I. Datenschutzerklärung für Klienten
Diese Erklärung beschreibt, wie
Mag. Dr. Thomas Auer – Steuerberater - Wirtschaftstreuhänder ,
6500 Stanz bei Landeck, Stanz 176
(„wir“) Ihre personenbezogenen Daten verarbeitet. Die Erklärung richtet sich an unsere bestehenden und ehemaligen Klienten, Interessenten und potentielle zukünftige Klienten, sowie ihre jeweiligen Gesellschafter, Organe und sonstigen Mitarbeiter.
1. Zwecke der Datenverarbeitung
Wir werden Ihre personenbezogenen Daten zu folgenden Zwecken verarbeiten:
- zur Begründung, Verwaltung und Abwicklung der Geschäftsbeziehung;
- zur Stärkung der bestehenden Klientenbeziehung bzw. zum Aufbau einer neuen Klientenbeziehungen oder dem Herantreten an Interessenten, einschließlich der Information über aktuelle Rechtsentwicklungen und unser Dienstleistungsangebot (Marketing);
- im Falle einer bereits erfolgten Beauftragung zur interne Organisation und zum Schadensmanagement der Kanzlei
und soweit jeweils vom Klienten beauftragt:
- zur Durchführung der Lohnverrechnung für Klienten (einschließlich monatliche Lohn- und Gehaltsabrechnung, monatliche und jährliche Meldungen an Behörden etc.);
- zur Durchführung der Finanz- und Geschäftsbuchhaltung für Klienten;
- zur Ausübung von Beratungs- und Vertretungstätigkeiten im Bereich des Steuerrechts und wirtschaftlichen Angelegenheiten;
- zur Beratung und Vertretung in Beitrags-, Versicherungs- und Leistungsangelegenheiten der Sozialversicherungen,
- zur Vertretung vor Verwaltungsgerichten und Verwaltungsbehörden und vor gesetzlich anerkannten Kirchen und Religionsgemeinschaften in Beitragsangelegenheiten und vor allen anderen behördlich tätigen Institutionen und
- zur sonstigen Beratung sowie zur Übernahme von Treuhandaufgaben und zur Verwaltung von Vermögen im Berechtigungsumfang des § 2 WTBG 2017,
- sowie zur jeder beauftragten Aufgabe gemäß § 2 WTBG 2017
- zur selbständige Ausübung jener wirtschaftstreuhänderischen Arbeiten, die eine Zusicherungsleistung eines unabhängigen Prüfers erfordern, insbesondere die gesetzlich vorgeschriebene und jede auf öffentlichem oder privatem Auftrag beruhende Prüfung der Buchführung, der Rechnungsabschlüsse, der Kostenrechnung, der Kalkulation und der kaufmännischen Gebarung von Unternehmen, die mit oder ohne der Erteilung eines förmlichen Bestätigungsvermerkes verbunden ist, sowie
- zur selbständigen Durchführung von sonstigen Prüfungen und vereinbarten Untersuchungshandlungen;
- zur pagatorischen Buchhaltung (Geschäftsbuchhaltung) einschließlich der Lohnverrechnung sowie zur kalkulatorischen Buchhaltung (Kalkulation), einschließlich der Beratung auf diesen Gebieten,
- zur Beratung und Hilfeleistung auf dem Gebiet der Rechnungslegung und des Bilanzwesens und zum Abschluss unternehmerischer Bücher,
- zur Erbringung sämtlicher Beratungsleistungen und Tätigkeiten im Zusammenhang mit dem betrieblichen Rechnungswesen
- zur Beratung betreffend Einrichtung und Organisation eines internen Kontrollsystems,
- zur Sanierungsberatung, insbesondere zur Erstellung von Sanierungsgutachten, zur Organisation von Sanierungsplänen, zur Prüfung von Sanierungsplänen und zur begleitenden Kontrolle bei der Durchführung von Sanierungsplänen,
- zur Beratung und Vertretung in Devisensachen (ohne Vertretung vor ordentlichen Gerichten),
- zur Erstattung von Sachverständigengutachten auf den Gebieten des Buchführungs- und Bilanzwesens und auf jenen Gebieten, zu deren fachmännischer Beurteilung Kenntnisse des Rechnungswesens oder der Betriebswirtschaftslehre erforderlich sind,
- zur Ausübung jener wirtschaftstreuhänderischen Arbeiten, auf die in anderen Gesetzen mit der ausdrücklichen Bestimmung hingewiesen wird, dass sie nur von Buchprüfern oder Wirtschaftsprüfern gültig ausgeführt werden können,
- zur Übernahme von Treuhandaufgaben und zur Verwaltung von Vermögenschaften mit Ausnahme der Verwaltung von Gebäuden,
- zur Beratung in arbeitstechnischen Fragen und
- zur Tätigkeit als Mediator
- sowie zur jeder beauftragten Aufgabe gemäß § 3 WTBG 2017.
