Das Dilemma: KI nutzen, Mandatsgeheimnis wahren
Anwaelte stehen vor einem Dilemma: KI-Tools versprechen massive Effizienzgewinne, aber Mandantendaten sind besonders schuetzenswert. § 203 StGB stellt die Verletzung von Privatgeheimnissen unter Strafe — und die DSGVO verlangt umfassende technische und organisatorische Massnahmen.
Wie loest Justitia diesen Konflikt?
Deutsche Server, keine Ausnahmen
Alle Daten werden ausschliesslich auf deutschen Servern verarbeitet und gespeichert:
- Hosting: ISO 27001-zertifizierte Rechenzentren in Deutschland
- Datenbank: PostgreSQL mit Verschluesselung at rest und in transit
- Vektorsuche: Lokale Qdrant-Instanz (keine Cloud-Vektordatenbank)
- Kein Datenexport: Ihre Mandantendaten verlassen nie den deutschen Rechtsraum
§ 203 StGB: Technische Isolation
Justitia implementiert Multi-Tenant-Isolation auf Datenbankebene:
| Massnahme | Umsetzung |
|---|---|
| Row Level Security | Jede Abfrage wird automatisch auf den Tenant (Kanzlei) gefiltert |
| Keine Cross-Tenant-Zugriffe | Technisch ausgeschlossen — nicht nur verboten, sondern unmoeglich |
| Eigener Speicherbereich | Dokumente werden mandantenspezifisch verschluesselt gespeichert |
| Recherche-Agent-Isolation | Der Recherche-Agent hat keinen Zugriff auf Mandantendaten |
Ihre Daten werden nie fuer KI-Training verwendet
Das ist keine Marketing-Aussage, sondern eine technische Garantie:
- Keine Daten an OpenAI/Anthropic: Justitia nutzt API-Zugang mit expliziter Opt-out-Klausel fuer Training
- Lokale Vektorisierung: Dokumente werden lokal in Vektoren umgewandelt
- Kein Logging von Mandantendaten: Chat-Inhalte werden nicht fuer Modellverbesserung protokolliert
DSGVO-Compliance: Die Details
Verarbeitungsverzeichnis (Art. 30 DSGVO)
Justitia fuehrt ein vollstaendiges Verarbeitungsverzeichnis mit allen Verarbeitungstaetigkeiten, Rechtsgrundlagen und Loeschfristen.
Recht auf Loeschung (Art. 17 DSGVO)
- Soft-Delete: Faelle werden zunaechst als geloescht markiert (30 Tage Wiederherstellungsfrist)
- Hard-Delete: Nach 30 Tagen oder auf ausdruecklichen Wunsch werden alle Daten unwiderruflich geloescht
- Kaskaden-Loeschung: Dokumente, Chat-Verlaeufe, Fristen — alles wird mitgeloescht
Datenportabilitaet (Art. 20 DSGVO)
Mandantendaten koennen jederzeit als strukturierter JSON-Export heruntergeladen werden. Kein Vendor Lock-in.
Einwilligungsmanagement
Fuer jeden Fall kann einzeln festgelegt werden, ob KI-Analyse erlaubt ist. Ohne explizite Einwilligung wird kein Dokument durch die KI verarbeitet.
Audit-Trail: Lueckenlose Nachvollziehbarkeit
Jede Aktion wird im Audit-Log protokolliert:
- Wer hat wann auf welche Akte zugegriffen?
- Welche Dokumente wurden hochgeladen, heruntergeladen, geloescht?
- Welche KI-Anfragen wurden gestellt?
- Welche Aenderungen an Einstellungen wurden vorgenommen?
Audit-Logs werden 365 Tage aufbewahrt und koennen als Nachweis fuer Behoerden exportiert werden.
Fazit
DSGVO-Konformitaet und KI-Nutzung sind kein Widerspruch — wenn die Architektur von Anfang an darauf ausgelegt ist. Justitia wurde nicht nachtraeglich "DSGVO-konform gemacht", sondern von Grund auf mit Datenschutz als Kernprinzip entwickelt.