I.
Datenschutzerklärung
Diese Erklärung beschreibt,
wie
KHWT Steuerberater MMag
Dr Klaus Hilber GmbH,
A-6162 Mutters, Rauschgraben 14,
(„wir“) Ihre personenbezogenen
Daten verarbeitet. Die Erklärung richtet sich an unsere bestehenden und
ehemaligen Klienten, Interessenten und potentielle zukünftige Klienten, sowie
ihre jeweiligen Gesellschafter, Organe und sonstigen Mitarbeiter.
1.
Zwecke der Datenverarbeitung
Wir werden Ihre
personenbezogenen Daten zu folgenden Zwecken verarbeiten:
-
zur Begründung, Verwaltung und Abwicklung der
Geschäftsbeziehung;
-
zur Stärkung der bestehenden Klientenbeziehung bzw. zum Aufbau einer neuen Klientenbeziehung oder dem Herantreten an Interessenten,
einschließlich der Information über aktuelle Rechtsentwicklungen und unser
Dienstleistungsangebot (Marketing);
-
im Falle einer bereits erfolgten Beauftragung
zur internen Organisation und zum Schadensmanagement der Kanzlei
und soweit jeweils vom
Klienten beauftragt:
-
zur Durchführung der Lohnverrechnung für
Klienten (einschließlich monatliche Lohn- und Gehaltsabrechnung, monatliche und
jährliche Meldungen an Behörden etc.);
-
zur Durchführung der Finanz- und
Geschäftsbuchhaltung für Klienten;
-
zur Ausübung von Beratungs- und Vertretungstätigkeiten
im Bereich des Steuerrechts und wirtschaftlichen Angelegenheiten;
-
zur Beratung und Vertretung in Beitrags-,
Versicherungs- und Leistungsangelegenheiten der Sozialversicherungen,
-
zur Vertretung vor Verwaltungsgerichten und
Verwaltungsbehörden und vor gesetzlich anerkannten Kirchen und
Religionsgemeinschaften in Beitragsangelegenheiten und vor allen anderen
behördlich tätigen Institutionen und
-
zur sonstigen Beratung sowie zur Übernahme
von Treuhandaufgaben und zur Verwaltung von Vermögen im Berechtigungsumfang des
§ 2 WTBG 2017,
-
sowie zu jeder beauftragten Aufgabe gemäß § 2
WTBG 2017
-
zur Beratung und Hilfeleistung auf dem Gebiet
der Rechnungslegung und des Bilanzwesens und zum Abschluss unternehmerischer
Bücher,
-
zur Erbringung sämtlicher Beratungsleistungen
und Tätigkeiten im Zusammenhang mit dem betrieblichen Rechnungswesen
-
zur Beratung betreffend Einrichtung und
Organisation eines internen Kontrollsystems,
-
zur Sanierungsberatung, insbesondere zur Erstellung
von Sanierungsgutachten, zur Organisation von Sanierungsplänen, zur Prüfung von
Sanierungsplänen und zur begleitenden Kontrolle bei der Durchführung von
Sanierungsplänen,
-
zur Beratung und Vertretung in Devisensachen
(ohne Vertretung vor ordentlichen Gerichten),
-
zur Erstattung von Sachverständigengutachten
auf den Gebieten des Buchführungs- und Bilanzwesens und auf jenen Gebieten, zu
deren fachmännischer Beurteilung Kenntnisse des Rechnungswesens oder der
Betriebswirtschaftslehre erforderlich sind,
-
zur Übernahme von Treuhandaufgaben und zur Verwaltung
von Vermögenschaften mit Ausnahme der Verwaltung von
Gebäuden,
-
zur Beratung in arbeitstechnischen Fragen und
soweit wir Ihre
personenbezogenen Daten bei Ihnen selbst erheben, ist die Bereitstellung Ihrer
Daten grundsätzlich freiwillig. Allerdings können wir unseren Auftrag nicht
oder nicht vollständig erfüllen, wenn Sie Ihre personenbezogenen Daten nicht
bereitstellen.
2.
Rechtsgrundlagen der Verarbeitung
Wenn Sie ein Interessent
bzw potentiell zukünftiger Klient sind, werden wir Ihre Kontaktdaten zum Zweck
der Direktwerbung über den Weg der Zusendung elektronischer Post oder der telefonischen
Kontaktaufnahme nur mit Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a der Datenschutzgrundverordnung („DSGVO“)
verarbeiten.
