Datenschutzerklärung für das Unternehmensserviceportal (usp.gv.at) gemäß Art. 13 und Art. 14 DSGVO

1.      Allgemeines

1.1. Zweck der Datenschutzerklärung

Dem Bundesministerium für Finanzen (in Folge "BMF") als datenschutzrechtlich verantwortliche Stelle ist der Schutz Ihrer personenbezogenen Daten ein wichtiges Anliegen. In dieser Datenschutzerklärung können Sie nachlesen, welche Daten am Unternehmensserviceportal (USP) und den dazugehörigen Unterseiten sowie im angemeldeten Bereich verarbeitet werden. Von dieser Erklärung ausgenommen sind eingebundene Anwendungen, die mittels Single-Sign-On über das USP aufgerufen werden.

1.2. Gesetzlicher Auftrag

Die Einrichtung und der Betrieb des Unternehmensserviceportals wird im Unternehmensserviceportalgesetz (USPG) geregelt:

Gemäß § 3 Abs. 1 USPG hat die Bundesministerin/der Bundesminister für Finanzen die Bundesrechenzentrum GmbH zu beauftragen, ein Unternehmensserviceportal einzurichten und zu betreiben.

Gemäß § 4 Abs. 1 USPG ist der Betreiber des Unternehmensserviceportals hinsichtlich der für die Authentifizierung und Identifikation der Benutzerinnen/Benutzer von im Unternehmensserviceportal eingebundenen Anwendungen gesetzlicher Auftragsverarbeiter im Sinne des Art. 4 Z 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, und des Datenschutzgesetzes (DSG), BGBl I Nr. 165/1999, in der jeweils geltenden Fassung, für Teilnehmerinnen/Teilnehmer gemäß § 5 Abs. 2 Z 1 und 2 und kann sich dabei eines weiteren Auftragsverarbeiters oder FinanzOnline als Authentifizierungsprovider bedienen. Die im Unternehmensserviceportal eingebundenen Anwendungen und die für diese zuständigen Teilnehmerinnen/Teilnehmer gemäß § 5 Abs. 2 Z 1 und 2 sind von der Bundesministerin/vom Bundesminister für Finanzen im Internet kundzumachen.

Gemäß § 3 Abs. 3 USPG ist jede Bundesministerin/jeder Bundesminister verpflichtet, innerhalb ihres/seines jeweiligen Wirkungsbereiches an der Einrichtung und am Betrieb des Unternehmensserviceportals durch Bereitstellung von Informationen und Unterstützung bei Transaktionen im Sinne des § 1 Abs. 1 sowie am Betrieb des Bürgerserviceportals (§ 1 Abs. 2) durch Bereitstellung von Information mitzuwirken.

Gemäß § 3 Abs. 3a USPG können Teilnehmerinnen/Teilnehmer gemäß § 5 Abs. 2 Z 1 und 2 innerhalb ihres jeweiligen Wirkungsbereiches am Unternehmensserviceportal durch Bereitstellung von Informationen und Unterstützung bei Transaktionen mitwirken. Daher sind Teilnehmerinnen/Teilnehmer gemäß § 5 Abs. 2 USPG innerhalb ihres/seines jeweiligen Wirkungsbereiches hinsichtlich der am Unternehmensserviceportal eingebundenen Anwendungen zur Unterstützung von Transaktionen in der Rolle des datenschutzrechtlichen Verantwortlichen.

1.3. Geltungsbereich

Gemäß Art. 1 DSGVO gelten die Bestimmungen der DSGVO grundsätzlich nur für die Verarbeitung personenbezogener Daten natürlicher Personen. Die Verarbeitung personenbezogener Daten juristischer Personen sind dementsprechend nur insoweit vom Anwendungsbereich der DSGVO umfasst, als sie sich auf natürliche Personen beziehen.

