KI-gestützte Belegerkennung, Bankabgleich und Steuerberater-Übergabe in einer Plattform.
Rechtliches

Allgemeine Geschäftsbedingungen (SaaS)

Initialer Seed v0.2 — Verfügbarkeit, Support, Datenexport, KI/OCR-Transparenz integriert.

Version: v1Gültig ab: 15.6.2026SHA-256: 69536b8dea03ed8c

Kontorio Rechtstexte – AGB / SaaS-Nutzungsbedingungen v0.2

Produkt: Kontorio
Dokumenttyp: Arbeitsentwurf / Markdown-Fassung
Stand: 21.05.2026
Status: Erweiterter Entwurf für interne Abstimmung, Entwicklung, Datenschutzprüfung und juristische Endprüfung
Geltungsbereich: Kontorio Website, Kontorio Portal, Admin-Betrieb, Belegimport, KI/OCR, Buchungsvorschläge, SaaS-Abrechnung, Supportzugriff, Verfügbarkeit/SLA, Systemausfälle, Datenexport, Löschung, Aufbewahrung und In-App-Transparenzhinweise
Nicht enthalten: Vollständige Datenschutzerklärung, vollständige AVV, vollständige TOM-Anlage, vollständiges Impressum und vollständige Cookie-/Consent-Dokumentation. Support-/SLA-Regeln, Lösch-/Aufbewahrungslogik und KI-/OCR-Transparenzhinweise sind in dieser v0.2 zusätzlich integriert, ersetzen aber nicht die juristische Endprüfung und nicht die technischen Betriebsnachweise.

Wichtiger Hinweis:
Dieses Dokument ist ein fachlich-technischer und rechtlicher Arbeitsentwurf. Es ersetzt keine Rechtsberatung, keine Steuerberatung, keine Datenschutzberatung und keine GoBD-/IT-Sicherheitsprüfung. Vor Veröffentlichung müssen AGB, Datenschutz, AVV, TOMs, Haftungsklauseln, Subprozessorenliste, Cookie-/Consent-Konzept und Produktaussagen durch qualifizierte Rechtsberatung geprüft werden.

Kurz gesagt: Das hier ist der sauber angezeichnete Plan. Die finale Abnahme macht jemand, der dafür auch haftet.


Änderungsnotiz v0.2

Diese Version erweitert v0.1, ohne die bestehende Struktur bewusst zu kürzen oder zu ersetzen. Neu integriert wurden insbesondere:

  • ausführlichere Regeln zu Verfügbarkeit, Wartung, Systemausfällen, Provider-Störungen und SLA-Grenzen,
  • detaillierte Supportbedingungen inklusive Supportgrenzen, Priorisierung, Mitwirkungspflichten und Abgrenzung zu Steuer-/Rechtsberatung,
  • ein integriertes Datenexport-, Lösch- und Aufbewahrungskonzept für Vertragsende, Backups, Audit Logs, Belege, E-Mail-Importe, OCR-/KI-Ergebnisse und gesetzliche Aufbewahrungspflichten,
  • deutlichere KI-/OCR-Transparenzhinweise inklusive Fehleranfälligkeit, Halluzinationsrisiko, falscher Belegerkennung, falscher Buchungsvorschläge und menschlicher Prüfpflicht,
  • zusätzliche Haftungs- und Verantwortlichkeitsabgrenzungen für ungeprüfte Buchungen, Fristversäumnisse, falsche Kundendaten, Drittanbieterketten und Last-Minute-Verarbeitung.

Leitlinie dieser Fassung: weniger separate Dokumente, aber keine schlechtere Nachvollziehbarkeit. Deshalb stehen die wichtigsten Zusatzbedingungen direkt in diesen AGB und zusätzlich als integrierte Anlagen im selben Markdown-Dokument.


0. Ziel dieses Dokuments

Dieses Markdown-Dokument bereitet die AGB / SaaS-Nutzungsbedingungen für Kontorio vor. Es ist auf den aktuellen Projektstand zugeschnitten:

  • Kontorio ist eine deutsche SaaS-Buchhaltungsplattform für Selbstständige, Freiberufler, Handwerksbetriebe, kleine Unternehmen und perspektivisch weitere gewerbliche Nutzer.
  • Die Plattform arbeitet mandantenfähig: User ist Login, Tenant ist Firma, Membership ist Zugriff, Subscription ist Abrechnung.
  • Portal und Admin sind getrennte Frontends.
  • Backend läuft auf Hetzner mit NestJS/Express, Docker Compose, Caddy, Redis/BullMQ und getrennten API-/Worker-Prozessen.
  • Fachliche Daten liegen in Neon/PostgreSQL.
  • Belege, OCR-Artefakte, Exporte und Quarantäneobjekte liegen in AWS S3.
  • E-Mail-Versand und Belegimport per E-Mail laufen über Resend unter mail.kontorio.de.
  • KI/OCR ist Assistenzfunktion: keine autonome Steuerberatung, keine autonome Buchung, keine finale rechtliche oder steuerliche Entscheidung.
  • Buchungs-, Steuer-, DATEV-, ELSTER- und Lohnfunktionen werden stufenweise eingeführt und müssen jeweils sauber abgegrenzt werden.
  • Support-/SLA-Bedingungen, Lösch-/Aufbewahrungskonzept und KI-/OCR-Transparenzhinweise werden in dieser v0.2 nicht mehr nur als externe Folgeunterlagen behandelt, sondern direkt in die AGB-Struktur aufgenommen.

Dieses Dokument ist bewusst ausführlich. Bei Rechtstexten ist Kürze nur dann schön, wenn sie nicht später teuer wird.


1. Aktueller Recherche- und Rechtsquellenstand

Die finale Rechtsprüfung muss auf dem am Veröffentlichungstag gültigen Stand erfolgen. Für diesen Entwurf wurden folgende Regelungsbereiche berücksichtigt:

1.1 Anbieterkennzeichnung / Impressum

Für geschäftsmäßige digitale Dienste sind Anbieterinformationen erforderlich. In Deutschland ist hierfür heute nicht mehr die alte TMG-Logik maßgeblich, sondern insbesondere das Digitale-Dienste-Gesetz (DDG). Für Kontorio bedeutet das:

  • Das Impressum muss separat erstellt werden.
  • In den AGB sollte auf den Anbieter und das Impressum verwiesen werden.
  • Alte Musterformulierungen mit „§ 5 TMG“ sollten nicht mehr ungeprüft übernommen werden.
  • In Rechtstexten sollte sauber von Anbieterkennzeichnung / Impressum gesprochen werden.

Arbeitsfolge: Eigenes Dokument kontorio_impressum.md erstellen.

1.2 AGB-Recht / BGB

Für Allgemeine Geschäftsbedingungen sind insbesondere §§ 305 ff. BGB relevant. Für Kontorio ist wichtig:

  • AGB müssen wirksam in den Vertrag einbezogen werden.
  • Ungewöhnliche oder überraschende Klauseln sind riskant.
  • Unangemessene Benachteiligung ist auch im B2B-Bereich nicht einfach egal.
  • Kontorio sollte klar auf B2B ausgerichtet werden.
  • Kontorio sollte keine Verbraucherfunktionen, Verbraucherpreise oder Verbraucherwiderrufslogik vermischen, solange das Produkt nur für Unternehmer/Freiberufler gedacht ist.

Konsequenz: Die AGB enthalten eine klare B2B-Beschränkung. Nutzer bestätigen bei Registrierung oder Buchung, dass sie Unternehmer, Freiberufler, Selbstständige, juristische Person oder sonstiger gewerblicher/professioneller Nutzer sind.

1.3 Datenschutz / DSGVO

Für Kontorio sind insbesondere folgende DSGVO-Bereiche relevant:

  • Art. 5 DSGVO: Grundsätze wie Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.
  • Art. 6 DSGVO: Rechtsgrundlagen.
  • Art. 13 und 14 DSGVO: Informationspflichten.
  • Art. 15 bis 22 DSGVO: Betroffenenrechte.
  • Art. 25 DSGVO: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen.
  • Art. 28 DSGVO: Auftragsverarbeitung.
  • Art. 30 DSGVO: Verzeichnis von Verarbeitungstätigkeiten.
  • Art. 32 DSGVO: Sicherheit der Verarbeitung.
  • Art. 33 und 34 DSGVO: Datenschutzverletzungen.
  • Art. 35 DSGVO: Datenschutz-Folgenabschätzung bei hohem Risiko.
  • Art. 44 ff. DSGVO: Drittlandübermittlungen.

Konsequenz für Kontorio:
Die AGB dürfen Datenschutz nicht „nebenbei erledigen“. Es braucht separat:

  1. Datenschutzerklärung Website
  2. Datenschutzerklärung App / Portal / Admin
  3. AVV nach Art. 28 DSGVO
  4. TOM-Anlage
  5. Unterauftragsverarbeiterliste
  6. Datenlösch- und Exportkonzept, in v0.2 als AGB-Grundlage integriert und zusätzlich operativ zu präzisieren
  7. Supportzugriffs- und Audit-Konzept, in v0.2 als AGB-Grundlage integriert und zusätzlich operativ zu präzisieren

1.4 TDDDG / Cookies / Tracking

Für Cookies, Local Storage, Tracking und ähnliche Technologien ist neben der DSGVO auch das TDDDG relevant. Für Kontorio bedeutet das:

  • Notwendige Cookies für Login, Session, CSRF und Sicherheit können anders behandelt werden als Marketing-/Analyse-Cookies.
  • Tracking, Marketing, Heatmaps oder externe Analyse-Dienste brauchen gesonderte Prüfung und meist Consent.
  • Technisch notwendige Session-Cookies müssen in der Datenschutzerklärung erklärt werden.
  • Ein Consent-Banner darf nicht aus Langeweile eingebaut werden. Wenn er nötig ist, muss er sauber sein. Wenn er nicht nötig ist, soll man nicht aus Versehen eine Baustelle eröffnen.

1.5 GoBD / AO / HGB / E-Rechnung

Kontorio berührt Buchhaltungs- und Belegprozesse. Relevant sind insbesondere:

  • Abgabenordnung, insbesondere Aufbewahrung und Nachvollziehbarkeit.
  • Handelsrechtliche Aufbewahrungspflichten.
  • GoBD als Verwaltungsanweisung der Finanzverwaltung.
  • Änderungen wegen E-Rechnung und strukturierter Belegdaten.
  • Verfahrensdokumentation beim Kunden.
  • Unveränderbarkeit, Versionierung, Audit Trail, Exportierbarkeit und Datenzugriff.

Konsequenz für Kontorio:
Kontorio sollte nicht behaupten, „GoBD-zertifiziert“ zu sein, sofern keine belastbare Prüfung/Zertifizierung vorliegt. Besser:

  • „GoBD-orientierte Funktionen“
  • „unterstützt nachvollziehbare Archivierung“
  • „unterstützt Audit-Trail, Versionierung und Export“
  • „ersetzt nicht die Verfahrensdokumentation des Kunden“

1.6 KI-Verordnung / AI Act

Der EU AI Act ist seit 01.08.2024 in Kraft und gilt stufenweise. Für Kontorio sind vor allem relevant:

  • Transparenz bei KI-gestützten Funktionen.
  • KI-Kompetenz / AI Literacy im Unternehmen.
  • Dokumentation, Risikoanalyse und klare Zweckbeschreibung.
  • Menschliche Kontrolle bei fachlich relevanten Entscheidungen.
  • Keine Blackbox-Entscheidung bei Buchungen, Steuerwerten, Risikoklassifizierungen oder Sperrungen.
  • Bei Nutzung externer KI-Anbieter muss die Rollen- und Vertragskette sauber dokumentiert werden.

Konsequenz für Kontorio:
Kontorio sollte KI/OCR immer als Assistenzfunktion beschreiben. Keine automatische verbindliche Buchung ohne Freigabe. Keine Steuerberatung durch KI. Keine Aussage „KI erledigt deine Buchhaltung vollständig“. Das ist Marketing mit offener Dachluke.

1.7 OpenAI / KI-Anbieter

Für OpenAI und andere KI-Anbieter gilt:

  • Nutzung nur serverseitig über Backend-Adapter.
  • Kein API-Key im Frontend.
  • Keine private Consumer-ChatGPT-Nutzung für Kundendaten.
  • AVV/DPA prüfen und dokumentieren.
  • Subprozessorenliste prüfen.
  • Datenminimierung: keine Rohbelege standardmäßig an KI senden.
  • Modell-/Prompt-Versionierung und Audit Logs.
  • Opt-out / Konfigurationsmöglichkeiten für KI-Funktionen prüfen.
  • Keine Trainingsnutzung zusagen, ohne Anbieterbedingungen und Konfiguration geprüft zu haben.

2. Kontorio-spezifische technische Grundlage für die AGB

Diese technischen Grundentscheidungen müssen in AGB, Datenschutzhinweisen, AVV und TOMs zusammenpassen.

2.1 Frontends

  • Website / Portal: kontorio.de / www.kontorio.de
  • Admin: admin.kontorio.de
  • Hosting: Vercel-Projekte
  • Frontends enthalten keine AWS-, Redis-, Resend-, OpenAI- oder Datenbank-Secrets.
  • Frontend-Menüs sind Komfort. Sicherheit wird im Backend geprüft.

2.2 Backend

  • API-Domain: api.kontorio.de
  • Hetzner Server als Backend-Maschinenraum
  • Caddy als Reverse Proxy
  • NestJS mit Express
  • API-Prozess: node dist/main.js
  • Worker-Prozess: node dist/worker.js
  • Docker Compose im MVP/Beta-Betrieb
  • GitHub Actions baut Images und pusht nach GHCR
  • Hetzner zieht Images; kein Build auf Produktionsserver

2.3 Datenbank und Queue

  • Neon/PostgreSQL ist fachliche Source of Truth.
  • Prisma für Schema, Migrationen und Datenzugriff.
  • Redis/BullMQ verarbeitet Jobs.
  • Redis ist keine fachliche Wahrheit.
  • Queue-Payloads enthalten nur IDs, keine PDFs, keine OCR-Volltexte, keine E-Mail-Bodies.
  • Jobs müssen idempotent sein.

2.4 Storage

  • AWS S3 in eu-central-1
  • Bucket: kontorio-tenant-prod
  • Private Buckets
  • S3-Keys mit tenantId, nicht mit Firmennamen.
  • Originaldateien immutable / versioniert.
  • Keine öffentlichen S3-URLs im Frontend.
  • Downloads nur über Backend mit Auth, Tenant-Prüfung, Permission und Audit.

2.5 E-Mail / Resend

  • Versand und Empfang über mail.kontorio.de.
  • Default-From: Kontorio <konto@mail.kontorio.de>
  • Reply-To: info@kontorio.de
  • Belegimport über eindeutige Mandanten-Mailadressen:
    • Nicht: belege@mail.kontorio.de für alle.
    • Sondern: <mailbox-slug>-<random>@mail.kontorio.de
  • Routing:
    • Empfängeradresse → InboundMailbox.emailAddress
    • InboundMailbox.emailAddresstenantId
    • tenantId → richtige Firma / Beleg-Inbox
  • Kein Fallback über Firmenname, User-Mail oder ähnliche Adresse.
  • Unbekannte oder mehrdeutige Mails gehen in Quarantäne.

