Datenschutzhinweise nach Art. 13, 14 EU Datenschutzgrundverordnung (DSGVO) für Payroll-Services von PwC

Die PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft („PwC“) erbringt Payroll-Services für ihre Kunden und Mandanten. Diese Leistungen umfassen unter anderem die Durchführung von Lohn- und Gehaltsabrechnungen, die  Erstellung der monatlichen Meldungen für die Lohnsteuer und die Sozialversicherung sowie die Erstellung von entsprechenden Lohn- und Gehaltsnachweisen für die betroffenen Mitarbeiter der Kunden und Mandanten von PwC. Dabei verarbeitet PwC personenbezogene Daten dieser Mitarbeiter.

Diese Datenschutzhinweise richten sich an die Mitarbeiter der Kunden und Mandanten von PwC, die eine Lohn- und Gehaltsabrechnung erhalten. Diese Datenschutzhinweise beschreiben, wie PwC Ihre personenbezogenen Daten im Rahmen der Erbringung von Payroll-Services verarbeitet.

„Personenbezogene Daten“ in diesem Dokument bezeichnet personenbezogene Daten im Sinne der Definition des Art. 4 Nr. 1 DSGVO. Dies sind alle Informationen, die sich auf einen Menschen (eine natürliche Person) beziehen und mit denen dieser Mensch direkt oder indirekt identifiziert werden kann.

Die nachfolgenden Datenschutzhinweise sollen Ihnen verständlich, transparent und übersichtlich erläutern, wie Ihre Daten von uns verarbeitet werden. Sollten Sie dennoch Verständnisfragen oder sonstige Rückfragen zum Datenschutz bei PwC haben, können Sie sich gerne an unseren Datenschutzbeauftragten Dr. Tobias Gräber wenden und diesen unter DE_Datenschutz@pwc.com oder den weiteren, unten angegebenen Kontaktdaten kontaktieren.

Verantwortlicher

Verantwortlicher im Sinne des Art.4 Abs. 7 EU Datenschutzgrundverordnung (DSGVO) für die Verarbeitung Ihrer personenbezogenen Daten ist die:

PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft
Friedrich-Ebert-Anlage 35-37
60327 Frankfurt am Main
E-Mail: webkontakt_anfragen@de.pwc.com
Telefonzentrale: +49 69 9585-0
Fax: +49 69 9585-1000

Datenschutzbeauftragter

PwC hat einen Datenschutzbeauftragten gemäß Art. 37 DSGVO benannt. Sie können den Datenschutzbeauftragten der PwC, Dr. Tobias Gräber, unter den folgenden Kontaktdaten erreichen:

E-Mail-Kontakt: DE_Datenschutz@pwc.com

Adresse für postalische Kontaktaufnahme:
PricewaterhouseCoopers GmbH WPG
Dr. Tobias Gräber, Datenschutzbeauftragter
Friedrich-Ebert-Anlage 35-37
60327 Frankfurt am Main

Telefon: +49 69 9585-0

Zwecke der Verarbeitung und Rechtsgrundlage für die Verarbeitung

• Datenverarbeitung zum Zweck der Erstellung Ihrer Lohn- und Gehaltsabrechnung

PwC verarbeitet Ihre personenbezogenen Daten zum Zweck der Erbringung von Payroll-Services für Ihren Arbeitgeber und insbesondere zur Erstellung Ihrer Lohn- und Gehaltsabrechnung. Die dafür erforderlichen personenbezogenen Daten (u.a. Ihr Name, Anschrift, Geburtsdatum, Steuerklasse und Steuer-Identifikationsnummer, Höhe der Bezüge sowie Informationen zu Ihrer Bankverbindung sowie weitere für die Lohn- und Gehaltsabrechnung notwendigen Angaben) werden von Ihrem Arbeitgeber an PwC übermittelt und von PwC zum Zwecke der Erstellung Ihrer Lohn- und Gehaltsabrechnung verarbeitet.

Zu den verarbeiteten personenbezogenen Daten können auch besondere Kategorien personenbezogener Daten gehören. Zu den besonderen Kategorien personenbezogener Daten gehören Informationen, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten, biometrische Daten sowie Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Im Rahmen der Erstellung von Lohn- und Gehaltsabrechnungen kann insbesondere die Religionszugehörigkeit (Abführung von Kirchensteuer) betroffen sein sowie Gesundheitsinformationen (z.B. im Fall der Lohnfortzahlung im Krankheitsfall).

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt in diesem Fall auf der Grundlage des Art. 6 Abs. 1 lit. f) DSGVO, da ein berechtigtes Interesse an der Verarbeitung besteht. PwC unterliegt aufgrund eines Vertrages mit seinem Auftraggeber einer Pflicht zur Erbringung der beauftragten Dienstleistung der Erstellung der Lohn- und Gehaltsabrechnung für dessen Beschäftigte. Um diese Dienstleistung erbringen zu können, ist eineVerarbeitung der personenbezogenen Daten der betroffenen Beschäftigten erforderlich. Dies begründet ein berechtigtes Interesse von PwC an der Verarbeitung dieser Daten.

