Externe Dienstleister

Im Rahmen der Durchführung von Mandantenaufträgen nutzt die PricewaterhouseCoopers Legal AG Rechtsanwaltsgesellschaft (PwC Legal AG) derzeit die nachfolgend genannten Cloud-Dienste Anbieter. Wir weisen darauf hin, dass, falls erforderlich, die Liste der Cloud-Dienste Anbieter jederzeit erweitert werden kann:

Die PwC Legal AG stellt besonders hohe Anforderungen an die Daten- und Informationssicherheit und die Wahrung der Vertraulichkeit aller im Rahmen unserer beruflichen Tätigkeit erlangten Informationen. Als eine nach den §§ 59c ff. Bundesrechtsanwaltsordnung (BRAO) zugelassene Rechtsanwaltsgesellschaft haben wir über alle im Rahmen unserer beruflichen Tätigkeit erlangten Kenntnisse nach § 43a Abs. 2 BRAO Verschwiegenheit zu wahren. Dies gilt sowohl für die bei uns beschäftigten Rechtsanwälte als auch für alle anderen in der Rechtsanwaltsgesellschaft tätigen Mitarbeitende. Konkretisierungen dieser Generalnorm ergeben sich aus der Berufsordnung für Rechtsanwälte. Nach § 2 dieser auf gesetzlicher Grundlage von der Rechtsanwaltskammer verbindlich für alle Rechtsanwälte erlassenen Berufssatzung dürfen Rechtsanwälte insbesondere Tatsachen und Umstände, die ihnen bei ihrer Berufstätigkeit anvertraut oder bekannt werden, nicht unbefugt offenbaren. Dies bezieht sich nicht nur auf externe Dritte, sondern gilt bereits für PwC-Interne, jedoch mit dem jeweiligen Auftrag nicht unmittelbar befasste Kolleginnen und Kollegen. Die gesetzliche Verschwiegenheitspflicht erstreckt sich auf alle Mitarbeitende unseres Hauses. Jede:r Mitarbeitende ist mit Einstellung arbeitsvertraglich gesondert und auch über sein Ausscheiden aus den Diensten unseres Hauses hinaus zur Verschwiegenheit verpflichtet.

Eine Verletzung der gesetzlich verankerten Verschwiegenheitspflicht stellt nach § 203 Strafgesetzbuch eine strafbare Handlung dar.

Neben dem in vielerlei Hinsicht spezielleren Berufsrecht stellt unser Haus selbstverständlich auch die Einhaltung der Vorschriften der Datenschutzgrundverordnung (DSGVO) sowie des neuen Bundesdatenschutzgesetzes (BDSG neu) sicher. Insbesondere werden sämtliche Daten mit den erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen gem. Art. 32 DSGVO geschützt. Ferner ist jede:r Mitarbeitende mit Einstellung arbeitsvertraglich gesondert und auch über sein Ausscheiden aus den Diensten unseres Hauses hinaus auf die Einhaltung des Datengeheimnisses verpflichtet. Aus diesem Grund sind die Themen Datensicherheit und Datenschutz für uns besonders wichtig und wir trainieren unsere Mitarbeitenden hierzu regelmäßig.

Die PwC Legal AG ist Mitglied des globalen PwC Netzwerks, das aus den einzelnen rechtlich selbständigen und unabhängigen PwC-Gesellschaften besteht. Neben den gesetzlichen Anforderungen aus dem deutschen Berufsrecht und Datenschutzrecht, deren Einhaltung die PwC Legal AG als rechtlich selbständige Gesellschaft in Eigenverantwortung gewährleisten muss, gelten für die PwC Legal AG zusätzlich auch die netzwerkweiten Standards zur Informations- und Datensicherheit. Bei diesen PwC-Netzwerkstandards zur Informations- und Datensicherheit handelt es sich um interne Richtlinien, die über die gesetzlichen Verpflichtungen der jeweiligen PwC-Gesellschaften hinausgehend netzwerkweit ein einheitliches, hohes Niveau der Informations- und Datensicherheit festlegen.

Unsere globale Information Security Policy für das PwC-Netzwerk orientiert sich an den Handlungsempfehlungen nach ISO/IEC 27002. Alle Gesellschaften des PwC-Netzwerks haben sich verpflichtet, die Anforderungen der Information Security Policy einzuhalten. Dies wird regelmäßig durch das Information Security Compliance Team der globalen PwC Risk & Quality Organisation überprüft. Die angewendeten Verfahren und Methoden zur Datensicherheit des Information Security Compliance Teams wurden unabhängig durch die British Standards Institution (BSI) überprüft, um Kompatibilität und Konformität mit ISO/IEC 27001 sicherzustellen. Jährliche Prüfungen erfolgen durch die BSI. Ferner haben wir unseren gesamten IT-Bereich der deutschen PwC Gesellschaften – inklusive aller von diesem angebotenen Diensten – nach ISO/IEC 27001 zertifizieren lassen. Diese Zertifizierung wird im Rahmen jährlicher Audits durch den Zertifizierer DQS bestätigt.