Soweit wir Ihre personenbezogenen Daten bei Ihnen selbst erheben, ist die Bereitstellung Ihrer Daten grundsätzlich freiwillig. Allerdings können wir unseren Auftrag nicht oder nicht vollständig erfüllen, wenn Sie Ihre personenbezogenen Daten nicht bereitstellen.
2. Rechtsgrundlagen der Verarbeitung
Wenn Sie ein Interessent bzw. potentiell zukünftiger Klient sind, werden wir Ihre Kontaktdaten zum Zweck der Direktwerbung über den Weg der Zusendung elektronischer Post oder der telefonische Kontaktaufnahme nur mit Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a der Datenschutzgrundverordnung („DSGVO“) verarbeiten.
Wenn Sie unser Klient sind, verarbeiten wir Ihre personenbezogenen Daten, weil dies erforderlich ist, um den mit Ihnen geschlossenen Vertrag zu erfüllen (Art. 6 Abs. 1 lit. b DSGVO).
Im Übrigen verarbeiten wir Ihre personenbezogenen Daten auf der Grundlage unseres überwiegenden berechtigten Interesses, die unter Punkt 1 genannten Zwecke zu erreichen (Art. 6 Abs. 1 lit. f DSGVO) und auf der gesetzlichen Grundlage des WTBG 2017 (Art. 9 Abs. 2 lit. g DSGVO).
3. Übermittlung Ihrer personenbezogenen Daten
Soweit dies zu den unter Punkt 1 genannten Zwecken zwingend erforderlich ist, werden wir Ihre personenbezogenen Daten an folgende Empfänger übermitteln:
- von uns eingesetzte IT-Dienstleister sowie sonstige Dienstleister i.Z.m. Marketing-Aktivitäten,
- Verwaltungsbehörden, Gerichte und Körperschaften des öffentlichen Rechtes,
- Wirtschaftstreuhänder für Zwecke des Auditing,
- Versicherungen aus Anlass des Abschlusses eines Versicherungsvertrages über die Leistung oder des Eintritts des Versicherungsfalles (z.B. Haftpflichtversicherung),
- Klienten, soweit es sich um Daten der Gesellschafter, Organe und sonstigen Mitarbeiter des jeweiligen Klienten handelt,
- Kooperationspartner und für uns tätige Rechtsvertreter,
- vom Klienten bestimmte sonstige Empfänger (z.B. Konzerngesellschaften des Klienten),
- zusätzlich im Falle von personenbezogenen Daten von Dienstnehmern unserer Klienten im Bereich der Lohnverrechnung:
- Gläubiger des Dienstnehmers sowie sonstige an der allenfalls damit verbundenen Rechtsverfolgung Beteiligte, auch bei freiwilligen Gehaltsabtretungen für fällige Forderungen,
- Organe der betrieblichen und gesetzlichen Interessensvertretung,
- Versicherungsanstalten im Rahmen einer bestehenden Gruppen- oder Einzelversicherung sowie Mitarbeitervorsorgekassen (MVK),
- mit der Auszahlung an den Dienstnehmer oder an Dritte befasste Banken,
- Betriebsärzte und Pensionskassen,
- Mitversicherte und
- zusätzlich im Bereich der Finanz- und Geschäftsbuchhaltung für Klienten:
- Inkassounternehmen zur Schuldeneintreibung,
- Banken im Auftrag des Klienten,
- Factoring-Unternehmen, Zessionare und Leasingunternehmen.
Manche der oben genannten Empfänger können sich außerhalb Österreichs befinden oder Ihre personenbezogenen Daten außerhalb Österreichs verarbeiten. Das Datenschutzniveau in anderen Ländern entspricht unter Umständen nicht jenem Österreichs. Wir setzen daher Maßnahmen, um zu gewährleisten, dass alle Empfänger ein angemessenes Datenschutzniveau bieten. Dazu schließen wir beispielsweise Standardvertragsklauseln (2010/87/EC und/oder 2004/915/EC) ab. Diese sind auf Anfrage verfügbar (siehe Punkt 6).
