Datenschutzerklärung und Datenschutzkonzept

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist: SDN IT-Services GmbH Monetweg 8 D-60438 Frankfurt am Main Deutschland Telefon: +49 69 90750132 E-Mail: info@lexatech.de Geschäftsführer: Dragisa Dragisic Handelsregister: Amtsgericht Frankfurt am Main, HRB 85609

Unser Datenschutzbeauftragter ist erreichbar unter: E-Mail: datenschutz@lexatech.de Telefon: +49 69 90750132 Adresse: SDN IT-Services GmbH, Monetweg 8, D-60438 Frankfurt am Main

Diese Datenschutzerklärung gilt für: • die Webseite von LEXA (Landingpage, Informationsseiten) • die LEXA-Anwendung (Kanzleimanagement-Software als cloudbasierter Dienst / SaaS) • das Mandanteneingangsformular (Intake), über das potenzielle Mandanten Anfragen an eine Kanzlei richten können • sämtliche API-Schnittstellen, die im Zusammenhang mit der Plattform stehen Die Erklärung richtet sich an: • Kanzleimitarbeiter (Rechtsanwälte, Sekretariat, Kanzleiadministratoren), die LEXA als Software nutzen • Mandanten und Interessenten, deren Daten im Rahmen der Kanzleiverwaltung verarbeitet werden • Besucher der Webseite, die sich über den Dienst informieren

• Mandant (Kanzlei): Eine Anwaltskanzlei oder ein Rechtsanwalt, der LEXA als Software nutzt. Wird in der Plattform als "Tenant" bezeichnet. • Nutzer: Eine natürliche Person, die im Auftrag eines Mandanten (Kanzlei) mit LEXA arbeitet — also Rechtsanwälte, Sekretariatskräfte oder Administratoren. • Betroffener / Endmandant: Eine natürliche oder juristische Person, deren Daten von einer Kanzlei über LEXA verwaltet werden — also Klienten der Kanzlei, Gegenparteien, Beteiligte. • Verantwortlicher: SDN IT-Services GmbH als Anbieter der Plattform — für die Verarbeitung im Rahmen des Plattformbetriebs. Die nutzende Kanzlei ist ihrerseits Verantwortliche für die inhaltliche Verarbeitung von Mandantendaten. • Auftragsverarbeiter: SDN IT-Services GmbH handelt gegenüber der nutzenden Kanzlei als Auftragsverarbeiter hinsichtlich der mandantenbezogenen Daten nach Art. 28 DSGVO.

5.1 Kontodaten der Kanzlei (Mandant/Tenant) Bei der Registrierung und Verwaltung einer Kanzlei auf der Plattform werden folgende Daten erhoben: • Kanzleiname und Rechtsform • Kontaktdaten: E-Mail-Adressen, Telefonnummern, Faxnummern, Mobilnummern, Webseite • Adressen: Kanzleiadresse, Postanschrift, Rechnungsanschrift, Registeradresse • Bankverbindungen: IBAN, BIC, Kontoinhaber, Bankname (für Abrechnungszwecke) • Steuerliche Angaben: Steuernummer, USt-IdNr., zuständiges Finanzamt, Steuersatz • Abonnementdaten: Gewählter Tarif, Abrechnungszeitraum, Abonnementstatus • Zahlungsdaten: Zahlungsmethode, wobei nur ein Referenz-Token gespeichert wird — vollständige Kartendaten werden nicht gespeichert 5.2 Nutzerdaten (Kanzleimitarbeiter) Für jeden Benutzer verarbeiten wir: • Name (Vorname, Nachname, Titel, Anrede) • E-Mail-Adresse (zugleich Anmeldekennung) • Rolle in der Kanzlei (z. B. Kanzleiadministrator, Rechtsanwalt, Sekretariat) • Profildaten (optional): Telefon, Mobilnummer, Rechtsanwaltskammer, Fachgebiete • Spracheinstellung und Zeitzone • Authentifizierungsdaten: Das Passwort wird ausschließlich verschlüsselt gespeichert. SDN IT-Services GmbH hat keinen Zugriff auf Klartext-Passwörter. • Nutzungsprotokoll: Anmeldezeitpunkte, durchgeführte Aktionen (anonymisiert und aggregiert) 5.3 Mandantendaten / Falldaten (im Auftrag der Kanzlei) SDN IT-Services GmbH verarbeitet diese als Auftragsverarbeiter: • Anfragen und Leads: Name, E-Mail, Beschreibung, Rechtsgebiet, Herkunft, Einwilligungsnachweise, Risikobewertungen, hochgeladene Dateien • Akten und Fälle: Aktenzeichen, Beschreibung, Rechtsgebiet, Status, zuständiger Anwalt, Verfahrensdaten, Fristen • Beteiligte: Natürliche Personen, Organisationen, Kontaktdaten, Rolle im Verfahren • Dokumente: Hochgeladene und generierte Dokumente, Metadaten, SHA-256-Prüfsummen, Versionierung • Aufgaben, Termine und Fristen: Titel, Beschreibung, Status, Priorität, Teilnehmer, Erinnerungen 5.4 Protokoll- und Nutzungsdaten • Auditprotokoll: Jede Aktion mit Zeitstempel, Mandantenkennung, Benutzerkennung und Aktionstyp • Nutzungsmetriken: Anonymisiert und aggregiert • Technische Protokolldaten: IP-Adresse, Zeitpunkt, HTTP-Methode und Statuscode 5.5 Daten bei Nutzung der Webseite • IP-Adresse (ggf. gekürzt), Datum und Uhrzeit, aufgerufene Seite, Browser-Typ, Referrer 5.6 Einwilligungsnachweise • Benutzerkennung, Version des akzeptierten Dokuments, Zeitpunkt, Kanal, Hash-Wert der IP-Adresse und User Agent

