Im Rahmen der Durchführung von Mandantenaufträgen nutzt die PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft (PwC GmbH WPG) derzeit die nachfolgend genannten Cloud-Dienste Anbieter. Wir weisen darauf hin, dass, falls erforderlich, die Liste der Cloud-Dienste Anbieter jederzeit erweitert werden kann:
Die PwC GmbH WPG stellt besonders hohe Anforderungen an die Daten- und Informationssicherheit und die Wahrung der Vertraulichkeit aller im Rahmen unserer beruflichen Tätigkeit erlangten Informationen.
Als eine nach den §§ 27 ff. Wirtschaftsprüferordnung (WPO) staatlich anerkannte Wirtschaftsprüfungsgesellschaft haben wir über alle im Rahmen unserer beruflichen Tätigkeit erlangten Kenntnisse nach § 43 Abs. 1 WPO Verschwiegenheit zu wahren. Dies gilt sowohl für die bei uns beschäftigten Wirtschaftsprüfer als auch für alle anderen in der Wirtschaftsprüfungsgesellschaft tätigen Mitarbeiter. Konkretisierungen dieser Generalnorm ergeben sich aus der Satzung über die Rechte und Pflichten bei der Ausübung der Berufe des Wirtschaftsprüfers und des vereidigten Buchprüfers. Nach § 9 dieser auf gesetzlicher Grundlage von der Wirtschaftsprüferkammer verbindlich für alle Wirtschaftsprüfer erlassenen Berufssatzung dürfen Wirtschaftsprüfer insbesondere Tatsachen und Umstände, die ihnen bei ihrer Berufstätigkeit anvertraut oder bekannt werden, nicht unbefugt offenbaren. Dies bezieht sich nicht nur auf externe Dritte, sondern gilt bereits für PwC Interne, jedoch mit dem jeweiligen Auftrag nicht unmittelbar befasste Kolleginnen und Kollegen. § 10 der Berufssatzung sieht darüber hinaus ein Verbot der Verwertung von erlangten Berufsgeheimnissen vor.
Die gesetzliche Verschwiegenheitspflicht erstreckt sich auf alle Mitarbeiter unseres Hauses. Jeder Mitarbeiter ist mit Einstellung arbeitsvertraglich entsprechend § 50 WPO gesondert und auch über sein Ausscheiden aus den Diensten unseres Hauses hinaus zur Verschwiegenheit verpflichtet.
Eine Verletzung der gesetzlich verankerten Verschwiegenheitspflicht stellt nach § 203 Strafgesetzbuch eine strafbare Handlung dar. Berufspflichtverletzungen sind außerdem durch die Wirtschaftsprüferordnung sanktioniert und können in schweren Fällen sogar den Ausschluss vom Beruf des Wirtschaftsprüfers nach sich ziehen (§§ 67 ff. WPO).
Neben dem in vielerlei Hinsicht spezielleren Berufsrecht stellt unser Haus selbstverständlich auch die Einhaltung der Vorschriften der Datenschutzgrundverordnung (DSGVO) sowie des neuen Bundesdatenschutzgesetzes (BDSG neu) sicher. Insbesondere werden sämtliche Daten mit den erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen gem. Art. 32 DSGVO geschützt. Ferner ist jeder Mitarbeiter mit Einstellung arbeitsvertraglich gesondert und auch über sein Ausscheiden aus den Diensten unseres Hauses hinaus auf die Einhaltung des Datengeheimnisses verpflichtet.
Aus diesem Grund sind die Themen Datensicherheit und Datenschutz für uns besonders wichtig und wir trainieren unsere Mitarbeiterinnen und Mitarbeiter hierzu regelmäßig.
Die PwC GmbH WPG ist Mitglied des globalen PwC Netzwerks, das aus den einzelnen rechtlich selbständigen und unabhängigen PwC-Gesellschaften besteht.
Neben den gesetzlichen Anforderungen aus dem deutschen Berufsrecht und Datenschutzrecht, deren Einhaltung die PwC GmbH WPG als rechtlich selbständige Gesellschaft in Eigenverantwortung gewährleisten muss, gelten für die PwC GmbH WPG zusätzlich auch die netzwerkweiten Standards zur Informations- und Datensicherheit. Bei diesen PwC-Netzwerkstandards zur Informations- und Datensicherheit handelt es sich um interne Richtlinien, die über die gesetzlichen Verpflichtungen der jeweiligen PwC-Gesellschaften hinausgehend netzwerkweit ein einheitliches, hohes Niveau der Informations- und Datensicherheit festlegen.
