Datenschutzerklärung

Hinweis: Dieser Text ist ein Entwurf und muss vor dem Live-Gang anwaltlich bzw. durch den Datenschutzbeauftragten geprüft und um die markierten Platzhalter ([…]) ergänzt werden.

1. Verantwortlicher

Ems-Vechte Beratung Steuerberatungsgesellschaft mbH, Bahnhofstraße 3, 49824 Emlichheim, E-Mail: info@evb-kanzlei.de, Telefon: +49 (0) 5943 / 985980. Vertreten durch die Geschäftsführer Norbert Eichhorst und Dr. Richard Gertken. Weitere Angaben siehe Impressum.

2. Datenschutzbeauftragter

[Name und Kontaktdaten des/der Datenschutzbeauftragten, falls bestellt]

3. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich zur Erbringung unserer Leistungen:

• Personalfragebogen (Modul Personalwesen): Erhebung der für die Lohn- und Gehaltsabrechnung erforderlichen Daten und Übermittlung an DATEV (Lohnabrechnung im Auftrag des Arbeitgebers).
• Einkommensteuer (Modul Einkommensteuer): geführte Erfassung der für die Einkommensteuererklärung erforderlichen Angaben und Unterlagen.
• Konten & Zugang: Anlegen und Verwalten von Nutzerkonten, Authentifizierung, Zwei-Faktor-Authentifizierung, Sicherheit und Protokollierung (Audit-Log).

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vorvertragliche Maßnahmen), lit. c (rechtliche Verpflichtungen, z. B. steuer- und sozialversicherungsrechtliche Pflichten) sowie lit. f (berechtigtes Interesse an sicherem, funktionsfähigem Betrieb). Soweit besondere Kategorien personenbezogener Daten (z. B. Angaben zur Konfession für die Kirchensteuer, Schwerbehinderung) verarbeitet werden, erfolgt dies auf Grundlage von Art. 9 Abs. 2 lit. b DSGVO i. V. m. den einschlägigen steuer- und sozialrechtlichen Vorschriften.

4. Kategorien verarbeiteter Daten

• Stammdaten (Name, Anschrift, Geburtsdatum, Bankverbindung)
• Steuerliche Merkmale (Steuer-ID, Steuerklasse, Konfession, Sozialversicherungsdaten)
• Beschäftigungsdaten (Tätigkeit, Eintritt, Entgelt) inkl. hochgeladener Nachweise
• Angaben und Belege zur Einkommensteuererklärung
• Konto-/Nutzungsdaten (E-Mail, Anmeldungen, technische Protokolldaten)

5. Hosting und Auftragsverarbeiter

Der Betrieb erfolgt auf Infrastruktur innerhalb der Europäischen Union. Wir setzen folgende Dienstleister auf Grundlage von Auftragsverarbeitungsverträgen (Art. 28 DSGVO) ein:

• Supabase (Datenbank, Authentifizierung, Datei-Speicher) — Region Frankfurt/EU
• Vercel (Hosting/Auslieferung der Anwendung) — Region EU (fra1)
• [E-Mail-Versanddienstleister / SMTP-Anbieter], sofern für Benachrichtigungen genutzt
• DATEV eG, soweit Lohndaten im Rahmen der Abrechnung übermittelt werden

6. Empfänger

Empfänger der Daten sind je nach Modul der beauftragende Arbeitgeber (Mandant), die Finanzbehörden, DATEV sowie die genannten technischen Auftragsverarbeiter. Eine Übermittlung in Drittländer findet grundsätzlich nicht statt.

7. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist bzw. gesetzliche Aufbewahrungsfristen (insbesondere aus AO und HGB, regelmäßig 6 bis 10 Jahre) dies vorschreiben. Danach werden die Daten gelöscht oder gesperrt.

8. Cookies und lokale Speicherung

Wir setzen ausschließlich technisch notwendige Cookies bzw. lokale Speicherung für die Anmeldung und Sitzungsverwaltung ein. Es findet kein Tracking und keine Werbung statt. Eine Einwilligung ist hierfür nicht erforderlich (§ 25 Abs. 2 TDDDG).

9. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21 DSGVO). Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

10. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, etwa der Landesbeauftragten für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover.

11. Datensicherheit

Die Übertragung erfolgt verschlüsselt (TLS). Der Zugang ist passwortgeschützt; für Kanzlei-Konten ist eine Zwei-Faktor-Authentifizierung verpflichtend. Der Zugriff auf Daten ist durch rollenbasierte Berechtigungen (Row-Level-Security) auf das Notwendige beschränkt.