Wenn Sie unser Klient
sind, verarbeiten wir Ihre personenbezogenen Daten, weil dies erforderlich ist,
um den mit Ihnen geschlossenen Vertrag zu erfüllen (Art. 6 Abs. 1 lit. b DSGVO).
Im Übrigen verarbeiten
wir Ihre personenbezogenen Daten auf der Grundlage unseres überwiegenden
berechtigten Interesses, die unter Punkt 1 genannten Zwecke zu erreichen
(Art. 6 Abs. 1 lit. f DSGVO) und auf
der gesetzlichen Grundlage des WTBG 2017 (Art. 9 Abs. 2 lit. g DSGVO).
3.
Übermittlung Ihrer personenbezogenen Daten
Soweit dies zu den unter
Punkt 1 genannten Zwecken zwingend erforderlich ist, werden wir Ihre personenbezogenen
Daten an folgende Empfänger übermitteln:
-
von uns eingesetzte IT-Dienstleister sowie sonstige
Dienstleister,
-
Verwaltungsbehörden, Gerichte und Körperschaften
des öffentlichen Rechtes,
-
Wirtschaftstreuhänder für Zwecke des Auditing,
-
Versicherungen aus Anlass des Abschlusses
eines Versicherungsvertrages über die Leistung oder des Eintritts des
Versicherungsfalles (z.B. Haftpflichtversicherung),
-
Klienten, soweit es sich um Daten der
Gesellschafter, Organe und sonstigen Mitarbeiter des jeweiligen Klienten
handelt,
-
Kooperationspartner und für uns tätige
Rechtsvertreter,
-
vom Klienten bestimmte sonstige Empfänger
(z.B. Konzerngesellschaften des Klienten),
-
zusätzlich im Falle von personenbezogenen Daten
von Dienstnehmern unserer Klienten im Bereich der Lohnverrechnung:
-
Gläubiger des Dienstnehmers sowie sonstige an
der allenfalls damit verbundenen Rechtsverfolgung Beteiligte, auch bei
freiwilligen Gehaltsabtretungen für fällige Forderungen,
-
Organe der betrieblichen und gesetzlichen
Interessensvertretung,
-
Versicherungsanstalten im Rahmen einer
bestehenden Gruppen- oder Einzelversicherung sowie Mitarbeitervorsorgekassen
(MVK),
-
mit der Auszahlung an den Dienstnehmer oder
an Dritte befasste Banken,
-
Betriebsärzte und Pensionskassen,
-
Mitversicherte und
-
zusätzlich im Bereich der Finanz- und
Geschäftsbuchhaltung für Klienten:
-
Inkassounternehmen zur Schuldeneintreibung,
-
Banken im Auftrag des Klienten,
-
Factoring-Unternehmen, Zessionare und Leasingunternehmen.
Manche
der oben genannten Empfänger können sich außerhalb Österreichs befinden oder Ihre
personenbezogenen Daten außerhalb Österreichs verarbeiten. Das Datenschutzniveau
in anderen Ländern entspricht unter Umständen nicht jenem Österreichs. Wir
setzen daher Maßnahmen, um zu gewährleisten, dass alle Empfänger ein
angemessenes Datenschutzniveau bieten. Dazu schließen wir beispielsweise Standardvertragsklauseln
(2010/87/EC und/oder 2004/915/EC) ab. Diese sind auf Anfrage verfügbar (siehe
Punkt 6).
4.
Speicherdauer
Wir speichern
Ihre personenbezogenen Daten grundsätzlich bis zur
Beendigung der Geschäftsbeziehung im Rahmen derer wir Ihre Daten erhoben haben oder
bis zum Ablauf der anwendbaren gesetzlichen Verjährungs- und
Aufbewahrungsfristen; darüber hinaus bis zur Beendigung von allfälligen
Rechtsstreitigkeiten, bei denen die Daten als Beweis benötigt werden. Soweit
Sie ein Klient, ehemaliger Klient, Interessent bzw.
potentiell zukünftiger Klient oder eine Kontaktperson bei einer der
Vorgenannten sind, speichern wir Ihre personenbezogenen Daten für die Zwecke des Marketings bis zu Ihrem Widerspruch
oder dem Widerruf Ihrer Einwilligung, soweit die Marketingmaßnahme auf
Grundlage Ihrer Einwilligung erfolgt.
