TOM – Anlage

Technische und organisatorische Maßnahmen
nach Art. 32 DSGVO

§ 1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1. ZUTRITTSKONTROLLE

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Die Büroräume von fino stellen keinen Produktionsstandort im eigentlichen Sinn dar. Die produktive Anwendung läuft ausschließlich in ISO-27001 zertifizierten Rechenzentren.

(a) Fino Büroräume

Die Räumlichkeiten von fino sind durch nachfolgende Maßnahmen ausreichend gegen unbefugten Zutritt abgesichert:

  • Ausschließlich gewerblich genutztes Gebäude;
  • Sämtliche Zugänge sind durch folgende Maßnahmen gegen unbefugten Zutritt abgesichert:
    1. Türen grundsätzlich verschlossen;
    2. Sicherheitsschlösser;
    3. Schlüssel personenbezogen registriert;
    4. Dokumentierte Schlüsselausgabe;
    5. Personalisiertes Schließsystem auf Transponderbasis;
      •  Die Aufzeichnung der Zutritte wird im Bedarfsfall aus der Schließanlage ausgelesen
    6. Besucher können sich nur in Begleitung von Mitarbeitern bewegen;

(b) Rechenzentrum

Die Rechenzentren sind durch nachfolgende Maßnahmen ausreichend gegen unbefugten Zutritt abgesichert:

  • Zutritt zum Rechenzentrum nur für autorisierten Personen nach Voranmeldung
  • Zutrittssicherung durch ein materielles (RFID-Chip) und ein geistiges (PIN) Identifikationsmerkmal: Es wird zwischen fest zugewiesenen und beim Sicherheitsdienst zur Abholung hinterlegten Zutrittsberechtigungen unterschieden. Bei Zutrittsberechtigungen, die zur Abholung hinterlegt sind, wird die Autorisierung durch Kontrolle des Personalausweises sichergestellt. Die Daten werden bei einem Sicherheitsdienst hinterlegt (Whitelist), so wird gewährleistet, dass nur berechtigte Personen das Rechenzentrum betreten können;
  • Zutritt zu den einzelnen Kundenschränken oder -flächen ist ausschließlich durch den Kunden und durch das zuständige Personal möglich;
  • die Zutrittskontrollsysteme sowie die Alarmanlagen über USV und Netzersatzanlage sind gegen Stromausfall gesichert;
  • Videoüberwachung
  • Perimeterschutz
  • Wachdienst: das Rechenzentrum wird regelmäßig innerhalb vorgegebener Zeitfenster durch einen Wachdienst begangen. Die zu überprüfenden Punkte, welche der Wachdienst in den Rechenzentren zu kontrollieren hat, sind festgelegt. Auffälligkeiten werden berichtet. Die vorgegebenen Laufwege des Wachdienstpersonals werden protokolliert.

1.2. ZUGANGSKONTROLLE

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

(a) Es erfolgt eine authentifizierte Benutzeridentifikation, insbesondere dadurch, dass:

  • alle technischen Systeme (zentral und dezentral), Hardware und Software Firewall-geschützt sind
  • der Zugang zu Servern nur einer begrenzten Anzahl von Personen gestattet wird.
  • Mitarbeiter können nur über ihren persönlichen SSH Schlüssel auf Server zugreifen. Diese Mitarbeiter SSH Schlüssel müssen auf jedem Server explizit freigeschaltet werden; beim Austritt eines Mitarbeiters aus der Firma werden alle Zugänge deaktiviert.
  • Eindeutige Zuordnung von Benutzerkonten zu Benutzern, keine unpersönlichen Sammelkonten (z.B. „Mitarbeiter-1“)
  • Temporäre Bruteforce-Prevention nach fehlgeschlagenen Anmeldeversuchen
  • mobile Datenträger (Laptops und Smartphones) gesondert verschlüsselt sind
  • Die Nutzung mobiler Endgeräte ist durch Mitarbeitervereinbarungen geregelt.
  • jeder Arbeitsrechner ist passwortgeschützt. Passwort-Regelungen sind in einer Passwort-Richtlinie festgehalten.
  • Jeder Arbeitsrechner wird bei Verlassen des Arbeitsplatzes gesperrt; automatische passwortgestützte Bildschirm- und Rechnersperre nach 15 Minuten Inaktivität
  • Berechtigungen für externe Mitarbeiter sind temporär und beschränkt auf Entwicklerplattformen;
  • Externe Mitarbeiter und Besucher nutzen das Gäste WLAN

1.3. ZUGRIFFSKONTROLLE

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

(a) Die unerlaubte Tätigkeit in Datenverarbeitungssystemen außerhalb eingeräumter Berechtigungen wird im Besonderen verhindert, dadurch, dass:

