Zum Inhalt springen
Fiscova

TRUST CENTER

Vertrauen ist Fundament,
nicht Feature.

Steuerkanzleien arbeiten mit den sensibelsten Daten ihrer Mandanten. Hier finden Sie alle Informationen zu Datenschutz, Sicherheit und Compliance bei Fiscova — transparent und vollständig.

SEKTION 01

DSGVO & § 203 StGB

Auftragsverarbeitung und Berufsgeheimnisschutz.

Fiscova arbeitet als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Wir schließen mit jeder Kanzlei einen Auftragsverarbeitungsvertrag (AV-Vertrag), bevor produktive Daten verarbeitet werden.

Da die Mandantendaten dem Berufsgeheimnis nach § 203 StGB unterliegen, behandeln wir alle Inhalte als geschützte Berufsdaten. Mitarbeitende und Subprozessoren werden vertraglich auf die Wahrung des Berufsgeheimnisses verpflichtet (§ 203 Abs. 4 StGB, § 62a StBerG).

AV-Vertrag herunterladen (PDF) →
SEKTION 02

Hosting & Datenstandort

Hetzner-Rechenzentrum, Nürnberg, Deutschland.

Die Produktivumgebung läuft im Hetzner-Rechenzentrum in Nürnberg. Alle Mandantendaten verbleiben innerhalb der EU.

Kerndaten (Anrufaufzeichnungen, Transkripte, E-Mail-Inhalte, Aktendaten) verbleiben innerhalb der EU. Soweit Subprozessoren an der Verarbeitung von Kerndaten beteiligt sind, sind sie nach Art. 28 DSGVO vertraglich gebunden; etwaige Drittlandübermittlungen erfolgen ausschließlich auf Grundlage von EU-Standardvertragsklauseln bzw. einer DPF-Zertifizierung. KI-Modelle werden über EU-Endpoints angesprochen (siehe Sektion 04).

SEKTION 03

Verschlüsselung

TLS 1.3 in transit, AES-256 at rest.

  • TLS 1.3 für jede ein- und ausgehende Verbindung.
  • AES-256 für die Verschlüsselung ruhender Daten in Datenbank und Filesystem.
  • Object-Storage (Anhänge, Audiodateien) ist serverseitig zusätzlich verschlüsselt.
  • Schlüsselrotation und getrennte Key-Management-Schlüsselhierarchie.
SEKTION 04

Kein Training auf Mandantendaten

Vertraglich zugesichert, technisch durchgesetzt.

Mandantendaten werden zu keinem Zeitpunkt zum Training von KI-Modellen verwendet — weder durch Fiscova noch durch die zugrundeliegenden Modellanbieter. Diese Zusicherung ist in den Verträgen mit unseren KI-Dienstleistern (AWS Bedrock, Deepslate) fixiert ("Zero Data Retention").

Technisch durchgesetzt: KI-Modelle werden ausschließlich über dedizierte EU-Endpoints angesprochen. Eingaben und Ausgaben werden nicht persistiert.

SEKTION 05

Human-in-the-Loop

Kein Versand ohne Freigabe.

Fiscova entwirft, kategorisiert und schlägt vor — der Mensch prüft und gibt frei. Es gibt keine automatisierte ausgehende Kommunikation ohne explizite Freigabe durch eine berechtigte Person der Kanzlei.

Jede automatisierte Aktion (Anrufannahme, E-Mail-Entwurf, DATEV-Übergabe) wird in einem unveränderbaren Audit-Log protokolliert. Logs sind 12 Monate revisionssicher abrufbar.

SEKTION 06

WhatsApp DSGVO-konform

WhatsApp Business Cloud API mit EU-Verantwortlichem.

Wir nutzen die WhatsApp Business Cloud API mit Meta Ireland als EU-Verantwortlichem. Inhalte werden zusätzlich in unserer Infrastruktur in Nürnberg gespiegelt und gemäß den Anforderungen des § 203 StGB behandelt.

Mandanten werden vor der ersten Nutzung über den Kommunikationsweg informiert. Eingehende Nachrichten landen sofort in der Fiscova-Inbox der Kanzlei und unterliegen denselben Aufbewahrungs- und Löschpflichten wie E-Mail oder Telefon.

