Zurück

Datenschutzerklärung

1. Verantwortlicher

TaxGraph GmbH
Hans-Dürrmeier-Weg 2
80339 München

Email: ludwig@tax-graph.com, tim@tax-graph.com

Kein Datenschutzbeauftragter benannt.

2. Rollenverteilung (Verantwortlicher / Auftragsverarbeiter)

TaxGraph nimmt je nach Verarbeitungsvorgang zwei unterschiedliche Rollen ein:

  • Verantwortlicher: Für die Daten, die bei Besuch der Website sowie bei Registrierung, Kontoverwaltung und Abrechnung anfallen (z. B. Stammdaten, Kontodaten, Nutzungsdaten der Website), ist TaxGraph Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.
  • Auftragsverarbeiter: Soweit Kunden über die MCP- bzw. Agent-to-Agent-Schnittstelle Recherche-Anfragen übermitteln, die personenbezogene Daten ihrer Mandanten enthalten können, verarbeitet TaxGraph diese ausschließlich im Auftrag und nach Weisung des Kunden (Art. 28 DSGVO). Verantwortlicher ist insoweit der Kunde. Grundlage ist der mit dem Kunden geschlossene Auftragsverarbeitungsvertrag (AVV).

3. Bereitstellung des Dienstes

Der steuerrechtliche Rechercheservice von TaxGraph wird ausschließlich über einen MCP-Server (Model Context Protocol) sowie über das Agent-to-Agent-Protokoll bereitgestellt und ist für die Integration in KI-Systeme des Kunden (z. B. Claude, Microsoft Copilot, Langdock) konzipiert. Eine eigenständige Webanwendung oder grafische Benutzeroberfläche für die Recherche wird nicht angeboten.

Die Website (tax-graph.com) dient der Darstellung des Angebots, der Dokumentation, der Registrierung und Kontoverwaltung sowie der Abrechnung. Die nachfolgenden Angaben unterscheiden, wo erforderlich, zwischen der Verarbeitung im Rahmen der Website und der Verarbeitung im Rahmen des MCP-Dienstes.

4. Zweck und Rechtsgrundlagen der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung und Nutzung unseres Dienstes sowie zur Erfüllung vertraglicher und gesetzlicher Pflichten erforderlich ist.

Wir erheben und verarbeiten folgende personenbezogene Daten:

  • Stammdaten: Name, Email-Adresse
  • Konto- und Vertragsdaten: Nutzer-ID, Kontodaten, Abrechnungsdaten
  • Nutzungsdaten der Website: Nutzungsverhalten auf der Website, soweit zugeordnet zur Nutzer-ID (siehe Abschnitt 6)
  • Recherche-Inhalte (Kunden-Input): Über die MCP-/Agent-to-Agent-Schnittstelle übermittelte Anfragen. Diese können naturgemäß personenbezogene Daten der Mandanten des Kunden enthalten (z. B. Namen, Adressen, Steuernummern, Finanzinformationen) sowie potenziell besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO (z. B. Gesundheitsdaten bei Krankheitskosten oder Schwerbehinderung). Diese Daten verarbeiten wir ausschließlich als Auftragsverarbeiter im Auftrag des Kunden (siehe Abschnitt 2).
  • Recherche-Ergebnisse und verwendete Quellen

Zwecke der Datenverarbeitung:

  • Bereitstellung des steuerrechtlichen Rechercheservice über MCP und Agent-to-Agent-Protokoll
  • Registrierung, Nutzerverwaltung, Authentifizierung und Abrechnung
  • Analyse und Verbesserung von Website und Dienst
  • Erkennung und Vermeidung von Missbrauch und unerlaubten Zugriffen

Rechtsgrundlage:

Die Verarbeitung erfolgt primär auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags über die Nutzung von TaxGraph und der damit verbundenen Recherche-Dienstleistung).

Für die Analyse und Optimierung von Website und Dienst stützen wir uns auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Sofern eine Einwilligung über unser Cookie-Banner oder die Datenschutzeinstellungen eingeholt wird, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO.

Soweit wir Recherche-Inhalte im Auftrag des Kunden verarbeiten, erfolgt dies auf Grundlage des Auftragsverarbeitungsvertrags (Art. 28 DSGVO); datenschutzrechtlich Verantwortlicher ist insoweit der Kunde.

5. Empfänger / Auftragsverarbeiter

Zur Erbringung unserer Dienstleistung setzen wir die folgenden Auftragsverarbeiter ein. Die Verarbeitung erfolgt ausschließlich in der Europäischen Union, mit Ausnahme des unter 5.2 genannten Drittlandtransfers.

