Skip to main content
LexLogik LogoLexLogik

Legal

Privacy Policy / Datenschutzerklärung

Our Commitment to Data Protection

The protection and confidentiality of our clients' data is our top priority. We are committed to our European location and ensure that all documents and files transmitted by our clients to LexLogik are processed exclusively on our own, sovereign servers in Germany.

  • No training of AI models using your content data.
  • No transfer to US cloud providers for data processing.
  • Document processing runs on our own infrastructure in Germany; uploaded files are not routed through US hyperscale cloud providers for that processing.

Contact: info@lexlogik.com

Data Privacy Statement

1. Data Controller

The entity responsible for data collection and processing is:

LexLogik UG (haftungsbeschränkt)
Mahlgasse 4
88339 Bad Waldsee
Germany
Managing Director: Jonas Maximilian RegulEmail: info@lexlogik.comPhone: +44 20 3885 1681 (International Support)VAT identification number pursuant to Section 27a of the German Value Added Tax Act: DE460852323

Please note: Our Irish phone number connects you to our central support team in Germany. We do not maintain a physical office in Ireland.

LexLogik UG is established in the European Union (Germany); Article 27 GDPR (representative outside the Union) does not apply. Where applicable, supervisory questions can be addressed to the Irish Data Protection Commission (DPC) - see section 11.

2. Collection and Storage of Personal Data

When you access our website, your browser automatically sends information to our website server (log files).

  • Information: IP address, date/time, accessed file, referrer URL, browser type/operating system.
  • Purpose: Ensuring a smooth connection, system security, and administration.
  • Legal Basis: Art. 6 (1) (f) GDPR (legitimate interest).

Retention: Log files are deleted automatically after 14 days unless a security-relevant incident requires extended retention.

Business outreach & onboarding emails

Where we send you informational or follow-up emails about LexLogik to a business email address (for example after a phone call, an introduction, or as part of a 12-day onboarding series for individuals who filled in the login form), we process your email address, optionally your name and firm, and the context of the outreach.

  • Legal basis: legitimate interest in B2B business development with regulated professionals (Art. 6 (1) (f) GDPR). Where a freely given consent is in place (for example, ticking a newsletter checkbox on the login form), the legal basis is consent (Art. 6 (1) (a) GDPR), which can be withdrawn at any time.
  • Processors: email delivery via our processor Mailgun (Sinch); editorial outreach may also be sent from our ordinary business inboxes.
  • Retention: until you object or the purpose lapses. If you opt out via the unsubscribe link, your address is moved to a suppression list.

Suppression list: we keep your unsubscribed email address together with the date of the opt-out for the sole purpose of reliably excluding it from future LexLogik mailings. This processing rests on our overriding interest in honouring your objection on a lasting basis (Art. 6 (1) (f) GDPR, see Recital 47); deleting the suppression list would undermine that protection.

3. Cloudflare (Security & Performance)

We use services from Cloudflare, Inc. (USA/EU) to protect our infrastructure against bot attacks (DDoS) and to optimize website loading times.

  • Important: Cloudflare is only used for the delivery of the web interface. Documents uploaded for processing are transmitted directly to our servers in Germany and do not pass through Cloudflare's infrastructure.
  • Legal Basis: Art. 6 (1) (f) GDPR (IT infrastructure security).
  • International transfers: Cloudflare is certified under the EU-U.S. Data Privacy Framework (DPF); transfers to the US rely on the DPF and, where required, on EU Standard Contractual Clauses.

4. Stripe (Payment Processing)

For the billing of "Counsel" and "Professional" plans, we use the payment service provider Stripe (Stripe Payments Europe Ltd., Ireland / Stripe Inc., USA).

  • When you subscribe to a paid plan, your payment data (credit card, bank details) is transmitted directly to Stripe. LexLogik does not store full credit card information.
  • Legal Basis: Art. 6 (1) (b) GDPR (performance of a contract).
  • International transfers: Stripe is certified under the EU-U.S. Data Privacy Framework (DPF); transfers to the US rely on the DPF and, where required, on EU Standard Contractual Clauses.

5. Self-hosted Analytics (Data Privacy Focused)

We do not use Google Analytics or Meta Pixels. For statistical analysis of page views, we use a self-hosted analysis tool on our own servers in Germany.

  • IP addresses are anonymized immediately.
  • No data is passed on to third parties.
  • Legal Basis: Art. 6 (1) (f) GDPR (reach measurement without personal reference).

