Datenschutzerklärung: Kanzlei Applikation
Allgemeines vorab
Diese Online-Plattform („portal.milia.io“) und die verbundenen Services werden für Angehörige der steuerberatenden Berufe von der milia GmbH, Pilgrimstr. 6 in 50674 Köln (im Folgenden auch „Auftragsverarbeiter“ oder „milia.io“ genannt) entwickelt und betrieben. Die Online-Plattform und die verbundenen Services unterstützen den Austausch von Dokumenten, Nachrichten und Informationen.
milia.io erhebt, verarbeitet und speichert Daten ausschließlich im Auftrag der Kanzlei (im Folgenden „Auftraggeber“ oder „Kanzlei“ genannt). Es wurde eine Auftragsverarbeitungsvereinbarung gemäß Datenschutzgrundverordnung (DS-GVO) geschlossen, um Ihre Daten zu schützen. Ihre Daten werden ausschließlich in deutschen Rechenzentren (Serverstandort ausschließlich Deutschland) gespeichert.
Hinweis: Zur besseren Lesbarkeit wird auf die zusätzliche Formulierung der weiblichen Form verzichtet. Die ausschließliche Verwendung der männlichen Form soll explizit als geschlechtsunabhängig verstanden werden.
Was macht milia.io für die Kanzlei?
milia.io übernimmt
- die Weiterentwicklung,
die administrative Wartung, - die Betreuung
- und den Support
der in Plattform „portal.milia.io“). Im Rahmen der Leistungserbringung für die Kanzlei verarbeitet und speichert milia.io dabei personenbezogene Daten im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage eines geschlossenen Vertrages.
Die vertraglich vereinbarte Dienstleistung wird ausschließlich in Deutschland erbracht. Jede Verlagerung der Dienstleistung oder Teilarbeiten in einen Mitgliedsstaat der Europäischen Union oder in ein Drittland bedarf der vorherigen Zustimmung der Kanzlei und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
Wer ist betroffen und welche Daten werden erhoben, gespeichert und verarbeitet?
Milia.io erhebt, verarbeitet und speichert personenbezogene Daten ausschließlich zweckgebunden. Das bedeutet, dass personenbezogene Daten nur dazu benutzt werden, um die Zusammenarbeit zwischen der Kanzlei und den Mandanten zu unterstützen und zu verbessern.
Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS- GVO):
- Auftraggeberdaten (=“die Kanzlei“)
- Kundendaten des Auftraggebers (=“die Mandanten“)
- Mitarbeiterdaten des Kunden des Auftraggebers (=“Mitarbeiter des Mandanten“)
- Mitarbeiterdaten des Auftraggebers (=“die Mitarbeiter der Kanzlei“)
- Mitarbeiterdaten des Auftragsverarbeiters (=“Mitarbeiter von milia.io“)
Art und Zweck der vorgesehenen Verarbeitung von Daten
Auftraggeber und Auftragnehmer sind für die Verarbeitung von personenbezogenen Daten verantwortlich und werden nur datenschutzkonforme Nutzungen vornehmen. Der Auftraggeber bleibt in jedem Falle Eigentümer der erzeugten Daten.
Art und Zweck der vorgesehenen Verarbeitung von Daten
- Vor-und Nacharbeiten zur Lohnbuchhaltung
- Vor-und Nacharbeiten zur Finanzbuchhaltung
- Vor-und Nacharbeiten zu Steuererklärungen
- Vor-und Nacharbeiten zu Jahresabschlüssen
- Berichtserstellungen
- Honorarberechnung
- Mandantenonboarding
- Mandantencontrolling
- Branchenvergleichswerte
- Mahnwesen
- Terminvergabe und Verwaltung
- Newsmanagement
- DigitaleSignatur/ Freigabe von Dokumenten o.ä.
- Stammdatenmanagement
- Dokumenten/-und Datenanalyse
Art der Daten
Gegenstand der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten sind folgende, aufgezählte Daten:
Kundenstammdaten
Geschäfts-/Ansprechpartnerdaten
- Kommunikationsdaten
- Kundenabrechnungs- und Zahlungsdaten
- Vor- und Nachname
- Lieferantenabrechnungs- und Zahlungsdaten
- Branchen §
- Bewegungsdaten Lohnbuchhaltung
- Bewegungsdaten Finanzbuchhaltung
- Bewegungsdaten Steuererklärungen
- Steuerliche Identifikationsdaten
- Geburtsdatum
- Gründungsdatum
Sonstige im Zusammenhang mit der Bearbeitung eines steuerlichen Sachverhalts stehende Daten von Kanzlei und Mandant ( = Kunde der Kanzlei).
- Nutzungs- und Zugriffsdaten
- Fehlerprotokolldaten
- Unterstützungs- und Supportdaten der Mitarbeiter des Auftragsverarbeiters (z.B. wer hat wann, wem, wie bei was geholfen?)
- Zugangsdaten
Kreis der Betroffenen
Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst die folgenden abschließend aufgezählten Personengruppen:
Beschäftigte
Kunden
Interessenten
Lieferanten
Geschäftspartner
Der Auftragnehmer erwirbt keinerlei Rechte an den von Auftraggeber im Rahmen des Betriebes verarbeiteten Daten, insbesondere den personenbezogenen Daten Dritter.
Auch Eigentums- und Urheberrechte an Daten bleiben beim Auftraggeber. Ein Zurückbehaltungsrecht besteht insoweit nicht. Der Auftragnehmer ist auch im Falle von Streitigkeiten über die Leistungserbringung oder Zahlungsverzug nicht berechtigt, die Daten ohne Zustimmung des Auftraggebers zu löschen.