5.1 Microsoft Azure (Hosting und KI-Verarbeitung)

Anbieter: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA (EU-Tochtergesellschaft: Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland)

Hosting: Unser Dienst wird auf Microsoft Azure in der Region Germany West Central (Frankfurt) betrieben. Wir nutzen Azure Kubernetes Service (AKS) für die Anwendungsbereitstellung, Azure PostgreSQL Flexible Server für die Datenhaltung, Azure Blob Storage für die Datenspeicherung sowie Azure Key Vault für die sichere Verwaltung von Zugangsdaten.

KI-Verarbeitung: Zur Verarbeitung von Anfragen und zur Aufbereitung der Recherche-Ergebnisse setzen wir Large Language Models über den Azure OpenAI Service ein. Die Verarbeitung erfolgt innerhalb der EU. Die übermittelten Inhalte werden nicht zum Training der Modelle verwendet.

Sämtliche Daten werden ausschließlich in der EU gespeichert und verarbeitet. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist über das Microsoft Online Services Data Protection Addendum (DPA) abgeschlossen. Es findet kein Drittlandtransfer statt.

Website: https://azure.microsoft.com
DSGVO-Informationen: https://www.microsoft.com/de-de/trust-center/privacy/gdpr-overview
Compliance: https://learn.microsoft.com/de-de/azure/compliance/

5.2 Clerk (Authentifizierung)

Anbieter: Clerk, Inc., 1 Letterman Drive, Suite D4700, San Francisco, CA 94129, USA

Verarbeitete Daten: Name, Email-Adresse, Passwort (gehasht), Login-Zeitpunkte und Session-Daten.

Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist abgeschlossen.

Drittlandtransfer: Clerk verarbeitet Daten in den USA. Die Übermittlung ist durch die Teilnahme von Clerk am EU-U.S. Data Privacy Framework (DPF) gemäß Art. 45 DSGVO abgesichert.

Website: https://clerk.com
Datenschutzerklärung: https://clerk.com/legal/privacy
DPF Notice: https://clerk.com/legal/dpf-notice

5.3 PostHog (Nutzungsanalyse)

Siehe Abschnitt 6.

Eine sonstige Weitergabe personenbezogener Daten an Dritte erfolgt nicht, es sei denn, dies ist gesetzlich vorgeschrieben.

6. Analyse-Tool PostHog

Zur Analyse und Verbesserung unserer Website nutzen wir den Dienst PostHog. Wir verwenden ein zweistufiges Modell: Grundlegende, anonyme Seitenaufruf-Statistiken werden ohne Einwilligung erhoben; erweiterte Analysen mit Cookies nur nach ausdrücklicher Einwilligung.

Wichtig: Recherche-Inhalte (Kunden-Input und darin enthaltene Mandantendaten) werden nicht an PostHog übermittelt. Der MCP-Dienst sendet an PostHog ausschließlich anonyme Telemetrie- und Nutzungsdaten ohne Recherche-Inhalte. Die nachfolgend beschriebene Analyse betrifft die Nutzung der Website.

Anbieter:

PostHog Inc.
2261 Market Street #4008
San Francisco, CA 94114
USA

Website: https://posthog.com
Datenschutzerklärung: https://posthog.com/privacy

EU-Hosting und DSGVO-Konformität:

Wichtig: Wir nutzen PostHog Cloud EU mit Servern in Frankfurt, Deutschland. Alle Daten werden ausschließlich in der Europäischen Union gehostet und verarbeitet. Es findet keine Datenübermittlung in Drittländer außerhalb der EU statt.

6.1 Stufe 1: Anonyme Nutzungsstatistik (ohne Einwilligung)

Beim Besuch unserer Website erfassen wir grundlegende, anonyme Seitenaufruf-Statistiken. Diese Erfassung erfolgt ohne Cookies, ohne localStorage und ohne sonstige Speicherung auf Ihrem Endgerät. Jeder Seitenaufruf wird als isoliertes, anonymes Ereignis behandelt; eine Zuordnung zu einer Person oder ein sitzungsübergreifendes Tracking ist technisch nicht möglich.

Folgende Daten werden dabei erfasst:

  • Seiten-URL: Welche Seite aufgerufen wurde
  • Referrer-URL: Von welcher Seite Sie kamen
  • Technische Basisdaten: Browser-Typ, Betriebssystem, Bildschirmauflösung, Sprache, Gerätetyp (Desktop/Tablet/Mobile)
  • Zeitstempel: Zeitpunkt des Seitenaufrufs

Nicht erfasst werden in Stufe 1: IP-Adressen (werden von PostHog EU serverseitig anonymisiert), Klickverhalten, Formulareingaben, Session-IDs, Nutzeridentifikation oder sonstige personenbezogene Daten.

Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Analyse der Reichweite und der grundlegenden Nutzung unserer Website, um diese zu verbessern. Da keine Informationen auf Ihrem Endgerät gespeichert oder ausgelesen werden, ist § 25 TDDDG (Einwilligungspflicht für Cookies) nicht einschlägig.