SEKTION 07

Zugriff & Authentifizierung

SSO, MFA-Pflicht für Admins, granulare Rollen.

  • Single-Sign-On (SSO) via Microsoft 365 / Entra ID.
  • MFA-Pflicht für administrative Rollen, optional für alle Nutzer:innen.
  • Granulare Rollen- und Rechte-Modelle pro Mandat, Kanal und Funktion.
  • Session-Lifetime und IP-Allow-Listing konfigurierbar.
SEKTION 08

Backups & Wiederherstellung

Tägliche Backups, 30 Tage Retention, RTO < 4 h.

  • Tägliche verschlüsselte Backups der Produktivdatenbank.
  • 30 Tage Retention; geografisch getrenntes Backup-Ziel innerhalb DE.
  • Recovery Time Objective (RTO) < 4 Stunden.
  • Wiederherstellungstests quartalsweise.
SEKTION 09

Subprozessoren

Vollständige Liste mit Ankündigung bei Änderungen.

Wir kündigen jede Änderung an der Subprozessoren-Liste mindestens vier Wochen im Voraus an. Kanzleien können der Änderung aus wichtigem datenschutzrechtlichem Grund schriftlich widersprechen.

Stand: 9. Juni 2026

AnbieterZweckStandortDPA
Hetzner Online GmbHHosting der Produktivumgebung (Frontend, Backend, DB, Object Storage)Nürnberg, DEDPA ansehen
Cloudflare, Inc.DNS, CDN, WAFUSA / globales CDN (DPF + EU-SCC)DPA ansehen
Clerk, Inc.Authentifizierung / LoginUSA (DPF + EU-SCC)DPA ansehen
sipgate GmbHTelefonie / SIP-RoutingDüsseldorf, DEDPA ansehen
Amazon Web Services (Bedrock)KI-Modelle (EU-Endpoint)EU – Frankfurt, eu-central-1 (DPF + EU-SCC)DPA ansehen
DeepslateVoice-AI / SprachverarbeitungDeutschlandauf Anfrage
Google Ireland Ltd.Gmail-API-Anbindung (E-Mail-Integration)EU-Region / USA (DPF + EU-SCC)DPA ansehen
Microsoft IrelandOutlook-/M365-IntegrationEU Data Boundary (DPF + EU-SCC)DPA ansehen
Meta Platforms IrelandWhatsApp Business Cloud APIIrland, EU (DPF + EU-SCC)DPA ansehen
Stripe Payments Europe Ltd.Zahlungsabwicklung / BillingIrland / USA (DPF + EU-SCC)DPA ansehen
KlardatenDATEV-/Buchhaltungs-ConnectorDeutschlandauf Anfrage
DocumensoElektronische Signaturselbst gehostet (Hetzner), DEselbst gehostet
n8nAutomatisierung / Workflowsselbst gehostet (Hetzner), DEselbst gehostet

Für die öffentliche Website (ohne Mandantendaten) setzen wir zusätzlich Vercel (Hosting), Supabase (Formulare) und HubSpot (CRM) ein — Details in der Datenschutzerklärung.

Vollständige Unterauftragsverarbeiterliste herunterladen (PDF) →
SEKTION 10

Zertifizierungen & Standards

ISO 27001 in Vorbereitung, BSI-Grundschutz, sichere Kanzlei-Integrationen.

  • ISO 27001 in Vorbereitung (Audit-Roadmap auf Anfrage).
  • Orientierung am BSI-Grundschutz-Kompendium.
  • DSGVO- und § 203-konforme Anbindung an Kanzlei-Software (DATEV, ADDISON, Simba, Agenda).
  • Pen-Tests durch ein externes Sicherheitsunternehmen mindestens jährlich.
SEKTION 11

Datenschutzkontakt

Datenschutz-Ansprechpartner und Compliance-Anfragen.

Für Anfragen zu Datenschutz, Auftragsverarbeitung und Betroffenenrechten erreichen Sie uns unter:

Datenschutz-Ansprechpartner
Tobias Wedel
Postanschrift
Fiscova GmbHDonaustraße 4412043 Berlin