Speicherung der Mandantendateien / Dokumentenspeicher

IONOS SE (Auftragsverarbeitungsvereinbarung vom 19.09.2023)

• Storagekapazitäten werden in Deutschland gehostet

• Beschreibung: Storage der Dateien.

• Zweck der Datenverarbeitung: Speicherung, Austausch und Bereitstellung von Dateien.

• Verarbeitete Datenarten: Dateien, die über Steuerboard ausgetauscht werden. Diese können sämtliche Datenarten enthalten.

• Link zur Datenschutzerklärung: https://www.ionos.de/terms-gtc/datenschutzerklaerung/

• ISO 27001 zertifiziert

• Rechtsgrundlage ist Art. 6 I b DSGVO, da die Speicherung, der Austausch und die Bereitstellung von Dateien zur Erfüllung des Vertragszwecks notwendig ist.

Kommunikation, Nutzerdaten, Authentifizierung

Vercel Inc. (Auftragsverarbeitungsvereinbarung vom 17.07.2023)

• Serverkapazitäten werden über Amazon-Web-Services in Frankfurt (DE) gehostet.

• Beschreibung: Hosting des Servers, Abfragen und Datenübertragung von Datenbank

• Zweck der Datenverarbeitung: Bereitstellung von Kommunikationsverläufen und kollaborativem Informationsaustausch.

• Verarbeitete Datenarten: Kommunikationsverläufe, Login- und Zugriffsdaten, Grundlegende Identifikationsdaten

• Link zur Datenschutzerklärung: https://vercel.com/legal/privacy-policy

• Zertifiziert nach dem EU-U.S. Data Privacy Framework

• ISO 27001 zertifiziert

• Rechtsgrundlage ist Art. 6 I b DSGVO, da mit dieser Anwendung die Serverkapazitäten für die Kommunikation zwischen Steuerberater und Nutzer und alle weiteren Grundfunktionalitäten außer der Dateispeicherung gehostet werden. Dies ist für Nachvollziehbarkeit und Dokumentation vergangener Sachverhalte notwendig.

Amazon Web Services EMEA SARL (AWS EU)

• Beschreibung: Cloud-Computing-Plattform zur Bereitstellung von Infrastruktur-, Speicher-, Datenbank- und Rechenressourcen.

• Kapazitäten werden in der EU gehostet

• Zweck der Datenverarbeitung: Hosting, Speicherung, Verarbeitung und Sicherung von Daten im Rahmen der genutzten Cloud-Services.

• Verarbeitete Datenarten: Kunden- und Inhaltsdaten, Metadaten, Protokolldaten, Zugriffsdaten.

• Link zur Datenschutzerklärung: https://aws.amazon.com/privacy

• Zertifizierung / Compliance:

  • Teilnahme am EU-U.S. Data Privacy Framework

  • ISO 27001, ISO 27017, ISO 27018 zertifiziert

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, da die Datenverarbeitung für die Vertragserfüllung und Nutzung der Cloud-Dienste erforderlich ist.

• Löschung der Daten: Daten werden nach Vertragsende oder auf Anfrage gelöscht bzw. anonymisiert; Details sind im AWS Data Processing Addendum geregelt.

PlanetScale, Inc. (Auftragsverarbeitungsvereinbarung vom 17.07.2023)

• Serverkapazitäten werden über Amazon-Web-Services in Frankfurt (DE) gehostet.

• Beschreibung: Hosting der Datenbank der Plattform.

• Zweck der Datenverarbeitung: Bereitstellung von Kommunikationsverläufen und kollaborativem Informationsaustausch. Authentifizierung von Nutzern.

• Verarbeitete Datenarten: Kommunikationsverläufe, Login- und Zugriffsdaten, Grundlegende Identifikationsdaten

• Link zur Datenschutzerklärung: https://planetscale.com/legal/privacy

• Zertifiziert nach dem EU-U.S. Data Privacy Framework

• Rechtsgrundlage ist Art. 6 I b DSGVO, da mit dieser Anwendung die Datenbank für die o.a. Zwecke gehostet wird. Dies ist für Nachvollziehbarkeit und Dokumentation vergangener Sachverhalte notwendig.

Elektronische Signatur

Yousign (Auftragsverarbeitungsvereinbarung vom 29.12.2023)

• Beschreibung: Elektronische Signatur, die als iFrame in das Portal eingebunden wird.

• Zweck der Datenverarbeitung: Elektronische Signatur für Dokumente

• Verarbeitete Datenarten: E-Mail-Adressen, Dateien, die sämtliche Datenarten enthalten können.