4. Speicherdauer
Wir speichern Ihre personenbezogenen Daten grundsätzlich bis zur Beendigung der Geschäftsbeziehung im Rahmen derer wir Ihre Daten erhoben haben oder bis zum Ablauf der anwendbaren gesetzlichen Verjährungs- und Aufbewahrungsfristen; darüber hinaus bis zur Beendigung von allfälligen Rechtsstreitigkeiten, bei denen die Daten als Beweis benötigt werden. Soweit Sie ein Klient, ehemaliger Klienten, Interessent bzw. potentiell zukünftiger Klient oder eine Kontaktperson bei einer der Vorgenannten sind, speichern wir Ihre personenbezogenen Daten für die Zwecke des Marketings bis zu Ihrem Widerspruch oder dem Widerruf Ihrer Einwilligung, soweit die Marketingmaßnahme auf Grundlage Ihrer Einwilligung erfolgt.
5. Ihre Rechte im Zusammenhang mit personenbezogenen Daten
Sie sind unter anderem berechtigt (i) zu überprüfen, ob und welche personenbezogenen Daten wir über Sie verarbeiten und Kopien dieser Daten zu erhalten, (ii) die Berichtigung, Ergänzung, oder Löschung Ihrer personenbezogenen Daten zu verlangen, soweit diese falsch sind oder nicht rechtskonform verarbeitet werden, (iii) von uns zu verlangen, die Verarbeitung Ihrer personenbezogenen Daten einzuschränken, (iv) unter bestimmten Umständen der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen oder die für die Verarbeitung zuvor gegebene Einwilligung zu widerrufen, wobei ein Widerruf die Rechtsmäßigkeit der vor dem Widerruf erfolgten Verarbeitung nicht berührt, (v) Datenübertragbarkeit zu verlangen, soweit Sie unser Klient sind (vi) die Identität von Dritten, an welche Ihre personenbezogenen Daten übermittelt werden, zu kennen und (vii) bei der Datenschutzbehörde Beschwerde zu erheben.
6. Unsere Kontaktdaten
Sollten Sie zu dieser Erklärung Fragen haben oder Anträge stellen wollen, wenden Sie sich bitte an uns:
Mag. Dr. Thomas Auer – Steuerberater - Wirtschaftstreuhänder
6500 Stanz bei Landeck, Stanz 176
office@steuerberater-auer.at
II. Sicherheitsrichtlinien
Zur Gewährleistung der Sicherheit personenbezogener Daten werden von der Kanzlei folgende Sicherheitsmaßnahmen in Entsprechung des Artikel 32 der Datenschutz-Grundverordnung implementiert:
Präventive Sicherheitsmaßnahmen – Maßnahmen zur Verhinderung eines erfolgreichen Angriffs
Technische Maßnahmen
Logische Zugriffskontrolle: Die Vergabe von Zugriffsberechtigungen erfolgt nach dem „Need-to-Know“-Prinzip.
Authentifizierung: Jeglicher Zugriff auf personenbezogene Daten erfolgt ausschließlich nach einer erfolgreichen Authentifizierung.
Passwortsicherheit: Soweit Passwörter zur Authentifizierung eingesetzt werden, sollten diese mindestens 8 Zeichen lang sein und aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen bestehen. Passwörter werden ausschließlich verschlüsselt gespeichert.
Verschlüsselung auf dem Übertragungsweg: Personenbezogener Daten werden auf dem Übertragungsweg über das Internet verschlüsselt, zumindest soweit es sich um Daten der Lohnverrechnung oder sensible Daten handelt.
Verschlüsselung mobiler Geräte: Mobile Endgeräte und mobile Datenträger werden verschlüsselt, zumindest soweit auf diesen Geräten Daten der Lohnverrechnung oder sensible Daten gespeichert werden.
Netzwerksicherheit: Es wird eine Firewall eingesetzt, welche das interne Netzwerk vom Internet trennt und – soweit möglich – eingehenden Netzwerkverkehr blockiert.
Maßnahmen gegen Schadsoftware: Es wird nach Möglichkeit auf allen Systemen Anti-Viren Software eingesetzt. Alle eingehenden E-Mails werden automatisch auf Schadsoftware gescannt.
Management von Sicherheitslücken: Soweit möglich, wird auf allen Geräten die automatische Installation von Sicherheitsupdates aktiviert. Ansonsten erfolgt die Installation kritischer Sicherheitsupdates binnen 3 Arbeitstagen, die Installation von Sicherheitsupdates mittlerer Kritikalität binnen 25 Arbeitstagen und die Installation von Sicherheitsupdates geringer Kritikalität binnen 40 Arbeitstagen.
