LawFix Trust Center

Technische und Organisatorische Maßnahmen (TOMs)

Gemäß Art. 32 DSGVO sind wir verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die folgenden Maßnahmen sind bei LawFix implementiert.

1. Grundsätzliche Maßnahmen (8/8 umgesetzt)

Organisatorische Grundlagen für den Datenschutz gemäß DSGVO.

• Datenschutzbeauftragter – Bestellung eines betrieblichen Datenschutzbeauftragten (intern oder extern)
• Datenschutz-Management – Etabliertes internes Datenschutz-Management-System
• Mitarbeiterschulungen – Regelmäßige Datenschutzschulungen für alle Mitarbeiter
• Verpflichtung auf Datengeheimnis – Schriftliche Verpflichtung aller Mitarbeiter auf das Datengeheimnis
• Datenschutz-Folgenabschätzung – Durchführung von DSFAs bei risikoreichen Verarbeitungen gemäß Art. 35 DSGVO
• Incident Response – Dokumentiertes Verfahren zur Meldung von Datenschutzverletzungen (72-Stunden-Frist)
• Betroffenenrechte – Prozesse zur Erfüllung von Auskunfts-, Löschungs- und Berichtigungsanfragen
• Verarbeitungsverzeichnis – Führung eines Verzeichnisses aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO

2. Zertifizierungen & Compliance (5/5 umgesetzt)

Nachgewiesene Sicherheitsstandards der Cloud-Infrastruktur (Lovable Cloud).

• SOC 2 Type II – Zertifizierung für Sicherheit, Verfügbarkeit und Vertraulichkeit
• ISO 27001:2022 – Zertifiziertes Informationssicherheits-Managementsystem
• DSGVO-Konformität – Vollständige Einhaltung der EU-Datenschutz-Grundverordnung
• EU-Datenresidenz – Datenverarbeitung ausschließlich in EU-Rechenzentren (AWS eu-central-1)
• Auftragsverarbeitung – AVV-Verträge mit allen Subprozessoren

3. Zugangskontrolle (5/5 umgesetzt)

Maßnahmen zur Verhinderung unbefugter Systemnutzung.

• Zwei-Faktor-Authentifizierung – Obligatorische 2FA für alle Benutzerkonten
• Passwort-Policy – Erzwungene Passwortrichtlinie (Mindestlänge, Komplexität)
• Session-Management – Automatische Session-Timeouts und sichere Token-Verwaltung
• Login-Protokollierung – Protokollierung aller Anmeldeversuche mit Zeitstempel
• Benutzerverwaltung – Zentrale Benutzerverwaltung mit rollenbasierter Rechtevergabe

4. Zugriffskontrolle (5/5 umgesetzt)

Gewährleistung, dass Berechtigte nur auf autorisierte Daten zugreifen.

• Row Level Security (RLS) – Datenbankebene: Automatische Filterung nach Benutzer-/Firmenkontext
• Rollenbasierte Berechtigungen – Implementiertes Rollen- und Rechtekonzept (Admin, Member)
• Need-to-know-Prinzip – Minimale Rechtevergabe nach Erforderlichkeit
• Mandantentrennung – Strikte logische Trennung der Daten verschiedener Unternehmen
• API-Autorisierung – JWT-basierte API-Authentifizierung für alle Backend-Aufrufe

5. Verschlüsselung & Übertragungssicherheit (4/4 umgesetzt)

Schutz der Daten bei Speicherung und Übertragung.

• TLS 1.3 – Verschlüsselung aller Datenübertragungen mit TLS 1.3
• Verschlüsselung at Rest – AES-256-Verschlüsselung aller gespeicherten Daten
• HTTPS-Only – Erzwungene HTTPS-Verbindungen für alle Endpunkte
• Sichere API-Kommunikation – Verschlüsselte Kommunikation zwischen Frontend und Backend

6. Verfügbarkeit & Wiederherstellung (5/5 umgesetzt)

Schutz gegen Datenverlust und Ausfallsicherheit.