Wir verarbeiten personenbezogene Daten ausschließlich zu folgenden Zwecken: • Bereitstellung der Plattform: Betrieb der LEXA-Software einschließlich Benutzerverwaltung, Authentifizierung, Rollenvergabe • Kanzleimanagement: Verwaltung von Akten, Anfragen, Beteiligten, Dokumenten, Aufgaben, Terminen und Fristen • Dokumentenverarbeitung: Erstellung, Speicherung, Versionierung und kollaborative Bearbeitung • Anfragemanagement (Intake): Entgegennahme und Verarbeitung von Anfragen potenzieller Mandanten • Kommunikation: Benachrichtigungen über Statusänderungen, Erinnerungen an Fristen und Termine • Abrechnung und Nutzungsmessung: Erfassung der Nutzung zur Abrechnung gemäß gewähltem Tarif • Sicherheit und Missbrauchsprävention: Schutz der Plattform vor unbefugtem Zugriff • Audit und Compliance: Nachvollziehbarkeit aller Vorgänge zur Erfüllung gesetzlicher Pflichten • Plattformverbesserung: Anonymisierte und aggregierte Auswertung der Nutzung

Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: • Bereitstellung der Plattform gemäß dem Nutzungsvertrag • Verwaltung von Benutzerkonten und Kanzleizugängen • Abrechnung der genutzten Dienste Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: • Sicherstellung der IT-Sicherheit und Verfügbarkeit • Erkennung und Abwehr von Missbrauch • Anonymisierte Nutzungsanalysen zur Produktverbesserung • Technische Protokollierung Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: • Verarbeitung von Daten über das Anfrageformular (Intake) • Zustimmung zu Cookies (soweit nicht technisch notwendig) • Freiwillige Angabe erweiterter Profildaten Die Einwilligung kann jederzeit widerrufen werden (siehe Abschnitt 14). Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: • Aufbewahrung steuerlich relevanter Daten • Erfüllung von Nachweispflichten Art. 28 DSGVO — Auftragsverarbeitung: Soweit SDN IT-Services GmbH mandantenbezogene Daten im Auftrag einer Kanzlei verarbeitet, erfolgt dies auf Grundlage eines AVV gemäß Art. 28 DSGVO.

Doppelte Verantwortlichkeit: 1. SDN IT-Services GmbH als Verantwortlicher — für die Verarbeitung der Konto- und Nutzerdaten zum Zweck des Plattformbetriebs, der Authentifizierung und der Abrechnung. 2. Die Kanzlei als Verantwortliche — für sämtliche mandantenbezogenen Daten (Akten, Beteiligte, Dokumente, Korrespondenz), die über LEXA verwaltet werden. Mandantentrennung: Die Plattform gewährleistet eine strikte logische Trennung der Daten verschiedener Kanzleien. Ein Zugriff auf Daten einer anderen Kanzlei ist technisch ausgeschlossen. Rollenbasierte Zugriffskontrolle: • Kanzleiadministrator: Vollzugriff auf alle Daten und Einstellungen der eigenen Kanzlei • Rechtsanwalt: Zugriff auf Akten, Anfragen, Beteiligte, Dokumente und Aufgaben • Sekretariat: Eingeschränkter Zugriff gemäß den von der Kanzlei definierten Berechtigungen Ein Plattformadministrator kann zu Supportzwecken zugreifen, jedoch nur unter Einhaltung strenger Protokollierungs- und Zugriffsbeschränkungen.

