Datenstandort Deutschland

Alle Mandantendaten werden in einem Datacenter in Frankfurt am Main verarbeitet und gespeichert. Es gibt keinen Datenfluss in Drittstaaten — weder zur Speicherung noch zur Verarbeitung noch zur KI-Inferenz. Tägliche Backups bleiben in der EU-Region Frankfurt.

Wir bezeichnen unsere Infrastruktur-Komponenten bewusst funktional statt nach Anbieter. Eigenständigkeit bedeutet auch, nicht unkündbar an einen einzelnen Cloud-Anbieter oder Modellanbieter gebunden zu sein. Die Architektur ist so gebaut, dass Speicher und Inferenz-Plattform austauschbar bleiben, solange sie in der EU liegen.

DSGVO-Architektur

LEGALinhouse ist nicht "DSGVO-kompatibel gemacht" — es ist als Architektur für DSGVO-Anforderungen entworfen. Konkret:

  • Personenbezogene Daten verlassen die EU nicht — weder zur Speicherung noch zur Verarbeitung noch in Berichten.
  • Zweckbindung im Datenmodell — jede Datenkategorie ist im Schema mit Zweck und Rechtsgrundlage hinterlegt; Berichte und Exporte halten diese Bindung.
  • Löschkonzept — Löschfristen pro Datenkategorie konfigurierbar, mit Soft-Delete und automatischer Hard-Delete-Stufe.
  • AVV für jeden Kunden — kein generischer "AGB-AVV-Anhang", sondern strukturierte Verarbeitungsvereinbarungen.

Funktionen, die das Compliance-Management des Mandanten selbst unterstützen (eigenes Verarbeitungsverzeichnis, DSFA-Workflows, eigenes Vorfallmanagement, Betroffenenrechte-Tracking), entwickeln wir als optionales Zusatzmodul — siehe DSMS · Datenschutzmanagement. Das Modul ist derzeit in Planung und im Beta-Zugang noch nicht enthalten.

KI-Datenschutz — die 3-Phasen-Anonymisierung

Bevor irgendein Mandantentext eine KI berührt, läuft er durch eine 3-Phasen-Pipeline: Pseudonymisierung von 15 Entitätstypen auf eigenen Servern in Deutschland → KI-Verarbeitung über eine Inferenz-Plattform in der EU-Region Frankfurt → Re-Personalisierung der Antwort. Das Sprachmodell sieht keine identifizierenden Daten.

Konsequenz

Auch bei einem theoretischen Datenleck der Inferenz-Plattform wäre kein Mandantendatum betroffen — das Modell hat sie nie gesehen. Vollständige Erklärung der Pipeline mit allen Entitätstypen unter Konzept · KI-Architektur.

Weiterführend: Wie wir Leistungsfähigkeit der KI mit deutscher Rechts-Compliance verbinden — eigener MCP-Server, RDG-Konformität, CLOUD-Act-Antwort — im technischen Hintergrundartikel: LEGAL Power mit Compliance (ceaveo.com).

EU AI Act — Hochrisiko-Konformität

Der EU AI Act stuft juristische KI-Anwendungen als Hochrisiko-Systeme ein. Das setzt Anforderungen an Protokollierung, menschliche Aufsicht, Erklärbarkeit und Transparenz, die LEGALinhouse von Grund auf erfüllt:

  • Vollständiges Logging jeder KI-Operation — welcher Spezialist, welche Quellen, welche Eingaben, welches Modell.
  • Verpflichtende menschliche Freigabe für jedes KI-generierte Ergebnis. Kein Auto-Versand.
  • Entwurfs-Kennzeichnung — KI-Output ist sichtbar als KI-Entwurf markiert, bis ein Mitarbeiter ihn freigibt.
  • Erklärbarkeit — zu jeder KI-Antwort lassen sich Knowledge-Graph-Quellen und Spezialist nachvollziehen.

RDG-Konformität

LEGALinhouse ist ein Produktivitätswerkzeug, keine Rechtsdienstleistung im Sinne des Rechtsdienstleistungsgesetzes. Wir bauen das Werkzeug, mit dem juristisch ausgebildete Mitarbeiter ihre Arbeit beschleunigen — wir treffen keine rechtlichen Entscheidungen und geben keine Rechtsempfehlungen.

