Zum Hauptinhalt springen

Datenschutzhinweise

„Datenschutzerklärung“ und „Informationen über die Verarbeitung von personenbezogenen Daten gemäß Art. 13, 14 DSGVO“

EINLEITUNG

In der nachfolgenden „Datenschutzerklärung“ und in den „Informationen über die Verarbeitung von personenbezogenen Daten gemäß Art. 13, 14 DSGVO“ wird erläutert, welche Daten wir über Sie erfassen, wofür wir diese Daten benötigen und an wen wir diese Daten weitergeben. Darüber hinaus beinhalten sie auch Ihre Rechte in Bezug auf Ihre Daten und die Ansprechpartner, an die Sie sich für weitere Informationen oder Anfragen wenden können. 

Während die „Datenschutzerklärung“ in erster Linie darlegen soll, welche Daten wir über Sie verarbeiten, speichern und schützen, wenn Sie „unsere Website“ sowie „Deloitte-Apps“ (wie jeweils unten definiert) nutzen, sollen die „Informationen über die Verarbeitung von personenbezogenen Daten gemäß Art. 13, 14 DSGVO“ im Wesentlichen die Verarbeitung Ihrer Daten im Rahmen unserer Dienstleistungen für Sie/unsere Kunden und im Rahmen aller sonstigen Aktivitäten, die Teil der Ausübung unserer Geschäftstätigkeit sind, darlegen.

I. DATENSCHUTZERKLÄRUNG

Diese Datenschutzerklärung gilt ausschließlich für die spezifische Website der deloitte.com/de, wofür sich die Deloitte GmbH Wirtschaftsprüfungsgesellschaft mit Sitz in München und die in unserem Eigentum stehenden oder von uns beherrschten Unternehmen („Deloitte“, „wir“, „uns“ oder „unser“) verantwortlich zeichnen, sowie für solche Applikationen („Deloitte-Apps“) und weitere Websites, welche von Deloitte angeboten werden.

Die Website „Deloitte.com“ besteht aus verschiedenen individuellen, globalen, landesspezifischen, regionalen sowie dienstleistungsspezifischen Websites, von denen jede von Deloitte Touche Tohmatsu Limited („DTTL“) oder einem ihrer national eigenständigen Mitgliedsunternehmen oder verbundenen Unternehmen zur Verfügung gestellt wird (zusammen das „Deloitte Netzwerk“). Mehr über DTTL, die Mitgliedsunternehmen von DTTL und ihre verbundenen Unternehmen erfahren Sie unter „Über Deloitte“. 

Wir haben uns verpflichtet, Ihre Privatsphäre zu schützen und Ihre Daten auf eine offene und transparente Weise zu verarbeiten. 

In dieser Datenschutzerklärung wird dargelegt, wie wir Daten über Sie verarbeiten, speichern und schützen, wenn Sie unsere Website und weitere Deloitte-Apps nutzen. Zudem legen wir die Verarbeitung Ihrer Daten dar, wenn wir Dienstleistungen für Sie/unsere Kunden erbringen und bei allen sonstigen Aktivitäten, die Teil der Ausübung unserer Geschäftstätigkeit sind. 

Wenn in dieser Richtlinie von „unsere Website“ oder „diese Website“ die Rede ist, so bezieht sich dies auf die spezifischen Webseiten auf deloitte.com, die in der rechten oberen Ecke dieser Website als „Deloitte Deutschland“ bezeichnet sind sowie auf Webseiten, deren URL mit https://www.deloitte.com/de beginnt. 

Diese Datenschutzerklärung enthält zudem Informationen darüber, wann wir Ihre personenbezogenen Daten mit anderen Mitgliedern des Deloitte Netzwerks und anderen Dritten (zum Beispiel unseren Dienstleistern) teilen. 

Sofern Sie uns Informationen über die Deloitte Webseite oder im Rahmen der Nutzung von Deloitte-Apps zukommen lassen, erklären Sie sich nach Art. 6 Absatz 1 Buchstabe a, 7 DSGVO (Datenschutz-Grundverordnung) einverstanden, dass wir Ihre personenbezogenen Daten im Rahmen der hier niedergelegten Grundsätze verarbeiten dürfen. Dies gilt auch für eine möglicherweise erforderliche Überlassung der personenbezogenen Daten an ausländische Mitgliedsunternehmen von Deloitte Touche Tohmatsu Limited. Bitte beachten Sie in diesem Zusammenhang, dass bestimmte Links (elektronische Verweisungen) auf der deutschen Deloitte Website zu den Websites Dritter oder anderer Mitgliedsunternehmen von Deloitte Touche Tohmatsu Limited führen, die wegen ihrer nationalen Eigenständigkeit und Unabhängigkeit sowie des dort ggfls. abweichenden Rechts nicht dem Inhalt dieser Erklärung zum Schutz der Privat- und Persönlichkeitssphäre unterliegen. Die Deloitte GmbH Wirtschaftsprüfungsgesellschaft übernimmt keine Haftung für Inhalte und/oder die datenschutzrechtliche Behandlung von hinterlassenen Daten auf diesen anderen Websites.

Bitte beachten Sie, dass die anderen länderspezifischen, regionalen und leistungsspezifischen Websites auf deloitte.com von anderen Unternehmen/Einheiten innerhalb des Deloitte Netzwerks zur Verfügung gestellt werden und nicht von uns. Die Bestimmungen dieser Datenschutzerklärung gelten nicht für diese Websites sowie andere Websites, mit denen diese Website möglicherweise verlinkt ist. Wir empfehlen den Besuchern unserer Website, die Datenschutzerklärungen auf jeder dieser anderen Websites zu prüfen, bevor sie personenbezogene Informationen preisgeben.

Hinweise zu den durch uns erhobenen Daten finden Sie in unserem Cookie-Hinweis.

Verarbeitung von über unsere Website erhobenen personenbezogenen Daten

Neben den oben genannten Zwecken im Zusammenhang mit der Ausübung unserer Geschäftstätigkeit können wir Ihre über unsere Website erhobenen personenbezogenen Daten auch verarbeiten: 

  • um unsere Website zu verwalten und zu verbessern,
  • um den Inhalt unserer Website anzupassen, um Ihnen ein individuelles Nutzererlebnis zu bieten und Ihre Aufmerksamkeit auf Informationen zu unseren Produkten und Dienstleistungen zu lenken, die für Sie von Interesse sein können,
  • um alle Anfragen, die Sie über unsere Website an uns richten, zu verwalten und zu beantworten,
  • zu den Zwecken, zu denen der Besucher im Sinne von Art. 6 Absatz 1 Buchstabe a, 7 DSGVO freiwillig zugestimmt hat, wie etwa im Rahmen einer Bewerbung oder bei einer Registrierung zum Erhalt von allgemeinen oder exklusiven Informationen, sowie zu Zwecken, mit denen registrierte Benutzer nach den Umständen der Webseitenbenutzung rechnen konnten. 

Sofern Sie als registrierter Besucher die angebotenen Informationen bzw. sonstige Bereiche nicht mehr nutzen wollen, können Sie jederzeit einer weiteren Verarbeitung Ihrer personenbezogenen Daten für die Zukunft widersprechen. Bitte wenden Sie sich hierzu an die Deloitte GmbH Wirtschaftsprüfungsgesellschaft als verantwortliche Stelle i.S.d. DSGVO, Business Development, Kurfürstendamm 23, 10719 Berlin, oder kontakt@deloitte.de. Für den Widerspruch entstehen keine anderen als die Übermittlungskosten nach den Basistarifen.

Verarbeitung personenbezogener Daten zur Erbringung von Dienstleistungen gegenüber unseren Kunden

Wir verarbeiten Ihre personenbezogenen Daten zum Zwecke der Durchführung individueller Vertragsbeziehungen, zur Erbringung von Dienstleistungen für Sie/unseren Kunden. In diesem Rahmen können wir Ihre personenbezogenen Daten im Laufe eines Schriftwechsels zu den Dienstleistungen verarbeiten. Ein solcher Schriftwechsel kann mit Ihnen, unserem Kunden, sonstigen Mitgliedern des Deloitte Netzwerks, unseren Dienstleistern oder zuständigen Behörden stattfinden. Ebenso können wir Ihre personenbezogenen Daten zur Durchführung erforderlicher Vorab-Prüfungen im Zusammenhang mit unseren Dienstleistungen (z.B. regulatorisch geforderte Conflict- oder „Know-your-Client“- Checks) oder im Rahmen der Besprechung möglicher von uns zu erbringender Dienstleistungen verarbeiten.

Da wir unseren Kunden ein großes Angebot an Dienstleistungen anbieten, variiert auch die Art und Weise, wie wir personenbezogene Daten in Bezug auf unsere Dienstleistungen verarbeiten. Beispielsweise können wir personenbezogene Daten:

  • über die Mitarbeiter eines Kunden verarbeiten, um diese Mitarbeiter bei ihren steuerlichen Angelegenheiten im Falle einer Arbeit im Ausland zu unterstützen,
  • über die Mitarbeiter und Vertragspartner eines Kunden während der Durchführung einer Prüfung (oder einer ähnlichen Aktivität) für einen Kunden verarbeiten,
  • über einen Kunden verarbeiten, um ihn bei der Erstellung einer Steuererklärung zu unterstützen.

