Werden meine Fragen an Sophie gespeichert?

Ja, alle Anfragen werden für 7 Jahre gemäß BAO §132 gespeichert. Dabei werden personenbezogene Daten auf 50 Zeichen gekürzt und sensible Informationen automatisch anonymisiert.

Kann Sophie auf Daten anderer Unternehmen zugreifen?

Nein, Sophie arbeitet mit 100% Row-Level Security (RLS). Das bedeutet, dass Sophie nur auf Daten Ihres eigenen Unternehmens zugreifen kann - niemals auf Daten anderer Kunden.

Wo werden die RAG-Daten gespeichert?

Alle RAG-Daten werden auf EU-Servern in Frankfurt (AWS eu-central-1) gespeichert und mit AES-256 verschlüsselt. Die Daten verlassen niemals die EU.

Was ist RAG überhaupt?

RAG (Retrieval-Augmented Generation) ist eine Technologie, die Sophie ermöglicht, relevante Informationen aus einer Wissensdatenbank abzurufen, um präzisere und kontextbezogene Antworten zu geben. Bei BuchhaltGenie enthält diese Wissensdatenbank österreichisches Steuerrecht und Buchhaltungsvorschriften.

RAG-Sicherheit & Compliance

💬

Hallo, ich bin Sophie! 👋 Hier erkläre ich Ihnen, wie Ihre Daten bei mir sicher sind. DSGVO, BAO §132, Verschlüsselung - ich nehme Datenschutz ernst, damit Sie mir bedenkenlos Ihre Buchhaltungsfragen anvertrauen können!

Ich möchte Ihnen heute erklären, wie mein “Gedächtnis” funktioniert und warum Sie mir Ihre Buchhaltungsfragen bedenkenlos anvertrauen können. Hinter den Kulissen arbeite ich mit einer Technologie namens RAG (Retrieval-Augmented Generation), die mir ermöglicht, Ihnen präzise Antworten zu österreichischem Steuerrecht zu geben - und das alles vollständig DSGVO- und BAO-konform.

🔒

Ihre Daten sind sicher: Alle RAG-Anfragen werden verschlüsselt auf EU-Servern gespeichert, gemäß BAO §132 für 7 Jahre aufbewahrt und durch Row-Level Security (RLS) strikt von anderen Unternehmensdaten getrennt.

Was ist RAG und wie nutze ich es?

RAG steht für Retrieval-Augmented Generation - klingt kompliziert, ist aber eigentlich ganz einfach erklärt:

Wenn Sie mir eine Frage stellen wie “Bin ich noch Kleinunternehmer?”, passiert Folgendes:

Ihre Frage verstehen

Ich analysiere Ihre Frage und erkenne, dass es um die Kleinunternehmerregelung geht.

Relevantes Wissen abrufen

Mein RAG-System durchsucht eine spezialisierte Wissensdatenbank mit österreichischem Steuerrecht - insbesondere UStG §6 Abs. 1 Z 27 zur Kleinunternehmergrenze.

Ihren Kontext einbeziehen

Ich schaue mir Ihre Geschäftsdaten an (Jahresumsatz, Branche) - natürlich nur die Daten Ihres eigenen Unternehmens!

Personalisierte Antwort

Ich kombiniere das Fachwissen mit Ihrem individuellen Kontext und gebe Ihnen eine maßgeschneiderte Antwort.

💡

Warum RAG? Ohne RAG wäre ich wie ein Buchhaltungs-Experte ohne Nachschlagewerke. Mit RAG habe ich Zugriff auf aktuelle österreichische Steuergesetze, Verordnungen und bewährte Buchhaltungspraktiken - und kann Ihnen so fundierte Antworten geben.

BAO §132: 7-Jahre Audit-Logging

Gemäß der österreichischen Bundesabgabenordnung (BAO) §132 sind Unternehmen verpflichtet, alle steuerrelevanten Unterlagen 7 Jahre aufzubewahren. Das gilt auch für Ihre Interaktionen mit mir, wenn sie steuerliche Beratung betreffen.

Was wird protokolliert?

