Für UnternehmenFür Steuerberatungen
Logo pennylane
Jetzt testen
Logo pennylane
pennylane

Unser Engagement für den Datenschutz

Datensicherheit und die Einhaltung von Verarbeitungsvorschriften sind wesentliche Bestandteile unserer Arbeit. Unsere Priorität ist der Schutz der Informationen unserer Kunden sowie die Bereitstellung einer sicheren und zuverlässigen Plattform für unsere Nutzer. Hier finden Sie Informationen über die Maßnahmen, die wir ergreifen, um ein hohes Maß an Sicherheit und Vertraulichkeit Ihrer Daten zu gewährleisten und die DSGVO (Datenschutz-Grundverordnung) einzuhalten.

Forme de séparation

Rolle von Pennylane

Wie viele SaaS-Anbieter kann Pennylane im Rahmen der DSGVO sowohl als Verantwortlicher als auch als Auftragsverarbeiter eingestuft werden.

Die DSGVO-Compliance

Bei Pennylane hat der Schutz personenbezogener Daten höchste Priorität. Wir haben eine Reihe strenger Maßnahmen umgesetzt, um unsere Konformität mit der Datenschutz-Grundverordnung (DSGVO) sicherzustellen.

Fokus auf die DSGVO-Rollen

Der Verantwortliche: Der Verantwortliche ist die Organisation, die die Zwecke und die Mittel der Verarbeitung personenbezogener Daten festlegt. Der Auftragsverarbeiter: Der Auftragsverarbeiter ist die Organisation, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

  • Ist Pennylane.com DSGVO-konform?

    Absolut. Pennylane.com ist DSGVO-konform und geht teilweise sogar über die reine Compliance hinaus. Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst und haben strenge Sicherheitsmaßnahmen implementiert, um die Konformität der Verarbeitungen und ihre Sicherheit zu gewährleisten.
    Weitere Informationen zu unseren Maßnahmen finden Sie in unserem Abschnitt zur DSGVO-Konformität bei Pennylane.

  • Welche Sicherheitsmaßnahmen hat Pennylane.com zum Schutz meiner Daten implementiert?

    Pennylane.com hat umfassende Sicherheitsmaßnahmen zum Schutz Ihrer Daten eingeführt und ist nach ISO 27001 für alle Systeme und Aktivitäten zertifiziert. Diese Maßnahmen umfassen die Verschlüsselung der Daten während der Übertragung und im Ruhezustand, kontinuierliche Backups, strenge Zugriffskontrolle, die Rückverfolgbarkeit aller Vorgänge und eine robuste Infrastruktur. Darüber hinaus werden diese Maßnahmen regelmäßig von unabhängigen Prüfern auditiert, um ihre Wirksamkeit zu gewährleisten. Weitere Informationen finden Sie auf unserer Sicherheitsseite.

  • Teilt Pennylane.com meine Daten mit Dritten?

    Nein, Pennylane teilt Ihre Daten nicht mit Dritten, mit Ausnahme seiner Auftragsverarbeiter (siehe Datenschutzerklärung und Liste der weiteren Auftragsverarbeiter in unseren AGB). Falls wir Ihre Daten mit Dritten teilen müssten, würden wir Sie informieren und Ihre ausdrückliche Einwilligung einholen.

  • Wo und wie werden die Daten gespeichert?

    Die Daten werden bei AWS in Irland gespeichert. Die Daten werden sowohl im Ruhezustand als auch während der Übertragung verschlüsselt. Alle Daten werden permanent gesichert, wodurch Daten von mindestens 15 Minuten zuvor jederzeit wiederhergestellt werden können. Die Wiederherstellungszeit eines Backups beträgt 1 Stunde. Der vollständige Wiederherstellungsprozess wird zweimal jährlich zur Leistungsoptimierung überprüft.
    Weitere Informationen finden Sie auf unserer Sicherheitsseite.

  • Wie organisiert Pennylane sein Risikomanagement?