Verarbeitung personenbezogener Daten für sonstige Aktivitäten, die Teil der Ausübung unserer Geschäftstätigkeit sind

Wir können Ihre personenbezogenen Daten auch im Zusammenhang mit folgendem, mit dem ursprünglichen Zweck zusammenhängendem Zweck verarbeiten (je nach Erforderlichkeit und berufsrechtlicher Zulässigkeit im Einzelfall):

  • geltende gesetzliche oder aufsichtsrechtliche Verpflichtungen,
  • Anfragen und Mitteilungen von zuständigen Behörden im Rahmen einschlägiger berufsrechtlicher Verschwiegenheitspflichten,
  • Zwecke der Rechnungslegung, Rechnungsstellung und Risikoanalyse,
  • Zwecke des Kundenverhältnisses, unter anderem: (i) Zusendungen von Thought Leadership oder Angaben zu unseren Produkten und Dienstleistungen, von denen wir glauben, dass sie für Sie von Interesse sind; (ii) Kontaktaufnahme mit Ihnen zur Einholung von Feedback zu unseren Dienstleistungen; und (iii) Kontaktaufnahme mit Ihnen für sonstige Markt- oder Forschungszwecke, soweit hierfür die besonderen gesetzlichen Voraussetzungen gegeben sind; 
  • Dienstleistungen, die wir von unseren Fachberatern wie z. B. Anwälten, Wirtschaftsprüfern und Consultants erhalten,
  • administrative Zwecke im Zusammenhang mit der konkreten Geschäftstätigkeit, 
  • Schutz unserer Rechte und der unserer Kunden. 

Wir verarbeiten Ihre personenbezogenen Daten für die oben genannten Zwecke auf Basis folgender Rechtsgrundlagen: (a) aufgrund unseres legitimen Interesses an der effektiven Erbringung unserer Dienstleistungen gegenüber Ihnen und unseren Kunden; (b) aufgrund unseres legitimen Interesses an der effektiven und rechtmäßigen Ausübung unserer Geschäftstätigkeit, sofern Ihre Interessen nicht gegenüber diesem Interesse überwiegen; (c) aufgrund der für uns geltenden gesetzlichen und aufsichtsrechtlichen Pflichten, wie z. B. der Führung von Aufzeichnungen zu Steuerzwecken; (d) weil die Daten zur Erbringung unserer Dienstleistungen gegenüber Ihnen/unserem Kunden erforderlich sind. 

Soweit wir sensible personenbezogene Daten in Bezug auf Sie für einen der oben genannten Zwecke verarbeiten, tun wir dies entweder weil: (i) Sie uns Ihre ausdrückliche Einwilligung zur Verarbeitung dieser Daten erteilt haben; (ii) wir gesetzlich zur Verarbeitung dieser Daten verpflichtet sind, um sicherzustellen, dass wir unseren „Know your Client-“ und „Anti-Geldwäsche“-Verpflichtungen nachkommen (oder sonstigen für uns geltenden gesetzlichen Pflichten); (iii) die Verarbeitung zur Erfüllung unserer arbeits-, sozialversicherungs- oder sozialschutzrechtlichen Pflichten erforderlich ist; (iv) die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist oder (v) Sie die Daten öffentlich gemacht haben.

Sofern wir gesetzlich verpflichtet sind, Ihre ausdrückliche Einwilligung zu erlangen, um Ihnen bestimmte Werbematerialien anzubieten, werden wir Ihnen diese Materialien nur dann anbieten, wenn wir eine solche Einwilligung von Ihnen erhalten haben. Wenn Sie keine weiteren Werbematerialien mehr von uns erhalten möchten, können Sie die Abmeldefunktion in der Mitteilung anklicken oder eine E-Mail an kontakt@deloitte.de schicken und der Verarbeitung Ihrer personenbezogenen Daten für diese Zwecke jederzeit ohne Angabe von Gründen widersprechen. Für den Widerspruch entstehen keine anderen als die Übermittlungskosten nach den Basistarifen. 

Im Zusammenhang mit einem oder mehreren der im Abschnitt „Wie werden Ihre Daten von uns verarbeitet?“ dargestellten Zwecke können wir Einzelheiten über Sie an folgende Personen weitergeben: andere Mitglieder des Deloitte Netzwerks; Dritte, die für uns und/oder das Deloitte Netzwerk Dienstleistungen erbringen; zuständige Behörden (einschließlich Gerichten und uns oder andere Mitglieder des Deloitte Netzwerks beaufsichtigenden Behörden); Ihren Arbeitgeber und/oder dessen Berater; Ihre Berater; Organisationen, die uns bei der Identifizierung von Betrugsfällen unterstützen sowie andere Dritte, die berechtigterweise aus einem oder mehreren der im Abschnitt „Wie werden Ihre Daten von uns verarbeitet?“ dargestellten Zwecke Zugriff auf auf Sie bezogene personenbezogene Daten verlangen. In jedem Fall erfolgt eine Weitergabe nur dann, wenn dies auch unter Berücksichtigung einschlägiger berufsrechtlicher Verschwiegenheitspflichten zulässig ist.

Unsere Website hostet unterschiedliche Blogs, Foren, Wikis und andere Social Media-Applikationen oder -Dienstleistungen, die es Ihnen ermöglichen, Inhalte mit anderen Nutzern zu teilen (zusammengefasst „Social Media-Applikationen“). Seien Sie sich bei der Nutzung dieser Social- Media-Applikationen bitte jedoch stets bewusst, dass die über diesen Informationskanal verbreiteten Informationen (auch) von anderen Nutzern der Anwendung gelesen, erhoben, gespeichert und/oder genutzt werden können. Wir haben wenig oder keine Kontrolle über diese anderen Nutzer und können daher nicht garantieren, dass alle von Ihnen in den Social Media-Applikationen beigetragenen Informationen in Übereinstimmung mit dieser Datenschutzerklärung gehandhabt werden. Für diese Personen und den Umgang dieser Personen mit Ihren (persönlichen) Daten übernehmen wir deshalb keine Verantwortung.

Medium.com ist eine Publishing-Plattform auf der jeder registrierte Nutzer eigene Beiträge verfassen und veröffentlichen kann, ohne dabei einen eigenen Blog unterhalten zu müssen. Wir nutzen www.medium.com, um Artikel über Technologie und Innovation zu veröffentlichen.

Bitte beachten Sie, dass einige der oben genannten Empfänger Ihrer personenbezogenen Daten in Ländern außerhalb der Europäischen Union ansässig sein können, deren Datenschutzgesetze möglicherweise weniger umfassend sind. In diesen Fällen stellen wir sicher, dass angemessene Sicherheitsvorkehrungen getroffen wurden, um Ihre personenbezogenen Daten zu schützen, die mit unseren gesetzlichen Pflichten übereinstimmen. Wenn der Empfänger kein Mitglied des Deloitte Netzwerks ist, kann eine angemessene Sicherheitsvorkehrung eine Datenübermittlungsvereinbarung mit dem Empfänger basierend auf von der Europäischen Kommission anerkannten Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an Drittländer sein. 

Weitere Einzelheiten zu den oben beschriebenen Übermittlungen und den von Deloitte implementierten angemessenen Sicherheitsvorkehrungen in Bezug auf diese Übermittlungen sind auch bei uns erhältlich. Bitte wenden Sie sich dazu an privacy@deloitte.de. 

Wir müssen Ihre personenbezogenen Daten möglicherweise auch weitergeben, wenn wir dazu per Gesetz, durch eine Aufsichtsbehörde oder im Rahmen eines rechtlichen Verfahrens verpflichtet sind. 

Wir sind berechtigt, nicht-personenbezogene, anonymisierte und zusammengefasste Daten mit Dritten für verschiedene Zwecke, u. a. Datenanalyse, Forschung, Angebotserstellung, Thought Leadership und Werbezwecke, zu teilen.

Bitte beachten Sie Folgendes, falls Sie Daten an andere Mitgliedsunternehmen von Deloitte Touche Tohmatsu Limited übermitteln, dass die einzelnen Mitgliedsunternehmen national eigenständig und unabhängig sind, in der Regel einem von der DSGVO abweichenden Recht unterliegen und gegebenenfalls eine hiervon abweichende Erklärung zum Schutz der Privat- und Persönlichkeitssphäre abgegeben haben. Wir möchten Sie deshalb insbesondere vor einer von Ihnen angestrebten Weiterleitung Ihrer personenbezogenen Daten an bestimmte andere Mitgliedsunternehmen von Deloitte Touche Tohmatsu Limited bitten, sich die jeweiligen Erklärungen zum Schutz der Privat- und Persönlichkeitssphäre (Privacy Statements) durchzulesen. Dies gilt auch, sofern Sie uns beauftragen, Ihre personenbezogenen Daten an diese weiterzuleiten. Die Deloitte GmbH Wirtschaftsprüfungsgesellschaft übernimmt keine Haftung für Inhalte und/oder die datenschutzrechtliche Behandlung von Daten, die Sie bzw. wir auf Ihren Wunsch hin auf anderen Webseiten hinterlassen.

Die Deloitte GmbH Wirtschaftsprüfungsgesellschaft verwendet zur Sicherung eingegebener Besucherdaten technologisch allgemein anerkannte Sicherheitsstandards, um Besucherdaten auf der deutschen Webseite vor Missbrauch, Verlust und Verfälschung zu schützen. Zudem sind nur bestimmte Mitarbeiter von Deloitte zu den als persönlich identifizierbaren Besucherdaten zugangsberechtigt. Diese Mitarbeiter stellen im Rahmen des Überlassungszweckes sicher, dass die Vertraulichkeit dieser sensiblen Daten gewahrt wird. Dieser Grundsatz gilt nach den entsprechend abgegebenen Vertraulichkeitserklärungen der anderen teilnehmenden Gesellschaften (inklusive bestimmter Mitgliedsunternehmen von Deloitte Touche Tohmatsu Limited) auch für deren Webseite und damit auch für von diesen betrauten Mitarbeitern, Vertretern und verbundenen Unternehmen, an die Besucherdaten im Rahmen des Überlassungszweckes weitergegeben werden.