Datenpunkt	Speicherdauer	Zweck
Query-Hash	7 Jahre	Eindeutige Identifikation der Anfrage
Zeitstempel	7 Jahre	Nachvollziehbarkeit für Betriebsprüfung
Antwort-Zusammenfassung	7 Jahre	Dokumentation der erteilten Information
Quellenverweise	7 Jahre	Nachprüfbarkeit der rechtlichen Basis
Benutzer-ID	7 Jahre	Zuordnung zum Unternehmen
Confidence-Score	7 Jahre	Qualitätssicherung der Antwort

Beispiel eines Audit-Log-Eintrags


{
  "timestamp": "2026-01-07T10:30:00Z",
  "query_hash": "sha256:a1b2c3...",
  "query_preview": "Bin ich mit €48.000 noch Kle...",
  "response_type": "KLEINUNTERNEHMER_CHECK",
  "sources": ["UStG §6 Abs. 1 Z 27", "BMF-010219/0288-IV/4/2024"],
  "confidence": 0.95,
  "confidence_level": "HIGH",
  "action_taken": "ANSWER_PROVIDED",
  "business_id": "uuid:xxx-xxx",
  "retention_until": "2033-01-07"
}

Warum wird geloggt? (BAO §132 Audit-Trail)

Das Logging dient mehreren wichtigen Zwecken:

Zweck	Erklärung	Rechtsgrundlage
Betriebsprüfung	Nachweis, welche steuerlichen Auskünfte Sie erhalten haben	BAO §149
Nachvollziehbarkeit	Dokumentation Ihrer Sorgfaltspflicht	BAO §132
Qualitätssicherung	Analyse der Antwortqualität zur Verbesserung	Berechtigtes Interesse
Rechtsschutz	Beweissicherung bei Streitfällen	BAO §115

Query-Truncation für Datenschutz

Um Ihre Privatsphäre zu schützen und gleichzeitig die Audit-Anforderungen zu erfüllen, wende ich eine 50-Zeichen-Kürzung an:


Ihre vollständige Frage:
"Ich habe eine Rechnung von Firma Maier GmbH über €5.000 für
 Beratungsleistungen erhalten. Kann ich die Vorsteuer abziehen?"

Im Audit-Log gespeichert:
"Ich habe eine Rechnung von Firma Maier GmbH über..."

Warum 50 Zeichen?

Genug Kontext für die Audit-Nachvollziehbarkeit
Sensible Details (Beträge, vollständige Firmennamen) werden abgeschnitten
DSGVO Art. 5 (Datenminimierung) wird eingehalten

⚠️

Wichtig für Betriebsprüfungen: Bei einer Betriebsprüfung nach BAO §149 können diese Audit-Logs als Nachweis dienen, welche steuerlichen Informationen Sie erhalten haben. Dies schützt Sie, da Sie dokumentieren können, dass Sie sich um korrekte Informationen bemüht haben.

DSGVO-Compliance: Ihre Privatsphäre zuerst

Der Schutz Ihrer personenbezogenen Daten hat bei mir oberste Priorität. Hier ist, wie ich DSGVO Art. 5, Art. 17 und Art. 32 einhalte:

Query-Truncation: 50-Zeichen-Regel

Um Ihre Privatsphäre zu schützen, werden Ihre Fragen in den Audit-Logs auf 50 Zeichen gekürzt. So bleibt der Kontext für Compliance-Zwecke erhalten, aber sensible Details werden nicht vollständig gespeichert.

Ihre Frage	Im Log gespeichert
”Mein Kunde Max Mustermann, UID ATU12345678, schuldet mir €5.000 - wie mahne ich?"	"Mein Kunde Max Mustermann, UID ATU12345678, sch…"
"Kann ich die Rechnung an Firma ABC GmbH, Musterstraße 1, 1010 Wien, mit 13% versteuern?"	"Kann ich die Rechnung an Firma ABC GmbH, Muster…”

Automatische PII-Redaktion

Zusätzlich zur Kürzung erkenne und anonymisiere ich automatisch personenbezogene Daten (PII):

Datentyp	Erkennung	Anonymisierung
UID-Nummern	`ATU[0-9]\{8\}`	`ATU********`
IBAN	`AT[0-9]\{18\}`	`AT**************`
E-Mail-Adressen	`@.*`	`*@.**`
Telefonnummern	`+43...`	`+43 ***`
Namen (optional)	NER-Erkennung	`[PERSON]`

🛡️

Datenminimierung (Art. 5 DSGVO): Ich speichere nur das Minimum an Daten, das für die Einhaltung der BAO-Aufbewahrungspflicht notwendig ist. Personenbezogene Daten werden reduziert, wo immer möglich.