5.
Ihre Rechte im Zusammenhang mit personenbezogenen Daten
Sie
sind unter anderem berechtigt (i) zu überprüfen, ob und welche personenbezogenen
Daten wir über Sie verarbeiten und Kopien dieser Daten zu erhalten, (ii) die
Berichtigung, Ergänzung, oder Löschung Ihrer personenbezogenen Daten zu
verlangen, soweit diese falsch sind oder nicht rechtskonform verarbeitet
werden, (iii) von uns zu verlangen, die Verarbeitung Ihrer personenbezogenen
Daten einzuschränken, (iv) unter bestimmten Umständen der Verarbeitung Ihrer personenbezogenen Daten
zu widersprechen oder die für die Verarbeitung zuvor gegebene Einwilligung zu
widerrufen, wobei ein Widerruf die Rechtsmäßigkeit der vor dem Widerruf
erfolgten Verarbeitung nicht berührt, (v) Datenübertragbarkeit zu verlangen, soweit
Sie unser Klient sind (vi) die Identität von Dritten, an welche Ihre personenbezogenen
Daten übermittelt werden, zu kennen und (vii) bei der Datenschutzbehörde
Beschwerde zu erheben.
6.
Unsere Kontaktdaten
Sollten Sie zu dieser Erklärung
Fragen haben oder Anträge stellen wollen, wenden Sie sich bitte an uns:
KHWT Steuerberater MMag Dr Klaus Hilber
GmbH
zH StB Dr Klaus Hilber
A-6162 Mutters,
Rauschgraben 14
k.hilber@khwt.at
II.
Sicherheitsrichtlinien
Zur Gewährleistung der Sicherheit personenbezogener Daten werden von der Kanzlei folgende Sicherheitsmaßnahmen in Entsprechung des Artikel 32 der Datenschutz-Grundverordnung implementiert:
Präventive Sicherheitsmaßnahmen – Maßnahmen zur Verhinderung eines erfolgreichen Angriffs
-
Technische Maßnahmen
o
Logische Zugriffskontrolle: Die Vergabe von Zugriffsberechtigungen
erfolgt nach dem „Need-to-Know“-Prinzip.
o
Authentifizierung: Jeglicher Zugriff auf personenbezogene Daten erfolgt ausschließlich nach einer erfolgreichen
Authentifizierung.
o
Passwortsicherheit: Soweit Passwörter zur Authentifizierung eingesetzt werden, sollten diese mindestens 8 Zeichen lang sein und aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen bestehen. Passwörter werden ausschließlich verschlüsselt gespeichert.
o
Verschlüsselung auf dem Übertragungsweg: Personenbezogene Daten werden auf dem Übertragungsweg über das Internet
verschlüsselt, zumindest soweit es sich
um Daten der Lohnverrechnung
oder sensible Daten handelt.
o
Verschlüsselung mobiler Geräte: Mobile Endgeräte und mobile Datenträger werden verschlüsselt, zumindest soweit auf diesen Geräten Daten der Lohnverrechnung oder sensible Daten
gespeichert werden.
o
Netzwerksicherheit: Es wird eine Firewall eingesetzt, welche das interne Netzwerk vom Internet trennt und
– soweit möglich – eingehenden Netzwerkverkehr blockiert.
o
Maßnahmen gegen Schadsoftware: Es wird nach Möglichkeit
auf allen Systemen Anti-Viren Software eingesetzt. Alle eingehenden E-Mails werden automatisch auf Schadsoftware gescannt.
o
Management
von Sicherheitslücken: Soweit möglich, wird auf allen Geräten
die automatische Installation von Sicherheitsupdates
aktiviert. Ansonsten erfolgt die Installation kritischer
Sicherheitsupdates binnen 3
Arbeitstagen, die Installation von Sicherheitsupdates mittlerer Kritikalität binnen 25 Arbeitstagen und die Installation von Sicherheitsupdates
geringer Kritikalität binnen 40 Arbeitstagen.