Alle Besucher unserer Websites seien auch darauf hingewiesen, dass Links (elektronische "Verweisungen") auf der deutschen Webseite zu anderen Webseiten und Informationen Dritter führen. Sofern nicht ausdrücklich oben zugesichert, übernimmt Deloitte GmbH Wirtschaftsprüfungsgesellschaft für Inhalte auf den Webseiten Dritter keinerlei Verantwortung, auch nicht bezogen auf die Einhaltung bestimmter Sicherheitsstandards oder die Einhaltung der Datenschutz-Grundverordnung. 

Ungeachtet der vorstehenden Ausführungen zu den Besucherdaten auf den deutschen Websites verwenden wir verschiedene physikalische, elektronische und betriebliche Maßnahmen, um sicherzustellen, dass Ihre personenbezogenen Daten allgemein sicher, zutreffend und auf dem aktuellen Stand sind. Zu diesen Maßnahmen gehören u. a.: 

  • Ausbildung und Schulungen der entsprechenden Mitarbeiter, um sicherzustellen, dass sie sich beim Umgang mit personenbezogenen Daten der Datenschutzpflichten bewusst sind,
  • administrative und technische Kontrollen zur Einschränkung des Zugriffs auf personenbezogene Daten auf Personen, die davon Kenntnis haben müssen („Need to Know“-Prinzip),
  • technologische Sicherheitsmaßnahmen, einschließlich Firewalls, Verschlüsselungen und Anti-Viren-Software,
  • physikalische Sicherheitsmaßnahmen, wie Sicherheitsausweise für Mitarbeiter zum Zugang zu unseren Räumlichkeiten. 

Obwohl wir angemessene Sicherheitsmaßnahmen anwenden, sobald wir Ihre personenbezogenen Daten empfangen haben, ist die Übertragung von Daten über das Internet (einschließlich per E-Mail) niemals vollkommen sicher. Wir sind bestrebt und setzen alles daran, personenbezogene Daten zu schützen, können die Sicherheit der an oder von uns übermittelten Daten jedoch nicht garantieren. Bitte beachten Sie, dass wir über ein ISO 27001 zertifiziertes Informationssicherheitsmanagementsystem verfügen, welches den optimalen Schutz aller bei uns verarbeiteten Informationen zum Ziel hat.

Wir speichern Ihre personenbezogenen Daten auf unseren Systemen für den längsten der folgenden Zeiträume: (i) so lange, wie es für die jeweilige Aktivität oder die jeweiligen Dienstleistungen erforderlich ist; (ii) für einen gesetzlich vorgeschriebenen Aufbewahrungszeitraum; (iii) bis zum Ende des Zeitraums, in dem ein Rechtsstreit oder Ermittlungen hinsichtlich der Dienstleistungen aufkommen könnte/n

Im Einzelnen speichert Deloitte je nach Kategorie der Daten Ihre personenbezogenen Daten im Einklang mit den jeweils anwendbaren gesetzlichen Aufbewahrungspflichten im Wesentlichen wie folgt: 

  • Handakten Wirtschaftsprüfer: 10 Jahre ab Ende des Kalenderjahres der Beendigung des Auftrages,
  • Handakten Rechtsanwälte: 6 Jahre ab Ende des Kalenderjahres der Beendigung des Auftrages,
  • Buchungsbelege: 10 Jahre,
  • Empfangene Handels- oder Geschäftsbriefe und Wiedergaben der abgesandten Handels- oder Geschäftsbriefe sowie sonstige besteuerungsrelevante Unterlagen: 6 Jahre.

Sie haben verschiedene Rechte im Zusammenhang mit Ihren personenbezogenen Daten. Insbesondere haben Sie das Recht: 

  • eine Aktualisierung Ihrer von uns aufbewahrten personenbezogenen Daten oder, falls Sie denken, diese sind unzutreffend oder unvollständig, eine Korrektur dieser Daten zu fordern,
  • die Löschung Ihrer von uns aufbewahrten personenbezogenen Daten oder eine Beschränkung der Art und Weise, wie wir diese Daten verarbeiten, zu fordern, soweit dem nicht gesetzliche Pflichten entgegenstehen,
  • Ihre Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten durch uns jederzeit kostenfrei ohne Angabe von Gründen unter kontakt@deloitte.de zu widerrufen (sofern eine solche Verarbeitung auf Grundlage einer Einwilligung erfolgt),
  • eine Kopie der Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und sie einer anderen Partei zu übermitteln (sofern die Verarbeitung auf Grundlage einer Einwilligung oder eines Vertrags erfolgt),
  • der Verarbeitung Ihrer personenbezogenen Daten durch uns zu widersprechen. 

Zur Ausübung Ihrer Rechte oder bei sonstigen Fragen dazu, wie Ihre personenbezogenen Daten von uns verarbeitet werden, senden Sie bitte eine E-Mail an kontakt@deloitte.de oder schreiben Sie uns unter folgender Adresse:

Deloitte GmbH Wirtschaftsprüfungsgesellschaft 
Business Development
Kurfürstendamm 23
10719 Berlin

Wenn Sie mit der Art und Weise, wie Ihre personenbezogenen Daten von uns bearbeitet werden, oder einem Anliegen oder einer Anfrage zum Datenschutz, das/die Sie an uns gerichtet haben, nicht einverstanden sind, kontaktieren Sie bitte privacy@deloitte.de . Sie sind zudem berechtigt, sich an die für Deloitte zuständige Datenschutzaufsicht zu wenden. Eine Übersicht über die zuständigen Aufsichtsbehörden finden Sie in den Unternehmensangaben von Deloitte und Deloitte Legal.

Wir können diese Datenschutzerklärung bei Bedarf ändern oder ergänzen. 

Um Sie darüber in Kenntnis zu setzen, wann wir Änderungen an dieser Datenschutzerklärung vornehmen, werden wir das Überarbeitungsdatum am Seitenanfang anpassen. Die neue geänderte oder ergänzte Datenschutzerklärung gilt ab diesem Überarbeitungsdatum. Daher empfehlen wir Ihnen, diese Erklärung regelmäßig zu prüfen, um sich darüber zu informieren, wie wir Ihre Daten verarbeiten und schützen. 

Bitte beachten Sie, dass die Deloitte Websites und die Deloitte Apps einschließlich dieser Datenschutzhinweise verfügbar gemacht wurden, um allgemeine Informationen und Hinweise zu bestimmten Themen wiederzugeben, jedoch nicht, um einzelne Themen vertieft zu behandeln. Die Deloitte Websites und Deloitte Apps sind nicht dafür konzipiert, einen verbindlichen Rat (auch nicht zu den Themen Bilanzierung, Steuern, Recht, Investitionen), eine sonstige Dienst- oder Werkleistung oder etwa eine Antwort auf eine damit im Zusammenhang stehende Frage zu geben. Dementsprechend können Sie sich für eine Entscheidung oder Maßnahme nicht auf Inhalte der Deloitte Websites oder Deloitte Apps stützen und sollten sich deshalb bei Fragen Ihrer persönlichen Finanzen und Geschäfte stets an einen entsprechend fachlich qualifizierten Berater wenden.

Wenn Sie Fragen zu dieser Erklärung zum Schutz der Privat- und Persönlichkeitssphäre haben oder meinen, bestimmte Bedenken hiergegen zu haben, die besonders berücksichtigt werden sollten, können Sie Ihre Fragen und Anregungen gerne und unmittelbar über kontakt@deloitte.de an uns richten.

Diese Website verwendet Cookies, um das Website-Erlebnis für den Nutzer zu optimieren und die einwandfreie Funktion der Website zu gewährleisten. Datenschutzinformationen hierzu finden Sie in unserem Cookiehinweis.

II. INFORMATIONEN ÜBER DIE VERARBEITUNG VON PERSONENBEZOGENEN DATEN GEMÄSS ART. 13, 14 DSGVO

Bitte stellen Sie sicher, dass Sie sich zusätzlich zu den nachfolgenden Informationen auch mit der vorstehenden Datenschutzerklärung von Deloitte vertraut machen. Bei Verständnisfragen oder sonstigen Rückfragen kontaktieren Sie uns gerne unter privacy@deloitte.de.  

Die Deloitte GmbH Wirtschaftsprüfungsgesellschaft erbringt Dienstleistungen in den Bereichen Wirtschaftsprüfung, Risk Advisory, Steuerberatung, Financial Advisory und Consulting für Unternehmen und Institutionen aus allen Wirtschaftszweigen; Rechtsberatung wird in Deutschland von der Deloitte Legal Rechtsanwaltsgesellschaft mbH („Deloitte Legal“) erbracht (nachfolgend gemeinsam „Deloitte“/“wir“). Im Rahmen der Beauftragung zur Erbringung vorgenannter Dienstleistungen verarbeitet Deloitte je nach Einzelauftrag personenbezogenen Daten. Diese Informationen ergänzen die vorstehende Datenschutzerklärung und stellen eine konkretisierte Beschreibung dessen dar, wie Deloitte Ihre personenbezogenen Daten im Rahmen der Erbringung der beauftragten Dienstleistung verarbeitet.

