Demo ansehen
DE EN

Sicherheit & AVV

Vertrauen für Steuerkanzleien aus Freising/München

GPAA läuft auf EU-Hosting, verschlüsselt mit TLS und klaren Zugriffskontrollen; Demo und Tests verwenden nur synthetische Beispieldaten.

Kontakt Demo ansehen

Personenbezogene Daten nur für Pilot/Kontakt und nur so lange wie nötig.

Sicherheit im Überblick

Kurzfassung: Deutsche Server (Hetzner, Nürnberg), verschlüsselt, DSGVO-konform. Ihre Kanzlei kontrolliert jeden Zugriff. Belege + Stammdaten werden in der EU gehostet. Details aufklappbar.

Technische & organisatorische Maßnahmen
  • EU-Hosting. Belege + Stammdaten werden in Deutschland gehostet (Hetzner, Nürnberg) mit TLS-Verschlüsselung, regelmäßigen Backups und abgesicherter Infrastruktur. Die optionale KI-Kontierungshilfe (Plus) nutzt die Anthropic-API (Server USA, DPF-zertifiziert, kein Modelltraining) und erhält dabei ausschließlich die anonyme Belegklasse (Einnahme/Ausgabe) + den Bruttobetrag — keinen Lieferanten- oder Mandantennamen, keine Dateinamen, keine personenbezogenen Daten (Datenminimierung). Die fachliche Endentscheidung trifft immer Ihre Kanzlei. Details siehe Subprozessoren.
  • Mehrstufige Zugriffskontrollen, rollenbasierte Berechtigungen und Audit-Logs.
  • Retention: Demo-, Pilot- und Logdaten folgen klar definierten Aufbewahrungsfristen.
  • Demo & Tests arbeiten mit synthetischen Beispieldaten; Pilotprojekte nutzen echte Daten nur nach AVV und definierten TOM.
Login & Zugangssicherheit
  • Keycloak (Open Source, CNCF): Enterprise-Authentifizierung — gleicher Standard wie bei Banken und Behörden.
  • Face ID / Touch ID / Fingerabdruck: Biometrischer Login per Passkey (WebAuthn/FIDO2) — kein Passwort nötig.
  • Zwei-Faktor-Authentifizierung (2FA): Optionaler Authenticator-Code (TOTP) zusätzlich zum Passwort.
  • Verschlüsselte Übertragung: TLS 1.3, HSTS, sichere Cookies — kein Klartextpasswort wird übertragen.
  • Geräteübergreifend: Passkey synchronisiert über iCloud Keychain (Apple) oder Google Password Manager (Android/Chrome).
  • Session-Schutz: Automatisches Logout bei Inaktivität, Remember-Me optional.
  • Einladungssystem: Kanzlei setzt eigenes Passwort — kein Passwort per E-Mail, Link läuft nach 24h ab.

GPAA speichert keine Passwörter — Keycloak mit bcrypt.

Aufbewahrung & Löschung

Demo-Instanzen speichern keine echten personenbezogenen Daten: Eingaben verbleiben nur in der aktuellen Sitzung und werden automatisch gelöscht, sobald die Verbindung endet.

Pilotprojekte verarbeiten Kontaktinformationen, Buchungsstapel und zugeordnete Anhänge ausschließlich nach AVV; diese Daten werden maximal 12 Monate nach Abschluss des Piloten oder auf Wunsch sofort gelöscht, danach folgen geordnete Sicherheitskopien (30 Tage).

Betriebs- und Audit-Logs (Fehler, Zugriff, Sicherheitsereignisse) verbleiben höchstens 90 Tage und werden anschließend automatisiert anonymisiert oder entfernt.

AVV & Subprozessoren

Der Auftragsverarbeitungsvertrag (AVV) wird vor Pilotstart unterzeichnet; ein Muster-AVV (PDF) ist auf Anfrage per Mail verfügbar (info@dtnsoft.de). Er definiert Rechte, Pflichten und Löschfristen gemeinsam mit Ihrer Kanzlei.

Hinweis: Nicht jeder Dienst ist in jedem Szenario aktiv (z. B. Erinnerungen/Informationen nur bei Bedarf). Die jeweils aktuelle Liste und Einsatzbedingungen sind Bestandteil der AVV bzw. auf Anfrage verfügbar. Konkrete Subprozessoren:

  • Hetzner Online GmbH – Region: Deutschland (EU); Zweck: Betrieb der eigenen EU-Cloud und Backups; Datentypen: verschlüsselte Kanzlei-Daten, Infrastruktur-Logs, Monitoring-Daten.
  • Zoho (Zoho Corp, EU-Rechenzentrum) – Region: EU; Zweck: Versand von Projektstatus-Mails und Support-Nachrichten (SMTP); Datentypen: Kontaktinformationen, Mail-Texte, Anhänge nur mit expliziter Freigabe.
  • CleverReach GmbH & Co. KG – Region: Deutschland (EU); Zweck: Versand von automatisierten Erinnerungen und Informationen zu Pilotprojekten; Datentypen: E-Mail-Adressen, Kommunikations-Logs, Opt-in-Status.
  • Anthropic PBC (Claude)Kein Zugriff auf personenbezogene Mandantendaten. Zweck: optionale KI-Vorschläge zur Beleg-Kategorisierung (nur PLUS-Tarif, mit ausdrücklicher Einwilligung); Datentypen: ausschließlich Belegtext-Ausschnitte (Beträge, Positionen) ohne Klientenidentität. Verarbeitung über die Anthropic-API; keine Nutzung der Daten zum Modelltraining.
Geschäftskontinuität — Was wenn DTNSoft ausfällt?

DTNSoft wird als Solo-Freelance-Unternehmen geführt (Inhaber: Duc Thanh Nguyen, Freising/München). Für den Fall von kurzfristiger Unverfügbarkeit (Krankheit, Urlaub) oder dauerhafter Geschäftsaufgabe gibt es klare Vorkehrungen:

  • Daten-Verfügbarkeit: Tägliche verschlüsselte Backups in der EU (Hetzner) plus off-site verschlüsselte Auslagerung auf eine getrennte Hetzner-Storage-Box. Restore-Test wöchentlich automatisiert.
  • Datenexport jederzeit: Sie können Ihre vollständigen DATEV-Buchungsstapel und Belegarchive jederzeit als ZIP exportieren — auch bei Vertragsende. Kein Lock-in.
  • Übergabeplan dokumentiert: Im AVV ist eine 90-tägige Übergabe-Frist nach Vertragsende festgehalten. Bei dauerhafter Geschäftsaufgabe von DTNSoft erhalten alle Pilot-Kanzleien Zugriff auf den Source-Code (Escrow) zur Eigen-Übernahme oder Migration.
  • Kurzfristige Vertretung: Bei Krankheit/Urlaub übernimmt der Vertriebspartner TopTuna (Phuong, Berlin) den 1st-Level-Support. Dringende technische Eskalationen werden über bestehende Backup-Kontakte abgewickelt.
  • Kein Single-Point-of-Failure: Sämtliche Mandanten-Daten gehören rechtlich Ihnen. DTNSoft ist Auftragsverarbeiter, nicht Datentreuhänder.

Detaillierte Notfall-Prozeduren im AVV-Anhang. Auf Anfrage erhalten Sie den vollständigen Notfall- und Übergabeplan vor Pilot-Start.