorlaufzeiten (90, 60, 30 und 7 Tage vor dem Verlängerungsdatum jedes Vertrags) und aktualisieren oder löschen diese Termine, wenn Sie den zugrunde liegenden Vertrag in Renewly ändern oder entfernen. Wir lesen keine anderen Kalendertermine, ändern keine Termine anderer Anwendungen und schreiben nicht in andere Kalender als Ihren primären Kalender.
  • Was wir speichern: Ein verschlüsseltes OAuth-Refresh-Token (AES-256-GCM im Ruhezustand), die E-Mail-Adresse des Google-Kontos, mit dem Sie die Verbindung hergestellt haben, und ein serverseitiges Protokoll, welcher Renewly-Vertrag zu welcher Google-Termin-ID gehört, damit wir später den richtigen Termin aktualisieren können. Die Inhalte Ihrer übrigen Kalendertermine speichern wir nie.
  • Aufbewahrung: Token werden aufbewahrt, bis Sie Calendar in Renewly trennen, Ihr Renewly-Konto löschen oder das Token über Ihr Google-Konto widerrufen wird. Beim Trennen werden die verschlüsselten Token innerhalb von 24 Stunden gelöscht; bei Kontolöschung werden sie im Rahmen der vollständigen Kontobereinigung gelöscht (siehe Abschnitt 4, Datenaufbewahrung).
  • Eingeschränkte Nutzung: Die Nutzung und Übertragung von Informationen, die Renewly über Google-APIs erhält, an andere Apps erfolgt in Übereinstimmung mit der Google API Services User Data Policy, einschließlich der Limited-Use-Anforderungen. Insbesondere verwenden wir Google-Nutzerdaten nicht zum Trainieren generalisierter KI-/ML-Modelle, verkaufen oder übertragen sie nicht an Dritte und verwenden sie nicht für Werbung. Der Zugriff durch Menschen ist auf das Minimum beschränkt, das für Sicherheitsüberprüfungen, Debugging auf Nutzeranfrage oder die Einhaltung gesetzlicher Vorschriften erforderlich ist.

Microsoft Calendar (Outlook / Microsoft 365)

  • Angeforderte Scopes: Calendars.ReadWrite und User.Read (Ihre primäre E-Mail-Adresse).
  • Was wir damit tun: Wie bei Google Calendar - Erinnerungstermine für Verlängerungen in Ihrem primären Microsoft-Kalender erstellen, aktualisieren und löschen.
  • Aufbewahrung + Speicherung: Wie bei Google Calendar (verschlüsselte Token, gelöscht beim Trennen oder bei Kontolöschung).

Slack und Microsoft Teams

  • Mechanismus: Ausgehend, per Einfügen einer Incoming-Webhook-URL. Sie erstellen den Webhook in Ihrem Slack-Workspace oder Teams-Kanal und fügen die URL in Renewly ein. Kein OAuth, keine in Ihrem Workspace installierte Renewly-App.
  • Was wir senden: Verlängerungswarnungen (Vertragstitel, Tage bis zur Verlängerung, Link zurück zu Renewly). Nur in eine Richtung: Wir lesen niemals Nachrichten aus Ihrem Workspace.
  • Was wir speichern: Die verschlüsselte Webhook-URL (AES-256-GCM im Ruhezustand). Gelöscht beim Trennen oder bei Kontolöschung.

DocuSign und Salesforce

  • Scopes: Beschränkt auf das, was die jeweilige Integration erfordert - DocuSign: Signaturen/Envelopes lesen und erstellen, Salesforce: Vertragsdatensätze lesen und gemäß Feldzuordnung schreiben.
  • Was wir damit tun: Wir synchronisieren Vertragsmetadaten zwischen Renewly und diesen Systemen, damit der Vertragsstatus konsistent bleibt. Wir lesen niemals Dokumente oder Datensätze außerhalb der von Ihnen konfigurierten Feldzuordnungen.
  • Aufbewahrung + Speicherung: Verschlüsselte Refresh-Token, gelöscht beim Trennen oder bei Kontolöschung.

Jederzeit trennen: Jeder verbundene Dienst verfügt über eine Disconnect-Schaltfläche auf seiner Karte unter Settings → Integrations. Durch das Trennen werden die gespeicherten Token oder die Webhook-URL innerhalb von 24 Stunden gelöscht. Speziell für Google können Sie den Zugriff von Renewly zusätzlich über Ihre Seite Google-Kontoberechtigungen widerrufen.

6. Ihre Rechte

6.1 GDPR-Rechte (Nutzer in der EU/im EWR)

Auskunftsrecht:

Fordern Sie eine Kopie Ihrer personenbezogenen Daten an (Settings → Export My Data)

Recht auf Berichtigung:

Korrigieren Sie unrichtige personenbezogene Daten (Settings → Profile)

Recht auf Löschung:

Beantragen Sie die Löschung Ihrer Daten (Settings → Delete Account)

Recht auf Datenübertragbarkeit:

Erhalten Sie Ihre Daten in einem maschinenlesbaren Format (JSON)

Beschwerderecht:

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Im Vereinigten Königreich ist dies das Information Commissioner's Office (ico.org.uk). In der EU/im EWR können Sie sich bei der Aufsichtsbehörde des Mitgliedstaats Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes beschweren (Verzeichnis unter edpb.europa.eu).