Die Architektur hält diese Grenze konsequent: KI-Output ist immer Entwurf, immer human-in-the-loop, immer als KI-generiert markiert. Mehr dazu unter Konzept · RDG und Grenzen.

Verschlüsselung & Infrastruktur

  • In-transit: TLS für sämtliche Verbindungen — Browser ↔ Anwendung, Anwendung ↔ Speicher, Anwendung ↔ Inferenz-Plattform.
  • At-rest: Verschlüsselung sämtlicher Mandantendaten auf den Speichersystemen nach Stand der Technik.
  • Mandantenisolation: Strikte Mandantentrennung im Datenmodell und im Anwendungslayer. Daten eines Mandanten sind technisch nicht über einen anderen Mandanten abrufbar.
  • Sub-Auftragsverarbeiter: Liste aller eingesetzten Sub-Auftragsverarbeiter (Datacenter, Inferenz-Plattform) liegt jedem AVV bei; Änderungen werden mit Informationspflicht und Widerspruchsrecht abgebildet.

Zugriff & Berechtigungen

Berechtigungen folgen einem Rollenmodell pro Mandant. Mitarbeiter sehen, was ihre Rolle vorgibt — nicht mehr. Externe Mitarbeiter (Anwälte, Steuerberater, andere Berater) bekommen einen Default-Deny-Zugriff: Sie sehen nichts, bis ihnen ausdrücklich ein Fall oder Dokument freigegeben wurde. Damit lassen sich externe Berater einbinden, ohne ihnen Vollzugriff zu geben.

  • Rollen-basierte Zugriffskontrolle (RBAC) pro Mandant
  • Externe Mitarbeiter mit expliziter Freigabe pro Objekt
  • Audit-Log über alle schreibenden Zugriffe sowie Dokument-Downloads
  • Session-Management mit Auto-Logout

Audit-Trail

Jede Änderung in jedem Modul wird protokolliert: wer, wann, was, vorheriger und neuer Wert. Das schließt KI-Operationen ein. Bei Compliance-Prüfungen oder internen Untersuchungen liefert das System auf Knopfdruck den vollständigen Nachweis — ohne Nachträglich-Excel.

  • Append-only-Audit-Trail mit Zugriffsschutz
  • Filterung nach Mitarbeiter, Modul, Mandant, Zeitraum
  • Export für externe Audits

AVV mit Kunden

Jeder Mandant erhält einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Der AVV beschreibt Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Kategorien der betroffenen Personen und Daten, technische und organisatorische Maßnahmen (TOMs) sowie Sub-Auftragsverarbeiter.

Wir nennen Anbieter unserer Infrastruktur intern beim Namen, im AVV transparent und im Außenauftritt funktional — denn die Vereinbarung mit dem Mandanten muss klar sein, das Marketing aber nicht von Anbieterlogos leben.

Backup & Wiederherstellung

Mandantendaten werden regelmäßig gesichert; Sicherungen verbleiben innerhalb der EU. Die Wiederherstellungszeiten sind so dimensioniert, dass ein Mandant einen kompletten Tagesausfall nicht mehr als einmal in einer mehrjährigen Frist erleben sollte. Backup-Tests führen wir intern in Abständen durch.

Für Bestandsmandanten besteht zusätzlich die Möglichkeit eines Datenexports, sodass Mandanten jederzeit eine eigene Kopie ihrer Daten ziehen können.

Vorfallmanagement

Datenschutzvorfälle sind binnen 72 Stunden meldepflichtig. Für unsere eigene Infrastruktur betreiben wir einen Incident-Response-Prozess mit strukturierter Erfassung, Protokollierung und klaren Eskalationspfaden — auf Anfrage liefern wir die TOMs-Dokumentation dazu.

Ein kundenseitiges Vorfallmanagement-Werkzeug, das das Mandanten-DSMS direkt unterstützt (Erfassung, 72-Stunden-Frist, Behördenmeldung-Entwurf, Betroffenen-Benachrichtigung), ist Bestandteil unseres geplanten DSMS-Zusatzmoduls — derzeit in Planung, noch nicht verfügbar.

Detailtechnische Fragen? Schreiben Sie uns — wir antworten gerne mit fachlicher Tiefe.