Hilfe - Alle Produkte & Anleitungen
Hilfe - Alle Produkte & Anleitungen
Breadcrumbs

Vereinbarung für den Datenzugriff für Steuerberater und Buchhalter

VEREINBARUNG ÜBER DEN DATENZUGRIFF FÜR STEUERBERATER UND BUCHHALTER

Ergänzung zum Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

zwischen

[Name Steuerberatungskanzlei/Buchhaltungsbüro]
[Adresse]
[PLZ Ort]
[Land]
(nachfolgend „Steuerberater/Buchhalter" genannt)

und

meisterwork GmbH
Rosentaler Straße 1
9020 Klagenfurt am Wörthersee
Österreich
(nachfolgend „Plattformbetreiber" genannt)

sowie

[Betreibername/Mandant]
[Adresse]
[PLZ Ort]
[Land]
(nachfolgend „Mandant/Verantwortlicher" genannt)

Präambel

Der Mandant nutzt das Softwaresystem bessa der meisterwork GmbH und hat seinen Steuerberater/Buchhalter mit der Erledigung steuerlicher und buchhalterischer Aufgaben beauftragt. Zur effizienten Erfüllung dieser Aufgaben erhält der Steuerberater/Buchhalter über die bessa-Plattform ausschließlich lesenden Zugriff auf die für seine Tätigkeit erforderlichen Daten. Diese Vereinbarung regelt die datenschutzrechtlichen Rahmenbedingungen dieses Zugriffs.

1. Rechtliche Einordnung und Verantwortlichkeiten

1.1 Datenschutzrechtliche Rollen

  • Mandant: Verantwortlicher für die Datenverarbeitung gemäß Art. 4 Nr. 7 DSGVO

  • Steuerberater/Buchhalter: Auftragsverarbeiter des Mandanten gemäß Art. 4 Nr. 8 DSGVO

  • meisterwork GmbH: Auftragsverarbeiter des Mandanten und technischer Dienstleister

1.2 Rechtsgrundlage

  • Die Datenverarbeitung durch den Steuerberater/Buchhalter erfolgt auf Basis des Mandatsverhältnisses

  • Der Zugriff über bessa basiert auf der ausdrücklichen Weisung des Mandanten

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Vertragserfüllung) und lit. c (rechtliche Verpflichtung) DSGVO

2. Gegenstand und Umfang des Datenzugriffs

2.1 Zweck des Zugriffs

Der Datenzugriff erfolgt ausschließlich für folgende steuerliche und buchhalterische Zwecke:

  • Erstellung der Finanzbuchhaltung

  • Umsatzsteuervoranmeldungen

  • Lohnabrechnung und Lohnsteueranmeldungen (sofern relevant)

  • Jahresabschlüsse (Bilanz, GuV, Anhang)

  • Steuererklärungen

  • Betriebswirtschaftliche Auswertungen (BWA)

  • Steuerliche Beratung und Optimierung

  • Erfüllung gesetzlicher Melde- und Aufbewahrungspflichten

2.2 Art des Zugriffs

  • Ausschließlich LESENDER Zugriff (Read-Only)

  • Keine Berechtigung zur Änderung von Daten

  • Keine Berechtigung zur Löschung von Daten

  • Keine Berechtigung zur Neuanlage von Datensätzen

  • Export-Funktionen nur für steuerrelevante Daten

2.3 Umfang der zugänglichen Daten

Zugriff auf:

  • Rechnungsausgangs- und Rechnungseingangsdaten

  • Umsatzdaten und Kassenbücher

  • Zahlungsstatus (offen/bezahlt)

  • Stornierungen und Korrekturen

  • Steuerrelevante Stammdaten (Firmendaten, Steuernummern)

  • Exportschnittstellen (DATEV, BMD, RZL, etc.)