2.6 KI/OCR

  • OCR kann lokal/über Provider laufen.
  • KI-Anbieter werden über Adapter angebunden.
  • KI erhält nur erforderliche, minimierte Daten.
  • Rohbelege werden nicht standardmäßig an LLMs gesendet.
  • KI erzeugt Vorschläge, keine endgültigen Buchungen.
  • Nutzer oder berechtigte Personen prüfen und geben frei.
  • Regel-Engine / Accounting Core ist deterministisch und versioniert.

2.7 Rollen und Mandanten

  • User = Login-Identität.
  • Tenant = Firma / Mandant.
  • Membership = Zugriff des Users auf Tenant.
  • Subscription = Abrechnung je Firma.
  • Eine Firma = eine Subscription = eine Rechnung.
  • Portalrollen:
    • OWNER
    • ADMIN
    • BOOKKEEPING
    • TAX_ADVISOR
    • UPLOADER
    • VIEWER
  • Adminrollen sind getrennt:
    • kein User.role = ADMIN
    • AdminProfile, AdminRole, AdminPermission, AdminRoleAssignment
  • Supportzugriff nur zeitlich begrenzt, begründet, auditiert und nach Freigabe.

Teil A: AGB / SaaS-Nutzungsbedingungen – Entwurf v0.1

1. Anbieter, Geltungsbereich und Vertragspartner

1.1 Anbieter

Anbieter der Kontorio-Plattform ist:

[Kontorio Betreiber einfügen]
[Rechtsform einfügen]
[Adresse einfügen]
[Vertretungsberechtigte Person einfügen]
[Registergericht / Registernummer, falls vorhanden]
[USt-ID, falls vorhanden]
E-Mail: info@kontorio.de
Website: https://kontorio.de

Die vollständige Anbieterkennzeichnung ergibt sich aus dem Impressum.

1.2 Geltungsbereich

Diese Allgemeinen Geschäftsbedingungen gelten für die Nutzung der Kontorio-Plattform einschließlich:

  • öffentlicher Website, soweit dort auf diese Bedingungen verwiesen wird,
  • Kundenportal,
  • SaaS-Zugang,
  • Beleg- und Dokumentenverwaltung,
  • Belegimport per Upload oder E-Mail,
  • OCR- und KI-gestützten Assistenzfunktionen,
  • Buchungsvorschlägen und vorbereitenden Buchhaltungsfunktionen,
  • Team-, Rollen- und Steuerberaterzugängen,
  • optionalen Modulen wie Banking, DATEV-Export, ELSTER-Vorbereitung, Lohnmodul oder Auswertungen, soweit gebucht oder freigeschaltet.

Diese Bedingungen gelten nicht für separate Leistungen, für die ausdrücklich abweichende Bedingungen vereinbart werden.

1.3 B2B-Ausrichtung

Kontorio richtet sich ausschließlich an Unternehmer, Selbstständige, Freiberufler, juristische Personen, Personengesellschaften, Vereine, Organisationen und sonstige Nutzer, die die Plattform zu beruflichen, gewerblichen, selbstständigen oder vergleichbaren Zwecken verwenden.

Kontorio ist nicht für Verbraucher im Sinne von § 13 BGB bestimmt. Nutzer bestätigen bei Registrierung, Buchung oder Nutzung, dass sie nicht als Verbraucher handeln.

1.4 Vorrang individueller Vereinbarungen

Individuelle Vereinbarungen, Angebote, Auftragsformulare, Enterprise-Verträge, schriftliche Nebenabreden oder besondere Modulvereinbarungen gehen diesen AGB vor, soweit sie ausdrücklich abweichen.

1.5 Änderungen der AGB

Kontorio kann diese AGB ändern, wenn dies aus sachlichen Gründen erforderlich ist, insbesondere wegen:

  • rechtlicher Änderungen,
  • technischer Weiterentwicklung,
  • Einführung neuer Module,
  • Änderung externer Anbieter,
  • Sicherheitsanforderungen,
  • Anpassungen an Buchhaltungs-, Datenschutz- oder Steuerprozesse.

Kontorio informiert Kunden rechtzeitig über wesentliche Änderungen. Für laufende Verträge gelten Änderungen nur, soweit sie wirksam einbezogen werden. Bei wesentlichen Nachteilen kann ein Sonderkündigungsrecht vorgesehen werden.

Anwaltsprüfung: Änderungsklausel sehr genau prüfen. Pauschale „wir ändern alles“-Klauseln sind Murks und halten selten gut.


2. Leistungsbeschreibung

2.1 Grundfunktion der Plattform

Kontorio stellt eine cloudbasierte Softwareplattform bereit, mit der Kunden ihre buchhaltungsnahen Unterlagen strukturieren, Belege erfassen, Belegdaten extrahieren, Bank- und Zahlungsvorgänge vorbereiten, Buchungsvorschläge prüfen, Auswertungen anzeigen und Daten für Steuerberater oder Exportprozesse vorbereiten können.

Kontorio ist eine Software-as-a-Service-Lösung. Der Kunde erhält keinen Anspruch auf Überlassung des Quellcodes, keine lokale Installation und kein Eigentum an der Software.

2.2 Module

Je nach Tarif, Freischaltung oder Entwicklungsstand können folgende Module verfügbar sein:

  • Registrierung und Mandantenverwaltung,
  • Firmenprofil und steuerliche Basisdaten,
  • Belegupload,
  • Belegimport per E-Mail,
  • OCR-Verarbeitung,
  • KI-gestützte Extraktion und Klassifikation,
  • Belegarchiv,
  • Buchungsvorschläge,
  • Kontenrahmen-/Kategorie-Mapping,
  • Steuerlogik und Regelvorschläge,
  • Bankkontenabruf über Drittanbieter,
  • Zahlungsabgleich,
  • DATEV-orientierter Export,
  • UStVA-/ELSTER-nahe Vorbereitung,
  • Auswertungen,
  • Steuerberaterzugang,
  • Rollen und Rechte,
  • Support- und Auditfunktionen,
  • Admin- und Betreiberfunktionen.

Nicht alle Module sind in jedem Tarif enthalten. Nicht alle Module sind bereits im MVP verfügbar.

2.3 Entwicklungsstand und Beta-Funktionen

Kontorio kann einzelne Funktionen als Alpha, Beta, Preview, Labs, experimentell oder eingeschränkt verfügbar kennzeichnen. Für solche Funktionen gilt:

  • Sie können unvollständig sein.
  • Sie können geändert, eingeschränkt oder entfernt werden.
  • Sie können besondere Fehleranfälligkeit haben.
  • Sie dürfen nicht ohne Prüfung für rechtlich, steuerlich oder wirtschaftlich verbindliche Entscheidungen verwendet werden.
  • Der Kunde muss Ergebnisse prüfen, bevor er sie verwendet.

2.4 Keine Steuerberatung, Rechtsberatung oder Unternehmensberatung

Kontorio erbringt keine Steuerberatung, Rechtsberatung, Abschlussprüfung, Wirtschaftsprüfung, Lohnsteuerberatung, Sozialversicherungsberatung oder Unternehmensberatung.

Die Plattform kann Informationen, Hinweise, Automatisierungen, Vorschläge, Prüfregeln und vorbereitende Daten bereitstellen. Die fachliche Prüfung, steuerliche Bewertung und verbindliche Entscheidung bleibt beim Kunden, dessen Buchhalter, Steuerberater oder sonstiger qualifizierter Fachperson.

2.5 Keine Garantie für Anerkennung durch Behörden oder Dritte

Kontorio übernimmt keine Garantie, dass bestimmte Daten, Exporte, Buchungsvorschläge, Auswertungen oder Dokumente von Finanzämtern, Sozialversicherungsträgern, Banken, DATEV, ELSTER, Steuerberatern oder sonstigen Dritten anerkannt werden.

Kontorio kann technische Export- und Vorbereitungsmöglichkeiten bereitstellen. Die Verantwortung für Vollständigkeit, Richtigkeit, fristgerechte Abgabe und fachliche Verwendbarkeit bleibt beim Kunden.


3. Registrierung, Nutzerkonto und Mandantenmodell

3.1 Registrierung

Die Registrierung erfolgt grundsätzlich über eine E-Mail-Adresse. Kontorio kann eine E-Mail-Bestätigung, Aktivierungslinks, Passwortvergabe, Sicherheitsprüfungen, Rate Limits oder weitere Schutzmaßnahmen einsetzen.

Ein Anspruch auf Registrierung besteht nicht.

3.2 Richtigkeit der Angaben

Der Kunde ist verpflichtet, bei Registrierung, Firmenanlage, Rechnungsdaten, Steuerdaten, Rollenvergabe und Nutzung richtige, vollständige und aktuelle Angaben zu machen.

Dies gilt insbesondere für:

  • Firmenname,
  • Rechtsform,
  • Adresse,
  • Rechnungsdaten,
  • Steuernummer,
  • Umsatzsteuer-ID,
  • Finanzamt,
  • Gewinnermittlungsart,
  • Umsatzsteuerpflicht,
  • Kleinunternehmerstatus,
  • Ist-/Sollversteuerung,
  • Ansprechpartner,
  • E-Mail-Adressen,
  • Rollen und Berechtigungen.

Fehlerhafte Stammdaten können zu fehlerhaften Buchungsvorschlägen, Steuerwerten, Auswertungen oder Exporten führen. Das ist kein Softwarefehler, wenn die Eingabe schief ist. Aus krummen Latten wird kein gerades Dach.

3.3 User, Tenant und Membership

Kontorio unterscheidet zwischen:

  • User: Login-Identität einer natürlichen Person.
  • Tenant: konkrete Firma, Organisation oder Buchhaltungsumgebung.
  • Membership: Zugriffsberechtigung eines Users auf einen Tenant.
  • Subscription: gebuchter Tarif für einen Tenant.

Ein User kann mehreren Tenants zugeordnet sein. Eine E-Mail-Adresse gibt keinen automatischen Zugriff auf alle Firmen, sondern nur auf die User-Identität. Zugriff entsteht ausschließlich durch Membership, Einladung oder berechtigte Zuordnung.

3.4 Firmenverwaltung

Je nach Tarif kann ein Kunde eine oder mehrere Firmen in Kontorio verwalten. Jede Firma bleibt datentechnisch getrennt. Rechte, Belege, Bankdaten, Buchungen, Auswertungen, Exporte, Mailboxen und Abrechnung können je Firma getrennt geführt werden.

3.5 Verantwortlicher Inhaber

Jede Firma muss mindestens einen Inhaber / OWNER haben. Der Kunde muss sicherstellen, dass ein berechtigter Ansprechpartner erreichbar bleibt.

Kontorio kann Maßnahmen vorsehen, um zu verhindern, dass der letzte OWNER entfernt wird oder eine Firma ohne verantwortliche Person verbleibt.

3.6 Einladungen

Kunden können weitere Nutzer einladen, soweit der Tarif dies erlaubt. Der Einladende ist dafür verantwortlich, nur berechtigte Personen einzuladen und passende Rollen zu vergeben.

Kontorio kann Einladungen zeitlich begrenzen, widerrufen, protokollieren oder aus Sicherheitsgründen ablehnen.

3.7 Zugangsdaten und Sicherheit

Nutzer müssen Zugangsdaten geheim halten und angemessene Sicherheitsmaßnahmen einsetzen. Dazu gehören insbesondere:

  • sichere Passwörter,
  • kein Teilen von Accounts,
  • Nutzung von MFA, sofern angeboten oder verpflichtend,
  • sichere Endgeräte,
  • regelmäßige Prüfung eingeladener Nutzer,
  • sofortige Meldung bei Verdacht auf Missbrauch.

Kontorio darf bei Sicherheitsverdacht Sessions widerrufen, Passwortrücksetzungen erzwingen, Logins sperren oder weitere Prüfungen verlangen.


4. Rollen, Rechte und Verantwortlichkeiten

4.1 Portalrollen

Kontorio kann insbesondere folgende Rollen anbieten:

  • OWNER: vollständige Rechte innerhalb der jeweiligen Firma.
  • ADMIN: operative Verwaltung innerhalb der Firma, eingeschränkt gegenüber OWNER.
  • BOOKKEEPING: Bearbeitung von Belegen, Buchungen, Banktransaktionen, Auswertungen und Exportvorbereitung.
  • TAX_ADVISOR: steuerberaternaher Prüf- und Exportzugang, ohne Betreiberrechte.
  • UPLOADER: eingeschränkter Upload-Zugang.
  • VIEWER: lesender Zugriff.

Der konkrete Rechteumfang kann sich nach Tarif, Modulstand und Konfiguration unterscheiden.

4.2 Verantwortung für Rechtevergabe

Der Kunde ist verantwortlich für:

  • korrekte Rollenzuweisung,
  • regelmäßige Prüfung der Nutzerliste,
  • Entzug von Zugriffen bei Mitarbeiterwechsel,
  • Steuerberaterwechsel,
  • Abgrenzung von Upload-, Lese-, Buchhaltungs- und Adminrechten,
  • interne Freigabeprozesse.

Kontorio stellt technische Rollen bereit. Die fachliche und organisatorische Verantwortung liegt beim Kunden.

4.3 Steuerberaterzugang

Der Steuerberaterzugang ist ein vom Kunden vergebener externer Zugang. Kontorio vermittelt dadurch kein Steuerberatungsverhältnis.

Ob und in welchem Umfang ein Steuerberater als eigener Verantwortlicher, Auftragsverarbeiter, Berufsgeheimnisträger oder sonstiger Beteiligter handelt, hängt vom Mandatsverhältnis zwischen Kunde und Steuerberater ab. Der Kunde ist dafür verantwortlich, dies außerhalb von Kontorio zu klären.

4.4 Interne Adminrollen von Kontorio

Kontorio kann interne Adminrollen für Betrieb, Support, Abrechnung, Sicherheit und Compliance einsetzen. Diese Adminrollen sind technisch von Portalrollen getrennt.

Interne Admins dürfen Kundendaten nicht ohne sachlichen Grund, Berechtigung, Supportfreigabe oder gesetzliche Grundlage einsehen. Supportzugriffe werden nach Maßgabe der technischen Möglichkeiten protokolliert.


5. Vertragsschluss, Tarife, Testphase und Abrechnung

5.1 Vertragsschluss

Ein Vertrag kommt zustande, wenn:

  • der Kunde einen kostenpflichtigen Tarif bucht,
  • Kontorio eine Bestellung bestätigt,
  • ein Enterprise-/Individualvertrag geschlossen wird,
  • oder Kontorio die Nutzung eines kostenpflichtigen Zugangs ausdrücklich freischaltet.

Eine bloße Registrierung kann zunächst nur ein kostenloses Test- oder Onboardingverhältnis begründen.

5.2 Tarife und Module

Der Leistungsumfang richtet sich nach dem gebuchten Tarif und zusätzlich gebuchten Modulen. Kontorio kann Tarife insbesondere nach folgenden Kriterien gestalten:

  • Anzahl Firmen,
  • Anzahl Nutzer,
  • Belegvolumen,
  • OCR-/KI-Kontingent,
  • Speicherumfang,
  • E-Mail-Import,
  • Banking,
  • DATEV-Export,
  • Auswertungen,
  • Steuerberaterzugang,
  • Support-Level,
  • API-/Integrationszugänge,
  • Lohnmodul,
  • Enterprise-Funktionen.