Row-Level Security (RLS): Strikte Mandantentrennung

Jede Anfrage an mich wird durch 100% RLS-Abdeckung geschützt:


┌─────────────────────────────────────────────────────────┐
│                    Sophie AI RAG                        │
├─────────────────────────────────────────────────────────┤
│  Anfrage: "Zeige meine offenen Rechnungen"              │
│                                                         │
│  ┌─────────────────┐    ┌─────────────────┐            │
│  │   Ihr Unter-    │ ✓  │   Anderes       │ ✗          │
│  │   nehmen        │────│   Unternehmen   │            │
│  │   business_id:  │    │   business_id:  │            │
│  │   abc-123       │    │   xyz-789       │            │
│  └─────────────────┘    └─────────────────┘            │
│                                                         │
│  RLS-Policy: business_id = auth.business_id()          │
└─────────────────────────────────────────────────────────┘

Das bedeutet für Sie:

Ich sehe nur Daten Ihres Unternehmens
Andere Unternehmen können niemals Ihre Daten sehen
Selbst bei einem Systemfehler ist eine Datenvermischung technisch unmöglich

Keine personenbezogenen Daten im RAG-Index

Die Wissensdatenbank, die ich für meine Antworten nutze, enthält keine personenbezogenen Daten:

Im RAG-Index enthalten	NICHT im RAG-Index
UStG-Paragraphen	Kundennamen
BAO-Vorschriften	Rechnungsdaten
BMF-Erlässe	Bankverbindungen
Kontenrahmen (SKR07)	Geschäftszahlen
Steuer-FAQ	E-Mail-Adressen

📚

Trennung von Wissen und Daten: Mein RAG-Index enthält nur allgemeines Fachwissen (Gesetze, Vorschriften, Best Practices). Ihre individuellen Geschäftsdaten werden live aus der Datenbank abgerufen - immer durch RLS geschützt.

UStG §6: Automatische Kleinunternehmer-Erkennung

Eine meiner wichtigsten Compliance-Funktionen ist die automatische Erkennung des Kleinunternehmerstatus gemäß UStG §6 Abs. 1 Z 27.

Wie funktioniert die Erkennung?

Wenn Sie mir eine Frage stellen, prüfe ich automatisch im Hintergrund:

Umsatzprüfung

Ich berechne Ihren aktuellen Jahresumsatz basierend auf Ihren Rechnungsdaten.

Grenzwertvergleich

Ich vergleiche mit der aktuellen Kleinunternehmergrenze von €55.000 (Stand 2025).

Kontextanreicherung

Wenn relevant, reichere ich meine Antwort mit Ihrer individuellen Situation an.

Proaktive Warnung

Bei Annäherung an die Grenze (ab 80%) warne ich Sie automatisch.

Beispiel-Interaktion


Sie: Muss ich bei meiner nächsten Rechnung USt ausweisen?

Sophie: Basierend auf Ihren Daten sehe ich:

        📊 Aktueller Jahresumsatz: €47.500
        📈 Kleinunternehmergrenze: €55.000
        ✅ Status: Kleinunternehmer (86% der Grenze erreicht)

        Als Kleinunternehmer gemäß UStG §6 Abs. 1 Z 27:
        - Sie weisen KEINE Umsatzsteuer aus
        - Sie schreiben auf die Rechnung:
          "Umsatzsteuerbefreit gemäß § 6 Abs. 1 Z 27 UStG"

        ⚠️ Hinweis: Sie haben noch €7.500 Puffer bis zur Grenze.
        Bei Überschreitung werden Sie umsatzsteuerpflichtig!

⚠️

Wichtig: Die automatische Erkennung ist eine Hilfestellung, keine rechtsverbindliche Beratung. Bei Unsicherheiten empfehle ich, einen Steuerberater zu konsultieren.

Source Attribution: Transparente Quellenangaben

Jede meiner Antworten enthält nachvollziehbare Quellenangaben. Das ist nicht nur für Ihre Sicherheit wichtig, sondern auch für eventuelle Betriebsprüfungen. Transparenz ist mir wichtig - Sie sollen immer wissen, woher meine Informationen stammen.

