Cloud-Dienste Anbieter

Im Rahmen der Durchführung von Mandantenaufträgen nutzt PwC und deren Tochtergesellschaften folgende Cloud-Dienste Anbieter. Wir weisen darauf hin, dass, falls erforderlich, die Liste der Cloud-Dienste Anbieter jederzeit erweitert werden kann:
 

Cloud-Dienste Anbieter Speicherort der mandatsbezogen Daten Weiterführende Informationen
Microsoft Corporation, Redmond, USA Niederlande und Irland https://azure.microsoft.com/de-de/support/trust-center/
Google Inc, Mountain View, California, USA global https://www.google.com/about/datacenters/inside/locations/index.html

Als Wirtschaftsprüfungsgesellschaft unterliegen wir der Verschwiegenheit über alle im Rahmen unserer beruflichen Tätigkeit erlangten Kenntnisse nach § 43 Abs. 1 WPO. Aus diesem Grund sind die Themen Datensicherheit und Datenschutz für uns besonders wichtig und wir trainieren unsere Mitarbeiterinnen und Mitarbeiter hierzu regelmäßig. 

Selbstverpflichtung der PwC GmbH WPG:

Mit unseren Selbstverpflichtung zu Datensicherheit und Datenschutz gehen wir über die berufsrechtlichen Standards hinaus. Unsere globale Information Security Policy für das PwC-Netzwerk orientiert sich an den Handlungsempfehlungen nach ISO/IEC 27002. Alle PwC-Netzwerkfirmen haben sich verpflichtet, die Anforderungen der Information Security Policy einzuhalten. Dies wird regelmäßig durch das Information Security Compliance Team der globalen PwC Risk & Quality Organisation überprüft.

Die angewendeten Verfahren und Methoden zum Datenschutz des Information Security Compliance Teams wurden unabhängig durch die British Standards Institution (BSI) überprüft, um Kompatibilität und Konformität mit ISO/IEC 27001 sicherzustellen. Jährliche Reviews erfolgen durch die BSI.

Ferner haben wir unseren gesamten IT-Bereich – inklusive aller von diesem angebotenen Dienste – nach ISO/IEC 27001 zertifizieren lassen. Diese Zertifizierung wird im Rahmen jährlicher Audits durch den Zertifizierer DQS bestätigt.

Ein erheblicher Teil des Informations- und Datenaustauschs sowohl innerhalb der PwC GmbH WPG als auch in der Kommunikation mit Geschäftspartnern und Mandanten erfolgt erfolgt im E-Mail-Verkehr. Um den ordnungsgemäßen und sicheren Betrieb und Einsatz des E-Mail-Dienstes zu gewährleisten, gelten für alle Mitarbeiter die Grundsätze der Ordnungsmäßigkeit. Für ein- und ausgehende E-Mails bedeutet dies im Hinblick auf den Datenschutz unter anderem:

  • Beim Versand personenbezogener Daten sind zwingend die Zulässigkeit und Form der Übermittlung gemäß den Bestimmungen des Bundesdatenschutzgesetzes und der EU-Richtlinie zum Datenschutz zu beachten. In Zweifelsfällen oder bei Fragen ist Rücksprache mit dem Datenschutzbeauftragten der PwC GmbH zu halten.
  • Der Versand von Unternehmensdaten über private Email-Konten ist nicht gestattet.
  • Als Absender und Empfänger von Emails mit vertraulichen Informationen obliegt es allen Mitarbeiterinnen und Mitarbeitern,, dafür Sorge zu tragen, dass die Vertraulichkeit und der Datenschutz sowohl bei der Übertragung als auch bei der Verarbeitung und Speicherung auf den IT-Systemen gewahrt bleibt.

Von diesen Grundsätzen weichen wir auch bei der Nutzung moderner Cloud Technologien nicht ab und legen sogar einen noch höheren Maßstab an die Sicherheit der Daten.

PwC nutzt Google-Dienste zum Zweck der internen Kommunikation und der Kommunikation mit Mandanten sowie als Plattform zur internen Zusammenarbeit. Zu den von der PwC GmbH WPG genutzten Cloud-Diensten gehören im Wesentlichen die Anwendungen der Google G-Suite für den E-Mailverkehr, Terminplanung und für Videokonferenzen sowie Anwendungen für die Zusammenarbeit(Textverarbeitung, Tabellenkalkulation, Präsentation zur gemeinsamen Bearbeitung) und für die gemeinsame Dateiablage.

Die bei den deutschen PwC Netzwerkgesellschaften gespeicherten Mandantenakten und sonstigen mandatsbezogenen Dokumente, Unterlagen und Informationen werden nicht in Cloud-Dienste von Google migriert, sondern bleiben unverändert auf den bisher genutzten Systemen und Servern PwC eigener Rechenzentren in Deutschland gespeichert.

Die Nutzung der Google Cloud-Dienste im Rahmen der Mandantenarbeit beschränkt sich auf Kontaktdaten (Name und E-Mail-Adresse) und die E-Mail-Kommunikation mit den Mandanten.

Gewährleistung des gemäß Bundesdatenschutzgesetz (BDSG) und EU-Datenschutzrichtlinie (RL 95/46/EG) rechtlich vorgeschriebenen Datenschutzniveaus

Bei der Nutzung der Google-Dienste durch PwC ist ein hohes Datenschutzniveau entsprechend der rechtlichen Vorgaben des BDSG und der EU-Datenschutzrichtlinie gewährleistet.

