Stand : Februar 2021, ah
1. Worum geht es in dieser Erklärung ?
2. Wer ist für die Verarbeitung verantwortlich ?
3. Welche Daten verarbeiten wir und wie erhalten wir diese Daten ?
4. Warum verarbeiten wir Ihre Daten und welche rechtliche Grundlage gibt es dafür ?
5. Welche personenbezogenen Daten teilen wir mit Dritten und warum ?
6. Wie lange bewahren wir Ihre personenbezogenen Daten auf ?
7. Wie sorgen wir für die Sicherheit Ihrer personenbezogenen Daten ?
8. Welche Cookies oder vergleichbaren Technologien werden verwendet ?
9. Werden personenbezogene Daten in Drittstaaten transferiert ?
10. Welche Rechte stehen mir aus der DSGVO bezüglich meiner Daten zu ?
11. Änderungen oder Updates dieser Datenschutzerklärung
12. Ihr Kontakt zu uns
13. Änderungsverfolgung
Diese Datenschutzerklärung beschreibt, wie wir personenbezogene Daten verarbeiten, die wir von Ihnen bei Ihrer Anmeldung für einen Sage Cloud Service erhalten und die wir sammeln, während Sie unseren Service nutzen. Bitte lesen Sie dieses Dokument sorgfältig durch. Sie erfahren, welche Ihrer Daten wir wozu verarbeiten, wie lange wir die Daten aufbewahren, mit wem wir Ihre Daten teilen und welche Rechte Ihnen bezüglich Ihrer Daten zustehen. Diese Erklärung geben wir Ihnen gegenüber in Übereinstimmung mit Art. 13 und 14 Datenschutz-Grundverordnung (DSGVO) für alle von Ihnen genutzten Sage Cloud Services der Sage GmbH ab.
Personenbezogene Daten sind Informationen oder eine Kombination von Informationen, mit denen Sie persönlich identifiziert werden können, wie z.B. Ihre E-Mail-Adresse oder Telefonnummer. Nicht Gegenstand dieser Erklärung sind die Daten Ihrer Kunden bzw. der Kunden ihres Arbeitgebers. Auch die Daten von Lieferanten oder Mitarbeiter/Kollegen, die Sie mithilfe bzw. wir in Ihrem Auftrag mit unseren Services verarbeiten, fallen nicht unter diese Erklärung. Diese sogenannten Kundendaten unterliegen einer anderen Vereinbarung, die Sage in der Rolle als Auftragsverarbeiter mit Ihrem Unternehmen gemäß Art. 28 DSGVO abschließt (siehe : www.sage.com/avv).
Zusätzlich zu den Sage Cloud Services der Sage GmbH gibt es weitere Sage-Dienste wie Webseiten, Produkte, Services oder Anwendungen, für die eigene Datenschutzerklärungen bestehen. Durch Anmeldung oder Nutzung zu einem Sage Cloud Service erklären Sie sich damit einverstanden, dass wir Ihre personenbezogenen Daten wie in dieser Datenschutzerklärung beschrieben, verarbeiten. Wenn Sie als Mitarbeiter oder Administrator eines Sage-Kunden, d.h. einer anderen Person, eines Unternehmens oder einer Organisation einen Sage Cloud Service nutzen, vertreten Sie diesen Dritten und garantieren, dass Sie die Befugnis haben, im Namen dieses Sage-Kunden zu handeln.
Wir verarbeiten Ihre persönlichen Daten aufgrund verschiedener Rechtsgrundlagen, die sich aus Art. 6 (1) DSGVO ergeben. Soweit Sie selbst, Ihr Unternehmen oder Ihre Organisation :
Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten ist die Sage GmbH, Franklinstraße 61-63, 60486 Frankfurt a.M. Wir sind ein Tochterunternehmen der Sage Group plc, Newcastle Upon Tyne, Vereinigtes Königreich. Einige Ihrer Daten verarbeiten wir gemeinsam. Für Fragen zum Datenschutz kontaktieren Sie bitte den Datenschutzbeauftragten wie in Kapitel 12 beschrieben.