Unsere globale Information Security Policy für das PwC-Netzwerk orientiert sich an den Handlungsempfehlungen nach ISO/IEC 27002. Alle Gesellschaften des PwC-Netzwerks haben sich verpflichtet, die Anforderungen der Information Security Policy einzuhalten. Dies wird regelmäßig durch das Information Security Compliance Team der globalen PwC Risk & Quality Organisation überprüft.
Die angewendeten Verfahren und Methoden zur Datensicherheit des Information Security Compliance Teams wurden unabhängig durch die British Standards Institution (BSI) überprüft, um Kompatibilität und Konformität mit ISO/IEC 27001 sicherzustellen. Jährliche Prüfungen erfolgen durch die BSI.
Ferner haben wir unseren gesamten IT-Bereich der deutschen PwC Gesellschaften – inklusive aller von diesem angebotenen Diensten – nach ISO/IEC 27001 zertifizieren lassen. Diese Zertifizierung wird im Rahmen jährlicher Audits durch den Zertifizierer DQS bestätigt.
Die PwC GmbH WPG nutzt Google-Dienste zum Zweck der internen Kommunikation und der Kommunikation mit Mandanten sowie als Plattform zur internen Zusammenarbeit. Zu den von der PwC GmbH WPG genutzten Cloud-Diensten gehören im Wesentlichen die Anwendungen der Google G-Suite für den E-Mail-Verkehr, die Terminplanung und für Videokonferenzen sowie Anwendungen für die Zusammenarbeit von PwC-Mitarbeitern (Textverarbeitung, Tabellenkalkulation, Präsentation zur gemeinsamen Bearbeitung) und für die gemeinsame Dateiablage.
Nicht durch die Nutzung von Google-Diensten betroffen ist die Speicherung und Archivierung der Mandantenakten und sonstigen mandatsbezogenen Dokumenten, Unterlagen und Informationen der PwC GmbH WPG. Es erfolgt kein Transfer solcher Dokumente in Google-Cloud-Dienste, sondern diese bleiben unverändert auf den Systemen und Servern PwC-eigener Rechenzentren in Deutschland gespeichert.
Die Nutzung der Google Cloud-Dienste im Rahmen der Mandantenarbeit beschränkt sich auf Kontaktdaten (Name und E-Mail-Adresse) und die E-Mail-Kommunikation mit den Mandanten.
Bei der Nutzung der Google-Dienste durch die PwC GmbH WPG ist ein hohes Datenschutzniveau entsprechend der rechtlichen Vorgaben der DSGVO gewährleistet.
Art. 44 DSGVO fordert bei einer Verarbeitung und Speicherung von Daten in Rechenzentren außerhalb von EU-Staaten die Gewährleistung eines angemessenen Datenschutzniveaus. Da nicht in jedem Staat ein mit dem deutschen und EU-Recht vergleichbares Datenschutzniveau gesetzlich festgeschrieben ist, muss gemäß Art. 44 DSGVO bei einem Datentransfer in solche Staaten ein angemessenes Datenschutzniveau sichergestellt sein.
Für die Nutzung der Google Cloud Dienste durch die PwC GmbH WPG wird ein angemessenes Datenschutzniveau im Sinne des Art. 44 DSGVO dadurch gewährleistet, dass hier gem. Art. 46 Abs. 2 lit c) iVm. Art. 46 Abs. 5 S. 2 DSGVO von der EU-Kommission entwickelten EU-Standardvertragsklauseln (EU Model Clauses) vereinbart wurden.
Die EU-Standardvertragsklauseln sind ein anerkanntes Mittel für die vertragliche Sicherstellung eines angemessenen Datenschutzniveaus bei einem Datentransfer außerhalb Europas. Diese beinhalten die Anforderungen des europäischen Datenschutzrechts in Form von Vertragsklauseln und dürfen von den Vertragspartnern nicht ohne vorherige Genehmigung durch die EU-Kommission verändert werden.