Wie ich Quellen zitiere

Bei jeder Antwort zeige ich Ihnen:

Element	Was Sie sehen	Warum es wichtig ist
Paragraph	z.B. “UStG §6 Abs. 1 Z 27”	Exakte rechtliche Grundlage
Erlass/Richtlinie	z.B. “BMF-010219/0288-IV/4/2024”	Offizielle Auslegung
Confidence-Score	z.B. “95% HIGH”	Wie sicher ich mir bin
Wissensstand	z.B. “Jänner 2026”	Aktualität der Information
Disclaimer	Rechtlicher Hinweis	Grenzen meiner Beratung

Quellenangaben-Hierarchie

Ich verwende eine klare Hierarchie bei meinen Quellenangaben:


1. Primärquelle (Gesetz)
   └── UStG §6 Abs. 1 Z 27

2. Sekundärquelle (Erlass/Richtlinie)
   └── BMF-010219/0288-IV/4/2024

3. Tertiärquelle (Offizielle Infos)
   └── WKO-Informationsblatt, Findok

Beispiel einer Antwort mit vollständiger Source Attribution


Sophie: Die Kleinunternehmergrenze in Österreich beträgt €55.000.

        ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
        📖 QUELLEN
        ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

        Primär:
        • UStG §6 Abs. 1 Z 27
          (Umsatzsteuerbefreiung für Kleinunternehmer)

        Sekundär:
        • BMF-010219/0288-IV/4/2024
          (Erlass zur Grenzanhebung ab 2025)

        Ergänzend:
        • WKO-Informationsblatt "Kleinunternehmerregelung 2025"

        ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
        🎯 Confidence: 98% HIGH
        📅 Wissensstand: Jänner 2026
        ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

        ⚖️ Hinweis: Diese Information dient der allgemeinen
        Orientierung und ersetzt keine Steuerberatung gemäß BibuG.

Warum Source Attribution wichtig ist

💡

Vertrauen durch Transparenz: Indem ich meine Quellen offenlege, können Sie:

Die Information selbst nachprüfen
Bei einer Betriebsprüfung auf die Rechtsgrundlage verweisen
Einschätzen, wie aktuell mein Wissen ist
Verstehen, warum mein Confidence-Score so hoch oder niedrig ist

Wenn keine eindeutige Quelle existiert

Manchmal gibt es zu einer Frage keine eindeutige Rechtsquelle. In diesem Fall kommuniziere ich das transparent:


Sophie: Bei gemischter Nutzung eines Laptops (privat/geschäftlich)
        können Sie den geschäftlichen Anteil der Vorsteuer abziehen.

        📖 Quellen:
        • UStG §12 Abs. 1 (Vorsteuerabzug allgemein)
        • VwGH 2019/15/0012 (Judikatur zur Aufteilung)

        ⚠️ Hinweis: Die genaue Aufteilung ist nicht gesetzlich
        geregelt und hängt von Ihrer individuellen Nutzung ab.
        Dokumentieren Sie die Nutzungsanteile für eine mögliche
        Betriebsprüfung.

        🎯 Confidence: 78% MEDIUM
        📅 Wissensstand: Jänner 2026

Datensicherheit: Verschlüsselung & EU-Hosting

Verschlüsselung auf allen Ebenen

Schicht	Technologie	Details
Transport	TLS 1.3	Alle Kommunikation verschlüsselt
RAG-Index	AES-256	Wissensdatenbank verschlüsselt
Query-Logs	AES-256 + Envelope	Doppelte Verschlüsselung der Anfragen
Embeddings	AES-256	Vektorrepräsentationen verschlüsselt
Backups	AES-256 + separate Keys	Eigenständig verschlüsselte Sicherungen

EU-Hosting: Ihre Daten bleiben in Europa

Komponente	Standort	Zertifizierungen
RAG-Index	AWS Frankfurt (eu-central-1)	ISO 27001, SOC 2
Query-Logs	AWS Frankfurt (eu-central-1)	ISO 27001, SOC 2
Embeddings	AWS Frankfurt (eu-central-1)	ISO 27001, SOC 2
Backups	AWS Dublin (eu-west-1)	ISO 27001, SOC 2

🇪🇺

EU-Datenresidenz garantiert: Alle RAG-Daten, Anfragen und Antworten werden ausschließlich auf EU-Servern verarbeitet und gespeichert. Ihre Daten verlassen niemals die Europäische Union.

