Informationspflichten DSGVO

Informationen gem. Art. 13 DSGVO

 

1. Datenschutz und Vertraulichkeit

Datenschutz ist uns ein wichtiges Anliegen. Die BDO Österreich Gruppe hat die notwendigen organisatorischen und technischen Maßnahmen getroffen, um die Sicherheit Ihrer Daten zu gewährleisten. Die Maßnahmen zur Datensicherheit sind auf dem aktuellen Stand der Technik. Sämtliche Mitarbeiter:innen der BDO Österreich Gruppe sind im Rahmen ihres arbeitsvertraglichen Beschäftigungsverhältnisses wie auch unsere „Auftragsverarbeiter“ (insb. Software-Unternehmen) zur Verschwiegenheit verpflichtet und unsere Mitarbeiter:innen wurden bezüglich Datenschutz geschult.

 

2. Verantwortlicher

Für die Datenerhebung und Verarbeitung sind die lokalen Unternehmen der BDO Österreich Gruppe iSd Datenschutz-Grundverordnung („DSGVO“) selbstständig verantwortlich.

Wir möchten Sie darüber informieren, dass wir mit unseren Wirtschaftsprüfungs- und Steuerberatungsleistungen den strengen standesrechtlichen Regelungen und Pflichten des Wirtschaftstreuhandberufsgesetzes („WTBG“), dem Abschlussprüfer-Aufsichtsgesetz („APAG“) sowie den von der Kammer der Steuerberater und Wirtschaftsprüfer („KSW“) erlassenen Verordnungen unterliegen. Diese verpflichten uns, unsere berufseinschlägigen Dienstleistungen stets unabhängig und eigenverantwortlich zu erbringen. Gerade diese Unabhängigkeit und Eigenverantwortlichkeit führt dazu, dass wir bei der mit unserer standesrechtlichen Tätigkeit verbundenen Verarbeitung von personenbezogenen Daten aus datenschutzrechtlicher Sicht nach Meinung der KSW in der Regel als selbstständig „Verantwortlicher“ im Sinne der DSGVO zu qualifizieren sind. Damit liegt bei unseren wirtschaftstreuhänderischen Dienstleistungen, wie bspw. der Jahresabschlussprüfung, Steuerberatung, Übernahme der Personalverrechnung oder Buchhaltung keine „Auftragsverarbeitung“ und auch keine „gemeinsame Verantwortung“ vor.

Dies bedeutet, dass wir im Rahmen unserer standesrechtlichen Aufgaben bereits aus der eigenen Verantwortung heraus zur Einhaltung sämtlicher datenschutzrechtlichen Regelungen und aller Vorgaben der DSGVO verpflichtet sind. Zu diesem Zweck treffen wir umfassende technische und organisatorische Sicherheitsmaßnahmen, die zum Schutz personenbezogener Daten vor rechtswidrigem Zugriff, Verarbeitung, Verlust, Verwendung und Manipulation dienen. Aufgrund unserer eigenständigen Rolle als „Verantwortlicher“ ist es bei diesen Dienstleistungen nicht erforderlich, eine gesonderte „Vereinbarung über die Auftragsdatenverarbeitung“ oder „Vereinbarung über die gemeinsame Verantwortung“ abzuschließen.

Ungeachtet der datenschutzrechtlichen Rollenverteilung besteht auch weiterhin unsere gesetzliche Verschwiegenheitspflicht, weshalb wir sämtliche uns anvertraute Angelegenheiten, Betriebs- oder Geschäftsgeheimnisse, aber auch persönliche Umstände, die uns bei der Durchführung erteilter Aufträge oder in Ausübung unseres Berufes bekanntgeworden sind, stets vertraulich behandeln.
Hinsichtlich unserer Consulting- bzw. Unternehmensberatungsleistungen, bei denen wir im Sinne der DSGVO als „Auftragsverarbeiter“ zu qualifizieren sind, werden wir bei jedem Auftrag gesondert über die gegenseitigen Verantwortlichkeiten informieren.

