🚧 Under Construction · Plattform befindet sich im Aufbau

Sicherheit & Datenhaltung

Architektur und Maßnahmen

Wir behandeln Ihre Daten mit der gleichen Sorgfalt, die wir uns selbst bei sensiblen rechtlichen Unterlagen wünschen würden. Eine absolute Sicherheit existiert im Internet zwar nicht — aber wir setzen die zum Stand der Technik gehörenden Maßnahmen ein.

EU-Hosting

Anwendung, Datenbank und Datei-Speicher werden in der Europäischen Union (Frankfurt am Main) betrieben. Eine Verarbeitung in Drittländern findet nur bei einzelnen KI- oder Zahlungsdiensten und ausschließlich auf Basis geeigneter DSGVO-Garantien statt.

Verschlüsselung

  • Transport: TLS 1.2+ für alle Verbindungen.
  • Speicherung: Datenbank- und Storage-Backend mit Verschlüsselung im Ruhezustand (at-rest).
  • Passwörter: nach branchenüblichem Standard gehasht und gesalzen.

Zugriffskontrolle

  • Rollenbasierte Zugriffsmodelle (consumer_user, lawyer_user, admin).
  • Row-Level-Security auf Datenbankebene — jede Zeile ist explizit ihrem Eigentümer zugeordnet.
  • Anwält:innen sehen Akten nur nach ausdrücklicher Zuweisung durch Mandant:innen.
  • Administrativer Zugriff ist auf wenige autorisierte Personen beschränkt und protokolliert.

Datei-Sicherheit

  • Privater Storage-Bucket mit signierten, zeitlich begrenzten Download-URLs.
  • Validierung von Dateityp und Größenlimits beim Upload.
  • Keine öffentliche Auflistung von Dokumenten.

Audit-Logging

Sicherheitsrelevante Aktionen (z. B. Rollen-Änderungen, Zahlungs-Events) werden in einem internen Audit-Log dokumentiert. Es ist ausschließlich für Administratoren einsehbar und unterstützt die Aufklärung im Missbrauchsfall.

Aufbewahrung & Löschung

  • Sie können Ihr Konto und Ihre Daten jederzeit löschen.
  • Technische Logs werden nach maximal 30 Tagen gelöscht oder pseudonymisiert.
  • Buchhaltungsrelevante Belege werden für die gesetzlich vorgeschriebene Zeit aufbewahrt.

Verantwortliche Offenlegung (Responsible Disclosure)

Sicherheitslücken bitte vertraulich melden an kontakt@rechtpilot.app. Wir bestätigen den Eingang und arbeiten zügig an einer Behebung. Bitte testen Sie nicht gegen produktive Daten und vermeiden Sie automatisierte Angriffe.