2.      Erfassung von Daten

2.1. Registrierung am Unternehmensserviceportal

Zwecke und Rechtsgrundlage

Im Zuge der Registrierung am Unternehmensserviceportal werden personenbezogene Daten erhoben, um die rechtlichen Verpflichtungen des USPG sowie der Unternehmensserviceportal-Nutzungsbedingungenverordnung (speziell § 4 USP-NuBeV) erfüllen zu können. Nach erfolgter Registrierung kann die Benutzerin/der Benutzer die Services des USP nutzen.

Kategorien personenbezogener Daten

Nach der Satzung vertretungsbefugte Person iSd § 25 Abs. 1 Z 4 Bundesstatistikgesetz 2000:

  • Vorname
  • Nachname
  • Geschlecht
  • Staatsangehörigkeit
  • Geburtsdatum
  • Geburtsort
  • Adresse des Hauptwohnsitzes
  • bereichsspezifisches Personenkennzeichen (bPK)
  • diverse verschlüsselte bPKs
  • E-Mail

Zusätzlich werden für ausländische natürliche Personen folgende Daten erhoben:

  • Ausweiskopie
  • Ausstellungsdatum des Dokuments
  • AusweisID 
  • Art des Dokuments
  • Ausstellende Behörde
  • Ausstellender Staat

Hinsichtlich Unternehmen gemäß § 2 Z 2 USPG:

  • Unternehmensbezeichnung
  • Unternehmensadresse
  • Unternehmenssitz
  • eindeutige Verwaltungskennziffern (Schlüssel) z.B. Umsatzsteuer-ID
  • Gültigkeitszeitraum des Datensatzes
  • Funktionsdaten für natürliche und juristische Personen (z.B. Vertretungsbefugnis)

Empfänger und Kategorien von Empfängern

Bundesrechenzentrum GmbH, Ergänzungsregister für natürliche Personen, Ergänzungsregister für sonstige Betroffene

2.2. Elektronische Zustellung (eZustellung)

2.2.1. Teilnehmerverzeichnis

Zwecke und Rechtsgrundlage

Das Teilnehmerverzeichnis ist eine von der Bundesministerin/dem Bundesminister für Finanzen gemäß § 28a Zustellgesetz (ZustG) zur Verfügung gestellte Teilkomponente der eZustellung, welche Daten über Teilnehmerinnen/Teilnehmer (Empfängerinnen/Empfänger) in einem elektronischen Verzeichnis speichert. Diese Daten werden im Zuge der eZustellung von zustellenden Behörden abgefragt, um eine ordnungsgemäße Zustellung zu gewährleisten. §§ 28a, 28b und 34 ZustG dienen als Grundlage für die Verarbeitung.

Kategorien personenbezogener Daten

  • Verständigungsadresse (z.B. E-Mail)
  • Dateiformate
  • Abwesenheitszeitraum
  • Zulässige Zustellqualitäten
  • Verständigungssprachen
  • Registrierungs- und Abmeldeinformationen
  • Informationen zum Umgang bei Postsperren im Rahmen von Insolvenzen
  • Aviso-Versandinformationen
  • Informationen zur Adressierbarkeitsabfrage
  • Stammzahl
  • Unternehmensbezeichnung
  • ERV-Anschriftencode
  • ERV-Weiterleitung
  • Global Location Number (GLN)
  • Adressmerkmale (Unternehmensstandort etc.)
  • ERV-User

Empfänger und Kategorien von Empfängern

  • Abfragende Behörden, die Zustellungen an die Empfänger vornehmen möchten
  • Zustelldienste, die Zustellungen vornehmen müssen
  • Kommunikationssysteme der Behörden, die Zustellungen vornehmen müssen
  • Unternehmensregister
  • Bundesrechenzentrum GmbH

Dauer der Speicherung

Protokolldaten über die Anmeldung einer Teilnehmerin/eines Teilnehmers zur elektronischen Zustellung (Profil erzeugt, geändert, gelöscht) werden solange gespeichert, wie die Nutzerin/der Nutzer bei der elektronischen Zustellung angemeldet ist, sowie weitere drei Jahre nach ihrer/seiner Abmeldung vorgehalten.

