Steuersoft Tools
Datenschutzerklärung
DSGVO-konforme Information nach Art. 13 DSGVO
← Übersicht

Datenschutzerklärung der Steuersoft-Tools-Plattform

Stand: 22. Mai 2026 · Verantwortlich: Steuer-Online MF GmbH

Die kurze Antwort: Ihre Mandanten- und Steuerdaten verlassen Ihren Browser nie. Wir haben keine Datenbank für Nutzungsdaten, sammeln keine Tracking-Informationen, nutzen keine Drittanbieter-Analytics und laden keine externen Ressourcen (CDNs/Fonts) aus Drittländern. Berechnungen, Bescheid-Prüfungen und Briefgenerierungen laufen vollständig in Ihrem Browser. Server-Logs werden bereits bei Erfassung anonymisiert (letzte IP-Oktett auf .0) — daher kein Cookie-Banner.
📌 Update 22.05.2026 — Privacy-Audit durchgeführt: Folgende Änderungen an der Plattform-Konfiguration wurden vorgenommen:

1. Was wir grundsätzlich NICHT tun

TätigkeitStatus
Speichern von Mandantendaten auf unseren Servern✗ nein
Übermitteln Ihrer Eingaben an Dritte✗ nein
Tracking via Google Analytics, Matomo, Hotjar, Facebook Pixel✗ nein
Cookies für Nutzeridentifikation oder Werbung✗ nein
Profilbildung über Sessions/Geräte hinweg✗ nein
Laden externer Schriften/Skripte aus Drittländern (Google Fonts, jsDelivr, Cloudflare-CDN)✗ nein
KI-Trainings­datensammlung über Ihre Eingaben✗ nein
Werbe-Mail-Versand ohne ausdrückliche Zustimmung✗ nein

2. Welche Daten verarbeitet werden

2.1 Daten, die nur in Ihrem Browser bleiben (LocalStorage)

Alle Eingaben in Tools wie Bescheid-Checker, Fristen-Cockpit, Mandanten-Onboarding etc. werden ausschließlich in Ihrem Browser-Speicher (LocalStorage) abgelegt. Dies betrifft insbesondere:

Wichtig Diese Daten werden weder an unseren Server noch an Dritte gesendet. Sie können sie jederzeit löschen, indem Sie den Browser-Speicher leeren oder den „🧹 Alle"-Button in den jeweiligen Tools nutzen.

Rechtsgrundlage § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich für die vom Nutzer gewünschte Funktion) — kein Banner-Erfordernis.

2.2 Daten, die unser Server zwangsweise sieht (technisch unvermeidbar)

WasWofürAnonymisierungSpeicherdauer
IP-AdresseAuslieferung der Seite, DDoS-Schutz, Rate-LimitingVor Speicherung auf /24-Subnetz trunkiert (z.B. 192.0.2.0 statt 192.0.2.123)30 Tage
User-AgentBrowser-KompatibilitätNur Kategorie (z.B. Firefox 120, Chrome 121, Bot) — kein vollständiger Fingerprint30 Tage
Aufgerufener URL-Pfad (z.B. /Firmenwagen/firmenwagen.html)Plattform-Nutzungsstatistik30 Tage
ZeitstempelServer-Performance-Analyse30 Tage
HTTP-StatusFehler-Identifikation30 Tage

Nicht erfasst: Referrer (von welcher Seite Sie kamen), Cookie-Inhalte (es gibt keine Cookies), Eingaben in Formulare.

Beachten Sie Für die sensiblen Tools (Bescheid-Checker, Einspruchs-Generator, Mandantenbrief, Fristen-Cockpit, Mandanten-Onboarding, Vollmacht § 80 AO) ist das Access-Logging serverseitig vollständig deaktiviert. Auch URL-Pfade werden hier nicht protokolliert. Zusätzlich gilt für diese Tools Referrer-Policy: no-referrer.

Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Bereitstellung und Absicherung des Online-Dienstes).

2.3 Server-Log-Analyse

Die anonymisierten Server-Logs werden stündlich durch GoAccess (Open-Source-Tool, läuft serverseitig) ausgewertet — keine Übermittlung an Dritte, keine JS-Tracking-Pixel im Frontend. Das Ergebnis ist eine HTML-Statistik über aggregierte Plattform-Nutzung (Top-Tools, Browser-Kategorien, Tageszeiten). Da die Datenbasis bereits anonymisiert ist, fällt dies nicht unter eine personenbezogene Verarbeitung.