• Multi-AZ Redundanz – Datenreplikation über mehrere Verfügbarkeitszonen
• Automatische Backups – Tägliche automatische Datenbanksicherungen
• Point-in-Time Recovery – Wiederherstellung zu beliebigem Zeitpunkt möglich
• Disaster Recovery – Dokumentierter Notfallwiederherstellungsplan
• Uptime SLA – Garantierte Verfügbarkeit gemäß Service Level Agreement

7. Eingabekontrolle & Protokollierung (4/4 umgesetzt)

Nachvollziehbarkeit aller Datenverarbeitungen.

• Audit-Logging – Vollständige Protokollierung aller Datenbankänderungen
• Benutzeridentifikation – Eindeutige Zuordnung aller Aktionen zu Benutzerkonten
• Zeitstempel – Automatische Zeitstempel für alle Datenänderungen (created_at, updated_at)
• Unveränderliche Logs – Manipulationssichere Speicherung der Protokolldaten

8. Auftragsverarbeitung & Subprozessoren (4/4 umgesetzt)

Kontrolle über Drittanbieter und deren Datenschutzstandards.

• Subprozessor-Management – Dokumentierte Liste aller Unterauftragnehmer mit AVV
• EU-Standardvertragsklauseln – SCCs für Drittlandtransfers (falls erforderlich)
• Regelmäßige Überprüfung – Jährliche Überprüfung der Subprozessor-Compliance
• Datenminimierung – Weitergabe nur der für den Auftrag notwendigen Daten

Security Whitepaper

Umfassende Dokumentation unserer Sicherheitsmaßnahmen und -standards.

Version 2.0 – Januar 2026

1. Executive Summary

Mit LawFix steht Unternehmen eine moderne, KI-gestützte Compliance-Plattform zur Verfügung, die Sicherheit von Grund auf in alle Systeme und Prozesse integriert. Über 2.500 Seiten an EU-Rechtsakten sind bereits in die Plattform integriert und werden automatisch für jedes Unternehmen auf individuelle Betroffenheit analysiert.

2. Unternehmensprofil

LawFix ist eine smarte SaaS-Lösung für Compliance-Management, speziell für Unternehmen, die von EU-Regulierungen betroffen sind.

3. Sicherheitsgrundsätze & Governance

Sicherheit ist ein zentraler Bestandteil der Unternehmensphilosophie von LawFix. Unser Ziel ist es, Vertraulichkeit, Integrität und Verfügbarkeit aller Daten jederzeit zu gewährleisten.

Die Sicherheitsorganisation folgt klar definierten Zuständigkeiten. Nico Zipse und Jasin Huber sind als Sicherheitsverantwortliche benannt.

LawFix verfügt über dokumentierte Technisch-Organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO.

• SOC 2 Type II – Geprüft für Sicherheit, Verfügbarkeit und Vertraulichkeit
• ISO 27001:2022 – Zertifiziertes Informationssicherheits-Managementsystem

4. Infrastruktur- & Netzwerksicherheit

Die Plattform wird auf einer zertifizierten Cloud-Infrastruktur (Lovable Cloud / Supabase) mit EU-Datenresidenz betrieben.

Zentrale Merkmale der Infrastruktur:

• EU-Rechenzentren – Alle Daten werden ausschließlich in AWS eu-central-1 (Frankfurt) verarbeitet
• Multi-AZ Redundanz – Datenreplikation über mehrere Verfügbarkeitszonen
• TLS 1.3 Verschlüsselung – Für alle externen Verbindungen
• Web Application Firewall – Schutz gegen gängige Angriffsvektoren
• Automatisiertes Patch-Management – Regelmäßige Sicherheitsupdates

Alle Systeme sind durch strikte Netzwerksegmentierung und Zugriffsbeschränkungen abgesichert.

5. Anwendungssicherheit

Die Softwarearchitektur basiert auf einem modernen React-Frontend und einer sicheren Backend-API über Supabase.

Die eingesetzten Sicherheitsmechanismen umfassen:

• TLS 1.3-Verschlüsselung für alle externen Verbindungen
• AES-256 Verschlüsselung für ruhende Daten
• Row Level Security (RLS) auf Datenbankebene
• JWT-basierte API-Authentifizierung
• Automatische Session-Timeouts
• HTTPS-Only für alle Endpunkte

6. Datenschutz & Compliance

LawFix erfüllt alle Anforderungen der Datenschutz-Grundverordnung (DSGVO). Ein Auftragsverarbeitungsvertrag (AVV) ist mit allen Subprozessoren abgeschlossen.

