Stand: 29.04.2026
Datenschutzhinweise zur Software Taxelo
Hinweis zum Dokument Diese Hinweise erfüllen die Informationspflichten nach Art. 13 DSGVO für personenbezogene Daten, die die entity tax GmbH als Verantwortlicher im Zusammenhang mit der Marketing-Website (https://www.taxelo.de), dem Self-Service-Portal „Taxelo Online" (https://online.taxelo.de) und der Software Taxelo verarbeitet. Sie informieren ergänzend über das Verhalten der Software, damit die einsetzende Steuerkanzlei ihre eigenen Informationspflichten gegenüber Mandanten und Mitarbeitern erfüllen kann.
Lizenzgeber und Vertriebsverantwortlicher der Software Taxelo ist die entity tax GmbH.
Dieses Dokument ersetzt nicht den Lizenzvertrag und keine Datenschutzerklärung der einsetzenden Kanzlei.
Verbindlichkeit. Die in diesem Dokument enthaltenen Angaben werden mit Abschluss einer Lizenzvereinbarung über die Software Taxelo Bestandteil des Vertragsverhältnisses und damit verbindlich. Ohne bestehendes Lizenzverhältnis erfolgen die Angaben unverbindlich und ausschließlich zum Zweck der datenschutzrechtlichen Prüfung im Rahmen der Vertragsanbahnung; eine Anerkennung einer Rechtspflicht ist damit nicht verbunden.
Teil A — entity tax GmbH als Verantwortlicher
Dieser Teil betrifft Daten, die unmittelbar bei der entity tax GmbH verarbeitet werden: Vertragsdaten der Lizenznehmer, Update-Check-Verkehr, Support-Anfragen sowie Webseiten- und Kontaktdaten.
A.1 Verantwortlicher
entity tax GmbH Schlesische Straße 29–30 10997 Berlin Telefon: +49 30 2332 649 10 Email: info@entitytax.de Geschäftsführung: Wulf Rowek Handelsregister: HRB 124158 B, Amtsgericht Charlottenburg (Berlin)
A.2 Datenschutzbeauftragter
Es ist kein Datenschutzbeauftragter benannt. Anfragen zum Datenschutz richten Sie bitte an info@entitytax.de.
A.3 Verarbeitungszwecke und Rechtsgrundlagen
| Zweck | Datenkategorie | Rechtsgrundlage |
|---|---|---|
| Bereitstellung der Webseite | Server-Logfiles (IP, User-Agent, Zeitstempel, abgerufene URL) | Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse am sicheren Betrieb |
| Demo-/Kontaktanfragen | Name, Email, Firma, Nachricht | Art. 6 Abs. 1 lit. b DSGVO — vorvertragliche Maßnahmen |
| Lizenz- und Wartungsvertragsabwicklung | Vertragsstammdaten, Ansprechpartner, Rechnungsdaten | Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung; Art. 6 Abs. 1 lit. c i.V.m. § 257 HGB / § 147 AO — Aufbewahrungspflichten |
| Konto- und Abo-Verwaltung über Taxelo Online | Konto-/Kanzlei-Stammdaten (Anrede, Vor-/Nachname der handelnden Person, Kanzlei-Name, eine oder mehrere Beraternummern, Rechnungsanschrift, Rechnungs-Email), DATEVid-Identifikatoren (sub, account_id), Abo-/Bestelldaten (Plan, Abrechnungszyklus, Bestell- und Kündigungsdatum), Audit-Log-Events |
Art. 6 Abs. 1 lit. b DSGVO — Vertragsanbahnung/-erfüllung; Art. 6 Abs. 1 lit. f — Bereitstellung des Self-Service-Portals |
| Rechnungsstellung und Zahlungsabwicklung über Taxelo Online | Rechnungsnummer, Netto- und Umsatzsteuerbeträge, Abrechnungszeitraum, Rechnungs- und Zahlungsdatum sowie Erstattungsdaten (Erstattungsgrund und -datum) im Rahmen der Geld-zurück-Garantie | Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung; Art. 6 Abs. 1 lit. c i.V.m. § 257 HGB, § 147 AO — Aufbewahrungspflichten |
| Authentifizierung im Taxelo Online Portal | DATEVid-OIDC-Claims (sub, Email, Name, ggf. Beraternummer und Kanzlei-Name) |
Art. 6 Abs. 1 lit. b DSGVO — Vertragsanbahnung / -erfüllung; Art. 6 Abs. 1 lit. f — berechtigtes Interesse an Identifikation des Vertragspartners |
| Versand von Bestell- und Aktivierungs-Mails | Rechnungs-Email der Kanzlei, Bestelldaten | Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung |
| Bereitstellung von Software-Updates | IP-Adresse der abrufenden Maschine, Versions-/Build-Nummer der installierten Software, User-Agent, eindeutige Client-Kennung der Kanzlei-Lizenz (zur Lizenz- und Berechtigungsprüfung) | Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Sicherheit, Funktionsfähigkeit und Auslieferung ausschließlich an autorisierte Clients |
| Bearbeitung von Supportanfragen | Im Ticket übermittelte Inhalte, Kontaktdaten des Anfragenden | Art. 6 Abs. 1 lit. b DSGVO — Wartungs-/Pflegeleistung |
A.4 Erläuterung berechtigter Interessen
Webseiten-Logfiles: Erkennung und Abwehr von Angriffen, Sicherstellung der Verfügbarkeit. Eingriffstiefe gering, da kein Profiling und kurze Speicherdauer.
