Steuerbeleg

Datenschutz

Steuerbeleg UG (haftungsbeschränkt) — Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Steuerbeleg UG (haftungsbeschränkt) [PLATZHALTER: Straße + Hausnummer] 48151 Münster Deutschland

Vertretungsberechtigte Geschäftsführung: [PLATZHALTER: Name(n)] Registergericht: Amtsgericht Münster, HRB [PLATZHALTER] Umsatzsteuer-ID: [PLATZHALTER]

E-Mail: hallo@steuerbeleg.com Telefon: [PLATZHALTER]

Datenschutzbeauftragter

Wir haben aktuell keinen Datenschutzbeauftragten benannt. Nach § 38 Abs. 1 BDSG besteht für Unternehmen mit weniger als 20 Personen, die in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, keine gesetzliche Bestellpflicht. Bis dahin erreichen Sie unsere internen Datenschutzansprechpartner unter hallo@steuerbeleg.com.

2. Allgemeine Hinweise

2.1 Geltungsbereich

Diese Datenschutzerklärung gilt für:

  • die Marketing-Website steuerbeleg.com
  • die Web-Anwendung app.steuerbeleg.com
  • die native iOS-Anwendung "Steuerbeleg", erhältlich unter steuerbeleg.app

2.2 Rechtsgrundlagen im Überblick

Wir verarbeiten personenbezogene Daten ausschließlich auf Basis einer der folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. Newsletter)
  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (z. B. Beleg-Verarbeitung)
  • Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen (z. B. steuer- und handelsrechtliche Aufbewahrungspflichten)
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (z. B. funktionaler Cookie)

3. Beim Besuch der Website

Beim Aufruf werden automatisch Informationen in Server-Logs gespeichert:

  • IP-Adresse, Datum und Uhrzeit, abgerufene Datei, übertragene Datenmenge
  • HTTP-Statuscode, Browsertyp und -version, Betriebssystem, Referrer

Zweck: Sicherstellung eines reibungslosen Verbindungsaufbaus, Abwehr von Angriffen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer: IP-Adressen werden maximal 7 Tage gespeichert.

Empfänger: Cloudflare als technischer Dienstleister (siehe Abschnitt 11).

4. Cookies

4.1 Ein einziger funktionaler Cookie

Name Zweck Inhalt Speicherdauer Anbieter
persona Merkt Zielgruppen-Ansicht (Steuerberater bzw. Unternehmer) biz oder tax 12 Monate Steuerbeleg UG (First-Party)

Der Cookie enthält keinen User-Identifier, keine IP-Adresse und keine Tracking-Information.

4.2 Warum kein Cookie-Banner?

§ 25 Abs. 2 Nr. 2 TDDDG sieht vor, dass für Cookies, die unbedingt erforderlich sind, keine Einwilligung eingeholt werden muss. Da es sich um einen reinen Funktionscookie handelt (keine Reichweitenmessung, kein Tracking, keine Werbung), verzichten wir auf ein Consent-Banner.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO.

4.3 Cookies in der App

In der eingeloggten Web-App verwenden wir technisch notwendige Session-Cookies, die nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei sind.

5. Reichweitenanalyse mit Plausible Analytics

Wir nutzen Plausible Analytics (Plausible Insights OÜ, Tartu, Estland) — eine datenschutzfreundliche Alternative zu Tracking-Diensten:

  • Keine Cookies, kein Local Storage, kein Fingerprinting.
  • Keine persönliche Wiedererkennung.
  • Daten-Verarbeitung ausschließlich in der EU.
  • Keine Übermittlung an Drittländer.
  • IP-Adressen werden nicht gespeichert.

Erhobene Daten: Aufgerufene Seite, Referrer, Land/Region (grob), Browser, OS, Gerätetyp.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

6. Newsletter

6.1 Anmeldung und Double-Opt-In

Wenn Sie unseren Newsletter abonnieren, erheben wir:

  • E-Mail-Adresse (Pflichtangabe)
  • Zeitpunkt der Anmeldung und Bestätigung
  • IP-Adresse zum Zeitpunkt der Anmeldung (zur Dokumentation)

Die Anmeldung erfolgt im Double-Opt-In-Verfahren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Technische Umsetzung: Cloudflare Worker mit D1 (Region: EU), Versand über Resend (EU-Region Irland).

Widerruf: Jederzeit per Abmeldelink in jeder Newsletter-Ausgabe oder formlos an hallo@steuerbeleg.com.