Bitte beachten Sie, dass sich diese Informationen ausschließlich auf personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO beziehen, d.h. nicht sämtliche Daten und Informationen umfassen, die Deloitte im Zusammenhang mit dem jeweils zugrundeliegenden Mandatsverhältnis erhält, sondern im Wesentlichen nur solche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Ungeachtet dessen gelten die berufsrechtlichen Geheimhaltungs- und Verschwiegenheitspflichten, denen Deloitte und die bei Deloitte beschäftigten Mitarbeiter nach dem Berufsrecht der Steuerberater, Wirtschaftsprüfer und Rechtsanwälte unterliegen, soweit anwendbar, vollumfänglich für alle Daten und Informationen, die wir von Ihnen im Rahmen des Mandatsverhältnisses erhalten, unabhängig davon, ob es sich dabei um personenbezogene Daten im Sinne der DSGVO handelt. 

Verantwortlicher im Sinne der DSGVO

Verantwortlicher im Sinne des Art.4 Abs. 7 EU Datenschutzgrundverordnung (DSGVO) für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit allen Leistungen, die nicht von Deloitte Legal erbracht werden, ist die:

Deloitte GmbH Wirtschaftsprüfungsgesellschaft

Rosenheimer Platz 4

81669 München

Verantwortlicher im Sinne des Art.4 Abs. 7 EU Datenschutzgrundverordnung (DSGVO) für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit allen Leistungen, welche die Deloitte Legal erbringt, ist die:

Deloitte Legal Rechtsanwaltsgesellschaft mbH
Erna-Scheffler-Straße 2
40476 Düsseldorf

Ist Auftragnehmer eines Vertrages zur Durchführung unserer Leistungen eine andere deutsche Deloitte Gesellschaft, agiert diese in dem Fall als verantwortliche Stelle. Eine Übersicht der deutschen Deloitte Gesellschaften finden Sie hier

Datenschutzbeauftragter & Datenschutzaufsicht

Alle deutschen Deloitte Gesellschaften haben Datenschutzbeauftragte bestellt. Sie erreichen den jeweiligen Datenschutzbeauftragten unter privacy@deloitte.de. Die jeweils zuständigen Aufsichtsbehörden finden Sie hier.

Zwecke der Verarbeitung und Rechtsgrundlage für die Verarbeitung

Deloitte verarbeitet Ihre personenbezogenen Daten zum Zwecke der Erfüllung unserer (vor-) vertraglichen Verpflichtung gegenüber unseren Kunden. In diesem Zusammenhang verarbeiten wir insbesondere Ihre Kontaktdaten wie Name, Anschrift, Telefonnummer und E-Mail-Adresse  zur Durchführung von vorvertraglichen Maßnahmen (wie interner vorvertraglicher Compliance-Prüfungen oder im Rahmen der Kunden/-Vertragsanlage) sowie zur Durchführung unserer jeweiligen vertraglichen Leistungspflichten einschließlich der administrativen Durchführung und Abrechnung des jeweiligen Auftrags auf der Grundlage von Art. 6 Abs. 1 lit. b) DSGVO. Zum Management und der Durchführung von Auftragsanfragen/Aufträgen nutzt Deloitte IT-Systeme zur Verwaltung und Speicherung Ihrer personenbezogenen Daten, wobei jedoch keine automatisierte Entscheidungsfindung und kein Profiling stattfindet. 

Je nach Kategorie der Dokumente speichert Deloitte personenbezogenen Daten zur Aktenführung/Dokumentation und zu Archivierungszwecken im Einklang mit den einschlägigen gesetzlichen Vorschriften für einen unterschiedlich langen Zeitraum:

  • Handakten Wirtschaftsprüfer: 10 Jahre ab Ende des Kalenderjahres der Beendigung des Auftrages
  • Handakten Rechtsanwälte: 6 Jahre ab Ende des Kalenderjahres der Beendigung des Auftrages
  • Buchungsbelege: 10 Jahre
  • Empfangene Handels- oder Geschäftsbriefe und Wiedergaben der abgesandten Handels- oder Geschäftsbriefe sowie sonstige besteuerungsrelevante Unterlagen: 6 Jahre

Im Regelfall erhält Deloitte die erforderlichen personenbezogenen Daten von den Kunden. Insofern besteht für Deloitte gemäß Art. 6 Abs. 1 lit. f) DSGVO ein berechtigtes Interesse an der Verarbeitung dieser personenbezogenen Daten, da Deloitte aus der zugrundeliegenden Auftragsvereinbarung zur Durchführung der beauftragten Dienstleistung verpflichtet ist. In diesem Zusammenhang ist es für Deloitte unerlässlich, etwaige personenbezogene Daten der Kontaktpersonen und Ansprechpartner unseres Kunden (auch bereits im Rahmen der Angebotserstellung) zu verarbeiten.

Sofern Sie selbst Deloitte zur Durchführung bestimmter Dienstleistungen beauftragt haben, werden über Ihre Kontaktdaten hinaus solche weiteren personenbezogenen Daten von Ihnen im Rahmen der Auftragsbearbeitung verarbeitet, soweit diese für die Erbringung der mit Ihnen vereinbarten Dienstleistung erforderlich sind und Sie uns diese übermittelt haben. Insofern ist die Verarbeitung Ihrer personenbezogenen Daten für die Erfüllung des zwischen Ihnen und Deloitte geschlossenen Auftrags erforderlich und gemäß Art. 6 Abs. 1 lit. b) DSGVO gerechtfertigt.

Bitte beachten Sie, dass die Allgemeinen Auftragsbedingungen von Deloitte in der Regel eine Mitwirkungspflicht des jeweiligen Kunden vorsehen, Deloitte alle für die Durchführung des Auftrags erforderlichen Unterlagen und Informationen zu übermitteln. Insofern ist die Bearbeitung des jeweiligen Auftrags und die damit verbundene Erfüllung der vertraglich vereinbarten Dienstleistung durch Deloitte nicht oder nur noch eingeschränkt möglich, wenn und soweit die notwendigen Informationen nicht bereitgestellt werden.

Da Deloitte gesetzlich zu einer ordnungsgemäßen Aktenführung, umfangreichen Dokumentation seiner Mandate und Aufträge (auch über den Abschluss eines Auftrags hinaus) sowie zur Einhaltung weiterer Aufbewahrungs- und Dokumentationspflichten (u.a. aufgrund von berufsrechtlichen, buchhalterischen oder handels-und gesellschaftsrechtlichen Vorgaben) verpflichtet ist, verarbeitet Deloitte Ihre personenbezogenen Daten im Rahmen von zu dokumentierenden Unterlagen, Arbeitsergebnissen oder zugehöriger kundenbezogener Korrespondenz zudem zum Zwecke der Aktenführung, der Dokumentation sowie der Archivierung sowohl in Form von Papierakten als auch im Rahmen von hierzu eingesetzten IT-Systemen auf der Grundlage von Art. 6 Abs. 1 lit. c) DSGVO zur Erfüllung unserer vorgenannten gesetzlichen Pflichten. 

Ungeachtet der vorstehenden Zwecke verarbeitet Deloitte im Rahmen des gesetzlich Zulässigen Ihre Kontaktdaten (insbesondere Name, Anschrift, E-Mail-Adresse) darüber hinaus zu Marketing- und Webezwecken, d.h. bspw. um Ihnen Informationen zu unseren weiteren -Angeboten oder Veranstaltungen zukommen zu lassen. Dies erfolgt auf der Grundlage von Einwilligungen und/oder eines berechtigten wirtschaftlichen Interesses von Deloitte Sinne des Art. 6 Abs. 1 lit. f), ihre Kunden über weitere eigene Angebote und Veranstaltungen zu informieren und somit eine langfristige Kundenbeziehung aufbauen und aufrechterhalten zu können. 

Schließlich verarbeitet Deloitte Ihre Kontaktdaten auch zur Pflege unserer Geschäftskontakte, wenn wir diese im Rahmen einer geschäftlichen Veranstaltung, im Rahmen eines geschäftlichen Termins (bspw. durch Austausch von Visitenkarten) oder im Rahmen eines Auftrags erhalten haben, und übertragen diese in das von uns genutzte CRM-System (Customer-Relationship-Management-System).

Da Deloitte ein berechtigtes wirtschaftliches Interesse daran hat, im Rahmen des Geschäftsverkehrs entstandene Kontakte auch über den Erstkontakt hinaus zu pflegen, zum Aufbau einer Geschäftsbeziehung zu nutzen und hierfür mit den Betroffenen in Kontakt zu bleiben, erfolgt die vorgenannte Verarbeitung Ihrer personenbezogenen Daten auf der Grundlage von Art. 6 Abs. 1 lit. f) DSGVO.

Kategorien von Datenempfängern und Übermittlung in Drittländer

Im Zusammenhang mit der Durchführung der oben genannten Verarbeitung können personenbezogene Daten, wie nachfolgend konkretisiert, ggf. auch von Dritten empfangen werden. So können Ihre personenbezogenen Daten innerhalb und außerhalb der EU/ des Europäischen Wirtschaftsraums (EWR), gespeichert werden. Ein Datentransfer kann sowohl in das europäische als auch das außereuropäische Ausland erfolgen, dabei kann die Übermittlung der Daten temporär sein und muss nicht zwingend zu einer Speicherung führen.

