Datenschutz Informationen für KLARTAX App (Web-Browser, Android und iOS) – Informationspflichten nach Artikel 13 und 14 DS-GVO
Stand: Juni 2024
Hinweis zur Datenschutz Information der Webseite https://www.klartax.de
Die Datenschutz Information zur öffentlichen Webseite https://www.klartax.de/datenschutz/klartax-web haben wir hier für Sie bereitgestellt.
1 Information über die Erhebung personenbezogener Daten
Wir stellen Ihnen neben unserem Online-Angebot unter https://web.klartax.de eine mobile App zur Verfügung, die Sie vom Google Play Store oder vom Apple AppStore auf Ihr Android- oder iOS-Gerät herunterladen können.
Im Folgenden informieren wir Sie über die Erhebung personenbezogener Daten bei Nutzung unserer App (nutzbar über iOS, Android oder über den Webbrowser unter https://web.klartax.de). Personenbezogene Daten sind alle Daten, die auf Sie persönlich bezogen oder beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen, einbezogene Konten und die sich auf die dortigen Kontobewegungen beziehenden Daten, Nutzerverhalten.
2 Definition
„KLARTAX“ ist eine Marke der DATEV eG. Für Kunden der DATEV eG bezeichnet der Begriff „DATEV“ die DATEV eG. Diese Datenschutz Information gilt für die Zurverfügungstellung der Anwendung „KLARTAX“ durch die DATEV eG, die Sie als App-Anwendung und/oder als Browser-basierte Online-Anwendung nutzen können.
3 Verantwortliche für die Datenverarbeitung
DATEV eG
vertreten durch
Prof. Dr. Robert Mayr (Vorsitzender)
Julia Bangerth (stellv. Vorsitzende)
Prof. Dr. Peter Krug (stellv. Vorsitzender)
Prof. Dr. Christian Bär
Diana Windmeißer
Vorsitzender des Aufsichtsrates: Nicolas Hofmann
Kontakt
Paumgartnerstr. 6 - 14
90429 Nürnberg
Telefon: +49 911 319-0
Fax: +49 911 147-43196
E-Mail: info@datev.de
4 Datenschutzbeauftragter
DATEV eG
Datenschutzbeauftragter Walter Deinzer
Paumgartnerstraße 6-14
90429 Nürnberg
Telefon: +49 911 319-0
E-Mail: datenschutz@datev.de
5 Kontaktaufnahme
Bei Ihrer Kontaktaufnahme mit uns per E-Mail werden die von Ihnen mitgeteilten Daten (Ihre E-Mail-Adresse, ggf. Ihr Name und Ihre Telefonnummer sowie der Inhalt Ihrer E-Mail) von uns gespeichert, um Ihre Fragen zu beantworten. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen. Daten aus und im Zusammenhang mit der Inanspruchnahme unseres Kundenservice für Supportanfragen speichern wir für drei Jahre nach dem jeweiligen Supportfall.
Rechtsgrundlage für diese Verarbeitung ist das berechtigte Interesse der DATEV (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO), die an uns gerichteten Fragen unserer Kunden und von Interessenten für unsere Leistungen und unser Unternehmen sachgerecht zu beantworten und daraus gewonnenes allgemeines Know-how zur Effizienzsteigerung wieder zu verwerten
6 Erhebung und Verarbeitung personenbezogener Daten bei Nutzung unserer Anwendung KLARTAX
6.1 Erhebung personenbezogener Daten
6.1.1 Nutzung der App
Bei Nutzung unserer App erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen die Funktionen unserer App anzubieten und die Stabilität und Sicherheit zu gewährleisten:
Rechtsgrundlage für diese Verarbeitung ist das berechtigte Interesse der DATEV (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO), Ihnen unsere Anwendung entsprechend den von Ihnen angeforderten Hyperlinks anzuzeigen, diese zu optimieren und die Stabilität und Sicherheit des Betriebs unserer Anwendung zu gewährleisten, außerdem Ihnen die einzelnen Seiten unserer Anwendung entsprechend Ihres Surfverhaltens anzuzeigen, diese zu optimieren und die Stabilität und Sicherheit des Betriebs der Anwendung zu gewährleisten.
Wenn Sie unsere Anwendung KLARTAX nutzen, werden anonyme Serverlogbücher erzeugt, die DATEV für statistische Zwecke (beispielsweise die Anzahl der Zugriffe) und zur Fehlerverfolgung speichert. Weitere Auswertungen Ihrer Nutzungsdaten erfolgen nicht ohne Ihre Zustimmung.
Rechtsgrundlage für diese Verarbeitung ist das berechtigte Interesse der DATEV (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO), mit Hilfe der erzeugten Logdaten statistische Auswertungen – u. a. zu Zwecken der Werbeerfolgskontrolle - und Analysen eventueller Fehler in unserer Website zu erstellen.
6.1.2 Technisch erforderliche anonyme Messungen
Zur Gewährleistung des Funktionsumfangs der Anwendung (Fehleranalyse, Device-/Browser-/Schnittstellen-spezifisches Bugfixing) werden anonyme technisch erforderliche Messungen vorgenommen. Diese sind z.B.: Login/Login-Zeiten (Lastverteilung, Identifikation inaktiver Nutzer), Schnittstellen zu Drittsystemen (Anbindung der Bankkonten, Verknüpfung einer Steuerberater-Kanzlei, Übermittlung von Dokumenten, Online Identifikation, Payment-Prozess), Häufigkeit der Beleg-Uploads und Anzahl der hinterlegten Steuerjahre (Speicherbedarf), Anzahl aufgerufener und abgeschlossener Steuer-Interviews (Gewährleistung der Kernfunktionen der Anwendung).
6.1.3 Verarbeitung von Nutzerinformationen zur App-Funktionalität (App Monitoring)
Wenn Sie KLARTAX auf der Grundlage dieses Nutzungsvertrages nutzen, können die folgenden Nutzerinformationen erhoben werden:
Diese nutzerspezifischen Detailinformationen werden von uns für maximal zwei Monate gespeichert. Auswertungen dieser Daten, die wir im Browser und Server-seitig erheben, finden zum Zwecke der Fehler- und Performance-Analyse statt. Personenbezogene Daten (Identifikation des Nutzers) nutzen wir, im Rahmen der Kundenbetreuung sowie zum Nachvollzug durchgeführter Transaktionen. Ohne diese Angaben können wir unsere Leistungen zur Nutzung der Anwendung allerdings auch nicht erbringen. Diese Informationen werden mithilfe der Tools AppDynamics und Keycloak (gehostet bei DATEV) ermittelt.
Rechtsgrundlage: Die Verarbeitung der bei Nutzung von KLARTAX anfallenden Daten ist zur weiteren Erfüllung des mit Registrierung
6.1.4 Anwender Mailing
Wenn Sie sich für unseren Anwender Mailing anmelden, verwenden wir Ihre E-Mail-Adresse, um Ihnen hierüber Informationen zu unserem Produkt KLARTAX zukommen zu lassen. Sie können Ihre Einwilligung für das Anwendermailing jederzeit über unsere Kontaktseite oder über einen Link in der eingehenden E-Mail widerrufen.
Rechtsgrundlage für diese Verarbeitung ist Ihre Einwilligung der DATEV (Art. 6 Abs. 1 lit. a) DS-GVO)
Ihren Namen und Vornamen verwenden wir, um eine persönliche Anrede in der E-Mail zu ermöglichen. Wir verwenden diesen Daten ebenfalls für anonyme Statistiken, um unseren Anwender Mailing zu verbessern, zur Missbrauchsprüfung und zur Werbeerfolgskontrolle.
Rechtsgrundlage für diese Verarbeitung ist das berechtigte Interesse der DATEV (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO), Ihnen unseren Newsletter zukommen zu lassen und um unsere Produkte zu optimieren.
Wir speichern Ihre erteilte Zustimmung für das Anwender Mailing. Dazu erheben wir folgende Daten: E-Mail-Kommunikation, Zeitpunkt der Zustimmung mit Datum und Uhrzeit der Bestätigung, Request-ID: Die ID, die für die Bestätigung zum Abgleich benötigt wird.
Rechtsgrundlage für diese Verarbeitung ist das berechtigte Interesse der DATEV (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO), nur Kunden den Newsletter zukommen zu lassen, die zugestimmt haben und die rechtliche Anforderung (Art. 6 Abs. 1 Satz 1 lit. c) DS-GVO), den Nachweis der Einwilligung bringen zu können.
