Trust Center

Sicherheit & Datenschutz

Mandatio Plus arbeitet mit Daten, die unter dem Berufsgeheimnis deutscher Steuerberater stehen — § 203 StGB. Wir nehmen das ernst. Diese Seite fasst die wichtigsten Schutzmechanismen zusammen und verlinkt auf alle Details, die ein Datenschutzbeauftragter prüfen würde.

DSGVO-konform§ 203 StGB konformEU-gehostet · Frankfurt

Sub-Prozessoren in der EU

6 / 7

verarbeiten in der EU

Pseudonymisierung vor AI

100 %

aller Mail-Texte vor LLM-Call

Pseudonymisierungs-Layer vor jedem AI-Aufruf

Bevor unsere KI irgendeinen Text verarbeitet, läuft er durch unsere serverseitige Pseudonymisierungs-Pipeline. Sie ersetzt identifizierende Merkmale durch generische Platzhalter:

  • Mandantenname [MANDANT]
  • Ansprechpartner [ANSPRECHPARTNER]
  • E-Mail-Adresse [EMAIL]
  • IBAN [IBAN]
  • Steuernummer [STEUERNR]
  • Steuer-ID [STEUER-ID]
  • Telefonnummer [TEL]

Damit sind die Inhalte bei den KI-Diensten pseudonymisiert nach DSGVO Art. 4 Nr. 5 und nicht mehr einer einzelnen natürlichen Person zuordenbar — auch wenn dort eine Standard-Retention von wenigen Tagen läuft, sieht niemand Klarnamen, Steuernummern oder Kontodaten.

Verarbeitung in der EU

Die Datenbank (Supabase) und die App-Server (Vercel) laufen beide in Frankfurt am Main. Der Cloudflare-Worker für den Mail-Eingang läuft auf der nächstgelegenen Edge in Europa. Die KI-Verarbeitung läuft über EU-Endpunkte (Frankfurt, Dublin) — welche Dienstleister dahinter stehen, ist vollständig in unserer Sub-Prozessoren-Liste dokumentiert.

Postmark (E-Mail-Versand) ist aktuell unsere einzige US-Server-Verarbeitung. Das ist ein dokumentierter Restrisiko-Punkt — wir prüfen Postmark EU oder Resend EU als Ersatz vor dem ersten echten Pilot. Wir sagen Ihnen das offen, statt es zu verstecken.

Sub-Prozessoren transparent gelistet

Wir setzen 7 Sub-Prozessoren ein — jeder einzelne mit Sitz, Verarbeitungsregion, AVV-Status, SCC-Status, § 203-StGB-Status und Zero-Data-Retention-Status öffentlich dokumentiert. Stand 13. Juni 2026.

Vollständige Sub-Prozessor-Liste ansehen

Auftragsverarbeitungsvertrag (AVV)

Vor dem ersten Mandanten-Datenfluss akzeptiert die Kanzlei digital einen AVV nach Art. 28 DSGVO. Der vollständige Vertragstext steht zur Vorprüfung öffentlich bereit — ohne Anmeldung, ohne Cookie-Wall.

AVV-Volltext ansehen

Technische und organisatorische Maßnahmen

Die wichtigsten Maßnahmen nach Art. 32 DSGVO:

  • Verschlüsselung aller Datenübertragungen via TLS 1.2 oder höher
  • Verschlüsselung gespeicherter Mandantendaten via PostgreSQL transparent encryption (Supabase Storage AES-256)
  • Row Level Security: jede Datenbank-Abfrage prüft die Kanzlei-Zugehörigkeit auf DB-Ebene, nicht erst im Anwendungs-Code
  • Pseudonymisierung vor jedem KI-Call (siehe oben)
  • Audit-Logs aller schreibenden Aktionen — wer hat wann was geändert, persistent gespeichert
  • Rate-Limiting auf Auth-Endpunkten gegen Brute-Force
  • Menschliche Freigabe vor jedem Mail-Versand — KI sendet nie autonom
  • Tägliche Backups (Supabase), 7 Tage rückwirkend wiederherstellbar
  • 2-Faktor-Authentifizierung verfügbar für jeden Berater-Account

Berufsgeheimnis nach § 203 StGB

Mandatio Plus ist explizit für die besonderen Anforderungen des Berufsgeheimnisses gebaut. Mitarbeiter der Company Core GmbH sind nach § 203 Abs. 4 StGB zur Verschwiegenheit verpflichtet und entsprechend belehrt. Der vollständige Wortlaut der Verpflichtung steht im AVV § 6.

Bei US-basierten Sub-Prozessoren ist eine explizite §-203- Vereinbarung aktuell nicht in jedem Fall verfügbar. Wo wir das nicht abschließen konnten, ist die Daten-Minimierung verschärft — siehe Hinweise in der Sub-Prozessor-Liste.

Vorfälle und Meldepflicht

Bei einer Datenschutz-Verletzung melden wir der betroffenen Kanzlei innerhalb von 48 Stunden nach Bekanntwerden — strenger als die 72-Stunden-Pflicht der DSGVO Art. 33. Die Meldung enthält Art und Umfang der Verletzung, betroffene Daten und die getroffenen Sofortmaßnahmen.

Datenschutz-Kontakt

Fragen zu diesem Trust Center, zum AVV oder zur Verarbeitung richten Sie bitte an unseren Datenschutz-Kontakt:

datenschutz@mandatioplus.de

Diese Seite wird bei jeder Änderung an Sub-Prozessoren, AVV oder TOM aktualisiert. Letzter Stand: 13. Juni 2026.