An andere Deloitte-Mitgliedsunternehmen1 für die Zusammenarbeit bei der Erbringung unserer Dienstleistungen

Soweit es für die Erbringung der Dienstleistung erforderlich ist, d.h. im Falle eines Auslandseinsatzes oder wenn die Expertise eines ausländischen Kollegen benötigt wird, arbeitet Deloitte mit anderen Unternehmen aus dem weltweiten Deloitte-Netzwerk zusammen. Erfolgt eine solche Übermittlung an eine Netzwerkgesellschaft außerhalb der EU/ des EWR, haben die Mitgliedsunternehmen des Deloitte-Netzwerks eine interne Datenschutzvereinbarung abgeschlossen, die die EU-Standarddatenschutzklauseln der EU-Kommission im Sinne von Art. 46 Abs. 2 lit c) DSGVO enthält. Diese Vereinbarung erfordert ein einheitliches Datenschutzniveau in allen Deloitte-Gesellschaften weltweit. Es ermöglicht die globale Datenübermittlungen in Übereinstimmung mit dem geltenden europäischen Datenschutzrecht.

An interne IT-Dienstleister von Deloitte und externe IT-Dienstleister innerhalb der EU/des EWR

Deloitte nutzt im Rahmen seiner Tätigkeit in Einzelfällen weitere in- oder ausländischer Deloitte-Netzwerkgesellschaften. Diese IT-Dienstleister können interne oder externe Dritter sein, die Dienstleistungen für den Betrieb, die Wartung und Pflege der von den Deloitte-Netzwerkgesellschaften genutzten IT-Systeme und Anwendungen erbringen. Sowohl interne als auch externe IT-Dienstleister arbeiten weisungsgebunden.

An Deloittes interne IT-Dienstleister und externe IT-Dienstleister außerhalb der EU/des EWR

Soweit der Zugriff durch einen internen IT-Dienstleister außerhalb der EU/des EWR erfolgt, ist ein angemessenes Datenschutzniveau durch interne Datenschutzvereinbarung gewährleistet. Diese enthalten die EU-Standarddatenschutzklauseln der EU-Kommission im Sinne von Art. 46 Abs. 2 lit c) DSGVO.

Bei der Beauftragung von externen IT-Dienstleistern außerhalb der EU/des EWR wird ein angemessenes Datenschutzniveau durch die Verwendung von Standarddatenschutzklauseln (SCC) der Europäischen Kommission im Sinne von Sinne von Art. 46 (2) (c) GDPR gewährleistet.

Je nach Empfängerland wird bei einer Datenübermittlungen zusätzlich ein Transfer Impact Assessments durchgeführt, um die rechtlichen und praktischen Auswirkungen im Empfängerland zu bewerten. Diese Bewertung umfasst eine Prüfung der lokalen Gesetze und Praktiken, um festzustellen, ob zusätzliche Schutzmaßnahmen erforderlich sind. 

An Behörden, Gerichte oder andere Stellen

Im Zusammenhang mit der Durchführung unserer Leistungen kann es zudem erforderlich sein, Informationen, Arbeitsergebnisse und Unterlagen an Behörden, Gerichte oder andere öffentliche oder private Stellen (im Falle eines Auslandsbezugs auch im Ausland) zu übermitteln. Gleiches gilt für die Fälle, in denen Deloitte einer gesetzlichen, behördlichen oder gerichtlichen Anordnung zur Herausgabe/Offenlegung von personenbezogenen Daten verpflichtet ist. Dies erfolgt nur dann, wenn dem keine berufsrechtlichen Verschwiegenheitspflichten entgegenstehen.

Ihre Rechte im Zusammenhang mit der Datenverarbeitung

Die DSGVO räumt Betroffenen im Wesentlichen die nachfolgenden Rechte ein, welche Sie jederzeit durch Kontaktaufnahme mit dem in diesen Informationen genannten Datenschutzbeauftragten unter privacy@deloitte.de bzw. kontakt@deloitte.de geltend machen können.

Sie können von Deloitte grundsätzlich jederzeit Auskunft darüber verlangen, ob und welche personenbezogenen Daten über Sie bei Deloitte wie verarbeitet werden bzw. gespeichert sind. Bitte beachten Sie, dass Ihr Recht auf Auskunft insoweit eingeschränkt sein kann, als eine solche Auskunft im Widerspruch zum Berufsgeheimnis stehen und insofern geheimhaltungsbedürftige Informationen offenbart würden.

Neben Ihrem Recht auf Auskunft können Sie jederzeit die Berichtigung Ihrer Daten verlangen. Hinzu kommt ein Recht auf Löschung Ihrer Daten, wenn und soweit die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt werden oder, wenn die Verarbeitung auf Ihrer Einwilligung beruht, Sie Ihre Einwilligung aber widerrufen haben. Das vorgenannte Recht auf Löschung Ihrer Daten entfällt, sofern Ihre Daten aufgrund einer gesetzlichen Pflicht nicht gelöscht werden dürfen oder aufgrund einer gesetzlichen Pflicht verarbeitet werden müssen oder eine Datenverarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. 

Darüber hinaus haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten von Deloitte zu verlangen. 

Hinzu kommt ein Recht auf Datenübertragbarkeit, d.h. Sie können verlangen, von Deloitte die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und/oder dass diese Daten an einen anderen Verantwortlichen übermittelt werden. Bitte beachten Sie, dass dies nicht gilt, sofern Sie uns die Daten auf der Grundlage einer Einwilligung oder aufgrund eines mit Ihnen abgeschlossenen Vertrages zur Verfügung gestellt haben oder die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Sofern Deloitte Ihre personenbezogenen Daten auf der Grundlage von Art. 6 Abs. 1 lit. f) DSGVO verarbeitet (z.B. wenn Ihr Arbeitgeber als Kunde von Deloitte uns Ihre personenbezogenen Daten als Ansprechpartner in Ihrem Unternehmen übermittelt hat, oder wenn wir Ihre Kontaktdaten nutzen, um Ihnen Informationen über Angebote und Veranstaltungen von Deloitte zuzusenden), können Sie jederzeit Widerspruch gegen diese Verarbeitung einlegen.

Beschwerderecht bei einer Datenschutzaufsichtsbehörde

Neben den vorstehend aufgezeigten Betroffenenrechte haben Sie zudem gemäß Art. 77 DSGVO das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen das Datenschutzrecht verstößt. Zuständig ist jeweils die Aufsichtsbehörde des Bundeslandes, in dem die verantwortliche Stelle Ihren Sitz hat. Dauer der DatenspeicherungBitte beachten Sie, dass Deloitte Ihre personenbezogenen Daten solange speichert und verarbeitet, wie es für die Erfüllung der vorstehend aufgezeigten Verarbeitungszwecke erforderlich ist. Soweit personenbezogene Daten Gegenstand von gesetzlichen Aufbewahrungspflichten oder Bestandteil von Unterlagen sind, die gesetzlichen Aufbewahrungspflichten unterliegen, wird Deloitte diese Daten für die Dauer der gesetzlich festgelegten Aufbewahrungsfrist speichern.

Je nach Kategorie der Dokumente speichert Deloitte personenbezogene Daten aufgrund anwendbarer gesetzlicher Aufbewahrungspflichten im Wesentlichen für folgende, unterschiedlich lange Zeiträume: 

  • Handakten Wirtschaftsprüfer: 10 Jahre ab Ende des Kalenderjahres der Beendigung des Auftrages,
  • Handakten Rechtsanwälte: 6 Jahre ab Ende des Kalenderjahres der Beendigung des Auftrages,
  • Buchungsbelege gemäß gesetzlicher Anforderung: 10 Jahre,
  • Empfangene Handels- oder Geschäftsbriefe und Wiedergaben der abgesandten Handels- oder Geschäftsbriefe sowie sonstige besteuerungsrelevante Unterlagen: 6 Jahre.

Es ist die längste Aufbewahrungsfrist maßgeblich, soweit die betroffenen Daten verschiedenen Aufbewahrungsfristen unterliegen, und die gesetzlich vorgeschriebene Aufbewahrungsfrist kann sich je nach Einzelfall verlängern, wenn bspw. die Informationen zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen auch nach Ablauf der Aufbewahrungsfrist benötigt werden.

Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited (DTTL), ihr weltweites Netzwerk von Mitgliedsunternehmen und ihre verbundenen Unternehmen (zusammen die „Deloitte-Organisation“). DTTL (auch „Deloitte Global“ genannt) und jedes ihrer Mitgliedsunternehmen sowie ihre verbundenen Unternehmen sind rechtlich selbstständige und unabhängige Unternehmen, die sich gegenüber Dritten nicht gegenseitig verpflichten oder binden können. DTTL, jedes DTTL-Mitgliedsunternehmen und verbundene Unternehmen haften nur für ihre eigenen Handlungen und Unterlassungen und nicht für die der anderen. DTTL erbringt selbst keine Leistungen gegenüber Kunden. Weitere Informationen finden Sie unter www.deloitte.com/de/UeberUns.

 

ENGLISH VERSION

Privacy Notice

„Privacy Policy“ and „Information on the processing of personal data in accordance with Art. 13, 14 DSGVO“

Introduction

The following sections, “Privacy Policy” and “Information about the processing of personal data in accordance with Art. 13, 14 GDPR,” explain what data we collect about you, what we need this data for and to whom we pass on this data. In addition, they also include your rights in relation to your data and the contact persons to whom you can turn for further information or inquiries.

While the “Privacy Policy” is intended primarily to clarify what personal data we process, store and protect if you use “our website” and “Deloitte apps” (as defined below), the “Information about the processing of personal data in accordance with Art. 13, 14 GDPR” essentially describes how your data are processed in the context of our services for you / our customers and in the context of all other activities that are part of the performance of our business activities.