Die Verarbeitung der besonderen Kategorien von personenbezogenen Daten erfolgt auf der Rechtsgrundlage des Art. 9 Abs. 2 lit. g DSGVO i.V.m. § 11 Abs. 2 Steuerberatungsgesetz (StBerG).

PwC nutzt für die Erstellung von Lohn- und Gehaltsabrechnungen IT-Systeme, in denen Ihre personenbezogenen Daten gespeichert und verwaltet werden.

Eine automatisierte Entscheidungsfindung oder ein Profiling findet nicht statt.

• Datenverarbeitung zum Zwecke der Aktenführung, Dokumentation und Archivierung

PwC ist gesetzlich zu einer ordnungsgemäßen Aktenführung und umfangreichen Dokumentation seiner Mandate und Aufträge verpflichtet. Diese Akten und Dokumentationen müssen auch nach Abschluss eines Auftrags oder Mandats für durch Gesetz festgelegte Aufbewahrungsfristen aufbewahrt und gespeichert werden. Darüber hinaus unterliegt PwC weiteren gesetzlichen Dokumentations- und Aufbewahrungspflichten, die u.a. auf steuerrechtlichen, buchhalterischen oder handels- und gesellschaftsrechtlichen Vorgaben für Unternehmen beruhen.

In den zu dokumentierenden Unterlagen, Arbeitsergebnissen sowie zugehöriger mandatsbezogener Korrespondenz sind auch personenbezogene Daten enthalten, so dass diese ebenfalls Bestandteil der Aktenführung und Archivierung sind.

Die Aktenführung, Dokumentation und Archivierung von Mandatsunterlagen bei PwC erfolgt in den IT-Systemen von PwC, zum Teil darüber hinaus auch in Form von Papierakten.

Diese Verarbeitung erfolgt auf der Grundlage des Art. 6 Abs. 1 lit. c) DSGVO, PwC erfüllt mit Aktenführung, Dokumentation und Archivierung gesetzliche Pflichten u.a. aus Berufsrecht, Steuerrecht und Handels- und Gesellschaftsrecht.

Kategorien von Empfängern von Daten und Transfer in Drittländer

Im Rahmen der Dienstleistung der Erstellung von Lohn- und Gehaltsabrechnungen findet ein Datentransfer an Dritte statt, dies kann auch die Übermittlung von personenbezogenen Daten in das europäische und außereuropäische Ausland beinhalten und die Speicherung von Daten auch außerhalb der EU.

Im Einzelnen werden Daten an die folgenden Kategorien von Empfängern übermittelt:

• Ihren Arbeitgeber

Die im Zuge der Erstellung der Lohn- und Gehaltsabrechnungen verarbeiteten personenbezogenen Daten, die Verarbeitungsergebnisse sowie die erstellten Lohn- und Gehaltsabrechnungen werden an Ihren Arbeitgeber übermittelt.

• Datentransfer an Behörden, Gerichte oder andere Stellen

Abhängig von der Art des konkreten Auftrags kann die Erbringung der Dienstleistung durch PwC auch die Übermittlung von Informationen, Arbeitsergebnissen und Unterlagen an Behörden, Gerichte oder andere öffentliche oder private Stellen erforderlich machen, um den Auftrag zu bearbeiten. Soweit die beauftragte Dienstleistung einen Auslandsbezug aufweist, können hierzu auch Stellen im Ausland gehören. Insbesondere übermitteln wir bei der Erbringung von Payrollleistungen personenbezogene Daten an die zuständigen Finanzbehörden, Sozialversicherungsträger und Krankenkassen.

Darüber hinaus wird PwC personenbezogene Daten an Behörden, Gerichte oder andere Stellen übermitteln, soweit PwC gesetzlich oder aufgrund behördlicher oder gerichtlicher Anordnung zur Herausgabe von personenbezogenen Daten an Behörden, Gerichte oder andere Stellen verpflichtet sein sollte.

• Auftragsbezogene Zusammenarbeit mit anderen PwC-Netzwerkgesellschaften

Die PricewaterhouseCoopers GmbH WPG ist Mitglied des globalen PwC Netzwerks, das aus den einzelnen rechtlich selbständigen und unabhängigen PwC-Gesellschaften besteht.