Wir verwenden die vorgenannten Daten ebenfalls, um Ihnen wichtige Informationen zu unserem Produkt zukommen zu lassen.
Rechtsgrundlage für diese Verarbeitung ist dann die Vertragserfüllung der DATEV (Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO)
In unserem Auftrag werden diese Daten von unserem Dienstleister DEFACTO (siehe Subunternehmerliste) verarbeitet. DEFACTO hostet die Daten über Microsoft Deutschland, Walter-Gropius-Straße 5, 80807 München in Irland und den Niederlanden. Datenschutz Informationen der Microsoft Deutschland GmbH stehen hier zur Verfügung: https://docs.microsoft.com/de-de/dynamics365/get-started/gdpr/
Wie lange speichern wir Ihre Daten?
Ohne Einwilligung werden Ihre Daten nach Ablauf von 24 Stunden nach Versand der Bestätigungs-E-Mail gelöscht. Die Daten werden nach Widerruf der Einwilligungserklärung gelöscht. Können E-Mails nicht erfolgreich zugestellt werden, werden diese E-Mail-Adressen gelöscht.
6.1.5 Nutzung Anwendung KLARTAX mit und nach Registrierung
a) Registrierung
Falls Sie unsere Anwendung „KLARTAX“ nutzen möchten, müssen Sie sich mittels Angabe Ihrer E-Mail-Adresse und eines selbst gewählten Passwortes registrieren; dadurch schließen Sie einen für Sie unentgeltlichen Vertrag mit uns über die Nutzung der Anwendung („Nutzungsvertrag“). Es besteht kein Klarnamenszwang, eine pseudonyme Nutzung ist möglich. Wir verwenden für die Registrierung das sog. Double-opt-in-Verfahren, d. h. Ihre Registrierung ist erst abgeschlossen, wenn Sie zuvor Ihre Anmeldung über eine Ihnen zu diesem Zweck zugesandte Bestätigungs-E-Mail durch Klick auf den darin enthaltenem Link bestätigt haben. Falls Ihre diesbezügliche Bestätigung nicht binnen [12 Stunden] erfolgt, verfällt der Link automatisch. Die Angabe der zuvor genannten Daten ist verpflichtend, alle weiteren Informationen können Sie freiwillig durch Nutzung unserer Anwendung bereitstellen.
Wenn Sie unsere Anwendung nutzen, speichern wir Ihre zur Erfüllung dieses Nutzungsvertrages erforderlichen Daten, bis Sie Ihren Zugang endgültig löschen. Weiterhin speichern wir die von Ihnen angegebenen freiwilligen Daten für die Zeit Ihrer Nutzung der Anwendung, soweit Sie diese nicht zuvor löschen. Alle Angaben können Sie im geschützten Kundenbereich verwalten und ändern.
Rechtsgrundlage: Die Verarbeitung der bei Registrierung erhobenen Daten ist zur Erfüllung des dadurch mit Ihnen als betroffene Person geschlossenen Nutzungsvertrages erforderlich (Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO).
Rechtsgrundlage: Die Verarbeitung der bei Nutzung von KLARTAX anfallenden Daten ist zur weiteren Erfüllung des mit Registrierung geschlossenen Nutzungsvertrages erforderlich (Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO).
b) Datenabruf (Vorausgefüllte Steuererklärung)
KLARTAX bietet die Möglichkeit Ihre Steuererklärung mit Daten von dem Finanzamt vor zu befüllen. Zunächst beantragen Sie in KLARTAX den Abruf Ihrer steuerrelevanten Daten beim Finanzamt. Dazu benötigen wir Ihren Vorname, Name, Geburtsdatum und die Steuer-ID. Sofern Sie ein ELSTER-Benutzerkonto haben erfolgt die Freischaltung im ELSTER Portal. Haben Sie kein ELSTER-Benutzerkonto tragen Sie den postalisch übermittelten Bestätigungscode in KLARTAX ein und geben den Datenabruf frei. Nach erfolgreicher Freigabe kann KLARTAX die Daten über ELSTER beim Finanzamt abrufen.
Folgende Daten können von den Finanzbehörden zur Verfügung gestellt werden:
Es können personenbezogene Daten nach Art 9 DSGVO (z. B. Religionszugehörigkeit) enthalten sein.
Wir rufen zum Zeitpunkt Ihrer Einwilligung die Daten/ Belege über eine gesicherte Internetverbindung (SSL/HTTPS) vom Server des Finanzamtes ab. ELSTER sichert diese Datenpakete mittels RSA-Verfahren (RSAES-OAEP) mit einer Schlüssellänge von 2048 Bit ab.
Bis zum Löschen der Freischaltung des Datenabrufs oder Ihrer Kontolöschung speichern wir die Daten aus dem Steuer-Abruf vollständig verschlüsselt auf unseren Servern in Deutschland.
Rechtsgrundlage für die Verarbeitung ist die Vertragserfüllung (Art 6 lit b DSGVO).
Wir verarbeiten Daten für die Dokumentation der Beantragung und der Freischaltung des Datenabrufs.
Rechtsgrundlage für die Verarbeitung ist das berechtigte Interesse der DATEV einen Nachweis für ihr abgegebenen Erklärungen zu haben Art. 6 lit f DSGVO)
c) Automatische Berechnung des Arbeitswegs mit Hilfe des Kartendienstes HERE Global B.V. (© 1987 - 2024 HERE. All rights reserved)
Wenn Sie die die einfache Wegstrecke zur Arbeit (Arbeitsweg) zur Berechnung der Entfernungspauschale ermitteln möchten, bieten wir Ihnen Unterstützung bei der Berechnung an. Aufgrund der von Ihnen eingegebenen Zeichen für die Heimat- und Arbeitgeberadresse unterbreiten wir Vorschläge zur Vervollständigung der jeweiligen Adresse. Anhand der beiden ausgewählten Adressen (Heimatadresse und Arbeitgeberadresse) wird dann automatisch die Wegstrecke errechnet und in das vorgesehene Feld eingetragen. Außerdem wird der Arbeitsweg auf einem Kartenbild visualisiert.
Hierzu nutzen wir den niederländischen Kartendienstanbieter HERE Global B.V. (© 1987 - 2024 HERE. All rights reserved, Kennedyplein 222-226, 5611 ZT Eindhoven, The Netherlands) (im Folgenden „HERE“).
wir binden hierzu folgende folgende Dienste von HERE ein:
HERE erlangt dabei bei der Geocodierung Kenntnis über die eingegebene Adresse. Allerdings wird nur eine DATEV-IP-Adresse an HERE übergeben, nicht die IP-Adresse Ihres Gerätes.
Im Folgenden finden sie die geltenden Nutzungsbedingungen und Datenschutz-Informationen der HERE-Dienste:
HERE nutzt Ihre Daten für die Bereitstellung und Weiterentwicklung von Produkten und Diensten, um die Funktionsfähigkeit und Sicherheit der Produkte und Leistungen sicherzustellen, sowie um Betrug und sonstigen Missbrauch zu verhindern und diesbezüglich Ermittlungen anzustellen.
Wenn Sie der Verarbeitung durch HERE widersprechen möchten oder bei Fragen zur Datenverarbeitung von HERE wenden Sie sich bitte an den Datenschutzbeauftragten von HERE E-Mail: privacy@here.com
Rechtsgrundlage für diese Verarbeitung ist die Vertragserfüllung (Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO)
d) Feedback geben über Nutzerbefragung
Wir möchten KLARTAX und Ihr Nutzererlebnis immer weiter verbessern. Daher haben Sie innerhalb der Anwendung die Möglichkeit über einen Feedback-Button eine Befragung aufzurufen und uns ein Feedback zu Ihrem Nutzungserlebnis zu geben.
Zusätzlich haben Sie die Möglichkeit unsere Steuerhilfe-Texte in KLARTAX als verständlich/hilfreich zu bewerten.
Die Durchführung dieser Befragung erfolgt anonym und wir erheben hierbei keinerlei personenbezogene Daten.