Zusätzlich erhebt milia.io aufgrund eines berechtigten Interesses (Art. 6 Abs. 1 lit. f. DS- GVO) Daten über sämtliche Zugriffe auf die Online-Plattform „portal.milia.io“ und speichert diese in „Server-Logfiles“ auf dem Webserver ab. Folgende Daten werden so protokolliert:
Besuchte Website
Uhrzeit und Zeitpunkt des Zugriffes
Menge der gesendeten Daten in Byte
Quelle/Verweis, von welchem Sie auf diese Seite gelangen § Verwendeter Browser
Verwendetes Betriebssystem
Verwendete IP-Adresse
Die Server-Logfiles werden über einen begrenzten Zeitraum gespeichert und anschließend gelöscht. Die Speicherung dieser Dateien erfolgt aus Sicherheitsgründen, um z.B. Missbrauchsfälle aufklären zu können. Müssen Daten aus Beweisgründen aufgehoben werden, sind sie so lange von der Löschung ausgenommen, bis der Vorfall endgültig geklärt ist.
Milia.io sichert Ihnen zu, dass die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut gemacht werden und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet werden (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO).
Ort der Durchführung der Datenverarbeitung
Die Verarbeitung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art 44 DSGVO erfüllt sind.
Unterauftragsverhältnisse mit Subunternehmern
milia.io nutzt für die Bereitstellung seiner Dienste Subunternehmen. Zurzeit sind für
milia.io die im Folgenden genannten Subunternehmer tätig:
Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
Zurzeit sind für den Auftragsverarbeiter die unter „Verzeichnis der Unterauftragnehmer“ aufgeführten Unterauftragnehmer mit den dort genannten Dienstleistungen beauftragt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.
Verzeichnis der Unterauftragnehmer
- Open Telecom Cloud, Bonn, Hosting Provider für den Betrieb dedizierter Server
- Amazon Web Services Inc. (“AWS Frankfurt”), Hosting Provider für den Betrieb dedizierter Server und technologischer Dienste/ Services (nur EU-Server) mehr unter: AWS-Compliance-Richtlinien ISO 27001
- finAPI GmbH, Animillerstr. 11 80801 München, einheitliche Schnittstelle zum Abrufen von Online Banking Informationen
- HubSpot Inc. 25 First Street, Cambridge, MA 02141 USA, Kundenkommunikation & Verwaltung
- DocuSign Germany GmbH, c/o Bird & Bird LLP, Maximiliansplatz 22, 80333 München, Deutschland/Germany – eSignatur Funktion, E-Mail-Versand – EU-Rechenzentren
- Axon Ivy AG Deutschland, Elsenheimerstrasse 57, 80687 München – Versand von E- Mails zu Aufgaben, Nutzerstatistiken, Datenverarbeitungssystem (Workflows)
- DATEV eG, Paumgartnerstraße 6-14, 90429 Nürnberg, – Schnittstellenanbieter für Daten aus dem Kanzleisystem
- Riecken.io, Nußdorferstr. 4/1/112, 1090 Wien (AT) – Aktivierung einer bidirektionalen Schnittstelle zum Datenaustausch zwischen DATEV und Drittsystemen, sowie zur Verfügung stellen der Daten aus DATEV für Drittanbieter.
Mit allen Subunternehmen wurden Auftragsverarbeitungsvereinbarungen geschlossen.
Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)
Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird. Für die auftragsgemäße Verarbeitung personenbezogener Daten wird eine angemessene und nachvollziehbare Methodik zur Risikobewertung verwendet, welche die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der von der Verarbeitung Betroffenen berücksichtigt.
Einsatz eigener „Cookies“ in der Online-Plattform
Die Online-Plattform „milia.io“ verwendet eigene „Cookies“. Cookies sind Datensätze, die vom Webserver an den Browser des Nutzers gesendet und dort für einen späteren Abruf gespeichert werden. Ohne Cookies kann die Online-Plattform nicht genutzt werden. Die Cookies werden beispielsweise für Sitzungsinformationen (z.B. Login) oder Spracheinstellungen verwendet.
Smartphoneapp, Tabletapp, Scannerapp zur Online- Plattform „portal.milia.io“
Allgemeines
Die Smartphone-App ist erhältlich für Android- und iOS-Geräte.
Erhebung, Verarbeitung und Nutzung personenbezogener Daten
Die jeweilige Smartphone-App (Android oder iOS) erhebt, verarbeitet oder nutzt keine weiteren personenbezogenen Daten als diejenigen, die schon oben genannt sind.
Berechtigungen
Um die jeweilige Smartphone-App (Android oder iOS) nutzen zu können, müssen auf dem Gerät des Benutzers die folgenden Berechtigungen erteilt werden:
- Zugriff auf den Speicher des Gerätes, um Dateien auszuwählen oder zu speichern
- Zugriff auf die Kamera des Gerätes, um Belege digitalisieren zu können
- Zugriff auf das Netzwerk (Internetverbindung), um Daten anzeigen oder senden zu können
Weitere Informationen und Kontakte
Bei Fragen zu dieser Datenschutzerklärung kontaktieren Sie uns bitte. Sie können jederzeit erfragen, ob und welche Ihrer Daten bei uns gespeichert sind. Darüber hinaus können Sie uns Auskünfte, Löschungs- und Berichtigungswünsche und gerne auch Anregungen zusenden.
Kontaktdaten der milia GmbH
milia GmbH, Pilgrimstr. 6, 50674 Köln
Ansprechpartner: Tilman Walch, Michel Menk, Sascha Cutura Mail: info@milia.io
Sollten einzelne Teile dieses Vertrages zur Auftragsverarbeitung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. Die Vertragssprache ist deutsch. Alle enthaltenen Verweise auf die DSGVO gelten für die DSGVO in ihrer jeweils aktuellen Fassung.