Welche Daten wir von Ihnen verarbeiten hängt davon ab, in welcher Rolle Sie die Sage Cloud Services nutzen. Wir unterscheiden drei Rollen :
a) Testkunde
b) Kunde
c) Mitarbeiter des Kunden
Initiale Registrierung : Alle Rollen registrieren sich zunächst mit Ihrer E-Mail-Adresse bzw. einem Benutzernamen sowie ggfls. Ihrem eigenen Namen, dem Namen ihrer Firma oder einer Telefonnummer. Bei einer Multifaktor-Authentifizierung haben Sie zusätzlich die Option, eine Mobiltelefonnummer einzugeben. Alle Eingaben erfolgen über gesicherte Webseiten der Sage GmbH, die Ihnen die Anmeldung für den Test oder die Bestellung unserer Sage Cloud Services ermöglichen.
Ihre Daten im Sage Cloud Service : Sind Sie angemeldet, können Sie im Cloud Service ggfls. weitere Daten zu Ihrer Person oder Ihrer Firma ergänzen. Dazu gehören u.a. Anschrift, Telefon- oder Steuernummer. Bevor wir Umsatzsteuervoranmeldungen versenden, benötigen wir den Namen des Steuerpflichtigen bzw. des Auftraggebers im Sinne des §87d AO, sein Geburtsdatum und den Geburtsort. Für den Versand der Sozialversicherungsmeldungen sind eine Betriebsnummer und ein Ansprechpartner mit Telefonnummer erforderlich. Bevor eine dieser Meldungen verschickt wird, müssen Sie sich mit einer deutschen Mobiltelefonnummer uns gegenüber identifizieren (SMS-Verifikation). Soweit sie gemeinsam mit anderen unseren Cloud-Service nutzen, muss nur ein Benutzer pro Firma diese Authentifizierung vornehmen.
Daten von Kunden : Von unseren Kunden benötigen wir alle Daten, die für die Erstellung einer Rechnung nach der Abgabenordnung erforderlich sind. Außerdem verarbeiten wir Zahlungsinformationen, wie z.B. Kreditkartennummer oder Bankverbindung.
Daten von Mitarbeitern der Sage-Kunden : Soweit es die vereinbarte Nutzung vorsieht, können Kunden Ihre Mitarbeiter als Benutzer im Sage Cloud Service anlegen. Sie werden je nach Service z.B. per E-Mail eingeladen, sich dafür zu registrieren (siehe oben).
Kommunikation : Wenn Sie mit uns in Kontakt treten, um Fragen zu Sage Cloud Services zu klären, verarbeiten wir Ihre Daten je nachdem, was Sie wissen wollten. Wenn Sie uns z.B. eine vertriebliche Frage stellen, erfassen wir das in unserem Customer-Relationship-Management System (CRM). Bei technischen Fragen zu den Sage Cloud Services verarbeitet unser Team vom Customer Support Ihre Daten in unserem CRM.
Protokollierung : Wenn Sie einen Sage Cloud Service nutzen, protokollieren wir die Zugriffe in einer Logdatei. Dabei erfassen wir, wann Sie mit welchem Gerät (PC, Tablet etc.) angemeldet waren. Auch Ihre IP-Adresse und der verwendete Browser wird von uns erfasst.
Nutzungsanalyse : In Cloud Services, die eine Interaktion mit den Benutzern vorsehen, erfassen wir welche Funktionen genutzt werden. Diese Daten verarbeiten wir anonym. Eine Nutzungsanalyse Ihres individuellen Verhaltens setzt in jedem Fall voraus, dass Sie uns dafür zuvor Ihre Zustimmung erteilt haben.
Cookies : Unsere Sage Cloud Services verwenden teilweise Cookies, die wir zur Laufzeit, d.h. temporär oder auch etwas länger auf Ihrem Gerät speichern. Aus diesen Cookies erhalten wir z.B. Informationen, mit welchem Benutzer Sie zuletzt angemeldet waren oder welche Einstellungen Sie für Ihr Gerät getroffen haben.
Bzgl. Ihrer personenbezogenen Daten halten wir uns an den Grundsatz aus Art 5. (1) lit c) DSGVO, die Daten auf das für die Zwecke der Verarbeitung notwendige Maß zu beschränken.
Wie in Kapitel 1 dargestellt, verarbeiten wir Ihre persönlichen Daten aufgrund verschiedener Rechtsgrundlagen, die sich aus Art. 6 (1) DSGVO ergeben.