Ein erheblicher Teil des Informations- und Datenaustauschs sowohl innerhalb der PwC Legal AG als auch in der Kommunikation mit Geschäftspartnern und Mandanten erfolgt im E-Mail-Verkehr. Um den ordnungsgemäßen und sicheren Betrieb und Einsatz des E-Mail-Dienstes zu gewährleisten, gelten für alle Mitarbeitenden verbindliche Regeln zum Umgang mit elektronischer Post/E-Mail. Für ein- und ausgehende E-Mails bedeutet dies im Hinblick auf den Datenschutz unter anderem:

Beim Versand personenbezogener Daten sind zwingend die Zulässigkeit und Form der Übermittlung gemäß den Bestimmungen der DSGVO und des BDSG (neu) zum Datenschutz zu beachten. In Zweifelsfällen oder bei Fragen ist Rücksprache mit dem Datenschutzbeauftragten der PwC Legal AG zu halten.

• Der Versand von Unternehmensdaten über private E-Mail-Konten ist nicht gestattet.
• Als Absender und Empfänger von E-Mails mit vertraulichen Informationen obliegt es allen Mitarbeitenden, dafür Sorge zu tragen, dass die Vertraulichkeit und der Datenschutz sowohl bei der Übertragung als auch bei der Verarbeitung und Speicherung auf den IT-Systemen gewahrt bleibt.

Von diesen Grundsätzen weichen wir auch bei der Nutzung moderner Cloud-Technologien nicht ab.

Umfang der Nutzung von Google-Diensten durch die PwC Legal AG

Die PwC Legal AG nutzt Google-Dienste zum Zweck der internen Kommunikation und der Kommunikation mit Mandanten sowie als Plattform zur internen Zusammenarbeit. Zu den von der PwC Legal AG genutzten Cloud-Diensten gehören im Wesentlichen die Anwendungen der Google G-Suite für den E-Mail-Verkehr, die Terminplanung und für Videokonferenzen sowie Anwendungen für die Zusammenarbeit von PwC-Mitarbeitenden (Textverarbeitung, Tabellenkalkulation, Präsentation zur gemeinsamen Bearbeitung) und für die gemeinsame Dateiablage.

Nicht durch die Nutzung von Google-Diensten betroffen ist die Speicherung und Archivierung der Mandantenakten und sonstigen mandatsbezogenen Dokumenten, Unterlagen und Informationen der PwC Legal AG. Es erfolgt kein Transfer solcher Dokumente in Google-Cloud-Dienste, sondern diese bleiben unverändert auf den Systemen und Servern PwC-eigener Rechenzentren in Deutschland gespeichert. Die Nutzung der Google Cloud-Dienste im Rahmen der Mandantenarbeit beschränkt sich auf Kontaktdaten (Name und E-Mail-Adresse) und die E-Mail-Kommunikation mit den Mandanten.

Gewährleistung des gemäß der DSGVO rechtlich vorgeschriebenen Datenschutzniveaus

Bei der Nutzung der Google-Dienste durch die PwC Legal AG ist ein hohes Datenschutzniveau entsprechend der rechtlichen Vorgaben der DSGVO gewährleistet.

Art. 44 DSGVO fordert bei einer Verarbeitung und Speicherung von Daten in Rechenzentren außerhalb von EU-Staaten die Gewährleistung eines angemessenen Datenschutzniveaus. Da nicht in jedem Staat ein mit dem deutschen und EU-Recht vergleichbares Datenschutzniveau gesetzlich festgeschrieben ist, muss gemäß Art. 44 DSGVO bei einem Datentransfer in solche Staaten ein angemessenes Datenschutzniveau sichergestellt sein. Für die Nutzung der Google Cloud-Dienste durch die PwC Legal AG wird ein angemessenes Datenschutzniveau im Sinne des Art. 44 DSGVO dadurch gewährleistet, dass hier gem. Art. 46 Abs. 2 lit c) iVm. Art. 46 Abs. 5 S. 2 DSGVO von der EU-Kommission entwickelten EU-Standardvertragsklauseln (EU Model Clauses) vereinbart wurden. Die EU-Standardvertragsklauseln sind ein anerkanntes Mittel für die vertragliche Sicherstellung eines angemessenen Datenschutzniveaus bei einem Datentransfer außerhalb Europas. Diese beinhalten die Anforderungen des europäischen Datenschutzrechts in Form von Vertragsklauseln und dürfen von den Vertragspartnern nicht ohne vorherige Genehmigung durch die EU-Kommission verändert werden.

