Zum Inhalt springen
LexLogik

Rechtliches · Anlage zum AVV

Anlage zum AVV: Technisch-Organisatorische Maßnahmen (TOM)

Dienstleister: LexLogik (Stand: 2026)

Geltungsbereich: Verarbeitung von Mandantendaten und Dokumenten (SaaS-Infrastruktur), Berufsgeheimnis gemäß § 10a RAO (Österreich).

Präambel: Das LexLogik Zero-Retention-Paradigma

LexLogik verarbeitet Daten von Berufsgeheimnisträgern streng nach § 10a RAO (Österreich). Der Kern unserer Sicherheitsarchitektur ist das Zero-Retention-Prinzip. Mandantendaten werden zu keinem Zeitpunkt persistent auf Speichermedien (Festplatten/SSDs) abgelegt. Die gesamte Datenverarbeitung, inklusive Textextraktion (OCR) und KI-Analyse, erfolgt isoliert in flüchtigen Arbeitsspeichern (In-Memory).

1. Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

  • Transportverschlüsselung: Sämtliche Datenübertragungen zwischen dem Endgerät der Kanzlei und den LexLogik-Servern erfolgen zwingend über modernste kryptografische Verfahren (TLS 1.3). Downgrades auf ältere Protokolle sind serverseitig unterbunden.
  • Verschlüsselung auf Datenträgerebene (Data at Rest): Obwohl keine Inhaltsdaten persistent gespeichert werden, sind sämtliche Server-Festplatten (für das Betriebssystem und die Applikationslogik) vollständig verschlüsselt (LUKS / AES-256).
  • Pseudonymisierung von Dateinamen: Hochgeladene Dateinamen der Mandanten (z. B. Klageschrift_Müller.pdf) werden beim Upload serverseitig sofort durch temporäre, kryptografische Hash-Werte (UUIDs) ersetzt. Dateinamen tauchen in keinem System-Log auf.

2. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Zutrittskontrolle (Physische Sicherheit)

Maßnahmen, die unbefugten Personen den physischen Zutritt zu den Datenverarbeitungsanlagen verwehren.

  • Hosting-Partner: Der Betrieb der Server erfolgt ausschließlich in nach ISO 27001 zertifizierten Hochsicherheits-Rechenzentren der Hetzner Online GmbH in Deutschland (Nürnberg / Falkenstein).
  • Sicherungsmaßnahmen vor Ort: Biometrische Zugangskontrollen, 24/7-Sicherheitsdienst, Videoüberwachung und restriktive Besucherregelungen.

2.2 Zugangskontrolle (Verhinderung unbefugter Systemnutzung)

Maßnahmen, die verhindern, dass die IT-Systeme von Unbefugten genutzt werden.

  • Administrative Zugänge: Der Zugriff auf die Server-Infrastruktur durch LexLogik-Entwickler erfolgt ausschließlich über verschlüsselte VPN-Tunnel und erfordert zwingend eine Multi-Faktor-Authentifizierung (MFA).
  • Kein direkter SSH-Zugriff: Worker-Nodes, auf denen die Dokumentenverarbeitung stattfindet, verfügen über keinen aktiven SSH-Zugang für Mitarbeiter.

2.3 Zugriffskontrolle (Verhinderung unbefugten Datenlesens)

Maßnahmen, die gewährleisten, dass Berechtigte nur auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können.

  • In-Memory Processing (/dev/shm): Die Verarbeitung erfolgt ausschließlich im flüchtigen RAM. Der Swap-Speicher der Server ist auf Kernel-Ebene dauerhaft deaktiviert (swapoff), um ein versehentliches Auslagern von RAM-Inhalten auf Festplatten zu verhindern.
  • Automatisierter Purge-Prozess (Hard-Kill): Nach Abschluss des Downloads durch den Nutzer, oder spätestens nach Ablauf der temporären Sitzung (max. 15 Minuten), wird die isolierte Container-Instanz inklusive aller Daten im Arbeitsspeicher unwiderruflich zerstört.
  • Zero-Logging-Policy für Inhaltsdaten: Error-Logs und Access-Logs der Webserver enthalten keinerlei Payloads, Dokumenteninhalte, extrahierte Texte oder ursprüngliche Dateinamen.

2.4 Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.

  • Ephemere Container-Architektur: Jeder Verarbeitungsauftrag wird in einer neu instanziierten, logisch und speichertechnisch isolierten Container-Umgebung ausgeführt. Ein Datenüberlauf zwischen den Sessions verschiedener Kanzleien ist technisch ausgeschlossen.

3. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

3.1 Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der Übertragung nicht unbefugt gelesen, kopiert oder verändert werden können.

  • No-US-Cloud Policy: LexLogik betreibt sämtliche OCR-Engines und KI-Modelle lokal auf eigenen Servern in Deutschland. Es findet zu keinem Zeitpunkt eine Weitergabe von Daten oder API-Aufrufen an außereuropäische Drittanbieter (wie OpenAI, Google Cloud, AWS oder Azure) statt.
  • Burn-after-reading Downloads: Fertige Dokumente werden über kryptografisch gesicherte Einmal-Links bereitgestellt, die nach dem ersten erfolgreichen Download sofort verfallen.

3.2 Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, wer Daten in die Systeme eingegeben oder verändert hat.

  • Protokollierung von administrativen Zugriffen der LexLogik-Mitarbeiter auf das System (wer hat wann welche Systemwartung durchgeführt). Es werden Metadaten (Zeitstempel, Kanzlei-ID, Datenvolumen) erfasst, jedoch keine Inhaltsdaten.

4. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

4.1 Verfügbarkeitskontrolle

Maßnahmen, die sicherstellen, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

  • Hinweis: Da LexLogik als Zero-Retention-Dienstleister auftritt, bezieht sich die Verfügbarkeit auf die Dienstleistung selbst, nicht auf die Archivierung von Mandantendaten.
  • Redundante Auslegung der Server-Infrastruktur und Load-Balancing zur Vermeidung von Ausfallzeiten.
  • DDoS-Protection-Shielding auf Netzwerkebene.
  • Unterbrechungsfreie Stromversorgung (USV) und redundante Internetanbindungen im Rechenzentrum.

5. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Regelmäßige Überprüfung und Anpassung der Server-Konfigurationen und TLS-Zertifikate.
  • Kontinuierliches Monitoring der Infrastruktur auf Anomalien und Angriffsversuche.
  • Verpflichtung aller LexLogik-Mitarbeiter mit Systemzugang auf das Datengeheimnis und die besonderen Pflichten zur Wahrung der anwaltlichen Verschwiegenheitspflicht (§ 10a RAO / § 121 StGB, österreichisches Strafrecht).

Zur Datenschutzerklärung · Zu den AGB