    Sicherheit und Zuverlässigkeit unserer Dienste haben für uns oberste Priorität. Wir nehmen das Risikomanagement sehr ernst und haben ausgefeilte Verfahren zur Risikoidentifizierung, -überwachung und -behandlung eingeführt. Hier unser Vorgehen:
    ✓ Risikokartierung: Wir identifizieren und analysieren alle möglichen Risiken, die unsere Aktivitäten und Kunden betreffen könnten. Dies bedeutet eine proaktive Herangehensweise an menschliche und systemische Risiken. Die Kartierung wird mehrmals jährlich aktualisiert, um die Entwicklung unserer Aktivitäten und Risiken zu verfolgen. Die Risiken werden nach ihrer Kritikalität und Häufigkeit klassifiziert, um ihre Überwachung zu unterstützen und Kontrollen zu definieren.
    ✓ Drei Verteidigungslinien: Wir verwenden einen dreistufigen Ansatz zum Risikomanagement:
    • Erste Verteidigungslinie: Unsere Mitarbeiter und ihre Manager werden geschult, um Risiken in ihrem täglichen Betrieb zu identifizieren und zu managen. Sie befolgen strenge Verfahren zur Vermeidung von Fehlern und zur korrekten Systemnutzung.
    • Zweite Verteidigungslinie: Unsere internen Kontroll- und Compliance-Dienste überwachen und bewerten regelmäßig die Risiken. Sie stellen sicher, dass unsere Prozesse und Kontrollen der ersten Linie korrekt funktionieren und angemessen dokumentiert sind.
    • Dritte Verteidigungslinie: Unsere externen Prüfer führen regelmäßige Audits durch, um zu verifizieren, dass alles wie vorgesehen funktioniert. Sie geben Empfehlungen zur Verbesserung unserer Sicherheit.
    ✓ Governance: Das Risikomanagement wird von unserer Geschäftsführung und Verwaltung überwacht, die akzeptable Risikogrenzen festlegt und sicherstellt, dass Risiken bewertet und bei Überschreitung erkannt werden, dass die Ursachen bekannt sind und dass alle erforderlichen Maßnahmen zur Kontrolle ergriffen werden. Ein spezieller Ausschuss trifft sich regelmäßig, um die Situation zu bewerten, neue Bedrohungen zu diskutieren und Aktionspläne zu erstellen.
    ✓ Schulung und Sensibilisierung: Unsere Mitarbeiter werden geschult, um Risiken zu verstehen und damit umzugehen. Wir organisieren regelmäßige Schulungssitzungen, um ein hohes Maß an Wachsamkeit aufrechtzuerhalten.
    Dies zeigt unseren umfassenden und rigorosen Ansatz zum Risikomanagement. Sie können auf unsere Fähigkeit vertrauen, Ihre Interessen zu schützen und die Kontinuität unserer Dienste zu gewährleisten.

  • Kann ich die Löschung meiner personenbezogenen Daten beantragen?

    Sie können jederzeit die Löschung Ihrer Daten auf Pennylane beantragen, sofern diese Löschung mit Ihrer Nutzung der Lösung vereinbar ist, zum Beispiel wenn Sie diese nicht mehr nutzen und Ihre Buchhaltung nicht von unseren Partner-Steuerberatungskanzleien geführt wird. In diesem Fall wird im Rahmen einer Zusammenarbeit mit einer Partnerkanzlei die Extraktion und Löschung der Daten den gesetzlichen Verpflichtungen Ihres Steuerberaters unterliegen, und wir empfehlen Ihnen, sich mit ihm in Verbindung zu setzen. Wenn Sie außerdem Mitarbeiter oder Mandant einer Steuerberatungskanzlei sind und Ihre Daten gelöscht werden sollen, wenden Sie sich bitte an Ihren Arbeitgeber, der als Verantwortlicher für die Verarbeitung fungiert.

  • Kann ich meine Daten wiederherstellen, wenn ich sie versehentlich lösche?

    Wenn Sie versehentlich Daten löschen, bitten wir Sie, uns umgehend zu kontaktieren. Wir prüfen, ob eine Wiederherstellung möglich ist, können dies jedoch nicht garantieren.

  • Wie erfolgt die Datenlöschung beim Verlassen von Pennylane?

    Sie sind ein Unternehmen und zahlen Ihr Pennylane-Abonnement direkt.
    Sie können Ihr Abonnement direkt kündigen.

  • Wie läuft die Übergabe eines Falles von einer Steuerberatungskanzlei an eine andere ab?

    Diese Funktion ist in Deutschland nicht verfügbar.

Whistleblower

  • Was ist eine Hinweisgebermeldung?