Organisatorische Maßnahmen
Klare Zuständigkeiten: Interne Zuständigkeiten für Fragen der Datensicherheit werden definiert.
Verschwiegenheitspflicht der Dienstnehmer: Die Dienstnehmer werden über die Dauer ihres Dienstverhältnisses hinaus zur Verschwiegenheit verpflichtet. Insbesondere werden sie dazu verpflichtet, personenbezogene Daten nur auf ausdrückliche Anweisung eines Vorgesetzten an Dritte zu übermitteln.
Schulungen und Informationsmaßnahmen: Die Dienstnehmer werden zu Fragen der Datensicherheit (intern oder extern) geschult und angemessen über Fragen der Datensicherheit informiert (z.B. Passwortsicherheit).
Geordnete Beendigung des Dienstverhältnisses: Bei Beendigung des Dienstverhältnisses erfolgt eine unverzügliche Sperrung aller Konten des ausscheidenden Dienstnehmers sowie eine Abnahme aller Schlüssel des ausscheidenden Dienstnehmers.
Verwaltung von Computer-Hardware: Es werden Aufzeichnungen darüber geführt, welchem Mitarbeiter welche Endgeräte (z.B. PC, Laptop, Mobiltelefon) zugewiesen wurden.
Eingabekontrolle: Es bestehen Verfahren zur Kontrolle der Richtigkeit der eingegebenen personenbezogenen Daten.
Keine Doppelverwendung von Benutzer-Accounts: Jede Person sollte ihren eigenen Benutzer-Account haben – das Teilen von Benutzer-Accounts ist untersagt.
Keine unnötige Verwendung administrativer Accounts: Benutzer-Accounts mit administrativen Rechten werden nur in Ausnahmefällen verwendet – die reguläre Nutzung von IT-Systemen erfolgt ohne administrative Rechte.
Auswahl der Dienstleiser: Bei der Auswahl von Dienstleistern wird das vom Dienstleister gebotene Datensicherheitsniveau berücksichtigt. Der Einsatz eines Dienstleisters, der als Auftragsverarbeiter einzustufen ist, erfolgt nur nach Abschluss einer Auftragsverarbeitervereinbarung.
Sichere Datenentsorgung: Papier, welches personenbezogene Daten enthält, wird grundsätzlich geschreddert bzw. einem externen Dienstleister zur sicheren Vernichtung übergeben. Datenträger werden vor ihrer Entsorgung vollständig überschrieben oder physisch zerstört, sodass die darauf gespeicherten Daten nicht wieder hergestellt werden können.
Physische Maßnahmen
physische Zugangskontrolle: Das Betreten der Betriebsräumlichkeiten ist für betriebsfremde Personen nur in Begleitung einer betriebsangehörigen Person zulässig.
Einbruchssicherheit: Die Zugänge zu den Betriebsräumlichkeiten verfügen über einen angemessenen Einbruchsschutz (z.B. eine Sicherheitstüre höherer Widerstandsklasse).
Besonderer Schutz von Computer-Hardware: Der Zugang zu Räumlichkeiten, in denen sich Computer-Server befinden ist durch besondere Maßnahmen gesichert (z.B. zusätzliches Schloss).
Schlüsselverwaltung: Schlüssel, welchen den Zugang zu den Betriebsräumlichkeiten oder Teilen derselben ermöglichen, werden nur an besonders vertrauenswürdige Personen ausgehändigt und dies auch nur soweit und solange diese Personen tatsächlich einen eigenen Schlüssel benötigen.
Detektive Sicherheitsmaßnahmen – Maßnahmen zur Erkennung eines Angriffs
Technische Maßnahmen
Scans nach Schadsoftware: Es werden regelmäßig Scans nach Schadsoftware (Anti-Viren-Scans) durchgeführt, um Schadsoftware zu identifizieren, welche ein IT-System bereits kompromittiert hat.
Automatische Prüfung von Logfiles: Soweit die Sicherheits-Logfiles mehrerer System auf einem System zentralisiert gesammelt werden, erfolgt eine automatisierte Auswertung der Logfiles, um mögliche Sicherheitsverletzungen zu erkennen.
