Datenschutzerklärung

Diese Datenschutzerklärung beschreibt die Verarbeitung personenbezogener Daten im Zusammenhang mit der Software dinoTAX Kraken. Kraken verarbeitet E-Commerce-Daten im Auftrag von Steuerkanzleien, damit steuerliche Auswertungen und DATEV-Exporte erstellt werden können.

Kurzüberblick: Kraken verarbeitet Daten mandatsbezogen, nutzt technische und organisatorische Schutzmaßnahmen und stellt Transparenz zu Datenquellen, Zwecken und Rechtsgrundlagen her.

1. Verantwortlicher und Kontakt

dinoTAX GmbH
Am Sandtorkai 50
20457 Hamburg
E-Mail: contact@dinotax.de

2. Rollenmodell

dinoTAX verarbeitet Daten im Regelfall als Auftragsverarbeiter für Steuerkanzleien. Die jeweilige Kanzlei ist Verantwortlicher für die steuerfachliche Nutzung der verarbeiteten Daten.

3. Datenquellen und Datenkategorien

Kraken verarbeitet Daten aus angebundenen Shop-, Marktplatz- und Zahlungsdatenquellen sowie aus dateibasierten Importen. Die Daten werden mandatsbezogen verarbeitet und soweit möglich unmodifiziert für Nachvollziehbarkeit und spätere steuerliche Aufbereitung zwischengespeichert.

  • Stammdaten von Kanzlei- und Händlerkontakten (z. B. Name, E-Mail, Rollen).
  • Erlös-, Auszahlungs- und Transaktionsdaten (z. B. Bestellungen, Zahlungen, Steuern, Erstattungen).
  • Technische Betriebsdaten (z. B. Protokolleinträge, Zeitstempel, Job-IDs).

4. Plattformspezifische Verarbeitung

Amazon

Soweit Amazon als Datenquelle angebunden ist, verarbeitet Kraken Daten ausschließlich im Auftrag der Steuerkanzlei für die vertraglich vereinbarte steuerliche Verarbeitung im Mandatskontext. Derzeit erfolgt der Import dateibasiert aus dem Amazon-Umsatzsteuer-Transaktionsbericht und dem Textdatei-V2-Abrechnungsbericht. Ein automatischer Abruf derselben Berichte nach Freigabe durch den Verkäufer in Seller Central ist in Vorbereitung.

Weitere Amazon-Schnittstellen werden nicht genutzt.

Personenbezogene Angaben stammen ausschließlich aus dem Amazon-Umsatzsteuer-Transaktionsbericht, nicht aus dem Abrechnungsbericht. Je nach Transaktion können darin insbesondere vorkommen: Käufer-USt-IdNr. (B2B), Käufername, Lieferadresse oder Adressbestandteile (z. B. Ort, Land, Postleitzahl) sowie zugehörige Länder- und Steuerzuordnungsmerkmale. Diese Angaben werden nur zur steuerlichen Bewertung, OSS-/B2B-Einordnung und Erstellung von DATEV-Buchungsstäpeln verarbeitet, nicht für Marketing oder andere Zwecke.

Shopify

Bei angebundenen Shopify-Datenquellen verarbeitet Kraken insbesondere Bestell-, Zahlungs-, Rückerstattungs-, Versand- und Auszahlungsdaten zur buchhalterischen Aufbereitung und zum konsistenten Abgleich mit weiteren Datenquellen. Dabei werden auch EU-Umsatzsteuer, OSS/IOSS sowie B2B- und B2C-Sachverhalte berücksichtigt.

OTTO

Bei angebundenen OTTO-Datenquellen verarbeitet Kraken Bestell- und Auszahlungsdaten zur strukturierten Verarbeitung von Erlösen, Auszahlungen und steuerrelevanten Kennzahlen. Auszahlungsdaten werden derzeit dateibasiert verarbeitet, da OTTO aktuell keine automatische Auszahlungs-Schnittstelle bereitstellt.

TikTok

Bei angebundenen TikTok-Datenquellen verarbeitet Kraken derzeit dateibasierte Importe von Bestell- und Auszahlungsinformationen.

