Datenschutz & Sicherheit der Steuersoft-Tools-Plattform
Stand: 20. Mai 2026 · Verantwortlich: Steuer-Online MF GmbH
1. Was wir grundsätzlich NICHT tun
| Tätigkeit | Status |
|---|---|
| Speichern von Mandantendaten auf unseren Servern | ✗ nein |
| Übermitteln Ihrer Eingaben an Dritte | ✗ nein |
| Tracking via Google Analytics, Matomo, Hotjar etc. | ✗ nein |
| Cookies für Nutzeridentifikation oder Werbung | ✗ nein |
| Profilbildung über Sessions/Geräte hinweg | ✗ nein |
| Versand von Newslettern oder Werbe-Mails | ✗ nein |
| KI-Trainingsdatensammlung über Ihre Eingaben | ✗ nein |
2. Welche Daten verarbeitet werden
2.1 Daten, die nur in Ihrem Browser bleiben
Alle Eingaben in Tools wie Bescheid-Checker, Fristen-Cockpit, Mandanten-Onboarding etc. werden ausschließlich in Ihrem Browser-Speicher abgelegt (LocalStorage). Dies betrifft insbesondere:
- Mandantennamen, Steuernummern, IdNr.
- Bescheid-Daten, Festsetzungen, Notizen
- Hochgeladene PDF-/Bilddateien (nur kurzzeitig im RAM)
- Fristen, Mandantenbriefe, Vollmachten
- Alle Eingaben in Steuer-Rechner
Wichtig Diese Daten werden weder an unseren Server noch an Dritte gesendet. Sie können sie jederzeit löschen, indem Sie den Browser-Speicher leeren oder den „🧹 Alle"-Button in den jeweiligen Tools nutzen.
2.2 Daten, die unser Server zwangsweise sieht (technisch unvermeidbar)
| Was | Wofür | Speicherdauer |
|---|---|---|
| IP-Adresse (gekürzt /24) | Auslieferung der Seite, DDoS-Schutz | 30 Tage |
| User-Agent (Browser-Typ) | Kompatibilitäts-Statistik | 30 Tage |
Aufgerufene URL-Pfade (z.B. /Firmenwagen/firmenwagen.html) | Nutzungs-Statistik anonymisiert | 30 Tage |
| Zeitstempel des Zugriffs | Server-Performance-Analyse | 30 Tage |
Beachten Sie Für die sensiblen Tools (Bescheid-Checker, Einspruchs-Generator, Mandantenbrief, Fristen-Cockpit, Mandanten-Onboarding, Vollmacht § 80 AO) ist das Access-Logging serverseitig vollständig deaktiviert. Auch URL-Pfade werden hier nicht protokolliert.
3. Technische Sicherheitsmaßnahmen
| Maßnahme | Beschreibung |
|---|---|
| TLS 1.3 / HTTPS | Let's-Encrypt-Zertifikat, automatische Erneuerung. HTTP wird auf HTTPS umgeleitet. |
| HTTP Strict Transport Security (HSTS) | max-age=31536000; includeSubDomains — Browser nutzt nur noch HTTPS für 1 Jahr. |
| Content Security Policy (CSP) | Strenge Direktiven: connect-src 'self', frame-ancestors 'none', object-src 'none'. Verhindert XSS und Clickjacking. |
| Subresource Integrity (SRI) | Externe Bibliotheken (PDF.js, Tesseract.js OCR) sind selbst gehostet mit SHA-384-Hash-Pinning. Manipulationsversuche werden vom Browser erkannt. |
| X-Frame-Options / X-Content-Type-Options | Schutz gegen Clickjacking + MIME-Sniffing. |
| Permissions-Policy | Geolocation, Mikrofon, Zahlungen, USB sind plattformweit deaktiviert. |
| Server-Härtung | SSH-Key-Auth (kein Passwort), fail2ban (24 h Bantime), aktuelle Pakete (Ubuntu 24.04 LTS + Cron-Updates). |
| Daten-Übergabe zwischen Tools | Einmal-Token via Browser-Storage (TTL 60 s), kein URL-Parameter — keine Daten in Server-Logs oder Browser-Verlauf. |
| Auto-Löschung in Tools | Akten/Mandantendaten werden nach 24 h Inaktivität im Browser automatisch gelöscht. |
| Backup | Tägliches Backup nur der öffentlichen Inhalte (Tools-Code, Steuer-Datenbanken) — keine Mandantendaten enthalten. |
4. KI / Maschinelles Lernen
Einige Tools nutzen semantische Suche mit einem Sprachmodell (paraphrase-multilingual-MiniLM-L12-v2). Dies geschieht ausschließlich folgendermaßen:
- Indizierung passiert auf unserem Server, einmalig täglich, für öffentliche Steuer-Datenbanken (AEAO, EStR, LStR, BMF-Schreiben, anhängige BFH-Verfahren). Es werden ausschließlich öffentliche Daten verarbeitet.
- Ihre Suchanfragen werden NICHT an externe KI-Anbieter wie OpenAI, Anthropic, Google etc. gesendet. Die semantische Suche im Bescheid-Checker basiert auf vorberechneten Embeddings, die im Browser geladen und verglichen werden.
- Keine Trainingsverwendung Ihrer Daten: Es findet kein Reinforcement-Learning oder Modell-Verbesserung mit Nutzerdaten statt.
5. Berufs- und Mandantengeheimnis (§ 203 StGB, § 57 StBerG)
Diese Plattform ist so gestaltet, dass sie auch unter Wahrung der Berufs- und Mandantengeheimnisse (Steuerberater, Rechtsanwälte, Lohnsteuerhilfevereine) genutzt werden kann:
- Keine Übertragung von Mandantendaten an Dritt-Cloud-Dienste
- Keine Speicherung von Mandantendaten auf unseren Servern
- Auch unterschriebene Vollmachten / Mandantenbriefe / Akten verlassen Ihren Browser nicht
- Bei PDF-Bescheid-Upload: Datei wird nur im RAM ausgewertet, nicht gespeichert, nicht hochgeladen
6. Ihre Rechte nach DSGVO
Soweit personenbezogene Daten verarbeitet werden (vgl. Abschnitt 2.2: IP, User-Agent etc.), haben Sie folgende Rechte:
- Auskunft (Art. 15 DSGVO) — Sie können erfragen, welche Daten zu Ihnen gespeichert sind
- Löschung (Art. 17 DSGVO) — innerhalb der gesetzlichen Aufbewahrungsfristen
- Widerspruch (Art. 21 DSGVO) gegen Verarbeitung auf Basis berechtigten Interesses
- Beschwerderecht bei der Aufsichtsbehörde: Unabhängiges Datenschutzzentrum Saarland
Kontakt für Datenschutz-Anfragen: info@steuer-online.de
7. Keine Steuer-/Rechtsberatung
Die Tools dieser Plattform stellen keine Steuerberatung im Sinne des § 1 StBerG und keine Rechtsberatung im Sinne des RDG dar. Berechnungen und Auswertungen sind als allgemeine Informationen zu verstehen. Für konkrete Beratung wenden Sie sich bitte an einen Steuerberater, Lohnsteuerhilfeverein oder Rechtsanwalt.
8. Weitere Dokumente
- Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO
- Impressum
- Vollständige Datenschutzerklärung (falls separates Dokument)