Sieht die KI meine echten Daten?

Nein. Namen, Adressen, IBANs, Geburtsdaten und Telefonnummern werden vor dem Versand an das Sprachmodell durch Platzhalter ersetzt. Erst beim Anzeigen auf deinem Geraet werden die echten Werte wieder eingesetzt.

Auf AWS Bedrock in der Region Frankfurt (eu-central-1). Anthropic erhaelt durch die Bedrock-Nutzung keinen Zugriff auf Inhaltsdaten und nutzt deine Eingaben nicht fuer Modell-Training.

← Zurueck zur Startseite

Datenschutzerklaerung

Q: Ist das Steuerberatung?

Nein. Wir helfen bei Datenerfassung und Vor-Berechnung. Fuer rechtsverbindliche Beratung wende dich an einen Steuerberater oder Lohnsteuerhilfeverein.

Stand: April 2026

1. Verantwortlicher

Steuer-Online MF GmbH
Wallstr. 7, 66740 Saarlouis, Deutschland
Geschaeftsfuehrer: Martin Frankenreiter
Handelsregister: HRB 108 426, Amtsgericht Saarbruecken
USt-IdNr.: DE 351 567 389
E-Mail: info@steuer-online.de

2. Welche Daten wir verarbeiten und warum

Damit der KI-Assistent eine Einkommensteuererklaerung mit dir vorbereiten kann, verarbeiten wir die Eingaben aus dem Chat und die daraus extrahierten strukturierten Steuerfelder (z. B. Bruttoarbeitslohn, Pendlerpauschale, Werbungskosten). Wenn du ein Konto anlegst, zusaetzlich deine E-Mail-Adresse und ein gehashes Passwort (bcrypt).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchfuehrung) sowie lit. a DSGVO (Einwilligung beim Anlegen eines Kontos).

3. Wie wir personenbezogene Daten schuetzen — PII-Anonymisierung

Bevor deine Chat-Nachrichten an das Sprachmodell gesendet werden, ersetzen wir personenbezogene Daten (Namen, Adressen, Geburts- daten, IBANs, E-Mail, Telefonnummern, Steuer-IDs) durch Platzhalter wie [NAME_1] oder [PLZ_ORT_1]. Das Mapping zwischen Platzhalter und Originalwert verbleibt ausschliesslich auf unserem Server in der EU. Das Sprachmodell sieht deine echten Daten nie.

Erst beim Anzeigen der Antwort auf deinem Geraet werden die Platzhalter wieder durch deine echten Daten ersetzt.

4. Eingesetzte Dienste und Auftragsverarbeiter

Damit dieser Dienst funktioniert, greifen wir auf folgende externe Dienstleister zurueck. Mit allen wurde ein Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DSGVO geschlossen.

4.1 Hosting (Backend, Datenbank)

Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen, Deutschland
Server-Standort: Hetzner-Rechenzentrum Falkenstein/Saxonia, Deutschland.
Verarbeitete Daten: alle Anwendungsdaten (verschluesselt im Transit, At-Rest auf Dateisystem-Ebene). Backups bleiben in derselben Region.
AVV: hetzner.com/de/rechtliches/auftragsverarbeitung

4.2 KI-Modelle ueber AWS Bedrock (EU-Region)

Fuer die KI-Antworten nutzen wir Anthropic Claude Sprachmodelle (aktuell Claude Sonnet 4.6 fuer den Hauptchat und Claude Opus 4.6 fuer die Zusammenfassung und Dokumenten-Auswertung). Wir rufen die Modelle ausschliesslich ueber die Amazon Web Services Bedrock-API in der Region Frankfurt (eu-central-1) auf.

Wichtig: Bei der Bedrock-Nutzung erhaelt Anthropic keinen Zugriff auf deine Daten — AWS verarbeitet die Anfragen, leitet sie nicht an Anthropic weiter und nutzt deine Eingaben nicht fuer Modell-Training. Anthropic liefert das Modell, aber nicht die Inferenz.

Amazon Web Services EMEA SARL (38 Avenue John F. Kennedy, L-1855 Luxembourg) — primaerer Auftragsverarbeiter fuer KI-Inferenz. AWS GDPR-Center.
AWS Marketplace — fuer den Bezug bestimmter Modelle (Claude Opus) wird intern eine AWS-Marketplace-Subscription genutzt. Es gehen dabei keine weiteren Daten an Dritte.
Anthropic PBC (San Francisco, CA, USA) — Hersteller der Sprachmodelle. Bekommt durch unsere Bedrock-Nutzung keine Inhaltsdaten und auch keine Metadaten unserer Anfragen. Genannt nur zur vollstaendigen Transparenz darueber, woher das Modell stammt.

