Technische und organisatorische Maßnahmen (TOM)
nach Art. 32 DSGVO · Stand: 20. Mai 2026 · Steuer-Online MF GmbH
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle
- Server-Hardware bei Hetzner Online GmbH (Falkenstein, Deutschland) — ISO 27001-zertifiziertes Rechenzentrum
- Kein physischer Zugriff durch Steuer-Online MF GmbH erforderlich
- Hetzner-Sicherheitsmaßnahmen: 24/7 Sicherheitspersonal, biometrische Zutrittskontrolle, Video-Überwachung
1.2 Zugangskontrolle
- SSH-Zugang ausschließlich mit Public-Key-Authentication (kein Passwort-Login)
- Administrativer Zugang nur aus festgelegten Firmen-Netzen (IP-Whitelisting)
- Fail2ban mit 24 h Bantime bei fehlgeschlagenen Logins
- SSH-Schlüssel-Verwaltung in verschlüsselten lokalen Schlüsselspeichern
1.3 Zugriffskontrolle
- Trennung verschiedener Domains via Docker-Container + Nginx-Reverse-Proxy
- Plattform speichert keine personenbezogenen Mandantendaten serverseitig — Zugriffskontrolle entfällt für nicht-existente Daten
- System-Logs (Server-Login etc.) nur für Administratoren zugänglich
1.4 Trennungskontrolle
- Plattform tools.steuersoft.de ist von anderen Diensten (Mail, Kunden-DB, etc.) physisch und logisch getrennt
- Verschiedene Kundendomänen (z.B. lhv.tools.steuersoft.de) werden über separate Nginx-server-Blocks und SSL-Zertifikate getrennt
- Backups werden in separater Hetzner Storage Box mit eigener Authentifizierung gespeichert (Sub-Account)
1.5 Pseudonymisierung / Anonymisierung
- IP-Adressen in Nginx-Logs werden auf /24 gekürzt vor Persistenz
- Für sensible Tools-Pfade (Bescheid-Checker, Einspruch, Mandantenbrief, Fristen-Cockpit, Onboarding, Vollmacht): vollständige Deaktivierung des Access-Logs
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
- TLS 1.3 / HTTPS für alle Verbindungen (Let's Encrypt, automatische Rotation)
- HSTS:
max-age=31536000; includeSubDomains - Content-Security-Policy (CSP) restriktiv:
connect-src 'self',frame-ancestors 'none',object-src 'none' - Subresource Integrity (SRI) für alle eingebundenen JavaScript-Bibliotheken (SHA-384-Hash-Pinning)
- Werkzeug-übergreifende Datenübergabe via Einmal-Token in
localStorage(TTL 60 Sek.) statt URL-Parameter — keine Mandantendaten in URL/Server-Logs/Browser-Verlauf
2.2 Eingabekontrolle
- Alle Server-Konfiguration via versioniertem Git-Repo
- Backups mit Integrity-Check via
tar -tzfnach jedem Lauf - Test-Pipeline läuft täglich um 10:00 — verifiziert Existenz + Schema-Konformität aller Datenbestände (98/98 Tests aktuell)
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
3.1 Verfügbarkeitskontrolle
- Hetzner-SLA: 99,9 % Verfügbarkeit Netzwerk-Anbindung
- Automatische Wiederherstellung der Dienste via Docker-Restart-Policies
- SSL-Zertifikats-Auto-Renewal via certbot (3 Monate vor Ablauf)
3.2 Rasche Wiederherstellbarkeit
- Tägliches Backup um 02:00 in zwei Schichten:
- Lokal:
/var/backups/steuersoft-tools/(7 Tage daily, 4 Wochen weekly, 12 Monate monthly) - Off-Site: Hetzner Storage Box (separates Rechenzentrum, Sub-Account-Auth)
- Lokal:
- Wiederherstellungszeit (RTO): < 2 Stunden bei Total-Verlust
- Wiederherstellungspunkt (RPO): < 24 Stunden (tägliches Backup)
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Tägliche Test-Pipeline um 10:00 (Smoke-Tests aller Indizes und Endpunkte)
- Tägliches Daily-Digest um 09:30 (Status-Mail an Administratoren)
- Monatliche Review der TOM auf Aktualität und Wirksamkeit
- Bei sicherheitsrelevanten Vorfällen: ad-hoc Audit und Patch innerhalb von 24 h
5. Auftragsverarbeiter
| Anbieter | Zweck | Sitz | AV-Vertrag |
|---|---|---|---|
| Hetzner Online GmbH | Server-Hosting | Deutschland (Falkenstein, Nürnberg) | ✓ vorhanden |
| IONOS SE | Domain-Verwaltung / SMTP | Deutschland | ✓ vorhanden |
| Let's Encrypt (ISRG) | SSL-Zertifikate | USA (gemeinnützig) | Berechtigtes Interesse Art. 6 Abs. 1 lit. f DSGVO — keine pers. Daten |
Keine weiteren Auftragsverarbeiter. Insbesondere keine Cloud-KI-Anbieter (OpenAI, Anthropic, Google etc.) für Mandantendaten — die semantische Suche auf der Plattform basiert auf einem lokal gespiegelten Open-Source-Modell (paraphrase-multilingual-MiniLM-L12-v2 von HuggingFace).