Rechtsgrundlage für diese Verarbeitung ist die Vertragserfüllung (Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO) sowie das berechtigte Interesse der DATEV (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO), Ihr Feedback als Nutzer unserer Anwendung abzufragen und um unsere Produkte zu optimieren.
e) Online-Identifizierung zur digitalen Abgabe der Steuererklärung
Bevor DATEV in Ihrem Auftrag die Steuererklärung an die Finanzverwaltung elektronisch übermittelt, ist DATEV gesetzlich dazu verpflichtet, sich Gewissheit über die Person und die Anschrift des Auftraggebers der Datenübermittlung zu verschaffen (Identifizierung gemäß §87d AO). Die Identifizierung erfolgt unentgeltlich im Rahmen des Abgabeprozesses vor der Übermittlung der ersten Steuererklärung mit KLARTAX.
Online-Idenitifzierung mittels VideoIdent oder eID
Die Durchführung der Identifizierung mittels VideoIdent oder eID übernimmt die IDnow GmbH, die im Auftrag der DATEV als weisungsgebundener Dienstleister tätig ist. Zur Anwendung kommt wahlweise die Identifizierung per Video-Ident über Smartphone oder PC / Tablet oder die Identifizierung per eID-Funktion des Personalausweises über ein NFC-fähiges Smartphone.
Die IDnow GmbH erhebt und verarbeitet zum Zwecke der Identifizierung Ergebnis und Zeitpunkt der Identifizierung sowie die für den Identifizierungsprozess notwendigen Daten (welche Daten das sind, können Sie hier einsehen) und übermittelt bei erfolgreicher Identifizierung die in nachfolgendem Absatz beschriebenen Ident-Daten an DATEV. Die IDnow GmbH verarbeitet die Daten nicht für eigene Zwecke und löscht personenbezogene Daten nach einer Backup-Frist von 7 Tagen.
Rechtsgrundlage für die Verarbeitung ist die gesetzliche Verpflichtung nach der Abgabenordnung (Art. 6 c DSGVO)
Verarbeitung der Daten bei DATEV
Bei erfolgreicher Identifizierung übermittelt die IDnow GmbH an DATEV folgende Ident-Daten: Nachname und mindestens ein Vorname, Geburtsort, Geburtsdatum, Staatsangehörigkeit, Anschrift, Gültigkeitsdatum des Ausweisdokuments, Art der getroffenen Verifizierungsmaßnahme (eID, VideoIdent), Zeitpunkt der Identifizierung, Prüfergebnis. Diese Daten werden für den gesetzlich vorgeschriebenen Zeitraum von fünf Jahren nach Ende des Jahres, in welchem die Steuererklärung übermittelt wurde, bei DATEV gespeichert und damit auch über eine mögliche Löschung des Accounts hinaus. Die Identifizierung erfolgt einmalig, der Status „Identifizierung erfolgreich durchgeführt am….“ wird für weitere Übermittlungen in den persönlichen Stammdaten hinterlegt. Eine erneute Identifizierung kann notwendig werden, wenn berechtigte Zweifel vorhanden sind, dass die bei der Erstidentifizierung erhobenen Angaben noch zutreffend sind.
Rechtsgrundlage für die Verarbeitung ist die gesetzliche Verpflichtung nach der Abgabenordnung (Art. 6 lit c) DSGVO)
Online-Identifizierung mittels GiroIdent
Die Durchführung der Identifizierung mittels GiroIdent übernimmt die finAPI GmbH, die im Auftrag der DATEV als weisungsgebundener Dienstleister tätig ist. Die DATEV überträgt hierzu Vor- und Nachname, Geschlecht, Adresse, Geburtsdatum und IBAN an finAPI. finAPI verifiziert anhand Ihres Bankzugangsverfahrens Ihre Person und Ihre Berechtigung auf das Konto zuzugreifen und anhand der Kontoinformationen Ihren Namen. Danach erfolgt ein Abgleich Ihrer Daten gegen den Datenbestand der SCHUFA Holding AG. Bei ausreichender Übereinstimmung erfolgt dann eine Identifizierung für KLARTAX. Nähere Hinweise zur Übermittlugn der Daten und zur Verarbeitung der Daten durch die SCHUFA siehe "SCHUFA-Hinweise-und-ergaenzende-informationen”
finAPI speichert personenbezogene Daten aus regolatorischen und abrechnungstechnischen Gründen für 92 Tage.
Rechtsgrundlage für die Verarbeitung ist die vertragliche Verpflichtung (Art. 6 lit b) DSGVO) sowie die gesetzliche Verpflichtung nach der Abgabenordnung (Art. 6 lit c) DSGVO
Verarbeitung der Daten bei DATEV
Bei erfolgreicher Verifizierung übermittelt die finAPI GmbH an DATEV das Prüfergebnis und den Zeitpunkt der Verifikation. Diese Daten werden für den gesetzlich vorgeschriebenen Zeitraum von fünf Jahren nach Ende des Jahres, in welchem die Steuererklärung übermittelt wurde, bei DATEV gespeichert und damit auch über eine mögliche Löschung des Accounts hinaus. Die Identifizierung erfolgt einmalig, der Status „Identifizierung erfolgreich durchgeführt am….“ wird für weitere Übermittlungen in den persönlichen Stammdaten hinterlegt. Eine erneute Identifizierung kann notwendig werden, wenn berechtigte Zweifel vorhanden sind, dass die bei der Erstidentifizierung erhobenen Angaben noch zutreffend sind.
Rechtsgrundlage für die Verarbeitung ist die gesetzliche Verpflichtung nach der Abgabenordnung (Art. 6 c DSGVO)
Digitale Abgabe der Steuererklärung
Die Abgabe der Steuererklärung mit KLARTAX erfolgt vollständig digital über die offizielle ELSTER-Schnittstelle der Finanzverwaltung (s. dazu Ziffer 12). DATEV übermittelt hierzu in Ihrem Auftrag die Steuererklärung verschlüsselt elektronisch an die Finanzverwaltung. Übermittelt werden alle Informationen einer vollständigen Steuererklärung, d.h. Stammdaten wie Name, Adresse, Steuer-ID sowie die eingegebenen steuerlichen Sachverhalte wie in der Übersicht / Zusammenfassung angezeigt.
Rechtsgrundlage für die Verarbeitung ist die Erfüllung vertraglicher Pflichten (Art. 6 b DSGVO)
f) Bestellungen
Wenn Sie im Rahmen der Browser-Anwendung oder über den jeweiligen App Store bestellen möchten, ist es für den Abschluss der damit anzubahnenden Kaufverträge erforderlich, dass Sie Ihre persönlichen Daten angeben, die wir für die Abwicklung Ihrer Bestellung benötigen. Für die Abwicklung der Verträge notwendige Pflichtangaben sind gesondert markiert, weitere Angaben sind freiwillig. Die von Ihnen angegebenen Daten verarbeiten wir zur Abwicklung Ihrer Bestellung sowie zur Durchsetzung unserer daraus resultierenden Rechte und Ansprüche. Dazu können wir Ihre Zahlungsdaten an unsere Hausbank weitergeben.
Wir können die von Ihnen angegebenen Daten zudem verarbeiten, um Ihnen E-Mails mit vertragsbezogenen Informationen zukommen zu lassen.
Wir sind schließlich aufgrund handels- und steuerrechtlicher Vorgaben verpflichtet, Ihre Adress-, Zahlungs- und Bestelldaten für die Dauer von zehn Jahren sowie unsere Nachrichten mit vertragsbezogenen Informationen für die Dauer von sechs Jahren, jeweils ab dem Ende des Jahres, in dem der jeweiligen Kaufvertrag abgeschlossen wird, zu speichern. Allerdings nehmen wir nach zwei Jahren eine Einschränkung der Verarbeitung vor, d. h. Ihre Daten werden nur noch zur Einhaltung dieser gesetzlichen Verpflichtungen eingesetzt.
Zur Verhinderung unberechtigter Zugriffe Dritter auf Ihre persönlichen Daten, insbesondere Finanzdaten, wird der Bestellvorgang per TLS-Technik verschlüsselt.
Soweit Sie uns eine der o.a. Angaben machen, stellen Sie uns diese freiwillig durch Abgabe der zum Abschluss eines Kaufvertrages notwendigen Erklärungen bereit; ohne diese Angaben können wir allerdings unsere Leistungen im Rahmen des abgeschlossenen Kaufvertrages nicht erbringen.