5.3 Testphase

Kontorio kann kostenlose oder vergünstigte Testphasen anbieten. Nach Ablauf der Testphase kann der Zugang eingeschränkt, beendet oder in einen kostenpflichtigen Tarif überführt werden, wenn dies vereinbart wurde.

Kontorio sollte im Produkt klar anzeigen:

  • Dauer der Testphase,
  • enthaltene Funktionen,
  • ob automatische Verlängerung erfolgt,
  • wann Kosten entstehen,
  • wie gekündigt werden kann.

5.4 Preise

Die Preise ergeben sich aus der jeweils aktuellen Preisliste, dem Bestellprozess, dem Angebot oder dem Individualvertrag. Alle Preise verstehen sich, sofern nicht anders angegeben, zuzüglich gesetzlicher Umsatzsteuer.

5.5 Zahlung

Je nach Produktstand kann Zahlung erfolgen über:

  • Rechnung,
  • Lastschrift,
  • Kreditkarte,
  • Stripe oder vergleichbaren Zahlungsanbieter,
  • manuelle Zahlung,
  • Enterprise-Rechnung.

Der Kunde ist verpflichtet, Zahlungsdaten aktuell zu halten und Rechnungen fristgerecht zu bezahlen.

5.6 Zahlungsverzug

Bei Zahlungsverzug kann Kontorio nach angemessener Ankündigung:

  • Zahlungserinnerungen senden,
  • Mahnungen auslösen,
  • kostenpflichtige Module sperren,
  • Schreibzugriffe einschränken,
  • Export- oder Uploadfunktionen begrenzen,
  • den Vertrag kündigen.

Datenlöschung erfolgt nicht automatisch bei Zahlungsverzug. Aufbewahrungs-, Export- und Datenschutzpflichten sind getrennt zu beachten.

5.7 Eine Firma = eine Subscription

Im Standard gilt: Eine Firma / ein Tenant hat eine eigene Subscription und eigene Abrechnung. Sammelrechnungen über mehrere rechtlich getrennte Firmen sind nicht Standard und müssen gesondert vereinbart werden.


6. Laufzeit und Kündigung

6.1 Laufzeit

Die Laufzeit richtet sich nach dem gebuchten Tarif. Möglich sind insbesondere:

  • monatliche Laufzeit,
  • jährliche Laufzeit,
  • Testphase,
  • Enterprise-Laufzeit,
  • projektbezogene Sondervereinbarung.

6.2 Ordentliche Kündigung

Der Kunde kann den Vertrag mit der im Tarif oder Angebot angegebenen Frist kündigen. Ohne besondere Vereinbarung sollte für MVP/Beta ein einfacher Kündigungsmechanismus vorgesehen werden.

6.3 Außerordentliche Kündigung

Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Ein wichtiger Grund kann insbesondere vorliegen bei:

  • schwerem oder wiederholtem Zahlungsverzug,
  • Missbrauch der Plattform,
  • Sicherheitsverletzungen,
  • rechtswidrigen Inhalten,
  • Verstoß gegen Nutzungsbeschränkungen,
  • Umgehung von Zugriffskontrollen,
  • Angriffen auf Infrastruktur,
  • Nutzung für fremde Daten ohne Berechtigung,
  • wiederholter Verletzung wesentlicher Vertragspflichten.

6.4 Folgen der Kündigung

Nach Vertragsende kann Kontorio den Zugang einschränken oder beenden. Der Kunde sollte vor Vertragsende Daten exportieren.

Kontorio kann für eine angemessene Übergangszeit Export- oder Lesefunktionen bereitstellen. Gesetzliche Aufbewahrungspflichten des Kunden bleiben unberührt.

6.5 Datenlöschung nach Vertragsende

Nach Vertragsende werden Daten nach Maßgabe der Datenschutzerklärung, AVV, gesetzlichen Pflichten, Sicherheitsanforderungen und Backup-Zyklen gelöscht, anonymisiert oder gesperrt.

Soweit Kontorio als Auftragsverarbeiter handelt, gelten die Lösch- und Rückgaberegeln der AVV.


7. Verfügbarkeit, Wartung und Betrieb

7.1 Verfügbarkeit

Kontorio bemüht sich um eine hohe Verfügbarkeit der Plattform. Eine konkrete garantierte Verfügbarkeit besteht nur, wenn sie ausdrücklich im Tarif, SLA oder Individualvertrag vereinbart ist.

7.2 Wartung

Kontorio kann Wartungsarbeiten durchführen, insbesondere für:

  • Sicherheitsupdates,
  • Datenbankmigrationen,
  • Infrastrukturänderungen,
  • Providerwechsel,
  • Bugfixes,
  • Modulupdates,
  • gesetzliche Anpassungen.

Soweit möglich, werden planbare Wartungen vorab angekündigt. Bei dringenden Sicherheitsmaßnahmen kann Kontorio sofort handeln.

7.3 Abhängigkeit von Drittanbietern

Kontorio nutzt externe Anbieter für Betrieb, Hosting, Storage, E-Mail, KI/OCR, Monitoring, Zahlungsabwicklung, Banking oder andere Dienste. Störungen bei Drittanbietern können die Plattform beeinträchtigen.

Kontorio haftet nicht für Drittanbieter-Störungen, soweit diese außerhalb des Verantwortungsbereichs von Kontorio liegen und Kontorio angemessene Sorgfalt bei Auswahl, Integration und Betrieb einhält.

7.4 Backups und Wiederherstellung

Kontorio kann Backup- und Restore-Prozesse einsetzen. Backups dienen dem Plattformbetrieb und sind kein Ersatz für eigene Export-, Archivierungs- oder Sicherungspflichten des Kunden.

Der Kunde bleibt dafür verantwortlich, erforderliche Daten und Auswertungen entsprechend den eigenen gesetzlichen Pflichten zu exportieren und aufzubewahren, soweit Kontorio nicht ausdrücklich eine bestimmte Archivleistung übernimmt.

7.5 Systembedingte Ausfälle

Dem Kunden ist bekannt, dass eine cloudbasierte Softwareplattform systembedingt nicht jederzeit vollständig störungsfrei verfügbar sein kann. Einschränkungen können insbesondere entstehen durch:

  • Wartung, Updates, Sicherheitsmaßnahmen oder Migrationen,
  • Fehler in Anwendung, Datenbank, Queue, Storage, E-Mail-Verarbeitung, KI-/OCR-Verarbeitung oder Drittintegrationen,
  • Störungen bei Vercel, Hetzner, Neon/PostgreSQL, Redis/BullMQ, AWS S3, Resend, OpenAI, Sentry, Zahlungsanbietern, Banking-Providern oder sonstigen eingebundenen Diensten,
  • Internet-, DNS-, Browser-, Endgeräte- oder Netzprobleme beim Kunden,
  • Missbrauchsabwehr, Rate Limits, DDoS-Schutz, Sperrmaßnahmen oder Sicherheitsvorfälle,
  • höhere Gewalt, behördliche Maßnahmen, Stromausfälle, großflächige Providerstörungen oder sonstige Ereignisse außerhalb des Einflussbereichs von Kontorio.

Kontorio übernimmt ohne ausdrückliche SLA-Vereinbarung keine Garantie für unterbrechungsfreie, jederzeitige oder fehlerfreie Verfügbarkeit. Kontorio wird angemessene Maßnahmen treffen, um Störungen zu vermeiden, zu erkennen, zu begrenzen und nach Möglichkeit zu beheben.

7.6 Keine Fristenverlagerung auf die Plattform

Der Kunde darf gesetzliche, steuerliche, handelsrechtliche, lohnbezogene oder vertragliche Fristen nicht allein auf die Verfügbarkeit oder rechtzeitige Verarbeitung durch Kontorio stützen.

Insbesondere gilt:

  • Belege, Exporte, UStVA-/EÜR-/DATEV-/ELSTER-nahe Daten und steuerlich relevante Auswertungen müssen rechtzeitig vor Fristablauf geprüft werden.
  • OCR-, KI-, Banking-, E-Mail-Import-, Export- oder Worker-Jobs können verzögert sein oder fehlschlagen.
  • Last-Minute-Verarbeitung kurz vor Ablauf einer Steuer-, Melde- oder Zahlungsfrist erfolgt auf Risiko des Kunden.
  • Kontorio übernimmt keine Haftung für Fristversäumnisse, soweit sie auf verspäteter Nutzung, fehlender Mitwirkung, ungeprüften Daten, Drittanbieterproblemen oder nicht rechtzeitig eingeplanter fachlicher Prüfung beruhen.

Praktisch gesagt: Wer am letzten Abend vor der Frist erst den Schuhkarton hochlädt, baut kein Softwareproblem, sondern ein Organisationsproblem.

7.7 Geplante und ungeplante Wartung

Kontorio kann planbare Wartungsfenster nutzen. Soweit möglich, werden solche Wartungen angekündigt. Bei dringenden Sicherheitsupdates, kritischen Fehlern, Datenbankmigrationen oder Providermaßnahmen kann Kontorio auch kurzfristig oder ohne Vorankündigung handeln.

Geplante Wartung kann insbesondere betreffen:

  • API, Portal oder Admin,
  • Datenbankmigrationen,
  • Queue-/Worker-Änderungen,
  • Storage- oder Downloadfunktionen,
  • E-Mail-Import,
  • OCR-/KI-Verarbeitung,
  • Banking-Provider oder Zahlungsanbieter,
  • Sicherheitsupdates und Zertifikate.

Ungeplante Störungen werden nach Priorität bearbeitet. Eine Mitteilung über eine Störung stellt kein Anerkenntnis einer Rechtspflichtverletzung oder Haftung dar.

7.8 SLA nur bei ausdrücklicher Vereinbarung

Eine bestimmte Mindestverfügbarkeit, garantierte Reaktionszeit, Entstörungszeit, Servicegutschrift oder Vertragsstrafe gilt nur, wenn sie ausdrücklich im Tarif, Angebot, SLA oder Individualvertrag vereinbart ist.

Ohne ausdrückliches SLA gilt:

  • keine garantierte 24/7-Verfügbarkeit,
  • keine garantierte Entstörungszeit,
  • keine automatische Gutschrift bei Ausfall,
  • keine Pflicht zu telefonischem Notfallsupport,
  • keine Übernahme von Steuer-, Abgabe-, Zahlungs- oder Meldefristen.

Für Enterprise-Kunden können abweichende Service-Level individuell vereinbart werden.

7.9 Ausschlüsse bei Verfügbarkeit und SLA

Verfügbarkeits- oder SLA-Zusagen erfassen, soweit nichts anderes vereinbart ist, nicht:

  • angekündigte Wartung,
  • Notfallwartung aus Sicherheitsgründen,
  • Störungen außerhalb des Verantwortungsbereichs von Kontorio,
  • Ausfälle von Internet, DNS, Browsern, Endgeräten, lokalen Netzwerken oder kundenseitigen Systemen,
  • Fehler durch falsche Bedienung oder falsche Kundendaten,
  • gesperrte Zugänge wegen Zahlungsverzug, Missbrauch oder Sicherheitsverdacht,
  • Beta-, Preview-, Test- oder experimentelle Funktionen,
  • Verzögerungen bei Drittanbietern,
  • gesetzliche oder behördliche Einschränkungen,
  • höhere Gewalt.

7.10 Technische Priorisierung und Wiederherstellung

Bei Störungen kann Kontorio technische Maßnahmen priorisieren, insbesondere:

  • Sicherung der Datenintegrität vor Komfortfunktionen,
  • Wiederherstellung von Login/API vor nachgelagerten Auswertungen,
  • Schutz der Plattform vor Einzelkundenjobs mit hoher Last,
  • Stoppen, Wiederholen oder Zurückstellen von Worker-Jobs,
  • temporäres Deaktivieren einzelner Integrationen,
  • Sperrung verdächtiger Uploads, E-Mails oder API-Aufrufe.

Das Ziel ist nicht, jeden Job stur weiterlaufen zu lassen, sondern Daten sauber zu halten. Buchhaltung mag keine Heldenaktionen im Maschinenraum.


8. Kundendaten, Inhalte und Nutzungsrechte

8.1 Kundendaten

Kundendaten sind alle Daten, die der Kunde oder dessen Nutzer in Kontorio hochladen, erfassen, importieren, erzeugen oder verarbeiten lassen. Dazu gehören insbesondere:

  • Firmendaten,
  • Nutzerinformationen,
  • Belege,
  • Rechnungen,
  • Verträge,
  • E-Mails,
  • Buchungsdaten,
  • Banktransaktionen,
  • Zahlungsinformationen,
  • Kommentare,
  • Auswertungen,
  • Exportdaten,
  • Steuerberaterkommunikation,
  • Dokumentenmetadaten.

8.2 Eigentum an Kundendaten

Kundendaten bleiben Daten des Kunden. Kontorio erhält nur die Rechte, die erforderlich sind, um die Plattform bereitzustellen, Daten zu verarbeiten, zu speichern, zu sichern, anzuzeigen, zu analysieren, zu exportieren und Support zu leisten.

8.3 Rechtmäßigkeit der Kundendaten

Der Kunde ist verantwortlich dafür, dass er zur Verarbeitung der Kundendaten berechtigt ist. Dies gilt insbesondere für:

  • personenbezogene Daten,
  • Beschäftigtendaten,
  • Bankdaten,
  • Steuerdaten,
  • Gesundheitsdaten,
  • Lohndaten,
  • Daten Dritter,
  • Geschäftsgeheimnisse,
  • berufsrechtlich geschützte Informationen.

8.4 Verbotene Inhalte und Nutzung

Der Kunde darf Kontorio nicht nutzen für:

  • rechtswidrige Inhalte,
  • Malware,
  • Spam,
  • Phishing,
  • Umgehung von Sicherheitsmaßnahmen,
  • Angriffe auf Systeme,
  • Verarbeitung fremder Daten ohne Berechtigung,
  • Verletzung von Berufsgeheimnissen ohne Rechtsgrundlage,
  • missbräuchliche Massenimporte,
  • automatisierte Überlastung,
  • Reverse Engineering,
  • Training oder Benchmarking konkurrierender Systeme ohne Erlaubnis,
  • andere vertragswidrige Zwecke.

8.5 Nutzungsrechte an Software

Kontorio räumt dem Kunden für die Vertragslaufzeit ein einfaches, nicht ausschließliches, nicht übertragbares Recht ein, die Plattform im gebuchten Umfang zu nutzen.

Der Kunde darf die Software nicht kopieren, dekompilieren, weiterverkaufen, vermieten, unterlizenzieren oder Dritten außerhalb der vertraglich vorgesehenen Nutzung zugänglich machen.


9. Belege, Dokumente und Archivfunktionen

9.1 Belegupload

Kunden können Belege und Dokumente über die Plattform hochladen, soweit die Funktion verfügbar ist. Kontorio kann Dateitypen, Dateigrößen, Anzahl der Dateien, Uploadwege und Sicherheitsprüfungen beschränken.