 

3. Verarbeitung der Daten von Betroffenen

Die BDO Österreich Gruppe verarbeitet personenbezogene Daten von folgenden Betroffenengruppen:

  • Newsletterempfänger:innen
  • Kund:innen
  • Lieferant:innen
  • Bewerber:innen
  • Weitere Personen mit Bezug zu unserer Auftragsabwicklung
  • Potenzielle Geschäftspartner:innen 
  • Mitarbeiter:innen von Kundenunternehmen/Lieferant:innen im Rahmen der Auftragsabwicklung – Kommunikation via Microsoft Teams

 
Newsletterempfänger:innen

Für die Versendung der Newsletter bzw. Informationen zu unseren Veranstaltungen und Dienstleistungen werden Namen, E-Mail-Adresse, Anschrift und Telefonnummer verwendet. Aufgrund der standesrechtlichen Informationsverpflichtung versenden wir den BDO Tax Newsletter an alle unsere Kund:innen. Andere Newsletter erhalten Sie nur nach explizit erteilter Einwilligung, die jederzeit mit Wirkung für die Zukunft widerrufen werden kann (datenschutz@bdo.at).
Die Daten können „Auftragsverarbeitern“ der BDO Österreich Gruppe, wie Anbietern von Tools zur Versendung von Newslettern, zur Einsicht gelangen. Diese „Auftragsverarbeiter“ wurden ebenfalls zur Einhaltung der datenschutzrechtlichen Regelungen verpflichtet.
 

Kund:innen

Kund:innendaten werden im Rahmen der Vertragserfüllung verarbeitet. Diese umfasst auch die Verwendung zur eingehenden Prüfung, ob ein Auftrag überhaupt angenommen werden darf (Vertragsanbahnung) sowie der nachfolgenden Qualitätssicherung. Je nach Auftrag können die bereitgestellten Daten variieren. Von Kund:innen liegen uns unter anderem der Name, die Anschrift, E-Mail-Adresse, Telefonnummer, Leistungsdaten, Bankdaten, Stammdaten der Kreditoren, Stammdaten der Debitoren, Namen der Mitarbeiter:innen inklusive deren Stammdaten, sowie Gehaltsdaten, Vertretungsbefugnisse, Mahn- bzw. Klagsdaten, Steuernummer, Buchhaltungsdaten und weitere Unterlagen zum Rechnungswesen, Vollmachten, Ansprechperson und deren Kontaktdaten vor.

Im Zusammenhang mit unseren Dienstleistungen unterliegen wir darüber hinaus zahlreichen gesetzlichen Verpflichtungen, die die Verarbeitung von z.B. Namen, Geburtsdatum, Ausweiskopie, Wohnadresse und Geburtsort von Geschäftsführer:innen sowie Aufsichtsrät:innen zum Zweck von Abfragen iZm der Geldwäsche u.ä. vorschreiben.
 

Lieferant:innen 

Von Lieferant:innen der BDO Österreich Gruppe werden der Name, die Adresse, E-Mail-Adresse, Telefonnummer, Kontaktdaten der Ansprechperson, Buchhaltungsbelege und falls erforderlich weitere, für die Geschäftsbeziehung erforderliche Daten verarbeitet. Die Daten werden ausschließlich im Rahmen des Vertragsverhältnisses mit dem jeweiligen Lieferanten verarbeitet.
 

Bewerber:innen

Während des Bewerbungsverfahrens werden die von Ihnen übermittelten Daten (u.a. Name, Geburtsdatum, Postanschrift, E-Mail-Adresse und Telefonnummer) sowie Dokumente (u.a. Motivationsschreiben, Lebenslauf, Berufs-, Aus- und Weiterbildungsabschlüsse sowie Arbeitszeugnisse) gespeichert. Sollte es zu einem Erstgespräch kommen, werden weitere Daten (u.a. Geburtsort, Sozialversicherungsnummer, Staatsangehörigkeit, ggf. Aufenthaltsgenehmigung, Arbeitserlaubnis, Gehaltsvorstellungen) mittels eines Fragebogens erhoben. Kommt es zu einer Einstellung, wird der Fragebogen in den Personalakt übernommen. Diese Daten werden ausschließlich im Rahmen Ihrer Bewerbung verarbeitet (siehe diesbezüglich auch Punkt 4 betreffend die Weitergabe der Daten an bestimmte Empfänger). Wir haben ausreichende technische Vorkehrungen getroffen, sodass Ihre Daten nur Mitarbeiter:innen der Personalabteilung und den für die Auswahl der Kandidat:innen für die jeweils zu besetzenden Stelle verantwortlichen Personen des Unternehmens zugänglich sind.
Falls wir uns im Rahmen des Bewerbungsprozesses für Sie entscheiden, werden Ihre bereits übermittelten Unterlagen und persönlichen Daten in unsere Personaldatenbank übernommen und zu Ihrem Personalakt gelegt.