-
Organisatorische Maßnahmen
o
Klare Zuständigkeiten: Interne Zuständigkeiten für Fragen der Datensicherheit werden definiert.
o
Verschwiegenheitspflicht der Dienstnehmer: Die Dienstnehmer werden über die Dauer ihres Dienstverhältnisses hinaus zur Verschwiegenheit verpflichtet. Insbesondere werden sie dazu
verpflichtet, personenbezogene
Daten nur auf ausdrückliche
Anweisung eines Vorgesetzten an Dritte zu übermitteln.
o
Schulungen und Informationsmaßnahmen: Die Dienstnehmer werden zu Fragen der Datensicherheit
(intern oder extern) geschult und angemessen über Fragen der Datensicherheit informiert (z.B. Passwortsicherheit).
o
Geordnete Beendigung des Dienstverhältnisses: Bei Beendigung des Dienstverhältnisses erfolgt eine unverzügliche Sperrung aller Konten des ausscheidenden Dienstnehmers sowie eine Abnahme aller
Schlüssel des ausscheidenden
Dienstnehmers.
o
Verwaltung von Computer-Hardware: Es werden Aufzeichnungen
darüber geführt, welchem Mitarbeiter welche Endgeräte (z.B. PC, Laptop, Mobiltelefon) zugewiesen wurden.
o
Eingabekontrolle: Es bestehen Verfahren
zur Kontrolle der Richtigkeit der eingegebenen personenbezogenen Daten.
o
Keine Doppelverwendung von Benutzer-Accounts: Jede Person sollte ihren eigenen Benutzer-Account
haben – das Teilen von Benutzer-Accounts ist untersagt.
o
Keine unnötige Verwendung
administrativer Accounts: Benutzer-Accounts mit administrativen Rechten werden nur in Ausnahmefällen verwendet – die reguläre Nutzung von IT-Systemen erfolgt ohne administrative Rechte.
o
Auswahl der Dienstleister: Bei der Auswahl von Dienstleistern wird
das vom Dienstleister gebotene Datensicherheitsniveau
berücksichtigt. Der Einsatz
eines Dienstleisters, der als Auftragsverarbeiter
einzustufen ist, erfolgt
nur nach Abschluss einer Auftragsverarbeitervereinbarung.
o
Sichere Datenentsorgung: Papier,
welches personenbezogene Daten
enthält, wird grundsätzlich
geschreddert bzw. einem externen
Dienstleister zur sicheren Vernichtung übergeben. Datenträger werden vor ihrer Entsorgung
vollständig überschrieben oder physisch
zerstört, sodass die darauf gespeicherten Daten nicht wieder
hergestellt werden können.
-
Physische Maßnahmen
o
physische Zugangskontrolle: Das Betreten der Betriebsräumlichkeiten
ist für betriebsfremde Personen
nur in Begleitung einer betriebsangehörigen Person zulässig.
o
Einbruchssicherheit: Die Zugänge zu den Betriebsräumlichkeiten verfügen über einen angemessenen
Einbruchsschutz (z.B. eine Sicherheitstür höherer Widerstandsklasse).
o
Besonderer Schutz von Computer-Hardware: Der Zugang zu Räumlichkeiten,
in denen sich
Computer-Server befinden ist
durch besondere Maßnahmen gesichert (z.B. zusätzliches Schloss).
o
Schlüsselverwaltung: Schlüssel, welche den Zugang zu den Betriebsräumlichkeiten
oder Teilen derselben ermöglichen, werden nur an besonders vertrauenswürdige Personen ausgehändigt und dies auch nur soweit und solange diese Personen tatsächlich einen eigenen Schlüssel
benötigen.
Detektive Sicherheitsmaßnahmen – Maßnahmen zur Erkennung eines
Angriffs
-
Technische Maßnahmen
o
Scans nach Schadsoftware: Es werden regelmäßig
Scans nach Schadsoftware (Anti-Viren-Scans) durchgeführt, um Schadsoftware zu identifizieren, welche ein IT-System bereits kompromittiert hat.
o
Automatische Prüfung von Logfiles: Soweit die Sicherheits-Logfiles mehrerer Systeme auf einem System zentralisiert gesammelt werden, erfolgt eine automatisierte
Auswertung der Logfiles, um
mögliche Sicherheitsverletzungen
zu erkennen.
o
Sicherheits-Mailing-Listen: Es wird sichergestellt, dass ein Mitarbeiter des Unternehmens oder ein externer
Dienstleister einschlägige Mailing-Listen für die Bekanntgabe neuer IT-Sicherheits-Bedrohungen abonniert (z.B. Mailing-Listen
der Hersteller der verwendeten
Software), um über die aktuelle
Bedrohungslage in Kenntnis zu sein.