Speicherdauer: Bis zum Widerruf; nach Abmeldung max. 3 Jahre in Sperrliste (Art. 6 Abs. 1 lit. f DSGVO).

7. Demo-Buchung

Auf der Seite /demo verarbeiten wir die Formulardaten:

  • Name, E-Mail-Adresse, optional Telefon, Unternehmen, Wunschtermin, Anliegen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme).

Speicherdauer: Max. 90 Tage nach Termin, sofern keine vertragliche Beziehung entsteht.

8. Account-Registrierung und Login

Für die Nutzung der Web-App und der iOS-App ist ein Nutzerkonto erforderlich. Wir erheben:

  • E-Mail-Adresse (Login)
  • Passwort — gespeichert als Argon2id-Hash mit individuellem Salt (niemals Klartext)
  • optional: Name, Anzeigename, Rolle
  • Zeitstempel von Registrierung und letztem Login
  • IP-Adresse des letzten Logins (Sicherheit)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

Technische Umsetzung: Better-Auth auf eigener EU-Infrastruktur.

9. Verarbeitung von Beleg-Daten (Kerngeschäft)

9.1 Welche Daten enthalten Belege?

  • Daten der Belegaussteller: Firmenname, Anschrift, Steuernummer, USt-ID, Bankverbindung
  • Daten der Belegempfänger: Name/Firma, Anschrift, Kundennummer
  • Inhaltliche Belegdaten: Datum, Beträge, Positionen
  • Bewirtungs-/Reisekostenbelege: Namen, Anlass, Reisedaten
  • ggf. Bankdaten, IBAN/BIC

Insbesondere enthalten Belege oft personenbezogene Daten Dritter. Die Informationspflicht nach Art. 14 DSGVO obliegt Ihnen als Verantwortlichem.

9.2 Technische Verarbeitung

Schritt Verarbeitung Ort
Upload Web-App, iOS-App, Mail-Inbox TLS 1.3-verschlüsselt
Originaldatei Verschlüsselte Ablage Cloudflare R2 Frankfurt (EU)
OCR + Extraktion KI-Modell Claude Opus 4.7 EU → USA (Anthropic)
Strukturierte Daten PostgreSQL Frankfurt (EU)
Mandantentrennung Row-Level Security (RLS) EU
Export DATEV, CSV, PDF EU

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; für Daten Dritter Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 28 DSGVO (Kanzlei-Nutzung).

9.3 Daten-Souveränität und Export

Ihre Daten gehören Ihnen.

  • Vollexport jederzeit (Original-PDFs + strukturierte Daten DATEV/CSV).
  • Datenübertragbarkeit nach Art. 20 DSGVO.
  • Keine Weitergabe an Dritte zu Werbe- oder Profiling-Zwecken.
  • Keine Nutzung Ihrer Belegdaten für eigene Produktentwicklung über das vertraglich Erforderliche hinaus.

10. KI-Verarbeitung: Anthropic Claude

10.1 Was wird übermittelt?

An die Anthropic-API übermitteln wir:

  • den Beleg-Inhalt (Bild- bzw. PDF-Datei oder extrahierten Text)
  • ggf. Kontext aus Ihrem Account (z. B. Kontenrahmen)

Nicht übermittelt: Login-Daten, vollständige Belege-Historie ohne Anlass, Daten anderer Mandanten.

10.2 Verarbeitungsort

Die Anthropic-API verarbeitet in Rechenzentren in den USA.

10.3 Kein Training auf Ihren Daten

Anthropic gibt für alle kommerziellen API-Kunden vertraglich zu, dass eingereichte Daten nicht für das Training der Modelle verwendet werden. Anthropic löscht Daten nach kurzen, betrieblich notwendigen Zeiträumen (typischerweise 30 Tage in System-Logs zur Missbrauchserkennung).

Ihre Belegdaten werden zu keinem Zeitpunkt zum KI-Training verwendet — weder von uns noch von unseren Subprozessoren.

10.4 Drittlandübermittlung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Die Übermittlung in die USA stützt sich auf:

  1. EU-Standardvertragsklauseln im Rahmen des Anthropic Data Processing Addendum
  2. Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
  3. EU-US Data Privacy Framework (Anthropic zertifiziert; Status laufend geprüft)
  4. Technische Schutzmaßnahmen (Verschlüsselung, Zugriffsbegrenzung)

Wir weisen ausdrücklich auf das Restrisiko hin, dass trotz aller Schutzmaßnahmen das EU-Datenschutzniveau bei US-Übermittlungen aus rechtlicher Sicht nicht vollständig garantiert werden kann (FISA 702, CLOUD Act).

