Auftragsverarbeitung (AVV)

Wenn SOFI personenbezogene Daten im Auftrag der Kanzlei verarbeitet, ist die Kanzlei Verantwortliche und SOFI Auftragsverarbeiterin. Für diese Konstellation schließen wir einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Er ist Voraussetzung für die rechtskonforme Nutzung von SOFI mit echten Mandantendaten.

Gegenstand ist die Verarbeitung personenbezogener Daten zur Erbringung der vertraglich vereinbarten SOFI-Leistungen. Die Dauer entspricht der Laufzeit des Hauptvertrags; die Verarbeitung endet mit dessen Beendigung.

Art und Zweck der Verarbeitung richten sich nach den genutzten Funktionen (z. B. Prüfung, Entwurf, Auswertung). Betroffen sein können Daten von Mandantinnen und Mandanten, Mitarbeitenden und Geschäftspartnern, etwa Stammdaten, Buchhaltungs- und Steuerdaten sowie Inhalte von Dokumenten und Korrespondenz. Die Verarbeitung erfolgt ausschließlich nach dokumentierter Weisung der Kanzlei.

Wir verarbeiten Daten nur weisungsgebunden, verpflichten unsere Mitarbeitenden zur Vertraulichkeit, treffen geeignete technische und organisatorische Maßnahmen, unterstützen die Kanzlei bei Betroffenenanfragen und Meldepflichten und informieren unverzüglich über etwaige Verletzungen des Schutzes personenbezogener Daten.

Uns ist bewusst, dass Steuerberaterinnen und Steuerberater sowie Rechtsanwältinnen und Rechtsanwälte Berufsgeheimnisträger sind. Der AVV deckt die berufsrechtliche Verschwiegenheit ausdrücklich mit ab und ergänzt die Pflichten nach Art. 28 DSGVO.

Alle Personen, die in unserem Auftrag Zugang zu geschützten Inhalten erhalten können, sind als mitwirkende Personen im Sinne des § 203 Abs. 4 StGB zur Verschwiegenheit verpflichtet und vor Aufnahme ihrer Tätigkeit über die strafbewehrte Geheimhaltungspflicht belehrt worden. Unsere Mitwirkung ist mit den berufsrechtlichen Verschwiegenheitspflichten nach § 57 und § 62a StBerG (Steuerberater), § 43 und § 50 WPO (Wirtschaftsprüfer) sowie § 43a und § 43e BRAO (Rechtsanwälte) vereinbar; insbesondere stellen wir sicher, dass fremde Geheimnisse gewahrt bleiben und keine unbefugte Offenbarung erfolgt. Eingesetzte Unterauftragsverarbeiter verpflichten wir in gleicher Weise zur Wahrung des Berufsgeheimnisses.

Die getroffenen Schutzmaßnahmen (u. a. Verschlüsselung, Zugriff nach dem Prinzip der geringsten Rechte, Protokollierung) beschreibt der AVV. Einen Überblick findest du im Trustcenter.

Wir setzen weitere Auftragsverarbeiter nur mit allgemeiner schriftlicher Genehmigung ein (Art. 28 Abs. 2 und 4 DSGVO) und legen ihnen dieselben Datenschutzpflichten auf. Über beabsichtigte Änderungen informieren wir rechtzeitig, sodass ein Widerspruch möglich ist. Die aktuelle Übersicht findest du in der Liste der Unterauftragsverarbeiter.

Wir unterstützen die Kanzlei mit geeigneten Maßnahmen dabei, Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) zu beantworten.

Nach Abschluss der Leistung werden personenbezogene Daten nach Wahl der Kanzlei gelöscht oder zurückgegeben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Wir stellen der Kanzlei die zur Einhaltung des Art. 28 DSGVO erforderlichen Informationen bereit und ermöglichen Überprüfungen im vertraglich vereinbarten Rahmen.

Du brauchst den AVV für deine Unterlagen? Fordere ihn hier an oder schreib an [email protected].