Als Steuerberatungskanzlei haben wir Einblick in Ihre Buchhaltung, Lohnverrechnung und in alle Rechnungen. Wir wissen zu schätzen, dass Sie uns diese sensiblen Daten anvertrauen und gehen sehr sorgfältig mit diesen um. Die Datenschutzgrundverordnung, die am 25.5.2018 in Kraft getreten ist, ist für unsere Kanzlei der Ansporn gewesen, bei dieser Sorgfalt für Ihre Sicherheit noch besser zu werden.

Datenverarbeitungsregister

Das größte Vorhaben der neuen Verordnung ist das Datenverarbeitungsverzeichnis, das wir zusammen mit unserem IT-Dienstleister individuell auf unsere Kanzlei zugeschnitten erstellt haben. In diesem wird jede Art von sensiblen Daten festgehalten und zwar

• wie sie weitergegeben werden dürfen und welche Kontrolle dabei stattfindet,
• wie die Aufbewahrungs- und Löschungsfristen sind,
• wie der Zutritt und Zugriff auf die Daten erfolgt,
• und wie Backup, Virenschutz und Firewall die Verfügbarkeit zu jeder Zeit gewährleisten.

Mit unserem Datenverarbeitungsverzeichnis können wir gewährleisten, dass alle Daten unserer Klienten in Österreich und somit unter Anwendung der starken Datensicherheitsvorschriften gespeichert werden.

Passwörter, Kundendaten und Verschwiegenheitserklärungen

Damit Datenschutz wirkt, muss dieser von uns allen täglich gelebt werden.

Deshalb wurde in einer durchgeführten internen Schulung für unsere Mitarbeiter der Umgang mit Passwörtern und sensiblen Klientendaten besprochen. Mit allen Lieferanten wurden Verschwiegenheitserklärungen abgeschlossen. Darunter unser Softwareanbieter RZL Software GmbH, der IT-Dienstleister WEMIT Services GmbH und das Reinigungsunternehmen. Auch wurde von unseren bestehenden Klienten neue Vollmachten und Datenschutzerklärungen eingeholt.

Unser Partner WEMIT Services GmbH

Unser praktisches Knowhow geben wir gerne weiter: Kontaktieren Sie uns mit Ihren Fragen zur Umsetzung der neuen Datenschutzgrundverordnung in Ihrem Betrieb. Als technischen Partner können wir WEMIT Services GmbH wärmstens empfehlen. Diese erreichen Sie entweder telefonisch unter 01/242 80 242, per E-Mail unter office@wemit.at oder über deren Homepage www.wemit.at.

Gerne möchten wir im Anschluss die Datenschutzerklärung für unsere Klienten veröffentlichen.

Datenschutzerklärung für Klienten

Diese Erklärung beschreibt, wie die Birgit Priklopil Steuerberatung GmbH, Amtshausgasse 1A, 7132 Frauenkirchen („wir“) Ihre personenbezogene Daten verarbeitet. Die Erklärung richtet sich an unsere bestehenden und ehemaligen Klienten, Interessenten und potentielle zukünftige Klienten, sowie ihre jeweiligen Gesellschafter, Organe und sonstigen Mitarbeiter.

1. Zwecke der Datenverarbeitung

Wir werden Ihre personenbezogenen Daten zu folgenden Zwecken verarbeiten:

• zur Begründung, Verwaltung und Abwicklung der Geschäftsbeziehung;
• zur Stärkung der bestehenden Klientenbeziehung bzw. zum Aufbau einer neuen Klientenbeziehungen oder dem Herantreten an Interessenten, einschließlich der Information über aktuelle Rechtsentwicklungen und unser Dienstleistungsangebot (Marketing);
• im Falle einer bereits erfolgten Beauftragung zur interne Organisation und zum Schadensmanagement der Kanzlei

und soweit jeweils vom Klienten beauftragt:

• zur Durchführung der Lohnverrechnung für Klienten (einschließlich monatliche Lohn- und Gehaltsabrechnung, monatliche und jährliche Meldungen an Behörden etc.);
• zur Durchführung der Finanz- und Geschäftsbuchhaltung für Klienten;
• zur Ausübung von Beratungs- und Vertretungstätigkeiten im Bereich des Steuerrechts und wirtschaftlichen Angelegenheiten;
• zur Beratung und Vertretung in Beitrags-, Versicherungs- und Leistungsangelegenheiten der Sozialversicherungen,
• zur Vertretung vor Verwaltungsgerichten und Verwaltungsbehörden und vor gesetzlich anerkannten Kirchen und Religionsgemeinschaften in Beitragsangelegenheiten und vor allen anderen behördlich tätigen Institutionen und
• zur sonstigen Beratung sowie zur Übernahme von Treuhandaufgaben und zur Verwaltung von Vermögen im Berechtigungsumfang des § 2 WTBG 2017.

Soweit wir Ihre personenbezogenen Daten bei Ihnen selbst erheben, ist die Bereitstellung Ihrer Daten grundsätzlich freiwillig. Allerdings können wir unseren Auftrag nicht oder nicht vollständig erfüllen, wenn Sie Ihre personenbezogenen Daten nicht bereitstellen.

