Dürfen wir KI als Kanzlei wegen §203 StGB überhaupt einsetzen?

Ja. Die von DPA Consulting eingesetzten KI-Lösungen, inklusive Dr. Mailo®, laufen ausschließlich in geschlossenen EU-Instanzen. Keine Daten verlassen den Verantwortungsbereich Ihrer Kanzlei im Sinne der BGH-Rechtsprechung zu §203 StGB. Vertragsgrundlage: schriftlicher AV-Vertrag nach Art. 28 DSGVO plus technische Dokumentation des Datenflusses.

Ist die KI-Beratung DSGVO-konform? Wo liegen unsere Daten?

Ausschließlich in Frankfurt/Main (AWS eu-central-1) oder auf Wunsch auf Ihrem eigenen Azure-Tenant. Keine Daten verlassen die EU. Keine Daten fließen ins Training der KI-Modelle. AV-Vertrag ist Standard, TOMs werden schriftlich dokumentiert.

Funktioniert die KI-Automatisierung mit DATEV?

Ja, nativ. DATEV Desktop (Klardaten Gateway) sowie DATEV Unternehmen Online werden unterstützt. Mandantenstamm wird nächtlich synchronisiert, Trefferquote der automatischen Mandantenzuordnung liegt über 95%.

Datenschutz — DPA Consulting

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist die DPA Consulting (Ahmed Mowafek), Anbieter von Dr. Mailo®. Kontaktdaten finden Sie im Impressum.

2. Welche Daten wir verarbeiten

2.1 Kontodaten

Bei der Anmeldung über Microsoft OAuth erhalten wir: Name, E-Mail-Adresse und eine eindeutige Benutzer-ID. Passwörter werden nicht gespeichert.

2.2 E-Mail-Daten

Dr. Mailo® liest E-Mails aus Ihrem Microsoft-Postfach (via Microsoft Graph API). Gespeichert werden: Absender, Empfänger, Betreff, Zeitstempel, E-Mail-Inhalt und Anhang-Metadaten. Die Verarbeitung erfolgt ausschließlich auf Servern in der EU.

2.3 KI-Klassifizierung

E-Mail-Inhalte werden über den vom Nutzer bereitgestellten API-Schlüssel (BYOK-Modell) an einen KI-Dienst (konfigurierbar: OpenAI, Azure OpenAI, Anthropic oder Google) zur Klassifizierung und Entwurfsgenerierung übermittelt. DPA Consulting nutzt keinen eigenen KI-API-Schlüssel — der Nutzer ist selbst Verantwortlicher gegenüber dem KI-Anbieter. Es werden keine personenbezogenen Daten über das für die Klassifizierung Notwendige hinaus übertragen.

2.4 Website-Analyse

Wir setzen Google Analytics 4 zur Analyse der Website-Nutzung ein. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Google Analytics wird erst nach Ihrer ausdrücklichen Zustimmung über unseren Cookie-Banner geladen. Ohne Zustimmung findet kein Tracking statt.

2.5 Fehleranalyse

Wir nutzen Sentry (gehostet in der EU) zur Erkennung und Behebung technischer Fehler. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Es werden ausschließlich technische Fehlerdaten erfasst, keine personenbezogenen Daten zu Werbezwecken.

2.6 Schriftarten

Auf der Website werden Schriftarten von Google Fonts eingebunden (Space Grotesk, Inter, JetBrains Mono, Instrument Serif). Der Verbindungsaufbau erfolgt erst bei Seitenaufruf. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen Darstellung).

3. Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von:

Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (KI-Verarbeitung von E-Mails)
Art. 6 Abs. 1 lit. b DSGVO — Vertragsdurchführung (Bereitstellung des Dienstes)
Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (Sicherheit, Fehlerbehebung)

4. Datenspeicherung und -sicherheit

4.1 Speicherort

Alle Mandantendaten (E-Mails, Entwürfe, Namen, Adressen, DATEV-Daten) werden bei Supabase in der Region eu-north-1 (Stockholm, EU) gespeichert. Eine Übertragung dieser Daten in Drittländer findet nur statt, wenn Sie einen KI-Anbieter mit Sitz außerhalb der EU wählen (BYOK). Für alle US-Dienstleister bestehen EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

4.2 Verschlüsselung

Alle Daten werden verschlüsselt übertragen (TLS 1.2+) und verschlüsselt gespeichert (AES-256). Microsoft-Zugangstokens werden separat verschlüsselt gespeichert.

4.3 Zugriffskontrolle

Jeder Nutzer kann ausschließlich auf seine eigenen Daten zugreifen. Die Datentrennung (Multi-Tenancy) wird durch Row-Level-Security auf Datenbankebene sichergestellt.

