KOSI Portal

Datenschutzerklärung

Mit dieser Datenschutzerklärung informieren wir Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten beim Betrieb der KOSI Portal Plattform.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung der Plattform-Funktionen (Authentifizierung, Server-Logs, Cookies, technische Bereitstellung) im Sinne von Art. 4 Nr. 7 DSGVO ist:

Steuer-Online MF GmbH
Wallstraße 7
66740 Saarlouis
E-Mail: datenschutz@steuer-online.de
Telefon: 06831 94110

Wichtiger Hinweis: Für die durch Mitglieder hochgeladenen oder ausgetauschten Inhalte (Belege, Dokumente, Nachrichten, steuerliche Daten) ist die jeweilige Kanzlei oder Beratungsstelle Verantwortliche im Sinne der DSGVO. Die Steuer-Online MF GmbH verarbeitet diese Inhalte ausschließlich als Auftragsverarbeiter (siehe Abschnitt 5).

2. Datenschutzbeauftragter

Sie erreichen unseren Datenschutzbeauftragten unter:
E-Mail: datenschutz@steuer-online.de
Postanschrift: Steuer-Online MF GmbH, Datenschutzbeauftragter, Wallstraße 7, 66740 Saarlouis

3. Verarbeitete Daten, Zwecke und Rechtsgrundlagen

3.1 Authentifizierung (Magic Link / Einmalcode)

Daten: E-Mail-Adresse, Anmelde-Zeitstempel, IP-Adresse beim Login.
Zweck: Sichere passwortlose Anmeldung am Portal.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit).
Speicherdauer: Magic-Link-Tokens werden nach Verbrauch oder nach 15 Minuten gelöscht. Login-Historie wird 12 Monate aufbewahrt.

3.2 Nutzung des Portals (Berater und Mitglieder)

Daten: Name, Anrede, Kontaktdaten, hochgeladene Dokumente und Belege, Nachrichten, Termine, Aufgaben, steuerliche Daten.
Zweck: Bereitstellung der Kommunikations- und Steuerunterlagen-Plattform zwischen Kanzlei und Mitglied.
Verantwortlicher: Die jeweilige Kanzlei / Beratungsstelle. Die Steuer-Online MF GmbH agiert als Sub-Auftragsverarbeiter.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO im Verhältnis Mitglied Kanzlei.
Speicherdauer: Nach den Vorgaben der jeweiligen Kanzlei (gesetzliche Aufbewahrungsfristen) oder bis zur Löschung durch die Kanzlei.

3.3 Belegerkennung (OCR)

Daten: Bild-/PDF-Inhalt der hochgeladenen Belege, erkannter OCR-Text, extrahierte Felder (Betrag, Datum, Anbietername).
Zweck: Automatische Erkennung der Belegart und Vorausfüllung steuerlicher Felder.
Verarbeitungsort: Server der Steuer-Online MF GmbH (innerhalb der DSGVO-/AV-Kette, kein externer KI-Anbieter).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Wie das zugehörige Beleg-Dokument.

3.4 Videoberatung (Jitsi Meet)

Daten: Anzeige-Name, E-Mail (in JWT), Audio-/ Videoströme während der Sitzung.
Zweck: Durchführung von Online-Beratungs­terminen.
Verarbeitung: Eigener Jitsi-Server der Steuer-Online MF GmbH (meet.steuersoft.de). Die Audio-/Video-Daten werden nicht aufgezeichnet und nach Sitzungsende verworfen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.5 E-Mail-Versand und Benachrichtigungen

Daten: E-Mail-Adresse, Inhalt der Benachrichtigung (z. B. Magic Link, Termin-Erinnerung).
Verarbeiter: 1&1 IONOS SE (DE) als SMTP-Provider.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.6 Server-Logs und Sicherheit

Daten: IP-Adresse, Zeitpunkt, aufgerufene URL, User-Agent, HTTP-Statuscode.
Zweck: Sicherstellung des stabilen Betriebs, Fehleranalyse, Abwehr von Angriffen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemsicherheit).
Speicherdauer: Maximal 14 Tage, danach automatische Löschung.