9.2 Speicherung

Belegoriginale werden nach dem technischen Konzept nicht dauerhaft auf der Hetzner-Serverplatte gespeichert, sondern in einem privaten Objekt-Speicher abgelegt. Metadaten, Status und Verknüpfungen werden in der Datenbank gespeichert.

9.3 Versionierung

Kontorio kann Dokumentversionen führen. Neue Dateien, Korrekturen oder Ersatzbelege können als neue Version gespeichert werden. Originale sollen nicht still überschrieben werden.

9.4 Hash und Deduplizierung

Kontorio kann Hashwerte, Metadaten und Vergleichslogiken nutzen, um Dubletten zu erkennen. Eine Dublette wird nicht zwingend automatisch gelöscht. Sie kann als Verdachtsfall markiert werden.

9.5 Kein vollständiger Archivierungsersatz ohne Vereinbarung

Soweit nicht ausdrücklich vereinbart, schuldet Kontorio keine vollständige rechtsverbindliche Archivierungsleistung. Kontorio kann GoBD-orientierte Funktionen bereitstellen, ersetzt aber nicht:

  • Prüfung der Vollständigkeit,
  • Verfahrensdokumentation des Kunden,
  • steuerliche Ordnungsmäßigkeit,
  • fachliche Kontierung,
  • gesetzliche Aufbewahrungsentscheidung,
  • endgültige Freigabe durch Kunde oder Steuerberater.

9.6 E-Rechnung und strukturierte Daten

Soweit Kontorio E-Rechnungen, ZUGFeRD, XRechnung oder andere strukturierte Formate verarbeitet, können strukturierte Daten und ggf. bildhafte Bestandteile unterschiedlich behandelt werden. Die endgültige Aufbewahrungspflicht hängt vom Format, Prozess und gesetzlichen Stand ab.


10. Belegimport per E-Mail

10.1 Funktion

Kontorio kann je Firma eindeutige E-Mail-Adressen für den Belegimport bereitstellen. E-Mails an diese Adressen können durch Kontorio verarbeitet und der jeweiligen Beleg-Inbox zugeordnet werden.

10.2 Mandantenspezifische Adresse

Die Zuordnung erfolgt über eine eindeutige E-Mail-Adresse je Mailbox/Tenant. Kontorio verwendet keine gemeinsame Sammeladresse für alle Kunden als Standard.

10.3 Verantwortung des Kunden

Der Kunde ist verantwortlich dafür, die Importadresse nur an berechtigte Absender weiterzugeben und eingehende Dokumente zu prüfen.

10.4 Sicherheitsprüfungen

Kontorio kann eingehende E-Mails und Anhänge prüfen, insbesondere auf:

  • bekannte Mailbox,
  • erlaubte Absender,
  • Dateityp,
  • Dateigröße,
  • Anzahl Anhänge,
  • Malware-Verdacht,
  • Dubletten,
  • Mehrdeutigkeit,
  • fehlende Anhänge,
  • unbekannte Empfängeradresse.

10.5 Quarantäne

E-Mails oder Anhänge können in Quarantäne gestellt werden, wenn sie nicht eindeutig zugeordnet werden können, sicherheitsrelevant sind oder gegen Regeln verstoßen.

10.6 Keine automatische Buchung aus E-Mail

Per E-Mail eingehende Belege werden nicht automatisch verbindlich gebucht. Der Workflow lautet:

E-Mail-Eingang → Zuordnung → Sicherheitsprüfung → Speicherung → OCR/KI → Vorschlag → Prüfung → Freigabe


11. OCR, KI und Automatisierung

11.1 Zweck von OCR und KI

Kontorio kann OCR, KI, Regeln und Automatisierung einsetzen, um:

  • Beleginhalte zu extrahieren,
  • Lieferanten zu erkennen,
  • Beträge zu erkennen,
  • Rechnungsnummern zu erkennen,
  • Umsatzsteuerbeträge vorzuschlagen,
  • Kategorien vorzuschlagen,
  • Buchungsvorschläge zu erstellen,
  • Dubletten oder Auffälligkeiten zu markieren,
  • fehlende Belege zu erkennen,
  • Matching zwischen Zahlung und Beleg vorzuschlagen,
  • Erklärungen oder Hinweise anzuzeigen.

11.2 Nur Assistenz, keine finale Entscheidung

OCR- und KI-Ergebnisse sind Vorschläge. Sie können falsch, unvollständig oder missverständlich sein.

Der Kunde ist verpflichtet, Vorschläge zu prüfen, bevor er sie verwendet, freigibt, exportiert, an Steuerberater übergibt oder steuerlich nutzt.

11.3 Keine autonome Buchhaltung

Kontorio führt keine autonome Buchhaltung ohne menschliche Prüfung durch, soweit nicht ausdrücklich in einem Modul anders beschrieben und rechtlich/fachlich geprüft.

Insbesondere gilt:

  • keine automatische verbindliche Buchung ohne Freigabe,
  • keine automatische Steuererklärung,
  • keine automatische verbindliche UStVA-Abgabe,
  • keine automatische Lohnabrechnung,
  • keine automatische DATEV-Übergabe ohne Prüfung,
  • keine rechtliche oder steuerliche Verbindlichkeit von KI-Ausgaben.

11.4 Fehler und Unsicherheiten

Kontorio kann Konfidenzwerte, Warnungen, Review-Status oder Risikohinweise anzeigen. Fehlen solche Hinweise, bedeutet das nicht, dass ein Ergebnis sicher richtig ist.

11.5 Datenminimierung bei KI

Kontorio kann technische Maßnahmen einsetzen, um KI-Payloads zu minimieren. Dazu gehören:

  • strukturierte Felder statt Rohbeleg,
  • gekürzte OCR-Texte,
  • keine vollständigen Kontoauszüge,
  • nur relevante Transaktionskandidaten,
  • Maskierung oder Pseudonymisierung, soweit möglich,
  • Mandantenkontext nur soweit erforderlich.

11.6 Anbieterwechsel

Kontorio kann OCR- oder KI-Anbieter wechseln, sofern Datenschutz, Sicherheit, Leistungsbeschreibung und Vertragsgrundlagen eingehalten werden. Wesentliche Änderungen werden dokumentiert und bei Bedarf mitgeteilt.

11.7 Keine Trainingszusage ohne Anbieterprüfung

Kontorio sollte nur dann zusagen, dass Kundendaten nicht zum Training externer Modelle verwendet werden, wenn diese Zusage durch Anbieterbedingungen, Vertrag, Konfiguration und Dokumentation belastbar ist.

11.8 KI kann Fehler machen

KI- und OCR-Systeme können Fehler machen. Dies gilt auch dann, wenn ein Ergebnis sprachlich überzeugend, optisch sauber, fachlich plausibel oder mit hoher Konfidenz angezeigt wird.

Mögliche Fehler sind insbesondere:

  • falsche Erkennung von Beträgen, Steuersätzen, IBAN, Rechnungsnummern, Leistungsdaten oder Lieferanten,
  • Verwechslung von Netto-, Brutto- und Steuerbeträgen,
  • falsche Zuordnung von Eingangs- und Ausgangsbelegen,
  • falsche Annahmen zu Leistungsort, Land, Reverse Charge, innergemeinschaftlichem Erwerb oder Kleinunternehmerregelung,
  • falsche Kategorien, Konten, Steuerschlüssel oder Buchungsvorschläge,
  • Dubletten, die nicht erkannt werden,
  • fehlende Belege, die nicht erkannt werden,
  • unvollständige OCR-Texte,
  • falsche Zusammenfassungen,
  • plausibel klingende, aber falsche Begründungen.

Der Kunde darf KI-/OCR-Ergebnisse daher nicht ungeprüft als fachlich richtig behandeln.

11.9 Halluzinationen und unbegründete Annahmen

KI-Systeme können Inhalte erzeugen, die nicht aus dem Beleg, der Transaktion, den Stammdaten oder der Regelbasis folgen. Solche Ergebnisse können wie eine sichere Aussage wirken, obwohl sie nur eine maschinelle Annahme sind.

Kontorio kann technische Maßnahmen gegen solche Fehler einsetzen, etwa strukturierte Ausgabeformate, Validierung, Regelprüfungen, Konfidenzwerte und Review-Queues. Diese Maßnahmen reduzieren Risiken, beseitigen sie aber nicht vollständig.

11.10 OCR ist keine Sichtprüfung

OCR ersetzt keine Sichtprüfung des Originalbelegs. Besonders prüfpflichtig sind:

  • Betrag,
  • Umsatzsteuer,
  • Rechnungsdatum,
  • Leistungsdatum,
  • Lieferant/Kunde,
  • Zahlungsstatus,
  • Rechnungsnummer,
  • Pflichtangaben,
  • Auslandsbezug,
  • Skonto, Rabatte, Gutschriften,
  • Teilzahlungen,
  • Mischbelege und Splitbuchungen.

Wenn Originalbeleg und extrahierte Daten voneinander abweichen, ist der Originalbeleg maßgeblich, bis der Kunde oder eine berechtigte Fachperson die Daten korrigiert.

11.11 Automatisierungsregeln sind keine Steuerentscheidung

Auch wiederkehrende Regeln, Lieferantenregeln, Matching-Regeln oder Buchungsregeln können in Einzelfällen falsch greifen. Der Kunde muss insbesondere prüfen, ob ein wiederkehrender Vorgang tatsächlich gleich geblieben ist.

Beispiele:

  • gleicher Lieferant, aber andere Leistung,
  • gleiche Bankabbuchung, aber geänderter Steuersatz,
  • Abo mit privatem Anteil,
  • Rechnung mit EU-/Drittlandbezug,
  • gemischter Warenkorb,
  • Gutschrift statt Rechnung,
  • Skonto oder Teilzahlung,
  • Anlagegut statt Sofortaufwand.

11.12 Menschliche Prüfung und Freigabe

Kontorio kann technische Freigabeschritte vorsehen. Eine Freigabe durch den Kunden, dessen Mitarbeiter, Buchhalter oder Steuerberater bedeutet, dass der Freigebende die Verantwortung für die fachliche Verwendung im jeweiligen Kontext übernimmt, soweit gesetzlich zulässig.

Kontorio sollte in kritischen Bereichen In-App-Hinweise anzeigen, zum Beispiel:

„Dieser Buchungsvorschlag wurde automatisch erzeugt. Bitte prüfe Beleg, Betrag, Steuer, Konto und Buchungstext vor der Freigabe.“

„KI-/OCR-Ergebnisse können fehlerhaft sein. Verwende sie nicht ungeprüft für Steuererklärungen, Meldungen oder Exporte.“

„Bei Unsicherheit bitte Steuerberater oder qualifizierte Buchhaltung einbeziehen.“

11.13 Keine Pflicht zur Nutzung von KI, soweit abschaltbar

Soweit Kontorio Konfigurationsmöglichkeiten anbietet, kann der Kunde KI-/OCR-Funktionen deaktivieren, einschränken oder nur für bestimmte Workflows nutzen. Einzelheiten richten sich nach Produktstand, Tarif und technischer Umsetzung.

11.14 Modell-, Prompt- und Regeländerungen

KI-Modelle, Prompts, OCR-Anbieter und Regelversionen können sich ändern. Dadurch können Ergebnisse bei ähnlichen Belegen unterschiedlich ausfallen. Kontorio kann Modell-, Prompt-, Provider- und Regelversionen protokollieren, um Nachvollziehbarkeit zu ermöglichen.

11.15 Kein blindes Lernen aus Kundendaten

Kontorio sollte Kundendaten nicht ohne Rechtsgrundlage, Vertragsgrundlage und transparente Information zum Training eigener oder fremder Modelle verwenden. Soweit externe KI-Anbieter eingesetzt werden, gelten deren DPA-/AVV-, Datenschutz- und Produktbedingungen in der jeweils geprüften Fassung.


12. Buchhaltung, Steuerlogik und Accounting Core

12.1 Buchungsvorschläge

Kontorio kann Buchungsvorschläge auf Basis von:

  • Belegdaten,
  • OCR-Ergebnissen,
  • KI-Klassifikation,
  • Regeln,
  • Kontenmapping,
  • Mandanteneinstellungen,
  • Banktransaktionen,
  • bisherigen Freigaben,
  • steuerlichen Basisdaten,

erzeugen.

12.2 Prüfungspflicht

Der Kunde muss Buchungsvorschläge prüfen. Das gilt besonders bei:

  • Umsatzsteuer,
  • Vorsteuer,
  • Reverse Charge,
  • innergemeinschaftlichem Erwerb,
  • Kleinunternehmerregelung,
  • Auslandsbezug,
  • Bewirtung,
  • Reisekosten,
  • Fahrzeugkosten,
  • Anlagen,
  • Lohnbezug,
  • gemischter Nutzung,
  • privat/betrieblicher Abgrenzung,
  • Sonderfällen.

12.3 Kontenrahmen

Kontorio kann SKR03-/SKR04-kompatible oder daran orientierte Kontenlogiken bereitstellen. Soweit keine Lizenz oder offizielle Partnerschaft besteht, sollte Kontorio nicht behaupten, vollständige DATEV-Kontenrahmen unverändert zu integrieren.

Saubere Formulierungen:

  • „SKR03-/SKR04-orientiert“
  • „DATEV-kompatibler Export“
  • „Kontorio-Kategorien mit Kontenmapping“
  • „steuerberaterfreundliche Kontenlogik“

Nicht sauber ohne gesonderte Prüfung:

  • „DATEV-Kontenrahmen vollständig integriert“
  • „DATEV-zertifiziert“
  • „automatisch steuerlich korrekt“

12.4 Steuerregeln

Kontorio kann Steuerregeln und Mappings bereitstellen. Diese müssen versioniert, geprüft und bei gesetzlichen Änderungen angepasst werden.

Der Kunde bleibt verantwortlich für die Prüfung, ob die jeweilige Regel im konkreten Fall passt.

12.5 Perioden und Festschreibung

Soweit Kontorio Perioden, Abschlüsse, Festschreibungen oder Exporte unterstützt, können nach Freigabe bestimmte Änderungen eingeschränkt, versioniert oder nur mit Korrekturbuchungen möglich sein.

Der genaue Funktionsumfang muss in der Produktdokumentation beschrieben werden.

12.6 Export

Kontorio kann Exporte bereitstellen, etwa für:

  • CSV,
  • DATEV-orientierte Buchungsstapel,
  • Belegpakete,
  • Steuerberaterdaten,
  • Auswertungen,
  • Archivexporte.

Der Kunde muss Exporte vor Weitergabe prüfen. Kontorio garantiert ohne gesonderte Vereinbarung keine Annahme durch bestimmte Drittsysteme.

12.7 Fehlbuchungen und Korrekturweg

Buchungsvorschläge, automatische Regeln und bestätigte Buchungen können fachlich falsch sein, wenn Ausgangsdaten, OCR-Ergebnisse, KI-Vorschläge, Kundeneinstellungen, Steuerregeln oder Freigaben fehlerhaft oder unvollständig sind.