SDN IT-Services GmbH hat umfassende Maßnahmen gemäß Art. 32 DSGVO implementiert: Vertraulichkeit: • Verschlüsselung der Datenübertragung: Sämtliche Kommunikation erfolgt über TLS (HTTPS). • Verschlüsselung gespeicherter Daten: Alle Daten werden im Ruhezustand (at rest) verschlüsselt. • Zugriffskontrolle: Authentifizierung über einen spezialisierten Identitätsdienst. • Rollenbasierte Berechtigungen für jeden Nutzer. • Mandantentrennung auf Datenbankebene bei jeder Abfrage. Integrität: • Unveränderliches Auditprotokoll aller datenverarbeitungsrelevanten Aktionen. • Kryptografische Prüfsummen (SHA-256) für hochgeladene Dokumente. • Versionierung aller Dokumente. • Serverseitige Eingabevalidierung. Verfügbarkeit und Belastbarkeit: • Redundante Infrastruktur in hochverfügbaren europäischen Rechenzentren. • Automatische Skalierung der Systemkapazität. • Regelmäßige automatisierte Backups mit Wiederherstellungsmöglichkeit. • Dokumentenspeicherung mit 99,999999999 % Dauerhaftigkeit. Wiederherstellbarkeit: • Dokumentierte Disaster-Recovery-Verfahren. • Automatisierte Datenbank-Snapshots für zeitpunktgenaue Wiederherstellung. Regelmäßige Überprüfung: • Regelmäßige Sicherheitsaudits und Zugriffsüberprüfungen. • Automatisierte Überwachung und Alarmierung. • Protokollierung aller administrativen Zugriffe.

Sämtliche Daten werden ausschließlich in Rechenzentren in der Europäischen Union gespeichert, konkret in Frankfurt am Main, Deutschland (Region eu-central-1). Dies gilt für: • Die Datenbank mit allen Kanzlei-, Nutzer- und Falldaten • Den Dokumentenspeicher mit allen hochgeladenen und generierten Dateien • Den Authentifizierungsdienst mit Anmeldeinformationen • Alle Protokoll- und Nutzungsdaten Es findet keine Übertragung personenbezogener Daten in Drittstaaten außerhalb der EU/des EWR statt, sofern nicht im Einzelfall ein angemessenes Schutzniveau sichergestellt ist (siehe Abschnitt 13). Alle Daten sind sowohl bei der Übertragung (TLS/HTTPS) als auch im Ruhezustand verschlüsselt. Die Schlüsselverwaltung erfolgt über einen dedizierten Schlüsselmanagementdienst mit automatischer Schlüsselrotation.

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist. Aufbewahrungsfristen: • Kontodaten der Kanzlei: Vertragsdauer + 10 Jahre (§ 257 HGB, § 147 AO) • Nutzerdaten: Dauer des Nutzerkontos + 30 Tage nach Löschung • Mandantenbezogene Daten: Gemäß Kanzleivorgaben; mindestens 6 Jahre nach Mandatsende (§ 50 BRAO) • Anfragen (Leads): Gemäß Aufbewahrungsdatum oder auf Löschungsanweisung • Auditprotokolle: 10 Jahre (§ 257 HGB, DSGVO Art. 5 Abs. 2) • Nutzungsmetriken: 3 Jahre (aggregiert) • Abrechnungsdaten: 10 Jahre (§ 257 HGB, § 147 AO) • Technische Logdaten: 90 Tage • Einwilligungsnachweise: Verarbeitungsdauer + 3 Jahre nach Widerruf Löschverfahren: • Soft Delete: Archivierung, danach endgültige Löschung nach konfigurierbarer Frist. • Endgültige Löschung: Archivierte Datensätze und zugehörige Dokumente werden entfernt. • Konto-Löschung: Alle Kanzleidaten nach Ablauf der Aufbewahrungsfristen vollständig gelöscht. Vorab besteht Möglichkeit zum Datenexport. • Recht auf Löschung gemäß Art. 17 DSGVO, sofern keine Aufbewahrungspflichten entgegenstehen.