3. Newsletter (opt-in, Double-Opt-In)

Auf ausdrücklichen Wunsch versenden wir wöchentlich einen Newsletter mit Updates aus den verlinkten Steuer-Datenbanken (BFH-Urteile, BMF-Schreiben, anhängige Verfahren). Der Versand erfolgt ausschließlich nach Double-Opt-In-Verfahren:

  1. Sie tragen Ihre E-Mail-Adresse ein
  2. Sie erhalten eine Bestätigungsmail mit Verifizierungs-Token
  3. Erst nach Klick wird die Adresse aktiviert
WasSpeicherortLöschung
E-Mail-AdresseSQLite-Datenbank auf eigenem Server (kein Drittanbieter)Sofort bei Abmeldung über Unsubscribe-Token im Footer jeder Mail
Anrede + Name (optional)SQLite-DatenbankSofort bei Abmeldung
Zeitpunkt der BestätigungSQLite-DatenbankSofort bei Abmeldung

SMTP-Versand: über IONOS (Auftragsverarbeiter nach Art. 28 DSGVO, Standort EU, AV-Vertrag liegt vor).

Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — jederzeit widerrufbar.

4. Technische Sicherheitsmaßnahmen

MaßnahmeBeschreibung
TLS 1.3 / HTTPSLet's-Encrypt-Zertifikat, automatische Erneuerung. HTTP wird auf HTTPS umgeleitet.
HTTP Strict Transport Security (HSTS)max-age=31536000; includeSubDomains — Browser nutzt nur noch HTTPS für 1 Jahr.
Content Security Policy (CSP)Strenge Direktiven: default-src 'self', connect-src 'self', frame-ancestors 'self', object-src 'none'. Externe Skripte werden bereits durch default-src 'self' vom Browser blockiert — verhindert versehentliche CDN-Loads.
Externe BibliothekenPDF.js, Tesseract.js (OCR), html2pdf, jsPDF — alle selbst gehostet im Verzeichnis /vendor/. Keine Anfragen an Drittanbieter-CDNs.
X-Frame-Options / X-Content-Type-OptionsSchutz gegen Clickjacking + MIME-Sniffing.
Permissions-PolicyGeolocation, Mikrofon, Zahlungen, USB sind plattformweit deaktiviert.
Server-HärtungSSH-Key-Auth (kein Passwort), fail2ban, regelmäßige Patches der LTS-Distribution.
Privacy-Loggingnginx-log_format privacy mit IP-Anonymisierung im Erfassungsschritt — die volle IP wird vom Server nie persistiert.
Daten-Übergabe zwischen ToolsEinmal-Token via Browser-Storage (TTL 60 s), kein URL-Parameter — keine Daten in Server-Logs oder Browser-Verlauf.
Auto-Löschung in ToolsAkten/Mandantendaten werden nach 24 h Inaktivität im Browser automatisch gelöscht.
BackupTägliches Backup nur der öffentlichen Inhalte (Tools-Code, Steuer-Datenbanken) — keine Mandantendaten enthalten.
Uptime-MonitoringAktives Monitoring der Plattform-Verfügbarkeit (intern, keine Übertragung an Dritte) + täglicher Stale-Index-Alert.

5. KI / Maschinelles Lernen

Einige Tools nutzen semantische Suche mit unserem eigenen Sprachmodell Steuersoft AI. Dies geschieht ausschließlich folgendermaßen:

6. Berufs- und Mandantengeheimnis (§ 203 StGB, § 57 StBerG)

Diese Plattform ist so gestaltet, dass sie auch unter Wahrung der Berufs- und Mandantengeheimnisse (Steuerberater, Rechtsanwälte, Lohnsteuerhilfevereine) genutzt werden kann:

Hinweis für Berufsgeheimnisträger: Auch wenn alle Vorkehrungen getroffen sind: Mit der lokalen Nutzung auf einem Endgerät trägt der Nutzer die Verantwortung dafür, dass das Endgerät selbst hinreichend gesichert ist (Festplatten-Verschlüsselung, Bildschirmschutz, Zugriffskontrolle). Bei besonders sensiblen Mandaten empfiehlt sich die Nutzung im Inkognito-Modus, der nach Beenden des Browser-Fensters automatisch alle LocalStorage-Daten löscht.

7. Verlinkte externe Quellen

Einige Tools verlinken auf externe Original-Quellen (BFH, BSG, EuGH, EUR-Lex, gesetze-im-internet.de, BMF, FragDenStaat). Diese Links werden nur geladen, wenn Sie aktiv darauf klicken. Beim Klick verarbeiten die Zielseiten ihre eigenen Daten nach ihren eigenen Datenschutzerklärungen — wir haben darauf keinen Einfluss. Wir laden keine Inhalte dieser Seiten automatisch in Hintergrund-Iframes oder Tracking-Pixeln.

Eingebettete iframes nutzen wir ausschließlich für lokal gespiegelte PDF-Vorschauen (z.B. das Bundessteuerblatt) — kein Cross-Origin-Embed.