Update-Check: Sicherstellung, dass installierte Instanzen zeitnah Sicherheits- und Funktionsupdates erhalten. Die rechtzeitige Auslieferung sicherheitsrelevanter Aktualisierungen schützt mittelbar auch die in der Kanzlei verarbeiteten Mandantendaten und ist damit auch im Interesse der betroffenen Personen.
Die Eingriffstiefe ist gering: übertragen werden ausschließlich technische Metadaten (IP-Adresse der abrufenden Maschine, Versions-/Build-Nummer der installierten Software, User-Agent) sowie eine eindeutige Client-Kennung der Kanzlei-Lizenz, die der Server zur Berechtigungsprüfung benötigt — Updates werden ausschließlich an authentifizierte, autorisierte Clients ausgeliefert. Die IP-Adresse und die Client-Kennung sind nach DSGVO personenbezogene Daten mit indirekter Identifikationsmöglichkeit auf die Kanzlei; direkt identifizierende Daten von Sachbearbeitern oder Mandanten, Inhaltsdaten der Kanzlei und Mandantendaten werden nicht übertragen.
Die Client-Kennung wird ausschließlich zur Berechtigungsprüfung im Rahmen der einzelnen Anfrage verwendet und nicht zur Bildung von Nutzungsprofilen oder zur dauerhaften Verfolgung einzelner Installationen eingesetzt. Eine Zusammenführung mit anderen Datenquellen erfolgt nicht. Es findet keine Korrelation der Update-Logs mit anderen Datenquellen und kein Profiling statt. Über den Update-Check hinaus findet keine Übermittlung von Telemetrie-, Nutzungs- oder Diagnosedaten aus der ausgelieferten Software an die entity tax GmbH statt.
Eine weniger eingreifende Alternative besteht nicht: ein zentraler Update-Mechanismus erfordert eine Anfrage an einen festen Endpoint, an dem zwangsläufig die abrufende IP anfällt. Die Daten werden auf Server-Seite nach 30 Tagen gelöscht (siehe A.7). Der Update-Check ist über die Software-Konfiguration jederzeit deaktivierbar (siehe A.10).