6.2 CCPA-Rechte (Einwohner Kaliforniens)

  • Erfahren Sie, welche personenbezogenen Daten wir erheben und verwenden
  • Fordern Sie Zugriff auf Ihre personenbezogenen Daten an
  • Lassen Sie Ihre personenbezogenen Daten löschen
  • Widersprechen Sie dem Verkauf (Hinweis: Wir verkaufen keine personenbezogenen Daten)

7. Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten zu schützen:

Technische Maßnahmen

  • Verschlüsselung bei der Übertragung (TLS 1.3)
  • Verschlüsselung im Ruhezustand (AES-256)
  • Passwortlose Authentifizierung per Passkey (WebAuthn) und Magic-Link-E-Mail
  • Multi-Faktor-Authentifizierung (TOTP) für alle Konten verfügbar
  • Sicherheit auf Zeilenebene

Organisatorische Maßnahmen

  • Eingeschränkter Mitarbeiterzugriff
  • Sicherheitsschulungen
  • Verfahren zur Reaktion auf Vorfälle
  • Regelmäßige Sicherheitsaudits

8. Datenstandort und internationale Übermittlungen

Renewly ist ein Dienst mit zwei Regionen. Sie wählen Ihre Region bei der Registrierung, und Ihre Verträge, Kontodaten und Audit-Logs werden für die gesamte Lebensdauer des Workspace in dieser Region gespeichert.

European Union

  • Speicherung: Supabase eu-central-1 (AWS Frankfurt)
  • Primäre Extraktion: Google Vertex in the EU region

United States

  • Speicherung: Supabase us-east-1 (AWS N. Virginia)
  • Primäre Extraktion: Google Vertex in the US region

Zwei Phasen der Vertragsextraktion erfolgen derzeit regionsübergreifend: die PDF-Textextraktion (über unseren Unterauftragsverarbeiter Reducto) und die LLM-Validierung (über die Anthropic Direct API für Claude). Für beide gibt es ein Opt-out pro Organisation. Siehe /trust für die maßgebliche Übersicht.

Für Übermittlungen personenbezogener Daten aus dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich oder der Schweiz in Länder ohne Angemessenheitsbeschluss der Europäischen Kommission (oder das britische Äquivalent) stützt sich Renewly auf die Standardvertragsklauseln (SCCs) der Europäischen Kommission und, soweit anwendbar, das UK International Data Transfer Addendum. Kopien dieser Mechanismen sind auf Anfrage erhältlich unter privacy@renewly.gg. Wir haben eine unterzeichnete DPA mit Supabase, und eine Renewly-DPA ist auf Anfrage verfügbar.

9. Cookies und Tracking

Wir verwenden zwei Kategorien von Cookies. Essenzielle Cookies sind immer aktiv und für die Funktion des Dienstes erforderlich. Nicht essenzielle Analyse-Cookies (Apollo, Microsoft Clarity, Google Analytics) werden nur geladen, wenn Sie sie über das Cookie-Banner oder in Ihren Kontoeinstellungen ausdrücklich akzeptieren.

Essenzielle Cookies (immer aktiv)

  • Zweck: Halten Sie angemeldet und speichern Ihre Cookie-Einstellung
  • Deaktivierbar: Nein - ohne sie funktioniert der Dienst nicht

Analyse-Cookies (Einwilligung erforderlich)

  • Dienste: Apollo, Microsoft Clarity, Google Analytics
  • Zweck: Verstehen, wie das Produkt genutzt wird, damit wir es verbessern können
  • Rechtsgrundlage: Einwilligung (GDPR Art. 6(1)(a))
  • Einstellung ändern: Settings → Account → Cookie preferences, jederzeit

In unserer Cookie-Richtlinie finden Sie die vollständige Liste der Cookies, was jeder Dienst erhält und wie Sie Ihre Einwilligung widerrufen.

10. Benachrichtigung bei Datenschutzverletzungen

Wenn eine Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für Ihre Rechte und Freiheiten führt, benachrichtigen wir die zuständige Aufsichtsbehörde unverzüglich und, soweit machbar, innerhalb von 72 Stunden (GDPR Art. 33). Führt die Verletzung voraussichtlich zu einem hohen Risiko für Sie, benachrichtigen wir auch Sie unverzüglich (GDPR Art. 34), mit Informationen über die Verletzung und die von uns ergriffenen Maßnahmen.

11. Kontakt

Wenn Sie Fragen zu dieser Datenschutzerklärung oder unseren Datenpraktiken haben:

Verantwortlicher: Renewly Limited (Handelsregisternummer 17297981)

Eingetragener Sitz: 128 City Road, London, EC1V 2NX, Vereinigtes Königreich

E-Mail: privacy@renewly.gg

Antwortzeit: Wir bemühen uns, innerhalb von 5 Werktagen zu antworten

Diese Datenschutzerklärung kann von Zeit zu Zeit aktualisiert werden. Wesentliche Änderungen werden aktiven Nutzern per E-Mail mitgeteilt. Die fortgesetzte Nutzung des Dienstes nach Veröffentlichung von Änderungen gilt als Zustimmung.

Mehr darüber, wie wir Ihre Daten schützen, finden Sie auf unserer Sicherheitsseite.