TRUST CENTER
Vertrauen ist Fundament,
nicht Feature.
Steuerkanzleien arbeiten mit den sensibelsten Daten ihrer Mandanten. Hier finden Sie alle Informationen zu Datenschutz, Sicherheit und Compliance bei Fiscova — transparent und vollständig.
DSGVO & § 203 StGB
Auftragsverarbeitung und Berufsgeheimnisschutz.
Fiscova arbeitet als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Wir schließen mit jeder Kanzlei einen Auftragsverarbeitungsvertrag (AV-Vertrag), bevor produktive Daten verarbeitet werden.
Da die Mandantendaten dem Berufsgeheimnis nach § 203 StGB unterliegen, behandeln wir alle Inhalte als geschützte Berufsdaten. Mitarbeitende und Subprozessoren werden vertraglich auf die Wahrung des Berufsgeheimnisses verpflichtet (§ 203 Abs. 4 StGB, § 62a StBerG).
AV-Vertrag herunterladen (PDF) →Hosting & Datenstandort
Hetzner-Rechenzentrum, Nürnberg, Deutschland.
Die Produktivumgebung läuft im Hetzner-Rechenzentrum in Nürnberg. Alle Mandantendaten verbleiben innerhalb der EU.
Kerndaten (Anrufaufzeichnungen, Transkripte, E-Mail-Inhalte, Aktendaten) verbleiben innerhalb der EU. Soweit Subprozessoren an der Verarbeitung von Kerndaten beteiligt sind, sind sie nach Art. 28 DSGVO vertraglich gebunden; etwaige Drittlandübermittlungen erfolgen ausschließlich auf Grundlage von EU-Standardvertragsklauseln bzw. einer DPF-Zertifizierung. KI-Modelle werden über EU-Endpoints angesprochen (siehe Sektion 04).
Verschlüsselung
TLS 1.3 in transit, AES-256 at rest.
- TLS 1.3 für jede ein- und ausgehende Verbindung.
- AES-256 für die Verschlüsselung ruhender Daten in Datenbank und Filesystem.
- Object-Storage (Anhänge, Audiodateien) ist serverseitig zusätzlich verschlüsselt.
- Schlüsselrotation und getrennte Key-Management-Schlüsselhierarchie.
Kein Training auf Mandantendaten
Vertraglich zugesichert, technisch durchgesetzt.
Mandantendaten werden zu keinem Zeitpunkt zum Training von KI-Modellen verwendet — weder durch Fiscova noch durch die zugrundeliegenden Modellanbieter. Diese Zusicherung ist in den Verträgen mit unseren KI-Dienstleistern (AWS Bedrock, Deepslate) fixiert ("Zero Data Retention").
Technisch durchgesetzt: KI-Modelle werden ausschließlich über dedizierte EU-Endpoints angesprochen. Eingaben und Ausgaben werden nicht persistiert.
Human-in-the-Loop
Kein Versand ohne Freigabe.
Fiscova entwirft, kategorisiert und schlägt vor — der Mensch prüft und gibt frei. Es gibt keine automatisierte ausgehende Kommunikation ohne explizite Freigabe durch eine berechtigte Person der Kanzlei.
Jede automatisierte Aktion (Anrufannahme, E-Mail-Entwurf, DATEV-Übergabe) wird in einem unveränderbaren Audit-Log protokolliert. Logs sind 12 Monate revisionssicher abrufbar.
WhatsApp DSGVO-konform
WhatsApp Business Cloud API mit EU-Verantwortlichem.
Wir nutzen die WhatsApp Business Cloud API mit Meta Ireland als EU-Verantwortlichem. Inhalte werden zusätzlich in unserer Infrastruktur in Nürnberg gespiegelt und gemäß den Anforderungen des § 203 StGB behandelt.
Mandanten werden vor der ersten Nutzung über den Kommunikationsweg informiert. Eingehende Nachrichten landen sofort in der Fiscova-Inbox der Kanzlei und unterliegen denselben Aufbewahrungs- und Löschpflichten wie E-Mail oder Telefon.
Zugriff & Authentifizierung
SSO, MFA-Pflicht für Admins, granulare Rollen.
- Single-Sign-On (SSO) via Microsoft 365 / Entra ID.
- MFA-Pflicht für administrative Rollen, optional für alle Nutzer:innen.
- Granulare Rollen- und Rechte-Modelle pro Mandat, Kanal und Funktion.
- Session-Lifetime und IP-Allow-Listing konfigurierbar.
Backups & Wiederherstellung
Tägliche Backups, 30 Tage Retention, RTO < 4 h.
- Tägliche verschlüsselte Backups der Produktivdatenbank.