A.5 Empfänger und Auftragsverarbeiter
Folgende Dienstleister werden im Rahmen der jeweils benannten Zwecke eingesetzt:
| Dienstleister | Zweck | Standort | Rechtsgrundlage Übermittlung |
|---|---|---|---|
| entity GmbH | Software-Entwicklung und operative Support-Tätigkeiten im Auftrag der entity tax GmbH | Deutschland | AVV nach Art. 28 DSGVO |
| IONOS SE | Webseiten-Hosting der Marketing-Website www.taxelo.de | Deutschland | AVV nach Art. 28 DSGVO |
| IONOS SE | Hosting des Self-Service-Portals Taxelo Online (IONOS Cloud Server, Standort Deutschland) | Deutschland | AVV nach Art. 28 DSGVO |
| IONOS SE | Versand von Bestell- und Aktivierungs-Mails über IONOS Mail Business (Postfach online@taxelo.de) |
Deutschland | AVV nach Art. 28 DSGVO |
| IONOS SE | Hosting der Update-Artefakte und des Update-Manifests (IONOS Object Storage) | Deutschland | AVV nach Art. 28 DSGVO |
| DATEV eG | Identitäts-Provider DATEVid: Authentifizierung des Anwenders mit DATEV-Anmeldeverfahren und Übermittlung von Login-Claims (sub, Email, Name) an die entity tax GmbH | Deutschland | Eigenständiger Verantwortlicher für den Authentifizierungsvorgang gemäß DATEV-Datenschutzhinweis; Datenfluss von DATEV an entity tax auf Grundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung) |
| Microsoft Ireland Operations Ltd. | Microsoft 365: geschäftlicher Email-Verkehr der entity tax GmbH, Kollaboration und Support-Kommunikation über Microsoft Teams sowie Erstellung und Ablage von Geschäftsdokumenten über die Office-Anwendungen und zugehörige Cloud-Speicherdienste | EU (EU Data Boundary); Microsoft ist Teil eines US-Konzern-Verbunds | AVV nach Art. 28 DSGVO + EU-Standardvertragsklauseln (Art. 46 DSGVO) |
| Taxellenz Steuerberatungsgesellschaft mbH | Buchhaltung und Steuerberatung der entity tax GmbH | Deutschland | gesetzliche Pflicht (§ 257 HGB, § 147 AO) |
Mit allen vorgenannten Dienstleistern bestehen die rechtlich erforderlichen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO. Soweit Datenübermittlungen in Drittländer erfolgen, sind die in Abschnitt A.6 genannten Garantien abgeschlossen und in Kraft.
A.6 Drittlandübermittlung
Die entity tax GmbH übermittelt personenbezogene Daten grundsätzlich ausschließlich innerhalb der EU/des EWR.
Das Hosting der Webseiten und der Software-Update-Artefakte erfolgt bei der IONOS SE (Sitz: Montabaur, Deutschland) in deutschen Rechenzentren. Ein Konzernbezug zu außereuropäischen Anbietern besteht nicht. Mit IONOS SE ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen.
Für den geschäftlichen Email-Verkehr der entity tax GmbH, für Kollaboration und Support-Kommunikation über Microsoft Teams sowie für die Erstellung und Ablage von Geschäftsdokumenten über die Office-Anwendungen und zugehörige Cloud-Speicherdienste kommt Microsoft 365 zum Einsatz. Eine Verarbeitung von Mandanten- oder Kanzleidaten aus dem Einsatz der Software Taxelo in diesen Systemen erfolgt nicht. Die Verarbeitung erfolgt im Rahmen der „EU Data Boundary"-Selbstverpflichtung von Microsoft innerhalb der EU. Da die Muttergesellschaft Microsoft Corporation in den USA ansässig ist, ist zwischen der entity tax GmbH und der Microsoft Ireland Operations Ltd. das Microsoft Online Services Data Protection Addendum (DPA) in seiner jeweils aktuellen Fassung in Kraft. Dieses umfasst integral die EU-Standardvertragsklauseln (Modul 2) nach Durchführungsbeschluss (EU) 2021/914 und stellt damit die Garantien nach Art. 46 DSGVO sicher. Ein Restrisiko durch Zugriffsmöglichkeiten US-amerikanischer Behörden (insbesondere CLOUD Act, FISA 702) lässt sich vertraglich nicht vollständig ausschließen; die entity tax GmbH bewertet dieses Restrisiko angesichts der beschränkten Datenkategorien und der Microsoft-seitigen Schutzmaßnahmen als vertretbar und überprüft die Bewertung fortlaufend.