• Link zur Datenschutzerklärung: https://yousign.com/de-de/datenschutz

• Rechtsgrundlage sind Art. 6 I lit.a und b DSGVO. Die Nutzung der yousign kann der Nutzer optional wählen. Diese ist zur Durchführung der elektronischen Unterschrift notwendig.

• Die Löschung der Daten erfolgt durch yousign nach 7 Jahren um die gesetzlichen Anforderungen an die Dokumentation und die Nachweisbarkeit der Unterschriften zu gewährleisten.

KI Funktionalitäten (nur mit expliziter Aktivierung )

Mistral AI SAS (Data Processing Addendum im Terms of Service)

• Beschreibung: KI-gestützte Plattform für Sprachmodelle Zweck der Datenverarbeitung: Umbennenung, Labeling & Extraktion von Daten aus Dateien

• Verarbeitete Datenarten: Alle Datenarten möglich, abhängig von Dateien.

• Link zur Datenschutzerklärung: https://mistral.ai/privacy

• Keine Speicherung von Daten für Trainingszwecke

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, da die Speicherung der Daten zur Bereitstellung der Dienste erforderlich ist

• Löschung der Daten: Löschung erfolgt gemäß DPA; Daten werden nach Vertragsende fristgerecht entfernt oder anonymisiert

Microsoft Ireland Operations Ltd. (Online Services Data Protection Addendum)

• Beschreibung: Azure Cloud - Hosting von KI Umgebung.

• Zweck der Datenverarbeitung: Sichere Bereitstellung der KI Funktionalitäten.

• Verarbeitete Datenarten: Alle Arten von Daten möglich, abhängig von Dateien.

• Link zur Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement

• Hosting in EU

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, da die Speicherung der Daten für die Vertragserfüllung erforderlich ist

• Löschung der Daten: Löschung erfolgt gemäß Microsoft-DPA; Daten werden nach Vertragsende fristgerecht entfernt oder anonymisiert

Langfuse GmbH (Data Processing Agreement)

• Beschreibung: Analyse- und Beobachtungsplattform für KI- und LLM-Anwendungen

• Zweck der Datenverarbeitung: Anbindung und Optimierung der Nutzung von KI Modellen.

• Verarbeitete Datenarten: Alle Arten von Daten möglich, abhängig von Dateien.

• Link zur Datenschutzerklärung: https://langfuse.com/privacy

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), ggf. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Monitoring)

• Löschung der Daten: Löschung der Daten: Löschung erfolgt gemäß DPA; Daten werden nach Vertragsende fristgerecht entfernt oder anonymisiert

Schnittstellen/Datenübertragung an andere Rechenzentren

DATEV eG (Auftragsverarbeitungsvereinbarung vom 29.11.2023)

• Beschreibung: Schnittstellenanbieter zur Weiterverarbeitung im Kanzleisystem

• Zweck der Datenverarbeitung: Übertragung an Datev zur Weiterverarbeitung im internen Kanzleisystem.

• Verarbeitete Datenarten: Dateien, die sämtliche Datenarten enthalten können, grundlegende Identifikationsdaten

• Link zur Datenschutzerklärung: https://www.datev.de/web/de/m/ueber-datev/datenschutz/

• Rechtsgrundlagen sind Art. 6 I lit a und b DSGVO. Die Daten werden an Datev per Schnittstelle übertragen, wenn der Nutzer diese Funktion auswählt. Sie dient u.a. dazu, Belege in eine revisionssichere Umgebung zu übertragen.

Klardaten GmbH (Auftragsverarbeitungsvereinbarung vom 06.10.2024)

• Beschreibung: Schnittstellenanbieter zur Anknüpfung von DATEV DMS und anderen On-Premise Schnittstellen

• Zweck der Datenverarbeitung: Übertragung an Datev zur Weiterverarbeitung im internen Kanzleisystem.

• Verarbeitete Datenarten: Dateien, die sämtliche Datenarten enthalten können, grundlegende Identifikationsdaten

• Rechtsgrundlagen sind Art. 6 I lit a und b DSGVO. Die Daten werden an Datev per Schnittstelle übertragen, wenn der Nutzer diese Funktion auswählt. Sie dient u.a. dazu, Belege in eine revisionssichere Umgebung zu übertragen.

• Link zur Datenschutzerklärung: https://klardaten.com/privacy-policy

E-Mail Versand/ Benachrichtigungen

Plus Five Five, Inc. (Auftragsverarbeitungsvereinbarung vom 29.12.2023)

• Beschreibung: Benachrichtigungsmails für Nutzer

• Zweck der Datenverarbeitung: Benachrichtigung über Neuigkeiten auf der Plattform.