SDN IT-Services GmbH gibt personenbezogene Daten nicht an Dritte zu Werbe- oder Marketingzwecken weiter. Mit jeder nutzenden Kanzlei wird ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen. Dieser regelt: • Gegenstand und Dauer der Verarbeitung • Art und Zweck der Verarbeitung • Art der personenbezogenen Daten und Kategorien betroffener Personen • Pflichten und Rechte des Verantwortlichen (Kanzlei) • Technische und organisatorische Maßnahmen • Einsatz von Unterauftragsverarbeitern • Löschung und Rückgabe von Daten nach Vertragsende Der Zugriff auf Mandantendaten durch SDN IT-Services GmbH ist streng limitiert auf Fehlerbehebung, technischen Support und notwendige Wartungsarbeiten. Jeder Zugriff wird protokolliert.

SDN IT-Services GmbH setzt folgende Unterauftragsverarbeiter ein: • Amazon Web Services EMEA SARL — Cloud-Infrastruktur (Rechenleistung, Datenspeicherung, Datenbank, Authentifizierung, Schlüsselmanagement) — Frankfurt am Main, Deutschland (EU) — Grundlage: AVV, EU-Standardvertragsklauseln • Hetzner Online GmbH — Frontend-Hosting — Nürnberg/Falkenstein, Deutschland (EU) — Grundlage: AVV • Resend Inc. — Transaktionale E-Mails (Benachrichtigungen, Passwort-Zurücksetzung) — EU — Grundlage: AVV, EU-Standardvertragsklauseln • Anthropic PBC — KI-Sprachmodell für Dokumentenanalyse und Textgenerierung — Verarbeitung über europäische API-Endpunkte — Grundlage: AVV, EU-Standardvertragsklauseln • OpenAI, L.L.C. — KI-Sprachmodell für Dokumentenanalyse und Textgenerierung — Verarbeitung über europäische API-Endpunkte — Grundlage: AVV, EU-Standardvertragsklauseln Änderungen werden den Kanzleien mit mindestens 30 Tagen Vorlaufzeit mitgeteilt. Die Kanzlei hat das Recht, der Einbindung neuer Unterauftragsverarbeiter zu widersprechen. Aktuelle Liste: datenschutz@lexatech.de

Jede betroffene Person hat folgende Rechte: • Art. 15 DSGVO — Auskunftsrecht • Art. 16 DSGVO — Recht auf Berichtigung • Art. 17 DSGVO — Recht auf Löschung • Art. 18 DSGVO — Recht auf Einschränkung der Verarbeitung • Art. 20 DSGVO — Recht auf Datenübertragbarkeit • Art. 21 DSGVO — Widerspruchsrecht • Art. 7 Abs. 3 DSGVO — Widerruf der Einwilligung Zur Ausübung Ihrer Rechte: E-Mail: datenschutz@lexatech.de Post: SDN IT-Services GmbH, z. Hd. Datenschutz, Monetweg 8, D-60438 Frankfurt am Main Bearbeitung innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Hinweis für Endmandanten: Wenn Ihre Daten von einer Kanzlei über LEXA verwaltet werden, ist die Kanzlei der Verantwortliche. Bitte wenden Sie sich zunächst an Ihre Kanzlei.

SDN IT-Services GmbH hat ein dokumentiertes Verfahren implementiert: 1. Erkennung: Automatisierte Überwachungssysteme und Audit-Protokolle. 2. Interne Eskalation: Unverzügliche Benachrichtigung des Datenschutz- und Sicherheitsteams. 3. Risikobewertung: Innerhalb von 24 Stunden. 4. Meldung an die Aufsichtsbehörde: Innerhalb von 72 Stunden (Art. 33 DSGVO). 5. Benachrichtigung der Betroffenen: Bei hohem Risiko unverzüglich (Art. 34 DSGVO). 6. Benachrichtigung der Kanzleien: Unverzüglich über Art, Umfang und Gegenmaßnahmen. 7. Vollständige Dokumentation jedes Vorfalls. Zuständige Aufsichtsbehörde: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Gustav-Stresemann-Ring 1, 65189 Wiesbaden https://datenschutz.hessen.de E-Mail: poststelle@datenschutz.hessen.de