5a. Live-API-Werkzeuge — Maßnahmen nach Art. 32 DSGVO
Für die unter Abschnitt 11a der Datenschutzerklärung dokumentierten Live-API-Werkzeuge gelten ergänzend folgende technische und organisatorische Maßnahmen:
Verschlüsselung & Übertragung
- Alle ausgehenden Anfragen erfolgen über TLS 1.2+ mit Zertifikatsprüfung; SSL-Verify aktiv für sämtliche externen Empfänger
- SOAP-Anfragen (VIES) und REST-Anfragen (Bundesbank/DESTATIS/Internet Archive) nutzen ausschließlich verschlüsselte Endpunkte
- Server-Zertifikate werden über die offiziellen Anbieter-Repositories des Betriebssystems gepflegt
Zugriffskontrolle
- Authentifizierungs-Token (DESTATIS-Token, Wayback-S3-Key) liegen ausschließlich in geschützten Konfigurationsdateien unter
/etc/mit Lese-Rechten für Root (chmod 600); nie im Code-Repository - Die API-Endpunkte selbst sind unter
/api/extern/*öffentlich, akzeptieren aber nur die in der Endpunkt-Doku spezifizierten Parameter (Whitelisting) - Rate-Limiting der vorgelagerten Reverse-Proxy-Schicht verhindert Missbrauch
Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)
- VIES: nur USt-IdNr (Pflicht-Eingabe nach § 18e UStG), kein Mandantenname, keine IP, kein Browser-Fingerprint
- Bundesbank/DESTATIS: ausschließlich Tabellen-/Währungs-Codes — keinerlei personenbezogene Daten
- Wayback: nur die vom Berater explizit eingegebene URL — Klick auslösender Vorgang
- Insolvenz: bei Direktlink ausschließlich der Schuldnername in der URL; kein Mandantenbezug
- BZSt-Validator: XML-Validierung lokal ohne externe Übermittlung
Audit-Log (Nachweisbarkeit nach Art. 30 DSGVO)
- Audit-Log unter zentralem Log-Verzeichnis mit
chmod 640(nur Root + adm-Gruppe lesbar) - Pro Eintrag: Zeitstempel (UTC), Endpoint, Eingabeparameter, Ergebnis-Status — KEINE IPs, KEINE User-Agents, KEINE Mandantenkennung
- Logrotate wöchentlich mit Komprimierung; Aufbewahrung 26 Wochen rotiert, 6 Jahre archiviert (analog § 147 AO)
- Keine Übermittlung des Audit-Logs an Dritte
Drittland-Transfer (Wayback & Internet Archive)
- Drittland-Transfer ausschließlich auf ausdrückliche Auslöse-Aktion (Klick „Snapshot anfordern") — kein automatischer Vorgang beim Seitenaufruf
- Übermittelt wird ausschließlich die vom Berater bewusst angegebene URL — kein Tracking, kein Profil
- Internet Archive Foundation ist gemeinnützig (501(c)(3)) und veröffentlicht den Snapshot selbst öffentlich; ein Personenbezug entsteht nur, wenn die ausgewählte Quell-URL personenbezogene Inhalte enthält
- Vor dem Klick erhält der Berater im Werkzeug einen Compliance-Hinweis zur Drittland-Übermittlung
Lokale Such-/RAG-Engine
- Die Volltext-/RAG-Suche unter
/api/search-allbzw./api/rag/searchläuft vollständig auf dem eigenen Server; keine LLM-Anbieter-API, keine Cloud-Embeddings - Engine: sparse-retrieval (BM25-light + char-3gram-fuzzy) und lokal ausgeliefertes Sentence-Transformer-Modell (paraphrase-multilingual-MiniLM-L12-v2 von HuggingFace; einmalig beim Start in RAM geladen)
- Such-Queries werden nicht protokolliert (kein Query-Log)
6. Verantwortlich
Steuer-Online MF GmbH
Wallstr. 7
66740 Saarlouis
Deutschland
Geschäftsführer: Martin Frankenreiter
HRB 108 426, Amtsgericht Saarbrücken
USt-IdNr.: DE 351 567 389
Datenschutz-Anfragen: info@steuer-online.de
7. Änderungsprotokoll
- 27.06.2026: Abschnitt 5a ergänzt: TOMs für 6 Live-API-Werkzeuge und lokale RAG/Such-Engine — TLS 1.2+, Token-chmod-600-Pflege, Datenminimierung pro Endpunkt, Audit-Log-Konzept (chmod 640, logrotate 26 Wochen, 6 Jahre archiv), Compliance-Hinweis für Wayback-Drittland-Transfer, lokale Such-Engine ohne Query-Log dokumentiert
- 20.05.2026: Erstveröffentlichung. CSP-Header eingeführt, SRI-Pinning für externe Libs, Einmal-Token-Handoff zwischen Tools, Auto-Wipe LocalStorage 24 h, Access-Log-Deaktivierung für sensible Pfade.