Kontorio kann Korrekturfunktionen bereitstellen, zum Beispiel:

  • Änderung eines Buchungsvorschlags vor Freigabe,
  • erneute Prüfung,
  • Status „zu prüfen“,
  • Storno- oder Korrekturbuchung,
  • Notiz oder Kommentar,
  • Steuerberaterfreigabe,
  • Exportausschluss,
  • Periodensperre mit kontrollierter Korrektur.

Die Möglichkeit einer späteren Korrektur entbindet den Kunden nicht von der Pflicht zur vorherigen Prüfung. Gerade vor DATEV-Export, UStVA-/EÜR-Auswertung, Steuerberaterübergabe, Monatsabschluss oder Jahresabschluss muss der Kunde oder eine qualifizierte Fachperson prüfen, ob die Daten fachlich passen.

12.8 Steuerberater- und Buchhalterprüfung

Kontorio ist so zu verstehen, dass die Plattform Belege, Zahlungen, Vorschläge und Exporte vorbereitet. Sie ersetzt nicht die Prüfung durch Steuerberater, Buchhalter, Bilanzbuchhalter oder sonstige qualifizierte Personen, soweit eine solche Prüfung fachlich, rechtlich oder organisatorisch erforderlich ist.

Empfohlene Praxis:

  • normale Belege: Prüfung durch berechtigte Nutzer,
  • unklare Belege: Prüfung durch Buchhaltung oder Steuerberater,
  • steuerliche Sonderfälle: Steuerberaterprüfung,
  • Export an Steuerberater/DATEV: fachliche Plausibilitätsprüfung,
  • UStVA-/EÜR-/Jahresabschlussdaten: Prüfung vor Verwendung.

12.9 Keine Haftung für ungeprüfte Übernahme

Kontorio haftet nicht für fachliche Fehler, steuerliche Nachteile, falsche Exporte, falsche Meldungen, falsche Auswertungen oder Fristversäumnisse, soweit diese darauf beruhen, dass der Kunde oder seine Nutzer:

  • Vorschläge ungeprüft übernehmen,
  • Warnungen ignorieren,
  • falsche Stammdaten verwenden,
  • fehlende Belege nicht nachreichen,
  • Steuerberaterprüfung unterlassen,
  • Exporte ungeprüft weitergeben,
  • Fristen nicht selbst überwachen,
  • gesetzliche Änderungen nicht fachlich prüfen lassen,
  • Berechtigungen falsch vergeben.

Dies gilt nur, soweit ein solcher Haftungsausschluss gesetzlich zulässig ist und keine zwingende Haftung von Kontorio besteht.

12.10 Statuslogik für Buchungen

Kontorio sollte fachliche Status klar unterscheiden, etwa:

  • importiert,
  • OCR läuft,
  • OCR fehlgeschlagen,
  • KI vorgeschlagen,
  • zu prüfen,
  • geprüft,
  • freigegeben,
  • gebucht,
  • festgeschrieben,
  • exportiert,
  • korrigiert,
  • storniert,
  • gesperrt.

Eine technische Verarbeitung oder ein automatisch erzeugter Vorschlag ist nicht mit einer fachlichen Freigabe gleichzusetzen.

12.11 Sonderfälle sind prüfpflichtig

Besonders risikobehaftete Fälle dürfen nicht still automatisch als Standardfall behandelt werden. Dazu gehören insbesondere:

  • Reverse Charge,
  • innergemeinschaftlicher Erwerb,
  • EU-/Drittlandleistungen,
  • steuerfreie Umsätze,
  • 7 %-Sonderfälle,
  • gemischte Steuersätze,
  • Bewirtung,
  • Geschenke,
  • Reisekosten,
  • Firmenwagen,
  • private Mitnutzung,
  • Anlagegüter,
  • Anzahlungen,
  • Gutschriften,
  • Stornos,
  • Skonto,
  • PayPal-/Stripe-/Marktplatzgebühren,
  • Lohn-/Personalbezug,
  • Bau-/Handwerker-Sonderfälle,
  • Kasse/TSE,
  • Vereine und gemeinnützige Zwecke.

13. Banking und Zahlungsdaten

13.1 Banking über Drittanbieter

Soweit Kontorio Bankingfunktionen anbietet, können Kontenabruf, Transaktionen, Salden oder Zahlungsinformationen über regulierte Drittanbieter erfolgen.

Der genaue Anbieter, Funktionsumfang, Consent-Prozess, Datenumfang und Verantwortlichkeitsverteilung müssen in Datenschutzerklärung, AVV und ggf. Banking-Zusatzbedingungen beschrieben werden.

13.2 Keine Bank

Kontorio ist keine Bank, kein Zahlungsinstitut und kein Steuerberater. Zahlungs- oder Bankingfunktionen erfolgen nur im Rahmen des jeweiligen Moduls und über geeignete Drittanbieter.

13.3 Prüfung von Bankdaten

Automatische Zuordnungen zwischen Belegen und Banktransaktionen sind Vorschläge. Der Kunde muss prüfen, ob Zahlung, Beleg, Betrag, Datum, Empfänger, Konto und steuerliche Behandlung korrekt sind.

13.4 Zahlungsfunktionen

Zahlungsinitiation, Sammelüberweisung oder Freigabeprozesse sind besonders risikoreich und sollten erst nach gesonderter Modulbeschreibung, Sicherheitskonzept und Zusatzbedingungen angeboten werden.


14. DATEV, ELSTER, UStVA, EÜR, Bilanz und Lohn

14.1 DATEV

Kontorio kann DATEV-orientierte Exporte oder Schnittstellen vorbereiten. Ohne gesonderte Freigabe darf nicht der Eindruck entstehen, Kontorio sei offiziell DATEV-zertifiziert oder DATEV-Partner, falls dies nicht tatsächlich zutrifft.

14.2 ELSTER und Steuerübermittlungen

Soweit Kontorio UStVA-, EÜR-, ZM-, E-Bilanz- oder ELSTER-nahe Funktionen anbietet, können diese zunächst nur vorbereitenden Charakter haben.

Eine direkte Übermittlung an Behörden darf erst angeboten werden, wenn technische, rechtliche und fachliche Voraussetzungen erfüllt sind.

14.3 Verantwortung für Steuererklärungen und Meldungen

Der Kunde bleibt verantwortlich für:

  • Vollständigkeit,
  • Richtigkeit,
  • Fristen,
  • Plausibilität,
  • gesetzliche Einordnung,
  • Freigabe,
  • Einreichung,
  • Korrektur.

14.4 Lohnmodul

Ein Lohnmodul ist besonders sensibel. Es betrifft Beschäftigtendaten, Sozialversicherung, Lohnsteuer, Meldungen, Fristen und ggf. Berufsrecht. Lohnfunktionen müssen gesondert beschrieben und rechtlich geprüft werden.

Baulohn und komplexe Branchen-Sonderfälle sollten nicht still mitverkauft werden, wenn sie nicht implementiert und geprüft sind.


15. Datenschutz, AVV und Unterauftragsverarbeiter

15.1 Datenschutzdokumente

Die Verarbeitung personenbezogener Daten wird in separaten Datenschutzinformationen beschrieben. Diese umfassen mindestens:

  • Datenschutzerklärung Website,
  • Datenschutzerklärung App / Portal,
  • AVV,
  • TOM-Anlage,
  • Unterauftragsverarbeiterliste.

15.2 Rollen nach DSGVO

Je nach Verarbeitung kann Kontorio handeln als:

  • eigener Verantwortlicher für Website, Account, Abrechnung, Sicherheit und eigene Geschäftsprozesse,
  • Auftragsverarbeiter für Belege, Buchhaltungsdaten, Bankdaten, Dokumente und Mandantendaten des Kunden,
  • ggf. gemeinsam oder getrennt Verantwortlicher in Sonderfällen nur nach gesonderter Prüfung.

15.3 AVV

Soweit Kontorio personenbezogene Daten im Auftrag des Kunden verarbeitet, wird ein Vertrag zur Auftragsverarbeitung geschlossen. Die AVV regelt insbesondere:

  • Gegenstand und Dauer,
  • Art und Zweck der Verarbeitung,
  • Datenarten,
  • Betroffenengruppen,
  • Rechte und Pflichten des Kunden,
  • Weisungen,
  • Vertraulichkeit,
  • TOMs,
  • Unterauftragsverarbeiter,
  • Unterstützung bei Betroffenenrechten,
  • Datenschutzverletzungen,
  • Rückgabe und Löschung.

15.4 Unterauftragsverarbeiter

Kontorio kann Unterauftragsverarbeiter einsetzen, insbesondere für:

  • Hosting,
  • Frontend-Auslieferung,
  • Datenbank,
  • Objekt-Speicher,
  • E-Mail,
  • KI/OCR,
  • Monitoring,
  • Zahlungsabwicklung,
  • Banking,
  • Support,
  • Fehleranalyse.

Die konkrete Liste muss separat geführt und aktuell gehalten werden.

15.5 Drittlandtransfer

Soweit Daten in Drittländer übermittelt werden oder Anbieter mit Drittlandbezug eingesetzt werden, sind geeignete Garantien, Risikoprüfungen und Informationen erforderlich.


16. Support, Adminzugriff und Audit

16.1 Support

Kontorio kann Support per E-Mail, Ticket, Chat, Adminbereich oder anderem Kanal anbieten. Umfang und Reaktionszeiten richten sich nach Tarif oder Vereinbarung.

16.2 Kein stiller Zugriff

Interne Support- oder Adminzugriffe auf Kundendaten erfolgen nicht als stiller Normalfall. Zugriff auf sensible Mandantendaten, Beleginhalte oder Buchhaltungsdaten soll nur erfolgen bei:

  • Anfrage des Kunden,
  • technischer Notwendigkeit,
  • Missbrauchs- oder Sicherheitsprüfung,
  • gesetzlicher Pflicht,
  • berechtigtem Supportfall,
  • dokumentierter Freigabe, soweit erforderlich.

16.3 Audit

Kontorio kann relevante Aktionen protokollieren, insbesondere:

  • Login,
  • fehlgeschlagene Logins,
  • Einladungen,
  • Rollenänderungen,
  • Belegupload,
  • Belegimport,
  • Download,
  • Freigaben,
  • Buchungsvorschläge,
  • Exporte,
  • Supportzugriffe,
  • Adminaktionen,
  • Systemjobs,
  • Sicherheitsereignisse.

Audit Logs dienen Sicherheit, Nachvollziehbarkeit, Missbrauchserkennung und Compliance. Sie sind kein Spielzeug und keine Deko.

16.4 Break-Glass

Für Notfälle kann Kontorio ein Break-Glass-Verfahren vorsehen. Dieses muss streng begrenzt, begründet, auditiert und nachträglich überprüft werden.

16.5 Supportgrenzen

Support durch Kontorio ist technischer, produktbezogener und organisatorischer Support zur Nutzung der Plattform. Support umfasst ohne besondere Vereinbarung nicht:

  • Steuerberatung,
  • Rechtsberatung,
  • Lohnsteuerberatung,
  • Sozialversicherungsberatung,
  • Buchhaltungsprüfung im Einzelfall,
  • Abschlussprüfung,
  • Finanzamtskommunikation im Namen des Kunden,
  • verbindliche Kontierungsentscheidung,
  • Prüfung von Steuerbescheiden,
  • Fristenmanagement des Kunden,
  • Datenbereinigung ganzer Buchhaltungen,
  • Prüfung der Verfahrensdokumentation des Kunden.

Support darf Hinweise zur Bedienung geben. Die fachliche Verantwortung bleibt beim Kunden und dessen qualifizierten Beratern.

16.6 Supportkanäle

Kontorio kann Support über verschiedene Kanäle anbieten, insbesondere:

  • E-Mail,
  • Ticketsystem,
  • In-App-Meldungen,
  • Helpcenter,
  • Statusseite,
  • Admin-Diagnose,
  • optional Chat oder Videotermin,
  • optional Enterprise-Support.

Ein Anspruch auf einen bestimmten Supportkanal besteht nur, wenn dieser im Tarif oder Individualvertrag vereinbart ist.

16.7 Priorisierung von Supportfällen

Kontorio kann Supportfälle priorisieren, zum Beispiel:

Priorität Beispiel Zielrichtung
Kritisch Login großflächig nicht möglich, Datenintegrität gefährdet, Sicherheitsvorfall schnellstmögliche technische Prüfung
Hoch Upload, Download, Belegimport, Export oder Banking für mehrere Kunden gestört priorisierte Bearbeitung
Mittel einzelne Funktion fehlerhaft, Workaround möglich normale Bearbeitung
Niedrig Bedienfrage, Verbesserungsvorschlag, nicht dringender Wunsch nach Kapazität

Konkrete Reaktions- oder Lösungszeiten gelten nur bei ausdrücklicher SLA-Vereinbarung.

16.8 Mitwirkungspflichten im Support

Der Kunde muss bei Supportfällen angemessen mitwirken. Dazu gehören insbesondere:

  • genaue Fehlerbeschreibung,
  • betroffene Firma / Tenant,
  • betroffene Beleg-ID, Transaktion, Exportdatei oder Uhrzeit, soweit vorhanden,
  • Screenshots ohne unnötige personenbezogene Daten,
  • Prüfung eigener Internet-/Browser-/Endgeräteprobleme,
  • Benennung eines verantwortlichen Ansprechpartners,
  • rechtzeitige Rückmeldung bei Rückfragen.

Ohne Mitwirkung kann sich Bearbeitung verzögern oder unmöglich sein.

16.9 Supportzugriff auf Kundendaten

Supportzugriff auf Kundendaten soll nach dem Need-to-know-Prinzip erfolgen. Soweit möglich, werden zuerst technische Metadaten, Logs, Statuswerte und Fehlermeldungen geprüft, bevor Beleg- oder Buchhaltungsinhalte sichtbar werden.

Bei Einsicht in sensible Inhalte sollen, soweit technisch umgesetzt, gelten:

  • Freigabe durch berechtigten Nutzer,
  • zeitliche Begrenzung,
  • Zweckbindung,
  • rollenbasierter Zugriff,
  • Protokollierung,
  • nachträgliche Nachvollziehbarkeit.

16.10 Keine Verantwortung für externe Fachberatung

Wenn der Support empfiehlt, einen Steuerberater, Buchhalter oder Rechtsberater einzubeziehen, übernimmt Kontorio dadurch keine Verantwortung für die Beratungsergebnisse dieser Dritten.

16.11 Statuskommunikation

Kontorio kann bei größeren Störungen Statusmeldungen bereitstellen. Statusmeldungen können technische Einschätzungen enthalten und nachträglich aktualisiert werden. Eine erste Störungsmeldung bedeutet nicht automatisch, dass alle Ursachen bereits bekannt sind oder dass Kontorio eine Haftung anerkennt.


17. Pflichten des Kunden

Der Kunde ist verpflichtet:

  1. die Plattform nur rechtmäßig zu nutzen,
  2. korrekte Angaben zu machen,
  3. eigene steuerliche und rechtliche Pflichten zu erfüllen,
  4. Belege und Vorschläge zu prüfen,
  5. Rollen sachgerecht zu vergeben,
  6. Zugangsdaten zu schützen,
  7. unberechtigte Zugriffe zu melden,
  8. eigene Fristen zu überwachen,
  9. Steuerberater oder Fachpersonal einzubinden, soweit erforderlich,
  10. keine rechtswidrigen Inhalte hochzuladen,
  11. keine Sicherheitsmaßnahmen zu umgehen,
  12. Exporte vor Nutzung zu prüfen,
  13. gesetzliche Aufbewahrungs- und Dokumentationspflichten einzuhalten,
  14. erforderliche Verfahrensdokumentation zu führen,
  15. eigene Systeme und Endgeräte angemessen zu sichern.