-
Organisatorische Maßnahmen
o
Erkennung von Sicherheitsverletzungen durch Dienstnehmer: Alle Dienstnehmer werden instruiert, wie sie Sicherheitsverletzungen
erkennen können (z.B. nicht mehr
auffindbare Computer-Hardware, Meldungen
von Anti-Viren-Software).
o
Betriebsfremde Personen: Alle Dienstnehmer werden instruiert, betriebsfremde Personen anzusprechen, sollten sie in den Betriebsräumlichkeiten
angetroffen werden.
o
Audits: Es werden regelmäßige
Audits durchgeführt (z.B. Prüfung, ob alle
kritischen Sicherheits-Updates
installiert wurden). Insbesondere erfolgt eine regelmäßige Prüfung der erteilten Zugriffs- und Zutrittsberechtigungen
(welchem Mitarbeiter ist welcher Benutzer-Account
mit welchen Zugriffsrechten zugewiesen; welche Personen verfügen über welche
Schlüssel).
o
Manuelle Prüfung von Logfiles: Soweit Logfiles geführt werden (z.B. über erfolglose
Authentifizierungsversuche), werden
diese in regelmäßigen Abständen
geprüft.
-
Physische Maßnahmen
o
Brandmelder: Sofern dies aufgrund der Größe und Beschaffenheit der Betriebsräumlichkeiten angemessen
ist, wird ein Brandmelder installiert, der durch Rauch automatisch ausgelöst wird.
Reaktive Sicherheitsmaßnahmen – Maßnahmen zur Reaktion auf einen Angriff
-
Technische Maßnahmen
o
Datensicherung: Es werden regelmäßig
Datensicherungen erstellt
und sicher aufbewahrt.
o
Datenwiederherstellungskonzept: Es wird ein Konzept zur raschen Wiederherstellung
von Datensicherungen entwickelt,
um nach einer Sicherheitsverletzung zeitnah den
regulären Betrieb wieder herstellen zu können.
o
Automatische Entfernung von Schadsoftware: Die eingesetzte Anti-Viren-Software verfügt über die Funktion, Schadsoftware automatisch zu entfernen.
-
Organisatorische Maßnahmen
o
Meldepflicht für Dienstnehmer: Alle Dienstnehmer werden angewiesen, Sicherheitsverletzungen unverzüglich
an eine zuvor definierte interne Stelle bzw.
Person zu melden.
o
Meldepflicht für externe Dienstleister: Allen Dienstleistern wurden Kontaktdaten für die Meldung von Sicherheitsverletzungen mitgeteilt.
o
Prozess für die Reaktion auf Sicherheitsverletzungen: Es wird durch einen
geeigneten Prozess sichergestellt, dass Sicherheitsverletzungen innerhalb
von 72 Stunden ab Kenntnis
von der Sicherheitsverletzung an die Datenschutzbehörde gemeldet werden können. Insbesondere sind
allen Dienstnehmern die Notfall-Telefonnummern der zu involvierenden Personen bekannt zu geben
(z.B. Notfall-Telefonnummer
für den IT-Support).
-
Physische Maßnahmen
o
Feuerlöscher: In den Betriebsräumlichkeiten gibt es eine geeignete
Anzahl an Feuerlöschern. Allen Dienstnehmern
ist bekannt, wo sich die Feuerlöscher befinden. Außerdem gibt es Löschdecken
zur Brandeindämmung.
o
Feueralarm: Die Kanzleiräumlichkeiten sind
mit Rauchmeldern ausgestattet. Es wird durch einen angemessenen
Prozess sichergestellt, dass die Feuerwehr manuell verständigt werden kann.
Abschreckende Sicherheitsmaßnahmen – Maßnahmen zur Minderung der Angreifermotivation
-
Technische Maßnahmen
o
Automatische Warnmeldungen: Nutzer erhalten automatische Warnmeldungen bei risikoträchtiger IT-Nutzung (z.B. durch
den Webbrowser, wenn eine verschlüsselte Website kein korrektes SSL/TLS-Zertifikat verwendet).
-
Organisatorische Maßnahmen
o
Sanktionen bei Angriffen
durch eigene Dienstnehmer: Alle Dienstnehmer werden darüber informiert, dass Angriffe auf betriebseigene IT-Systeme nicht toleriert werden und schwerwiegende arbeitsrechtliche Konsequenzen, wie insbesondere eine Entlassung nach sich ziehen
können.