2. Rechtsgrundlagen der Verarbeitung

Wenn Sie ein Interessent bzw. potentiell zukünftiger Klient sind, werden wir Ihre Kontaktdaten zum Zweck der Direktwerbung über den Weg der Zusendung elektronischer Post oder der telefonische Kontaktaufnahme nur mit Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a der Datenschutzgrundverordnung („DSGVO“) verarbeiten.

Wenn Sie unser Klient sind, verarbeiten wir Ihre personenbezogenen Daten, weil dies erforderlich ist, um den mit Ihnen geschlossenen Vertrag zu erfüllen (Art. 6 Abs. 1 lit. b DSGVO).

Im Übrigen verarbeiten wir Ihre personenbezogenen Daten auf der Grundlage unseres überwiegenden berechtigten Interesses, die unter Punkt 1 genannten Zwecke zu erreichen (Art. 6 Abs. 1 lit. f DSGVO) und auf der gesetzlichen Grundlage des WTBG 2017 (Art. 9 Abs. 2 lit. g DSGVO).

3. Übermittlung Ihrer personenbezogenen Daten

Soweit dies zu den unter Punkt 1 genannten Zwecken zwingend erforderlich ist, werden wir Ihre personenbezogenen Daten an folgende Empfänger übermitteln

• von uns eingesetzte IT-Dienstleister,
• Verwaltungsbehörden, Gerichte und Körperschaften des öffentlichen Rechtes,
• Versicherungen aus Anlass des Abschlusses eines Versicherungsvertrages über die Leistung oder des Eintritts des Versicherungsfalles (z.B. Haftpflichtversicherung),
• Klienten, soweit es sich um Daten der Gesellschafter, Organe und sonstigen Mitarbeiter des jeweiligen Klienten handelt,
• Kooperationspartner und für uns tätige Rechtsvertreter,
• vom Klienten bestimmte sonstige Empfänger,
• zusätzlich im Falle von personenbezogenen Daten von Dienstnehmern unserer Klienten im Bereich der Lohnverrechnung:
  • Gläubiger des Dienstnehmers sowie sonstige an der allenfalls damit verbundenen Rechtsverfolgung Beteiligte, auch bei freiwilligen Gehaltsabtretungen für fällige Forderungen,
  • Organe der betrieblichen und gesetzlichen Interessensvertretung,
  • Versicherungsanstalten im Rahmen einer bestehenden Gruppen- oder Einzelversicherung sowie Mitarbeitervorsorgekassen (MVK),
  • mit der Auszahlung an den Dienstnehmer oder an Dritte befasste Banken,
  • Betriebsärzte und Pensionskassen,
  • Mitversicherte und
• zusätzlich im Bereich der Finanz- und Geschäftsbuchhaltung für Klienten:
  • Inkassounternehmen zur Schuldeneintreibung,
  • Banken im Auftrag des Klienten,
  • Factoring-Unternehmen, Zessionare und Leasingunternehmen.

 Manche der oben genannten Empfänger können sich außerhalb Österreichs befinden oder Ihre personenbezogenen Daten außerhalb Österreichs verarbeiten. Das Datenschutzniveau in anderen Ländern entspricht unter Umständen nicht jenem Österreichs. Wir setzen daher Maßnahmen, um zu gewährleisten, dass alle Empfänger ein angemessenes Datenschutzniveau bieten.

4. Speicherdauer

Wir speichern Ihre personenbezogenen Daten grundsätzlich bis zur Beendigung der Geschäftsbeziehung im Rahmen derer wir Ihre Daten erhoben haben oder bis zum Ablauf der anwendbaren gesetzlichen Verjährungs- und Aufbewahrungsfristen; darüber hinaus bis zur Beendigung von allfälligen Rechtsstreitigkeiten, bei denen die Daten als Beweis benötigt werden. Soweit Sie ein Klient, ehemaliger Klienten, Interessent bzw. potentiell zukünftiger Klient oder eine Kontaktperson bei einer der Vorgenannten sind, speichern wir Ihre personenbezogenen Daten für die Zwecke des Marketings bis zu Ihrem Widerspruch oder dem Widerruf Ihrer Einwilligung, soweit die Marketingmaßnahme auf Grundlage Ihrer Einwilligung erfolgt.

5. Ihre Rechte im Zusammenhang mit personenbezogenen Daten

Sie sind unter anderem berechtigt (i) zu überprüfen, ob und welche personenbezogenen Daten wir über Sie verarbeiten und Kopien dieser Daten zu erhalten, (ii) die Berichtigung, Ergänzung, oder Löschung Ihrer personenbezogenen Daten zu verlangen, soweit diese falsch sind oder nicht rechtskonform verarbeitet werden, (iii) von uns zu verlangen, die Verarbeitung Ihrer personenbezogenen Daten einzuschränken, (iv) unter bestimmten Umständen  der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen oder die für die Verarbeitung zuvor gegebene Einwilligung zu widerrufen, wobei ein Widerruf die Rechtsmäßigkeit der vor dem Widerruf erfolgten Verarbeitung nicht berührt, (v) Datenübertragbarkeit zu verlangen, soweit Sie unser Klient sind (vi) die Identität von Dritten, an welche Ihre personenbezogenen Daten übermittelt werden, zu kennen und (vii) bei der Datenschutzbehörde Beschwerde zu erheben.

