GPAA-Demo
DE EN

Sicherheit & AVV

Vertrauen für Steuerkanzleien aus Freising/München

GPAA läuft auf EU-Hosting, verschlüsselt mit TLS und klaren Zugriffskontrollen; Demo und Tests verwenden nur anonymisierte Daten.

Kontakt Demo ansehen

Personenbezogene Daten nur für Pilot/Kontakt und nur so lange wie nötig.

Technische & organisatorische Maßnahmen

  • EU-Hosting mit TLS-Verschlüsselung, regelmäßigen Backups und abgesicherter Infrastruktur.
  • Mehrstufige Zugriffskontrollen, rollenbasierte Berechtigungen und Audit-Logs.
  • Retention: Demo-, Pilot- und Logdaten folgen klar definierten Aufbewahrungsfristen.
  • Demo & Tests arbeiten mit anonymisierten Beispieldaten; Pilotprojekte nutzen echte Daten nur nach AVV und definierten TOM.

Aufbewahrung & Löschung

Demo-Instanzen speichern keine echten personenbezogenen Daten: Eingaben verbleiben nur in der aktuellen Sitzung und werden automatisch gelöscht, sobald die Verbindung endet.

Pilotprojekte verarbeiten Kontaktinformationen, Buchungsstapel und zugeordnete Anhänge ausschließlich nach AVV; diese Daten werden maximal 12 Monate nach Abschluss des Piloten oder auf Wunsch sofort gelöscht, danach folgen geordnete Sicherheitskopien (30 Tage).

Betriebs- und Audit-Logs (Fehler, Zugriff, Sicherheitsereignisse) verbleiben höchstens 90 Tage und werden anschließend automatisiert anonymisiert oder entfernt.

AVV & Subprozessoren

Der Auftragsverarbeitungsvertrag (AVV) wird vor Pilotstart unterzeichnet; ein Muster-AVV (PDF) ist downloadbar und kann bei Bedarf auch per Mail zugesendet werden. Er definiert Rechte, Pflichten und Löschfristen gemeinsam mit Ihrer Kanzlei.

Hinweis: Nicht jeder Dienst ist in jedem Szenario aktiv (z. B. Erinnerungen/Informationen nur bei Bedarf). Die jeweils aktuelle Liste und Einsatzbedingungen sind Bestandteil der AVV bzw. auf Anfrage verfügbar. Konkrete Subprozessoren:

  • Hetzner Online GmbH – Region: Deutschland (EU); Zweck: Betrieb der eigenen EU-Cloud und Backups; Datentypen: verschlüsselte Kanzlei-Daten, Infrastruktur-Logs, Monitoring-Daten.
  • Posteo e.K. – Region: Deutschland (EU); Zweck: Versand von Projektstatus-Mails und Support-Nachrichten; Datentypen: Kontaktinformationen, Tickettexte, Anhänge nur mit expliziter Freigabe.
  • CleverReach GmbH & Co. KG – Region: Deutschland (EU); Zweck: Versand von automatisierten Erinnerungen und Informationen zu Pilotprojekten; Datentypen: E-Mail-Adressen, Kommunikations-Logs, Opt-in-Status.
  • OpenAI (EU-Region via Azure) – Region: EU (Frankfurt/Paris); Zweck: optionaler KI-Support in Workshops mit ausdrücklicher Freigabe; Datentypen: anonymisierte Textanfragen ohne Klientendaten, Prompt-Feedback.