Zum Inhalt springen
Bernhard Götzendorfer
eigenes-produkt

BuchhaltGenie: AI-First-Buchhaltungsplattform für österreichische KMU

Eigenprojekt: KI-gestützte Buchhaltungssoftware für österreichische EPUs und KMUs. Compliance-First-Architektur, Sophie AI als eingebetteter RAG-Agent, OCR-Pipeline mit 3-Tier-Fallback.

Live

buchhaltgenie.at · Compliance-First-Architektur · 12 österreichische Gesetze

Auftraggeber: Eigenes Produkt2026Next.js · Supabase · TypeScript · Tailwind · Stripe · Claude Sonnet

Kontext

Österreichische EPUs und KMUs stehen bei der Buchhaltung vor einem spezifischen Problem: Das österreichische Steuer- und Buchführungsrecht ist komplex, und die meisten Buchhaltungssoftware-Produkte auf dem Markt sind entweder auf Deutschland ausgerichtet oder vernachlässigen die österreichischen Besonderheiten (Kleinunternehmer-Regelung, UStG §11-Pflichtfelder, BAO §132-Aufbewahrungsfristen, FinanzOnline-Export).

BuchhaltGenie ist ein Eigenprojekt mit dem Ziel, diese Lücke zu schließen: eine AI-First-Buchhaltungsplattform, die österreichische Compliance von Anfang an als Kernarchitektur behandelt, nicht als nachträgliche Erweiterung.

Compliance-Scope

Die Plattform deckt 12 österreichische Gesetze ab:

  • UStG §11 (Rechnungspflichtfelder), UStG (Steuersätze 20/13/10/0%)
  • BAO §132 (7-jährige Aufbewahrungspflicht)
  • DSGVO (Datenschutz-Grundverordnung)
  • UGB (Handelsgesetzbuch)
  • FinanzOnline (XML-Export für die Finanzbehörde)
  • RKSV (Registrierkassensicherheitsverordnung)
  • Kleinunternehmer-Schwelle (€55.000 Brutto ab 2025)
  • und weitere einschlägige Rechtsgrundlagen

Architektur-Ansatz

Compliance-First, nicht Compliance-Later: Statt Compliance als Plugin oder nachträgliche Validierung zu behandeln, sind die Rechtsvorschriften in das Datenmodell und die Server-Actions eingebettet. Eine Rechnung kann die Plattform nicht verlassen, ohne alle UStG §11-Pflichtfelder zu erfüllen.

Three-Table User System: Das Benutzer-Datenmodell trennt Supabase Auth (auth.users), erweiterte Benutzerdaten (public.users für 2FA und DSGVO-Consent) und Profildaten (public.profiles für den Waitlist-Flow) bewusst in drei Tabellen. Das erzwingt saubere Zuständigkeitsgrenzen.

100% RLS Tenant Isolation: Jede Datenbankoperation läuft durch Row-Level-Security-Policies, die den Mandantenzugriff auf Datenbankebene erzwingen. Kein Anwendungscode kann auf Daten anderer Mandanten zugreifen, auch nicht durch Programmierfehler.

Server-Actions statt API-Routes für Mutationen: Alle schreibenden Operationen verwenden Next.js Server Actions. API-Routes sind ausschließlich für Webhooks, OAuth und öffentliche APIs reserviert. Das vereinfacht das CSRF-Schutz-Modell erheblich.

Sophie AI: Eingebetteter RAG-Agent

Sophie ist der KI-Assistent der Plattform. Primärmodell: Claude Sonnet 4.5 via Vercel AI SDK. Das RAG-System (Retrieval-Augmented Generation) lädt österreichischen Compliance-Kontext (UStG, BAO, DSGVO) als Vektorspeicher und stellt ihn für jede Anfrage bereit.

Sophie beantwortet damit Fragen wie "Welche Steuersätze gelten für meine Dienstleistung?" oder "Bin ich noch unter der Kleinunternehmer-Schwelle?" auf Basis der aktuellen Rechtslage, nicht auf Basis von Trainingsdaten.

OCR-Pipeline: 3-Tier-Fallback

Die Belegerfassung nutzt eine abgestufte OCR-Pipeline:

  1. Gemini 2.0 Flash (Primär) auf EU-Servern (DSGVO Art. 44 konform)
  2. Claude Vision (Fallback 1) bei Timeout oder Fehler
  3. HuggingFace (Fallback 2) als letzter Ausweg

Die Stufenarchitektur stellt sicher, dass die Plattform auch bei Ausfall eines Providers weiter funktioniert.

Architektur-Entscheidungen (ADR-Übersicht)

EntscheidungGewähltAlternativeBegründung
BaaSSupabaseEigene PostgreSQL-InstanzEingebettete Auth, RLS, Storage, Echtzeit-Subscriptions out of the box
Primäres AI-ModellClaude Sonnet 4.5GPT-4oBessere Instruction-Following-Qualität bei strukturierten Aufgaben
EU-Hosting-FirstGemini EU-Server als OCR-PrimärUS-ServerDSGVO Art. 44 (Drittlandübermittlung) als Architekturanforderung
Mutations-PatternServer ActionsAPI-RoutesCSRF-Schutz vereinfacht, kein separates API-Layer für interne Operationen
Compliance-EbeneDatenbankmodell + Server-Action-ValidierungFrontend-ValidierungCompliance kann nicht durch UI-Bypass umgangen werden

Ergebnis

BuchhaltGenie ist live unter buchhaltgenie.at. Die Plattform ist als Solo-Projekt entstanden, von der Architektur bis zur Compliance-Implementierung.

Lessons

Compliance-by-Design ist aufwändiger, aber robuster. Compliance als nachträgliche Erweiterung einzubauen kostet erfahrungsgemäß mehr als sie von Anfang an zu planen. Spätere Änderungen an Datenmodell und Validierungslogik sind teuer.

RAG ist kein Allheilmittel. Für österreichisches Steuerrecht, das sich jährlich ändert (Kleinunternehmer-Schwelle 2025: Änderung von Netto auf Brutto), braucht es einen definierten Update-Prozess für den Vektorspeicher. Veraltetes RAG-Wissen ist schlimmer als kein RAG.

Solo-Plattform-Build erfordert klare Prioritäten. Nicht jedes Feature kann gleichzeitig gebaut werden. Die Entscheidung, Compliance und Security vor Features zu priorisieren, hat die frühe Entwicklung verlangsamt, aber einen stabilen Kern geschaffen.

← Zurück zu Fallstudien