Rechtsgrundlage: Diese Verarbeitungen sind zur Erfüllung der von Ihnen abgeschlossenen Kaufverträge (Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO) und zur Einhaltung unserer rechtlichen Aufbewahrungspflichten (Art. 6 Abs. 1 Satz 1 lit. c) DS-GVO in Verbindung mit §§ 257 HGB, 147 AO) erforderlich.
g) Bestellungen Subunternehmer
commercetools
Nach der Prüfung, ob das Recht zur Übermittlung für das jeweilige Jahr vorhanden ist und ob die Angaben für Kauf und Rechnung vorhanden sind, übergibt KLARTAX zur Anlage eines Warenkorbs Name und Anschrift, E-Mail-Adresse sowie die technische User-ID an unseren Subunternehmer commercetools GmbH.
Welche Daten protokolliert commercetools?
commercetools speichert Name und Anschrift des Käufers sowie die technische User-ID aus KLARTAX. Im Erfolgsfall der Zahlung kommen aus der Kommunikation mit PAYONE die Zahlungsart (Kreditkarte oder PayPal) hinzu, ebenfalls die Transaktions-ID, also die technische ID, mit der die Transaktion bei PAYONE abgewickelt wird. Für die Zusendung der Auftragsbestätigung und dem Beleg wird zusätzlich eine Emailadresse des Käufers gespeichert. Weiterhin wird die Zustimmung zur Kenntnisnahme der AGB, des Widerrufshinweises, die Zustimmung zum Erlöschen des Widerrufsrechts und Betätigung des Buttons „zahlungspflichtig bestellen“ gespeichert. Stimmt er allen Checkboxen zu, wird in commercetools eine Order angelegt und erst dann werden die Daten in commercetools gespeichert.
Für welche Zwecke verarbeitet commercetools die Daten?
Hauptzweck der Datenverarbeitung ist die Transaktionsabwicklung. Dazu zählen die Teilprozesse der digitalen Zahlungsabwicklung (über Payone, siehe unten) und die Belegerstellung (DATEV-Rechnung).
Rechtsgrundlage: Vertragserfüllung, Art. 6 Abs. 1 lit. b) DS-GVO
Wie lange speichert commercetools die Daten?
commercetools speichert die Daten für die Dauer von 12 Monaten bei erfolgreich abgewickelten Zahlungen. Abgebrochene Zahlungen werden nach 7 Tagen gelöscht. Ein Abbruch kann durch den Anwender im Rahmen der Transaktionsabwicklung mit PAYONE (siehe unten) beim Verlassen des laufenden Dialogs erfolgen oder durch technische Probleme (z.B. Nichterreichbarkeit der Systeme).
PAYONE
Wählt der Nutzer Kreditkartenzahlung oder Paypal, erfolgt die Abwicklung über eine separate Schnittstelle zwischen commercetools und unserem Subunternehmer, dem Paymentprovider PAYONE GmbH (www.payone.com). Bei Eingabe der Zahlungsdaten bekommt der Nutzer einen Screen von PAYONE eingeblendet (iFrame). KLARTAX bekommt die Transaktionsdaten des Nutzers nach Abschluss der Dateneingabe in PAYONE zurück: die gewählte Zahlungsart (Kreditkarte oder Paypal) sowie eine Transaktions-ID, unter welcher PAYONE mit der Kreditkartengesellschaft oder Paypal die Transaktion durchgeführt hat.
Welche Daten protokolliert PAYONE?
PAYONE speichert und verarbeitet stets nur diejenigen personenbezogenen Daten, die für die Durchführung der jeweiligen Leistung erforderlich sind. Bei der Zahlungsabwicklung werden – je nach Zahlverfahren – insb. die IBAN, Kartennummer, Prüfziffer sowie die übrigen Transaktionsdaten (z. B. Datum/Uhrzeit der Transaktion, Zahlbetrag) verarbeitet. Die Fraud-Prevention erfolgt ebenfalls vorrangig auf Basis der verarbeiteten Transaktionsdaten.
Für welche Zwecke verarbeitet PAYONE die Daten?
Hauptzweck der Datenverarbeitung ist die Abwicklung des bargeldlosen Zahlungsverkehrs (Transaktionsabwicklung).
Daneben bestehen die folgenden weiteren Zwecke/ Nebenzwecke der Datenverarbeitung:
Weitere Zwecke aus den oben genannten Dokumenten treffen für uns nicht zu, da die zugrundeliegenden Leistungen wie z.B. Bonitätsprüfungen, nicht Teil der von der DATEV für KLARTAX in Anspruch genommenen Leistungen sind.
Rechtsgrundlage: Vertragserfüllung, Art. 6 Abs. 1 lit. b) DS-GVO und Berechtigtes Interesse Art. 6 Abs. 1 lit. f) DS-GVO (Art 32 DS-GVO)
Wie lange speichert PAYONE die Daten?
PAYONE speichert und verarbeitet personenbezogene Daten, solange es zur Vertragsdurchführung und zur Erfüllung ihrer vertraglichen und gesetzlichen Pflichten erforderlich ist. Sollte eine Speicherung der Daten für die Erfüllung vertraglicher oder besonderer gesetzlicher Pflichten nicht mehr erforderlich sein und der Zweck ihrer Speicherung entfallen sein, werden personenbezogene Daten gelöscht – es sei denn, deren Weiterverarbeitung ist zu folgenden Zwecken erforderlich:
Werden Daten in Drittländer außerhalb der EU übermittelt?
Abhängig von dem von Ihnen eingebundenen Kreditkartenanbieter, kann es zu einem Datentransfer in ein sogenanntes Drittland außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraumes (EWR) in denen ein geringeres Datenschutzniveau herrschen kann, als innerhalb der EU/des EWR. Hier weist PAYONE in deren Datenschutz-Informationen auf Folgendes hin: „PAYONE übermittelt personenbezogene Daten ausschließlich dann in Drittländer, wenn es für die Erfüllung von vertraglichen Pflichten oder zur Wahrung von berechtigten Interessen erforderlich ist oder es sonst gesetzlich vorgeschrieben ist (…) Zur Gewährleistung eines angemessenen Datenschutzniveaus in den Drittländern bestehen entweder ein Angemessenheitsbeschluss der EU-Kommission oder angemessene und geeignete Garantien in Form von EU-Standardvertragsklauseln oder Privacy-Shield-Zertifizierungen oder es besteht eine gesetzliche Ausnahme (Art. 49 DSGVO), die eine Datenübermittlung auch ohne Vorhandensein eines Angemessenheitsbeschlusses oder geeigneter Garantien rechtfertigt.“
Weitere Hinweise zum Datenschutz von PAYONE finden Sie auf deren Website www.payone.com
6.2 Cookies
Zusätzlich zu den zuvor genannten Daten werden bei Ihrer Nutzung unserer Anwendung Cookies auf Ihrem Rechner gespeichert. Bei Cookies handelt es sich um kleine Textdateien, die auf der Festplatte Ihres Rechners dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche der Stelle, die die Cookies setzt (hier durch uns), bestimmte Informationen zufließen, z.B. Anzeigezeiten, Seitenabsprung/Seitenabbrüche. Aus diesen Informationen werden anonyme Statistiken erstellt. Sie dienen dazu, den Betrieb der Anwendung zu ermöglichen. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen.
Wir verwenden in der KLARTAX-App temporäre und permanente Cookies.
a.) Temporäre Cookies sind zeitlich begrenzt und enthalten Daten wie beispielsweise eine Identifikations-Nummer (so genannte Session ID). Sie erlauben es dem Server, aufeinander folgende Anfragen des Browsers demselben Benutzer zuzuordnen. Sie werden automatisch gelöscht, sobald der Benutzer den Browser schließt.
b.) Permanente Cookies hingegen bleiben erhalten, auch nachdem der Benutzer den Browser geschlossen hat. Wir setzen Cookies ein, um Sie für Folgebesuche identifizieren zu können. Darüber hinaus verwendet DATEV permanente Cookies für unpersonalisierte Statistiken, zur Fehleranalyse und zur Performanceanalyse.
Sie können der Datenerhebung und -speicherung für diese Statistik jederzeit mit Wirkung für die Zukunft verhindern, indem Sie das Setzen permanenter Cookies in Ihrem Browser unterbinden, ihm widersprechen oder das Cookie löschen.
Die erhobenen Daten werden nach spätestens drei Jahren gelöscht.
