Technisches Datenblatt: Datensicherheit & Infrastruktur

1. Quick-Check für die IT-Prüfung

• Cloud-Modell: 100 % Private Cloud (Keine Nutzung von US-Hyperscalern wie AWS/Azure/Google).
• Verschlüsselung: TLS 1.3 (Transport) / AES-256 (Ruhende Daten & Session-Partitionen).
• Speicher-Paradigma: Zero-Retention (Keine dauerhafte Speicherung von Inhaltsdaten).
• KI-Infrastruktur: Lokales Inferencing auf eigener Hardware (Keine Drittanbieter-APIs / No-OpenAI).
• Serverstandort: Nürnberg & Falkenstein, Deutschland.
• Compliance: Vollständig konform gemäß § 10a RAO & Art. 28 DSGVO.

2. Hosting & Digitale Souveränität

Die Kernverarbeitung findet ausschließlich auf eigener Hardware in Deutschland statt - außerhalb des direkten Anwendungsbereichs des US Cloud Act.

• Infrastruktur: Betrieb auf dedizierter Hardware in deutschen Hochsicherheits-Rechenzentren (Partner: Hetzner Online GmbH).
• Zertifizierung (Hosting): Die von uns genutzten Rechenzentren des Partners Hetzner Online GmbH sind ISO 27001-zertifiziert.
• Netzwerksicherheit: Mehrstufige Firewall-Architektur. Administrativer Zugriff erfolgt ausschließlich über verschlüsselte VPN-Tunnel und Multi-Faktor-Authentifizierung (MFA).

3. Der LexLogik Datenzyklus (Zero-Retention)

Unsere Architektur ist darauf ausgelegt, das Risiko eines Datendiebstahls durch die konsequente Vermeidung von dauerhafter Speicherung technisch zu minimieren.

• Transport: Ende-zu-Ende-Verschlüsselung via TLS 1.3.
• Verarbeitung: Die Dokumenten-Optimierung und Textextraktion erfolgt in flüchtigen RAM-Instanzen bzw. auf temporär verschlüsselten Session-Partitionen.
• Automatisierter Purge-Prozess: Unmittelbar nach Abschluss der Verarbeitung und Bereitstellung des Downloads werden Quelldatei und Ergebnis unwiderruflich gelöscht. Es werden keine Backups von Mandantendaten erstellt.
• Metadaten-Trennung: Inhaltsdaten werden strikt von administrativen Metadaten (z. B. Zeitstempel für das Audit-Logging) getrennt.

4. Souveräne KI-Architektur (No-API Policy)

• Lokales Modell-Hosting: Unsere dualen OCR-Engines und die Legal-KI arbeiten als containerisierte Instanzen direkt auf unserer Hardware in Deutschland.
• Kein KI-Training: Kundendaten werden zu keinem Zeitpunkt für das Training oder die Verbesserung von KI-Modellen verwendet. Unsere Modelle sind fest eingebettet und werden nicht durch Nutzerdaten verändert.

5. Compliance & Rechtlicher Rahmen

LexLogik wurde speziell für Berufsgeheimnisträger entwickelt, mit Fokus auf § 43e BRAO und die Anforderungen des anwaltlichen Berufsgeheimnisses.

• § 10a RAO: Die technischen Schutzmaßnahmen unterstützen die Einhaltung der anwaltlichen Verschwiegenheitspflicht bei der Einbeziehung von Dienstleistern (Österreich).
• Personal-Compliance: Sämtliche Mitarbeiter mit Zugriff auf die Systemadministration sind schriftlich auf das Datengeheimnis und die besonderen Schutzpflichten gemäß StPO und ZPO (AT) sowie § 10a RAO verpflichtet.

6. Mandantentrennung & Logische Isolation

• Mandantentrennung: Die Verarbeitung erfolgt in strikt voneinander isolierten Container-Instanzen. Datenströme verschiedener Nutzer können sich auf technischer Ebene zu keinem Zeitpunkt vermischen.
• Der Zugriff auf Verarbeitungsressourcen wird durch ein granulares Berechtigungssystem gesteuert - jeder Account erhält ausschließlich die Rechte, die für seine Aufgabe zwingend erforderlich sind.

7. Verfügbarkeit & Resilienz

• Redundanz: Durch die Nutzung der Standorte Nürnberg und Falkenstein ist eine geografische Redundanz gegeben. Fällt ein Standort aus, bleibt der Dienst über den zweiten Standort verfügbar.
• DDoS-Schutz: Die Infrastruktur ist gegen gezielte Überlastungsangriffe geschützt - die Erreichbarkeit des Dienstes bleibt auch unter Angriffsbedingungen gewährleistet.

8. Incident Management & Auditing

• Incident Response: Es besteht ein definierter Prozess zur Identifikation, Meldung und Behebung von Sicherheitsvorfällen gemäß Art. 33 DSGVO.
• Logging: System-Events (Logins, API-Calls) werden revisionssicher protokolliert, um Missbrauch zu verhindern. Wichtig: Diese Logs enthalten ausschließlich technische Metadaten, niemals Inhaltsdaten aus Ihren Dokumenten.

9. Zero-Access-Policy für den Support

• Administrativer Ausschluss: Unsere Mitarbeiter haben technisch keinen Einblick in die flüchtigen Session-Inhalte während der Verarbeitung. Support-Zugriffe auf Nutzerkonten erfolgen ausschließlich nach expliziter Freigabe durch den Kunden und werden lückenlos dokumentiert.