Datenschutzerklärung der Steuersoft-Tools-Plattform
Stand: 22. Mai 2026 · Verantwortlich: Steuer-Online MF GmbH
.0) — daher kein Cookie-Banner.
- Server-Logs werden nun vor Speicherung auf /24-Subnetz trunkiert (IP-Anonymisierung im nginx-log_format selbst)
- Historische Logs (~1 Mio Zeilen seit April 2026) in-place anonymisiert
- Zwei Drittanbieter-CDNs (cdnjs.cloudflare.com für html2pdf.js + jspdf.umd.min.js) durch lokale Spiegelung unter
/vendor/ersetzt — kein Browser-Request mehr an US-Server - User-Agent wird verkürzt erfasst (nur Browser + Major-Version, kein vollständiger Fingerprint)
1. Was wir grundsätzlich NICHT tun
| Tätigkeit | Status |
|---|---|
| Speichern von Mandantendaten auf unseren Servern | ✗ nein |
| Übermitteln Ihrer Eingaben an Dritte | ✗ nein |
| Tracking via Google Analytics, Matomo, Hotjar, Facebook Pixel | ✗ nein |
| Cookies für Nutzeridentifikation oder Werbung | ✗ nein |
| Profilbildung über Sessions/Geräte hinweg | ✗ nein |
| Laden externer Schriften/Skripte aus Drittländern (Google Fonts, jsDelivr, Cloudflare-CDN) | ✗ nein |
| KI-Trainingsdatensammlung über Ihre Eingaben | ✗ nein |
| Werbe-Mail-Versand ohne ausdrückliche Zustimmung | ✗ nein |
2. Welche Daten verarbeitet werden
2.1 Daten, die nur in Ihrem Browser bleiben (LocalStorage)
Alle Eingaben in Tools wie Bescheid-Checker, Fristen-Cockpit, Mandanten-Onboarding etc. werden ausschließlich in Ihrem Browser-Speicher (LocalStorage) abgelegt. Dies betrifft insbesondere:
- Mandantennamen, Steuernummern, IdNr.
- Bescheid-Daten, Festsetzungen, Notizen
- Hochgeladene PDF-/Bilddateien (nur kurzzeitig im RAM)
- Fristen, Mandantenbriefe, Vollmachten
- UI-Einstellungen (Theme hell/dunkel, Favoriten, Tour-Status, Druck-Briefkopf)
Wichtig Diese Daten werden weder an unseren Server noch an Dritte gesendet. Sie können sie jederzeit löschen, indem Sie den Browser-Speicher leeren oder den „🧹 Alle"-Button in den jeweiligen Tools nutzen.
Rechtsgrundlage § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich für die vom Nutzer gewünschte Funktion) — kein Banner-Erfordernis.
2.2 Daten, die unser Server zwangsweise sieht (technisch unvermeidbar)
| Was | Wofür | Anonymisierung | Speicherdauer |
|---|---|---|---|
| IP-Adresse | Auslieferung der Seite, DDoS-Schutz, Rate-Limiting | Vor Speicherung auf /24-Subnetz trunkiert (z.B. 192.0.2.0 statt 192.0.2.123) | 30 Tage |
| User-Agent | Browser-Kompatibilität | Nur Kategorie (z.B. Firefox 120, Chrome 121, Bot) — kein vollständiger Fingerprint | 30 Tage |
Aufgerufener URL-Pfad (z.B. /Firmenwagen/firmenwagen.html) | Plattform-Nutzungsstatistik | — | 30 Tage |
| Zeitstempel | Server-Performance-Analyse | — | 30 Tage |
| HTTP-Status | Fehler-Identifikation | — | 30 Tage |
Nicht erfasst: Referrer (von welcher Seite Sie kamen), Cookie-Inhalte (es gibt keine Cookies), Eingaben in Formulare.
Beachten Sie Für die sensiblen Tools (Bescheid-Checker, Einspruchs-Generator, Mandantenbrief, Fristen-Cockpit, Mandanten-Onboarding, Vollmacht § 80 AO) ist das Access-Logging serverseitig vollständig deaktiviert. Auch URL-Pfade werden hier nicht protokolliert. Zusätzlich gilt für diese Tools Referrer-Policy: no-referrer.
Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Bereitstellung und Absicherung des Online-Dienstes).
2.3 Server-Log-Analyse
Die anonymisierten Server-Logs werden stündlich durch GoAccess (Open-Source-Tool, läuft serverseitig) ausgewertet — keine Übermittlung an Dritte, keine JS-Tracking-Pixel im Frontend. Das Ergebnis ist eine HTML-Statistik über aggregierte Plattform-Nutzung (Top-Tools, Browser-Kategorien, Tageszeiten). Da die Datenbasis bereits anonymisiert ist, fällt dies nicht unter eine personenbezogene Verarbeitung.
3. Newsletter (opt-in, Double-Opt-In)
Auf ausdrücklichen Wunsch versenden wir wöchentlich einen Newsletter mit Updates aus den verlinkten Steuer-Datenbanken (BFH-Urteile, BMF-Schreiben, anhängige Verfahren). Der Versand erfolgt ausschließlich nach Double-Opt-In-Verfahren:
- Sie tragen Ihre E-Mail-Adresse ein
- Sie erhalten eine Bestätigungsmail mit Verifizierungs-Token
- Erst nach Klick wird die Adresse aktiviert
| Was | Speicherort | Löschung |
|---|---|---|
| E-Mail-Adresse | SQLite-Datenbank auf eigenem Server (kein Drittanbieter) | Sofort bei Abmeldung über Unsubscribe-Token im Footer jeder Mail |
| Anrede + Name (optional) | SQLite-Datenbank | Sofort bei Abmeldung |
| Zeitpunkt der Bestätigung | SQLite-Datenbank | Sofort bei Abmeldung |
SMTP-Versand: über IONOS (Auftragsverarbeiter nach Art. 28 DSGVO, Standort EU, AV-Vertrag liegt vor).
Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — jederzeit widerrufbar.
4. Technische Sicherheitsmaßnahmen
| Maßnahme | Beschreibung |
|---|---|
| TLS 1.3 / HTTPS | Let's-Encrypt-Zertifikat, automatische Erneuerung. HTTP wird auf HTTPS umgeleitet. |
| HTTP Strict Transport Security (HSTS) | max-age=31536000; includeSubDomains — Browser nutzt nur noch HTTPS für 1 Jahr. |
| Content Security Policy (CSP) | Strenge Direktiven: default-src 'self', connect-src 'self', frame-ancestors 'self', object-src 'none'. Externe Skripte werden bereits durch default-src 'self' vom Browser blockiert — verhindert versehentliche CDN-Loads. |
| Externe Bibliotheken | PDF.js, Tesseract.js (OCR), html2pdf, jsPDF — alle selbst gehostet im Verzeichnis /vendor/. Keine Anfragen an Drittanbieter-CDNs. |
| X-Frame-Options / X-Content-Type-Options | Schutz gegen Clickjacking + MIME-Sniffing. |
| Permissions-Policy | Geolocation, Mikrofon, Zahlungen, USB sind plattformweit deaktiviert. |
| Server-Härtung | SSH-Key-Auth (kein Passwort), fail2ban, regelmäßige Patches der LTS-Distribution. |
| Privacy-Logging | nginx-log_format privacy mit IP-Anonymisierung im Erfassungsschritt — die volle IP wird vom Server nie persistiert. |
| Daten-Übergabe zwischen Tools | Einmal-Token via Browser-Storage (TTL 60 s), kein URL-Parameter — keine Daten in Server-Logs oder Browser-Verlauf. |
| Auto-Löschung in Tools | Akten/Mandantendaten werden nach 24 h Inaktivität im Browser automatisch gelöscht. |
| Backup | Tägliches Backup nur der öffentlichen Inhalte (Tools-Code, Steuer-Datenbanken) — keine Mandantendaten enthalten. |
| Uptime-Monitoring | Aktives Monitoring der Plattform-Verfügbarkeit (intern, keine Übertragung an Dritte) + täglicher Stale-Index-Alert. |
5. KI / Maschinelles Lernen
Einige Tools nutzen semantische Suche mit unserem eigenen Sprachmodell Steuersoft AI. Dies geschieht ausschließlich folgendermaßen:
- Indizierung passiert auf unserem Server, einmalig täglich, für öffentliche Steuer-Datenbanken (AEAO, EStR, LStR, BMF-Schreiben, anhängige BFH-Verfahren). Es werden ausschließlich öffentliche Daten verarbeitet.