PayPal

Bei angebundenen PayPal-Datenquellen verarbeitet Kraken Transaktionsdaten für PayPal-Business-Konten und ordnet diese im Mandatskontext mit Shop- und Marktplatzdaten zusammen.

5. Zwecke und Rechtsgrundlagen

Zweck Rechtsgrundlage
Bereitstellung der Plattform und Nutzerverwaltung Art. 6 Abs. 1 lit. b DSGVO
Import, Aufbereitung und Export steuerrelevanter Daten Art. 6 Abs. 1 lit. b DSGVO
Pflege und Aktualisierung technischer Integrationen Art. 6 Abs. 1 lit. b DSGVO
IT-Sicherheit und Missbrauchsverhinderung Art. 6 Abs. 1 lit. f DSGVO
Erfüllung gesetzlicher Pflichten Art. 6 Abs. 1 lit. c DSGVO

6. Empfänger und Speicherorte

Daten werden nur weitergegeben, soweit dies für den Betrieb und die Vertragserfüllung erforderlich ist. Dazu gehören insbesondere Hosting- und Infrastrukturleistungen innerhalb der AWS-Umgebung.

Der primäre Betrieb erfolgt in AWS eu-central-1 (Frankfurt). Eventuelle Drittlandübermittlungen erfolgen nur unter Beachtung der Art. 44 ff. DSGVO.

7. Speicherdauer und Löschung

Personenbezogene Daten werden nur so lange gespeichert, wie es für die genannten Zwecke oder aufgrund gesetzlicher Aufbewahrungspflichten erforderlich ist. Danach werden Daten gelöscht oder anonymisiert, soweit keine gesetzlichen Gründe entgegenstehen.

Import- und Mandatsdaten werden über die Mandatslaufzeit und gemäß den gesetzlichen Aufbewahrungspflichten der verantwortlichen Kanzlei aufbewahrt. Technische Sicherungskopien in AWS werden nach internen Fristen rotiert (RDS-Backups bis 35 Tage, AWS Backup bis 30 Tage). Sicherheitsrelevante Protokolle werden bis zu 365 Tage aufbewahrt.

8. Technische und organisatorische Maßnahmen

  • Verschlüsselung ruhender Daten und Schlüsselverwaltung über etablierte Cloud-Mechanismen.
  • Rollenbasierte Zugriffskontrollen auf Need-to-Know-Basis.
  • Kontensicherheit durch Passwortregeln und zusätzliche Authentifizierungsmaßnahmen.
  • Sicherheitsrelevante Protokollierung und Überwachung des Betriebs.
  • Backup- und Wiederherstellungsprozesse für betriebsrelevante Datenbestände.
  • Regelmäßige Sicherheits- und Schwachstellenprüfungen im Entwicklungs- und Bereitstellungsprozess.

9. Logging und Überwachung (high-level)

Sicherheitsrelevante Ereignisse werden protokolliert und regelmäßig überwacht. Dazu gehören insbesondere Authentifizierungsereignisse, Zugriffsereignisse, administrative Änderungen und technische Fehlerereignisse mit Sicherheitsbezug.

10. Datenschutzvorfälle

Sicherheits- und Datenschutzvorfälle werden über einen internen Vorfallsprozess bewertet, dokumentiert und nach den geltenden gesetzlichen Meldepflichten behandelt.

  1. Erkennung und Erstbewertung des Vorfalls.
  2. Eindämmung und technische Sicherungsmaßnahmen.
  3. Ursachenanalyse und Bewertung betroffener Daten.
  4. Behebung und kontrollierte Wiederherstellung des Betriebs.
  5. Erforderliche Kommunikation nach rechtlichen Vorgaben.
  6. Nachbereitung und Präventionsmaßnahmen.

11. Rechte betroffener Personen

Betroffene Personen haben im Rahmen der DSGVO unter anderem das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.

Anfragen können an contact@dinotax.de gerichtet werden. Zudem besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde.

12. Verzeichnis von Verarbeitungstätigkeiten

dinoTAX führt intern ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Eine vollständige technische Gesamtdokumentation wird nicht öffentlich bereitgestellt. Auf schriftliche Anfrage stellen wir eine Darstellung im angemessenen Umfang zur Verfügung.