6. Cookies

Today we only use cookies we classify as strictly necessary to operate and secure the service (for example login/session integrity). We do not deploy advertising or analytics cookies on this marketing site as described in section 5.

  • Under the European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (S.I. No. 336/2011), Reg. 5, consent is typically required for non-essential cookies and similar storage. We currently use only cookies that we classify as strictly necessary; what counts as strictly necessary depends on purpose and current Data Protection Commission (DPC) guidance, which can evolve.
  • If we introduce optional analytics or marketing cookies (or similar tags), we will obtain consent through a banner before setting them.

7. Disclosure of Data

Your content data (documents) is never passed on to third parties unless there is a legal obligation. For payment processing, only the necessary master data is transmitted to Stripe.

8. Uploaded documents (Zero-Retention architecture)

Documents that you upload for processing (PDFs, images, scans, attachments) are handled under a strict zero-retention paradigm. We use a least-data approach designed for the confidentiality requirements of Irish solicitors and the duty of confidentiality under the Solicitors Acts and the Law Society of Ireland's Guide to Professional Conduct.

  • Processing in volatile environments: document content is processed in volatile RAM instances or temporarily encrypted session partitions on dedicated hardware in Germany.
  • Automatic deletion: source files and processed results are deleted immediately after the workflow ends (download or session close); we do not create backups of client document content.
  • No AI training: document content is never used to train, fine-tune or evaluate machine learning models - neither ours nor any third party's.
  • No third-party AI APIs: OCR and analysis run on our own infrastructure; document content is not sent to OpenAI, Google, Anthropic or other external AI providers.
  • Legal basis: Art. 6 (1) (b) GDPR (performance of contract) for processing requested by you, combined with technical and organisational measures under Art. 32 GDPR.

9. Data Security

We use strong encryption (TLS 1.3 in transit, AES-256 at rest where data is stored at all). Production systems are hosted in Germany with Hetzner Online GmbH in ISO 27001-certified data centres; we maintain strict access controls, multi-factor authentication for administrative access and audit logging for our systems and operations. Further detail is available in our Technical and Organisational Measures (TOMs) and the data sheet linked from the security whitepaper.

10. Sub-processors

We engage a small set of vetted sub-processors strictly for operating the service. Engagement is governed by data processing agreements compliant with Art. 28 GDPR.

  • Hetzner Online GmbH (Germany) - hosting of dedicated servers and ISO 27001-certified data centres for document processing infrastructure.
  • Cloudflare, Inc. (USA/EU) - DDoS mitigation and frontend delivery for the marketing website. Document content is not routed through Cloudflare (see section 3).
  • Stripe Payments Europe Ltd. / Stripe, Inc. (Ireland / USA) - payment processing for paid plans (see section 4).
  • Email and transactional infrastructure for account, billing and support communications.

We will inform customers of any changes to this list in line with our DPA. A current sub-processor list is available on request at info@lexlogik.com.

11. Your Rights (Data Subject Rights)

Under the GDPR and the Irish Data Protection Act 2018, you have the right to:

  • Access (Art. 15), Rectification (Art. 16), and Erasure (Art. 17).
  • Restriction of processing (Art. 18) and Data portability (Art. 20).
  • Object to processing (Art. 21) and withdraw consent (Art. 7 (3)) at any time.
  • Complaint: You have the right to lodge a complaint with the Irish supervisory authority - the Data Protection Commission (DPC).

We typically respond to data subject requests within one month (Art. 12 (3) GDPR). To exercise your rights, please email info@lexlogik.com.

Right to object to direct marketing (anytime, free of charge, no formalities)

You have the right to object at any time to processing of your email address for direct-marketing purposes (sales follow-ups, onboarding tips, future campaigns) under Art. 21 (2) GDPR. After such an objection, we will no longer use your address for these purposes.

In practice: every marketing email we send ends with an unsubscribe link. A single click is sufficient; no confirmation reply or sign-in is required. The unsubscribed address is added to our suppression list and excluded from all LexLogik outbound channels (sales follow-ups, onboarding, future campaigns).

Alternatively, a plain email to info@lexlogik.com is enough; we will remove the address from our distribution list manually.

12. Automated decision-making and profiling

We do not carry out automated decision-making within the meaning of Art. 22 GDPR (decisions producing legal or similarly significant effects on individuals without human involvement) and we do not engage in profiling on this service.

