Arminius — APS Software UG (haftungsbeschränkt)
Stand: 01.02.2026
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:
APS Software UG (haftungsbeschränkt)
Geschäftsführer: Florian Kübler
Reiterweg 15
88048 Friedrichshafen
Handelsregister: Amtsgericht Ulm, HRB 751280
Sitz der Gesellschaft: Friedrichshafen
E-Mail: f.kuebler@arminius-ki.de
Für Anfragen zum Datenschutz wenden Sie sich bitte ausschließlich an die oben genannte E-Mail-Adresse.
Arminius ist eine KI-gestützte Steuerberatungsplattform, die ausschließlich für gewerbliche Nutzer (Steuerberatungskanzleien, Steuerfachangestellte) bereitgestellt wird. Die Plattform verarbeitet steuerrechtlich relevante Mandantendaten, weshalb wir besonders hohe Anforderungen an Datenschutz und Datensicherheit stellen.
Sämtliche Daten werden ausschließlich auf Servern in Deutschland (Hetzner Online GmbH, Nürnberg) verarbeitet und gespeichert. Eine Übermittlung in Drittländer außerhalb der EU/EWR findet nicht statt.
Wir verarbeiten personenbezogene Daten nur, soweit dies für die Bereitstellung der Plattform erforderlich ist, eine gesetzliche Grundlage besteht oder eine wirksame Einwilligung vorliegt.
| Datum | Zweck | Speicherdauer |
|---|---|---|
| Firmenname | Vertragsidentifikation | Vertragslaufzeit + 10 Jahre |
| Name, Vorname | Nutzerauthentifizierung | Vertragslaufzeit + 10 Jahre |
| Geschäfts-E-Mail | Login, Kommunikation | Vertragslaufzeit + 10 Jahre |
| Rechnungsadresse | Vertragsabwicklung | Vertragslaufzeit + 10 Jahre |
| Steuernummer / USt-IdNr. | Rechnungsstellung | Vertragslaufzeit + 10 Jahre |
| Datum | Zweck | Speicherdauer |
|---|---|---|
| Login-Zeitstempel | Sicherheit, Audit-Trail | 90 Tage |
| IP-Adresse | Sicherheit, Missbrauchsprävention | 30 Tage |
| Suchanfragen (anon.) | Qualitätsverbesserung | 30 Tage |
| Fehlermeldungen | Technischer Betrieb | 14 Tage |
Dokumente, Buchungsdaten und sonstige Mandanteninformationen, die durch die Kanzlei in die Plattform eingebracht werden, unterliegen der alleinigen Verantwortung der jeweiligen Kanzlei. Arminius verarbeitet diese Daten ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO.
Der Betrieb der Plattform erfolgt ausschließlich auf Servern der:
Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen
Rechenzentrum: Nürnberg, Deutschland
Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Alle Daten verbleiben innerhalb des Hetzner Private Network und verlassen dieses nicht über das öffentliche Internet.
Die Kommunikation zwischen dem lokalen Arminius Sentinel Agent in der Kanzlei und unseren Servern erfolgt ausschließlich über einen selbst gehosteten verschlüsselten Reverse-Tunnel. Eine Nutzung von Cloud-Diensten US-amerikanischer Anbieter (Microsoft Azure, AWS, Google Cloud) findet nicht statt.
Alle Verbindungen sind TLS-verschlüsselt. Daten werden nicht außerhalb der EU/EWR übertragen.
Die Nutzerverwaltung und Authentifizierung erfolgt über Keycloak (Version 26.1), eine selbst gehostete Open-Source-Lösung. Es wird kein externer Identity-Provider eingesetzt.
Bei der Anmeldung werden folgende Daten verarbeitet:
| Datum | Zweck |
|---|---|
| E-Mail-Adresse | Eindeutige Nutzeridentifikation |
| Passwort-Hash | Zugangssicherung (bcrypt; Klartext wird nie gespeichert) |
| TOTP-Secret | Zwei-Faktor-Authentifizierung (verpflichtend) |
| Session-Token | Sitzungsverwaltung (JWT, Gültigkeitsdauer: 1 Stunde) |
| Tenant-ID | Mandantentrennung, Datenisolation |
Die Zwei-Faktor-Authentifizierung (2FA) via TOTP ist für alle Nutzer verpflichtend und kann nicht deaktiviert werden.
