Demo ansehen
DE EN

Sicherheit & AVV

Vertrauen für Steuerkanzleien aus Freising/München

GPAA läuft auf EU-Hosting, verschlüsselt mit TLS und klaren Zugriffskontrollen; Demo und Tests verwenden nur synthetische Beispieldaten.

Kontakt Demo ansehen

Personenbezogene Daten nur für Pilot/Kontakt und nur so lange wie nötig.

Sicherheit im Überblick

Kurzfassung: Deutsche Server (Hetzner, Nürnberg), verschlüsselt, DSGVO-konform. Ihre Kanzlei kontrolliert jeden Zugriff. Mandantendaten verlassen nie die EU. Details aufklappbar.

Technische & organisatorische Maßnahmen
  • Ihre Mandantendaten verlassen nie die EU. Hosting in Deutschland (Hetzner, Nürnberg) mit TLS-Verschlüsselung, regelmäßigen Backups und abgesicherter Infrastruktur.
  • Mehrstufige Zugriffskontrollen, rollenbasierte Berechtigungen und Audit-Logs.
  • Retention: Demo-, Pilot- und Logdaten folgen klar definierten Aufbewahrungsfristen.
  • Demo & Tests arbeiten mit synthetischen Beispieldaten; Pilotprojekte nutzen echte Daten nur nach AVV und definierten TOM.
Login & Zugangssicherheit
  • Keycloak (Open Source, CNCF): Enterprise-Authentifizierung — gleicher Standard wie bei Banken und Behörden.
  • Face ID / Touch ID / Fingerabdruck: Biometrischer Login per Passkey (WebAuthn/FIDO2) — kein Passwort nötig.
  • Zwei-Faktor-Authentifizierung (2FA): Optionaler Authenticator-Code (TOTP) zusätzlich zum Passwort.
  • Verschlüsselte Übertragung: TLS 1.3, HSTS, sichere Cookies — kein Klartextpasswort wird übertragen.
  • Geräteübergreifend: Passkey synchronisiert über iCloud Keychain (Apple) oder Google Password Manager (Android/Chrome).
  • Session-Schutz: Automatisches Logout bei Inaktivität, Remember-Me optional.
  • Einladungssystem: Kanzlei setzt eigenes Passwort — kein Passwort per E-Mail, Link läuft nach 24h ab.

GPAA speichert keine Passwörter — Keycloak mit bcrypt.

Aufbewahrung & Löschung

Demo-Instanzen speichern keine echten personenbezogenen Daten: Eingaben verbleiben nur in der aktuellen Sitzung und werden automatisch gelöscht, sobald die Verbindung endet.

Pilotprojekte verarbeiten Kontaktinformationen, Buchungsstapel und zugeordnete Anhänge ausschließlich nach AVV; diese Daten werden maximal 12 Monate nach Abschluss des Piloten oder auf Wunsch sofort gelöscht, danach folgen geordnete Sicherheitskopien (30 Tage).

Betriebs- und Audit-Logs (Fehler, Zugriff, Sicherheitsereignisse) verbleiben höchstens 90 Tage und werden anschließend automatisiert anonymisiert oder entfernt.

AVV & Subprozessoren

Der Auftragsverarbeitungsvertrag (AVV) wird vor Pilotstart unterzeichnet; ein Muster-AVV (PDF) ist auf Anfrage per Mail verfügbar (info@dtnsoft.de). Er definiert Rechte, Pflichten und Löschfristen gemeinsam mit Ihrer Kanzlei.

Hinweis: Nicht jeder Dienst ist in jedem Szenario aktiv (z. B. Erinnerungen/Informationen nur bei Bedarf). Die jeweils aktuelle Liste und Einsatzbedingungen sind Bestandteil der AVV bzw. auf Anfrage verfügbar. Konkrete Subprozessoren:

  • Hetzner Online GmbH – Region: Deutschland (EU); Zweck: Betrieb der eigenen EU-Cloud und Backups; Datentypen: verschlüsselte Kanzlei-Daten, Infrastruktur-Logs, Monitoring-Daten.
  • Posteo e.K. – Region: Deutschland (EU); Zweck: Versand von Projektstatus-Mails und Support-Nachrichten; Datentypen: Kontaktinformationen, Tickettexte, Anhänge nur mit expliziter Freigabe.
  • CleverReach GmbH & Co. KG – Region: Deutschland (EU); Zweck: Versand von automatisierten Erinnerungen und Informationen zu Pilotprojekten; Datentypen: E-Mail-Adressen, Kommunikations-Logs, Opt-in-Status.
  • OpenAI (EU-Region via Azure)Kein Zugriff auf Mandantendaten. Region: EU (Frankfurt/Paris); Zweck: optionale KI-Erläuterungen mit ausdrücklicher Einwilligung; Datentypen: ausschließlich anonymisierte Textanfragen ohne Klientenbezug.