Wenn Sie sich beworben haben, wir uns jedoch für eine andere Person entschieden haben, werden Ihre vollständigen Unterlagen 7 Monate nach Abschluss des Bewerbungsprozesses. Sofern Sie und Ihre Einwilligung zur weiteren Verarbeitung erteilt haben - zum Beispiel, wenn wir Ihre Unterlagen für künftige offene Positionen weiterhin in Evidenz halten dürfen – speichern wir Ihre personenbezogenen Daten für die Dauer von 18 Monaten. Dies umfasst auch alle Initiativbewerbungen. Sollten Sie Ihre Einwilligung mit Wirkung für die Zukunft widerrufen wollen, senden Sie bitte ein E-Mail an datenschutz@bdo.at.

Ihre Daten werden ohne Ihre Zustimmung auf keinen Fall an weitere Unternehmen oder Personen weitergegeben oder für andere Zwecke als jene verwendet, die der unmittelbaren Verarbeitung Ihrer Bewerbung dienen.


Potenzielle Geschäftspartner:innen

Unter „potenziellen Geschäftspartner:innen“ sind natürliche Personen zu verstehen, die Einzelunternehmer:innen oder Angestellte von Unternehmen sind, und deren personenbezogene Daten wir insbesondere im Rahmen persönlicher Kontakte bei eigenen oder fremdorganisierten Veranstaltungen, z.B. im Wege von Visitenkarten oder durch direkte Kontaktaufnahme mit unseren Mitarbeiter:innen erhalten.
Von potenziellen Geschäftspartner:innen speichern wir personenbezogene Daten, wie u.a. den Name, die Firma, Funktion, berufliche Kontaktdaten (Adresse, Telefonnummer, E-Mail-Adresse). Diese personenbezogenen Daten werden für keine anderen Zwecke als die einer möglichen Geschäftsbeziehung bzw. Geschäftsanbahnung verwendet. Sie werden auch nicht an Dritte weitergegeben, sofern keine entsprechende Einwilligung vorliegt.

Die personenbezogenen Daten von potenziellen Geschäftspartner:innen werden ab Erfassung in unserem CRM für die Dauer von zwei Jahren gespeichert. Potenzielle Geschäftspartner:innen werden per E-Mail von der Aufnahme ihrer personenbezogenen Daten in unser CRM in Kenntnis gesetzt. Sie können jederzeit die Löschung der grundsätzlich für zwei Jahre gespeicherten personenbezogenen Daten begehren. Auch nach einer Löschung kann aufgrund bisheriger Erfahrungen nicht ausgeschlossen werden, dass die personenbezogenen Daten infolge persönlicher Kontakte auf Veranstaltungen neuerlich in unser CRM aufgenommen werden und eine entsprechende Verständigung ausgesendet wird. Bitte beachten Sie, dass eine Löschung nicht erfolgen kann, sofern eine Geschäftsbeziehung mit Ihnen bzw. Ihrem bzw. Ihrer Dienstgeber:in und BDO eingegangen wurde und Ihre personenbezogenen Daten für deren laufende Abwicklung erforderlich sind.

Die Verarbeitung personenbezogener Daten potenzieller Geschäftspartner:innen beruht auf dem berechtigten Interesse der BDO Österreich Gruppe gemäß Art. 6 Abs. 1 lit. f DSGVO, das darin begründet ist, Geschäftsbeziehungen aufzubauen, zu pflegen und auszubauen.