Soweit Sie sich für unsere Cloud Services interessieren und dazu z.B. unsere Webseiten besuchen, ist es unser berechtigtes Interesse, Sie mit Informationen zu versorgen und Ihnen ggfls. personalisierte Angebote zu unterbreiten. Erhalten wir von Ihnen einen Brief, E-Mail oder Anruf gehen wir davon aus, dass Sie mit der Verarbeitung Ihrer personenbezogenen Daten einverstanden sind, soweit es sich um die Erledigung Ihrer konkreten Anfrage handelt. Ein E-Mail-Versand unserer Newsletter an Sie als Interessenten erfolgt ausschließlich mit Ihrer Einwilligung.
Nachdem Sie sich für den Test eines Sage Cloud Services angemeldet haben, werden wir Sie kontaktieren, um zu erfahren, ob Ihnen unser Angebot zusagt oder ob Sie technische Unterstützung beim Test benötigen. Bei dieser Verarbeitung handelt es sich um eine vorvertragliche Maßnahme.
Sind Sie unser Kunde, verarbeiten wir Ihre Daten, um den Vertrag mit Ihnen zu erfüllen. Das beinhaltet beispielsweise alle Ihre Daten, die wir für eine Rechnungslegung benötigen oder für die sichere Authentifizierung, wenn Sie unsere Services nutzen. Ihre Rechnungsdaten verarbeiten wir auch, um gesetzliche Vorgaben zu erfüllen. Backups unserer Datenbanken, die Ihre personenbezogenen Daten beinhalten, erstellen wir ebenfalls, um den Vertrag mit Ihnen und gesetzliche Vorgaben zur Datensicherheit zu erfüllen.
Die Angaben von Benutzern, die Umsatzsteuer- oder Sozialversicherungsmeldungen mit unseren Cloud-Services versenden, verarbeiten wir auf der Grundlage des §87d AO und des SGB IV. Sage ist dazu verpflichtet gegenüber Finanzbehörden und Sozialversicherungen nachweisen zu können, dass wir die Identität einer Person festgestellt haben. Wir haben also eine gesetzliche Grundlage für diese Verarbeitung.
Kontaktieren Sie uns, um technische Fragen zu unseren Cloud Services zu stellen, erfüllen wir gegenüber Kunden unsere vertraglichen Verpflichtungen. Ihre Teilnahme an Umfragen zu Sage Cloud Services erfolgt hingegen auf freiwilliger Basis, d.h. mit Ihrer Zustimmung.
Die Verarbeitung von Nutzungsdaten unserer Services erfolgt aufgrund von berechtigten Interessen, z.B. weil wir den Benutzern zielgerichtet Informationen zu unseren Services ausspielen oder unser Angebot für sie verbessern möchten. Auch sollen so mögliche technische Schwächen unsere Cloud Services aufgedeckt werden. Eine Nutzungsanalyse Ihres individuellen Verhaltens setzt Ihre explizite Zustimmung voraus.
Soweit wir Sie als unseren Kunden kontaktieren, um Sie über neue, teilweise auch kostenpflichtige Funktionen für Ihre Services zu informieren, wenn unsere Sage Academy Sie auf unser Schulungsangebot hinweist oder wenn wir Ihnen andere nützliche Services aus unserem Haus anbieten, die für Sie von Interesse sein könnten, ist dieses Direktmarketing vor allem durch unser berechtigtes Interesse getrieben. Sie haben jedoch die Möglichkeit der Nutzung Ihrer personenbezogenen Daten für diese Marketingzwecke jederzeit zu widersprechen.
Sollten Sie Ihren Vertrag mit Sage beenden, müssen wir die steuerrelevanten Daten unserer Zusammenarbeit aufbewahren. Wir erfüllen also eine rechtliche Verpflichtung. Wenn Sie uns noch als unser Kunde oder zuvor als Interessent Ihre Zustimmung erteilt haben, dass wir Sie für Marketingzwecke kontaktieren dürfen, werden wir das bis zu Ihrem Widerruf tun.
