Ein Datenschutzvorfall liegt vor, wenn personenbezogene Daten versehentlich oder unrechtmäßig verloren gehen, zerstört, verändert oder unbefugt offengelegt bzw. zugänglich gemacht werden (Art. 4 Nr. 12 DSGVO).
Wenn Sie vermuten, dass in AvoTax oder bei der Verarbeitung durch den Betreiber ein solcher Vorfall vorliegt, helfen Sie uns mit einer schnellen, sachlichen Meldung — damit wir eingreifen und dokumentieren können.
Wann sollten Sie melden?
Melden Sie uns insbesondere bei:
- Verdacht auf unbefugten Zugriff auf Ihr Konto oder Mandantendaten
- Phishing oder Kompromittierung von Zugangsdaten (Passwort, 2FA)
- Fehlversand vertraulicher Unterlagen an falsche Empfänger
- Auffälligkeiten bei Belegen, Buchungen oder Dateien, die auf Datenabfluss hindeuten
- Sicherheitslücken, die Sie in AvoTax beobachten (z. B. unerwartete Daten in einem falschen Mandanten)
Kein Vorfall: reine Bedienfragen, Feature-Wünsche oder allgemeine Datenschutzanfragen — dafür genügt eine normale Support-Mail.
So melden Sie einen Vorfall
Kontakt (bevorzugt):
- E-Mail: info@eco-coin-gmbh.de
- Betreff: `Datenschutzvorfall AvoTax`
- Ansprechpartner: Eco-Coin GmbH (Verantwortlicher / Betreiber von AvoTax)
Bitte geben Sie — soweit möglich — an:
| Angabe | Warum wichtig |
|---|---|
| Ihre Konto-E-Mail und Mandant(en) | Zuordnung im System |
| Zeitpunkt der Entdeckung | Fristen und Timeline |
| Kurzbeschreibung (Was ist passiert?) | Ersteinstufung |
| Betroffene Datenarten (z. B. Belege, Buchungen, Nachrichten) | Risikoeinschätzung |
| Ob Dritte betroffen sein könnten | Meldepflichten |
Senden Sie keine Passwörter per E-Mail. Bei Verdacht auf Kompromittierung: Passwort sofort ändern und 2FA prüfen.
Priorisierung
| Priorität | Beispiele | Ziel-Reaktion (Werktage) |
|---|---|---|
| Kritisch | Aktiver Datenabfluss, kompromittierte Admin-/Kanzlei-Zugänge, Ransomware-Verdacht | Erste Rückmeldung innerhalb von 4 Stunden |
| Hoch | Unbefugter Lesezugriff, fehlgeleitete Exporte mit personenbezogenen Daten | Erste Rückmeldung innerhalb von 1 Werktag |
| Mittel | Einzelne Fehlzuordnung ohne bestätigten Abfluss | 2–3 Werktage |
| Niedrig | Verdacht ohne konkrete Indizien, rein präventive Hinweise | 5 Werktage |
Außerhalb der Geschäftszeiten (Mo–Fr, 9–17 Uhr MEZ) bearbeiten wir kritische Meldungen nach Möglichkeit priorisiert.
Was wir tun
Nach Eingang Ihrer Meldung:
- Erfassung — Ticket/E-Mail wird intern als Datenschutzvorfall dokumentiert
- Einstufung — Vertraulichkeit, Integrität, Verfügbarkeit; betroffene Mandanten und Datenklassen
- Eindämmung — z. B. Sitzungen beenden, Zugänge sperren, Uploads pausieren (falls erforderlich)
- Analyse — Audit-Protokolle, Datei-Integrität, Backup-Stand
- Benachrichtigung — Wenn Ihre Daten voraussichtlich hochrisikorelevant betroffen sind, informieren wir Sie unverzüglich (Art. 34 DSGVO)
- Behörde — Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden, sofern ein Melderisiko besteht (Art. 33 DSGVO) — durch den Verantwortlichen
- Abschluss — Maßnahmen, Recovery und internes Postmortem
Details zum internen Ablauf: siehe Betreiber-Runbook (nicht öffentlich); öffentlich beschrieben in unserer Datenschutzerklärung.
Ihre Rechte
- Auskunft über den Stand der Bearbeitung (Art. 15 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde — für NRW z. B. LDI NRW
- Weitere Hinweise: Konto löschen & Datenschutz, KI-Sicherheit
Prävention
- Zwei-Faktor-Authentifizierung (2FA) aktivieren
- Starke, einmalige Passwörter; Zugänge für Kanzlei-Mitglieder regelmäßig prüfen
- Verdächtige E-Mails nicht mit AvoTax-Zugangsdaten beantworten
---
*Diese Seite ergänzt die Datenschutzerklärung und ersetzt keine Rechtsberatung. Stand: Juni 2026.*