- 30 Tage Retention; geografisch getrenntes Backup-Ziel innerhalb DE.
- Recovery Time Objective (RTO) < 4 Stunden.
- Wiederherstellungstests quartalsweise.
Subprozessoren
Vollständige Liste mit Ankündigung bei Änderungen.
Wir kündigen jede Änderung an der Subprozessoren-Liste mindestens vier Wochen im Voraus an. Kanzleien können der Änderung aus wichtigem datenschutzrechtlichem Grund schriftlich widersprechen.
Stand: 9. Juni 2026
| Anbieter | Zweck | Standort | DPA |
|---|---|---|---|
| Hetzner Online GmbH | Hosting der Produktivumgebung (Frontend, Backend, DB, Object Storage) | Nürnberg, DE | DPA ansehen |
| Cloudflare, Inc. | DNS, CDN, WAF | USA / globales CDN (DPF + EU-SCC) | DPA ansehen |
| Clerk, Inc. | Authentifizierung / Login | USA (DPF + EU-SCC) | DPA ansehen |
| sipgate GmbH | Telefonie / SIP-Routing | Düsseldorf, DE | DPA ansehen |
| Amazon Web Services (Bedrock) | KI-Modelle (EU-Endpoint) | EU – Frankfurt, eu-central-1 (DPF + EU-SCC) | DPA ansehen |
| Deepslate | Voice-AI / Sprachverarbeitung | Deutschland | auf Anfrage |
| Google Ireland Ltd. | Gmail-API-Anbindung (E-Mail-Integration) | EU-Region / USA (DPF + EU-SCC) | DPA ansehen |
| Microsoft Ireland | Outlook-/M365-Integration | EU Data Boundary (DPF + EU-SCC) | DPA ansehen |
| Meta Platforms Ireland | WhatsApp Business Cloud API | Irland, EU (DPF + EU-SCC) | DPA ansehen |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung / Billing | Irland / USA (DPF + EU-SCC) | DPA ansehen |
| Klardaten | DATEV-/Buchhaltungs-Connector | Deutschland | auf Anfrage |
| Documenso | Elektronische Signatur | selbst gehostet (Hetzner), DE | selbst gehostet |
| n8n | Automatisierung / Workflows | selbst gehostet (Hetzner), DE | selbst gehostet |
Für die öffentliche Website (ohne Mandantendaten) setzen wir zusätzlich Vercel (Hosting), Supabase (Formulare) und HubSpot (CRM) ein — Details in der Datenschutzerklärung.
Vollständige Unterauftragsverarbeiterliste herunterladen (PDF) →Zertifizierungen & Standards
ISO 27001 in Vorbereitung, BSI-Grundschutz, sichere Kanzlei-Integrationen.
- ISO 27001 in Vorbereitung (Audit-Roadmap auf Anfrage).
- Orientierung am BSI-Grundschutz-Kompendium.
- DSGVO- und § 203-konforme Anbindung an Kanzlei-Software (DATEV, ADDISON, Simba, Agenda).
- Pen-Tests durch ein externes Sicherheitsunternehmen mindestens jährlich.
Datenschutzkontakt
Datenschutz-Ansprechpartner und Compliance-Anfragen.
Für Anfragen zu Datenschutz, Auftragsverarbeitung und Betroffenenrechten erreichen Sie uns unter:
- Datenschutz-Ansprechpartner
- Tobias Wedel
- datenschutz@fiscova.de
- Postanschrift
- Fiscova GmbHDonaustraße 4412043 Berlin
Downloads
Vertragliche Vorlagen und Datenschutzdokumente.
- Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO (PDF) →Standardvertrag nach Art. 28 DSGVO mit Anlagen (TOMs, Unterauftragsverarbeiter, Berufsgeheimniskonzept).
- Technische und organisatorische Maßnahmen (PDF) →Sicherheitsmaßnahmen von Fiscova für die Verarbeitung personenbezogener Daten nach Art. 32 DSGVO.
- Unterauftragsverarbeiterliste (PDF) →Vollständige Liste der eingesetzten Unterauftragsverarbeiter (Anlage zur AVV).
- Vertraulichkeits- und Berufsgeheimniskonzept (PDF) →Schutz der beruflichen Verschwiegenheit nach § 203 StGB im Rahmen der Auftragsverarbeitung (Anlage zur AVV).
- Lösch- und Aufbewahrungskonzept (PDF) →Wie Fiscova personenbezogene Daten löscht, anonymisiert, zurückgibt oder aufbewahrt.
- Mustertext für Kanzleien zur Information über Fiscova (PDF) →Vorlage für Kanzleien zur Information ihrer Mandanten über den Einsatz von Fiscova (Art. 13/14 DSGVO).