Soweit es zur Erbringung der beauftragten Dienstleistung erforderlich ist, findet eine Zusammenarbeit mit weiteren Gesellschaften aus dem globalen PwC-Netzwerk statt. Dies kann der Fall sein, wenn der Auftrag einen Auslandsbezug aufweist oder aus anderen Gründen die Expertise eines Kollegen aus einer anderen (ausländischen) PwC-Netzwerkgesellschaft erfordert. Dies ist insbesondere dann der Fall, wenn Sie sich im Ausland aufhalten oder in das Ausland entsendet wurden und daher PwC beauftragt wurde, sowohl die nationalen als auch die internationalen Abrechnungs- und Erklärungspflichten zu erfüllen. In diesen Fällen binden wir regelmäßig diejenigen Mitglieder des PwC Netzwerkes in dem Land ein, in dem Sie sich aufhalten oder aufgehalten haben.

Soweit dieser Transfer an eine Netzwerkgesellschaft außerhalb des Europäischen Wirtschaftsraums erfolgt, wird ein angemessenes Datenschutzniveau durch die Verwendung von Standardvertragsklauseln der EU-Kommission im Sinne des Art. 46 Abs. 2 lit. c) DSGVO gewährleistet. Die PwC-Netzwerkgesellschaften haben einen internen Datenschutzvertrag abgeschlossen, der für den Transfer von personenbezogenen Daten aus EU/EWR-Staaten in andere Gesellschaften die Einhaltung der EU-Standardvertragsklauseln der EU-Kommission vorsieht.

Die EU-Standardvertragsklauseln können Sie unter https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:DE:PDF abrufen.

• Datentransfer an PwC-netzwerkinterne Dienstleister

PwC nutzt im Rahmen seiner Tätigkeit weitere deutsche oder ausländische PwC-Netzwerkgesellschaften als netzwerkinterne IT-Dienstleister, die Leistungen des Betriebs, der Wartung und Pflege der von den PwC-Netzwerkgesellschaften genutzten IT-Systeme und Applikationen erbringen.

Hierbei handelt es sich im Wesentlichen um die PwC IT Services Ltd. mit Sitz in UK.

Darüber hinaus nutzt PwC netzwerkinterne Service Delivery Center (SDC), die andere PwC-Gesellschaften bei der administrativen Organisation und Abwicklung von Kundenaufträgen und Mandaten unterstützen. Hierzu zählen beispielsweise die Erstellung und Prüfung von Abrechnungen, Layout und Design, Lektorat, Übersetzungsservices und andere auftragsbezogene Dienstleistungen. SDC sind unter anderem in Deutschland, Polen und Argentinien belegen.

Soweit dieser Transfer an eine Netzwerkgesellschaft außerhalb des Europäischen Wirtschaftsraums erfolgt, wird ein angemessenes Datenschutzniveau durch die Verwendung von Standardvertragsklauseln der EU-Kommission im Sinne des Art. 46 Abs. 2 lit. c) DSGVO gewährleistet. Die PwC-Netzwerkgesellschaften haben einen internen Datenschutzvertrag abgeschlossen, der für den Transfer von personenbezogenen Daten aus EU/EWR-Staaten in andere Gesellschaften die Einhaltung der EU-Standardvertragsklauseln der EU-Kommission vorsieht.

Die EU-Standardvertragsklauseln können Sie unter https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:DE:PDF abrufen.

• Datentransfer an externe IT-Dienstleister

Darüber hinaus nutzt PwC auch externe IT-Dienstleister.

• Allgemeine IT-Dienstleister: PwC nutzt externe Dienstleister, die allgemeine IT-Dienstleistungen oder IT-Systeme bereitstellen, die im Rahmen jeder Mandatsbearbeitung eingesetzt werden. Hierzu gehört bspw. der Betrieb des Systems zur internen und externen (E-Mail)-Kommunikation.
• Fachspezifische und mandatsbezogen eingesetzte IT-Dienstleister: Darüber hinaus nutzt PwC zum Teil bei der Mandatsbearbeitung externe Dienstleister, die fachspezifische Anwendungen für Steuerberater, Wirtschaftsprüfer und/oder Rechtsanwälte anbieten.

Soweit es sich bei den IT-Dienstleistern um ausländische Cloud-Dienste-Anbieter handelt, erfolgt die Datenspeicherung in den Rechenzentren des Dienstleisters innerhalb und außerhalb der EU. Das nach dem EU-Datenschutzrecht erforderliche angemessene Datenschutzniveau wird vertraglich durch Vereinbarung der EU-Standardvertragsklauseln (EU Model Clauses) gewährleistet. Nähere Informationen zu den von PwC eingesetzten Cloud-Dienste-Anbietern können Sie unter folgendem Link abfragen: www.pwc.de/externe-dienstleister.

Kann ein angemessenes Datenschutzniveau, das dem innerhalb der EU gemäß der EU DSGVO vergleichbar ist, im Einzelfall nicht gewährleistet werden, ist eine Übermittlung nur nach Ihrer ausdrücklichen Einwilligung zulässig.