6. Unsere Kontaktdaten

Sollten Sie zu dieser Erklärung Fragen haben oder Anträge stellen wollen, wenden Sie sich bitte an uns:

Birgit Priklopil Steuerberatung GmbH

Amtshausgasse 1A

7132 Frauenkirchen

birgit.priklopil@priklopil.co.at

Gerne möchten wir im Anschluss die technisch-organisatorischen Maßnahmen zum Umsetzen der Datenschutz-Grundverordnung 2018 veröffentlichen.

Technische Maßnahmen:

• Logische Zugriffskontrolle: Derzeit sind am Dateiserver keine spezifischen Zugriffsberechtigungen eingerichtet, jeder authentifizierte Benutzer hat Zugriff auf alle Daten.
• Authentifizierung: Jeglicher Zugriff auf personenbezogene Daten erfolgt ausschließlich nach einer erfolgreichen Authentifizierung.
• Passwortsicherheit: Soweit Passwörter zur Authentifizierung eingesetzt werden, sind diese mindestens 7 Zeichen lang und müssen aus den 4 Kategorien Klein- und Großbuchstaben, Zahlen und Sonderzeichen mindestens 3 verwenden. Passwörter werden ausschließlich verschlüsselt gespeichert.
• Verschlüsselung auf dem Übertragungsweg: Personenbezogene Daten werden über eine gesicherte Datenübertragung via Klientenportal übermittelt, zumindest soweit es sich um Daten der Lohnverrechnung oder sensible Daten handelt.
• Netzwerksicherheit: Es wird eine Firewall eingesetzt, welche das interne Netzwerk vom Internet trennt und – soweit möglich – eingehenden Netzwerkverkehr blockiert.
• Maßnahmen gegen Schadsoftware: Es wird auf allen Systemen eine Anti-Viren Software eingesetzt. Alle eingehenden Mails werden automatisch auf Schadsoftware gescannt.
• Management von Sicherheitslücken: Soweit möglich, wird auf allen Geräten die automatische Installation von Sicherheitsupdates aktiviert. Ansonsten erfolgt die Installation kritischer Sicherheitsupdates binnen 5 Arbeitstagen, die Installation von Sicherheitsupdates mittlerer Kritikalität binnen 25 Werktagen.

Organisatorische Maßnahmen:

• Klare Zuständigkeiten: Interne Zuständigkeiten für Fragen der Datensicherheit sind definiert.
• Verschwiegenheitspflicht der Dienstnehmer: Die Dienstnehmer sind über die Dauer ihres Dienstverhältnisses hinaus zur Verschwiegenheit verpflichtet. Insbesondere werden sie dazu verpflichtet, personenbezogene Daten nur auf ausdrückliche Anweisung des Klienten an Dritte zu übermitteln.
• Schulungen und Informationsmaßnahmen: Die Dienstnehmer sind zu Fragen der Datensicherheit geschult und angemessen über Fragen der Datensicherheit informiert.
• Geordnete Beendigung des Dienstverhältnisses: Bei Beendigung des Dienstverhältnisses erfolgt eine unverzügliche Sperrung aller Accounts des ausscheidenden Dienstnehmers sowie eine Abnahme aller Schlüssel.
• Keine unnötige Verwendung administrativer Accounts: Benutzer-Accounts mit administrativen Rechten werden nur in Ausnahmefällen verwendet – die reguläre Nutzung von IT-Systemen erfolgt ohne administrative Rechte.
• Auswahl der Dienstleister: Bei der Auswahl von Dienstleistern wird das vom Dienstleister gebotene Datensicherheitsniveau berücksichtigt. Der Einsatz eines Dienstleisters, der als Auftragsverarbeiter einzustufen ist, erfolgt nur nach Abschluss einer Auftragsverarbeiter-Vereinbarung.
• Sichere Datenentsorgung: Papier, welches personenbezogene Daten enthält, wird einem externen Dienstleister zur sicheren Vernichtung übergeben. Datenträger werden vor ihrer fachgerechten Entsorgung vollständig überschrieben.

Physische Maßnahmen

• Physische Zugangskontrolle: Das Betreten der Betriebsräumlichkeiten ist für betriebsfremde Personen nur in Begleitung einer betriebsangehörigen Person zulässig.
• Einbruchssicherheit: Sämtliche Eingangstüren sind versperrbar und außerhalb der Öffnungszeiten sind die Büroräumlichkeiten somit nicht zugänglich.
• Schlüsselverwaltung: Schlüssel, welche den Zugang zu den Betriebsräumlichkeiten oder Teilen derselben ermöglichen, werden nur an besonders vertrauenswürdige Personen ausgehändigt und diese auch nur soweit und solange diese Personen tatsächlich einen eigenen Schlüssel benötigen.