Mitarbeiter:innen von Kund:innen/Lieferdiensten im Rahmen der Auftragsabwicklung – Kommunikation via Microsoft Teams

Im Rahmen der Auftragsabwicklung kann mit unseren Kund:innenen bzw. Lieferdiensten vereinbart werden, dass zur Kommunikation innerhalb des Projektteams (für ein Kundenprojekt oder BDO-internes Projekt) oder zur Durchführung von Schulungen Microsoft Teams eingesetzt wird. Diesfalls verarbeiten wir personenbezogene Daten von Mitarbeiter:innen unserer Kund:innen bzw. Lieferdiensten, um die vereinbarten Leistungen (z.B. Schulungen, Trainings) erbringen zu können oder die Projektkommunikation zu erleichtern. Derartige Verarbeitungen erfolgen auf der Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit f DSGVO, das in der Erfüllung der mit unseren Kund:innen abgeschlossenen Verträge, der Erleichterung der Durchführung interner Projekte sowie in der technischen Sicherheit und Administration von Microsoft Teams liegt.

In diesem Zusammenhang verarbeiten wir von Mitarbeiter;innen unserer Kund:innen bzw. Lieferdiensten folgende personenbezogene Daten: Vor- und Nachname, berufliche E-Mail-Adresse, Zuordnung zu Partnergruppe/Bereich/Projekt (bei BDO) sowie ggf. eine Mobiltelefonnummer (wenn Zwei-Faktor-Authentifizierung verwendet wird). Diese personenbezogenen Daten erhalten wir von unseren Kund:innen bzw. Lieferdiensten oder von deren Mitarbeiter:innen selbst. Zudem werden die Inhalte, die in Microsoft Teams gepostet werden, der Username, die IP-Adresse sowie Daten zu An- und Abmeldungen in Teams verarbeitet. Die Verarbeitung erfolgt innerhalb der EU bzw. des EWR. Wir geben die personenbezogenen Daten nicht an Dritte weiter.

Die personenbezogenen Daten der betroffenen Mitarbeiter:innen unserer Kund:innen werden solange gespeichert, wie dies für die Durchführung des Projekts bzw. der Schulungen erforderlich ist. Nach Projektende, nach Ausscheiden aus dem Projektteam bzw. nach Abschluss der Schulungen werden die personenbezogenen Daten aus Microsoft Teams bzw. der Azure Cloud gelöscht.

Weitere Informationen zu Microsoft Teams im Allgemeinen finden Sie hier: https://www.microsoft.com/de-at/microsoft-365/microsoft-teams/group-chat-software. Informationen zu Datenschutz, Sicherheit und Compliance in Microsoft Teams sind unter https://www.microsoft.com/de-at/microsoft-365/microsoft-teams/security abrufbar.
 

Interessent:innen - Postsendungen

Interessent:innen iZm Postsendungen sind natürliche Personen, die Einzelunternehmer:innen, Angestellte bzw. Organwalter von Unternehmen/Vereinen, Amtsträger:innen oder Beschäftige im öffentlichen Bereich sind. Wir erheben deren personenbezogene Daten aus öffentlichen Quellen und verarbeiten sie zum Zweck des Direktmarketings, welches darin besteht, Informationsmaterial zu relevanten Themen postalisch zuzusenden.
In diesem Zusammenhang werden folgende personenbezogene Daten verarbeitet: Vor- und Nachname, akad. Titel, Position, Unternehmen/Körperschaft, berufliche Anschrift. Die Verarbeitung basiert auf dem berechtigten Interesse der BDO Österreich Gruppe gemäß Art. 6 Abs. 1 lit. f DSGVO, welches darin begründet ist, Geschäftsbeziehungen aufzubauen und Direktmarketing durch Postsendungen zu betreiben.
 