8. Ihre Rechte nach DSGVO

Soweit personenbezogene Daten verarbeitet werden (vgl. Abschnitt 2.2 und 3), haben Sie folgende Rechte:

Kontakt für Datenschutz-Anfragen: info@steuer-online.de

9. Keine Steuer-/Rechtsberatung

Die Tools dieser Plattform stellen keine Steuerberatung im Sinne des § 1 StBerG und keine Rechtsberatung im Sinne des RDG dar. Berechnungen und Auswertungen sind als allgemeine Informationen zu verstehen. Für konkrete Beratung wenden Sie sich bitte an einen Steuerberater, Lohnsteuerhilfeverein oder Rechtsanwalt.

10. Verantwortlicher · Datenschutz-Kontakt

Steuer-Online MF GmbH
Wallstr. 7, 66740 Saarlouis
Geschäftsführer: Martin Frankenreiter
HRB 108 426, Amtsgericht Saarbrücken
USt-IdNr.: DE 351 567 389
E-Mail: info@steuer-online.de

11. Weitere Dokumente

11a. Live-Abfragen externer amtlicher Quellen (Extern-APIs)

Bei Aufruf der folgenden Werkzeuge übermitteln wir die von Ihnen eingegebenen Daten an die jeweilige amtliche Quelle, um Live-Ergebnisse anzuzeigen. Die Übermittlung erfolgt nur auf Ihren ausdrücklichen Klick (z. B. „Prüfen"), nicht beim bloßen Laden der Seite.

Werkzeug Übermittelte Daten Empfänger Rechtsgrundlage
USt-IdNr-Bestätigung (VIES) USt-IdNr (Geschäftskennung des Mandanten) EU-Kommission (VIES-Dienst, EU) Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 18e UStG (Rechtsverpflichtung qualifizierte Bestätigung); kein Drittland-Transfer (Empfänger innerhalb EU)
Bundesbank-Devisenkurse Währungscode, optional Datum (keine personenbezogenen Daten) Deutsche Bundesbank, Frankfurt am Main Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Auslands-Umrechnung in Beratung); keine personenbezogenen Daten
Statistisches Bundesamt (DESTATIS) Genesis-Online Tabellen-Code (keine personenbezogenen Daten) Statistisches Bundesamt, Wiesbaden Art. 6 Abs. 1 lit. f DSGVO; Datenabruf nach § 16 BStatG, keine personenbezogenen Daten
Wayback-Snapshot (Beweis-Sicherung) die von Ihnen angegebene URL (öffentlich, keine personenbezogenen Daten) Internet Archive Foundation, San Francisco (USA) Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Beweissicherung in Einspruchs-/Klageverfahren). Drittland-Transfer USA; Internet Archive ist gemeinnützige Organisation, Snapshot-Inhalt ist öffentlich frei zugänglich.
Insolvenz-Check eingegebener Schuldner-/Firmenname Direktlink zu insolvenzbekanntmachungen.de; bei Watch-Service: nur intern auf unserem Server Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Bonitätsrecherche bei Mandanten/Schuldnern). Bei Direktlink-Aufruf gelten die Datenschutzhinweise von insolvenzbekanntmachungen.de (Justizportal Bund/Länder).
BZSt-XML-Validator (DAC6/CARF/DAC8/FATCA/CRS) eingegebenes XML — verbleibt vollständig auf unserem Server, wird gegen lokales XSD geprüft Nur intern (lokale Validierung). KEINE Übermittlung an BZSt durch dieses Werkzeug. Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung — Voraus-Prüfung vor späterer Übermittlung an BZSt durch den Berater)

Speicherung & Audit-Log

Wir führen ein internes Audit-Log über alle Aufrufe der Live-APIs. Es enthält pro Anfrage:

Zweck: Beweis-Sicherung für die Sorgfaltspflicht (z. B. qualifizierte USt-IdNr-Bestätigung nach § 18e UStG vor steuerfreier innergemeinschaftlicher Lieferung); Audit-Trail nach Art. 30 DSGVO. Speicherdauer: 6 Jahre (vergleichbar § 147 AO). Logrotate wöchentlich, Komprimierung, keine Übermittlung an Dritte.

Drittland-Transfer (Art. 44 ff. DSGVO)

Im o. g. Werkzeug-Katalog erfolgt ein Drittland-Transfer:

Alle übrigen Empfänger sitzen in Deutschland bzw. innerhalb der EU.

Ihre Rechte

Sie können der Übermittlung jederzeit widersprechen, indem Sie das jeweilige Werkzeug nicht aufrufen bzw. die Auslöse-Schaltfläche nicht klicken. Eine retroaktive Löschung der Audit-Log-Einträge ist nach Ablauf der gesetzlichen Aufbewahrungspflicht (6 Jahre) möglich; Anfragen an info@steuer-online.de.

12. Änderungshistorie dieser Erklärung