← Zurück zum Blog

Exact Online und KI: DSGVO, Datenschutz und Datenverarbeitung erklärt

"Darf man seine Buchhaltung überhaupt ChatGPT zeigen?" — das ist eine der meistgestellten Fragen bei Demos von Ledger Botje. Und eine völlig berechtigte. Unter der DSGVO sind Sie für jedes personenbezogene Datum verantwortlich, das durch Ihre Verwaltung fließt: Kundenadressen, Bankkontonummern, Steuer-IDs von Freiberuflern, E-Mail-Adressen von Ansprechpartnern. Wer sagt, dass die nicht irgendwo in einem KI-Trainingsdatensatz landen?

In diesem Artikel stellen wir zusammen, wie Daten genau fließen, wenn Sie Exact Online über MCP mit einem KI-Assistenten verbinden, welche rechtlichen Rahmen relevant sind und welche Maßnahmen Ledger Botje und die KI-Anbieter treffen, um das sicher zu halten.

Welche Daten werden mit der KI geteilt?

Ein KI-Assistent sieht nie Ihre gesamte Exact Online-Verwaltung auf einmal. Die Verbindung arbeitet auf Basis einzelner Fragen: Stellen Sie die Frage "welche Rechnungen sind über €1.000 offen?", dann holt Ledger Botje genau diese Zeilen aus Exact Online, gibt sie an die KI weiter, und die formuliert die Antwort. Andere Kundendaten, die Lohnbuchhaltung oder nicht relevante Buchungen bleiben außerhalb des Blickfelds.

Konkret fließen nur die Felder durch, die für die gestellte Frage nötig sind. Fragen Sie nach offenen Posten, sind das Rechnungsnummern, Beträge, Kundennamen und Fälligkeitsdaten — keine Steuer-IDs, keine Kontoauszüge, keine Lohnabrechnungen (die stehen ohnehin nicht in Exact Online Buchhaltung, sondern in einem separaten Lohnsystem).

Die Rolle des MCP-Protokolls

Das Model Context Protocol wurde bewusst für Enterprise-Umgebungen entworfen. Drei Punkte sind für die DSGVO relevant:

  • Autorisierung pro Benutzer — die KI nutzt Ihr eigenes Login-Token für Exact Online. Sie sieht also nur das, was Sie selbst auch sehen dürften.
  • Keine persistente Speicherung — Ledger Botje legt keine Kopie Ihrer Buchhaltung an. Jede Frage holt frische Daten und protokolliert nur das Nötigste für Audit-Zwecke.
  • Tool-Grenzen — in der Basic-Lizenz sind Schreibaktionen deaktiviert. Die KI kann also nichts ändern, sondern nur lesen.

Mehr technische Details finden Sie in der MCP-Sicherheitserklärung.

Wo liegen die KI-Daten? OpenAI, Anthropic und Europa

Hier liegt für viele Buchhalter und Steuerberater die spannende Frage. Wenn Sie über ChatGPT (OpenAI) oder Claude (Anthropic) arbeiten, wird der Prompt — und damit Teile Ihrer Verwaltung — auf Servern dieses Anbieters verarbeitet. Beide Unternehmen haben inzwischen europäische Rechenzentren und bieten Enterprise-Pläne an, bei denen Daten nicht für das Training verwendet werden.

Für alle, die strenger aufgestellt sein möchten: Mistral (französisch), Copilot Enterprise (Daten im EU-Tenant) und lokal gehostete Modelle sind Alternativen. Die Wahl Ihres KI-Anbieters ist also auch eine Datenschutzentscheidung.

DSFA, Auftragsverarbeitungsvertrag und Aufbewahrungsfristen

Für Ledger Botje haben wir eine Datenschutz-Folgenabschätzung (DSFA/DPIA) durchgeführt, in der alle Risiken und mildernden Maßnahmen beschrieben sind. Die wichtigsten Maßnahmen:

  • Audit-Logs in Ledger Botje werden maximal 180 Tage aufbewahrt (kritische Ereignisse 365 Tage), im Einklang mit der Speicherbegrenzung aus Artikel 5.1.e DSGVO.
  • Jede Verbindung erfordert eine ausdrückliche OAuth-Zustimmung — Sie geben Ledger Botje nie Ihr Passwort.
  • Die Infrastruktur läuft innerhalb der EU.

Der Auftragsverarbeitungsvertrag (AVV) zwischen Ihnen und Ledger Botje ist online verfügbar und entspricht Artikel 28 DSGVO. Kunden mit mehreren Verwaltungen oder einem eigenen Datenschutzbeauftragten können die DSFA auf Anfrage von uns erhalten.

Was müssen Sie selbst regeln?

Als Verantwortlicher haben Sie drei Aufgaben:

  1. Informieren Sie Ihre Mitarbeitenden, dass eine KI-Verbindung auf der Verwaltung liegt. Erwähnen Sie das in Ihrer internen Datenschutzerklärung.
  2. Beschränken Sie Rechte innerhalb von Exact Online. Geben Sie nur Rollen mit den passenden Leserechten Zugang zur MCP-Verbindung.
  3. Wählen Sie bewusst einen KI-Anbieter und schließen Sie mit dieser Partei einen Auftragsverarbeitungsvertrag — OpenAI, Anthropic, Microsoft und Google bieten alle DSGVO-konforme Enterprise-Varianten an.

Fazit

Die Kombination Exact Online + KI ist gut mit der DSGVO vereinbar, sofern Sie drei Parteien im Griff haben: sich selbst (Verantwortlicher), Ledger Botje (Unterauftragsverarbeiter für die MCP-Schicht) und Ihren KI-Anbieter (Auftragsverarbeiter der Prompts). Genau dafür wurde Ledger Botje entworfen: minimaler Datenfluss, kurze Aufbewahrungsfristen und klare Auftragsverarbeitungsverträge.

Möchten Sie mehr darüber lesen, wie wir die Sicherheit eingerichtet haben? Schauen Sie sich die Sicherheitserklärung und den Auftragsverarbeitungsvertrag an. Bereit, verantwortungsvoll mit KI in Ihrer Verwaltung zu starten? Folgen Sie der MCP-Installationsanleitung.

FW
Frank Woutersen
Frank Woutersen ist der Gründer von Ledger Botje und schreibt über KI, MCP und Exact Online. Er hilft Unternehmen, ihre Buchhaltung mit KI-Assistenten intelligenter zu führen.

Selbst mit KI und Exact Online loslegen?

Testen Sie Ledger Botje kostenlos und entdecken Sie, wie KI Ihre tägliche Arbeit erleichtert.

Kostenlos testen