A.7 Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Webseiten-Logfiles | 7 Tage |
| Kontakt-/Demoanfragen ohne Vertragsabschluss | bis Erledigung, max. 6 Monate |
| Vertragsstammdaten | Vertragslaufzeit + 10 Jahre (handels-/steuerrechtliche Aufbewahrung) |
| Rechnungsdaten | 10 Jahre nach Ende des Kalenderjahrs der Rechnungsstellung |
| Konto-Stammdaten Taxelo Online (Anrede, Name, Kanzlei-Name, Beraternummer(n), Rechnungsanschrift, Rechnungs-Email) | bis zur Konto-Schließung; rechnungsrelevante Daten danach im getrennten Archivbestand bis 10 Jahre nach Ende des Kalenderjahrs der letzten Rechnung (§ 147 AO) |
| Bestell-, Zahlungs- und Lizenzdaten im Portal (Rechnungsnummer, Beträge, Abrechnungszeiträume, Zahl-/Erstattungsdaten) | 10 Jahre nach Ende des Kalenderjahrs der Rechnungsstellung (§ 147 AO) |
| Audit-Log Taxelo Online | 10 Jahre (Beleg-Funktion für ausgestellte Lizenzen und Rechnungen); revisionssicher, vollständige Löschung erst nach Ablauf der Aufbewahrungspflicht |
| Datenbank-Backups des Portals | 30 Tage rollierend |
| Zugriffslogs des Portals (IP, Pfad, Zeitstempel) | 7 Tage |
| Server-Betriebslogs des Portals | 30 Tage |
| Update-Check-Logs | 30 Tage |
| Supportanfragen | bis Lösung + 90 Tage |
Konto-Schließung und Löschung. Die Kanzlei kann ihr Konto im Self-Service
schließen (bei aktiver Lizenz erst nach deren Ablauf). Bei der Schließung werden die
personenbezogenen Konto-, Bestell- und Lizenzdaten aus dem laufenden Datenbestand
gelöscht. Bestand für das Konto noch keine bezahlte Bestellung, erfolgt eine
vollständige Löschung ohne Archivierung. Bestand mindestens eine bezahlte Bestellung,
werden ausschließlich die handels- und steuerrechtlich aufbewahrungspflichtigen
Rechnungsdaten (Name/Anschrift/Beraternummern, Plan, Rechnungsnummern, Beträge und
Daten sowie die ausgestellte Lizenz) in einen getrennten Archivbestand übernommen und
dort für die Dauer der gesetzlichen Aufbewahrungsfrist (§ 147 AO) vorgehalten; die
DATEVid-Identifikatoren (sub, account_id) werden dabei nicht archiviert
(Datenminimierung). Der Audit-Log bleibt als Beleg erhalten, wird jedoch vom
gelöschten Konto entkoppelt.
A.8 Rechte der betroffenen Personen
Sie haben das Recht auf:
- Auskunft über die Sie betreffenden personenbezogenen Daten (Art. 15)
- Berichtigung unrichtiger Daten (Art. 16)
- Löschung (Art. 17)
- Einschränkung der Verarbeitung (Art. 18)
- Datenübertragbarkeit (Art. 20)
- Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3)
Zur Ausübung der Rechte genügt eine Email an info@entitytax.de.
A.9 Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig für die entity tax GmbH ist:
Berliner Beauftragte für Datenschutz und Informationsfreiheit Friedrichstraße 219 10969 Berlin Telefon: +49 30 13889-0 Email: mailbox@datenschutz-berlin.de Web: https://www.datenschutz-berlin.de
A.10 Pflicht zur Bereitstellung
Die Bereitstellung der Vertragsdaten ist für den Abschluss und die Erfüllung des Lizenz-/Wartungsvertrags erforderlich. Ohne diese Daten kann der Vertrag nicht abgeschlossen werden.
Der Update-Check der Software erfolgt automatisch beim Programmstart. Die Funktion ist über die Software-Konfiguration deaktivierbar; Details hierzu sind in der Administrator-Dokumentation der Software beschrieben. Bei deaktiviertem Update-Check werden keine Update-Daten an die entity tax GmbH übermittelt; sicherheitsrelevante Aktualisierungen müssen dann manuell eingespielt werden.
A.11 Automatisierte Entscheidungen / Profiling
Die entity tax GmbH setzt im Verhältnis zu Webseiten-Besuchern, Vertragspartnern oder Anfragenden keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO ein. Insbesondere findet kein Profiling statt.
A.12 Cookies und vergleichbare Technologien
Marketing-Website www.taxelo.de: Die Marketing-Website setzt keinerlei Cookies. Es werden weder technisch notwendige Cookies noch Analyse-, Marketing- oder Tracking-Cookies verwendet.
Self-Service-Portal Taxelo Online: Das Portal setzt ausschließlich technisch notwendige Cookies, die für den eingeloggten Zustand und den Schutz vor Cross-Site-Request-Forgery erforderlich sind. Diese Cookies fallen unter die Ausnahme nach § 25 Abs. 2 Nr. 2 TTDSG; eine Einwilligung ist nicht erforderlich. Es werden keine Analyse-, Marketing- oder Tracking-Cookies gesetzt.
