Sicherheit & Datenschutz
Mandatio Plus arbeitet mit Daten, die unter dem Berufsgeheimnis deutscher Steuerberater stehen — § 203 StGB. Wir nehmen das ernst. Diese Seite fasst die wichtigsten Schutzmechanismen zusammen und verlinkt auf alle Details, die ein Datenschutzbeauftragter prüfen würde.
Sub-Prozessoren in der EU
6 / 7
verarbeiten in der EU
Pseudonymisierung vor AI
100 %
aller Mail-Texte vor LLM-Call
Pseudonymisierungs-Layer vor jedem AI-Aufruf
Bevor unsere KI irgendeinen Text verarbeitet, läuft er durch unsere serverseitige Pseudonymisierungs-Pipeline. Sie ersetzt identifizierende Merkmale durch generische Platzhalter:
- Mandantenname
[MANDANT] - Ansprechpartner
[ANSPRECHPARTNER] - E-Mail-Adresse
[EMAIL] - IBAN
[IBAN] - Steuernummer
[STEUERNR] - Steuer-ID
[STEUER-ID] - Telefonnummer
[TEL]
Damit sind die Inhalte bei den KI-Diensten pseudonymisiert nach DSGVO Art. 4 Nr. 5 und nicht mehr einer einzelnen natürlichen Person zuordenbar — auch wenn dort eine Standard-Retention von wenigen Tagen läuft, sieht niemand Klarnamen, Steuernummern oder Kontodaten.
Verarbeitung in der EU
Die Datenbank (Supabase) und die App-Server (Vercel) laufen beide in Frankfurt am Main. Der Cloudflare-Worker für den Mail-Eingang läuft auf der nächstgelegenen Edge in Europa. Die KI-Verarbeitung läuft über EU-Endpunkte (Frankfurt, Dublin) — welche Dienstleister dahinter stehen, ist vollständig in unserer Sub-Prozessoren-Liste dokumentiert.
Postmark (E-Mail-Versand) ist aktuell unsere einzige US-Server-Verarbeitung. Das ist ein dokumentierter Restrisiko-Punkt — wir prüfen Postmark EU oder Resend EU als Ersatz vor dem ersten echten Pilot. Wir sagen Ihnen das offen, statt es zu verstecken.
Sub-Prozessoren transparent gelistet
Wir setzen 7 Sub-Prozessoren ein — jeder einzelne mit Sitz, Verarbeitungsregion, AVV-Status, SCC-Status, § 203-StGB-Status und Zero-Data-Retention-Status öffentlich dokumentiert. Stand 13. Juni 2026.
Vollständige Sub-Prozessor-Liste ansehenAuftragsverarbeitungsvertrag (AVV)
Vor dem ersten Mandanten-Datenfluss akzeptiert die Kanzlei digital einen AVV nach Art. 28 DSGVO. Der vollständige Vertragstext steht zur Vorprüfung öffentlich bereit — ohne Anmeldung, ohne Cookie-Wall.
AVV-Volltext ansehenTechnische und organisatorische Maßnahmen
Die wichtigsten Maßnahmen nach Art. 32 DSGVO:
- Verschlüsselung aller Datenübertragungen via TLS 1.2 oder höher
- Verschlüsselung gespeicherter Mandantendaten via PostgreSQL transparent encryption (Supabase Storage AES-256)
- Row Level Security: jede Datenbank-Abfrage prüft die Kanzlei-Zugehörigkeit auf DB-Ebene, nicht erst im Anwendungs-Code
- Pseudonymisierung vor jedem KI-Call (siehe oben)
- Audit-Logs aller schreibenden Aktionen — wer hat wann was geändert, persistent gespeichert
- Rate-Limiting auf Auth-Endpunkten gegen Brute-Force
- Menschliche Freigabe vor jedem Mail-Versand — KI sendet nie autonom
- Tägliche Backups (Supabase), 7 Tage rückwirkend wiederherstellbar
- 2-Faktor-Authentifizierung verfügbar für jeden Berater-Account
Berufsgeheimnis nach § 203 StGB
Mandatio Plus ist explizit für die besonderen Anforderungen des Berufsgeheimnisses gebaut. Mitarbeiter der Company Core GmbH sind nach § 203 Abs. 4 StGB zur Verschwiegenheit verpflichtet und entsprechend belehrt. Der vollständige Wortlaut der Verpflichtung steht im AVV § 6.
Bei US-basierten Sub-Prozessoren ist eine explizite §-203- Vereinbarung aktuell nicht in jedem Fall verfügbar. Wo wir das nicht abschließen konnten, ist die Daten-Minimierung verschärft — siehe Hinweise in der Sub-Prozessor-Liste.
Vorfälle und Meldepflicht
Bei einer Datenschutz-Verletzung melden wir der betroffenen Kanzlei innerhalb von 48 Stunden nach Bekanntwerden — strenger als die 72-Stunden-Pflicht der DSGVO Art. 33. Die Meldung enthält Art und Umfang der Verletzung, betroffene Daten und die getroffenen Sofortmaßnahmen.
Datenschutz-Kontakt
Fragen zu diesem Trust Center, zum AVV oder zur Verarbeitung richten Sie bitte an unseren Datenschutz-Kontakt:
datenschutz@mandatioplus.de