Changelog

User-facing Änderungen — was sich für dich konkret unterscheidet. Stand: 11. Mai 2026.

Wir bauen lexmcp transparent. Diese Seite listet was sich an der Plattform für dich spürbar geändert hat — neue Features, behobene Bugs, Compliance-Updates. Kein Commit-by-Commit, sondern echtes Was-jetzt-anders-ist.

11. Mai 2026 — Marketing-Block + Performance

Neu:

• Persona-Tabelle direkt nach dem Hero — sechs typische Sätze („Erstell Rechnung an Müller GmbH …") für Solo / Steuerberater / Handwerk / E-Commerce / Geschäftsführer / Buchhalter. Damit siehst du sofort, was Claude für deine Rolle macht.
• Sticky-CTA-Bar unten am Viewport — Pro/Business-Buttons immer in Reichweite, auch wenn du schon gescrollt hast.
• Bridge-Page /lexware-vs-lexoffice-mcp.html — klärt das Begriffs-Wirrwarr zwischen Lexware / Lexware Office / Lexoffice / Lexware-Desktop und sagt dir welche MCP-Lösung zu welchem Setup passt.
• Roadmap-Section mit drei Karten: Live / In Arbeit / Wunschliste. Keine Quartals-Versprechen, ehrliche Statuslisten.
• Founder-Manifest auf der Startseite — was du bei uns NICHT bekommst (Verkaufsgespräch, Account-Manager) und was du SCHON bekommst (Mollie-Checkout, WhatsApp-Direktdraht).
• Onboarding-Card im Portal nach dem Connector-Setup: 5 Beispiel-Prompts zum direkten Reinkopieren, Tool-Liste, „Was geht NICHT", Stolperstein-Guide.
• Setup-Status oben im Dashboard: drei prüfbare Schritte (Lex-Key, Claude verbinden, ersten Befehl tippen). Card blendet sich aus sobald alle drei erledigt.

Behoben:

• Mail-Templates crashen nicht mehr bei null-Datum in Renewal-/Reminder-Mails.
• Schema.org-Strukturdaten und Pricing-Card hatten unterschiedliche Mandanten-Limit-Angaben (10 vs 50 für Kanzlei). Jetzt konsistent.
• Datenschutzerklärung §5 erwähnt jetzt explizit die 7-Tage-IP-Anonymisierung (war nur in TOMs §1.5 dokumentiert).

Schneller:

• Gzip-Kompression aktiviert — Landing-Page liefert jetzt ~12 KB statt 55 KB aus. Spürbar auf Mobile/3G.
• Mobile-Performance: Aurora-Animationen auf kleinen Bildschirmen ausgeblendet, weniger GPU-Last.

9. Mai 2026 — 2FA + Härtung

Neu:

• Zwei-Faktor-Authentifizierung (TOTP) für den Portal-Login. Opt-in pro User über das Dashboard — empfohlen für Kanzlei-Tarif wegen StBerG-Verschwiegenheit. Funktioniert mit allen gängigen Authenticator-Apps (1Password, Authy, Google Authenticator).

Sicherheit (intern):

• Crypto-Hardening: AAD-Kontext-Binding für verschlüsselte USt-IdNr./Steuernummern verhindert Row-Swap-Attacken auf DB-Ebene.
• 52 automatisierte Unit-Tests etabliert (Crypto, Token-Signing, TOTP, Plan-Resolution).

8. Mai 2026 — Disaster-Recovery-Block

Behoben:

• Tägliches DB-Backup für lexmcp wurde nicht ausgeführt (Cron-Job war nur für andere DBs aktiv). Jetzt: Backup täglich 02:35 Uhr, 7-Tage-Retention, Health-Marker.
• Restore-Test bestanden: Backup ist real wiederherstellbar (alle 8 Tabellen identische Row-Counts nach Roundtrip).

7. Mai 2026 — Security-Critical-Block

Behoben (kritisch):

• OAuth-Privilegienkonflikt: user_id kommt jetzt aus HMAC-signiertem Consent-Token statt aus Form-Body. Tampering invalidiert die Signatur.
• Kanzlei-Plan-Webhook-Drop behoben: Käufe des 99-€-Tarifs landen jetzt zuverlässig im Aktivierungs-Pfad (war vorher per Allowlist-Bug ausgeschlossen).
• CSRF-Schutz auf alle OAuth-Form-POSTs erweitert.
• DSGVO: IP-Anonymisierung nach 7 Tagen jetzt tatsächlich implementiert (war in TOMs versprochen, fehlte im Code).

26. April 2026 — v1.4.1 Production-Readiness

Schneller / Stabiler:

• Per-User-Throttle für die Lexoffice-API: keine Cross-Tenant-Stalls mehr wenn ein User viel Last erzeugt.
• certbot-Auto-Renewal aktiviert: SSL-Zertifikate verlängern sich automatisch.

Vertragsrechtlich:

• AGB v1.1: Account-Löschungs-Workflow, DSGVO-Self-Service-Rechte (Art. 15/17/20), Marketing-Widerruf.
• Self-Service-Endpoints im Portal: /portal/me/export.json (Datenexport), /portal/me/delete (Account-Löschung mit Anonymisierung statt Hard-Delete).

April 2026 — Kanzlei-Tier (v2.1)

Neu:

• Kanzlei-Tarif 99 €/Monat netto für Steuerberater und Buchhaltungs-Profis.
• § 62 StBerG-Verschwiegenheitserklärung als Standard-Anhang (Bezug auf § 203 Abs. 4 StGB, auch nicht-personenbezogene Mandantengeheimnisse abgedeckt).
• GoBD-Verfahrensdokumentation als abrufbares Dokument unter /kanzlei-compliance.html.
• Bis zu 50 Mandanten-Tokens pro Kanzlei-Account, pro Token getrennter Audit-Log-Eintrag (Token-Hash + Tool-Name + Status).

April 2026 — OAuth für claude.ai-Browser

Neu:

• OAuth 2.0 (RFC 7591/8414/9728) für claude.ai im Browser und Claude Desktop App. Add custom connector → Magic-Link bestätigen → fertig. Kein Token-Tippen mehr.

Detailliertere Tech-Notes (commit-by-commit, intern): CHANGELOG.md im Repo — sobald wir den Code Open Source freigeben, ist die Datei dort lesbar.

Wunsch oder Bug gemeldet? info@365tec.de