Für den Betrieb der Sage Cloud Services benötigen wir die Unterstützung von Dritten. Dazu zählt z.B. ein Rechenzentrum, in dem wir unseren Service betreiben. Es gibt aber auch Dritte, mit denen wir zuvor von uns anonymisierte Daten teilen. Anonyme Daten fallen nicht in den Anwendungsbereich der DSGVO.
Eine Aufstellung jener Subunternehmen, die die Daten verarbeiten, für die Sie selbst verantwortlich sind (Kundendaten), finden Sie im Anhang der Vereinbarung zur Auftragsverarbeitung, die Ihr Unternehmen mit der Sage GmbH für den von Ihnen genutzten Cloud Service abgeschlossen hat. Hier erfahren Sie auch, für welche Services wir die Subunternehmer einsetzen.
Für Ihre persönliche Anmeldung per SageID nutzen wir ein AWS Rechenzentrum in Dublin, Irland. Dieser Dienst ermöglicht eine sichere Authentifizierung von Usern. Wir verwenden dazu die Technologie des Anbieters Auth0 Inc, Bellvue, Washington, USA. Bereitstellung und Administration des Dienstes erfolgen durch die Sage Global Services Ltd., Newcastle, Vereinigtes Königreich. Gemeinsam mit unserer englischen Mutter sind wir für SageID verantwortlich (Art. 26 DSGVO).
Für einige unserer Cloud-Services nutzen wir ein Tool namens SEOS. Es wird für die System-Administration, die Bereitstellung und den Betrieb unserer Online-Anwendung sowie die Anbindung an die internen Sage Systeme zur Kundenverwaltung und Abrechnung eingesetzt. SEOS nutzt die personenbezogenen Daten aus SageID, um auch Systemereignisse zu protokollieren, wenn z.B. ein Vertrag neu abgeschlossen oder gekündigt wird. SEOS wird von uns in einem Azure Rechenzentrum von Microsoft in Dublin, Irland betrieben. Bereitstellung und Administration des Dienstes erfolgen durch die Sage Global Services Ltd., Newcastle, Vereinigtes Königreich und die Sage Spain SL, Madrid, Spanien.
Als Hilfesystem und zur Analyse, welche Funktionen unserer Services genutzt werden, setzen wir Pendo, Raleigh, NC 27601, USA ein. Mit Pendo teilen wir eine gehashte und damit anonyme User-ID, die keine Rückschlüsse auf Sie persönlich für diesen Anbieter gestattet. Daher fällt die Nutzung von Pendo nicht unter die DSGVO.
Für die initiale Authentifizierung des Benutzers, der die Steuer- oder Sozialversicherungsmeldungen für ein Unternehmen absetzt, versenden wir eine SMS. Dies erfolgt mit dem Produkt SendGrid von Twilio Inc. Die Firma hat ihren Hauptsitz in San Francisco, USA. Es wird nur die Mobilfunknummer einmalig an den Anbieter übermittelt.
Zur Bereitstellung von DMS für Sage 50 Cloud und Sage 50 Handwerk arbeiten wir mit dem Subunternehmen d.velop AG aus Gescher zusammen. Soweit dieser Cloud-Service zu unseren hinzugebucht wurde, übermitteln wir diesem Anbieter die SageID, E-Mail-Adresse und den Namen jedes Benutzers unserer Services. Dies ist erforderlich, um den Benutzer zu identifizieren, der ein Dokument archiviert hat. Hierfür besteht unter anderem eine steuerrechtliche Notwendigkeit, da das Dokumentenmanagement System ansonsten nicht als revisionssicher angesehen wird.
Wir bewahren Ihre personenbezogenen Daten so lange auf, wie es für den Zweck der Verarbeitung notwendig ist (siehe Kapitel 4).
Daten von Testkunden werden nach Ablauf einer Frist von 12 Monaten gelöscht, soweit diese nicht für die Nutzung eines anderen Sage Cloud Services durch Sie als Sage-Kunde verwendet werden. Sollten Sie uns als Interessent Ihre Einwilligung erteilt haben, Sie zu kontaktieren, werden wir Ihre Daten bis zu einem Widerruf verarbeiten (siehe Kapitel 10).