3.7 Virenscan hochgeladener Dateien

Daten: Datei-Inhalt zum Prüfzeitpunkt.
Zweck: Schutz der Plattform und der Nutzer vor Schadsoftware.
Verarbeitung: Lokal auf den Servern der Steuer-Online MF GmbH (ClamAV). Keine Übermittlung an Dritte.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

3.8 Cookies und lokale Speicherung

Technisch erforderlich: Session-Cookie (httpOnly Refresh-Token), Auth-Token im Speicher des Browsers, Spracheinstellung.
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch notwendig). Es werden keine Tracking- oder Werbe-Cookies gesetzt.

4. Empfänger / Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter und Subdienstleister ein. Mit allen Empfängern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO:

  • Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, DE) – Hosting der Server.
  • 1&1 IONOS SE (Elgendorfer Str. 57, 56410 Montabaur, DE) – Versand transaktionaler E-Mails per SMTP.
  • Steuersoft GmbH (Wallstr. 7, 66740 Saarlouis, DE) – Auftragsverarbeiter der Kanzleien; Vertragspartner für die Plattform-Nutzung.
  • seven communications GmbH & Co. KG (seven.io) (Köln, DE) – SMS-Versand (nur falls von der Kanzlei aktiviert).
  • Eigene Subsysteme der Steuer-Online MF GmbH: Jitsi-Videoserver (meet.steuersoft.de), OCR-Belegerkennung (ml1.steuersoft.ai). Diese Systeme werden ausschließlich von der Steuer-Online MF GmbH selbst auf eigener Infrastruktur betrieben; es findet keine Übermittlung an externe KI- oder Cloud-Anbieter statt.

Eine Übermittlung in Drittländer außerhalb der EU/EWR findet nicht statt.

5. Auftragsverarbeitungs-Kette (Art. 28 DSGVO)

Die Verarbeitung der durch Mitglieder bereitgestellten Inhalte erfolgt im Rahmen einer mehrstufigen Auftragsverarbeitung:

  1. Das Mitglied stellt seine Daten der Kanzlei / Beratungsstelle zur Verfügung. Die Kanzlei ist Verantwortliche im Sinne der DSGVO.
  2. Die Kanzlei schließt einen Auftragsverarbeitungsvertrag mit der Steuersoft GmbH für die Nutzung der Plattform.
  3. Die Steuersoft GmbH setzt die Steuer-Online MF GmbH als Sub-Auftragsverarbeiter für den technischen Betrieb der Plattform und die OCR-Belegerkennung ein. Ein entsprechender Sub-AV-Vertrag besteht.

6. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben (insbesondere § 147 AO, §§ 257 HGB – bis zu 10 Jahre für steuerlich relevante Unterlagen). Nach Ablauf der Fristen werden die Daten gelöscht oder anonymisiert.

7. Ihre Rechte

Sie haben das Recht:

  • auf Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO),
  • auf Berichtigung unrichtiger Daten (Art. 16 DSGVO),
  • auf Löschung Ihrer Daten (Art. 17 DSGVO),
  • auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • auf Datenübertragbarkeit (Art. 20 DSGVO),
  • auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO),
  • auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).

Bitte beachten Sie: Für die durch eine Kanzlei verarbeiteten Mitgliederdaten ist die jeweilige Kanzlei Ihr Ansprechpartner. Anfragen zu reinen Plattformdaten richten Sie bitte an datenschutz@steuer-online.de.

8. Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Für unseren Sitz im Saarland ist dies:

Unabhängiges Datenschutzzentrum Saarland
Die Landesbeauftragte für Datenschutz und Informationsfreiheit
Fritz-Dobisch-Straße 12
66111 Saarbrücken
Telefon: 0681 94781-0
Website: www.datenschutz.saarland.de

9. Technische und organisatorische Maßnahmen

Wir setzen geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein, insbesondere:

  • Transportverschlüsselung mittels TLS 1.3 (HTTPS).
  • Verschlüsselung gespeicherter Dokumente mit AES-256-GCM.
  • Passwortlose Authentifizierung mit zeitlich begrenzten Tokens.
  • Virenprüfung aller hochgeladenen Dateien (ClamAV).
  • Regelmäßige Datensicherungen, Zugriffsbeschränkungen auf Need-to-know-Basis, Protokollierung sicherheitsrelevanter Ereignisse.

10. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sofern dies aufgrund geänderter Rechtslage oder Änderungen unserer Dienste erforderlich wird. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.

Stand: April 2026