- Ihre Suchanfragen werden NICHT an externe KI-Anbieter wie OpenAI, Anthropic, Google etc. gesendet. Die semantische Suche basiert auf vorberechneten Embeddings, die im Browser geladen und verglichen werden.
- Keine Trainingsverwendung Ihrer Daten: Es findet kein Reinforcement-Learning oder Modell-Verbesserung mit Nutzerdaten statt.
6. Berufs- und Mandantengeheimnis (§ 203 StGB, § 57 StBerG)
Diese Plattform ist so gestaltet, dass sie auch unter Wahrung der Berufs- und Mandantengeheimnisse (Steuerberater, Rechtsanwälte, Lohnsteuerhilfevereine) genutzt werden kann:
- Keine Übertragung von Mandantendaten an Dritt-Cloud-Dienste
- Keine Speicherung von Mandantendaten auf unseren Servern
- Auch unterschriebene Vollmachten / Mandantenbriefe / Akten verlassen Ihren Browser nicht
- Bei PDF-Bescheid-Upload: Datei wird nur im RAM ausgewertet, nicht gespeichert, nicht hochgeladen
7. Verlinkte externe Quellen
Einige Tools verlinken auf externe Original-Quellen (BFH, BSG, EuGH, EUR-Lex, gesetze-im-internet.de, BMF, FragDenStaat). Diese Links werden nur geladen, wenn Sie aktiv darauf klicken. Beim Klick verarbeiten die Zielseiten ihre eigenen Daten nach ihren eigenen Datenschutzerklärungen — wir haben darauf keinen Einfluss. Wir laden keine Inhalte dieser Seiten automatisch in Hintergrund-Iframes oder Tracking-Pixeln.
Eingebettete iframes nutzen wir ausschließlich für lokal gespiegelte PDF-Vorschauen (z.B. das Bundessteuerblatt) — kein Cross-Origin-Embed.
8. Ihre Rechte nach DSGVO
Soweit personenbezogene Daten verarbeitet werden (vgl. Abschnitt 2.2 und 3), haben Sie folgende Rechte:
- Auskunft (Art. 15 DSGVO) — Sie können erfragen, welche Daten zu Ihnen gespeichert sind
- Berichtigung (Art. 16 DSGVO) bei unrichtigen Daten
- Löschung (Art. 17 DSGVO) — bei Newsletter sofort über den Unsubscribe-Link
- Einschränkung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) — bei einwilligungsbasierten Verarbeitungen
- Widerspruch (Art. 21 DSGVO) gegen Verarbeitung auf Basis berechtigten Interesses
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) jederzeit mit Wirkung für die Zukunft
- Beschwerderecht bei der Aufsichtsbehörde: Unabhängiges Datenschutzzentrum Saarland
Kontakt für Datenschutz-Anfragen: info@steuer-online.de
9. Keine Steuer-/Rechtsberatung
Die Tools dieser Plattform stellen keine Steuerberatung im Sinne des § 1 StBerG und keine Rechtsberatung im Sinne des RDG dar. Berechnungen und Auswertungen sind als allgemeine Informationen zu verstehen. Für konkrete Beratung wenden Sie sich bitte an einen Steuerberater, Lohnsteuerhilfeverein oder Rechtsanwalt.
10. Verantwortlicher · Datenschutz-Kontakt
Steuer-Online MF GmbH
Wallstr. 7, 66740 Saarlouis
Geschäftsführer: Martin Frankenreiter
HRB 108 426, Amtsgericht Saarbrücken
USt-IdNr.: DE 351 567 389
E-Mail: info@steuer-online.de
11. Weitere Dokumente
12. Änderungshistorie dieser Erklärung
- 22.05.2026 — Privacy-Audit: IP-Anonymisierung vor Speicherung, externe CDNs lokal gespiegelt (
/vendor/), Newsletter-Abschnitt ergänzt, GoAccess-Statistik transparent dokumentiert, CSP-Direktiven aktualisiert - 20.05.2026 — Initialversion