Die Datenverarbeitung umfasst:

• Personenbezogene Daten (z. B. Namen, E-Mail-Adressen, Nutzerkonten)
• Geschäftliche und sensible Compliance-Dokumente
• Metadaten zur Nutzung und Systemüberwachung

Datenverschlüsselung: At rest (AES-256), In transit (TLS 1.3). Backups: Automatische tägliche Sicherungen mit Point-in-Time Recovery. Zugriffsrechte auf Daten werden strikt nach dem Least-Privilege-Prinzip vergeben.

7. Zugriffskontrolle & Authentifizierung

Der Zugriff auf die Systeme erfolgt ausschließlich über sichere, authentifizierte Kanäle.

• Zwei-Faktor-Authentifizierung (2FA) für alle Benutzerkonten
• Rollenbasiertes Zugriffskonzept (RBAC) für Benutzer und Services
• Automatisierte Session-Timeouts
• Logging aller Anmeldeversuche

API-Zugriffe werden über sichere JWT-Tokens und Zugriffsbeschränkungen gesteuert. Die Mandantentrennung erfolgt durch Row Level Security (RLS).

8. Überwachung & Incident Response

Bei sicherheitsrelevanten Ereignissen greift ein dokumentierter Incident-Response-Prozess:

• Erkennung und Bewertung potenzieller Vorfälle über automatisierte Überwachung
• Priorisierung und Klassifizierung nach Schweregrad
• Schnelle Reaktionsmaßnahmen durch das Sicherheitsteam
• Dokumentation und Ursachenanalyse zur Vermeidung künftiger Vorfälle

LawFix reagiert auf Sicherheitsvorfälle gemäß DSGVO-Vorgaben (72-Stunden-Frist) und informiert betroffene Nutzer umgehend.

9. Business Continuity & Backup

LawFix nutzt die Backup- und Recovery-Funktionen der Cloud-Infrastruktur:

• Automatische tägliche Backups der Datenbank
• Point-in-Time Recovery – Wiederherstellung zu beliebigem Zeitpunkt
• Multi-AZ Redundanz – Geografisch verteilte Replikation
• Disaster Recovery Plan – Dokumentierter Notfallwiederherstellungsplan

Die Verfügbarkeit wird durch Service Level Agreements (SLAs) garantiert.

10. Drittanbieter & Subprozessoren

LawFix verwendet ausschließlich etablierte, geprüfte Drittanbieter mit nachgewiesenen Sicherheitsstandards.

Aktuell eingesetzte Subprozessoren:

• Supabase (EU) – Datenbank, Authentifizierung, Storage
• AWS eu-central-1 – Cloud-Infrastruktur
• Google Cloud Platform (EU) – KI-Dienste (Gemini für Advocati Chat)
• Stripe – Zahlungsabwicklung (mit SCCs)
• Resend – E-Mail-Versand (mit SCCs)

Alle Drittanbieter verfügen über entsprechende Auftragsverarbeitungsverträge (AVV).

11. Schlussbemerkung

Sicherheit ist kein Zustand, sondern ein kontinuierlicher Prozess. LawFix versteht Informationssicherheit als festen Bestandteil seiner Produktentwicklung, Infrastrukturentscheidungen und organisatorischen Prozesse. Unser Anspruch ist es, Kunden die bestmögliche Balance aus Innovationskraft, Datenschutz und technischer Absicherung zu bieten.

Subprozessoren

Liste aller Unterauftragnehmer, die im Rahmen unserer Dienstleistungen personenbezogene Daten verarbeiten.

Kontakt & Verantwortliche

Bei Fragen zu Sicherheit, Datenschutz oder Compliance stehen Ihnen unsere Verantwortlichen gerne zur Verfügung.

Sicherheitsmeldungen

Wenn Sie eine Sicherheitslücke entdeckt haben, bitten wir Sie, diese verantwortungsvoll an uns zu melden:

---

Ressourcen