18. Gewährleistung

18.1 Gesetzliche Mängelrechte

Es gelten die gesetzlichen Mängelrechte, soweit diese AGB oder Individualverträge nichts Wirksames abweichend regeln.

18.2 Softwaretypische Fehler

Dem Kunden ist bekannt, dass komplexe Software nie vollständig fehlerfrei ist. Kontorio bemüht sich um Fehlerbehebung, Sicherheit und Weiterentwicklung.

18.3 Fachliche Ergebnisse

Für fachliche Ergebnisse wie Buchungsvorschläge, Steuerwerte, Matching-Vorschläge, KI-Klassifikationen oder Auswertungen gilt:

  • Sie sind abhängig von Eingabedaten, Konfiguration, Anbieterqualität, Regeln und Nutzerprüfung.
  • Sie müssen vor Verwendung geprüft werden.
  • Sie ersetzen keine Fachberatung.
  • Sie sind ohne ausdrückliche Freigabe nicht verbindlich.

19. Haftung

Anwaltsprüfung zwingend. Haftungsklauseln sind kein Bastelbereich. Hier kann ein falscher Satz später richtig Geld kosten.

19.1 Unbeschränkte Haftung

Kontorio haftet unbeschränkt:

  • bei Vorsatz,
  • bei grober Fahrlässigkeit,
  • bei Verletzung von Leben, Körper oder Gesundheit,
  • nach zwingenden gesetzlichen Haftungsvorschriften,
  • soweit eine Garantie ausdrücklich übernommen wurde.

19.2 Leichte Fahrlässigkeit

Bei leicht fahrlässiger Verletzung wesentlicher Vertragspflichten haftet Kontorio nur auf den vertragstypischen, vorhersehbaren Schaden. Wesentliche Vertragspflichten sind Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf.

19.3 Keine Haftung für fachliche Kundenentscheidungen

Kontorio haftet nicht für Schäden, die daraus entstehen, dass der Kunde:

  • falsche Stammdaten eingibt,
  • Belege nicht prüft,
  • KI-/OCR-Vorschläge ungeprüft übernimmt,
  • Steuerwerte nicht prüfen lässt,
  • Fristen versäumt,
  • unberechtigte Personen einlädt,
  • Zugangsdaten weitergibt,
  • Exporte ungeprüft verwendet,
  • gesetzliche Pflichten nicht erfüllt,
  • ohne erforderliche Fachberatung handelt.

19.4 Drittanbieter

Für Störungen, Fehler oder Ausfälle von Drittanbietern haftet Kontorio nur, soweit Kontorio diese zu vertreten hat. Kontorio schuldet eine angemessene Auswahl, Integration und Überwachung im Rahmen des geschuldeten Leistungsumfangs.

19.5 Datenverlust

Für Datenverlust haftet Kontorio nur nach Maßgabe der allgemeinen Haftungsregeln und nur insoweit, als der Schaden auch bei ordnungsgemäßer Datensicherung durch den Kunden entstanden wäre, soweit dem Kunden eine eigene Sicherung zumutbar und vereinbart war.

19.6 Haftungshöchstgrenze

Eine mögliche Haftungshöchstgrenze sollte nur nach anwaltlicher Prüfung und abhängig vom Tarifmodell eingefügt werden.

Platzhalter: Die Haftung für leicht fahrlässig verursachte Schäden kann der Höhe nach auf [Betrag / Jahresvergütung / Mehrfaches der Monatsgebühr] begrenzt werden, soweit gesetzlich zulässig.

19.7 KI-, OCR- und Buchungsfehler

Kontorio haftet nicht für fachliche Schäden aus KI-, OCR-, Matching-, Regel- oder Buchungsvorschlägen, soweit der Schaden darauf beruht, dass solche Vorschläge vom Kunden oder dessen Nutzern ungeprüft übernommen, trotz Warnhinweis verwendet oder ohne erforderliche Fachprüfung exportiert, gemeldet oder weitergegeben wurden.

Dies gilt insbesondere für:

  • falsch erkannte Beträge,
  • falsche Steuersätze,
  • falsche Kontierung,
  • falsche UStVA-/EÜR-/Auswertungswerte,
  • fehlerhafte Zuordnung von Zahlungen und Belegen,
  • fehlerhafte DATEV-orientierte Exporte,
  • falsche Behandlung von Sonderfällen,
  • nicht erkannte Dubletten oder fehlende Belege.

Zwingende Haftung von Kontorio bleibt unberührt.

19.8 Fristen, Meldungen und Weitergabe an Dritte

Kontorio übernimmt keine Verantwortung für Fristversäumnisse, wenn der Kunde die Plattform nicht rechtzeitig nutzt, Daten nicht rechtzeitig prüft, erforderliche Freigaben nicht erteilt oder Fachberatung nicht rechtzeitig einbindet.

Der Kunde bleibt verantwortlich für die Entscheidung, wann und in welcher Form Daten an Steuerberater, Finanzamt, DATEV, ELSTER, Banken, Sozialversicherungsträger oder sonstige Dritte weitergegeben werden.

19.9 Systemausfälle und Drittanbieterketten

Bei Systemausfällen, Verzögerungen, Queue-Problemen, Providerstörungen oder Wartungen haftet Kontorio nur im Rahmen der gesetzlichen und vertraglich vereinbarten Haftung. Ohne ausdrückliches SLA übernimmt Kontorio keine Garantie, dass bestimmte Jobs, Exporte, OCR-Verarbeitungen, E-Mail-Importe, Banking-Abrufe oder KI-Verarbeitungen zu einem bestimmten Zeitpunkt abgeschlossen sind.

19.10 Mitverschulden und Schadensminderung

Der Kunde muss angemessene Maßnahmen zur Schadensvermeidung und Schadensminderung treffen. Dazu gehören insbesondere:

  • rechtzeitige Prüfung wichtiger Daten,
  • Export vor Fristablauf,
  • Sicherung relevanter Unterlagen,
  • Einbindung von Fachpersonal,
  • Meldung erkannter Fehler,
  • Nichtverwendung erkennbar falscher Ergebnisse,
  • Prüfung von Statusmeldungen und Warnhinweisen.

20. Sperrung und Sicherheitsmaßnahmen

Kontorio kann Zugänge, Funktionen oder einzelne Tenants vorübergehend sperren oder einschränken, wenn:

  • Sicherheitsrisiken bestehen,
  • Zugangsdaten kompromittiert erscheinen,
  • Missbrauch vermutet wird,
  • Zahlungsverzug besteht,
  • gesetzliche Pflichten dies erfordern,
  • technische Integrität gefährdet ist,
  • fremde Rechte verletzt werden,
  • der Kunde gegen wesentliche Pflichten verstößt.

Kontorio berücksichtigt dabei die Interessen des Kunden und wählt, soweit möglich, das mildeste geeignete Mittel.


21. Änderungen und Weiterentwicklung der Plattform

Kontorio darf die Plattform weiterentwickeln, Funktionen ändern, verbessern, ersetzen oder entfernen, soweit dadurch der vertraglich vereinbarte Kernnutzen nicht unzumutbar beeinträchtigt wird.

Bei wesentlichen Änderungen kostenpflichtiger Kernfunktionen informiert Kontorio den Kunden rechtzeitig.

Beta-, Preview- und experimentelle Funktionen können jederzeit geändert oder entfernt werden.


22. Datenexport, Löschung und Aufbewahrung

22.1 Grundsatz

Kontorio verarbeitet unterschiedliche Datenarten mit unterschiedlichen rechtlichen, technischen und fachlichen Anforderungen. Deshalb gibt es nicht „die eine Löschung“, sondern je nach Datenart:

  • sofortige Löschung,
  • Löschung nach Vertragsende,
  • Sperrung,
  • Anonymisierung,
  • Aufbewahrung wegen gesetzlicher Pflichten,
  • Aufbewahrung wegen Nachweis-, Sicherheits- oder Missbrauchsabwehrzwecken,
  • Backup-Retention bis zum Ablauf technischer Sicherungszyklen,
  • Exportmöglichkeit vor endgültiger Löschung.

22.2 Verantwortlichkeit des Kunden für Aufbewahrungspflichten

Der Kunde bleibt für handels-, steuer-, berufs- und organisationsrechtliche Aufbewahrungspflichten verantwortlich. Kontorio kann Archiv-, Export-, Hash-, Versionierungs- und Auditfunktionen bereitstellen, übernimmt aber ohne ausdrückliche Vereinbarung nicht die alleinige Verantwortung dafür, dass alle gesetzlichen Aufbewahrungspflichten des Kunden erfüllt sind.

Der Kunde muss insbesondere prüfen:

  • welche Belege aufzubewahren sind,
  • wie lange Unterlagen aufzubewahren sind,
  • ob Originale, strukturierte E-Rechnungsdaten oder bildhafte Darstellungen aufzubewahren sind,
  • welche Verfahrensdokumentation erforderlich ist,
  • welche Daten vor Kündigung exportiert werden müssen,
  • ob ein Steuerberater oder Fachberater einbezogen werden muss.

22.3 Datenexport vor Vertragsende

Kontorio sollte dem Kunden vor Vertragsende eine angemessene Möglichkeit geben, Daten zu exportieren, soweit dies technisch verfügbar und vertraglich geschuldet ist. Exportierbar können je nach Produktstand sein:

  • Belege und Dokumente,
  • Dokumentenmetadaten,
  • OCR-Ergebnisse,
  • Buchungsvorschläge,
  • Buchungen,
  • Banktransaktionsdaten,
  • Auswertungen,
  • Exporte,
  • Audit-Informationen,
  • Nutzer- und Rolleninformationen,
  • Rechnungs-/Abrechnungsinformationen.

Nicht jeder technische Log-, Debug-, Sicherheits- oder Systemdatensatz muss als Kundenexport bereitgestellt werden.

22.4 Übergangsfrist nach Vertragsende

Nach Vertragsende kann Kontorio eine angemessene Übergangsfrist für Datenexporte bereitstellen. Nach Ablauf dieser Frist kann Kontorio Daten nach Maßgabe von Vertrag, AVV, Datenschutzinformationen, gesetzlichen Pflichten und technischen Löschzyklen löschen, sperren oder anonymisieren.

Die konkrete Frist sollte im Produkt, Tarif oder in der AVV klar angegeben werden. Bis zur finalen juristischen Festlegung gilt als Arbeitsregel:

  • keine sofortige Löschung ohne Exportmöglichkeit, soweit Kundendaten betroffen sind,
  • keine dauerhafte kostenlose Archivierung nach Vertragsende,
  • keine Zusage unbegrenzter Wiederherstellung,
  • keine rückwirkende Umschreibung historischer Rechnungen oder Auditdaten.

22.5 Löschung auf Weisung im Auftragsverarbeitungskontext

Soweit Kontorio personenbezogene Daten im Auftrag verarbeitet, erfolgt Löschung oder Rückgabe nach den Regeln der AVV und nach Weisung des Kunden, sofern keine gesetzliche Pflicht zur weiteren Speicherung entgegensteht.

Kontorio darf die Löschung verweigern oder einschränken, soweit gesetzliche Pflichten, Nachweisinteressen, Sicherheitszwecke, offene Forderungen, Missbrauchsprüfung oder andere rechtlich zulässige Gründe entgegenstehen.

22.6 Backups

Backups dienen der Wiederherstellung der Plattform, nicht der individuellen Archivierung einzelner Kunden. Daten in Backups können nach Löschung im Produktivsystem bis zum Ablauf der jeweiligen Backup-Retention vorhanden bleiben.

Für Backups gilt:

  • keine Bearbeitung im Normalbetrieb,
  • Zugriff nur für Betriebs-, Sicherheits- oder Wiederherstellungszwecke,
  • keine selektive Löschung einzelner Datensätze in jedem Backup, sofern technisch unzumutbar,
  • Überschreibung oder Löschung nach definiertem Backup-Zyklus,
  • Wiederherstellung nur im Rahmen technischer Notwendigkeit.

Wenn Daten aus einem Backup wiederhergestellt werden, müssen bereits gelöschte oder gesperrte Daten erneut geprüft und ggf. wieder gelöscht oder gesperrt werden.

22.7 Audit Logs und Nachweisdaten

Audit Logs, Security Logs, Einwilligungs-/Zustimmungsnachweise, Vertragsversionsnachweise, Adminaktionen, Supportfreigaben und Abrechnungsnachweise können länger gespeichert werden als operative Inhaltsdaten, soweit dies für Nachweis, Sicherheit, Compliance, Missbrauchsabwehr, Rechtsverteidigung oder gesetzliche Pflichten erforderlich ist.

Audit Logs dürfen nicht willkürlich verändert oder gelöscht werden, wenn dadurch Nachvollziehbarkeit, Sicherheit oder GoBD-nahe Anforderungen beeinträchtigt würden.

22.8 Belege und Dokumente

Für Belege und Dokumente gilt:

  • Originaldateien sollen nicht still überschrieben werden.
  • Neue Fassungen sollen als Version oder Ersatzbeleg dokumentiert werden.
  • Löschung kann bei festgeschriebenen, exportierten, geprüften oder aufbewahrungspflichtigen Vorgängen eingeschränkt sein.
  • Der Kunde muss vor Löschung prüfen, ob steuerliche oder handelsrechtliche Aufbewahrungspflichten bestehen.
  • Kontorio kann statt Löschung Status wie „storniert“, „ersetzt“, „gesperrt“ oder „archiviert“ verwenden, wenn dies für Nachvollziehbarkeit erforderlich ist.

22.9 E-Mail-Importe und Quarantäne

Eingehende E-Mails, Anhänge, Inbound-Metadaten und Quarantäneobjekte können abhängig vom Status unterschiedlich behandelt werden:

Status Mögliche Behandlung
eindeutig zugeordnet Speicherung als Beleg/Anhang und Verarbeitung im Tenant
unbekannte Adresse Ablehnung, Quarantäne oder Löschung nach Prüfzeitraum
Malwareverdacht Quarantäne, technische Analyse, Sperrung oder Löschung
zu groß / falscher Typ Ablehnung oder technische Fehlermeldung
Dublettenverdacht Markierung zur Prüfung, nicht zwingend automatische Löschung

E-Mail-Inhalte können personenbezogene Daten Dritter enthalten. Der Kunde ist verantwortlich dafür, Importadressen nur kontrolliert zu verwenden.

22.10 OCR-/KI-Ergebnisse

OCR-Texte, strukturierte Extraktionen, KI-Ausgaben, Konfidenzwerte, Modellversionen, Promptversionen und Review-Entscheidungen können gespeichert werden, soweit dies für Nachvollziehbarkeit, Prüfung, Verbesserung der konkreten Verarbeitung, Fehleranalyse oder Audit erforderlich ist.