Weitere Personen mit Bezug zu unserer Auftragsabwicklung

Im Rahmen unserer beruflichen Tätigkeit verarbeiten wir personenbezogene Daten von weiteren Personengruppen, wie den Name, die Adresse, Kontaktdaten von Ansprechpersonen und Saldo von Kreditoren und Debitoren unserer Kund:innen im Rahmen der Wirtschaftsprüfungstätigkeit (Saldenbestätigungen) oder Gehaltsdaten von Mitarbeiter:innen unserer Kund:innen im Rahmen unserer Lohnverrechnungstätigkeiten für Klient:innen.
Die Datenkategorien können je nach Tätigkeitsart variieren. Wir verwenden diese Daten jedoch für keine anderen Zwecke als die unserer beruflichen Tätigkeit. Nach Ablauf der gesetzlichen Aufbewahrungspflichten werden die Daten gelöscht, sollten keine anderen Rechtfertigungsgründe einer Löschung entgegenstehen.

 

4. Rechtsgrundlagen der Verarbeitung

Sofern nicht ohnehin bei den Erläuterungen zu den Betroffenengruppen angeführt, sind hier die möglichen Rechtfertigungsgründe für eine Datenverarbeitung angeführt:
Sollten Sie erwägen, zukünftig Kund:in zu werden, werden wir Ihre Kontaktdaten zum Zweck der Direktwerbung mittels Zusendung elektronischer Post oder der telefonischen Kontaktaufnahme nur mit Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO verarbeiten.

Wenn Sie Kund:in oder Lieferant:in sind, verarbeiten wir Ihre personenbezogenen Daten, weil dies erforderlich ist, um den mit Ihnen geschlossenen Vertrag zu erfüllen (Art. 6 Abs. 1 lit. b DSGVO). Dies gilt auch für weitere Personen mit Bezug zu unserer Auftragsabwicklung. Diese Daten werden jeweils gemäß den gesetzlichen Aufbewahrungspflichten für 7 bis 22 Jahre aufbewahrt.
Im Übrigen verarbeiten wir Ihre personenbezogenen Daten auf der Grundlage unseres berechtigten Interesses, um die unter Punkt 3 genannten Zwecke zu erreichen (Art. 6 Abs. 1 lit. f DSGVO) und auf der gesetzlichen Grundlage des WTBG 2017 (Art. 9 Abs. 2 lit. g DSGVO).

 

5. Verarbeitung der Daten

Ihre Daten werden auf den Systemen der BDO Österreich Gruppe gespeichert und verarbeitet, die an IT-Dienstleister ausgelagert wurden. Außerdem werden die Daten an Unternehmen der BDO Österreich Gruppe weitergegeben, sofern und soweit dies für die jeweilige Vertragsabwicklung unbedingt notwendig ist.

Eine Weitergabe an folgende Empfänger:innen kann erfolgen, sofern es die oben genannten Zwecke erfordern:

  • Globales BDO Netzwerk
  • Von uns eingesetzte IT-Dienstleister:innen sowie sonstige Dienstleister:innen
  • Verwaltungsbehörden, Gerichte und Körperschaften öffentlichen Rechts
  • Wirtschaftstreuhänder:innen
  • Versicherungen aus Anlass des Abschlusses eines Versicherungsvertrages über die Leistung oder des Eintritts des Versicherungsfalls (z.B. Haftpflichtversicherung)
  • Kund:innen, soweit es sich um Daten der Gesellschafter:innen, Organe und sonstiger Mitarbeiter:innen des jeweiligen Kund:innenunternehmens handelt
  • Kooperationspartner:innen und für uns tätige Rechtsvertreter:innen
  • Von Kund:innen bestimmte sonstige Empfänger:innen (z.B. eigene Konzerngesellschaften)
  • Zusätzlich im Falle von personenbezogenen Daten von Dienstnehmenden unserer Kund:innen im Bereich der Lohnverrechnung: 
    • Gläubiger der dienstnehmenden Person sowie sonstige, an der allenfalls damit verbundenen Rechtsverfolgung Beteiligte, auch bei freiwilligen Gehaltsabtretungen für fällige Forderungen
    • Organe der betrieblichen und gesetzlichen Interessenvertretungen
    • Versicherungsanstalten im Rahmen einer bestehenden Gruppen- oder Einzelversicherung sowie Mitarbeiter:innenvorsorgekassen (MVK)
    • Mit der Auszahlung an Dienstnehmende oder an Dritte befasste Banken
    • Betriebsmediziner:innen und Pensionskassen
    • Mitversicherte
  • zusätzlich im Bereich der Finanz- und Geschäftsbuchhaltung für Kund:innen: 
    • Inkassounternehmen zur Schuldeneintreibung
    • Banken im Auftrag des bzw. der Kund:in
    • Factoring-Unternehmen, Zessionar:innen und Leasingunternehmen