Betroffenenrechte/Ihre Rechte aus dem Datenschutzrecht

Sie haben gegenüber PwC folgende Rechte nach dem geltenden Datenschutzrecht hinsichtlich der Sie betreffenden personenbezogenen Daten.

Recht auf Auskunft: Sie können jederzeit von PwC Auskunft darüber verlangen, ob und welche personenbezogenen Daten bei PwC über Sie gespeichert sind. Die Auskunftserteilung durch PwC ist für Sie kostenfrei.

Das Recht auf Auskunft besteht nicht oder nur eingeschränkt, wenn und soweit durch die Auskunft geheimhaltungsbedürftige Informationen offenbart würden, bspw. Informationen, die einem Berufsgeheimnis unterliegen.

Recht auf Berichtigung: Wenn Ihre personenbezogenen Daten, die bei PwC gespeichert sind, unrichtig oder unvollständig sind, haben Sie das Recht, von PwC jederzeit die Berichtigung dieser Daten zu verlangen.

Recht auf Löschung: Sie haben das Recht, von PwC die Löschung Ihrer personenbezogenen Daten zu verlangen, wenn und soweit die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt werden oder, wenn die Verarbeitung auf Ihrer Einwilligung beruht, Sie Ihre Einwilligung widerrufen haben. In diesem Fall muss PwC die Verarbeitung Ihrer personenbezogenen Daten einstellen und diese aus seinen IT-Systemen und Datenbanken entfernen.

Ein Recht auf Löschung besteht nicht, soweit

• die Daten aufgrund einer gesetzlichen Pflicht nicht gelöscht werden dürfen oder aufgrund einer gesetzlichen Pflicht verarbeitet werden müssen;
• die Datenverarbeitung erforderlich ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Recht auf Einschränkung der Verarbeitung: Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten von PwC zu verlangen.

Recht auf Datenübertragbarkeit: Sie haben das Recht, von PwC die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten sowie das Recht, dass diese Daten an einen anderen Verantwortlichen übermittelt werden. Dieses Recht besteht nur, wenn

• Sie uns die Daten auf der Grundlage einer Einwilligung oder aufgrund eines mit Ihnen abgeschlossenen Vertrages zur Verfügung gestellt haben;
• die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Recht auf Widerspruch gegen die Verarbeitung: Wenn die Verarbeitung Ihrer Daten durch PwC auf der Grundlage des Art. 6 Abs. 1 lit. f) DSGVO erfolgt, können Sie jederzeit Widerspruch gegen die Verarbeitung durch PwC einlegen.

Eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f) DSGVO liegt bspw. vor, wenn Ihr Arbeitgeber Mandant bei PwC ist und uns Ihre Daten als Ansprechpartner in Ihrem Unternehmen übermittelt hat.

Alle der oben beschriebenen Betroffenenrechte können Sie gegenüber PwC geltend machen, wenn Sie Ihr konkretes Begehren an die folgenden Kontaktdaten richten:

Per E-Mail: DE_Datenschutz@pwc.com
Per Post:
PricewaterhouseCoopers GmbH WPG
Dr. Tobias Gräber, Datenschutzbeauftragter
Friedrich-Ebert-Anlage 35-37
60327 Frankfurt am Main

Beschwerderecht bei einer Datenschutzaufsichtsbehörde

Sie haben nach Maßgabe des Art. 77 DSGVO das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen das Datenschutzrecht verstößt.

Dauer der Datenspeicherung

PwC wird Ihre personenbezogenen Daten solange speichern und verarbeiten, wie es für die Erfüllung der in diesen Datenschutzhinweisen beschriebenen Verarbeitungszwecken erforderlich ist. Soweit Ihre personenbezogenen Daten Gegenstand von gesetzlichen Aufbewahrungspflichten oder Bestandteil von Unterlagen sind, die gesetzlichen Aufbewahrungspflichten unterliegen, wird PwC diese Daten für die Dauer der gesetzlich festgelegten Aufbewahrungsfrist speichern.

Die Aufbewahrungsfristen, denen PwC unterliegt, sind unterschiedlich lang und betreffen meist einen Zeitraum von 6 bis 10 Jahren. Zu den wesentlichen gesetzlichen Aufbewahrungspflichten, denen PwC unterliegt, gehören u.a. die folgenden Fristen:

Soweit die betroffenen Daten verschiedenen Aufbewahrungsfristen unterliegen, ist maßgeblich jeweils die längste Aufbewahrungsfrist. In Einzelfällen kann sich die gesetzlich vorgeschriebene Aufbewahrungsfrist darüber hinaus verlängern, wenn bspw. die Informationen zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen auch nach Ablauf der Aufbewahrungsfrist benötigt werden.

Download: Datenschutzhinweise