Anthropic Claude: Keine Trainingsdaten

Sophie basiert auf Anthropic Claude. Wichtig zu wissen:

Keine Trainingsdaten: Ihre Anfragen werden NICHT zum Training von KI-Modellen verwendet
Kein Datentransfer: Anfragen werden anonymisiert und ohne Unternehmensbezug verarbeitet
Standard Contractual Clauses (SCCs): Vertraglich abgesicherte DSGVO-Konformität

Sicherheitsarchitektur im Überblick


┌─────────────────────────────────────────────────────────────┐
│                    Ihre Anfrage                              │
│         "Bin ich noch Kleinunternehmer?"                    │
└─────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────┐
│  1. AUTHENTIFIZIERUNG                                       │
│     • JWT-Token-Validierung                                 │
│     • Session-Prüfung                                       │
│     • Rate-Limiting (Schutz vor Missbrauch)                 │
└─────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────┐
│  2. PII-REDAKTION                                           │
│     • UID-Nummern anonymisieren                             │
│     • E-Mail-Adressen entfernen                             │
│     • Query auf 50 Zeichen kürzen (für Logs)                │
└─────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────┐
│  3. RAG-RETRIEVAL (RLS-geschützt)                           │
│     • Wissensdatenbank durchsuchen                          │
│     • Nur eigene Unternehmensdaten abrufen                  │
│     • Relevante Quellen identifizieren                      │
└─────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────┐
│  4. ANTWORT-GENERIERUNG                                     │
│     • Kontext kombinieren                                   │
│     • Quellenangaben hinzufügen                             │
│     • Confidence-Score berechnen                            │
└─────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────┐
│  5. AUDIT-LOGGING (BAO §132)                                │
│     • Query-Hash speichern                                  │
│     • Zeitstempel protokollieren                            │
│     • 7-Jahres-Retention setzen                             │
└─────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────┐
│                    Ihre Antwort                              │
│  "Mit €47.500 sind Sie Kleinunternehmer..."                 │
│  📖 Quelle: UStG §6 | 🎯 Confidence: 95%                    │
└─────────────────────────────────────────────────────────────┘

Häufig gestellte Fragen

Werden meine Fragen an Sophie für KI-Training verwendet?

Nein, niemals! Ihre Anfragen werden ausschließlich zur Beantwortung Ihrer Fragen und für das gesetzlich vorgeschriebene Audit-Logging verwendet. Weder BuchhaltGenie noch Anthropic (der Anbieter von Claude) verwenden Ihre Daten zum Training von KI-Modellen.

Kann ich meine Anfrage-Historie löschen lassen?

Die Audit-Logs unterliegen der 7-jährigen Aufbewahrungspflicht gemäß BAO §132. Eine vorzeitige Löschung ist daher rechtlich nicht möglich. Bei einer Kontolöschung werden die Logs jedoch anonymisiert - der Bezug zu Ihrer Person wird unwiderruflich entfernt.

Wie aktuell ist Sophies Wissen?

Mein RAG-Index wird regelmäßig aktualisiert, insbesondere bei Gesetzesänderungen. Der aktuelle Wissensstand wird bei jeder Antwort angezeigt. Bei kritischen Änderungen (wie der Kleinunternehmergrenze) erfolgt die Aktualisierung innerhalb von 24 Stunden.

Was passiert bei einer Betriebsprüfung?

Die Audit-Logs können als Nachweis dienen, dass Sie sich um korrekte steuerliche Informationen bemüht haben. Der Prüfer kann einsehen, welche Fragen Sie gestellt und welche Antworten Sie erhalten haben - inklusive der verwendeten Rechtsquellen.

Wie sicher ist die Mandantentrennung?

Die Mandantentrennung ist auf Datenbankebene durch Row-Level Security (RLS) implementiert. Das bedeutet: Selbst wenn ein Programmierfehler auftreten würde, könnten Sie technisch keine Daten anderer Unternehmen sehen - die Datenbank blockiert jeden solchen Zugriff.

Compliance-Zusammenfassung

Anforderung	Umsetzung	Status
BAO §132 (7-Jahre-Aufbewahrung)	Audit-Logs mit Retention Policy	✅ Vollständig
DSGVO Art. 5 (Datenminimierung)	Query-Truncation, PII-Redaktion	✅ Vollständig
DSGVO Art. 17 (Recht auf Löschung)	Anonymisierung bei Kontolöschung	✅ Vollständig
DSGVO Art. 32 (Sicherheit)	AES-256, TLS 1.3, RLS	✅ Vollständig
EU AI Act (Verordnung 2024/1689) Art. 50 (Transparenz)	Transparenzhinweis bei jeder Interaktion	✅ Vollständig
UStG §6 (Kleinunternehmer)	Automatische Erkennung und Warnung	✅ Vollständig

🤝

Sie haben Fragen zur RAG-Sicherheit? Schreiben Sie uns an office@buchhaltgenie.at oder fragen Sie mich einfach direkt im Chat - ich erkläre Ihnen gerne, wie ich mit Ihren Daten umgehe!

Zurück zur Übersicht: Sophie AI