Widerspruch (Stufe 1): Sie können die anonyme Erfassung unterbinden, indem Sie in Ihrem Browser die "Do Not Track" (DNT)-Einstellung aktivieren. Unser System respektiert dieses Signal und deaktiviert in diesem Fall die gesamte Analyse.

6.2 Stufe 2: Erweiterte Analyse (nur mit Einwilligung)

Wenn Sie über unser Cookie-Banner der erweiterten Analyse zustimmen, werden zusätzlich folgende Daten erhoben:

  • Nutzungsverhalten: Klicks, Scrollverhalten, Verweildauer, Navigation innerhalb der Website
  • Eingaben innerhalb der Website: z. B. Suche im Dokumentenviewer und sonstige Interaktionen mit der Website (keine Recherche-Inhalte oder Mandantendaten)
  • Session-Daten: Sitzungsübergreifende Wiedererkennung via Cookies, Session-ID, Session-Dauer
  • Session-Aufzeichnung: Aufzeichnung der Interaktion mit der Website zur Analyse der Bedienbarkeit
  • Nutzeridentifikation: Zuordnung zu Ihrem Nutzerkonto (Email-Adresse, Name), sofern Sie eingeloggt sind

In Stufe 2 werden Cookies und localStorage auf Ihrem Endgerät gesetzt, um eine sitzungsübergreifende Analyse zu ermöglichen.

Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 25 Abs. 1 TDDDG.

Widerruf (Stufe 2): Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen:

  • Über den untenstehenden Button "Cookie-Einstellungen ändern"
  • Durch Löschen der Cookies in Ihrem Browser
  • Per Email an: ludwig@tax-graph.com

Zweck der Datenverarbeitung (beide Stufen):

  • Analyse der Reichweite und des Nutzerverhaltens
  • Identifizierung und Behebung von Fehlern und Usability-Problemen
  • Verbesserung und Optimierung unserer Website
  • Entwicklung neuer Features basierend auf Nutzerverhalten
  • Performance-Monitoring und technische Optimierung

Speicherdauer:

Nutzungsdaten werden für 90 Tage gespeichert und danach automatisch gelöscht.

Auftragsverarbeitung:

Wir haben mit PostHog einen Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO abgeschlossen. PostHog verarbeitet Daten ausschließlich nach unserer Weisung und ausschließlich in der EU.

7. Speicherdauer

Wir löschen personenbezogene Daten nach Ablauf der folgenden Fristen automatisiert. Die Durchsetzung der Fristen erfolgt über regelmäßige Löschläufe.

  • Accountdaten (Name, Email-Adresse, Nutzerprofil): Vertragsdauer zuzüglich 5 Jahre.
  • Kunden- und Vertragsdaten (insbesondere Abrechnungsdaten): Vertragsdauer zuzüglich 10 Jahre aufgrund gesetzlicher und handelsrechtlicher Aufbewahrungsfristen.
  • Recherche-Anfragen (MCP-Anfragen): 30 Tage, danach automatische Löschung.
  • Logs (Login, API-Anfragen, Fehler): 90 Tage.
  • Nutzungsdaten (PostHog): 90 Tage, danach automatisch gelöscht.

8. Rechte der betroffenen Personen

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen das Recht:

  • Auskunft über Ihre gespeicherten personenbezogenen Daten zu erhalten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten zu verlangen (Art. 16 DSGVO)
  • Löschung oder Einschränkung der Verarbeitung (Art. 17, 18 DSGVO)
  • Widerspruch gegen die Verarbeitung einzulegen, sofern diese auf berechtigtem Interesse beruht (Art. 21 DSGVO)
  • Datenübertragbarkeit zu verlangen (Art. 20 DSGVO)
  • eine erteilte Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO)
  • sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO)

Sie können Ihre Rechte einfach und unkompliziert per Email an uns ausüben: ludwig@tax-graph.com oder tim@tax-graph.com

Soweit wir personenbezogene Daten als Auftragsverarbeiter im Auftrag eines Kunden verarbeiten (insbesondere Recherche-Inhalte mit Mandantendaten), richten Sie Betroffenenanfragen bitte an den jeweiligen Kunden als Verantwortlichen. Wir unterstützen den Kunden bei der Erfüllung dieser Anfragen gemäß Art. 28 Abs. 3 DSGVO und leiten direkt an uns gerichtete Anfragen unverzüglich an ihn weiter.

9. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt.

10. Pflicht zur Bereitstellung der Daten

Die Bereitstellung bestimmter personenbezogener Daten (insbesondere Accountdaten) ist zur Nutzung unserer Dienstleistung erforderlich. Ohne diese Daten ist eine Nutzung des Dienstes leider nicht möglich.

Stand: Mai 2026

Betreiber: TaxGraph GmbH, Hans-Dürrmeier-Weg 2, 80339 München

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte an:
ludwig@tax-graph.com oder tim@tax-graph.com