• Verarbeitete Datenarten: E-Mail Adressen, Namen, Telefonnummern.

• Link zur Datenschutzerklärung: https://resend.com/legal/privacy-policy

• Zertifiziert nach dem EU-U.S. Data Privacy Framework

Rechtsgrundlage für den Einsatz von Plus Five Five Inc.

• Rechtsgrundlage der Verarbeitung ist Art. 6 I lit.b DSGVO, da die Versendung der Benachrichtigungen per SMS oder E-Mail für die Erfüllung des Vertrags notwendig ist.

• Benachrichtigungen werden für die Dauer eines Jahres gespeichert und dann gelöscht bzw. mit Löschung/Abmeldung des Nutzers.

Tracking

PostHog, Inc (Auftragsverarbeitungsvereinbarung vom 29.11.2023)

• Hosting in Frankfurt (DE)

• Beschreibung: Tracking von Nutzerverhalten

• Zweck der Datenverarbeitung: Nutzerstatistiken

• Verarbeitete Datenarten: Nutzerbewegungen auf Plattform. Geklickte Links, Verweildauern, Nutzerkennung.

• Link zur Datenschutzerklärung: https://posthog.com/privacy

• Zertifiziert nach dem EU-U.S. Data Privacy Framework

• Standardvertragsklauseln Teil der Auftragsverarbeitungsvereinbarung

Rechtsgrundlage für den Einsatz von PostHog Inc.

• Rechtsgrundlage ist Art. 6 I lit.a DSGVO, wenn Sie nach dem Login in das Tracking einwilligen

• Die Löschung der Trackingdaten erfolgt nach einem Jahr

Support/Kundenkommunikation

Intercom, Inc. (Data Processing Agreement)

• Beschreibung: Kundenkommunikationsplattform (Chat, Support, Helpdesk)

• Zweck der Datenverarbeitung: Kommunikation mit Kunden aus der Plattform heraus

• Verarbeitete Datenarten: Name, E-Mail-Adresse, Chatverlauf, Nutzungsdaten

• Link zur Datenschutzerklärung: https://www.intercom.com/legal/privacy

• AVV: https://www.intercom.com/legal/data-processing-agreement

• Zertifiziert nach dem EU-U.S. Data Privacy Framework

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, da die Kommunikation mit Kunden in der Anwendung für die Vertragserfüllung erforderlich ist

• Löschung der Daten: Löschung erfolgt gemäß DPA; Daten werden nach Vertragsende fristgerecht entfernt oder anonymisiert

Astrodon Corporation (loops.so) (Data Processing Agreement)

• Beschreibung: E-Mail-Marketing-Plattform für SaaS-AnbieterZweck der Datenverarbeitung: Versand und Analyse von Emails

• Verarbeitete Datenarten: E-Mail-Adresse,Inhaltsdaten

• Link zur Datenschutzerklärung: https://loops.so/privacy

• AVV: loops.so/dpa

• Zertifiziert nach dem EU-U.S. Data Privacy Framework

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, da der Versand von E-Mails zur Vertragserfüllung erforderlich ist

• Löschung der Daten: Löschung erfolgt gemäß DPA; Daten werden nach Vertragsende fristgerecht entfernt oder anonymisiert

CRM/Kundenkommunikation Vertrieb

Attio Ltd. (Auftragsverarbeitungsvereinbarung vom 22.09.2025)

• Beschreibung: Customer Relationship Management (nur für Daten der das Portal nutzenden Steuerberater, nicht von deren Mandanten)

• Zweck der Datenverarbeitung: Kundenkommunikation/Vertrieb

• Verarbeitete Datenarten: Emailadresse, Name, Telefonnummer.

• Link zur Datenschutzerklärung: https://attio.com/legal/privacy

• Rechtsgrundlage ist Art. 6 I b DSGVO, da die Speicherung der Daten für die Vertragserfüllung, z.. Kommunikation, Rechnungslegung etc., erforderlich ist.

• Löschung der Daten erfolgt im Einklang mit den gesetzlichen Aufbewahrungsfristen

Es wird darauf hingewiesen, dass diese Drittdienste eigene Datenschutzrichtlinien haben. Die Steuerboard Labs GmbH bedient sich dieser Dienste zur Optimierung und Bereitstellung seiner Leistungen. Dabei entsteht kein direktes Vertragsverhältnis zwischen dem Kunden und dem Drittdienst. Nutzer werden gebeten, auch diese Datenschutzrichtlinien zur Kenntnis zu nehmen.