Das deutsche BDSG (§ 4b BDSG) und das europäische Datenschutzrecht fordern bei einer Verarbeitung und Speicherung von Daten in Rechenzentren außerhalb von EU-Staaten die Gewährleistung eines angemessenen Datenschutzniveaus. Da nicht in jedem Staat ein mit dem deutschen und EU-Recht vergleichbares Datenschutzniveau gesetzlich festgeschrieben ist, muss gemäß § 4b Abs. 2 BDSG bei einem Datentransfer in solche Staaten ein angemessenes Datenschutzniveau vertraglich festgeschrieben werden.

Für die Nutzung der Google Cloud Dienste durch die PwG GmbH WPG wird ein angemessenes Datenschutzniveau im Sinne des § 4b BDSG durch die Vereinbarung der von der EU-Kommission entwickelten EU-Standardvertragsklauseln (EU Model Clauses) gewährleistet.

Die EU-Standardvertragsklauseln sind ein anerkanntes Mittel für die vertragliche Sicherstellung eines angemessenen Datenschutzniveaus bei einem Datentransfer außerhalb Europas. Diese beinhalten die Anforderungen des europäischen Datenschutzrechts in Form von Vertragsklauseln und dürfen von den Vertragspartnern nicht ohne vorherige Genehmigung durch die EU-Kommission verändert werden.

Die von Google verwendeten EU Model Clauses können unter dem folgenden Link abgerufen werden: https://cloud.google.com/terms/eu-model-contract-clause.

Die Konformität der für die Google Cloud-Plattform und für die Anwendungsprogramme der Google G-Suite verwendeten EU-Standardvertragsklauseln mit den Anforderungen des EU-Datenschutzrechts wurde von europäischen Datenschutzbehörden bestätigt.

Darüber hinaus wurden vertraglich technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit vereinbart, die den Vorgaben des §§ 9 und 11 BDSG sowie dem Anhang I des § 9 BDSG entsprechen. Die Einhaltung der technischen und organisatorischen Standards ist durch anerkannte Zertifikate nachgewiesen und unterliegt der regelmäßigen Kontrolle der PwC GmbH WPG.

Zudem sind die besonderen berufsrechtlichen Vertraulichkeitspflichten, denen die PwC GmbH WPG als Wirtschaftsprüfungsgesellschaft neben dem Datenschutzrecht unterliegt, ebenfalls in den Verträgen mit Google abgebildet. Insbesondere wurden Weisungsrechte vereinbart und strenge Vertraulichkeitspflichten auferlegt, deren Einhaltung mit hohen Vertragsstrafen abgesichert ist.

Hohe IT-Sicherheitsstandards

Der Datentransport wie auch die Datenspeicherung erfolgen in verschlüsselter Form auf Google- Systemen in Google-Rechenzentren. Diese sind global organisiert und zeichnen sich durch höchste Sicherheitsstandards und Nutzung moderner Verschlüsselungstechnologie (z.B. HTTPS/TLS/PFS) aus.

Dabei werden unter anderem alle Daten und Informationen in kleine Teilinformationen zerstückelt, zusätzlich verschlüsselt und über die Rechenzentrums-Infrastruktur verteilt gespeichert. Der Zugriff auf Klardaten oder gar Nutzung von Daten durch Google bzw. seiner Systemadministratoren in den jeweiligen Rechenzentren sind vertraglich explizit ausgeschlossen.

Diese und weitere Informationen zur IT Sicherheit finden Sie unter https://cloud.google.com/security/

Google unterhält derzeit Rechenzentren in den Niederlanden, Finnland, Belgien, Irland, Taiwan, Singapur und USA. Das Verzeichnis aller Rechenzentren veröffentlicht und aktualisiert Google auf der Homepage unter https://www.google.com/about/datacenters/inside/locations/index.html.

Die Google-Infrastruktur sowie Dienste und Betrieb werden regelmäßig von externen unabhängigen Zertifizierungsstellen auditiert und die hohen IT-Sicherheitsstandards geprüft und durch international anerkannte Zertifikate bestätigt. Google publiziert sowohl den Audit Report als auch die Zertifikate auf seinen Webseiten (https://cloud.google.com/security/compliance) und aktualisiert diese in regelmäßigen Abständen. Zu den wichtigsten für Google vorliegenden Zertifizierungen im Hinblick auf Datensicherheit und Datenschutz zählen die Zertifizierungen nach ISO 27001, ISO 27017 sowie ISO 27018.

Verschlüsselung der Daten

Alle Kommunikation und aller Datenverkehr innerhalb der PwC Google Domäne ist TLS- (in transit) und AES256- (at rest) verschlüsselt. Zudem wird Forward Secrecy unterstützt. Dadurch wird sichergestellt, dass ein Broken Key niemals genutzt werden kann, um zukünftige Kommunikation oder Daten zu entschlüsseln. Der externe Datenverkehr (Mail, Kalendereinträge und Anhänge) mit TLS-fähigen Empfänger-Systemen kann in Absprache mit ihrer IT ebenfalls automatisch verschlüsselt werden.

Löschung der Daten

Google unterstützt die Einhaltung gesetzlicher Anforderung zur Aufbewahrungspflicht systemisch und stellt Werkzeuge und Prozesse zur Verfügung, die sicherstellen, dass Daten und Emails entsprechend den gesetzlichen Vorschriften vorgehalten werden. Nach Ablauf der Aufbewahrungsfrist werden sowohl E-Mails als auch Daten sofort – jedoch spätestens 30 Tage nach Ablauf der Frist – unwiederbringlich gelöscht.

Follow us