  • Registrierkassendaten gemäß RKSV/KassenSichV

KEIN Zugriff auf:

  • Detaillierte Kundenstammdaten (nur soweit steuerlich relevant)

  • Marketing- und Kundenbindungsdaten

  • Mitarbeiterzugangsdaten

  • Systemkonfigurationen

  • Support-Kommunikation

3. Pflichten des Steuerberaters/Buchhalters

3.1 Berufsrechtliche Verschwiegenheit

Der Steuerberater/Buchhalter unterliegt der berufsrechtlichen Verschwiegenheitspflicht gemäß:

  • § 57 StBerG (Steuerberatungsgesetz) für Steuerberater

  • § 43 WPO (Wirtschaftsprüferordnung) für Wirtschaftsprüfer

  • § 80 WTBG (österreichisches Wirtschaftstreuhandberufsgesetz)

  • Entsprechende Regelungen für Buchhalter und Bilanzbuchhalter

3.2 Zweckbindung

Der Steuerberater/Buchhalter verpflichtet sich:

  • Daten ausschließlich für die vereinbarten steuerlichen/buchhalterischen Zwecke zu verwenden

  • Keine Verwendung für eigene Werbezwecke

  • Keine Weitergabe an Dritte (außer gesetzlich verpflichtend)

  • Keine Zusammenführung mit Daten anderer Mandanten

3.3 Technische und organisatorische Maßnahmen

  • Verwendung sicherer, individueller Zugangsdaten

  • Aktivierung der Zwei-Faktor-Authentifizierung (sofern verfügbar)

  • Zugriff nur von gesicherten Arbeitsplätzen

  • Keine Speicherung von Zugangsdaten in ungesicherten Systemen

  • Regelmäßige Passwortänderungen

  • Sofortige Meldung bei Verdacht auf Kompromittierung

3.4 Datenexporte und lokale Verarbeitung

Bei Export von Daten aus bessa:

  • Sichere Speicherung in eigenen Systemen

  • Verschlüsselung sensibler Daten

  • Zugriffsbeschränkung auf autorisierte Mitarbeiter

  • Löschung nach Ablauf gesetzlicher Aufbewahrungsfristen

  • Einhaltung der GoBD/BAO-Anforderungen

3.5 Mitarbeiterführung

  • Verpflichtung aller Mitarbeiter auf das Datengeheimnis

  • Beschränkung des Zugriffs auf benötigte Mitarbeiter

  • Regelmäßige Datenschutzschulungen

  • Dokumentation der Zugriffe

4. Pflichten des Plattformbetreibers (meisterwork)

4.1 Technische Bereitstellung

  • Bereitstellung der technischen Zugangsmöglichkeit

  • Implementierung von Read-Only-Berechtigungen

  • Protokollierung aller Zugriffe

  • Sichere Datenübertragung (SSL/TLS)

4.2 Zugriffsmanagement

  • Einrichtung nur auf ausdrückliche Anweisung des Mandanten

  • Unverzügliche Sperrung bei Widerruf durch Mandanten

  • Trennung der Mandantendaten (Mandantenfähigkeit)

  • Keine eigenmächtige Rechteerweiterung

5. Pflichten und Rechte des Mandanten

5.1 Weisungsrecht

  • Der Mandant erteilt die Weisung zur Zugriffsgewährung

  • Jederzeitiges Widerrufsrecht ohne Angabe von Gründen

  • Bestimmung des Umfangs der zugänglichen Daten

5.2 Verantwortung

  • Der Mandant bleibt Verantwortlicher im Sinne der DSGVO

  • Sicherstellung der Rechtmäßigkeit der Datenverarbeitung

  • Information der betroffenen Personen über die Weitergabe

5.3 Kontrolle

  • Einsicht in Zugriffsprotokolle

  • Überprüfung der Einhaltung dieser Vereinbarung

6. Subunternehmer

6.1 Keine weitere Unterbeauftragung

Der Steuerberater/Buchhalter darf ohne vorherige schriftliche Zustimmung des Mandanten keine weiteren Unterauftragnehmer mit dem Zugriff auf bessa-Daten beauftragen.