Soweit technisch umgesetzt, sollen Rohbelege und vollständige OCR-Volltexte nicht unnötig an externe KI-Systeme weitergegeben werden. Löschung von KI-/OCR-Artefakten richtet sich nach Produktstatus, AVV, Datenschutzinformationen und Speicherfristen.

22.11 Bankdaten und Transaktionen

Bankdaten, Transaktionen, Salden, Consent-Metadaten und Matching-Ergebnisse können nach Deaktivierung einer Bankverbindung weiterhin gespeichert bleiben, soweit sie für Buchhaltung, Nachvollziehbarkeit, Export, Audit oder gesetzliche Pflichten erforderlich sind.

Die Deaktivierung einer Bankverbindung bedeutet nicht automatisch Löschung historischer Buchhaltungsdaten.

22.12 Nutzerkonten, Firmen und Memberships

Bei Löschung oder Deaktivierung eines Nutzerkontos können weiterhin Daten erhalten bleiben, wenn sie einer Firma, einem Audit Log, einer Buchung, einem Beleg, einer Freigabe oder gesetzlichen Nachweispflicht zugeordnet sind.

Beispiele:

  • Name eines Nutzers in einem Audit Log,
  • Freigabehistorie,
  • Einladungshistorie,
  • Supportfreigabe,
  • Buchungsfreigabe,
  • Exportnachweis.

Soweit möglich, können personenbezogene Nutzerinformationen gesperrt, pseudonymisiert oder anonymisiert werden, ohne den fachlichen Nachweis zu zerstören.

22.13 Kündigung, Zahlungsverzug und Datenzugang

Bei Kündigung oder Zahlungsverzug kann der Zugang eingeschränkt werden. Kontorio sollte aber, soweit rechtlich und wirtschaftlich zumutbar, eine Möglichkeit zum Export berechtigter Kundendaten vor endgültiger Löschung bereitstellen.

Ein Zurückbehaltungsrecht wegen offener Forderungen ist anwaltlich zu prüfen und sollte nicht so ausgeübt werden, dass gesetzliche Pflichten des Kunden ohne Not vereitelt werden.

22.14 Löschanfragen und Identitätsprüfung

Kontorio kann vor Datenexport, Löschung oder Übertragung eine Identitäts-, Rollen- und Berechtigungsprüfung verlangen. Besonders kritisch sind:

  • Löschung einer Firma,
  • Übertragung einer Firma,
  • Export aller Belege,
  • Export aller Buchungen,
  • Löschung von Nutzerkonten mit Auditbezug,
  • Löschung nach Datenschutzanfrage,
  • Löschung von Daten mit steuerlicher Aufbewahrungsrelevanz.

22.15 Keine Löschung entgegen gesetzlicher Pflicht

Kontorio darf Daten nicht löschen, wenn eine gesetzliche Pflicht, behördliche Anordnung, rechtliche Verteidigung, Missbrauchsuntersuchung, Sicherheitsnotwendigkeit oder Aufbewahrungspflicht entgegensteht.

22.16 Arbeitsfristen für die technische Umsetzung

Die konkreten Fristen müssen vor Veröffentlichung juristisch und technisch final festgelegt werden. Als interne Planungswerte sind zu prüfen:

Datenart Mögliche Frist / Behandlung Final zu prüfen
aktive Belege während Vertragslaufzeit ja
Belege nach Vertragsende Exportfrist, danach Löschung/Sperrung nach AVV/Vertrag ja
Backups technische Retention, danach Überschreibung ja
Audit Logs längere Speicherung für Nachweis/Sicherheit ja
Security Logs risikobasierte Speicherung ja
E-Mail-Quarantäne kurze Prüf-/Löschfrist ja
OCR-/KI-Artefakte zweckbezogene Speicherung ja
Abrechnungsdaten gesetzliche Aufbewahrung ja
Zustimmungsnachweise Nachweisfrist ja

23. Geheimhaltung

Beide Parteien behandeln vertrauliche Informationen vertraulich. Vertraulich sind insbesondere:

  • Geschäftsgeheimnisse,
  • technische Informationen,
  • Sicherheitskonzepte,
  • Preise und Sonderkonditionen,
  • nicht öffentliche Produktinformationen,
  • Kundendaten,
  • Zugangsdaten,
  • interne Dokumentationen.

Gesetzliche Offenlegungspflichten bleiben unberührt.


24. Referenzen und Marketing

Kontorio darf Namen, Logos oder Referenzen von Kunden nur verwenden, wenn der Kunde ausdrücklich zugestimmt hat, soweit keine andere individuelle Vereinbarung besteht.


25. Kommunikation

Kontorio kann vertragsrelevante Mitteilungen per E-Mail, In-App-Nachricht, Portalhinweis oder an die im Konto hinterlegte Adresse senden.

Der Kunde muss sicherstellen, dass vertragsrelevante E-Mails empfangen werden können.


26. Schlussbestimmungen

26.1 Anwendbares Recht

Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.

26.2 Gerichtsstand

Soweit der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist, ist Gerichtsstand [Sitz des Anbieters einfügen], sofern gesetzlich zulässig.

26.3 Salvatorische Klausel

Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt der Vertrag im Übrigen wirksam. Anstelle der unwirksamen Bestimmung gelten die gesetzlichen Regelungen.

Hinweis: Keine übertrieben kreative salvatorische Klausel. Standard reicht. Wer hier zaubert, fällt manchmal vom Gerüst.

26.4 Vertragssprache

Vertragssprache ist Deutsch.


Teil B: Produkt- und Modulbeschreibung als AGB-Anlage

Anlage 1 – Leistungsbeschreibung Kontorio MVP / Beta

1. Grundsystem

Kontorio stellt bereit:

  • Registrierung,
  • Login,
  • Mandanten-/Firmenanlage,
  • Rollen und Einladungen,
  • Portalzugang,
  • Adminbetrieb,
  • Belegupload,
  • Beleg-Inbox,
  • Belegarchiv,
  • E-Mail-Import,
  • OCR-/KI-Vorbereitung,
  • Audit-Logik,
  • Exporte nach Entwicklungsstand,
  • Supportfunktionen.

2. Nicht geschuldete Leistungen im MVP, sofern nicht ausdrücklich freigeschaltet

  • finale Steuererklärungen,
  • verbindliche UStVA-Übermittlung,
  • ELSTER-Live-Übermittlung,
  • vollständige Lohnabrechnung,
  • Baulohn,
  • vollständige Bilanzierung,
  • vollständige E-Bilanz,
  • steuerliche Beratung,
  • rechtliche Beratung,
  • Wirtschaftsprüfung,
  • DATEV-Zertifizierung,
  • Bank-/Zahlungsinstitutsleistungen,
  • vollständiger GoBD-Zertifizierungsnachweis.

3. KI/OCR-Funktionsgrenzen

  • OCR kann Zeichen, Beträge oder Felder falsch erkennen.
  • KI kann falsche Kategorien vorschlagen.
  • Regeln können auf unvollständigen Daten basieren.
  • Nutzerprüfung bleibt Pflicht.
  • Bei Unsicherheit ist Steuerberater/Buchhalter einzubeziehen.

4. Belegworkflow

Empfohlener Produktworkflow:

  1. Beleg hochladen oder per E-Mail empfangen.
  2. Original speichern.
  3. Hash bilden.
  4. OCR starten.
  5. Daten extrahieren.
  6. KI/Regelvorschlag erzeugen.
  7. Nutzer prüft.
  8. Nutzer gibt frei.
  9. Buchungsvorschlag / Export wird vorbereitet.
  10. Audit Log dokumentiert.

5. Datenexport

Kontorio sollte dem Kunden Datenexporte bereitstellen, soweit technisch verfügbar und vertraglich geschuldet. Exportformate können sich nach Modulstand ändern.


Anlage 2 – Integrierte Support- und SLA-Bedingungen

Diese Anlage konkretisiert die Support- und Verfügbarkeitsregeln innerhalb derselben AGB. Sie ist keine separate Datei, sondern Bestandteil dieses Dokuments.

1. Supportarten

Kontorio kann folgende Supportarten anbieten:

  • Produktsupport,
  • technischer Support,
  • Account-/Login-Support,
  • Abrechnungssupport,
  • Import-/Export-Support,
  • Integrationssupport,
  • Störungsmeldungen,
  • Sicherheitsmeldungen,
  • Enterprise-Support.

Nicht enthalten sind ohne ausdrückliche Vereinbarung:

  • Steuerberatung,
  • Rechtsberatung,
  • Erstellung oder Prüfung von Steuererklärungen,
  • individuelle Buchhaltungsprüfung,
  • Lohn-/Sozialversicherungsberatung,
  • Jahresabschluss,
  • Verfahrensdokumentation im Namen des Kunden,
  • Kommunikation mit Behörden im Namen des Kunden.

2. Supportzeiten

Supportzeiten richten sich nach Tarif oder individueller Vereinbarung. Ohne ausdrückliche Zusage gilt kein 24/7-Support.

Arbeitsfassung für spätere Tarife:

Tarif Supportkanal Zielreaktion Hinweis
Free/Test Helpcenter / E-Mail nach Kapazität keine garantierte Zeit keine SLA-Zusage
Starter E-Mail / Ticket Best Effort keine garantierte Entstörung
Business E-Mail / Ticket priorisiert tarifabhängig gesondert festlegen
Professional priorisierter Support tarifabhängig gesondert festlegen
Enterprise individuell nach SLA schriftlich vereinbaren

Diese Tabelle ist bis zur Veröffentlichung als Platzhalter zu behandeln.

3. Störungsklassen

Klasse Beschreibung Beispiele
P1 kritisch Plattform großflächig nicht nutzbar oder Datenintegrität gefährdet Login/API-Ausfall, gravierender Datenfehler
P2 hoch wesentliche Funktion gestört, mehrere Kunden betroffen Upload/Download/Export/Inbound gestört
P3 mittel einzelne Funktion oder einzelner Kunde betroffen, Workaround möglich OCR-Job hängt, Filterfehler
P4 niedrig Bedienfrage, kosmetischer Fehler, Featurewunsch UI-Text, Verbesserung

Zielreaktionen und Entstörungszeiten werden nur verbindlich, wenn sie ausdrücklich zugesagt sind.

4. Wartungsfenster

Kontorio kann Wartungsfenster einrichten. Wartungen können angekündigt oder bei Notfällen kurzfristig durchgeführt werden. Wartung ist kein Ausfall im Sinne einer SLA-Berechnung, soweit dies vereinbart ist.

5. Drittanbieter-Störungen

Ausfälle oder Verzögerungen bei Drittanbietern können Kontorio beeinträchtigen. Dazu gehören insbesondere:

  • Vercel,
  • Hetzner,
  • Neon/PostgreSQL,
  • AWS S3,
  • Resend,
  • OpenAI,
  • Sentry,
  • GitHub/GHCR,
  • Zahlungsanbieter,
  • Banking-Provider,
  • DNS-/Zertifikatsanbieter.

Kontorio wird solche Anbieter mit angemessener Sorgfalt auswählen und integrieren. Eine vollständige Kontrolle über deren Systeme besteht nicht.

6. Kundenpflichten bei Störungen

Der Kunde muss Störungen unverzüglich melden, wenn sie für ihn relevant sind, und darf erkennbar fehlerhafte Ergebnisse nicht weiterverwenden. Bei steuerlich oder finanziell kritischen Prozessen muss der Kunde Alternativwege prüfen.

7. Keine stillschweigende SLA-Erweiterung

Auch wiederholt gute Verfügbarkeit oder schnelle Supportreaktion begründet ohne ausdrückliche Vereinbarung kein dauerhaftes SLA.


Anlage 3 – Integriertes Lösch- und Aufbewahrungskonzept

Diese Anlage fasst die wichtigsten Lösch- und Aufbewahrungsregeln im selben Dokument zusammen. Sie ersetzt nicht die AVV, Datenschutzerklärung, TOMs oder interne Verfahrensdokumentation.

1. Datenarten

Kontorio verarbeitet insbesondere:

  • Accountdaten,
  • Tenant-/Firmendaten,
  • Memberships und Rollen,
  • Belege und Dokumente,
  • Dokumentenversionen,
  • OCR-Texte und strukturierte Extraktionen,
  • KI-Ausgaben,
  • Buchungsvorschläge,
  • Buchungen,
  • Banktransaktionen,
  • E-Mail-Inbound-Daten,
  • Audit Logs,
  • Security Logs,
  • Supportfreigaben,
  • Abrechnungsdaten,
  • Zustimmungsnachweise,
  • Exportdateien,
  • technische Job- und Statusdaten.

2. Leitprinzipien

  • Daten werden nicht länger als erforderlich verarbeitet.
  • Gesetzliche Aufbewahrungspflichten bleiben unberührt.
  • Fachliche Nachvollziehbarkeit darf nicht durch übereilte Löschung zerstört werden.
  • Backups folgen technischen Retentionszyklen.
  • Audit Logs können länger erforderlich sein.
  • Kunden sollen vor Vertragsende exportieren können.
  • Löschung muss mandantenbezogen, nachvollziehbar und berechtigungsgeprüft erfolgen.

3. Vertragsende

Nach Vertragsende sollte folgender Ablauf gelten:

  1. Zugang wird beendet oder auf Export-/Lesemodus beschränkt.
  2. Kunde erhält Möglichkeit zum Export, soweit vertraglich/technisch vorgesehen.
  3. Nach Ablauf einer Übergangsfrist werden operative Daten gelöscht, gesperrt oder anonymisiert.
  4. Backups laufen nach Retention aus.
  5. Audit-, Security-, Abrechnungs- und Nachweisdaten bleiben soweit erforderlich erhalten.
  6. Löschung/Rückgabe im AVV-Kontext wird dokumentiert.

4. Löschsperren

Löschung kann eingeschränkt werden bei:

  • gesetzlicher Aufbewahrungspflicht,
  • laufender Prüfung,
  • offenem Support-/Security-Fall,
  • Missbrauchsverdacht,
  • offener Forderung,
  • Rechtsverteidigung,
  • behördlicher Anfrage,
  • festgeschriebener oder exportierter Buchhaltung,
  • Audit-/Nachweisinteresse.

5. Backups und Wiederherstellung

Backups sind nicht als Einzelkundenarchiv gedacht. Sie dienen Systemwiederherstellung. Einzelne Datensätze können in Backups technisch bis zur Rotation enthalten bleiben.

6. GoBD-nahe Nachvollziehbarkeit

Bei buchhaltungsrelevanten Daten muss Löschung immer mit Nachvollziehbarkeit abgewogen werden. Nicht jede fachliche Korrektur darf als „Löschung und so tun, als wäre nie etwas gewesen“ erfolgen. Korrektur, Storno, Versionierung und Audit sind oft sauberer.


Anlage 4 – Integrierte KI-/OCR-Transparenzhinweise

Diese Anlage beschreibt produktnahe Hinweise, die zusätzlich in UI, Hilfe, Onboarding und kritischen Workflows verwendet werden können.

1. Grundsatz

KI und OCR unterstützen die Arbeit. Sie ersetzen keine fachliche Prüfung. Sie können Fehler machen. Das gilt ausdrücklich auch für Vorschläge, die plausibel wirken.