Rechtsgrundlage: Das Setzen der Cookies ist zur Erfüllung von berechtigten Interessen der DATEV (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO) unbedingt erforderlich, um den Betrieb der Webseite und der Anwendung zu ermöglichen.
c.) Deaktivierung/Löschung von Cookies: Sie können die Speicherung von Cookies über Ihre Browser-Einstellungen deaktivieren, bereits gespeicherte Cookies jederzeit in Ihrem Browser löschen. Bitte beachten Sie jedoch, dass KLARTAX ohne Cookies nur noch eingeschränkt funktioniert.
Erstanbieter/Drittanbieter Definition
Begriff | Synonym | Beschreibung |
Erstanbieter | First Party-Cookies | First Party-Cookies werden von dem Verantwortlichen der Website/Anwendung gesetzt, auf der ein User gerade surft oder durch seine weisungsgebundenen Dienstleister. Die Daten werden nur für die Zwecke des Verantwortlichen genutzt. |
Drittanbieter | Third Party-Cookie | Ein Third Party-Cookie hingegen wird durch einen Dritten gesetzt. Dieser nutzt die Daten zu eigenen Zwecken oder die Daten werden einem Dritten zu eigenen Zwecken weitergeleitet. |
6.2.1 Cookies in der Webbrowser- und Android-Version der KLARTAX-Anwendung
Wir setzen in der Webbrowser- und Android-Version der Anwendung KLARTAX Adobe Launch (Bestandteil der Adobe Experience Platform Data Collection) ein, ein Dienst von Adobe Systems Software Ireland Ltd.. Adobe wird als weisungsbundener Dienstleister für uns tätig.
Adobe Launch ist eine Anwendung zur Verwaltung von Tracking-Tools und anderen Diensten wie unsere Lösung zur Verwaltung von Tracking-Einwilligungen. Des Weiteren kann über diese Software-Lösung gezielt gesteuert werden, welche Seiten- oder Dienstelemente und Tracking-Methoden in der Anwendung aktiviert und geladen werden. Adobe Launch platziert keine Cookies für eigene Zwecke und hat auch keinen Zugriff auf die von den Tags erhobenen Daten. Die Daten, die mit Adobe erhoben werden, können Sie hier einsehen. Nähere Informationen zu Adobe Launch finden Sie hier.Im Rahmen des Einsatzes der Cookies verwenden wir eine zufällig generierte Nutzer-ID, die Ihre Webbrowser-/Android-App individualisierbar macht. Ein unmittelbarer Rückschluss auf eine Person ist jedoch dadurch nicht möglich. Informationen zur Drittstaatenübermittlung siehe Punkt 6.7..
Die Daten werden genutzt, um die Anwendung stabil und leistungsfähig laufen zu lassen. Sie können Ihre Einwilligung zur Verwendung von Cookies jederzeit über die Consent Preferences (Link „Cookie Einstellungen“) deaktivieren.
DATEV ist bei Widerruf berechtigt, den Vertrag über digitale Produkte zu kündigen (§327q BGB) (Ziffer 3.5.1, AGB)
In unserer Anwendung werden im Einzelnen folgende Cookies eingesetzt:
6.2.2 Erforderliche Cookies (voreingestellt)
Erforderliche Cookies helfen dabei, die Anwendung KLARTAX nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Anwendung ermöglichen. Die Anwendung kann ohne diese Cookies nicht richtig funktionieren. So wird beispielsweise Ihre Einwilligung zu entsprechenden Tracking-Methoden in einem Cookie gespeichert.
Rechtsgrundlage für diese Verarbeitung ist das berechtigte Interesse der DATEV (Art. 6 Abs. 1 lit. f) DS-GVO) ein Einwilligungs-Management zu betreiben.
Sie können die Speicherung von Cookies über Ihre Browser-Einstellungen deaktivieren und bereits gespeicherte Cookies jederzeit in Ihrem Browser löschen. Wenn Sie Ihre Cookies löschen, werden wir Sie bei einem späteren Seitenaufruf erneut um Ihre Einwilligung bitten.
Firma | Cookie | Zweck | Speicherdauer | Erst-/Drittanbieter |
OneTrust | OptanonAlertBoxClosed | Einwilligungs-Management | 1 Jahr | Erstanbieter |
OneTrust | OptanonConsent | Einwilligungs-Management | 1 Jahr | Erstanbieter |
OptanonAlertBoxClosed
Der Inhalt dieses Cookies entscheidet, ob einem User der Cookie Banner erneut präsentiert wird. Dieses Cookie hat eine Speicherdauer von 1 Jahr. Spätestens danach wird dem wiederkehrenden User der Cookie Banner erneut präsentiert.
OptanonConsent
Dieses Cookie enthält Informationen über den Consent-Status. So wird für jede der Cookie-Kategorien, die in der Anwendung verwendet werden, der Consent-Status des Besuchers gespeichert. Es stellt somit sicher, dass Cookies, zu deren Nutzung nicht eingewilligt wurde, auch nicht verwendet werden. Dieses Cookie hat eine Speicherdauer von 1 Jahr.
6.2.3 Cookies zur technischen Anwendungsüberwachung (App Monitoring)
In der KLARTAX App setzen wir technisch erforderliche Cookies ein, um die Auslastung der Anwendung zu überwachen und deren Verfügbarkeit, Störungs-Handling und Stabilität zu gewährleisten. Hierzu kommt die Anwendung AppDynamics (gehostet bei DATEV) zum Einsatz. Unmittelbar personenbezogene Daten werden nicht ermittelt und gespeichert.
Firma | Cookie | Zweck | Speicherdauer | Erst-/Drittanbieter |
AppDynamics | ADRUM | Technische Anwendungs-Überwachung | Session | Erstanbieter |
AppDynamics | ADRUM_BTa | Technische Anwendungs-Überwachung
| Permanent | Erstanbieter |
AppDynamics | ADRUM_BT[1-5] | Technische Anwendungs-Überwachung
| Permanent | Erstanbieter |
AppDynamics | ADRUM_BTs | Technische Anwendungs-Überwachung
| Permanent | Erstanbieter |
Keycloak | AUTH_SESSION_ID | Nutzer-Authentifizierung
| Sitzung | Erstanbieter |
Keycloak | KC_RESTART | Nutzer-Authentifizierung
| Sitzung | Erstanbieter |
ADRUM
Mit Einsatz des Cookies können App Dynamics Statistiken (App-Monitoring, "Gesundheit der Anwendung") erhoben werden.
ADRUM_BTa
Beinhaltet die TransactionID sowie Informationen über Zeitstempel und wird zur Korrelation der EndUser Experience mit dem Gesundheitszustand der Backend Anwendung benutzt
ADRUM_BT[1-5]
Speichert die BusinesstranctionID (fachlicher Kontext) sowie Zeit- und Fehlerinformationen zu den ersten 5 zugehörigen Businesstractions im Backend in ADRUM_BT1, ADRUM_BT2, etc.
ADRUM_BTs
Speichert einen Link vom BrowserSnapshot zum zugehörigen Backend Snapshot.
Keycloak AUTH-SESSION_ID
Dient der Identifikation der Session beim Login.
Keycloak KC_RESTART
Ein verschlüsselter Wert (Token), damit im Falle eines Verbindungsabbruchs, die Autorisierung neu gestartet werden kann.
6.2.4 Analytische Cookies (opt-in)
Diese Cookies verwenden wir für eine statistische Analyse und Reichweitenmessung. Sie helfen uns, zu bestimmen, ob, welche, wie oft und wie lange Bereiche unserer Anwendung aufgerufen werden und für welche Inhalte sich Nutzer interessieren, um in diesen Bereichen der Anwendung der Weiterentwicklung zu fokussieren (z.B. Usability-Optimierung, Automatisierung, Nutzerunterstützung, etc.). Erfasst werden weiterhin z.B. Suchbegriffe, das Land oder die Region aus der der Zugriff erfolgt, sowie der Anteil von mobilen Endgeräten, die auf unsere Anwendung zugreifen.
Rechtsgrundlage für die Verarbeitung ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a) DS-GVO, § 25 Abs. 1 Satz 1 TDDDG). Sie können Ihre erteilte Einwilligung jederzeit in den Cookie-Präferenzen unter „mehr“ anpassen.