6.2 Ausnahme: Berufsträgergesellschaften

Bei Sozietäten, Partnerschaftsgesellschaften oder anderen Zusammenschlüssen von Berufsträger gilt:

  • Zugriff nur für direkt mit dem Mandat befasste Personen

  • Gleiche Verschwiegenheitspflicht für alle Zugreifenden

  • Dokumentation der zugriffsberechtigten Personen

7. Meldepflichten

7.1 Datenschutzverletzungen

Bei Kenntnis oder Verdacht einer Datenschutzverletzung:

  • Sofortige Meldung an den Mandanten (max. 12 Stunden)

  • Meldung an support@bessa.app

  • Unterstützung bei der Meldung an Aufsichtsbehörden

  • Dokumentation des Vorfalls

7.2 Behördliche Anfragen

  • Information des Mandanten über behördliche Auskunftsersuchen

  • Keine eigenmächtige Datenweitergabe (außer gesetzlich zwingend)

8. Haftung und Freistellung

8.1 Haftung

  • Jede Partei haftet nach den gesetzlichen Bestimmungen

  • Berufsrechtliche Haftung des Steuerberaters bleibt unberührt

  • Berufshaftpflichtversicherung des Steuerberaters greift

8.2 Freistellung

Der Steuerberater stellt den Plattformbetreiber von Ansprüchen Dritter frei, die auf einer Verletzung dieser Vereinbarung durch den Steuerberater beruhen.

9. Beendigung

9.1 Zugriffsbeendigung

Der Zugriff endet automatisch bei:

  • Beendigung des Mandatsverhältnisses

  • Widerruf durch den Mandanten

  • Kündigung des bessa-Vertrags durch den Mandanten

  • Schwerwiegender Verletzung dieser Vereinbarung

9.2 Pflichten nach Beendigung

  • Sofortige Einstellung jeglicher Nutzung

  • Löschung lokal gespeicherter Daten (außer gesetzliche Aufbewahrung)

  • Schriftliche Löschbestätigung auf Anforderung

10. Vergütung

Die Zugriffsmöglichkeit über bessa ist für den Steuerberater/Buchhalter kostenfrei. Die Vergütung der steuerlichen/buchhalterischen Leistungen erfolgt direkt zwischen Mandant und Steuerberater.

11. Audit und Kontrolle

11.1 Nachweise

Der Steuerberater erbringt auf Anforderung Nachweise über:

  • Implementierte Sicherheitsmaßnahmen

  • Mitarbeiterverpflichtungen

  • Löschungen nach Beendigung

11.2 Zugriffsprotokolle

  • Automatische Protokollierung aller Zugriffe in bessa

  • Einsehbar für Mandanten

  • Aufbewahrung für 12 Monate

  • Bei Problemen: support@bessa.app kontaktieren

12. Schlussbestimmungen

12.1 Rangfolge

Bei Widersprüchen gilt folgende Rangfolge:

  1. Gesetzliche Vorschriften (DSGVO, Berufsrecht)

  2. Diese Vereinbarung

  3. Mandatsvereinbarung Steuerberater ↔ Mandant

  4. AVV meisterwork ↔ Mandant

12.2 Änderungen

Änderungen bedürfen der Schriftform und Zustimmung aller drei Parteien.

12.3 Salvatorische Klausel

Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

12.4 Anwendbares Recht und Gerichtsstand

Es gilt österreichisches Recht. Gerichtsstand ist Klagenfurt am Wörthersee.