2.2.2. Anzeigemodul "Mein Postkorb"

Das Anzeigemodul "Mein Postkorb" ermöglicht Empfängerinnen/Empfängern online die Anzeige der das Dokument beschreibenden Daten von zur Abholung für Sie bereitgehaltenen Dokumenten, die Verständigung darüber sowie die Abholung dieser Dokumente. Die zustellende Stelle ist datenschutzrechtlicher Verantwortlicher für die Inhalte der Zustellung.

Zwecke und Rechtsgrundlage

Anzeige und Ermöglichung der Abholung von Dokumenten gemäß § 37b Zustellgesetz.

Kategorien personenbezogener Daten

  • Nachrichtenmetadaten inklusive Informationen zu den Anhängen der Nachricht
  • Archivierte Nachrichtenmetadaten
  • Informationen zur Verständigungsemail (Datum und Uhrzeit der Verständigung, E-Mail-Adressen, Sprache, Sammelverständigung)
  • Nachrichtenoperationen (Angenommen, Gelesen, Gelöscht)
  • Ausschließlich für Bürgerinnen/Bürger: Personendaten (Vorname, Nachname, Geburtsdatum, bereichsspezifisches Personenkennzeichen für den Bereich Zustellung)
  • Ausschließlich für Unternehmen: Unternehmensdaten (Bezeichnung, Stammzahl)

Empfänger und Kategorien von Empfängern

Bundesrechenzentrum GmbH, Zustellsysteme, Behörden, die Zustellungen vorgenommen haben

Dauer der Speicherung

Protokolldaten werden nach drei Jahren gelöscht.

2.2.3. BK eZustellung Rückkanal

Die BK eZustellung Rückkanal ist ein System zur Übermittelung von Antworten wie z.B. "Antworten auf Zustellstücke" als Teil der Melde- und Kommunikationsinfrastruktur gemäß USPG.

Zwecke und Rechtsgrundlage

Dient als Teil der Melde- und Kommunikationsinfrastruktur gem. § 2 Z 9 USPG, die es Teilnehmerinnen/Teilnehmern gemäß § 5 Abs. 1 USPG technisch ermöglicht, nach Maßgabe der anzuwendenden Rechtsvorschriften elektronisch Anträge und Mitteilungen über die Melde- und Kommunikationsinfrastruktur des Unternehmensserviceportals an jene Teilnehmerinnen/Teilnehmer gemäß § 5 Abs. 2 USPG abzusenden und zu empfangen, die diese nutzen.

Kategorien personenbezogener Daten

  • Nachrichtenmetadaten inkl. Informationen zu den Anhängen sowie die Anhänge selbst der Nachricht
  • Nachrichtenoperationen (Angenommen, Gelesen, Gelöscht)
  • Unternehmensdaten (Bezeichnung, Stammzahl)
  • Informationen zu Übermittelungsversuchen (insbesondere bei der Weiterleitung von Mitteilungen an das Anzeigemodul)
  • Archivierte Nachrichtenmetadaten

Empfänger und Kategorien von Empfängern

Bundesrechenzentrum GmbH, Anzeigemodul auf usp.gv.at und Anzeigemodul auf oesterreich.gv.at, Teilnehmerverzeichnis

Dauer der Speicherung

70 Tage werden Metadaten sowie Dokumente gespeichert. Fachliche Protokollierungsdaten für notwendige Auswertungen werden für 3 Jahre aufbewahrt.

2.3. USP Benutzer- und Rechteverwaltung

Zwecke und Rechtsgrundlage

Die Benutzer- und Rechteverwaltung am USP ermöglicht es Unternehmen, Mitarbeiterinnen/Mitarbeiter mit Berechtigungen für bestimmte Vorgänge am USP auszustatten. Die rechtliche Grundlage findet sich in § 3 Abs. 1 USPG in Verbindung mit §§ 5, 6 USP-NuBeV.

