Sicherheit & Compliance

Verschwiegenheit ist bei uns Architektur.

Diese Seite ist für die Prüfung gedacht: Hier legen wir offen, wo Ihre Daten verarbeitet werden, wie wir uns zur Verschwiegenheit verpflichten und wer wofür verantwortlich bleibt. Was hier steht, gilt für jedes unserer Projekte.

Zwei Betriebsmodelle

Wir betreiben KI-Systeme in genau zwei Varianten. In beiden gilt: keine US-Modelle, kein externer KI-Anbieter, der Ihre Daten sieht, ausschließlich quelloffene Modelle unter unserer Kontrolle.

Betriebsmodell 1

Lokaler KI-Server in Ihrer Kanzlei

Ein leistungsstarker KI-Server steht in Ihren Räumen. Alle Berechnungen laufen auf Ihrer Hardware, es besteht keine Abhängigkeit von externen Diensten.

  • Daten und Modell bleiben vollständig in Ihrem Haus
  • Quelloffene, auditierbare Sprachmodelle
  • Einmalige Hardware-Investition statt laufender Nutzungskosten
  • Funktioniert unabhängig von Internetausfällen und Anbieterentscheidungen

Betriebsmodell 2

Dedizierte Maschine im EU-Rechenzentrum

Für Kanzleien ohne eigene Server-Infrastruktur: eine gemietete, ausschließlich Ihrer Kanzlei zugeordnete Maschine in einem Rechenzentrum in der EU.

  • Verarbeitung ausschließlich in der EU, keine US-Modelle, keine US-Anbieter
  • Dedizierte Hardware, keine geteilte Umgebung
  • Saubere Rechtskette zur vollständigen Geheimhaltung nach § 203 StGB
  • Keine Hardware-Investition, planbare monatliche Kosten

Welches Modell zu Ihrer Kanzlei passt, hängt von Ihrer IT-Struktur und Ihrer Präferenz zwischen Investition und laufenden Kosten ab. Das klären wir im ersten Gespräch.

Die Verpflichtungskette

§ 203 StGB erlaubt Berufsgeheimnisträgern die Einbindung von Dienstleistern nur, wenn diese zur Verschwiegenheit verpflichtet sind. Wir behandeln das nicht als Formalie, sondern als Grundlage der Zusammenarbeit.

Schriftliche Verpflichtung vor Projektbeginn
Bevor wir Zugriff auf Ihre Systeme oder Daten erhalten, verpflichten wir uns schriftlich zur Verschwiegenheit als mitwirkende Person nach § 203 StGB. Die Geheimhaltungsvereinbarung stellen wir Ihnen vorab zur Prüfung bereit.
Persönlich verpflichtet
Geschäftsführer Henry Theeßen ist verpflichtete mitwirkende Person nach § 203 StGB. Jede Person, die in Ihrem Projekt mitwirkt, unterliegt derselben Verpflichtung.
Keine Lücken durch Dritte
Im Betriebsmodell EU-Rechenzentrum wählen wir Anbieter, deren Vertragskette die Geheimhaltung nach § 203 StGB durchgängig abbildet. Es gibt kein Glied in der Kette, das nicht zur Verschwiegenheit verpflichtet ist.

Der Verarbeitungsort

Die wichtigste Frage bei KI und Mandantendaten ist die einfachste: Wo wird gerechnet? Unsere Antwort ist in beiden Betriebsmodellen eindeutig.

Wo liegen Ihre Daten?
Auf dem KI-Server in Ihrer Kanzlei oder auf Ihrer dedizierten Maschine im EU-Rechenzentrum. Nirgendwo sonst.
Wo rechnet das Sprachmodell?
Auf derselben Maschine. Wir betreiben quelloffene Modelle selbst, es gibt keinen externen KI-Dienst, an den Eingaben übermittelt werden.
Was verlässt das System?
Im Regelbetrieb nichts. Wo eine externe Recherche gewünscht ist, etwa nach aktueller Rechtsprechung, ist sie technisch so beschränkt, dass ausschließlich abstrakte Fragen nach außen gehen: keine Mandantennamen, keine Aktendaten, keine Dokumente.
Wie warten wir das System?
Über verschlüsselten Fernzugriff, der protokolliert wird. Mandantendaten verlassen dabei zu keinem Zeitpunkt den Server.

Die Verantwortlichkeit

Klare Rollen statt Grauzonen: Wer wofür verantwortlich ist, steht vor Projektbeginn fest.

Datenschutzrechtlich
Ihre Kanzlei bleibt Verantwortliche im Sinne der DSGVO. Wo wir im Rahmen von Einrichtung und Wartung mit personenbezogenen Daten in Berührung kommen können, regeln wir das vorab vertraglich.
Fachlich
Die KI erstellt Entwürfe und bereitet Entscheidungen vor. Die Prüfung und Freigabe durch den zuständigen Berufsträger ist fester Bestandteil jedes Ablaufs. Kein Schreiben verlässt ohne menschliche Freigabe die Kanzlei.
Technisch
Zugriffsrechte werden entsprechend Ihrer Kanzleistruktur eingerichtet. Datenbewegungen werden im Audit-Log protokolliert, Inhalte lassen sich auf Anweisung vollständig aus dem System löschen.

Die Normen, an denen wir uns messen lassen

Unsere Systeme sind von Anfang an für Berufsgeheimnisträger konzipiert, nicht nachträglich ergänzt.

§ 43a BRAO
Verschwiegenheitspflicht für Rechtsanwälte. Mandantendaten verlassen die kontrollierte Umgebung nicht.
§ 57 StBerG
Berufsgeheimnis für Steuerberater. Die Verarbeitung erfolgt ausschließlich in Ihrer Infrastruktur oder auf Ihrer dedizierten Maschine.
§ 43 WPO
Verschwiegenheit für Wirtschaftsprüfer, nach demselben Prinzip gewahrt.
§ 203 StGB
Keine unbefugte Offenbarung von Privatgeheimnissen: Wir sind als mitwirkende Person schriftlich zur Verschwiegenheit verpflichtet, die gesamte Kette ist geschlossen.
DSGVO
Keine Übermittlung an Drittstaaten, keine US-Anbieter im Datenfluss, klare vertragliche Regelung der Rollen.

In der Prüfungsphase?

Wir beantworten die Fragen Ihrer Datenschutzbeauftragten und Ihrer IT gerne direkt. Die Geheimhaltungsvereinbarung und Details zur Architektur stellen wir Ihnen auf Anfrage vorab zur Verfügung.

Gespräch vereinbaren