13. Personal data breaches

In the event of a personal data breach, we notify the Data Protection Commission (DPC) without undue delay and, where feasible, within 72 hours of becoming aware of the breach in line with Art. 33 GDPR. Where the breach is likely to result in a high risk to data subjects' rights and freedoms, we will notify affected individuals without undue delay in line with Art. 34 GDPR.

As of: June 2026

Deutsch

The following text is provided in German. The German version is legally binding.

Unser Bekenntnis zum Datenschutz

Der Schutz und die Vertraulichkeit der Daten unserer Kunden hat für uns oberste Priorität. Wir bekennen uns zum europäischen Standort und stellen sicher, dass sämtliche Dokumente und Dateien, die unsere Kunden an LexLogik übersenden, ausschließlich auf unseren eigenen, souveränen Servern in Deutschland verarbeitet werden.

Kein Training von KI-Modellen mit Ihren Inhaltsdaten. Kein Transfer an US-Cloud-Anbieter zur Verarbeitung.

Kontakt bei Fragen: info@lexlogik.com

Datenschutzerklärung

1. Verantwortliche Stelle

Verantwortlich für die Datenerhebung und -verarbeitung ist:

LexLogik UG (haftungsbeschränkt)
Mahlgasse 4
88339 Bad Waldsee
Deutschland
Geschäftsführer: Jonas Maximilian Regul, alleinvertretungsberechtigtE-Mail: info@lexlogik.comVAT identification number pursuant to Section 27a of the German Value Added Tax Act: DE460852323

Datenschutzbeauftragter: Die LexLogik UG (haftungsbeschränkt) prüft fortlaufend die Voraussetzungen einer Bestellung nach Art. 37 DSGVO i. V. m. § 38 BDSG. Bei Anfragen zu Datenschutz wenden Sie sich bitte an info@lexlogik.com.

2. Erhebung und Speicherung personenbezogener Daten

Beim Aufrufen unserer Website werden durch den Browser automatisch Informationen an den Server unserer Website gesendet (Logfiles).

  • IP-Adresse, Datum/Uhrzeit, abgerufene Datei, Referrer-URL, Browsertyp/Betriebssystem.
  • Zweck: Reibungsloser Verbindungsaufbau, Systemsicherheit und Administration.
  • Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse).

Speicherfrist: Die Logfiles werden nach 14 Tagen automatisch gelöscht, sofern keine sicherheitsrelevanten Vorfälle vorliegen.

Kontaktaufnahme & Direktwerbung (Sales-Mails, Onboarding-Tipps)

Soweit wir Ihnen - typischerweise an eine Kanzlei- oder Geschäftsadresse - eine Informations- oder Folge-Mail zu LexLogik schicken (z. B. nach einem persönlichen Gespräch, einer Empfehlung oder als Teil einer 12-tägigen Onboarding-Serie an Personen, die das Login-Formular ausgefüllt haben), verarbeiten wir dazu Ihre E-Mail-Adresse, optional Anrede und Kanzleiname sowie den Anlass der Kontaktaufnahme.

  • Rechtsgrundlage: berechtigtes Interesse an B2B-Geschäftsanbahnung mit Berufsträgern (Art. 6 Abs. 1 lit. f DSGVO); soweit eine ausdrückliche Einwilligung vorliegt (z. B. Newsletter-Häkchen beim Login), erfolgt der Versand auf deren Grundlage (Art. 6 Abs. 1 lit. a DSGVO) und ist jederzeit widerruflich.
  • Empfänger / Auftragsverarbeiter: technischer Versand über unseren Mail-Auftragsverarbeiter Mailgun (Sinch); inhaltlich-redaktioneller Versand kann auch über unsere normalen Geschäftspostfächer erfolgen.
  • Speicherdauer: bis zum Widerspruch oder Wegfall des Zwecks; eine Adresse, die Sie über den Abmelde-Link wirksam stoppen, übernehmen wir in eine Sperrliste (Suppression-Liste).

Sperrliste: Wir speichern die abgemeldete E-Mail-Adresse und den Zeitpunkt der Abmeldung, ausschließlich um Sie bei künftigen Versendungen zuverlässig auszuschließen. Diese Verarbeitung beruht auf unserem überwiegenden Interesse, Ihren Werbewiderspruch dauerhaft zu respektieren (Art. 6 Abs. 1 lit. f DSGVO; vgl. Erwägungsgrund 47); eine Löschung der Sperrliste würde diesen Schutz aufheben.