Kategorien personenbezogener Daten

Hinsichtlich Unternehmen gemäß § 2 Z 2 USPG:

  • Bezeichnung, Adresse, Rechtsform, Ordnungszahlen aus Fremdregistern und wirtschaftliche Klassifikation (ÖNACE)
  • Protokollierungsdaten

Hinsichtlich nach der Satzung vertretungsbefugten Personen (§ 25 Abs. 1 Z 4 Bundesstatistikgesetz 2000):

  • Personendaten (Name, Geburtsdatum, Personenschlüssel der jeweiligen Teilnehmerinnen/Teilnehmer gemäß § 3 Abs. 3a USPG)
  • Vollmachten im Unternehmen (z.B. Prokura)

Hinsichtlich Benutzerin/Benutzer iSd § 2 Abs. 3 USPG:

  • Benutzerdaten (Name, Geburtsdatum, Adresse, Personenschlüssel der jeweiligen Teilnehmerinnen/Teilnehmer gem. § 3 Abs. 3a USPG, unternehmensbezogene E-Mail-Adresse)
  • Vollmachten im Unternehmen
  • Session-Protokolldaten
  • Benutzerkontendaten (Benutzer-ID, Zugriffsrechte und -beschränkungen im behördlichen Verfahren)

Empfänger und Kategorien von Empfängern

Bundesrechenzentrum GmbH, Teilnehmerinnen/Teilnehmer gemäß § 3 Abs. 3a USPG

2.4. Chatbot Mona

Durch die Benützung von Chatbot Mona werden grundsätzlich keine personenbezogenen Daten verarbeitet. Ausgenommen sind Fälle, in denen die Userin/der User eigenständig personenbezogene Daten in den Chatbot eingibt. Zum Zweck, den Chatbot stetig zu verbessern und die Antworten zu optimieren, werden mittels User-Anfragen generierte Dialoge/Daten zur Steigerung der Service-Qualität verarbeitet. Die Dialoge werden für einen Zeitraum von maximal 12 Monaten nach der Eingabe durch die Userin/den User bei der Bundesrechenzentrum GmbH gespeichert.

2.5. Vertretungsmanagement

Zwecke und Rechtsgrundlage

Die Funktion Vertretungsmanagement kann es Teilnehmerinnen/Teilnehmern gemäß § 5 Abs. 1 USPG technisch ermöglichen, für andere Teilnehmerinnen/Teilnehmer gemäß § 5 Abs. 1 USPG nach Maßgabe der für die jeweilige Anwendung anzuwendenden Rechtsvorschriften in den im USP eingebundenen Anwendungen und anderen Anwendungen, für die der Zugang zu den hinterlegten Vollmachten ermöglicht wird, tätig zu werden. Als Rechtsgrundlage für diese Verarbeitung dient §§ 2 Z 8, 3 Abs. 1 USPG in Verbindung mit § 9 USP-NuBeV.

Kategorien personenbezogener Daten

  • bereichsspezifisches Personenkennzeichen
  • Vorname
  • Nachname
  • Geburtsdatum
  • Adresse (iSd Firmensitzes)

Empfänger und Kategorien von Empfängern

Berechtigte Benutzerinnen/Benutzer iSd § 2 Z 3 USPG des vertretenden bzw. des vertretenen Unternehmens, am USP eingebundenen Verfahren, die von dem betroffenen Unternehmen berechtigt wurden, den Vollmachtstatus abzufragen, Bundesrechenzentrum GmbH

2.6. Unternehmensdatenanzeige

Zwecke und Rechtsgrundlage

Die Unternehmensdatenanzeige ist eine Funktion im angemeldeten Bereich des Unternehmensserviceportals, welche der eingeloggten USP Benutzerin/dem eingeloggten USP Benutzer Informationen aus dem Unternehmensregister, für das die USP Benutzerin/der USP Benutzer zu dieser Zeit angemeldet ist, anzeigt. Die Funktion fördert die Transparenz und dient als Hilfestellung für die Benutzerin/den Benutzer, wenn Informationen des Unternehmens beispielsweise bei der Befüllung von Formularen benötigt werden. Die Verarbeitung gründet auf dem berechtigten Interesse der Unternehmerin/des Unternehmers, die Informationen ihres/seines Unternehmens einsehen zu können.