I. Privacy Policy

This Privacy Policy applies solely to the specific website of deloitte.com/de, for which Deloitte GmbH Wirtschaftsprüfungsgesellschaft headquartered in Munich and the companies owned or controlled by us (“Deloitte,” “we,” “us” or “our”), are responsible, as well as for applications (“Deloitte-Apps”) and other websites that are offered by Deloitte.

The deloitte.com website consists of several individual, global, country-specific, regional, and service-specific Web sites, each of which is provided by Deloitte Touche Tohmatsu Limited (“DTTL”) or one of its national and independent member firms or affiliates (collectively, the “Deloitte network”). To learn more about DTTL, the member firms of DTTL and their affiliates, see About Deloitte.

We are committed to protecting your privacy and to processing your information in an open and transparent manner.

This Privacy Policy explains how we process, store and protect information about you when you use our website and other Deloitte apps. We also explain how your data are processed when we provide services to you / our customers and in all other activities that are part of our business activities.

If this policy refers to “our website” or “this website,” this refers to the specific websites on deloitte.com that are labeled “Deloitte Deutschland” in the upper right-hand corner of this website, as well as websites, whose URL begins with https://www.deloitte.com/de.

This privacy policy also contains information about when we share your personal information with other members of the Deloitte network and other third parties (such as our service providers).

If you provide us with information via the Deloitte website or when using Deloitte apps, you agree, in accordance with Art. 6 (1) (a), 7 of the GDPR (General Data Protection Regulation), that we may use your personal data in the context of the principles laid down here. This also applies to a possibly required transfer of personal data to foreign member firms of Deloitte Touche Tohmatsu Limited. Please note in this regard that certain links (electronic links) on the German Deloitte website lead to the websites of third parties or other member firms of Deloitte Touche Tohmatsu Limited, which, because of their national autonomy and independence as well as potential differences in local law, are not subject to the content of this Privacy Statement. Deloitte GmbH Wirtschaftsprüfungsgesellschaft accepts no liability for the content and / or data protection treatment of data put on these other websites.

Please note that the other country-specific, regional and service-specific websites on deloitte.com are provided by other companies / entities within the Deloitte network and not by us. The terms of this privacy statement do not apply to these websites and other websites to which this website may be linked. We encourage visitors of our website to review the privacy statements on each of these other websites before disclosing personal information.

Although the use of our website is not conditional on the transmission of your personal data and we do not store any personal data via the Deloitte website without your consent, we may potentially process your personal information if you voluntarily provide it to us for specific purposes in the designated areas of our websites.

In the course of providing services to you / our customers and in conducting necessary pre-checks in connection with our services (e.g. conflict or “know-your-client” checks as per regulatory requirements) or in the context of discussing services that we may potentially provide, we will process personal data about you to the required extent.

We may collect or receive this information because you provide it to us (e.g. through a form on our website), because we have received it from other people (e.g. your employer or consultant or any third party we engaged to the extent legally permissible to assist in the conduct of our business) or because they are publicly available.

In order to improve the operation of our websites for you and to ensure their effective functionality, we use cookies (small text files provided / stored in the user’ browser) and web beacons (small image files that allow the Deloitte website to identify the number of visitors to a particular area of the Deloitte website and to request certain stored cookies). We use these tools to collect user information such as IP address, domain, browser type, language, access times and pages visited on our website. This information will be shared with our webmasters to ensure that our website remains a useful and effective source of information.

Neither our cookies nor our web beacons collect personal data, such as names or e-mail addresses. To prevent your Internet browser from receiving any cookies or web beacons, you should change the settings on your internet browser to either stop receiving cookies or web beacons or to ensure the browser prompts you for your consent to each individual cookie or web beacon before accepting them. Read our Cookie Notice for more information on disabling these tools. However, the Deloitte website may in some cases requires the receipt of a cookie and / or web beacon and otherwise denies visitors access to certain areas.

You can use opt-out to prevent your anonymized internet activity from being recorded on websites through analytics cookies. We use the following service providers: Google Analytics & Adobe Analytics (as described below). For more information on their privacy policies and how to use the opt-out feature and for additional information about cookies, please click on the following links

Adobe: http://www.adobe.com/de/privacy/opt-out.html

The personal data we collect or obtain about you may include (but is not limited to): name; age; date of birth; gender; e-mail address; country of birth; information about work and education/training (e.g. what company you work for, your job description and details of your training); financial and tax information (e.g. where you are resident for income and tax purposes); your posts on blogs, forums, wikis and all other social media applications and services we provide; your IP address; your browser type and your browser language; your access times; complaint details; details about how you use our products and services; details of how you would like to interact with us and other comparable information.

The personal data processed by us may also contain what are known as “sensitive” or “special categories” of personal data, if you provide us with these voluntarily. The types of personal data and particular categories of personal data we process may vary depending on the type of services we provide to you / our customers or the way you use our website.

We underline the importance of protecting the privacy of minors (especially children under the age of 13), in particular with regard to possible misuse of today’s internet communications. For this reason, we would like to emphasize that our website and services are not designed for children or intentionally targeted towards minors. We do not knowingly collect or store information about minors.

Processing of personal data collected via our website


In addition to the purposes outlined above in connection with the conduct of our business, we may also process your personal information collected through our website:

  • to manage and improve our website,
  • customize the content of our website to give you an individualized user experience and to draw your attention to information about our products and services that may be of interest to you,
  • to manage and answer all inquiries you make to us through our website,
  • for the purposes to which the visitor has voluntarily consented within the meaning of Article 6 (1) (a), 7 GDPR, such as in the context of an application or registration for the purpose of obtaining general or exclusive information, as well as for purposes that registered users can expect in the context of their website usage.

If you, as a registered visitor, no longer wish to use the information or other areas offered, you can object to any further processing of your personal data for the future at any time. Please contact Deloitte GmbH Wirtschaftsprüfungsgesellschaft as the responsible body within the meaning of the GDPR, Business Development, Kurfürstendamm 23, 10719 Berlin, or kontakt@deloitte.de on this matter. The objection will incur no costs other than the transmission costs according to the basic tariffs.

Processing of personal data for the provision of services to our customers

We process your personal data for the purpose of carrying out individual contractual relationships, for the provision of services for you / our customers. In this context, we may process your personal information in the course of correspondence regarding the services. Such correspondence may take place with you, our client, other members of the Deloitte network, our service providers or relevant authorities. Similarly, we may process your personal information in order to conduct the necessary pre-audits related to our services (e.g., conflict or “know-your-client” checks as per regulatory requirements) or in the course of discussing services we may potentially provide.

As we offer our clients a wide range of services, the way we process personal information in relation to our services also varies. For example, we may process personal information:

  • a customer’s employees to assist those employees in their tax affairs if they work abroad,concerning 
  • a customer’s employees and contractors while conducting an audit (or similar activity) for a client,
  • concerning a customer to help said customer prepare a tax return.Processing of personal data for other activities that are part of our business activities

We may also process your personal data in connection with the following purpose, which is related to the original purpose (depending on the necessity and professional admissibility in individual cases):

  • Applicable legal or regulatory obligations,
  • Inquiries and communications from competent authorities in the context of relevant professional secrecy obligations,
  • Accounting, billing and risk analysis purposes,
  • For the purposes of maintaining customer relationships, including, but not limited to: (i) providing thought leadership or information concerning our products and services that we believe are of interest to you; (ii) contacting you to obtain feedback on our services; and (iii) contacting you for any other market or research purpose, to the extent that the specific legal preconditions are in place,
  • provided to us by our specialist advisors, such as attorneys, auditors and consultants,
  • Administrative purposes related to the specific business activity
  • Protection of our rights and those of our customers.

We process your personal information for the purposes listed above: (a) on the basis of our legitimate interest in the effective provision of our services to you and our customers; (b) on the basis of our legitimate interest in the effective and lawful pursuit of our business, unless your interests outweigh this interest; (c) on the basis of our statutory and regulatory obligations, such as the management of records for tax purposes; (d) because the data are necessary for the provision our services to you / our customer.

To the extent that we process sensitive personal information relating to you for any of the purposes listed above, we either do so because: (i) you have given us your express consent to process that data; (ii) we are required by law to process such information to ensure we comply with our “know your client” and “anti-money laundering” obligations (or other applicable legal obligations); (iii) the processing is necessary to fulfill our labor, social security or social protection obligations; (iv) the processing is necessary to assert, exercise or defend any legal claims, or (v) you have made the data public.

If we are required by law to obtain your explicit consent to provide you with certain promotional materials, we will only offer you those materials if we have obtained such consent from you. If you no longer wish to receive further advertising material from us, you can click on the unsubscribe function in the message or send an e-mail to kontakt@deloitte.de and object to the processing of your personal data for these purposes at any time without stating any reasons. The objection will incur no costs other than the transmission costs in line with the basic tariffs.

In connection with one or more of the purposes outlined in the section “How are your data processed by us?,” we may provide details about you to: other members of the Deloitte network; third parties providing services to us and / or the Deloitte network; competent authorities (including courts and authorities supervising us or other members of the Deloitte Network); your employer and / or its advisor; your advisors; organizations that assist us in identifying fraud and other third parties who legitimately request access to personal information related to you for one or more of the purposes outlined in the section “How are your data processed by us?” In any case, disclosure will only take place if this is also admissible after taking into account relevant professional confidentiality obligations.