Teil B — Verhalten der On-Premises-Software Taxelo
Dieser Teil betrifft ausschließlich die On-Premises-Installation der Software Taxelo in der IT-Infrastruktur der einsetzenden Kanzlei. Verantwortlicher für diese Verarbeitungen ist die einsetzende Kanzlei. Die Verarbeitungen im zentral gehosteten Self-Service-Portal „Taxelo Online" (https://online.taxelo.de) sind vollständig in Teil A beschrieben — dort ist die entity tax GmbH selbst Verantwortliche.
B.1 Architekturgrundsatz
Taxelo ist eine On-Premises-Software. Alle mandantenbezogenen Verarbeitungen finden ausschließlich in der IT-Infrastruktur der Kanzlei statt. Die entity tax GmbH hat im Regelbetrieb keinen Zugriff auf Mandantendaten. Es sind keine Hintertüren, Telemetrie-Schnittstellen oder Cloud-Spiegel mit mandantenbezogenen Inhalten implementiert.
Die Software ist im Sinne des Art. 25 DSGVO datenschutzfreundlich voreingestellt (Privacy by Design / Privacy by Default): Die Pseudonymisierung sensitiver Inhalte in Logs und Diagnose-Exports ist verpflichtend und nicht abschaltbar; Telemetrie und Crash-Reporting nach außen finden nicht statt; der Funktionsumfang beschränkt sich auf den für die formale Bescheidprüfung erforderlichen Datenfluss.
B.2 Verarbeitete Datenkategorien (lokal)
Innerhalb der Kanzlei verarbeitet Taxelo folgende Datenkategorien:
- Steuerbescheide (PDF aus dem DATEV-DMS sowie daraus extrahierte Strukturdaten)
- Steuererklärungen (PDF aus dem DATEV-DMS sowie daraus extrahierte Strukturdaten)
- Mandanten-Stammdaten (Name, Anschrift, Steuernummer, Beraternummer, Mandantennummer — gelesen aus DATEV Master Data)
- Sachbearbeiter-Kontaktdaten (Name, Email-Adresse — gelesen aus DATEV IAM bzw. Konfiguration)
- Job-Historie und Prüfberichte (Metadaten zu durchgeführten Prüfläufen, Abweichungs-Klassifikationen, generierte Mandantenbriefe)
- Authentifizierungsdaten (Windows-Benutzerkontext bzw. OAuth2-Token, je nach Auth-Modus)
B.3 Datenhaltung
| Daten | Ort | Bemerkung |
|---|---|---|
| Bescheid- und Erklärungs-PDF | DATEV-DMS | System of Record. Taxelo legt keine Kopien an. |
| Extrahierte Strukturdaten | Lokale Job-Datenbank der Kanzlei | Ausschließlich Metadaten und Prüfergebnisse, kein Bescheidvolltext |
| Prüfberichte (PDF) | DATEV-DMS | Additive Ablage im DMS (kein lokaler Zweitspeicher); bestehende DMS-Inhalte werden dabei nicht verändert |
| Job-Logs | Lokale Logdatei der Software mit automatischer Rotation | Pseudonymisiert: keine Klartext-Steuernummern, -Namen oder -IBANs |
| Audit-Trail | Lokale Job-Datenbank | Welcher Job wann von welchem Benutzer ausgelöst wurde |
B.4 Datenflüsse außerhalb der Kanzlei-Infrastruktur
| Ziel | Übertragene Daten | Auslöser | Deaktivierbar |
|---|---|---|---|
| IONOS Object Storage (Hosting in Deutschland) | Update-Manifest-Abfrage: Versions-/Build-Nr, IP-Adresse der Kanzlei-Maschine, User-Agent, Client-Kennung der Kanzlei-Lizenz (zur Berechtigungsprüfung) | Programmstart, periodischer Update-Check | ja, über die Software-Konfiguration |
| DATEV Cloud (optional) | Authentifizierungs-Token-Refresh — die Verarbeitung erfolgt im Verantwortungsbereich der Kanzlei im Rahmen ihres Vertragsverhältnisses mit DATEV | nur bei aktiviertem DATEV-Authentifizierungsmodus | abhängig vom konfigurierten Auth-Modus |
| Mailserver der Kanzlei | Mandantenbriefe, Sachbearbeiter-Benachrichtigungen | bei Job-Abschluss | ja, Mail-Versand komplett abschaltbar |
Es findet kein weiterer ausgehender Verkehr statt. Insbesondere existiert keine Telemetrie, kein Crash-Reporting und keine Nutzungsanalyse, die Daten an die entity tax GmbH oder Dritte überträgt.