Daten von Kunden werden während der gesamten Vertragslaufzeit verarbeitet. Wird der Vertrag beendet, werden alle Daten nach Ablauf der gesetzlichen Aufbewahrungsfristen für steuerrelevante Daten gelöscht. Die Frist beginnt mit Ablauf des Jahres, in welchem der Vertrag beendet wurde. Sie beträgt aktuell zehn Jahre gemäß Abgabenordnung. Nicht steuerrelevante Daten löschen wir analog den Daten eines Testkunden.
Daten von Mitarbeitern eines Sage-Kunden werden spätestens zu dem Zeitpunkt gelöscht, zu dem die nicht steuerrelevanten Daten eines Kunden gelöscht werden. Informiert uns ein Arbeitgeber, dass ein Mitarbeiter nicht mehr bei ihm beschäftigt ist, löschen wir die Daten auch schon vorher, soweit diese nicht für die Nutzung eines anderen Sage Cloud Services verwendet werden. Sollten Sie als Mitarbeiter eines Sage Kunden uns Ihre Einwilligung erteilt haben, Sie auch künftig zu kontaktieren, werden wir Ihre Daten erst bei Widerruf löschen (siehe Kapitel 10).
Personenbezogene Daten, die durch unseren Authentifizierungsdienst SageID verarbeitet werden, löschen wir automatisch 7 Jahre nach ihrem letzten Login. In den Einstellungen für SageID können Sie diese Frist verkürzen. Selbstverständlich löschen wir Ihre Daten in SageID auf Ihren Wunsch hin jederzeit (siehe Kapitel 10 Punkt c).
Die Angaben, die wir von dem für die Steuer- und Sozialversicherungsmeldungen zuständigen Benutzer verarbeiten, bewahren wir 5 Jahre auf, da wir gesetzlich dazu verpflichtet sind über diesen Zeitraum einen Nachweis der Identität zu führen.
Die für die Nutzung von DMS für Sage 50 Cloud und Sage 50 Handwerk an die d.velop AG über-mittelten personenbezogenen Daten werden gelöscht, sobald der Vertrag für diesen Cloud Service endet. Soweit ein Kunde zusätzlich eine direkte Vertragsbeziehung mit der d.velop AG eingegangen ist unterliegen die steuerrelevanten Daten einer längeren Aufbewahrungsfrist, über die jedoch Sage nicht zu entscheiden hat.
Bitte lesen Sie hierzu die Beschreibung der technischen und organisatorischen Maßnahmen der Sage GmbH, die wir zusammen mit unserer Vereinbarung zur Auftragsverarbeitung an Ihr Unternehmen herausgegeben haben (siehe : www.sage.com/avv).
In der Leistungsbeschreibung zu dem von Ihnen genutzten Sage Cloud Service finden sie außerdem Verweise auf Zertifikate sowie die Beschreibung der technischen und organisatorischen Maßnahmen jener Subunternehmen, mit denen wir Ihre personenbezogenen Daten teilen. Gerne stellen wir Ihnen diese Unterlagen auch auf Anforderung zur Verfügung. Bitte wenden Sie sich dazu an die in Kapitel 12 genannte E-Mail-Adresse.
Cookies und vergleichbare Technologien werden in Sage Cloud Services vor allem dafür verwendet, um den sicheren Betrieb unserer Dienste zu ermöglichen. Damit wir unsere Services weiter verbessern können, nutzen wir anonym erhobene Daten, um zu erfahren, mit welcher Art von Geräten, in welcher Systemumgebung oder mit welchen Browsern unsere Software eingesetzt wurde. Auch ist es für uns wichtig zu erfahren, wann und aus welchen Ländern (z.B. wg. der Sprache) ein Aufruf erfolgte. Um unsere Programmhilfe kontinuierlich zu verbessern, schauen wir uns z.B. an, welche Hilfethemen besonders gefragt sind. Dies liefert uns Hinweise, wo wir einen besonderen Schwerpunkt bei unserer künftigen Softwareentwicklung legen müssen.
Innerhalb der Sage Cloud Services setzen wir keine Cookies oder Technologien ein, die es Dritten erlauben, Sie persönlich zu identifizieren.