LEXA kann optional KI-gestützte Funktionen anbieten: • Dokumentenanalyse: Automatische Erkennung und Extraktion relevanter Informationen • Zusammenfassungen: Erstellung von Zusammenfassungen eingegangener Anfragen • Kategorisierung: Vorschläge zur Einordnung in Rechtsgebiete Transparenzhinweise: • KI-Funktionen sind optional und können durch die Kanzlei aktiviert oder deaktiviert werden. • Ergebnisse sind stets als Vorschläge zu verstehen und ersetzen nicht die fachliche Prüfung. • Die KI-Verarbeitung erfolgt in europäischen Rechenzentren. • Es werden keine Mandantendaten zum Training von KI-Modellen verwendet. • Die Kanzlei steuert, welche Daten der KI-Komponente zugänglich gemacht werden. Automatisierte Einzelentscheidungen im Sinne von Art. 22 DSGVO finden nicht statt. Alle KI-generierten Ergebnisse dienen ausschließlich als Unterstützung und Vorschläge für den Rechtsanwalt, der stets die abschließende Entscheidung trifft. Rechtsgrundlage für die Nutzung der KI-Funktionen ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) im Zusammenhang mit dem AVV gemäß Art. 28 DSGVO.

Die LEXA-Plattform verwendet ausschließlich technisch notwendige Cookies: • Session-Cookie: Aufrechterhaltung der Anmeldesitzung — Speicherdauer: Sitzungsdauer • Authentifizierungs-Token: Nachweis der Anmeldung — Speicherdauer: max. 1 Stunde, Refresh-Token bis zu 30 Tage • Spracheinstellung: Speicherung der bevorzugten Sprache — Speicherdauer: 1 Jahr LEXA setzt keine Tracking-Cookies, Werbe-Cookies oder Cookies von Drittanbietern ein. Auf der Landingpage wird derzeit kein Webanalyse-Tool eingesetzt.

LEXA ist speziell für deutsche Rechtsanwaltskanzleien konzipiert: Anwaltsgeheimnis (§ 43a Abs. 2 BRAO, § 2 BORA): • Strikte Mandantentrennung gewährleistet die Vertraulichkeit. • Zugriff ist auf die autorisierte Kanzlei beschränkt. • TOMs stellen sicher, dass auch SDN IT-Services GmbH nur in vertraglich vereinbarten Grenzen Zugang hat. Aufbewahrungspflichten (§ 50 BRAO): • Handakten sind nach Mandatsende mindestens sechs Jahre aufzubewahren. • LEXA unterstützt durch konfigurierbare Aufbewahrungsdaten und Löschvormerkungen. • Legal-Hold-Funktion ermöglicht das Aussetzen der automatischen Löschung. Interessenkollisionsprüfung: • Umfassende Erfassung von Beteiligten unterstützt die Prüfung gemäß § 43a Abs. 4 BRAO. Datenklassifizierung: • Akten können als "sensibel" klassifiziert werden für besondere Schutzmaßnahmen. Besondere Kategorien personenbezogener Daten (Art. 9, 10 DSGVO): In Anwaltsakten können besondere Kategorien personenbezogener Daten enthalten sein (z. B. Gesundheitsdaten, strafrechtliche Daten). Die Verarbeitung erfolgt auf Grundlage von Art. 9 Abs. 2 lit. f DSGVO (Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen). LEXA stellt durch Mandantentrennung, Verschlüsselung und restriktive Zugriffskontrollen sicher, dass diese Daten besonders geschützt werden.

SDN IT-Services GmbH behält sich vor, diese Datenschutzerklärung bei Bedarf anzupassen. • Wesentliche Änderungen werden mindestens 30 Tage vor Inkrafttreten per E-Mail oder in der Anwendung mitgeteilt. • Die aktuelle Fassung ist jederzeit unter https://www.lexatech.de/datenschutz abrufbar. • Frühere Fassungen können auf Anfrage bereitgestellt werden.

Bei Fragen zum Datenschutz: SDN IT-Services GmbH Datenschutz Monetweg 8 D-60438 Frankfurt am Main E-Mail: datenschutz@lexatech.de Telefon: +49 69 90750132 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO): Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Gustav-Stresemann-Ring 1 65189 Wiesbaden https://datenschutz.hessen.de E-Mail: poststelle@datenschutz.hessen.de Diese Datenschutzerklärung wurde am 28. Februar 2026 erstellt. SDN IT-Services GmbH — LEXA Kanzleimanagement-Plattform