Vor Versand jeder Nachricht an das Sprachmodell ersetzen wir personenbezogene Daten durch Platzhalter (siehe Abschnitt 3) — das Modell sieht keine Klarnamen, Adressen, IBANs etc.

5. Zahlungsabwicklung

Wenn du das Premium-Upgrade kaufst, erfolgt die Zahlung ueber unseren Zahlungsdienstleister PayPal (PayPal (Europe) S.a r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg). Wir uebermitteln dabei nur den Zahlungsbetrag und eine interne Referenz auf deine Sitzung — nicht deine Steuerdaten.

Technisch laeuft die PayPal-Anbindung ueber unseren eigenen Zahlungs-Microservice zahlung.steuer-online.de (gehostet auf demselben Hetzner-Server in Falkenstein). Dieser Service haelt die PayPal-API-Credentials und kommuniziert ausschliesslich serverseitig mit PayPal — dein Browser sieht die Schluessel nie.

Datenschutzinformationen von PayPal: paypal.com/de/legalhub/privacy-full.

6. Speicherdauer

Anonyme Sessions ohne Konto: bis 90 Tage nach letzter Nutzung, dann automatische Loeschung.
Sessions mit Nutzerkonto: solange dein Konto besteht; du kannst jederzeit einzelne Sessions oder dein gesamtes Konto loeschen.
Backups (Postgres-Dumps): 14 Tage rotierend, danach gepurgt.
Zahlungs-Vorgaenge: gemaess gesetzlicher Aufbewahrungsfristen (HGB/AO) bis zu 10 Jahre.

7. Deine Rechte

Du hast nach DSGVO insbesondere folgende Rechte uns gegenueber:

Recht auf Auskunft (Art. 15) — schreibe an info@steuer-online.de.
Recht auf Berichtigung (Art. 16) — direkt im Chat oder ueber den Datenkorrektur-Dialog.
Recht auf Loeschung (Art. 17) — ueber den Konto loeschen-Button im Account oder per E-Mail.
Recht auf Einschraenkung (Art. 18).
Recht auf Datenuebertragbarkeit (Art. 20) — JSON-Export- Funktion in der App.
Recht auf Beschwerde bei einer Aufsichtsbehoerde — fuer uns zustaendig ist das Unabhaengige Datenschutzzentrum Saarland.

8. Cookies, LocalStorage und Tracking

Wir setzen keine Tracking-Cookies, kein Web-Analytics (kein Google Analytics, kein Matomo, kein Facebook-Pixel) und keine Werbe-Pixel. Die Anwendung speichert ausschliesslich folgende technische Eintraege im LocalStorage deines Browsers:

steuer_session_id — UUID deiner aktuellen Session, damit du beim Reload nicht von vorne anfangen musst.
ui-prefs — UI-Einstellungen wie Sprache (de/en) und Senior-Modus (groessere Schrift).
steuer-auth — falls du dich registriert hast: dein JWT-Login-Token (gilt 30 Tage).
steuer_privacy_accepted — merkt sich, dass du den Datenschutz-Hinweis-Banner weggeklickt hast.

Du kannst alle Eintraege jederzeit ueber dein Browser-Menue loeschen (Browser-Einstellungen → Daten & Datenschutz → Webseiten-Daten loeschen). Eine Session-Cookie-Variante setzen wir nicht ein.

9. Server-Logs und Sicherheits-Logging

Beim Aufruf der Anwendung schreibt unser Reverse-Proxy (Caddy) ein technisches Zugriffslog mit folgenden Feldern: IP-Adresse (verkuerzt nach 7 Tagen), Zeitstempel, HTTP-Methode, aufgerufener Pfad, Status-Code, User-Agent. Dieses Log dient ausschliesslich der IT-Sicherheit (Abwehr von Angriffen, Fail-Logins) und der Fehleranalyse.

Speicherdauer Caddy-Access-Log: 7 Tage, danach automatische Rotation/Loeschung. Anwendungs-Logs des Backends (FastAPI) werden 14 Tage aufbewahrt; sie enthalten keine Klarnamen, Adressen oder IBANs (wegen der PII-Anonymisierung aus Abschnitt 3).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Betrieb).

10. Keine Steuerberatung

Dieser Dienst stellt keine Steuerberatung im Sinne des Steuerberatungsgesetzes (StBerG) dar. Wir helfen dir bei der Datenerfassung und Berechnung — fuer rechtsverbindliche Beratung wende dich an einen Steuerberater oder einen anerkannten Lohnsteuerhilfeverein.

Startseite Impressum AGB