Sicherheits-Mailing-Listen: Es wird sichergestellt, dass ein Mitarbeiter des Unternehmens oder ein externer Dienstleister einschlägige Mailing-Listen für die Bekanntgabe neuer IT-Sicherheits-Bedrohungen abonniert (z.B. Mailing-Listen der Hersteller der verwendeten Software), um über die aktuelle Bedrohungslage in Kenntnis zu sein.
Organisatorische Maßnahmen
Erkennung von Sicherheitsverletzungen durch Dienstnehmer : Alle Dienstnehmer werden instruiert, wie sie Sicherheitsverletzung erkennen können (z.B. nicht mehr auffindbare Computer-Hardware, Meldungen von Anti-Viren-Software).
Betriebsfremde Personen: Alle Dienstnehmer werden instruiert, betriebsfremde Personen anzusprechen, sollten sie in den Betriebsräumlichkeiten angetroffen werden.
Audits: Es werden regelmäßige Audits durchgeführt (z.B. Prüfung, ob alle kritischen Sicherheits-Updates installiert wurden). Insbesondere erfolgt eine regelmäßige Prüfung der erteilten Zugriffs- und Zutrittsberechtigungen (welchem Mitarbeiter ist welcher Benutzer-Account mit welchen Zugriffsrechten zugewiesen; welche Personen verfügen über welche Schlüssel).
Manuelle Prüfung von Logfiles: Soweit Logfiles geführt werden (z.B. über erfolglose Authentifizierungsversuche), werden diese in regelmäßigen Abständen geprüft.
Physische Maßnahmen
Brandmelder: Sofern dies aufgrund der Größe und Beschaffenheit der Betriebsräumlichkeiten angemessen ist, wird ein Brandmelder installiert, der durch Rauch automatisch ausgelöst wird.
Reaktive Sicherheitsmaßnahmen – Maßnahmen zur Reaktion auf einen Angriff
Technische Maßnahmen
Datensicherung: Es werden regelmäßig Datensicherungen erstellt und sicher aufbewahrt.
Datenwiederherstellungskonzept: Es wird ein Konzept zur raschen Wiederherstellung von Datensicherungen entwickelt, um nach einer Sicherheitsverletzung zeitnah den regulären Betrieb wieder herstellen zu können.
Automatische Entfernung von Schadsoftware: Die eingesetzte Anti-Viren-Software verfügt über die Funktion, Schadsoftware automatische zu entfernen.
Organisatorische Maßnahmen
Meldepflicht für Dienstnehmer: Alle Dienstnehmer werden angewiesen, Sicherheitsverletzungen unverzüglich an eine zuvor definierte interne Stelle bzw. Person zu melden.
Meldepflicht für externe Dienstleister: Allen Dienstleistern wurden Kontaktdaten für die Meldung von Sicherheitsverletzungen mitgeteilt.
Prozess für die Reaktion auf Sicherheitsverletzungen: Es wird durch einen geeigneten Prozess sichergestellt, dass Sicherheitsverletzungen innerhalb von 72 Stunden ab Kenntnis von der Sicherheitsverletzung an die Datenschutzbehörde gemeldet werden können. Insbesondere sind allen Dienstnehmern die Notfall-Telefonnummern der zu involvierenden Personen bekannt zu geben (z.B. Notfall-Telefonnummer für den IT-Support).
Physische Maßnahmen
Feuerlöscher: In den Betriebsräumlichkeiten gibt es eine geeignete Anzahl an Feuerlöschern. Allen Dienstnehmern ist bekannt, wo sich die Feuerlöscher befinden.
Feueralarm: Soweit es keinen Brandmelder gibt, der über keine automatische Verbindung zur Feuerwehr verfügt, wird durch einen angemessenen Prozess sichergestellt, dass die Feuerwehr manuell verständigt werden kann.
Abschreckende Sicherheitsmaßnahmen – Maßnahmen zur Minderung der Angreifermotivation
Technische Maßnahmen
Automatische Warnmeldungen: Nutzer erhalten automatische Warnmeldungen bei risikoträchtiger IT-Nutzung (z.B. durch den Webbrowser, wenn eine verschlüsselte Website kein korrektes SSL/TLS-Zertifikat verwendet).
Organisatorische Maßnahmen
Sanktionen bei Angriffen durch eigene Dienstnehmer: Alle Dienstnehmer werden darüber informiert, dass Angriffe auf betriebseigene IT-Systeme nicht toleriert werden und schwerwiegende arbeitsrechtliche Konsequenzen, wie insbesondere eine Entlassung nach sich ziehen können.