B.5 Logging und Pseudonymisierung
Logdateien werden ausschließlich lokal in der Kanzlei geschrieben. Sensitive Inhalte werden vor dem Schreiben pseudonymisiert oder maskiert:
- Steuernummern werden auf Strukturmuster (z.B.
nnn/nnnn/nnnn) reduziert. - Klartext-Namen, Adressen und IBANs werden ersetzt bzw. maskiert.
- Mandanten-Identifikatoren werden im strukturierten Logging-Kontext als Pseudonym geführt.
Eine Re-Identifikation der pseudonymisierten Logfile-Inhalte ist ohne Zugriff auf die Mandanten-Stammdaten der Kanzlei nicht möglich.
Diagnose-Exports, die ein Sachbearbeiter über den Administrationsbereich der Software erzeugt, durchlaufen vor dem Speichern denselben Pseudonymisierungs-Schritt.
B.6 Auto-Update-Mechanismus
Beim Start prüft Taxelo gegen den Update-Server (IONOS Object Storage, Hosting in Deutschland), ob eine neuere Version verfügbar ist. Heruntergeladen werden dabei ausschließlich:
- ein Manifest mit Versionsnummer und Hash,
- bei Bedarf ein signiertes Update-Artefakt.
Das Manifest enthält keine kanzlei- oder mandantenbezogenen Inhalte. Auf Server-Seite werden Standard-Webserver-Logfiles (IP, Zeitstempel, abgerufene URL) erzeugt; siehe Teil A.
Der Update-Check kann über die Software-Konfiguration abgeschaltet werden; Details hierzu finden Sie in der Administrator-Dokumentation.
B.7 Support und Fernzugriff
Die entity tax GmbH hat keinen permanenten Fernzugriff auf Kanzlei-Systeme. Der Standard-Support läuft ausschließlich über Kanäle, bei denen keine ungeschützten Mandantendaten an die entity tax GmbH gelangen (pseudonymisierte E-Mail-/Ticket-Kommunikation, der integrierte pseudonymisierende Diagnose-Export, Telefon ohne Datenübermittlung). Eine Support-Sitzung mit Fernzugriff oder Bildschirmübertragung (z.B. via Microsoft Teams oder Windows Remotehilfe), bei der eine Einsicht in Mandantendaten möglich ist, ist nicht Teil des Standard-Supports; sie erfolgt nur auf gesonderte Vereinbarung und aktive Initiative der Kanzlei und unterliegt dann zusätzlichen vertraglichen Schutzvorkehrungen (Dienstleister- vereinbarung nach § 43e StBerG / ggf. Auftragsverarbeitung nach Art. 28 DSGVO).
Die operative Bearbeitung von Supportanfragen sowie die Software-Entwicklung erfolgen durch den Auftragsverarbeiter der entity tax GmbH, die entity GmbH (Schlesische Straße 29–30, 10997 Berlin, Geschäftsführer: Wulf Rowek, HRB 124097 B, Amtsgericht Charlottenburg). Zwischen den beiden Gesellschaften besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, der sicherstellt, dass die in diesen Hinweisen beschriebenen Pflichten auch von der entity GmbH und ihren Mitarbeitern eingehalten werden.
Inhalte, die der Kanzlei während des Supports übermittelt werden, sind in der Support-Verfahrensbeschreibung (Anlage 3 dieses Dokuments) geregelt.
Sollte trotz der dort beschriebenen Pseudonymisierungs- und Maskierungspflichten im Einzelfall eine Übermittlung personenbezogener Daten an die entity tax GmbH erfolgen, kann eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO nicht vollständig ausgeschlossen werden. Für diesen Fall steht ein Auftragsverarbeitungsvertrag bereit und wird bei Bedarf unverzüglich geschlossen; das Verfahren zur Behandlung versehentlicher Übermittlungen ist in Anlage 3, Abschnitt 6 geregelt.
B.8 Beilagen für die einsetzende Kanzlei
Zur Erfüllung Ihrer eigenen Pflichten nach Art. 13/14, 30 und 32 DSGVO sind diesem Dokument folgende Anlagen beigefügt:
- Anlage 1 — Baustein für das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
- Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Anlage 3 — Support-Verfahrensbeschreibung mit Datenfluss- und Pflichtenregelung
Eine Liste der von der entity tax GmbH eingesetzten Dienstleister findet sich in Teil A.5. Anforderung weiterer Unterlagen über info@entitytax.de.