  • die Zugriffsrechte (sowohl für Anwender, wie auch für Administratoren) sich an den aufgabenbedingten und datenschutzrechtlichen Erfordernissen orientieren;
  • jeder Zugriff auf Anwendungen (Eingabe, Veränderung und Löschung) protokolliert wird und ausgewertet werden kann (mindestens für ein Jahr);
  • Schutz gegen unberechtigte interne und externe Zugriffe durch Verschlüsselung und Firewalls bestehen.
  • Trennung von Entwicklungs-, Test- und Produktivbetrieb auf der Ebene des Hypervisors und Kommunikation der virtuellen Maschinen über einen VPN Tunnel, wobei kein Zugriff der Systeme untereinander möglich ist

1.4. TRENNUNGSGEBOT

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können

  • physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
  • Logische Mandantentrennung (softwareseitig)
  • Trennung von Produktiv- und Testsystem

1.5. PSEUDONYMISIERUNG (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen;

(a)Die Verarbeitung personenbezogener Daten unter Beachtung der Vorgaben der Pseudonymisierung gemäß Art. 32 Abs. 1 a DSGVO wird insbesondere durch folgende Maßnahmen sichergestellt:

  • Internes Regelwerk zu Pseudonymisierung
  • Verpflichtung der Mitarbeiter
  • Technisch automatisierte Umsetzung des Regelwerks
  • Code-Änderungen am Pseudonymisierungsprozess können nur nach gesonderter Freigabe gemerged werden
  • Kontrolle durch unangekündigte Stichproben

§ 2 Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

2.1. WEITERGABEKONTROLLE

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

(a) Die Aspekte der Weitergabekontrolle personenbezogener Daten wird hierdurch umgesetzt, dass:

  • Datenkommunikation verschlüsselt gemäß TLS und dem Einsatz von VPN-Technologie eingesetzt wird;
  • Serverseitig ein ständig aktualisiertes Firewall und Virenschutzkonzept besteht, Endgeräte werden marktüblich gesichert.
  • Email-Nachrichten werden grundsätzlich verschlüsselt versendet. Sonstige Informationen werden – wo möglich – nicht personenbezogen und entsprechend vor der Weitergabe anonymisiert.;
  • Eine Speicherung von personenbezogenen Daten auf Datenträgern außerhalb des Rechenzentrums ist nicht vorgesehen. Ein physischer Transport von Datenträgern mit personenbezogenen Daten findet nicht statt.

2.2. EINGABEKONTROLLE

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

(a) Produkte ohne Datenspeicherung

fino verarbeitet die Daten des Endkunden ohne diese persistent zu speichern. Während der Bearbeitung durch den Endkunden sind die Daten nur auf seinem Eingabegerät verfügbar. Mitarbeiter haben zu keinem Zeitpunkt Zugriff auf persönlichen Daten und können solche entsprechend nicht ändern. Mit Abschluss bzw. Beauftragung des Vorgangs werden die erforderlichen Daten temporär in eine Warteschlange für eine etwaige automatisierte Weiterverarbeitung beziehungsweise Brief-/Fax-/Mailversand gehalten. Nach Zweckerreichung, beispielsweise erfolgreicher Bearbeitung und Versand aller Dokumente, werden sämtliche Dokumente und die Auftragsdaten im automatisierten Verfahren gelöscht.

 

(b) Produkte mit Datenspeicherung

Bei Produkten, die eine Speicherung der Daten benötigen, ist jede Eingabe, Änderung und Löschung durch die Applikation eindeutig einem User-Login zugeordnet. Eine Protokollierung von allen administrativen Zugriffen schreibender Art auf Datenbankebene ist aktiv, wobei hier der Zeitstempel sowie die Aktion protokolliert wird.

Die Protokolldaten der jeweiligen Anwendungen werden in einem zentralen Logging System gespeichert (Sematext).

§ 3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und rasch wiederhergestellt werden können.

Die Datenhaltung innerhalb einer Cloud-Architektur ist mehrfach redundant gesichert und von der Sache selbst ausfallsicher. Es werden tägliche Backups als Festplattensnapshot in mehrfacher Spiegelung erstellt, die jederzeit als Ersatz für ein laufendes System zurückgespielt werden können. Die Systeme werden fortlaufend überwacht, und bei entsprechenden Lastspitzen Maßnahmen zur Lastverteilung durchgeführt. Sofern ein Server ausfällt, wird dieser mit Hilfe von self-healing neu gestartet.