Anlage 1: Technische und organisatorische Maßnahmen

Mindestanforderungen an den Steuerberater/Buchhalter:

  1. Zutrittskontrolle

  • Gesicherte Büroräume

  • Zutritt nur für autorisierte Personen

  1. Zugangskontrolle

  • Passwortgeschützte Arbeitsplätze

  • Automatische Bildschirmsperre

  • Sichere Passwörter (mind. 12 Zeichen)

  1. Zugriffskontrolle

  • Nur befugte Mitarbeiter erhalten Zugang

  • Dokumentation der Zugriffsberechtigten

  • Regelmäßige Überprüfung

  1. Weitergabekontrolle

  • Verschlüsselte E-Mail-Kommunikation für sensible Daten

  • Keine Nutzung unsicherer Cloud-Dienste

  • Sichere Vernichtung von Ausdrucken

  1. Eingabekontrolle

  • Nur lesender Zugriff in bessa

  • Änderungen nur in eigenen Systemen

  • Revisionssichere Archivierung

  1. Auftragskontrolle

  • Keine weitere Unterbeauftragung

  • Klare Mandatsdokumentation

  1. Verfügbarkeitskontrolle

  • Backup eigener Systeme

  • Virenschutz und Firewall

  • Regelmäßige Updates

  1. Trennungsgebot

  • Strikte Mandantentrennung

  • Getrennte Datenverarbeitung

  • Keine Datenvermischung

Anlage 2: Zugriffsberechtigte Personen

Beim Steuerberater/Buchhalter:

Name

Funktion

Art des Zugriffs

Berechtigt seit

[Name]

Steuerberater

Vollzugriff (lesend)

[Datum]

[Name]

Steuerfachangestellter

Buchführung

[Datum]

[Name]

Bilanzbuchhalter

Jahresabschluss

[Datum]

Zugriffsrechte in bessa:

Berechtigungsumfang:

  • ☑️ Rechnungsübersicht

  • ☑️ Kassenbuch-Export

  • ☑️ Umsatzauswertungen

  • ☑️ DATEV-Export

  • ☑️ Registrierkassendaten

  • ☑️ Steuerreports

  • ☐ Kundenstammdaten (nur steuerrelevant)

  • ☐ Systemeinstellungen

  • ☐ Mitarbeiterverwaltung

Anlage 3: Muster-Widerrufserklärung

An: meisterwork GmbH

Betreff: Widerruf der Zugriffsberechtigung

Hiermit widerrufe ich die Zugriffsberechtigung für:

Steuerberater/Buchhalter: [Name der Kanzlei]
Mandant: [Firmenname]
Kundennummer: [bessa-Kundennummer]

Der Zugriff ist mit sofortiger Wirkung zu sperren.

Datum: _____________

Unterschrift Mandant: _____________

Anlage 4: Spezifische Anforderungen nach Land

Österreich

  • Einhaltung der Bundesabgabenordnung (BAO)

  • RKSV-konforme Datenverarbeitung

  • Berücksichtigung der WT-RL (Wirtschaftstreuhand-Richtlinie)

Deutschland

  • Einhaltung der GoBD

  • KassenSichV-konforme Verarbeitung

  • Berücksichtigung der Berufsordnung StBerG

Schweiz

  • Einhaltung der Geschäftsbücherverordnung (GeBüV)

  • Berücksichtigung kantonaler Vorschriften

  • MWST-konforme Aufzeichnungen

Italien

  • Einhaltung der italienischen Buchhaltungsvorschriften

  • Fatturazione elettronica Anforderungen

  • Berücksichtigung der Vorgaben des Consiglio Nazionale

Ort, Datum: _______________________

Für den Steuerberater/Buchhalter:

Name, Funktion
Stempel und Unterschrift

Für die meisterwork GmbH:

Name, Funktion
Unterschrift

Für den Mandanten/Verantwortlichen:

Name, Funktion
Unterschrift

Bestätigung der Kenntnisnahme und Einwilligung

Der unterzeichnende Mandant bestätigt hiermit:

☐ Die Zugriffsberechtigung für den o.g. Steuerberater/Buchhalter wird erteilt
☐ Die Datenweitergabe erfolgt zur Erfüllung steuerlicher/buchhalterischer Pflichten
☐ Die betroffenen Personen (Kunden/Mitarbeiter) wurden informiert
☐ Die jederzeitige Widerrufsmöglichkeit wurde zur Kenntnis genommen

Datum, Unterschrift Mandant