Our website hosts various blogs, forums, wikis, and other social media applications or services that enable you to share content with other users (collectively known as “social media applications”). However, when using these social media applications, please be aware at all times that the information disseminated through this information channel may (also) be read, collected, stored and / or used by other users of the application. We have little or no control over these other users and therefore cannot guarantee that all the information you provide in the social media applications will be treated in accordance with this Privacy Policy. We therefore take no responsibility for these persons and their treatment of your (personal) data.

Medium.com is a publishing platform where any registered user can write their own articles and publish them without having to maintain their own blog. We use www.medium.com to publish thought leadership and articles on technology and innovation.

Please note that some of the recipients of your personal information mentioned above may be located in countries outside the European Union whose privacy laws may be less comprehensive. In such cases, we will ensure that adequate safeguards have been put in place to protect your personal information and that these safeguards comply with our legal obligations. If the recipient is not a member of the Deloitte network, a data transmission agreement with the recipient based on standard contractual clauses for the transfer of personal data to third countries recognized by the European Commission may be an appropriate safeguard.

We can also provide further details regarding the transfers described above and the appropriate security arrangements made by Deloitte with respect to these transfers. Please contact privacy@deloitte.de for more information.

We may also be obliged to disclose your personal information if required to do so by law, by a regulatory agency or as part of a legal process.

We are entitled to share non-personal, anonymized and aggregated data with third parties for various purposes, including but not limited to: data analysis, research, quoting, thought leadership and promotional purposes.

Please note, if you provide data to other member companies of Deloitte Touche Tohmatsu Limited, that the individual member companies are nationally autonomous and independent, are generally subject to laws that deviate from the GDPR and, if applicable, have provided an alternative declaration to the Privacy Statement. For this reason, we would particularly like to ask you to read through the respective privacy statements of certain other member companies of Deloitte Touche Tohmatsu Limited before you forward your personal data to them. This also applies if you instruct us to forward your personal data to them. Deloitte GmbH Wirtschaftsprüfungsgesellschaft accepts no liability for the content and / or data protection treatment of data that you or we put on other websites at your request.

In order to protect visitor data that is entered on the website, Deloitte GmbH Wirtschaftsprüfungsgesellschaft uses technologically generally accepted security standards to safeguard visitor data on the German website from misuse, loss and falsification. In addition, only certain Deloitte employees have access to the visitor data that can be identified as personal data. These employees will ensure that the confidentiality of this sensitive information is respected within the scope of the purpose of transmission. In accordance with the relevant confidentiality agreements provided by other participating companies (including certain member companies of Deloitte Touche Tohmatsu Limited), this principle also applies to their websites and thus also to employees, agents and affiliates whom they entrust with the visitor data as part of the purpose of the transfer.

All visitors to our websites should also be aware that links (electronic “references”) on the German website lead to other websites and information provided by third parties. Unless expressly assured above, Deloitte GmbH Wirtschaftsprüfungsgesellschaft assumes no responsibility for content on third-party websites, including those relating to compliance with certain security standards or compliance with the General Data Protection Regulation.

Notwithstanding the foregoing regarding visitor data on the German websites, we use a variety of physical, electronic and operational measures to ensure that your personal information is generally safe, accurate and up-to-date. These measures include, but are not limited to:

  • professional development and training of relevant employees to ensure that they are aware of the data protection obligations when handling personal data,
  • administrative and technical controls to restrict access to personal data to persons who need to know (“need to know” principle),
  • security measures, including firewalls, encryption and anti-virus software,
  • physical security measures, such as a requirement to show employee security badges to obtain access to our premises.

Although we apply reasonable security measures once we have received your personal information, the transmission of data over the Internet (including via e-mail) is never completely secure. We strive and do our utmost to protect personal information but cannot guarantee the security of the data transmitted to or from us. Please note that we have an ISO 27001 certified information security management system that aims to provide optimal protection of all the information we process.

We store your personal information on our systems for the longest of the following periods: (i) as long as required by the activity or service in question; (ii) for a legally required retention period; (iii) until the end of the period in which a lawsuit or service investigation may arise in relation to the services

Specifically, depending on the category of data, Deloitte will store your personal data in accordance with the applicable statutory retention requirements, essentially as follows:

  • Auditors’ reference files: 10 years from the end of the calendar year of completion of the order,
  • Lawyers’ reference files: 6 years from the end of the calendar year of completion of the order
  • Accounting documents: 10 years,
  • Received commercial or business letters and reproductions of dispatched commercial or business letters as well as other tax-relevant documents: 6 years.

You have a range of rights in connection with your personal data. In particular, you have the right:

  • to request an update of your personal data held by us or, if you think these are inaccurate or incomplete, a correction of that data,
  • to request the deletion of your personal data stored by us or a restriction on the way we process these data, if this is not precluded by legal obligations,
  • to revoke your consent to the processing of your personal data by us at any time free of charge without giving reasons, which can be done by contacting kontakt@deloitte.de (if such processing is based on consent),
  • to obtain a copy of the personal information you have provided to us in a structured, common and machine-readable format and to transmit it to another party (if processed on the basis of consent or a contract),
  • to object to the processing of your personal data by us.

If you wish to exercise your rights or if you have other questions about how your personal information is processed by us, please send an e-mail to kontakt@deloitte.de or write us at the following address:

Deloitte GmbH Wirtschaftsprüfungsgesellschaft 
Business Development
Kurfürstendamm 23
10719 Berlin

If you do not agree with the way your personal information is processed by us, or with a request or inquiry that you have addressed to us, please contact privacy@deloitte.de. You also have the right to contact the Deloitte Data Protection Supervisor. For an overview of relevant regulators, see the Deloitte and Deloitte Legal company details.

Changes to this privacy policy

If necessary, we may amend or supplement this privacy policy.

To let you know when we make changes to this privacy policy, we will adjust the revision date at the top of this page. The newly amended or expanded privacy policy will be effective as of this revision date. Therefore, we encourage you to periodically review this policy to learn how we process and protect your information.

Please note that the Deloitte websites and the Deloitte apps, including this Privacy Notice, have been made available to provide general information and guidance on certain topics, but not to delve into individual topics. The Deloitte websites and Deloitte apps are not designed to provide binding advice (including on accounting, tax, legal affairs, investments), any other service or work output, or any response to any related matter, for example. Accordingly, you cannot rely on the content of Deloitte websites or Deloitte apps with regard to taking a decision or action, and should therefore always consult with a professionally qualified advisor on matters relating to your personal finances and business dealings.

Questions about the protection of privacy

If you have any questions about this Privacy Statement, or feel that you have specific concerns about it that should be addressed, feel free to contact us directly via kontakt@deloitte.de.

Our websites use the Google Analytics web analytics service provided by Google Inc. (“Google”) and Adobe Analytics, provided by Adobe Systems, Inc. Small text files called “cookies” are stored by a server on the Internet on your PC to facilitate an analysis of your usage behavior on this website. The information generated and collected by the cookie is usually transferred to a Google or Adobe Analytics server in the USA, where it is evaluated and stored.

If IP anonymization is activated on this website, the IP address of Google or Adobe will be shortened beforehand within the member states of the European Union and in the other contracting states of the Agreement on the European Economic Area. The complete transfer of the IP address to the server of Google or Adobe Analytics in the US and the shortening of the IP address being carried out there occurs only in exceptional cases.

Google or Adobe Analytics uses the information above on behalf of the website operator to evaluate the traffic flows and interactions on this website and compile reports on website activity. In addition, the website operator will be provided with additional services related to website and internet use.

There is a possibility that you can prevent the storage of cookies on your computer by selecting the relevant browser settings and thus prevent the use of Google Analytics and Adobe Analytics. However, this setting may result in your not being able to fully use all features of this website.

In addition, you have the option to prevent the transfer of your information about the use of this website to and the processing of this data by Google or Adobe Analytics by downloading and installing the browser plug-ins available at the following links:
http://tools.google.com/dlpage/gaoptout?hl=en or http://www.adobe.com/privacy/opt-out.html

II. Information about the processing of personal data in accordance with Art. 13, 14 GDPR

Please ensure that, in addition to the information below, you are also familiar with Deloitte’s Privacy Policy. For questions of understanding or other queries, please contact us at privacy@deloitte.de.

Deloitte GmbH Wirtschaftsprüfungsgesellschaft provides services in the areas of auditing, risk advisory, tax consultancy, financial advisory and consulting for companies and institutions from all economic sectors; legal advice is provided in Germany by Deloitte Legal Rechtsanwaltsgesellschaft mbH (“Deloitte Legal”) (collectively “Deloitte” / “we”). As part of the commission to provide the above services, Deloitte processes personal data according to the individual order. This information complements the Privacy Policy above and provides a more concrete description of how Deloitte processes your personal information as part of the provision of the commissioned service.

Please note that this information refers exclusively to personal data within the meaning of Art. 4 No. 1 GDPR, i.e. not all data and information that Deloitte receives in relation to the underlying client relationship, but essentially only information that relates to an identified or identifiable natural person. Notwithstanding this, the professional secrecy and confidentiality obligations to which Deloitte and Deloitte employees are subject by the professional law of tax consultants, certified public accountants and lawyers, as applicable, shall apply in full to all data and information we receive from you under the client relationship, regardless of whether this is personal data within the meaning of the GDPR.