    Das Whistleblower-Meldeverfahren ist eine vertrauliche Möglichkeit, unethisches Verhalten, Gesetzesverstöße oder schädliche Handlungen innerhalb einer Organisation durch jemanden zu melden, der es aus erster Hand miterlebt. Dieses Auskunftsrecht muss verantwortungsvoll, uneigennützig, in gutem Glauben, in einer nicht diffamierenden und nicht missbräuchlichen Weise ausgeübt werden.

  • Wer kann eine Meldung machen?

    Hinweisgeber können Mitarbeitende, Auftragnehmer, Lieferanten oder andere Personen sein, die über privilegierte Kenntnisse der Tätigkeiten einer Organisation verfügen. Sie haben Zugang zu Informationen, die der Öffentlichkeit nicht zugänglich sind, und können missbräuchliches oder rechtswidriges Verhalten innerhalb des Unternehmens erkennen.

  • Wie organisiert Pennylane die Hinweisgebermeldung?

    Pennylane hat ein System zur Meldung beruflicher Hinweise über seine Plattform https://pennylane.whistlelink.com/ eingerichtet, die der einzige offizielle Kanal für Hinweisgebermeldungen bei Pennylane ist. Die Plattform steht jederzeit (24 Stunden/Tag, 7 Tage/Woche) zur Verfügung.

  • Was kann ein Hinweisgeber melden?

    Der Hinweisgeber muss redlich handeln, das heißt berechtigte Gründe haben zu der Annahme, dass die gemeldeten Tatsachen nach seinem Kenntnisstand zutreffend sind. Es ist nicht erforderlich, Beweise vorzulegen; die Meldung darf jedoch nicht mit der Absicht erfolgen, zu schaden oder eine finanzielle Gegenleistung zu erhalten. Zudem muss die Meldung im öffentlichen Interesse liegen und über die rein persönlichen Umstände des Mitarbeitenden oder Vertragspartners hinausgehen.

    Beispiele hierfür sind unter anderem:

    • eine strafbare Handlung, z. B. Betrug
    • Geldwäsche oder Terrorismusfinanzierung
    • Verstöße gegen Gesetze, Vorschriften oder das Recht der Europäischen Union
    • ein reales Risiko oder Schaden für die Umwelt
    • ein Justizirrtum
    • Korruption
    • missbräuchliche Nutzung von Unternehmensressourcen
    • sexuelle oder moralische Belästigung
    • jede sonstige rechtswidrige oder unethische Handlung

  • Wie schützt Pennylane Hinweisgeber?

    Pennylane schützt Hinweisgeber durch mehrere Maßnahmen, die Vertraulichkeit, Unversehrtheit und Schutz vor Repressalien gewährleisten:
    Vertraulichkeit der Identität : Die Identität des Hinweisgebers wird vertraulich behandelt und nur auf einer need‑to‑know‑Basis an befugte Personen weitergegeben, soweit dies zur Untersuchung erforderlich ist und gesetzlich zulässig ist.
    Sichere und geschützte Meldekanäle : Meldungen erfolgen über die offizielle, sichere Whistle‑link‑Plattform (https://pennylane.whistlelink.com/), die technisch gegen unbefugten Zugriff geschützt ist und den Datenverkehr verschlüsselt überträgt.
    Schutz vor Repressalien : Hinweisgeber dürfen aufgrund ihrer Meldung keinerlei Benachteiligung, Kündigung, Disziplinarmaßnahmen oder sonstige Vergeltungsmaßnahmen erfahren; Verstöße gegen dieses Schutzgebot werden sanktioniert.
    Verfahrensgarantien : Meldungen werden zeitnah, objektiv und angemessen untersucht; Hinweisgeber werden über den Stand der Prüfung informiert, soweit dies möglich ist und ohne die Untersuchung zu gefährden.
    Datensparsamkeit und Zweckbindung : Es werden nur die für die Untersuchung notwendigen Daten erhoben und verarbeitet; die Datenverarbeitung erfolgt ausschließlich zur Bearbeitung der Meldung und in Übereinstimmung mit geltenden Datenschutzvorschriften.
    Rechtsbeistand und Information : Hinweisgeber werden über ihre Rechte informiert und können gegebenenfalls rechtlichen Beistand in Anspruch nehmen.
    Dokumentation und Audit : Alle Schritte des Verfahrens sind dokumentiert und unterliegen internen Kontrollen sowie regelmäßigen Prüfungen, um die Einhaltung der Schutz‑ und Vertraulichkeitsmaßnahmen sicherzustellen.