Unsere Betriebsgrundsätze
Legal-AI befindet sich an der Schnittstelle von drei anspruchsvollen Datenschutzregimen: Mandatsgeheimnis, berufsrechtliche Vorschriften und modernes Datenschutzrecht. Wir gestalten jeden Teil unserer Plattform — die öffentliche Website, die KI-Suite, Sovereign Suite und unsere Beratungsengagements — so, dass alle drei geachtet werden. Wir veröffentlichen, was wir tun, zertifizieren, was wir behaupten, und sagen Ihnen, wenn wir auf ein Ziel hinarbeiten, anstatt es bereits erreicht zu haben.
Wie wir Ihre Daten schützen
Verschlüsselung
In transit: TLS 1.3 für den gesamten Client/Server-Verkehr.
At rest: AES-256 für alle gespeicherten Daten, einschließlich Gesprächsverlauf, Einreichungen und hochgeladener Dokumente.
Auf Feldebene: Sensible Felder (Auth-Token, API-Schlüssel) werden auf Anwendungsebene über die Speicherverschlüsselung hinaus verschlüsselt.
Datenresidenz
Lawras gehostetes SaaS läuft auf Google Cloud (Firebase) mit Multi-Region-Fähigkeit für Mandanten mit spezifischen Residenzanforderungen. Sovereign Suite-Bereitstellungen laufen innerhalb Ihrer Infrastruktur — Ihre Residenz, Ihr Perimeter.
Zugriffskontrollen
Rollenbasierter Zugriff mit Audit-Protokollierung bei jeder administrativen Aktion. Kundenseitig verwaltete Identitäten werden unterstützt. Sovereign Suite integriert mit den bestehenden SSO- und Informationsbarriere-Systemen Ihrer Kanzlei.
Audit-Protokolle
Jeder Prompt, jede KI-Ausgabe, jedes zitierte Dokument — protokolliert mit Nutzer, Mandat, Zeitstempel. Entdeckungsverfahren, Standesrechtsprüfungen und interne Untersuchungen sollten keine nachträgliche Sichtbarkeit erfordern. Protokolle werden gemäß Kundenpolitik aufbewahrt und auf Anfrage exportierbar.
Wahrung des Anwaltsprivilegs
Mandatsbezogene Datenisolierung: Dokumente und Gespräche aus einem Mandat fließen nie in Prompts für ein anderes ein. Privilegiertes Arbeitsergebnis wird gekennzeichnet und segregiert. KI-Nutzungsoffenlegungen sind je Jurisdiktion konfigurierbar.
Incident Response
Definierte Incident-Response-Verfahren mit benannten Rollen, Kommunikationsvorlagen und Benachrichtigungszusagen gegenüber Mandanten. Vierteljährliche Tischübungen. Penetrationstests im jährlichen Rhythmus, Zusammenfassungen unter NDA verfügbar.
Zertifizierungen & Compliance
Wo wir heute stehen, wohin wir gehen und eine transparente Zeitlinie. Wir beanspruchen keine Zertifizierungen, die wir nicht besitzen.
| Standard | Status | Hinweise |
|---|---|---|
| SOC 2 Type II | 🟡 In Bearbeitung (Ziel Q4 2026) | Interne Kontrollprüfung läuft mit einem Big-Four-Wirtschaftsprüfer. Type-I-Bericht erwartet Mitte 2026; Type II folgt. |
| ISO 27001 | 🟡 Roadmap (Ziel 2027) | Dokumentation des Informationssicherheits-Managementsystems in Entwicklung. Implementierungsphase neben SOC 2 geplant. |
| ISO 42001 | 🟡 Roadmap (Ziel 2027) | KI-Managementsystem (AIMS)-Standard. Lawra gehört zu den frühen Anwendern, die diese entstehende Zertifizierung verfolgen. |
| GDPR | 🟢 Konform | Datenverarbeitungsverträge verfügbar. EU-Betroffene können ihre Rechte über privacy@lawra.io ausüben. Verarbeitungsverzeichnis gepflegt. |
| LGPD | 🟢 Konform | Entscheidend für brasilianische und lateinamerikanische Mandanten. DPO benannt. Workflow für Betroffenenrechte-Anfragen in Betrieb. |
| HIPAA | 🟡 Auf Anfrage verfügbar (nur Sovereign Suite) | BAA für Gesundheitsmandanten verfügbar, die Sovereign Suite in HIPAA-konformen Umgebungen einsetzen. |
KI-Modellanbieter — Unsere Position
Lawras gehostete KI-Suite verwendet Google Firebase AI (Gemini 2.5 Flash) für die öffentlich zugänglichen Tools. Wir haben diese Konfiguration gezielt gewählt, weil Googles Firebase-AI-Bedingungen eine vertragliche Zusage enthalten, dass Kundendaten nicht zum Training von Googles Foundation-Modellen verwendet werden.
Für Sovereign Suite-Bereitstellungen bringen Sie eigene API-Schlüssel zum Modellanbieter Ihrer Wahl mit — Anthropic Claude (Enterprise-Stufe mit No-Training-Zusagen), OpenAI (Enterprise mit ZDR), Google Gemini oder Open-Weight-Modelle, die vollständig in Ihrem Netzwerk laufen (Llama, Mistral, Qwen, DeepSeek, Gemma) auf Ihrer eigenen GPU-Infrastruktur.
Wir verkaufen, vermieten oder verwenden keine Daten, die über Lawra übertragen werden, anderweitig. Wir haben keine interne Modelltrainingspipeline, die Kundendaten nutzt. Jedes verwendete Modell ist Drittanbieter oder Open-Weight, mit anbieterspezifischen vertraglichen Bedingungen, die auf Anfrage einsehbar sind.
Fragen, Prüfungsanfragen oder Meldungen
Für Sicherheitsfragebögen, Prüfungsanfragen, mandantenspezifische Bedingungen oder Schwachstellenmeldungen wenden Sie sich an security@lawra.io. Sovereign-Suite-Engagements umfassen eine Sicherheitsüberprüfung als Teil des Standard-Scopings. Wir beantworten alle Enterprise-Sicherheitsfragebögen innerhalb von fünf Werktagen.
Kommentare
Kommentare werden geladen...