Die von Google verwendeten EU Model Clauses können unter dem folgenden Link abgerufen werden: https://cloud.google.com/terms/eu-model-contract-clause.

Für die von Google für die Google Cloud-Plattform und für die Anwendungsprogramme der Google G-Suite verwendeten EU-Standardvertragsklauseln liegt eine sog. Common Opinion der Art.-29-Datenschutzgruppe (Zusammenschluss der europäischen Datenschutzaufsichtsbehörden) vor, die die Konformität mit den Anforderungen des EU-Datenschutzrechts bestätigt. Darüber hinaus wurden vertraglich technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit vereinbart, die den Vorgaben des Art. 32 DSGVO entsprechen. Die Einhaltung der technischen und organisatorischen Maßnahmen ist durch anerkannte Zertifikate nachgewiesen und unterliegt der regelmäßigen Kontrolle der PwC Legal AG. Darüber hinaus sind die besonderen berufsrechtlichen Vertraulichkeitspflichten, denen die PwC Legal AG als Rechtsanwaltsgesellschaft neben dem Datenschutzrecht unterliegt, ebenfalls in den Verträgen mit Google abgebildet. Insbesondere wurden Weisungsrechte vereinbart und strenge Vertraulichkeitspflichten auferlegt.

Hohe IT-Sicherheitsstandards

Der Datentransport wie auch die Datenspeicherung erfolgen in verschlüsselter Form auf Google- Systemen in Google-Rechenzentren. Diese sind global organisiert und zeichnen sich durch hohe Sicherheitsstandards und Nutzung moderner Verschlüsselungstechnologie (z.B. HTTPS/TLS/PFS) aus. Dabei werden unter anderem alle Daten und Informationen in kleine Teilinformationen zerstückelt, zusätzlich verschlüsselt und über die Rechenzentrums-Infrastruktur verteilt gespeichert. Der Zugriff auf Klardaten oder gar Nutzung von Daten durch Google bzw. seiner Systemadministratoren in den jeweiligen Rechenzentren sind vertraglich explizit ausgeschlossen.

Diese und weitere Informationen zur IT Sicherheit finden Sie unter https://cloud.google.com/security/

Google unterhält derzeit Rechenzentren in den Niederlanden, Finnland, Belgien, Irland, Taiwan, Singapur und USA. Das Verzeichnis aller Rechenzentren veröffentlicht und aktualisiert Google auf der Homepage unter https://www.google.com/about/datacenters/inside/locations/index.html. Die Google-Infrastruktur sowie Dienste und Betrieb werden regelmäßig von externen unabhängigen Zertifizierungsstellen auditiert und die hohen IT-Sicherheitsstandards geprüft und durch international anerkannte Zertifikate bestätigt. Google publiziert die ISO-Zertifikate und den SOC 3 Audit Bericht auf seinen Webseiten (https://cloud.google.com/security/compliance) und aktualisiert diese in regelmäßigen Abständen. Zu den wichtigsten für Google vorliegenden Zertifizierungen im Hinblick auf Datensicherheit und Datenschutz zählen die Zertifizierungen nach ISO 27001, ISO 27017 sowie ISO 27018.

Verschlüsselung der Daten

Alle Kommunikation und aller Datenverkehr innerhalb der PwC Google Domäne ist TLS- (in transit) und AES256- (at rest) verschlüsselt. Zudem wird Forward Secrecy unterstützt. Dadurch wird sichergestellt, dass ein Broken Key niemals genutzt werden kann, um zukünftige Kommunikation oder Daten zu entschlüsseln. Der externe Datenverkehr (Mail, Kalendereinträge und Anhänge) mit TLS-fähigen Empfänger-Systemen kann in Absprache mit ihrer IT ebenfalls automatisch verschlüsselt werden.

Löschung der Daten

Google unterstützt die Einhaltung gesetzlicher Anforderung zur Aufbewahrungspflicht systemisch und stellt Werkzeuge und Prozesse zur Verfügung, die sicherstellen, dass Daten und Emails entsprechend den gesetzlichen Vorschriften vorgehalten werden. Nach Ablauf der Aufbewahrungsfrist werden sowohl E-Mails als auch Daten sofort – jedoch spätestens 30 Tage nach Ablauf der Frist – unwiederbringlich gelöscht.