Firma | Cookie | Zweck | Speicherdauer | Erst-/Drittanbieter |
Adobe | s_cc | Cookie-Erkennung, Verlaufsmessung, Statistische App-Analyse | Session | Erstanbieter |
Adobe | s_sq | Verlaufsmessung, Statistische App-Analyse | Session | Erstanbieter |
Adobe | s_fid | Wiedererkennung, Reichweitenmessung, Statistische App-Analyse | 2 Jahre | Erstanbieter |
Adobe | s_ecid | Vergabe einer Tracking-ID zur Nutzeridentifikation | 730 Tage | Erstanbieter |
Adobe | AMCV | Randomisierte Besucher ID zur Verfolgung der besuchten Bereiche der KLARTAX App | 730 Tage | Erstanbieter |
Adobe | AMCVS | Speicherung des Wertes „1“ für eine aktive Sitzung | Session | Erstanbieter |
Adobe | demdex | Speicherung einer randomisierten Visitor ID um zu tracken, auf welchen Seiten/Angebote der DATEV (datev.de, KLARTAX-App, klartax.de, smartexperts.de) der Nutzer aktiv ist. | 180 Tage | Drittanbieter |
s_cc
Mit diesem Cookie wird überprüft, ob Browser-Cookies erlaubt sind. Stimmt der Wert überein, findet eine Cookie-Weiterleitung statt. Falls Cookies deaktiviert sind, kann kein Besuchsverlauf nachgezeichnet werden. Dieses Session Cookie wird gelöscht, wenn der Browser/die Anwendung geschlossen wird.
s_sq
Der Cookie speichert Informationen über die Links, die vorher durch den Nutzer innerhalb der KLARTAX App angeklickt wurden. Diese Informationen werden genutzt, um eine „ClickMap“ zu erstellen. Eine „ClickMap“ ist eine Übersicht innerhalb von Adobe Analytics, welche die gesamten Klicks des Nutzers in der KLARTAX App darstellt.
s_fid
Dieses Cookie wird zur Speicherung der Besucher-ID mit einem Uhrzeit-/Datumsstempel verwendet, um einen bestimmten Besucher zu identifizieren. Das Cookie dient der Reichenweitenmessung, für statistische Analysen und der Wiedererkennung.
s_ecid
Adobe Analytics nutzt dieses Cookie, um Besucher mit einer ID zu versehen. Anhand dieser ID können (DATEV-) Website- und KLARTAX-App-übergreifend Aktivitäten getrackt werden. Z.B. kann ein Besucher der klartax.de identifiziert werden, wenn er von klartax.de auf smartexperts.de, in die KLARTAX-App oder andere Angebote der DATEV wechselt. Diese Information wird genutzt, um Rückschlüsse auf seitenübergreifende Angebote zu ziehen oder die Anwendungen/Angebote zu optimieren.
AMCV
Dieses Cookie wird genutzt, um einen eindeutigen Benutzer („Unique Visitor“) zu bestimmen. Dadurch können wir einen Besucher beim Aufruf mehrerer Seiten und bei einem erneuten Besuch wiedererkennen. Das Cookie kann zudem dafür genutzt werden, einen Besucher in weiteren Adobe Cloud Anwendungen (z.B. Adobe Campaign oder Adobe Target) wiederzuerkennen. Das AMCV-Cookie speichert Informationen darüber, wie Besucher unsere App nutzen, und hilft uns auf diese Weise, unsere App fortlaufend entsprechend ihrer Interessen weiterzuentwickeln. Die Speicherdauer dieses Cookies beträgt 2 Jahre.
AMCVS
Das AMCV-Cookie speichert Informationen darüber, wie Besucher unsere Anwendung nutzen, und hilft uns auf diese Weise, unsere Anwendung fortlaufend entsprechend ihrer Interessen weiterzuentwickeln. Nach Ende der Sitzung wird das Cookie gelöscht.
demdex
Dieses Cookie dient der Besucheridentifikation über eine randomisierte ID. Die Speicherdauer beträgt 180 Tage.
6.3 SDKs (iOS)
Wenn Sie unsere Anwendung nutzen, kann diese Informationen über Ihren Nutzungsverlauf abrufen oder speichern. Hierbei kann es sich um Informationen über Ihr Nutzungsverhalten oder Ihr Gerät handeln. Da wir Ihr Recht auf Privatsphäre schätzen, können Sie diese Tracking-Funktionen blockieren. Klicken Sie auf die entsprechende Tracking-Kategorie, um mehr zu erfahren und die Einstellungen anzupassen. Die Erhebung der Daten findet analog 6.2 statt, lediglich die Technologie zur Erhebung der Daten ist technisch bedingt eine andere (SDKs unter iOS).
6.3.1 Erforderliche SDKs (voreingestellt)
Diese sind zur Funktion der Anwendung zwingend erforderlich und können in Ihren Systemen nicht deaktiviert werden. In der Regel werden diese nur als Reaktion auf von Ihnen getätigte Aktionen gespeichert, die einer Dienstanforderung entsprechen, wie etwa dem Festlegen Ihrer Datenschutzeinstellungen, dem Anmelden oder dem Ausfüllen von Formularen. In diese Messungen werden keine unmittelbar personenbezogenen Daten gespeichert.
Core Graphics
Das Core Graphics-Framework basiert auf der Advanced Drawing Engine von Quartz. Es bietet Low-Level-, leichtes 2D-Rendering zur besseren grafischen Darstellung.
Lottie
Lottie ist eine mobile Bibliothek für Android und iOS, die nativ vektorbasierte Animationen und Kunst in Echtzeit mit minimalem Code rendert.
GLKit
Das GLKit-Framework stellt Funktionen und Klassen bereit, die den Aufwand zum Erstellen neuer Shader-basierter Apps reduzieren
Swift UI
SwiftUI ist ein GUI-Framework, mit dem Benutzeroberflächen erstellt werden.
Onetrust IOS SDK
OneTrust SDK wird verwendet, um ein Datenschutzbanner und ein Einstellungszentrum anzuzeigen, um die Zustimmung der Benutzer gemäß den Datenschutzbestimmungen zu sammeln und zu speichern.
Local Authentication
Authentifizieren von Benutzer mittels biometrisch oder mit einer Passphrase, die sie bereits kennen.
OpenGL ES
OpenGL ES bietet eine C-basierte Schnittstelle für hardwarebeschleunigtes 2D- und 3D-Grafik-Rendering.
Metal
Grafikprozessoren (GPUs) sind darauf ausgelegt, Grafiken schnell wiederzugeben und datenparallele Berechnungen durchzuführen.
UIKit
Das UIKit-Framework stellt die erforderliche Infrastruktur für Ihre iOS- oder tvOS-Apps bereit.
MetalKit
Mit MetalKit können Apps schneller und einfacher mit viel weniger Code geschrieben werden.
Image I/O
Das Programmierschnittstellen-Framework Image I/O ermöglicht es Anwendungen, die meisten Bilddateiformate zu lesen und zu schreiben.
6.3.2 Analytische SDKs (opt-in)
Zur Messung der analytischen Informationen analog 6.2.4. kommen folgendes SDKs zur Erfüllung der gleichen Zwecke zum Einsatz:
AEPAnalytics
Die Erweiterung für Analytics ermöglicht das Versenden von Daten zu bestimmten Benutzerinteraktionen innerhalb der mobilen Anwendung an die Adobe Experience Cloud, insbesondere Adobe Analytics.
AEPCore
Das SDK bietet zentrale, erweiterungsunabhängige APIs, um die Ereignisverfolgung von Benutzerbildschirmen, Aktionen und PII-Daten zu erleichtern. Wenn beispielsweise die Analytics-Erweiterung installiert ist, werden alle Benutzeraktionen und Ereignisdaten für App-Bildschirme an die entsprechenden Analytics-Berichtsendpunkte gesendet.
AEPIdentity
Die Identity-Erweiterung ist mit Mobile Core gebündelt und aktiviert Ihre App mit der Experience Cloud ID (ECID). Dieser Dienst hilft bei der Synchronisierung von Adobe und anderen Kundenkennungen.
AEPLifecycle
Mit der Lifecycle-Erweiterung können Sie auf Informationen zu den Sitzungen der App zugreifen, einschließlich Geräteinformationen, App-Installation, App-Upgrades, Sitzungsstart- und Pausenzeiten, Anzahl der Anwendungsstarts und zusätzliche Kontextdaten.