3. Cloudflare (Sicherheit & Performance)

Wir nutzen Dienste von Cloudflare, Inc. (USA/EU), um unsere Infrastruktur gegen Bot-Angriffe (DDoS) zu schützen und die Ladezeiten der Website zu optimieren.

  • Wichtig: Cloudflare wird nur für die Auslieferung der Weboberfläche genutzt. Dokumente, die Sie zur Verarbeitung hochladen, werden direkt an unsere Server in Deutschland übertragen und fließen nicht über die Cloudflare-Infrastruktur.
  • Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DSGVO (Sicherheit der IT-Infrastruktur).
  • Cloudflare ist zertifiziert unter dem EU-U.S. Data Privacy Framework.

Weitere Informationen: Cloudflare Datenschutzrichtlinie und Data Processing Addendum (auf Anfrage oder unter cloudflare.com).

4. Stripe (Zahlungsabwicklung)

Für die Abrechnung der Pakete „Counsel“ und „Professional“ nutzen wir den Zahlungsdienstleister Stripe (Stripe Payments Europe Ltd., Irland / Stripe Inc., USA).

  • Wenn Sie ein kostenpflichtiges Abonnement abschließen, werden Ihre Zahlungsdaten (Kreditkarte, Bankverbindung) direkt an Stripe übertragen. LexLogik speichert keine vollständigen Kreditkartendaten.
  • Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung).
  • Stripe ist zertifiziert unter dem EU-U.S. Data Privacy Framework.

Weitere Informationen: Stripe Datenschutzrichtlinie und Data Processing Addendum.

5. Selbstgehostete Analyse (Datensparsam)

Wir verzichten auf Google Analytics oder Meta Pixel. Zur statistischen Auswertung der Seitenaufrufe nutzen wir ein selbstgehostetes Analyse-Tool auf unseren eigenen Servern in Deutschland.

  • Die IP-Adressen werden sofort anonymisiert.
  • Es findet keine Weitergabe an Dritte statt.
  • Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DSGVO (Reichweitenmessung ohne Personenbezug).

Speicherfrist: Anonymisierte Statistiken werden maximal 90 Tage gespeichert.

6. Cookies

Wir verwenden ausschließlich technisch erforderliche Cookies bzw. vergleichbare Speicherinhalte.

Da wir kein Werbe-Tracking (Meta etc.) einsetzen, benötigen wir kein Cookie-Banner für Marketing-Zwecke. Wir setzen auf „Privacy by Design“.

NameAnbieterZweckSpeicherdauerRechtsgrundlage
__cf_bmCloudflareBot-Management30 Minuten§ 25 Abs. 2 Nr. 2 TDDDG
__Secure-next-auth.session-tokenLexLogikLogin-SessionSession§ 25 Abs. 2 Nr. 2 TDDDG
__Host-next-auth.csrf-tokenLexLogikCSRF-SchutzSession§ 25 Abs. 2 Nr. 2 TDDDG
__Secure-next-auth.callback-urlLexLogikAuth-Callback (Magic-Link)Session§ 25 Abs. 2 Nr. 2 TDDDG
Stripe Storage ItemsStripeZahlungsabwicklung (nur auf Lizenz-/Checkout-Seiten)SessionArt. 6 Abs. 1 lit. b DSGVO

Stripe.js wird ausschließlich auf der Lizenz-/Checkout-Seite geladen und nutzt technisch notwendige Speicher-Inhalte zur Zahlungsabwicklung.

7. Weitergabe von Daten

Eine Weitergabe Ihrer Inhaltsdaten (Dokumente) an Dritte erfolgt nicht, es sei denn, es besteht eine gesetzliche Verpflichtung. Für die Zahlungsabwicklung werden nur die notwendigen Stammdaten an Stripe übermittelt.

8. Verarbeitung hochgeladener Dokumente (Zero-Retention-Policy)

Hochgeladene Dokumente und Dateien werden ausschließlich in flüchtigen RAM-Instanzen oder temporär verschlüsselten Session-Partitionen verarbeitet.

Nach erfolgreichem Export und Download werden sowohl die Originaldateien als auch die Ergebnisdateien unmittelbar und irreversibel gelöscht. Es erfolgt keine dauerhafte Speicherung (Zero-Retention). Es werden keine Backups von Inhaltsdaten erstellt.