Die von Google verwendeten EU Model Clauses können unter dem folgenden Link abgerufen werden: https://cloud.google.com/terms/eu-model-contract-clause.
Für die von Google für die Google Cloud-Plattform und für die Anwendungsprogramme der Google G-Suite verwendeten EU-Standardvertragsklauseln liegt eine sog. Common Opinion der Art.-29-Datenschutzgruppe (Zusammenschluss der europäischen Datenschutzaufsichtsbehörden) vor, die die Konformität mit den Anforderungen des EU-Datenschutzrechts bestätigt.
Darüber hinaus wurden vertraglich technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit vereinbart, die den Vorgaben des Art. 32 DSGVO entsprechen. Die Einhaltung der technischen und organisatorischen Maßnahmen ist durch anerkannte Zertifikate nachgewiesen und unterliegt der regelmäßigen Kontrolle der PwC GmbH WPG.
Darüber hinaus sind die besonderen berufsrechtlichen Vertraulichkeitspflichten, denen die PwC GmbH WPG als Wirtschaftsprüfungsgesellschaft neben dem Datenschutzrecht unterliegt, ebenfalls in den Verträgen mit Google abgebildet. Insbesondere wurden Weisungsrechte vereinbart und strenge Vertraulichkeitspflichten auferlegt.
Der Datentransport wie auch die Datenspeicherung erfolgen in verschlüsselter Form auf Google- Systemen in Google-Rechenzentren. Diese sind global organisiert und zeichnen sich durch hohe Sicherheitsstandards und Nutzung moderner Verschlüsselungstechnologie (z.B. HTTPS/TLS/PFS) aus.
Dabei werden unter anderem alle Daten und Informationen in kleine Teilinformationen zerstückelt, zusätzlich verschlüsselt und über die Rechenzentrums-Infrastruktur verteilt gespeichert. Der Zugriff auf Klardaten oder gar Nutzung von Daten durch Google bzw. seiner Systemadministratoren in den jeweiligen Rechenzentren sind vertraglich explizit ausgeschlossen.
Diese und weitere Informationen zur IT Sicherheit finden Sie unter https://cloud.google.com/security/
Google unterhält derzeit Rechenzentren in den Niederlanden, Finnland, Belgien, Irland, Taiwan, Singapur und USA. Das Verzeichnis aller Rechenzentren veröffentlicht und aktualisiert Google auf der Homepage unter https://www.google.com/about/datacenters/inside/locations/index.html.
Die Google-Infrastruktur sowie Dienste und Betrieb werden regelmäßig von externen unabhängigen Zertifizierungsstellen auditiert und die hohen IT-Sicherheitsstandards geprüft und durch international anerkannte Zertifikate bestätigt. Google publiziert die ISO-Zertifikate und den SOC 3 Audit Bericht auf seinen Webseiten (https://cloud.google.com/security/compliance) und aktualisiert diese in regelmäßigen Abständen. Zu den wichtigsten für Google vorliegenden Zertifizierungen im Hinblick auf Datensicherheit und Datenschutz zählen die Zertifizierungen nach ISO 27001, ISO 27017 sowie ISO 27018.
Alle Kommunikation und aller Datenverkehr innerhalb der PwC Google Domäne ist TLS- (in transit) und AES256- (at rest) verschlüsselt. Zudem wird Forward Secrecy unterstützt. Dadurch wird sichergestellt, dass ein Broken Key niemals genutzt werden kann, um zukünftige Kommunikation oder Daten zu entschlüsseln. Der externe Datenverkehr (Mail, Kalendereinträge und Anhänge) mit TLS-fähigen Empfänger-Systemen kann in Absprache mit ihrer IT ebenfalls automatisch verschlüsselt werden.
Google unterstützt die Einhaltung gesetzlicher Anforderung zur Aufbewahrungspflicht systemisch und stellt Werkzeuge und Prozesse zur Verfügung, die sicherstellen, dass Daten und Emails entsprechend den gesetzlichen Vorschriften vorgehalten werden. Nach Ablauf der Aufbewahrungsfrist werden sowohl E-Mails als auch Daten sofort – jedoch spätestens 30 Tage nach Ablauf der Frist – unwiederbringlich gelöscht.