AEPRulesEngine
Die Rules Engine sucht nach der Benutzerinteraktion und den zugehörigen Daten, und wenn die von Ihnen in den Regeln definierten Kriterien erfüllt sind, werden die von Ihnen angegebenen Aktionen ausgelöst.
AEPServices
Die Plattformdienste werden von den Adobe Experience Platform Mobile SDKs als Teil der Mobile Core-Erweiterung bereitgestellt. Diese Dienste bieten gemeinsam genutzte Funktionen im gesamten SDK, die von Erweiterungen gemeinsam genutzt werden können. Beispielsweise bieten Dienste gemeinsam genutzte Funktionen für Netzwerke, Datenwarteschlangen, Caching und mehr.
AEPSignal
Mit der Signal-Erweiterung können Sie Daten an Endpunkte von Drittanbietern über GET- und POST-Anforderungen senden. Signale werden mithilfe von Regeln in der Data Collection-Benutzeroberfläche konfiguriert.
AEPUserProfile
Die Profile-Erweiterung verwaltet das Client-Side Operation Profile (CSOP) und bietet eine Möglichkeit, auf APIs zu reagieren, Benutzerprofilattribute zu aktualisieren und die Benutzerprofilattribute als generiertes Ereignis mit dem Rest des Systems zu teilen.
6.4 Weitere Verarbeitungszwecke
DATEV hat das Recht, Ihre Daten zu anonymisieren. DATEV kann diese anonymisierten Daten für eigene Zwecke, wie die Erstellung von Betriebs- oder Branchenvergleichen oder sonstige Zwecke mit volks- bzw. betriebswirtschaftlichem Informationscharakter, statistische Auswertungen, Benchmarking, Produktverbesserungen, Produktneuentwicklungen und weitere vergleichbare Zwecke verarbeiten und nutzen. Dies umfasst auch eine anonymisierte Weitergabe an Dritte, insbesondere an Verbände, Organisationen oder Forschungseinrichtungen sowie für Publikationen.
Rechtsgrundlage für diese Verarbeitungen ist das berechtigte Interesse der DATEV (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO) an der Erstellung rein statistischer Auswertungen zu den o.a. Zwecken.
6.5 Widerspruch
Soweit wir die Verarbeitung Ihrer personenbezogenen Daten auf eine Interessenabwägung (Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO) stützen, können Sie Widerspruch gegen die Verarbeitung einlegen (z.B. an: service@klartax.de). Bei Ausübung eines solchen Widerspruchs bitten wir um Darlegung der Gründe, weshalb wir Ihre personenbezogenen Daten nicht wie von uns durchgeführt verarbeiten sollten. Im Falle Ihres begründeten Widerspruchs prüfen wir die Sachlage und werden entweder die Datenverarbeitung einstellen bzw. anpassen oder Ihnen unsere zwingenden schutzwürdigen Gründe aufzeigen, aufgrund derer wir die Verarbeitung fortführen.
6.6 Dauer der Speicherung
Sind Ihre personenbezogenen Daten für die oben genannten Zwecke nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Aufbewahrung ist – wie oben in den relevanten Fällen dargelegt – zur Erfüllung vertraglicher oder gesetzlicher Pflichten weiterhin notwendig.
Darüber hinaus können wir Ihre nach dieser Ziff. 6 erhobenen personenbezogenen Daten zur Verfolgung unserer berechtigten Interessen weiterhin gespeichert behalten (Rechtsgrundlage also Art. 6 Abs. 1 Satz 1 lit. (f) DS-GVO), um uns nämlich während der Dauer gesetzlicher Verjährungsfristen für den Fall rechtlicher Auseinandersetzungen mit Nutzern zur Wahrnehmung unserer Rechte erforderliche Beweismittel zu erhalten. Die regelmäßige zivilrechtliche Verjährungs-frist beträgt drei Jahre.
6.7 Empfänger personenbezogener Daten
Innerhalb der DATEV erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Bearbeitung der oben genannten Zwecke benötigen. Auch von DATEV eingesetzte Auftragsverarbeiter (Rechtsgrundlage: Art. 28 DS-GVO) und andere Dienstleister können zu diesen genannten Zwecken Daten erhalten.
Rechtsgrundlage ist insoweit die Verfolgung unserer berechtigten Interessen an der Umsetzung einer arbeitsteiligen Ablauforganisation in unserem Unternehmen und der Nutzung von Spezialisten-Know how bei unseren Dienstleistern im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO. Dies sind Unternehmen in den Kategorien IT-Dienstleistungen (insbesondere zu Zwecken der Wartung und/oder Störungsanalyse bei von uns eingesetzter Hard- oder Software), Logistik, Telekommunikation und Marketing. Daneben arbeitet DATEV zur Entwicklung und Verbesserung von Dienstleistungen auch mit Universitäten zusammen. Eine Datenweitergabe an solche Empfänger außerhalb der DATEV erfolgt zu anderen als den o.a. Zwecken nur, wenn Sie eingewilligt haben.
Mit unseren Supportpartnern für die von uns eingesetzte Hard- oder Software eingesetzt haben wir die vertraglichen Regelungen zur Zweckbindung und Vertraulichkeit abgeschlossen.
6.8 Drittland
Eine Übermittlung personenbezogener Daten an Dienstleister außerhalb der EU/des Europäischen Wirtschaftsraums (EWR) erfolgt nur, soweit dem Drittland durch die EU-Kommission ein angemessenes Datenschutzniveau bestätigt wurde oder andere angemessene Datenschutzgarantien vorhanden sind. Dies können z.B. verbindliche unternehmensinterne Datenschutzvorschriften sein oder EU-Standardvertragsklauseln i.V.m. von gegebenenfalls auf Basis eines Transfer-Impact-Assessments erforderlichen Zusatzmaßnahmen.
6.9 Automatisierte Entscheidungsfindung
Findet nicht statt.
7 Betroffenenrechte / Datenübertragbarkeit
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
Bitte wenden Sie sich zur Ausübung eines Betroffenenrechts an DATEV unter der E-Mail-Adresse service@klartax.de unter Angabe Ihrer Kontaktdaten und der Betroffenenrechte, die Sie ausüben wollen.
8 Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
Im Fall von Beschwerden können Sie sich an eine Datenschutz-Aufsichtsbehörde wenden. Für DATEV ist das Bayrische Landesamt für Datenschutzaufsicht die zuständige Aufsichtsbehörde.
9 Links zu anderen Webseiten
Rufen Sie eine externe Internetseite in unserer Anwendung KLARTAX auf (externer Link), wird der externe Anbieter möglicherweise von Ihrem Browser die Information erhalten, von welcher Seite Sie zu ihm gekommen sind. Für diese Daten ist der externe Anbieter verantwortlich. Wir sind, wie jeder andere Anbieter, nicht in der Lage, diesen Vorgang zu beeinflussen.
10 Auftragsverarbeitung
Hinweis zur Auftragsverarbeitung
A. Hinweis: Erforderlichkeit einer Auftragsverarbeitungsvereinbarung für die Nutzung von KLARTAX
Bitte beachten Sie, wenn Sie KLARTAX nutzen, können personenbezogene Daten Dritter verarbeitet werden. Hierbei sind die Vorgaben der Datenschutz-Grundverordnung (DS-GVO) zu beachten. Wenn Sie KLARTAX auch für geschäftliche Tätigkeiten nutzen und damit nicht ausschließlich für persönliche Tätigkeiten, müssen Sie deshalb zum Beispiel eine Auftragsverarbeitungsvereinbarung mit uns abschließen.
Was sind ausschließlich persönliche Tätigkeiten im Zusammenhang mit KLARTAX?
Wenn Sie KLARTAX ausschließlich zur Vorbereitung einer privaten Einkommensteuererklärung nutzen, und in diesem Zusammenhang ein oder mehrere Privatkonten einbinden (private Vermögensverwaltung), handelt es sich um eine ausschließliche persönliche Tätigkeit.
Ein Konto ist dann ein Privatkonto, wenn es ausschließlich im Zusammenhang mit privaten Tätigkeiten genutzt wird, also keine Zahlungen im Zusammenhang mit einer geschäftlichen (selbst wenn nur nebenberuflich) Tätigkeit über das Konto abgewickelt werden.