§ 4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

  • Datenschutzfreundliche Voreinstellungen:
    1. Die Werkseinstellungen der Anwendungen sind so gewählt, dass lediglich die zur Erfüllung des Anwendungszwecks erforderlichen Daten erhoben werden.
    2. Freiwillige Zusatzangaben durch den Nutzer sind entsprechend gekennzeichnet.
  • Datenschutzmanagementsystem:
    1. Gesamtheit der konzernweiten Maßnahmen zum Schutz personenbezogener Daten
    2. Datenschutzorganisation und Verantwortlichkeiten, Einbindung des Datenschutzbeauftragten, Verzeichnis von Verarbeitungstätigkeiten, Löschkonzept, Datenschutz-Folgeabschätzung, Vertragsmanagement, Verpflichtung der Mitarbeiter, Datenschutz-Schulung, Prozess für die Wahrnehmung von Betroffenenrechten, Prozess für die Meldung von Datenschutzverstößen
  • Incident Response Management:
    1. Prozess zur Erfassung, Kategorisierung, Priorisierung und Lösung von erkannten bzw. vermuteten Störungen und Sicherheitsvorfällen
    2. Schnellstmögliche Wiederherstellung des Service
    3. Information der betroffenen Stakeholder
  • Definition von Kompetenzen und Kontrollmaßnahmen in Abstimmung mit dem Auftraggeber und Einbindung derselbigen in die Betriebsabläufe
  • Verpflichtung der Mitarbeiter auf die Befolgung der DSGVO, das Telekommunikationsgeheimnis (§ 3 TTDSG), das Berufsträgergeheimnis (§ 203 StGB) und das Bankgeheimnis.
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
  • Schriftliche Weisungen zwischen Auftragnehmer und Auftraggeber durch Auftragsverarbeitungsvertrag i.S.d. Art. 28 DSGVO
  • Auswahl von Auftragnehmern unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
  • vorherige Prüfung und Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen



Version: 09.10.2023

Wir laden Sie als Premium-Abonnent/in exklusiv zum jährlichen Steuerberaterforum ein, bei dem wir gemeinsam mit Ihnen an neuen Produktideen und Weiterentwicklungen arbeiten.

Experten Webinare

Sie erhalten als Professional- und Premium-Abonnent/in in regelmäßigen Abständen zu aktuellen Thematiken informatives Hintergrundwissen, das für Ihre Mandantschaft und Sie als Steuerkanzlei von Bedeutung ist.

Grund­funktionalitäten

Einer unserer Grundfunktionen ist das Mandantenportal. Sie können Ihre Mandanten über das Mandantenportal auffordern, die Daten für ein oder mehrere Grundstücke anzulegen.

Anzahl Feststellungserklärungen

Mindestumsatz pro Jahr

Nur im Basis-Paket gibt es einen jährlichen Mindestumsatz. Dafür gibt es in diesem Paket keine monatliche Gebühr.

Preis pro ELSTER-Übertragung

Ein größeres Paket bietet neben umfangreicheren Funktionen auch einen günstigeren Preis pro ELSTER-Übertragung. Als Basis-Abonnent profitieren Sie beispielsweise mit einem Upgrade auf das Standard-Paket neben der vergleichsweise 5€ günstigeren ELSTER-Übertragungsgebühr pro Stück, auch von der Massenverarbeitungsfunktion und der Fristenkontrolle.

Massenbescheidprüfung mit OCR

Bei der Massenbescheidprüfung mit der automatischen Texterkennung „Optical Character Recognition“ können Bescheide massenhaft hochgeladen, automatisch zugeordnet und alle Grundsteuerwerte und Grundsteuermessbeträge automatisch ausgelesen und mit der jeweiligen Berechnung in einer Gesamtübersicht verglichen werden.

Fristenkontrolle

Mit der Fristenkontrollfunktion, die in allen Paketen enthalten ist, laden Sie nach Erhalt der Bescheide, diese im Menüpunkt „Fristen“ hoch. Die Einspruchsfrist wird automatisch berechnet. Damit Sie keine Frist verpassen, erhalten Sie standardmäßig eine Woche vor Ablauf der Frist eine Erinnerung. Der Zeitraum ist auch individuell einstellbar.

Massenverarbeitung

Sie können mit einem Klick massenhaft:

  • Feststellungserklärungen neu anlegen,
  • Freigaben anfordern,
  • Freigaben erteilen,
  • Und ELSTER-Übermittlungen starten
  • Dokumente erstellen

Änderungsmanagement inkl. Grundstücksdatenabfrage

Das Änderungsmanagement ermöglicht es Ihnen, Grundstücksänderungen auf Erklärungsrelevanz zu prüfen und anschließend für diese massenhaft neue Erklärungen anlegen zu können. In Hinsicht auf die Anzeigepflicht von Änderungen behalten Sie mit dieser neuen Funktion den Überblick.
Außerdem dient die dazugehörige Grundstücksdatenabfrage dazu, bei den Grundstücksbesitzerinnen und -besitzern schnell & einfach nachzufragen, ob es eine Veränderung an den Grundstücken gegeben hat.

Abteilungen / Standorte / Tochter­gesellschaften

Welche Lösung möchten Sie 14 Tage kostenlos testen?

Wählen Sie aus, welche Lösung von GrundsteuerDigital Sie testen möchten. Die Lösung für Steuerberater ist z.B. optimal für Steuerkanzleien konzipiert. Für Steuerabteilungen in Unternehmen empfehlen wir hingegen unsere Unternehmenslösung.

Registrierung für die Grundsteuer-News

Bleiben Sie auf dem Laufenden! Erhalten Sie aktuelle Informationen und wichtige Neuigkeiten rund um das Thema Grundsteuer direkt in Ihren Posteingang.

Ihre Anfrage wurder erfolgreich übermittelt.