Kategorien personenbezogener Daten

Unternehmensdaten gemäß § 25 Abs. 1 Bundesstatistikgesetz 2000

Empfänger und Kategorien von Empfängern

Benutzerinnen/Benutzer gemäß § 2 Z 3 USPG, Bundesrechenzentrum GmbH

Quelle der personenbezogenen Daten

Unternehmensregister (nicht öffentlich zugänglich)

2.7. Cookies

Cookies sind kleine Textdateien, die mit Hilfe des Browsers auf Ihrem Endgerät abgelegt werden.  Viele Cookies auf unserer Website sind sogenannte Session-Cookies. Sie werden automatisch gelöscht, wenn Sie unsere Website wieder verlassen. Andere Cookies werden für einen längeren Zeitraum auf Ihrem Endgerät gespeichert. Das USP verwendet folgende technisch unbedingt erforderliche Cookies:

Cookie

Geltung

Zweck

Speicherdauer

Ausgelöst durch

CSRF-Token 1st Party Erhöht die Sicherheit zwischen Server und Client und schützt vor Cross-Site-Scripting-Angriffen Session usp.gv.at

JSESSIONID

1st Party

Notwendig zur Interaktion mit dem System und zum Speichern des Status des Nutzers.

Session

Shared Services F&B Suche & USP Uti

SMSESSION

1st Party

Login Handling
Ermöglicht Aufruf geschützter Seiten.

Session

Siteminder Session

SMSAVEDSESSION

1st Party

Login Handling
Ermöglicht Aufruf geschützter Seiten.

Session

Siteminder Session

MPU_MEL_JSESSIONID

1st Party

Notwendig zur Interaktion mit dem System und zum Speichern des Status des Nutzers.

Session

Amtswege Online

XSRF-TOKEN

1st Party

Session Handling
Erhöht die Sicherheit in der Kommunikation zwischen Server und Client.

Session

MPK

AMODJSESSIONID

1st Party

Notwendig zur Interaktion mit dem System und zum Speichern des Status des Nutzers.

Session

MPK

LOGININPROGRESS

1st Party

Login Handling
Ermöglicht Aufruf geschützter Seiten.

Session

USP Uti

idm_ns

1st Party

Session Handling
Ermöglicht eine Lastverteilung des Systems.

2 Stunden

IDM

ASP.NET_SessionId

1st Party

Notwendig zur Interaktion mit dem System und zum Speichern des Status des Nutzers.

Session

IDM

antifix

1st Party

Notwendig zur Interaktion mit dem System und zum Speichern des Status des Nutzers.

Session

IDM

2.8. Analyse-Tool Matomo

Die Website und die App nutzen das Open-Source-Tool Matomo für statistische Zwecke, dazu werden die Logdaten in das Tool Matomo geladen und dabei anonymisiert. Mit Matomo werden keine Daten an Server übermittelt, die außerhalb der Hoheit des Bundesministeriums für Finanzen (BMF) liegen.

3.      Betroffenenrechte

Gemäß Art. 15 ff DSGVO haben Sie das Recht auf Auskunft über die Sie betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit.

Wenn Sie der Auffassung sind, dass Ihren Rechten nicht oder nicht ausreichend nachgekommen wird, haben Sie die Möglichkeit einer Beschwerde bei der Datenschutzbehörde ( dsb).

4.      Kontaktdaten

Verantwortliche Abteilung: Bundesministerium für Finanzen (BMF)

Abteilung V/B/5 E-Government Unternehmen
Hintere Zollamtstraße 2b
A-1030 Wien

Service Center Kontakt

Verantwortliche Abteilung: Abteilung V/B/5 – E-Government Unternehmen
Name Abteilungsleiter/in: Mag. Georg Nesslinger
Datenschutzbeauftragter des BMF: Dr. Stefan Lang
Johannesgasse 5, 1010 Wien
E-Mail: datenschutz@bmf.gv.at
Web: www.bmf.gv.at
Letzte Aktualisierung: 26. Mai 2023

Für den Inhalt verantwortlich: Bundesministerium für Finanzen