Die Datenverarbeitung unserer Sage Cloud Services erfolgt innerhalb der EU bzw. dem EWR und damit im Geltungsbereich der DSGVO. Mit Subunternehmen (das schließt auch andere Sage-Niederlassungen ein) außerhalb von EU bzw. EWR, deren Services wir für den Betrieb unserer Sage Cloud Services benötigen und mit dem wir Ihre personenbezogene Daten teilen, schließen wir eine Vereinbarung auf Basis von Art. 46 (2) lit c) DSGVO (Standartdatenschutzklauseln).
Welche personenbezogenen Daten in Drittstaaten transferiert werden entnehmen Sie bitte Kapitel 5 dieser Erklärung, in dem wir umfassend darstellen, welche Daten wir mit Dritten teilen.
Als Betroffener haben Sie nach der DSGVO verschiedene Rechte, die sich insbesondere aus Art. 15 bis 18 und 21 DSGVO ergeben :
a) Recht auf Auskunft
Sie können Auskunft gemäß Art. 15 DSGVO über Ihre von uns verarbeiteten personenbezogenen Daten verlangen. In Ihrem Auskunftsantrag sollten Sie Ihr Anliegen präzisieren, um uns das Zusammenstellen der erforderlichen Daten zu erleichtern.
b) Recht auf Berichtigung
Sollten die Sie betreffenden Angaben nicht (mehr) zutreffend sein, können Sie nach Art. 16 DSGVO eine Berichtigung verlangen. Sollten Ihre Daten unvollständig sein, können Sie eine Vervollständigung verlangen.
c) Recht auf Löschung
Sie können unter den Bedingungen des Art. 17 DSGVO die Löschung Ihrer personenbezogenen Daten verlangen. Ihr Recht auf Löschung hängt aber u.a. davon ab, ob die Sie betreffenden Daten von uns zur Erfüllung unserer rechtlichen Verpflichtungen noch benötigt werden.
d) Recht auf Einschränkung der Verarbeitung
Sie haben im Rahmen der Vorgaben des Art. 18 DSGVO das Recht, eine Einschränkung der Verarbeitung der Sie betreffenden Daten zu verlangen.
e) Recht auf Widerspruch
Sie haben nach Art. 21 DSGVO das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit der Verarbeitung der Sie betreffenden Daten zu widersprechen. Allerdings können wir dem nicht immer nachkommen, wenn uns z.B. eine rechtliche Verpflichtung zur Verarbeitung zwingt.
f) Recht auf Beschwerde
Wenn Sie der Auffassung sind, dass wir bei der Verarbeitung Ihrer Daten datenschutzrechtliche Vorschriften nicht beachtet haben, können Sie sich mit einer Beschwerde an
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
66021 Wiesbaden
E-Mail : [email protected]
wenden, der Ihre Beschwerde prüfen wird.
Wir behalten uns vor, diese Datenschutzerklärung nach eigenem Ermessen jederzeit zu ändern. Daher informieren Sie sich bitte von Zeit zu Zeit über den aktuellen Stand. Diese Erklärung finden Sie auf unser Webseite unter https://www.sage.com/de-de/rechtliches/datenschutz-cookies/. Auf Seite 1 steht unter der Überschrift das aktuelle Datum. Wenn die Änderungen Ihre Rechte oder Pflichten wesentlich verändern, werden wir Sie benachrichtigen, soweit dies gesetzlich vorgeschrieben ist. Dazu werden wir die E-Mail-Adresse verwenden, die Sie uns bei Ihrer Anmeldung mitgeteilt haben. Sofern Sie der Nutzung Ihrer E-Mail-Adresse für diesen Zweck widersprochen haben, werden wir Sie selbstverständlich diesbezüglich nicht kontaktieren.
Bei Fragen zu dieser Datenschutzerklärung können uns jederzeit kontaktieren unter :
Sage GmbH
Datenschutzbeauftragter
Franklinstraße 61-63
60486 Frankfurt a.M.
Tel. : 069 / 50007-0
E-Mail : [email protected]
Die Version vom Februar 2021 enthält Informationen zur neuen SMS-Authentifizierung für Umsatz-steuer- und Sozialversicherungsmeldungen. Außerdem stellt sie die geplante Datenübermittlung an d.velop im Zusammenhang mit DMS für Sage 50 Cloud und Sage 50 Handwerk dar. Dazu wurden in den Kapiteln 3 bis 6 jeweils Absätze ergänzt.
Feedback