Steuersoft Tools
Datenschutzerklärung
DSGVO-konforme Information nach Art. 13 DSGVO
← Übersicht

Datenschutzerklärung der Steuersoft-Tools-Plattform

Stand: 22. Mai 2026 · Verantwortlich: Steuer-Online MF GmbH

Die kurze Antwort: Ihre Mandanten- und Steuerdaten verlassen Ihren Browser nie. Wir haben keine Datenbank für Nutzungsdaten, sammeln keine Tracking-Informationen, nutzen keine Drittanbieter-Analytics und laden keine externen Ressourcen (CDNs/Fonts) aus Drittländern. Berechnungen, Bescheid-Prüfungen und Briefgenerierungen laufen vollständig in Ihrem Browser. Server-Logs werden bereits bei Erfassung anonymisiert (letzte IP-Oktett auf .0) — daher kein Cookie-Banner.
📌 Update 22.05.2026 — Privacy-Audit durchgeführt: Folgende Änderungen an der Plattform-Konfiguration wurden vorgenommen:

1. Was wir grundsätzlich NICHT tun

TätigkeitStatus
Speichern von Mandantendaten auf unseren Servern✗ nein
Übermitteln Ihrer Eingaben an Dritte✗ nein
Tracking via Google Analytics, Matomo, Hotjar, Facebook Pixel✗ nein
Cookies für Nutzeridentifikation oder Werbung✗ nein
Profilbildung über Sessions/Geräte hinweg✗ nein
Laden externer Schriften/Skripte aus Drittländern (Google Fonts, jsDelivr, Cloudflare-CDN)✗ nein
KI-Trainings­datensammlung über Ihre Eingaben✗ nein
Werbe-Mail-Versand ohne ausdrückliche Zustimmung✗ nein

2. Welche Daten verarbeitet werden

2.1 Daten, die nur in Ihrem Browser bleiben (LocalStorage)

Alle Eingaben in Tools wie Bescheid-Checker, Fristen-Cockpit, Mandanten-Onboarding etc. werden ausschließlich in Ihrem Browser-Speicher (LocalStorage) abgelegt. Dies betrifft insbesondere:

Wichtig Diese Daten werden weder an unseren Server noch an Dritte gesendet. Sie können sie jederzeit löschen, indem Sie den Browser-Speicher leeren oder den „🧹 Alle"-Button in den jeweiligen Tools nutzen.

Rechtsgrundlage § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich für die vom Nutzer gewünschte Funktion) — kein Banner-Erfordernis.

2.2 Daten, die unser Server zwangsweise sieht (technisch unvermeidbar)

WasWofürAnonymisierungSpeicherdauer
IP-AdresseAuslieferung der Seite, DDoS-Schutz, Rate-LimitingVor Speicherung auf /24-Subnetz trunkiert (z.B. 192.0.2.0 statt 192.0.2.123)30 Tage
User-AgentBrowser-KompatibilitätNur Kategorie (z.B. Firefox 120, Chrome 121, Bot) — kein vollständiger Fingerprint30 Tage
Aufgerufener URL-Pfad (z.B. /Firmenwagen/firmenwagen.html)Plattform-Nutzungsstatistik30 Tage
ZeitstempelServer-Performance-Analyse30 Tage
HTTP-StatusFehler-Identifikation30 Tage

Nicht erfasst: Referrer (von welcher Seite Sie kamen), Cookie-Inhalte (es gibt keine Cookies), Eingaben in Formulare.

Beachten Sie Für die sensiblen Tools (Bescheid-Checker, Einspruchs-Generator, Mandantenbrief, Fristen-Cockpit, Mandanten-Onboarding, Vollmacht § 80 AO) ist das Access-Logging serverseitig vollständig deaktiviert. Auch URL-Pfade werden hier nicht protokolliert. Zusätzlich gilt für diese Tools Referrer-Policy: no-referrer.

Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Bereitstellung und Absicherung des Online-Dienstes).

2.3 Server-Log-Analyse

Die anonymisierten Server-Logs werden stündlich durch GoAccess (Open-Source-Tool, läuft serverseitig) ausgewertet — keine Übermittlung an Dritte, keine JS-Tracking-Pixel im Frontend. Das Ergebnis ist eine HTML-Statistik über aggregierte Plattform-Nutzung (Top-Tools, Browser-Kategorien, Tageszeiten). Da die Datenbasis bereits anonymisiert ist, fällt dies nicht unter eine personenbezogene Verarbeitung.

3. Newsletter (opt-in, Double-Opt-In)

Auf ausdrücklichen Wunsch versenden wir wöchentlich einen Newsletter mit Updates aus den verlinkten Steuer-Datenbanken (BFH-Urteile, BMF-Schreiben, anhängige Verfahren). Der Versand erfolgt ausschließlich nach Double-Opt-In-Verfahren:

  1. Sie tragen Ihre E-Mail-Adresse ein
  2. Sie erhalten eine Bestätigungsmail mit Verifizierungs-Token
  3. Erst nach Klick wird die Adresse aktiviert
WasSpeicherortLöschung
E-Mail-AdresseSQLite-Datenbank auf eigenem Server (kein Drittanbieter)Sofort bei Abmeldung über Unsubscribe-Token im Footer jeder Mail
Anrede + Name (optional)SQLite-DatenbankSofort bei Abmeldung
Zeitpunkt der BestätigungSQLite-DatenbankSofort bei Abmeldung

SMTP-Versand: über IONOS (Auftragsverarbeiter nach Art. 28 DSGVO, Standort EU, AV-Vertrag liegt vor).

Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — jederzeit widerrufbar.

4. Technische Sicherheitsmaßnahmen

MaßnahmeBeschreibung
TLS 1.3 / HTTPSLet's-Encrypt-Zertifikat, automatische Erneuerung. HTTP wird auf HTTPS umgeleitet.
HTTP Strict Transport Security (HSTS)max-age=31536000; includeSubDomains — Browser nutzt nur noch HTTPS für 1 Jahr.
Content Security Policy (CSP)Strenge Direktiven: default-src 'self', connect-src 'self', frame-ancestors 'self', object-src 'none'. Externe Skripte werden bereits durch default-src 'self' vom Browser blockiert — verhindert versehentliche CDN-Loads.
Externe BibliothekenPDF.js, Tesseract.js (OCR), html2pdf, jsPDF — alle selbst gehostet im Verzeichnis /vendor/. Keine Anfragen an Drittanbieter-CDNs.
X-Frame-Options / X-Content-Type-OptionsSchutz gegen Clickjacking + MIME-Sniffing.
Permissions-PolicyGeolocation, Mikrofon, Zahlungen, USB sind plattformweit deaktiviert.
Server-HärtungSSH-Key-Auth (kein Passwort), fail2ban, regelmäßige Patches der LTS-Distribution.
Privacy-Loggingnginx-log_format privacy mit IP-Anonymisierung im Erfassungsschritt — die volle IP wird vom Server nie persistiert.
Daten-Übergabe zwischen ToolsEinmal-Token via Browser-Storage (TTL 60 s), kein URL-Parameter — keine Daten in Server-Logs oder Browser-Verlauf.
Auto-Löschung in ToolsAkten/Mandantendaten werden nach 24 h Inaktivität im Browser automatisch gelöscht.
BackupTägliches Backup nur der öffentlichen Inhalte (Tools-Code, Steuer-Datenbanken) — keine Mandantendaten enthalten.
Uptime-MonitoringAktives Monitoring der Plattform-Verfügbarkeit (intern, keine Übertragung an Dritte) + täglicher Stale-Index-Alert.

5. KI / Maschinelles Lernen

Einige Tools nutzen semantische Suche mit unserem eigenen Sprachmodell Steuersoft AI. Dies geschieht ausschließlich folgendermaßen:

6. Berufs- und Mandantengeheimnis (§ 203 StGB, § 57 StBerG)

Diese Plattform ist so gestaltet, dass sie auch unter Wahrung der Berufs- und Mandantengeheimnisse (Steuerberater, Rechtsanwälte, Lohnsteuerhilfevereine) genutzt werden kann:

Hinweis für Berufsgeheimnisträger: Auch wenn alle Vorkehrungen getroffen sind: Mit der lokalen Nutzung auf einem Endgerät trägt der Nutzer die Verantwortung dafür, dass das Endgerät selbst hinreichend gesichert ist (Festplatten-Verschlüsselung, Bildschirmschutz, Zugriffskontrolle). Bei besonders sensiblen Mandaten empfiehlt sich die Nutzung im Inkognito-Modus, der nach Beenden des Browser-Fensters automatisch alle LocalStorage-Daten löscht.

7. Verlinkte externe Quellen

Einige Tools verlinken auf externe Original-Quellen (BFH, BSG, EuGH, EUR-Lex, gesetze-im-internet.de, BMF, FragDenStaat). Diese Links werden nur geladen, wenn Sie aktiv darauf klicken. Beim Klick verarbeiten die Zielseiten ihre eigenen Daten nach ihren eigenen Datenschutzerklärungen — wir haben darauf keinen Einfluss. Wir laden keine Inhalte dieser Seiten automatisch in Hintergrund-Iframes oder Tracking-Pixeln.

Eingebettete iframes nutzen wir ausschließlich für lokal gespiegelte PDF-Vorschauen (z.B. das Bundessteuerblatt) — kein Cross-Origin-Embed.

8. Ihre Rechte nach DSGVO

Soweit personenbezogene Daten verarbeitet werden (vgl. Abschnitt 2.2 und 3), haben Sie folgende Rechte:

Kontakt für Datenschutz-Anfragen: info@steuer-online.de

9. Keine Steuer-/Rechtsberatung

Die Tools dieser Plattform stellen keine Steuerberatung im Sinne des § 1 StBerG und keine Rechtsberatung im Sinne des RDG dar. Berechnungen und Auswertungen sind als allgemeine Informationen zu verstehen. Für konkrete Beratung wenden Sie sich bitte an einen Steuerberater, Lohnsteuerhilfeverein oder Rechtsanwalt.

10. Verantwortlicher · Datenschutz-Kontakt

Steuer-Online MF GmbH
Wallstr. 7, 66740 Saarlouis
Geschäftsführer: Martin Frankenreiter
HRB 108 426, Amtsgericht Saarbrücken
USt-IdNr.: DE 351 567 389
E-Mail: info@steuer-online.de

11. Weitere Dokumente

12. Änderungshistorie dieser Erklärung