Im Fall einer gemischten Nutzung eines Kontos handelt es sich, auch dann wenn das Konto nur gelegentlich im Zusammenhang mit geschäftlichen Tätigkeiten genutzt wird, nicht mehr um ein Privatkonto. Die Kontenumsätze enthalten in der Regel personenbezogene Daten anderer Personen, wie Name, Anschrift und Kontonummer. Auch in diesem Fall müssen Sie daher eine Auftragsverarbeitungsvereinbarung mit uns abschließen.
Beispiele für private Tätigkeiten:
Beispiele für geschäftliche Tätigkeiten:
Diese Hinweise beschreiben, in welchen Fällen nach Auffassung der DATEV für die datenschutzkonforme Nutzung von KLARTAX in der Regel der Abschluss einer Auftragsverarbeitungsvereinbarung erforderlich ist. Die datenschutzrechtskonforme Nutzung von KLARTAX ist jedoch stets von den Umständen des Einzelfalls abhängig. Dies gilt auch für die Frage, ob Sie mit uns eine Auftragsverarbeitungsvereinbarung abschließen müssen. Bitte wenden Sie sich im Zweifel an einen Rechtsanwalt, der Sie bei der datenschutzrechtskonformen Nutzung von KLARTAX unterstützt (z.B. über die Plattform SmartExperts). Die DS-GVO können Sie hier abrufen: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679]
B. Was müssen Sie jetzt tun?
Wenn Sie eine Auftragsverarbeitungsvereinbarung benötigen, drucken Sie bitte das Formular der Auftragsverarbeitungsvereinbarung (PDF) aus und schicken Sie uns dieses ausgefüllt und unterschrieben zurück.
Per Post an:
DATEV eG - KLARTAX
Paumgartnerstr. 6 – 14
90429 Nürnberg
oder per E-Mail an:
Bitte laden Sie personenbezogene Daten Dritter im Zusammenhang mit einer geschäftlichen Tätigkeit erst hoch, wenn Sie eine Bestätigungsmail von uns erhalten haben.
10.1 Download der Auftragsverarbeitungsvereinbarung
Formular der Auftragsverarbeitungsvereinbarung (PDF)
11 Subunternehmer
Übersicht der eingesetzten weiteren Auftragsverarbeiter
Übersicht der eingesetzten weiteren Auftragsverarbeiter nach Art. 28 Abs. 2 DS-GVO und Übermittlung personenbezogener Daten an ein Drittland
DATEV verarbeitet personenbezogene Daten im Auftrag ihrer Kunden (Auftragsverarbeitung). Dies umfasst alle Tätigkeiten, die DATEV gemäß den Leistungsbeschreibung und der vertraglichen Vereinbarung mit dem Kunden erbringt und die eine Auftragsverarbeitung darstellen.
Gemäß der „Vereinbarung zur Auftragsverarbeitung nach EU-Datenschutzgrundverordnung (DS-GVO)“ erteilt der Kunde DATEV die allgemeine Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 DS-GVO in Anspruch zu nehmen. Weiterhin ist DATEV berechtigt, die personenbezogenen Daten - unter Beachtung der zwingend anwendbaren Vorschriften - an Dienstleister in einem Drittland zu übermitteln.
Sie finden in der Übersicht:
11.1 Weitere Auftragsverarbeiter
Auftragsverarbeiter /Empfänger | Zweck | Drittlandsübermittlung |
DEFACTO nextperience GmbH, Am Pestalozziring 91058 Erlangen | Hosting, Dienstleistungen |
|
noris network AG, Thomas-Mann-Str. 16-20, 90471 Nürnberg | Hosting |
|
Rechenzentrumsleistungen weitere Informationen | Störungsbeseitigung |
|
commercetools GmbH, Adams-Lehmann-Str. 44, D-80797 München | Transaktionsabwicklung |
|
PAYONE GmbH, | Transaktionsabwicklung (bargeldlose Zahlung) | Abhängig von Ihrem eingebundenen Kreditkartendienstleister zur Erfüllung des Auftrags |
Adobe Systems Software Ireland Ltd., 4-6 Riverwalk, Citywest Business Campus, Saggart Dublin 24, | Tracking und Analyse |
|
OneTrust | Einwilligungs-Management |
|
IDnow GmbH | Online-Identifizierung |
|
Tivian XI GmbH, | Umfragen / Nutzerbefragung |
|
12 Datenschutzrechtliche Informationen der Steuerverwaltung
(1) Werden im Rahmen der Programmnutzung personenbezogene Daten an die Steuerverwaltung übertragen, erfolgt die Verarbeitung personenbezogener Daten durch die Steuerverwaltung gemäß dem jeweils gültigen Informationsschreiben „Allgemeine Informationen zur Umsetzung der datenschutzrechtlichen Vorgaben der Artikel 12 bis 14 der Datenschutz-Grundverordnung in der Steuerverwaltung“, siehe hier.
(2) Aufgrund der Lizenzvereinbarung mit dem Bayerischen Landesamt für Steuern zur Nutzung einer Übertragungsschnittstelle zur Steuerverwaltung (ERiC) wird auf folgenden Datenschutzhinweis der Finanzverwaltung hingewiesen, der insbesondere zum Tragen kommt, wenn die Übermittlung von Daten nicht über das DATEV-Rechenzentrum erfolgt:
„Mit dieser Software werden personenbezogene Daten im Sinne des Art. 4 Nr. 1 Datenschutzgrundverordnung (DSGVO) und Art. 9 Abs. 1 DSGVO zum Zwecke der Verarbeitung erhoben. Neben den reinen Daten, die zur Steuerveranlagung benötigt werden, erhebt die Soft-ware Daten über die Art des Betriebssystems des Anwenders und übermittelt diese an die Finanzverwaltung. Diese Daten werden benötigt, um die ordnungsgemäße Verarbeitung der Daten sicherzustellen und Fehlern im Verarbeitungsprozess vorzubeugen. Die Nutzung der Daten erfolgt im Rahmen des Art. 6 Abs. 1 UAbs. 1 Buchst. e i. V. m. Abs. 3 UAbs. 1 Buchst. b DSGVO i. V. m. bundes- bzw. landesgesetzlicher Steuergesetze durch die Finanzverwaltung und nur für den genannten Zweck.“
(3) Aufgrund der Lizenzvereinbarung mit dem Bayerischen Landesamt für Steuern zur Nutzung einer Übertragungsschnittstelle zur Steuerverwaltung, weisen wir als Software-Anbieter DATEV darauf hin , dass im Rahmen der ERiC-Anwendung Protokolldateien erstellt und in unserem Rechenzentrum gespeichert werden. Die Protokolldateien verbleiben beim übermittelnden System. Diese Daten sind nur vom Endnutzer einsehbar. Lediglich die Transfer-Ticket-ID und das Übertragungsdatum werden zusätzlich für Supportfälle und zur Anzeige in der Anwendung KLARTRAX im Rechenzentrum gespeichert. Die Rechtmäßigkeitsgrundlage der Übermittlung der Protokolldateien liegt in Art. 6 Abs. 1 lit. f DS-GVO, der Wahrung berechtigter Interessen zum Zweck der Fehleranalyse und Fehlerbehebung. Es erfolgt keine automatische Weiterleitung der Protokolldateien an das Finanzamt. Eine Übermittlung der Protokolldateien erfolgt nur mit Ihrer Einwilligung. Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit a DSGVO (Einwilligung). Diese Einwilligung dokumentieren wir auf Verlangen der Finanzverwaltung zu Nachweiszwecken für Anfragen der Finanzverwaltung. Rechtsgrundlage ist somit das berechtigte Interesse, den Nachweis Ihrer Einwilligung führen zu können, Art. 6 Abs. 1 lit. f DSGVO.
Allgemeine Informationen zur Umsetzung der datenschutzrechtlichen Vorgaben der Artikel 12 bis 14 der Datenschutz-Grundverordnung in der Steuerverwaltung finden Sie auch hier.
13 Sicherheit & Code of Business Conduct von DATEV
DATEV ergreift geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten und personenbezogene Daten vor Vernichtung, Verlust, Veränderung oder unbefugter Offenlegung und unbefugtem Zugang zu schützen. Die Wirksamkeit dieser Maßnahmen wird regelmäßig überprüft, bewertet und evaluiert.
14 Code of Business Conduct von DATEV
Zum Verhaltenskodex – Code of Business Conduct von DATEV