The controller within the meaning of the GDPR

The controller within the meaning of Art. 4 (7) EU General Data Protection Regulation (GDPR), which is responsible for processing your personal data in connection with all services not provided by Deloitte Legal, is:

Deloitte GmbH Wirtschaftsprüfungsgesellschaft
Rosenheimer Platz 4
81669 München

The controller within the meaning of Art. 4 (7) EU General Data Protection Regulation (GDPR), which is responsible for processing your personal data in connection with all services provided by Deloitte Legal is:

Deloitte Legal Rechtsanwaltsgesellschaft mbH
Erna-Scheffler-Straße 2
40476 Düsseldorf

If the contractor of a contract for the performance of our services is another German Deloitte company, then it acts as the responsible body in the case concerned. An overview of the German Deloitte companies can be found here.

Data protection officer & data protection supervisor

All German Deloitte companies have appointed data protection officers. You can contact the respective data protection officer at privacy@deloitte.de. The relevant supervisory authorities can be found here.

Purposes of processing and legal basis for processing

Deloitte processes your personal information for the purpose of fulfilling our (pre)contractual obligation to our customers. In particular, we process your contact details such as name, address, telephone number and e-mail address in this context in order to carry out pre-contractual measures (such as internal pre-contractual compliance checks or within the scope of the client / contract) and to carry out our respective contractual obligations, including administrative execution and settlement of the respective contract on the basis of Art. 6 para. 1 lit. b) GDPR. Deloitte uses IT systems to administer and store your personal information to manage and execute order requests / assignments, but with no automated decision-making or profiling.

Depending on the category of documents, Deloitte will store personal data for record keeping / documentation and archival purposes in accordance with relevant legislation for a varying period of time:

  • Auditors’ reference files: 10 years from the end of the calendar year of completion of the order
  • Lawyers’ reference files: 6 years from the end of the calendar year of the completion of the order
  • Accounting documents: 10 years
  • Received commercial or business letters and reproductions of the dispatched commercial or business letters as well as other tax-relevant documents: 6 years

As a rule, Deloitte receives the necessary personal data from the customers. In this respect, Deloitte has, in accordance with Art. 6 para. 1. f) GDPR, a legitimate interest in the processing of this personal data, as Deloitte is obliged to carry out the contracted service on the basis of the underlying contract. In this context, it is essential for Deloitte to process any personal data related to the contact persons of our customer (including at an early stage within the context of the offer preparation).

If you have commissioned Deloitte to perform certain services, such additional personal data relating to you will be processed in the context of order processing in addition to your contact details to the extent that they are necessary for the provision of the service agreed with you and that you have forwarded such information to us. In this respect, the processing of your personal data is justified to ensure the fulfillment of the contract between you and Deloitte and according to Art. 6 para. 1 b) GDPR. 

Please note that Deloitte’s General Terms and Conditions generally require the client to be obliged to provide Deloitte with all the documents and information necessary to complete the contract. In this respect, the processing of the respective order and the associated fulfillment of the contractually agreed service by Deloitte is not possible or possible only to a limited extent if and insofar as the necessary information is not provided.

As Deloitte is required by law to ensure proper record keeping, extensive documentation of its clients and assignments (also beyond the conclusion of an order) as well as compliance with further retention and documentation obligations (including due to professional, accounting or commercial and corporate law requirements), Deloitte processes your personal data in the context of documents to be recorded, work results or related customer-related correspondence (also for the purpose of file management), documentation and archiving both in the form of paper files and in the context of IT systems used for this purpose on the basis of Art. 6 para. 1. c) GDPR for the fulfillment of our aforementioned legal obligations.

Notwithstanding the foregoing purposes, Deloitte will, to the extent permitted by applicable law, also process your contact information (including name, address, e-mail address) for marketing and advertising purposes, in other words, for example, to provide you with information about our further offers or events. This is done on the basis of consents and / or a legitimate economic interest of Deloitte as defined in Art. 6 para. 1. f) to inform their customers about further offers and events they provide and thus to establish and maintain a long-term customer relationship.

Finally, Deloitte also processes your contact information for the purpose of maintaining our business contacts when we receive them in the course of a business event, as part of a business appointment (e.g. by exchanging business cards) or as part of an order, and transfer these into the CRM system we use (Customer Relationship Management System).

Because Deloitte has a legitimate commercial interest in maintaining contacts in the context of business relations beyond the initial contact, to use them for establishing a business relationship and to remain in contact with the data subject for this purpose, the above processing of your personal data takes place on the basis of Art. 6 para. 1. f) GDPR.

Categories of data recipients and transfers to third countries

In connection with the implementation of the above-mentioned processing, personal data may also be received from third parties, as specified below. Your personal data may be stored within and outside the EU/European Economic Area (EEA). Data may be transferred to both European and non-European countries, whereby the transfer of data may be temporary and does not necessarily lead to storage.

To other Deloitte member firms1 for the purpose of cooperation in the provision of our services

Where necessary for the provision of the service, i.e. in the case of a foreign assignment or where the expertise of a foreign colleague is required, Deloitte cooperates with other companies from the global Deloitte network. If such a transfer is made to a network company outside the EU/EEA, the member firms of the Deloitte network have entered into an internal data protection agreement, containing the EU standard contractual clauses of the EU Commission within the meaning of Art 46 para 2 lit c) GDPR. This agreement requires a consistent level of data protection across all Deloitte entities worldwide. It therefore allows for global transfers of data in accordance with applicable European privacy laws. 

Deloitte's internal IT service providers and external IT service providers within the EU/EEA

Deloitte uses other German or foreign Deloitte network companies as internal network and third parties as external IT service providers, which provide services for the operation, maintenance and care of the IT systems and applications used by the Deloitte network companies.  Both internal and external IT service providers are bound by instructions.

To Deloitte's internal IT service providers and external IT service providers outside of the EU/EEA

To the extent that access is provided by an internal IT service provider outside the EU/EEA, an adequate level of data protection is ensured by our internal data protection agreement and contracts we have in place with those network companies. containing Standard Contractual Clauses (SCC) of the EU Commission within the meaning of Art. 46 (2) (c) GDPR.

When using external IT service providers outside the EU/EEA, an adequate level of data protection is ensured through the use of standard contractual clauses (SCC) of the European Commission within the meaning of Art. 46 (2) (c) GDPR.

Depending on the recipient country, external data transfers further undergo a Transfer Impact Assessment to evaluate the legal and practical implications in the recipient country. This assessment includes a review of local laws and practices to determine if additional protective measures are necessary.  

To authorities, courts or other bodies

In connection with the performance of our services, it may be necessary to transmit information, work results and documents to authorities, courts or other public or private bodies (including transfers abroad in the case of a foreign assignment). The same applies to cases in which Deloitte is obliged by law, administrative or court order to disclose personal data. This shall only occur if there are no professional secrecy obligations to the contrary.

Your rights in connection with data processing

The GDPR essentially grants data subjects the following rights, which you can assert at any time by contacting the data protection officer named in this information at

In principle, you can request information from Deloitte at any time as to whether personal data about you are processed or stored at Deloitte and which personal data are affected. Please note that your right to information may be restricted to the extent that such information conflicts with professional secrecy and to the extent that information requiring secrecy would be disclosed.

In addition to your right to information, you can request the correction of your data at any time. In addition, you have the right to delete your data if and when the data are no longer needed for the purposes for which it was collected or, if the processing is based on your consent, you have revoked your consent. The aforementioned right to delete your data is waived if your data must not be deleted due to a legal obligation or must be processed due to a legal obligation or if data processing is required for the assertion, exercise or defense of legal rights.

In addition, you have the right to request that Deloitte restrict the processing of your personal information.

Added to this is a right to data portability, i.e. you may request that Deloitte retain the data you provide in a structured, common and machine-readable format and / or that such data be transmitted to another controller. Please note that this does not apply if you have made the data available to us on the basis of consent or on the basis of a contract concluded with you or if the processing is carried out using automated procedures.

If Deloitte processes your personal data on the basis of Art. 6 para. 1. f) GDPR (e.g. if your employer, as a Deloitte customer, has provided us with your personal information as a contact in your company, or if we use your contact information to send you information about offers and events provided by Deloitte), you can object to this processing at any time.

Right of appeal to a data protection supervisory authority

In addition to the data subject rights listed above, you also have the right to complain to a data protection supervisory authority in accordance with Art. 77 GDPR if you believe that the processing of your personal data violates data protection law. In each case, the supervisory authority of the federal state in which the controller has its seat is responsible.

Duration of data storage

Please note that Deloitte will store and process your personal information for as long as it is necessary for the fulfillment of the above mentioned processing purposes. Insofar as personal data are subject to statutory retention obligations or are part of documents subject to statutory retention requirements, Deloitte will store this data for the duration of the statutory retention period.

Depending on the category of documents, Deloitte will generally store personal information for the following varying periods of time, based on applicable statutory retention requirements:

  • Auditors’ reference files: 10 years from the end of the calendar year of completion of the order,
  • Lawyers’ reference files: 6 years from the end of the calendar year of completion of the order,
  • Accounting records as per legal requirement: 10 years,
  • Received commercial or business letters and reproductions of the dispatched commercial or business letters as well as other tax-relevant documents: 6 years.

If the data are subject to different retention periods, the longest retention period applies, and the legally required retention period may be extended depending on the individual case, e.g. if the information is required to assert, exercise or defend legal rights even after expiration of the retention period.

1 Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited (DTTL), its global network of member firms, and their related entities (collectively, the “Deloitte organization”). DTTL (also referred to as “Deloitte Global”) and each of its member firms and related entities are legally separate and independent entities, which cannot obligate or bind each other in respect of third parties. DTTL and each DTTL member firm and related entity is liable only for its own acts and omissions, and not those of each other. DTTL does not provide services to clients. Please see www.deloitte.com/de/UeberUns to learn more.