Ohne erfolgreichen Export werden temporäre Verarbeitungsdaten spätestens nach Ablauf einer technischen Sitzungsfrist unwiderruflich verworfen (derzeit bis zu 15 Minuten). Diese Frist ist konsistent mit unserer Verschwiegenheitsseite und unseren technisch-organisatorischen Maßnahmen (TOM).

Diese Maßnahme dient insbesondere der Einhaltung der berufsrechtlichen Verschwiegenheitspflichten gemäß § 43e BRAO.

Ergänzender Hinweis zur KI-Verarbeitung: Zur Gewährleistung maximaler Datensouveränität verzichtet LexLogik konsequent auf die Einbindung von Drittanbieter-APIs aus Übersee (wie z. B. OpenAI, Anthropic oder Microsoft Azure AI). Alle zur Textanalyse und Extraktion genutzten KI-Modelle werden lokal auf unseren Systemen in Deutschland ausgeführt. Ein Abfluss von Dokumenteninhalten zur Verarbeitung durch Dritte ist technisch ausgeschlossen.

9. Datensicherheit

Wir verwenden eine 256-Bit SSL-Verschlüsselung (TLS 1.3) für alle Datenübertragungen. Hosting erfolgt in Deutschland bei ISO 27001-zertifizierten Rechenzentren der Hetzner Online GmbH; für unsere Systeme gelten strenge Zugriffskontrollen.

Administrative Zugriffe erfolgen ausschließlich über verschlüsselte VPN-Verbindungen mit Multi-Faktor-Authentifizierung. Alle Mitarbeiter mit Systemzugriff sind vertraglich zur Verschwiegenheit nach StPO und BRAO verpflichtet.

Weitere detaillierte technische und organisatorische Maßnahmen (TOMs), die Zero-Retention-Architektur sowie die Infrastruktur-Beschreibung finden Sie in unserem Technischen Datenblatt zur Datensicherheit und in den Allgemeinen Geschäftsbedingungen (AGB).

10. Subprozessoren

Wir setzen folgende Subprozessoren ein, die jeweils eigene Auftragsverarbeitungsverträge (AVV / DPA) gemäß Art. 28 DSGVO mit uns geschlossen haben:

  • Hetzner Online GmbH (Hosting-Infrastruktur, Deutschland)
  • Cloudflare, Inc. (CDN & DDoS-Schutz) - EU-U.S. Data Privacy Framework
  • Stripe Payments Europe Ltd. (Zahlungsabwicklung) - EU-U.S. Data Privacy Framework

Auf Anfrage stellen wir Ihnen die jeweiligen Auftragsverarbeitungsverträge gerne zur Verfügung.

11. Ihre Rechte (Betroffenenrechte)

Sie haben das Recht auf:

  • Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17).
  • Einschränkung der Verarbeitung (Art. 18) und Datenübertragbarkeit (Art. 20).
  • Widerruf von Einwilligungen (Art. 7 Abs. 3).
  • Beschwerde bei einer Aufsichtsbehörde (z. B. dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg - LfDI).

sowie das Recht auf Widerspruch (Art. 21 DSGVO). Anfragen bearbeiten wir in der Regel innerhalb von 30 Tagen.

Werbewiderspruch (jederzeit, formfrei, kostenfrei)

Sie haben das Recht, der Verarbeitung Ihrer E-Mail-Adresse zu Zwecken der Direktwerbung (Sales-Folge-Mails, Onboarding-Tipps, Kampagnen) jederzeit zu widersprechen (Art. 21 Abs. 2 DSGVO). Nach einem solchen Widerspruch verwenden wir Ihre Adresse nicht mehr für diesen Zweck.

Praktisch umgesetzt: Jede Marketing-Mail von uns enthält am Ende einen Abmelde-Link. Ein Klick genügt; eine Bestätigung per E-Mail oder ein Login sind nicht erforderlich. Die abgemeldete Adresse wird sofort in unsere Sperrliste übernommen und von allen LexLogik-Versandwegen (Sales-Folge-Mails, Onboarding, künftige Kampagnen) ausgeschlossen.

Alternativ genügt eine formlose E-Mail an info@lexlogik.com; wir nehmen die Adresse dann manuell aus dem Verteiler.

12. Automatisierte Entscheidungsfindung / Profiling

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet bei uns nicht statt.

13. Datenpannen

Im Falle einer Verletzung des Schutzes personenbezogener Daten werden wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden und, soweit erforderlich, die betroffenen Personen gemäß Art. 33 und 34 DSGVO unverzüglich informieren.

Stand: Juni 2026