# Sicherheit & Compliance — Optimaite Trust Center

Source: [https://www.optimaite.eu/trust/sicherheit](https://www.optimaite.eu/trust/sicherheit)

> Optimaite ist eine DSGVO-, BRAO- und §203-StGB-konforme KI-Plattform für deutsche Kanzleien und Unternehmen. Hosting in Deutschland (Hetzner Falkenstein/Nürnberg). On-Premise-Deployment auf Kubernetes verfügbar. Kein KI-Training mit Kundendaten.

## Compliance auf einen Blick

- **DSGVO:** Vollständig konform. AV-Vertrag (Auftragsverarbeitungsvertrag), Verzeichnis von Verarbeitungstätigkeiten und TOM-Dokumentation auf Anfrage.
- **§43e BRAO:** Dienstleister im Sinne des § 43e BRAO für Rechtsanwältinnen und Rechtsanwälte — mit Verschwiegenheitsverpflichtung der Mitarbeiter und Unterauftragnehmer.
- **§203 StGB (Berufsgeheimnis):** Datenverarbeitung erfolgt durch zur Wahrung von Berufsgeheimnissen verpflichtete Mitarbeiter und Subunternehmer mit entsprechenden Verträgen.
- **EU-Hosting:** Anwendungsdaten ausschließlich in der EU. Hetzner Cloud (Falkenstein/Nürnberg, Deutschland) mit selbstgehosteter PostgreSQL-Datenbank (CloudNativePG) und Hetzner Object Storage (Deutschland).
- **Kein KI-Training:** Kundendaten werden niemals zum Training von Modellen verwendet. Zero-Retention-Vereinbarungen mit allen KI-Anbietern.
- **beA-Integration:** Nativ angebunden, vollständig konform mit dem elektronischen Rechtsverkehr (ERV).

## Technische und organisatorische Maßnahmen (TOMs)

### Infrastruktur
- Verschlüsselung in Transit (TLS 1.3) und at Rest (AES-256).
- Kubernetes-Cluster mit Netzwerksegmentierung und Pod-Isolation.
- Automatische tägliche Backups mit Point-in-Time Recovery.
- Hetzner Cloud (Falkenstein/Nürnberg), ISO 27001 zertifizierte Rechenzentren.

### Zugriffskontrolle
- Multi-Tenant-Isolation auf Datenbankebene (PostgreSQL Row-Level Security).
- JWT-basierte Authentifizierung mit Tenant-Scoping.
- Rollenbasierte Zugriffskontrolle (RBAC) mit feingranularen Berechtigungen.
- Vollständiger Audit-Log aller Datenzugriffe und KI-Aktionen.

### Datenverarbeitung
- Datenverarbeitung ausschließlich in der EU.
- KI-Verarbeitung über Microsoft Azure AI Foundry (Deutschland), AWS Bedrock (Frankfurt) und Google Vertex AI (EU) mit Zero-Retention; Drittlandsbezüge sind durch EU-Standardvertragsklauseln abgesichert.
- Automatische Datenlöschung bei Vertragsende (innerhalb von 30 Tagen).
- Daten­klassifizierung und konfigurierbare Aufbewahrungs­richtlinien.

## Deployment-Optionen

### Cloud (Standard)
Für Kanzleien und Unternehmen, die schnell starten möchten. Vollständig DSGVO-konform, Hosting in Deutschland, sofort einsatzbereit. Geeignet für Solo-Anwälte, Mittelstandskanzleien und die meisten Großkanzleien.

### On-Premise (Kubernetes)
Für Kanzleien und Unternehmen mit höchsten Datenschutz­anforderungen. Vollständige Souveränität über Daten und Modelle. Lokale LLM-Modelle (Llama, Mistral) möglich. Ideal für Großkanzleien, Behörden, regulierte Industrien und sicherheits­kritische Mandate.

## Subprozessoren

- **Hetzner Online GmbH** (Deutschland) — Hosting, Compute, Storage, selbstgehostete PostgreSQL-Datenbank.
- **Zilliz Inc.** (Frankfurt, EU) — Vektordatenbank (Embeddings, abgesichert über EU-Standardvertragsklauseln).
- **Microsoft Ireland Operations Ltd. / Azure** (Deutschland-Region) — KI-Inferenz mit Zero Retention.
- **Amazon Web Services EMEA SARL** (Frankfurt) — KI-Inferenz mit Zero Retention.
- **Google Ireland Limited** (EU) — KI-Inferenz (Vertex AI) und Spracherkennung (Speech-to-Text) mit Zero Retention.
- **Vercel Inc.** (EU-Edge) — statische Auslieferung der Marketing-Website.

## Dokumente auf Anfrage

- Auftragsverarbeitungsvertrag (AVV / DPA): [/avv](https://www.optimaite.eu/avv).
- Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO).
- Liste der Subunternehmer mit Hosting-Standorten.
- TOM-Dokumentation (technische und organisatorische Maßnahmen).
- Penetration-Test-Berichte (jährlich, durch externen Auditor).

## Kontakt

Datenschutz- oder Sicherheitsfragen: jamil.mounzer@optimaite.eu — Antwort innerhalb von 24 Stunden an Werktagen.