2. Typische Fehlerquellen

Bereich Möglicher Fehler
OCR Betrag falsch erkannt, Komma verrutscht, Rechnungsnummer falsch, Lieferant verwechselt
KI-Klassifikation falsche Kategorie, falsches Konto, falscher Steuersatz
Matching falsche Zahlung dem Beleg zugeordnet
Steuerlogik Sonderfall nicht erkannt
Regeln wiederkehrende Regel greift auf unpassenden Einzelfall
Export Daten ungeprüft an Drittsystem übergeben
Zusammenfassung KI formuliert plausibel, aber fachlich falsch

3. Pflicht-Hinweise im Produkt

Empfohlene In-App-Hinweise:

Bei OCR-Ergebnis:

„Bitte prüfe die erkannten Daten am Originalbeleg. OCR kann Beträge, Daten, Steuern und Lieferanten falsch erkennen.“

Bei KI-Buchungsvorschlag:

„Dieser Vorschlag wurde automatisch erzeugt. Prüfe Konto, Steuer, Betrag, Beleg und Buchungstext vor der Freigabe.“

Bei Export:

„Exportdaten vor Weitergabe prüfen. Kontorio ersetzt keine Steuerberater- oder Buchhalterprüfung.“

Bei Steuer-/UStVA-/EÜR-nahen Auswertungen:

„Diese Werte sind vorbereitend. Bitte vor steuerlicher Verwendung fachlich prüfen lassen.“

Bei Sonderfällen:

„Dieser Vorgang kann steuerliche Besonderheiten enthalten. Bitte Steuerberater einbeziehen.“

4. Freigabeprinzip

Keine KI-Ausgabe soll durch ihre Darstellung den Eindruck erzeugen, sie sei automatisch verbindlich. Statusbezeichnungen müssen klar unterscheiden zwischen:

  • vorgeschlagen,
  • erkannt,
  • geschätzt,
  • zu prüfen,
  • geprüft,
  • freigegeben,
  • exportiert,
  • korrigiert.

5. Menschliche Kontrolle

Für kritische Workflows sollte Kontorio technische Kontrollpunkte einsetzen:

  • Review Queue,
  • Warnhinweise,
  • Konfidenzwerte,
  • Pflichtfelder,
  • Plausibilitätsregeln,
  • Vier-Augen-Freigabe optional,
  • Steuerberaterfreigabe optional,
  • Audit Log.

6. Keine Blackbox-Kommunikation

Kontorio sollte KI-Funktionen nicht als „vollautomatisch richtig“ vermarkten. Sauber sind Formulierungen wie:

  • „KI-gestützte Vorschläge“,
  • „unterstützt bei der Erkennung“,
  • „bereitet Buchungen vor“,
  • „hilft bei der Prüfung“,
  • „macht Auffälligkeiten sichtbar“.

Riskant sind Formulierungen wie:

  • „bucht automatisch immer richtig“,
  • „ersetzt deinen Steuerberater“,
  • „steuerlich fehlerfrei“,
  • „garantiert korrekte UStVA“,
  • „Finanzamt-ready ohne Prüfung“.

Teil C: Datenschutz- und AVV-Vorbereitung

Dieses Dokument ist noch keine Datenschutzerklärung und keine AVV. Für die nächste Ausbaustufe sind folgende Dokumente zu erstellen.

C.1 Datenschutzerklärung Website

Inhalte:

  • Anbieter / Verantwortlicher
  • Hosting der Website
  • Serverlogs
  • Kontaktaufnahme
  • Demo-Anfragen
  • Newsletter, falls vorhanden
  • Cookies und Consent
  • Analytics, falls vorhanden
  • Social Links
  • Rechtsgrundlagen
  • Speicherdauer
  • Empfänger
  • Drittlandtransfer
  • Betroffenenrechte
  • Aufsichtsbehörde
  • Änderungen

C.2 Datenschutzerklärung App / Portal

Inhalte:

  • Accountdaten
  • Login und Sessions
  • MFA
  • Firmen-/Mandantendaten
  • Rollen und Memberships
  • Belege und Dokumente
  • OCR
  • KI
  • Bankdaten
  • E-Mail-Import
  • Supportzugriffe
  • Audit Logs
  • Adminzugriffe
  • Exporte
  • Zahlungsdaten
  • Integrationen
  • Löschung und Aufbewahrung
  • Subprozessoren
  • Drittlandtransfer

C.3 AVV

Inhalte:

  • Gegenstand
  • Dauer
  • Art und Zweck
  • Datenarten
  • Kategorien betroffener Personen
  • Weisungen
  • Vertraulichkeit
  • TOMs
  • Unterauftragsverarbeiter
  • Unterstützungspflichten
  • Datenschutzverletzungen
  • Löschung/Rückgabe
  • Nachweise und Audits

C.4 TOM-Anlage

Mindestens beschreiben:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennungsgebot
  • Verschlüsselung
  • Backup/Restore
  • Logging/Audit
  • Mandantentrennung
  • Berechtigungskonzept
  • Incident Response
  • Patchmanagement
  • Secrets Management
  • Provider Management

C.5 Unterauftragsverarbeiterliste

Vorläufig zu prüfen und zu pflegen:

Anbieter Zweck Datenarten Standort / Region Rolle Status
Hetzner Backend-Server / Infrastruktur Serverlogs, Betriebsdaten, ggf. temporäre technische Daten Deutschland / EU Unterauftragsverarbeiter prüfen
Vercel Frontend-Hosting Website-/App-Auslieferung, technische Zugriffsdaten prüfen Unterauftragsverarbeiter prüfen
Neon PostgreSQL Datenbank Account-, Tenant-, Dokument-Metadaten, Audit, Buchhaltungsdaten prüfen Unterauftragsverarbeiter prüfen
AWS S3 Objekt-Speicher Belege, Dokumente, Exporte, OCR-Artefakte eu-central-1 geplant Unterauftragsverarbeiter prüfen
Resend E-Mail-Versand/-Empfang E-Mail-Adressen, Mailinhalte, Anhänge bei Inbound prüfen Unterauftragsverarbeiter prüfen
OpenAI KI-Assistenz minimierte strukturierte Daten / ggf. OCR-Auszüge prüfen Unterauftragsverarbeiter / Anbieter prüfen
Sentry Fehleranalyse technische Fehlerdaten, ggf. IDs prüfen Unterauftragsverarbeiter prüfen
Zahlungsanbieter Billing Zahlungsdaten, Rechnungsdaten prüfen eigener Verantwortlicher oder AV prüfen
Banking-Provider Kontenabruf Bankdaten, Transaktionen, Consentdaten prüfen eigener Verantwortlicher / AV je Anbieter prüfen

Diese Tabelle ist keine finale Subprozessorenliste. Sie ist die Baustellenliste. Erst prüfen, dann veröffentlichen.


Teil D: Checkliste für juristische Prüfung

D.1 AGB

  • Anbieter korrekt?
  • B2B-only wirksam und klar?
  • Vertragsschluss sauber beschrieben?
  • Testphase sauber beschrieben?
  • Tarif-/Preisänderungen wirksam?
  • Kündigung wirksam?
  • Leistungsbeschreibung nicht zu breit?
  • Keine falschen GoBD-/DATEV-/ELSTER-/Steuerclaims?
  • KI/OCR ausreichend abgegrenzt?
  • Haftungsklausel wirksam?
  • Verfügbarkeit/SLA sauber?
  • Drittanbieter-Klausel wirksam?
  • Datenexport und Vertragsende sauber?
  • Sperrklausel verhältnismäßig?
  • Änderungsklausel wirksam?
  • Gerichtsstand korrekt?
  • Verbraucherthemen ausgeschlossen oder sauber behandelt?

D.2 Datenschutz

  • Website und App getrennt?
  • Verantwortlicher korrekt?
  • Auftragsverarbeitung korrekt?
  • Subprozessoren vollständig?
  • Drittlandtransfer geprüft?
  • OpenAI DPA geprüft?
  • Resend DPA geprüft?
  • AWS Region und TOMs dokumentiert?
  • Vercel/Neon/Sentry geprüft?
  • Banking-Provider Rolle geklärt?
  • Löschfristen definiert?
  • Backup-Retention definiert?
  • Betroffenenrechte-Prozess definiert?
  • DSFA erforderlich?
  • Beschäftigtendaten im Lohn-/Belegkontext geprüft?

D.3 Produkt und Marketing

  • Kein „ersetzt Steuerberater“
  • Kein „vollautomatisch steuerlich korrekt“
  • Kein „DATEV-zertifiziert“, wenn nicht wahr
  • Kein „GoBD-zertifiziert“, wenn nicht geprüft
  • Kein „ELSTER-Übermittlung“, wenn nur Vorbereitung
  • Kein „Lohnabrechnung vollständig“, wenn nicht fertig
  • KI als Assistenz erklärt
  • Menschliche Prüfung klar beschrieben
  • Beta-/Preview-Funktionen markiert

Teil E: Nächste Dokumente / Veröffentlichungslogik

Weniger Dokumente sind für Nutzer besser. Deshalb sind Support/SLA, Lösch-/Aufbewahrung und KI-/OCR-Transparenz in dieser v0.2 bereits direkt integriert. Separate Dateien sollten nur erstellt werden, wenn Anwalt, Datenschutz, Enterprise-Vertrag oder Produktbetrieb sie wirklich brauchen.

Empfohlene Reihenfolge für finale Veröffentlichung und interne Nachweise:

  1. kontorio_agb_saas_v0_2.md – Hauptvertrag inklusive Support/SLA, Löschung/Aufbewahrung und KI/OCR-Transparenz
  2. kontorio_datenschutz_website_v0_1.md – öffentlich notwendig
  3. kontorio_datenschutz_app_v0_1.md – öffentlich/in-app notwendig
  4. kontorio_avv_art_28_dsgvo_v0_1.md – notwendig für Kunden als Verantwortliche
  5. kontorio_tom_anlage_v0_1.md – notwendig als AVV-Anlage / Sicherheitsnachweis
  6. kontorio_unterauftragsverarbeiter_v0_1.md – notwendig als AVV-/Datenschutzanlage
  7. kontorio_cookie_consent_v0_1.md – nur wenn Tracking/Consent-Tools eingesetzt werden
  8. kontorio_gobd_archiv_hinweise_v0_1.md – sinnvoll für Produkt/Helpcenter und Steuerberatervertrauen
  9. kontorio_supportzugriff_audit_v0_1.md – optional als interne Betriebsanweisung, da Grundregeln hier integriert sind
  10. kontorio_ki_ocr_transparenz_v0_1.md – optional als Helpcenter-/In-App-Text, da Grundregeln hier integriert sind

Teil F: Redaktionshinweise für Veröffentlichung

F.1 Platzhalter ersetzen

Vor Veröffentlichung ersetzen:

  • [Kontorio Betreiber einfügen]
  • [Rechtsform einfügen]
  • [Adresse einfügen]
  • [Vertretungsberechtigte Person einfügen]
  • [Registergericht / Registernummer]
  • [USt-ID]
  • [Sitz des Anbieters]
  • [Betrag / Jahresvergütung / Mehrfaches der Monatsgebühr]

F.2 Versionierung

Jede veröffentlichte Version sollte erhalten bleiben:

  • agb-v1-0-2026-xx-xx.md
  • agb-v1-1-2026-xx-xx.md

Im Account sollte gespeichert werden:

  • angenommene AGB-Version,
  • Zeitstempel,
  • User-ID,
  • Tenant-ID,
  • IP-Adresse optional / nach Datenschutzprüfung,
  • Quelle der Zustimmung.

F.3 Produktintegration

Beim Registrierungsabschluss sollte der Nutzer aktiv bestätigen:

  • AGB akzeptiert,
  • Datenschutzhinweise zur Kenntnis genommen,
  • AVV bei Auftragsverarbeitung abgeschlossen oder akzeptiert,
  • B2B-Bestätigung,
  • ggf. KI-/OCR-Hinweise zur Kenntnis genommen.

Keine vorangekreuzten Kästchen für optionale Einwilligungen.

F.4 Admin-Dokumentation

Im Adminbereich sollten sichtbar sein:

  • aktuelle AGB-Version,
  • aktive Datenschutzversion,
  • aktive AVV-Version,
  • aktive TOM-Version,
  • Subprozessorenliste,
  • Zustimmungsstatus je Tenant,
  • Export der Zustimmungsnachweise,
  • Änderungshistorie.

Teil G: Rechtsquellen-Arbeitsstand für die v0.2-Prüfung

Diese Quellenhinweise sind keine abschließende Rechtsprüfung. Sie markieren nur, welche Regelungsbereiche bei der Erstellung dieser Fassung berücksichtigt wurden und in der Anwaltsschleife erneut geprüft werden müssen.

G.1 AGB und Haftung

  • BGB §§ 305 ff. für Allgemeine Geschäftsbedingungen.
  • § 307 BGB: Transparenz und Verbot unangemessener Benachteiligung.
  • § 309 BGB: Grenzen bei Haftungsausschlüssen, insbesondere Leben, Körper, Gesundheit, grobes Verschulden.
  • Konsequenz: Keine Formulierung „Kontorio haftet nie“. Stattdessen klare, abgestufte Haftungslogik.

G.2 Datenschutz, AVV, Sicherheit

  • DSGVO Art. 5: Grundsätze.
  • DSGVO Art. 13/14: Informationspflichten.
  • DSGVO Art. 28: Auftragsverarbeitung, Unterauftragsverarbeiter, Rückgabe/Löschung.
  • DSGVO Art. 32: Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit und Wiederherstellbarkeit.
  • Konsequenz: Löschung, Backup, Supportzugriff, Subprozessoren und TOMs müssen zusammenpassen.

G.3 KI und Transparenz

  • EU AI Act / KI-Verordnung 2024/1689 mit stufenweiser Anwendung.
  • Transparenz, menschliche Kontrolle und Dokumentation sind für Kontorio praktisch relevant.
  • Konsequenz: KI/OCR als Assistenz darstellen, Fehleranfälligkeit offenlegen, keine autonome Steuerentscheidung behaupten.

G.4 Steuerberatung und Buchhaltung

  • Steuerberatungsgesetz: keine unbefugte Hilfeleistung in Steuersachen.
  • AO/HGB/GoBD: Aufbewahrung, Nachvollziehbarkeit, Datenzugriff, Verfahrensdokumentation.
  • Konsequenz: Kontorio unterstützt technische und organisatorische Vorbereitung, ersetzt aber keine steuerliche Prüfung.

Abschluss

Dieser Entwurf ist bewusst streng formuliert. Kontorio soll nicht wie ein Spielzeug für Belege wirken, sondern wie eine ernsthafte Buchhaltungs-SaaS mit sauberer Mandantentrennung, KI als Assistenz, auditierbaren Prozessen und klarer Verantwortung.

Der wichtigste Satz für alle Rechtstexte bleibt:

Kontorio unterstützt. Kontorio schlägt vor. Kontorio strukturiert. Kontorio kann ausfallen, KI kann sich irren, OCR kann falsch lesen und Buchungsvorschläge können fachlich danebenliegen. Die fachliche Prüfung, Fristenkontrolle und Verantwortung bleiben beim Kunden und dessen qualifizierten Beratern.