11. Subprozessoren

Dienst Anbieter Zweck Verarbeitungsort Drittlandbasis
R2-Storage, CDN, Edge, KV, DDoS-Schutz Cloudflare, Inc. (San Francisco, USA; EU: Cloudflare Germany GmbH, München) Beleg-Originaldateien (EU/Frankfurt), Auslieferung, Newsletter, Schutz EU (Frankfurt) für R2; sonst global mit Edge primär EU SCC + DPF + Cloudflare DPA
KI-Beleg-Erkennung Anthropic, PBC (548 Market St PMB 90375, San Francisco, USA) OCR, Vorkontierung (Claude Opus 4.7) USA SCC + DPF + Anthropic DPA, kein Training
Datenbank-Hosting [PLATZHALTER: z. B. Hetzner, Scaleway] Account- und Belegdaten EU (Frankfurt) AVV; kein Drittlandtransfer
Web-Analyse Plausible Insights OÜ (Tartu, Estland) Anonyme Reichweitenmessung EU AVV; kein Drittlandtransfer
Mail-Versand [PLATZHALTER: Resend / EU-Anbieter] System-Mails, Newsletter EU oder USA SCC + DPA (sofern USA)
iOS App-Distribution Apple Inc. (Cupertino, USA) App Store, APNs USA SCC + DPF

Aktualisierungen mit mindestens 30 Tagen Vorlauf an aktive Kunden.

12. Auftragsverarbeitung für Kanzlei-Nutzung (Art. 28 DSGVO)

12.1 Rollenverteilung

Wenn Sie als Kanzlei Belege Dritter (Mandanten) einspeisen, sind Sie der Verantwortliche, wir sind Ihr Auftragsverarbeiter nach Art. 28 DSGVO.

Wir stellen Ihnen einen separaten AVV zur Verfügung. Erhältlich auf Anfrage unter hallo@steuerbeleg.com oder direkt im Kanzlei-Account unter "Vertrag & Datenschutz".

12.2 Schutz Ihres Mandantenstamms

Ihr Mandantenstamm ist Ihr wertvollstes Asset — und er bleibt es. Wir verpflichten uns ausdrücklich:

  • Kein Zugriff zu eigenen Zwecken. Wir lesen, sichten, analysieren oder verwerten Ihre Mandantenstamm-Daten zu keinem Zeitpunkt für eigene Geschäftszwecke (kein Cross-Selling, kein Profiling, keine Statistik über Ihre Mandanten).
  • Keine Direktansprache Ihrer Mandanten. Wir nehmen keinen direkten Marketing- oder Vertriebskontakt zu Mandanten auf, deren Daten Sie über unseren Dienst verarbeiten — weder über die im Beleg erkennbaren Kontaktdaten noch über sonstige Wege.
  • Keine Weitergabe. Mandantenstamm-Daten werden nicht an Dritte (außerhalb der für die Vertragserfüllung notwendigen Subprozessoren) weitergegeben.
  • Vollständige Datenportabilität. Sie können Ihren kompletten Mandantenstamm samt aller Belege jederzeit als strukturierten Export herunterladen — und auch jederzeit komplett löschen lassen.
  • Bei Vertragsende. Mandantendaten werden nach den vertraglich vereinbarten Löschfristen (siehe Abschnitt 14) entfernt; Aufbewahrungspflichten gegenüber Steuer- und Handelsrecht bleiben unberührt und werden im Archiv-Modus erfüllt.

12.3 Berufsgeheimnis (§ 203 StGB)

Mandantendaten in einer Steuerkanzlei unterliegen dem strafbewehrten Berufsgeheimnis. Die nach § 203 Abs. 4 StGB erforderlichen Verpflichtungen unserer Beschäftigten und Subprozessoren auf das Berufsgeheimnis regeln wir gesondert im AVV.

13. Ihre Rechte als betroffene Person

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
  • Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu werden (Art. 22 DSGVO) — unsere KI-Vorschläge sind keine automatisierten Entscheidungen, da die Buchung stets durch Sie freigegeben wird.

Zur Ausübung genügt eine formlose Mail an hallo@steuerbeleg.com.