Manche der oben genannten Empfänger:innen können sich außerhalb Österreichs befinden oder personenbezogenen Daten außerhalb Österreichs verarbeiten. Das Datenschutzniveau in anderen Ländern entspricht unter Umständen nicht jenem Österreichs. Wir setzen daher bei von uns beauftragten „Auftragsverarbeitern“ Maßnahmen, um zu gewährleisten, dass diese ein angemessenes Datenschutzniveau bieten. Dazu schließen wir beispielsweise Standardvertragsklauseln ((EU) 2021/914) ab. Diese sind auf Anfrage verfügbar.

Soweit personenbezogene Daten an BDO Mitgliedsgesellschaften in Drittländern übermittelt werden, erfolgt die Übermittlung auf Grundlage der BDO-weit gültigen „Binding Corporate Rules for Controllers“ bzw. der „Binding Corporate Rules for Processors“. Diese Dokumente können unter AAB und BCR abgerufen werden.
Keinesfalls werden wir Ihre Daten verkaufen.

 

6. Betroffenenrechte

Betroffene Personen haben das Recht auf Auskunft seitens des Verantwortlichen über die sie betreffenden personenbezogenen Daten sowie auf Berichtigung unrichtiger Daten oder auf Löschung, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt, z.B. wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden. Es besteht zudem das Recht auf Einschränkung der Verarbeitung, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen vorliegt und in den Fällen des Art. 20 DSGVO das Recht auf Datenübertragbarkeit. Werden Daten auf Grundlage von Art. 6 Abs. 1 lit. f erhoben (Datenverarbeitung zur Wahrung berechtigter Interessen), steht der betroffenen Person das Recht zu, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, es liegen nachweisbar zwingende schutzwürdige Gründe für die Verarbeitung vor, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient. Anfragen richten Sie bitte an datenschutz@bdo.at.

Wenn Sie als betroffene Person eine Anfrage an uns richten, sind wir verpflichtet, Ihre Identität festzustellen. Die Art des Identitätsnachweises richtet sich dabei nach dem Begehren. Ihre Anfrage und unsere Beantwortung werden wir für 13 Monate zum Nachweis der rechtskonformen Bearbeitung aufbewahren.

Bitte beachten Sie, dass die Informationspflicht gemäß Art. 14 Abs. 5 DSGVO gegenüber betroffenen Personen, deren personenbezogene Daten wir im Rahmen unserer standesrechtlichen Tätigkeit für unsere Kund:innen nicht bei den betroffenen Personen selbst erheben, nicht anzuwenden ist. Auch das Recht von betroffenen Personen auf Auskunft nach Art. 15 DSGVO ist insoweit eingeschränkt, als dies die entgegenstehenden Rechte und Freiheiten unserer Kund:innen oder Dritter beeinträchtigen würde. Soweit uns daher im Rahmen eines Auftrags (z.B. im Rahmen der Personalverrechnung, der Buchhaltung oder im Zuge der Jahresabschlussprüfung) Daten von Dritten übermittelt wurden, ersuchen wir Sie, Ihre Betroffenenrechte unmittelbar bei diesen Unternehmen (Arbeitgeber:in, Geschäftspartner:innen etc.) einzufordern.

 

7. Speicherdauer

Bei Fragen und Beschwerden wenden Sie sich bitte an unseren Datenschutzbeauftragten: datenschutz@bdo.at. Gemäß Art. 77 DSGVO steht Ihnen das Recht zu, sich bei einer Aufsichtsbehörde zu beschweren. IdR können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes, Ihres Arbeitsplatzes oder Unternehmenssitzes wenden. Die Unternehmen der BDO Österreich Gruppe unterliegen der Aufsicht durch die österreichische Datenschutzbehörde (Barichgasse 40-42, 1030 Wien, dsb@dsb.gv.at).


Zuletzt geändert am  16. August 2024