Mandantendaten werden ausschließlich zur Bearbeitung der jeweiligen Anfrage der Kanzlei verwendet. Eine Nutzung zum Modelltraining, Weitergabe an Dritte oder mandantenübergreifende Auswertung findet nicht statt.
Arminius betreibt das fine getunte KI-Sprachmodell (Qwen3-235B-A22B (MoE)) ausschließlich auf eigener Hardware. Es werden keine externen KI-APIs (OpenAI, Anthropic, Google u.a.) für die Verarbeitung von Mandantendaten genutzt.
Jede Kanzlei erhält eine vollständig isolierte Datenschicht (separates PostgreSQL-Schema sowie separate Qdrant-Collection). Ein mandantenübergreifender Datenzugriff ist technisch ausgeschlossen.
Der optionale Sentinel Agent wird lokal auf Kanzlei-Systemen betrieben und verbindet sich über einen verschlüsselten Tunnel mit der Arminius-Plattform. Verarbeitete Datenquellen:
| Quelle | Zweck |
|---|---|
| DMS-Dokumente | Vektorisierung für KI-Suche |
| DATEV-Buchungsdaten | Mandantenkontextanreicherung |
| Mandantenstamm | Strukturierte Abfragen |
Die OCR-Verarbeitung erfolgt lokal auf dem Kanzlei-System. Nur extrahierte Textvektoren (keine Rohdokumente) werden an die Arminius-Plattform übermittelt.
Arminius verarbeitet Mandantendaten im Auftrag der jeweiligen Steuerberatungskanzlei. Mit jeder Kanzlei wird ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen, der Bestandteil des Hauptvertrages ist.
Als Auftragsverarbeiter handelt Arminius ausschließlich nach dokumentierten Weisungen der Kanzlei als Verantwortlichem und verpflichtet alle mit der Verarbeitung befassten Personen zur Vertraulichkeit.
Eingesetzte Unterauftragsverarbeiter:
| Unternehmen | Leistung | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Rechenzentrumsbetrieb | Deutschland |
Vertragserfüllung (Plattformbetrieb)
Art. 6 Abs. 1 lit. b DSGVO
Rechnungsstellung, Buchhaltung
Art. 6 Abs. 1 lit. c DSGVO i.V.m. §§ 238 ff. HGB
Sicherheits-Logging, Audit-Trail
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Verarbeitung von Mandantendaten
Art. 6 Abs. 1 lit. b DSGVO i.V.m. AVV (Art. 28 DSGVO)
Marketing-Kommunikation
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. § 7 Abs. 3 UWG
Als betroffene Person stehen Ihnen gegenüber dem Verantwortlichen folgende Rechte zu:
Zur Geltendmachung Ihrer Rechte wenden Sie sich an: f.kuebler@arminius-ki.de
Zuständige Aufsichtsbehörde:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219, 10969 Berlin
| Maßnahme | Umsetzung |
|---|---|
| Transportverschlüsselung | TLS 1.3 für alle Verbindungen |
| Datenverschlüsselung | Verschlüsselung sensibler Felder at-rest |
| Zugriffskontrolle | Keycloak RBAC, 2FA verpflichtend, JWT-Sessions |
| Mandantentrennung | Isolierte DB-Schemata + Qdrant-Collections pro Kanzlei |
| Netzwerksicherheit | Hetzner Private Network, kein öffentlicher DB-Zugang |
| Logging & Monitoring | Strukturierte Security-Logs, Anomalie-Detektion |
| Datensparsamkeit | Keine Speicherung von LLM-Konversationsverläufen |
| Backups | Tägliche verschlüsselte Backups, Retention 30 Tage |
Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der rechtlichen Anforderungen, der genutzten Technologien oder des Leistungsumfangs anzupassen. Die jeweils aktuelle Version ist unter arminius-ki.de/datenschutz abrufbar.
Bei wesentlichen Änderungen, die Ihre Rechte betreffen, informieren wir registrierte Nutzer per E-Mail mindestens 14 Tage vor Inkrafttreten der Änderung.
© APS Software UG (haftungsbeschränkt) — arminius-ki.de