14. Speicherdauer und das Verhältnis von Löschungsrecht zu GoBD-Aufbewahrungspflichten

14.1 Buchhaltungsbelege: Spannungsverhältnis zur Aufbewahrungspflicht

Für Belegdaten besteht ein Spannungsverhältnis zwischen Art. 17 DSGVO (Löschung) und den steuer- und handelsrechtlichen Aufbewahrungspflichten:

  • § 147 Abs. 1 und 3 AO: 10 Jahre für Buchungsbelege, Bücher, Jahresabschlüsse
  • § 257 Abs. 1 und 4 HGB: 10 Jahre für Handelsbücher, Buchungsbelege
  • GoBD: Unveränderbarkeit und Nachvollziehbarkeit

Diese Pflichten gehen dem Löschungsanspruch nach Art. 17 Abs. 3 lit. b DSGVO vor. Wir überführen Belege bei Bedarf in einen revisionssicheren Archiv-Status (Art. 18 DSGVO Einschränkung) — kein Zugriff für aktive Suchen, Auswertungen oder KI-Verarbeitung.

14.2 Konkrete Speicher-/Löschfristen

Datenkategorie Speicherdauer
Server-Logs (IP) 7 Tage
Cookie persona 12 Monate ab letzter Aktivität
Plausible-Aggregate bis 24 Monate
Demo-Anfragen max. 90 Tage nach Termin
Newsletter-Abo bis Widerruf; Sperrliste max. 3 Jahre
Account-Daten für Vertragsdauer + 30 Tage Karenz
Belegdaten 10 Jahre nach Ablauf des Kalenderjahrs (§ 147 AO, § 257 HGB)
Vertrags- und Rechnungsdaten 10 Jahre (§ 14b UStG, § 147 AO)
Auskunfts-Dokumentation 3 Jahre

14.3 Account-Löschung

Sie können Ihren Account jederzeit löschen. Aufbewahrungspflichtige Daten werden in den Archiv-Modus überführt, alle anderen gelöscht oder anonymisiert. Auf Wunsch erhalten Sie zuvor einen Vollexport.

15. Datenübermittlung an Drittländer

Wie in 10 und 11 erläutert, übermitteln wir in folgende Drittländer:

  • USA — Anthropic (KI), Cloudflare (Verwaltungsfunktionen), Apple (App Store)

Grundlagen:

  1. EU-Standardvertragsklauseln (2021/914)
  2. EU-US Data Privacy Framework (Angemessenheitsbeschluss 10.07.2023)
  3. Vertragliche Zusagen der Auftragsverarbeiter
  4. Technische Schutzmaßnahmen

Restrisiken aus US-Überwachungsgesetzen (FISA 702, CLOUD Act) bestehen — wir minimieren durch Datensparsamkeit, Verschlüsselung und Anbieterauswahl.

16. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für uns örtlich zuständig:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Kavalleriestraße 2–4 40213 Düsseldorf Telefon: +49 (0) 211 / 38 424 - 0 E-Mail: poststelle@ldi.nrw.de Web: https://www.ldi.nrw.de

17. Datensicherheit

17.1 Verschlüsselung

  • TLS 1.2/1.3 für alle Verbindungen
  • AES-256 für Belege in R2 und Datenbank-Inhalte
  • Argon2id für Passwort-Hashes

17.2 Mandantentrennung

  • PostgreSQL Row-Level Security (RLS) — beweisbare Mandantenisolation
  • Separate Speicher-Präfixe pro Mandant

17.3 Zugriffskontrolle und Audit

  • Rollen- und Berechtigungssystem
  • Audit-Log sicherheitsrelevanter Aktionen
  • 2FA-Pflicht für Administrator-Accounts
  • Need-to-know-Prinzip für interne Zugriffe

17.4 Backup

Regelmäßige verschlüsselte Backups in der EU mit definierten RTO/RPO.

17.5 Datenschutzverletzungen

Meldung an die Aufsichtsbehörde innerhalb 72 Stunden (Art. 33 DSGVO), Benachrichtigung Betroffener bei Risiko (Art. 34 DSGVO).

18. Aktualisierungen

Diese Erklärung wird angepasst, wenn sich die Datenverarbeitung ändert. Aktuelle Fassung stets unter https://steuerbeleg.com/datenschutz. Wesentliche Änderungen kommunizieren wir aktiv mit angemessenem Vorlauf.

Stand: Mai 2026 — vor Go-Live durch Datenschutzberatung prüfen lassen.