5. Sicherheit der KI-Verarbeitung

Dr. Mailo® setzt mehrstufige Sicherheitsmaßnahmen ein, um die Integrität der KI-gestützten E-Mail-Verarbeitung zu gewährleisten:

Eingabebereinigung: E-Mail-Inhalte werden vor der Verarbeitung durch unsere KI-Modelle von potenziell schädlichen Steuerzeichen und überlangen Inhalten bereinigt.
Kontexttrennung: E-Mail-Inhalte werden durch technische Trennzeichen klar von Systemanweisungen abgegrenzt.
Ausgabevalidierung: Die Ergebnisse der KI-Verarbeitung werden gegen ein striktes Schema validiert.
Sicherheitsprotokollierung: Verdächtige Muster werden erkannt und protokolliert, ohne personenbezogene Daten zu erfassen.
Mandantentrennung: Sämtliche Daten werden durch Row-Level-Security auf Datenbankebene strikt nach Organisationen getrennt. Ein Zugriff auf Daten anderer Kanzleien ist technisch ausgeschlossen.

6. Auftragsverarbeitung

Folgende Dienstleister werden von DPA Consulting als Auftragsverarbeiter eingesetzt:

Dienstleister	Zweck	Standort
Supabase	Datenbank, Auth, Edge Functions	Stockholm (EU)
Vercel	Frontend-Hosting	Frankfurt (EU)
Microsoft	OAuth, E-Mail-Zugriff (Graph API)	EU
Microsoft Azure OpenAI	KI-Klassifizierung, Entwurfsgenerierung (Pilotphase / BYOK-Fallback)	Schweden (EU)

Mit allen Auftragsverarbeitern wurden entsprechende Verträge gemäß Art. 28 DSGVO geschlossen. Details finden Sie im AV-Vertrag.

Hinweis zur Pilotphase: Während der Pilotphase wird Microsoft Azure OpenAI (Schweden, EU) als Unterauftragsverarbeiter gemäß Art. 28 DSGVO für die KI-gestützte E-Mail-Klassifizierung eingesetzt. Serverstandort: EU (Schweden, eu-north). DSGVO- und §203-konform. Keine Nutzung der Daten zu Trainingszwecken.

7. Ihre Rechte

Sie haben das Recht auf:

Auskunft — Welche Daten wir über Sie gespeichert haben (Art. 15 DSGVO)
Berichtigung — Korrektur unrichtiger Daten (Art. 16 DSGVO)
Löschung — Vollständige Löschung aller Daten (Art. 17 DSGVO)
Einschränkung — Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit — Export Ihrer Daten (Art. 20 DSGVO)
Widerspruch — Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Widerruf — Widerruf erteilter Einwilligungen jederzeit (Art. 7 Abs. 3 DSGVO)

Bei Beendigung des Vertragsverhältnisses werden sämtliche personenbezogenen Daten innerhalb von 30 Tagen vollständig und unwiderruflich gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

8. Beschwerderecht bei der Aufsichtsbehörde

Gemäß Art. 77 DSGVO haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Aufsichtsbehörde

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 611 1408-0
E-Mail: poststelle@datenschutz.hessen.de
Web: datenschutz.hessen.de

9. Berufsgeheimnisschutz (§203 StGB)

Dr. Mailo® ist für den Einsatz in Steuerberatungskanzleien konzipiert. Wir sind uns der besonderen Anforderungen an den Schutz mandantenbezogener Daten gemäß §203 StGB bewusst. Die KI-Verarbeitung von E-Mails erfolgt ausschließlich mit ausdrücklicher Einwilligung des Nutzers und kann jederzeit in den Einstellungen deaktiviert werden.

10. Kontakt

Bei Fragen zum Datenschutz wenden Sie sich an den Verantwortlichen unter der im Impressum angegebenen Adresse oder per E-Mail an beratung@dpa-consulting.de.

Datenschutzerklärung

1. Verantwortlicher

2. Welche Daten wir verarbeiten

2.1 Kontodaten

2.2 E-Mail-Daten

2.3 KI-Klassifizierung

2.4 Website-Analyse

2.5 Fehleranalyse

2.6 Schriftarten

3. Rechtsgrundlage

4. Datenspeicherung und -sicherheit

4.1 Speicherort

4.2 Verschlüsselung

4.3 Zugriffskontrolle

5. Sicherheit der KI-Verarbeitung

6. Auftragsverarbeitung

7. Ihre Rechte

8. Beschwerderecht bei der Aufsichtsbehörde

9. Berufsgeheimnisschutz (§203 StGB)

10. Kontakt