„Datenschutzerklärung“ und „Informationen über die Verarbeitung von personenbezogenen Daten gemäß Art. 13, 14 DSGVO“
EINLEITUNG
In der nachfolgenden „Datenschutzerklärung“ und in den „Informationen über die Verarbeitung von personenbezogenen Daten gemäß Art. 13, 14 DSGVO“ wird erläutert, welche Daten wir über Sie erfassen, wofür wir diese Daten benötigen und an wen wir diese Daten weitergeben. Darüber hinaus beinhalten sie auch Ihre Rechte in Bezug auf Ihre Daten und die Ansprechpartner, an die Sie sich für weitere Informationen oder Anfragen wenden können.
Während die „Datenschutzerklärung“ in erster Linie darlegen soll, welche Daten wir über Sie verarbeiten, speichern und schützen, wenn Sie „unsere Website“ sowie „Deloitte-Apps“ (wie jeweils unten definiert) nutzen, sollen die „Informationen über die Verarbeitung von personenbezogenen Daten gemäß Art. 13, 14 DSGVO“ im Wesentlichen die Verarbeitung Ihrer Daten im Rahmen unserer Dienstleistungen für Sie/unsere Kunden und im Rahmen aller sonstigen Aktivitäten, die Teil der Ausübung unserer Geschäftstätigkeit sind, darlegen.
I. DATENSCHUTZERKLÄRUNG
II. INFORMATIONEN ÜBER DIE VERARBEITUNG VON PERSONENBEZOGENEN DATEN GEMÄSS ART. 13, 14 DSGVO
Bitte stellen Sie sicher, dass Sie sich zusätzlich zu den nachfolgenden Informationen auch mit der vorstehenden Datenschutzerklärung von Deloitte vertraut machen. Bei Verständnisfragen oder sonstigen Rückfragen kontaktieren Sie uns gerne unter privacy@deloitte.de.
Die Deloitte GmbH Wirtschaftsprüfungsgesellschaft erbringt Dienstleistungen in den Bereichen Wirtschaftsprüfung, Risk Advisory, Steuerberatung, Financial Advisory und Consulting für Unternehmen und Institutionen aus allen Wirtschaftszweigen; Rechtsberatung wird in Deutschland von der Deloitte Legal Rechtsanwaltsgesellschaft mbH („Deloitte Legal“) erbracht (nachfolgend gemeinsam „Deloitte“/“wir“). Im Rahmen der Beauftragung zur Erbringung vorgenannter Dienstleistungen verarbeitet Deloitte je nach Einzelauftrag personenbezogenen Daten. Diese Informationen ergänzen die vorstehende Datenschutzerklärung und stellen eine konkretisierte Beschreibung dessen dar, wie Deloitte Ihre personenbezogenen Daten im Rahmen der Erbringung der beauftragten Dienstleistung verarbeitet.
Bitte beachten Sie, dass sich diese Informationen ausschließlich auf personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO beziehen, d.h. nicht sämtliche Daten und Informationen umfassen, die Deloitte im Zusammenhang mit dem jeweils zugrundeliegenden Mandatsverhältnis erhält, sondern im Wesentlichen nur solche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Ungeachtet dessen gelten die berufsrechtlichen Geheimhaltungs- und Verschwiegenheitspflichten, denen Deloitte und die bei Deloitte beschäftigten Mitarbeiter nach dem Berufsrecht der Steuerberater, Wirtschaftsprüfer und Rechtsanwälte unterliegen, soweit anwendbar, vollumfänglich für alle Daten und Informationen, die wir von Ihnen im Rahmen des Mandatsverhältnisses erhalten, unabhängig davon, ob es sich dabei um personenbezogene Daten im Sinne der DSGVO handelt.
Verantwortlicher im Sinne der DSGVO
Verantwortlicher im Sinne des Art.4 Abs. 7 EU Datenschutzgrundverordnung (DSGVO) für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit allen Leistungen, die nicht von Deloitte Legal erbracht werden, ist die:
Deloitte GmbH Wirtschaftsprüfungsgesellschaft
Rosenheimer Platz 4
81669 München
Verantwortlicher im Sinne des Art.4 Abs. 7 EU Datenschutzgrundverordnung (DSGVO) für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit allen Leistungen, welche die Deloitte Legal erbringt, ist die:
Deloitte Legal Rechtsanwaltsgesellschaft mbH
Erna-Scheffler-Straße 2
40476 Düsseldorf
Ist Auftragnehmer eines Vertrages zur Durchführung unserer Leistungen eine andere deutsche Deloitte Gesellschaft, agiert diese in dem Fall als verantwortliche Stelle. Eine Übersicht der deutschen Deloitte Gesellschaften finden Sie hier.
Datenschutzbeauftragter & Datenschutzaufsicht
Alle deutschen Deloitte Gesellschaften haben Datenschutzbeauftragte bestellt. Sie erreichen den jeweiligen Datenschutzbeauftragten unter privacy@deloitte.de. Die jeweils zuständigen Aufsichtsbehörden finden Sie hier.
Zwecke der Verarbeitung und Rechtsgrundlage für die Verarbeitung
Deloitte verarbeitet Ihre personenbezogenen Daten zum Zwecke der Erfüllung unserer (vor-) vertraglichen Verpflichtung gegenüber unseren Kunden. In diesem Zusammenhang verarbeiten wir insbesondere Ihre Kontaktdaten wie Name, Anschrift, Telefonnummer und E-Mail-Adresse zur Durchführung von vorvertraglichen Maßnahmen (wie interner vorvertraglicher Compliance-Prüfungen oder im Rahmen der Kunden/-Vertragsanlage) sowie zur Durchführung unserer jeweiligen vertraglichen Leistungspflichten einschließlich der administrativen Durchführung und Abrechnung des jeweiligen Auftrags auf der Grundlage von Art. 6 Abs. 1 lit. b) DSGVO. Zum Management und der Durchführung von Auftragsanfragen/Aufträgen nutzt Deloitte IT-Systeme zur Verwaltung und Speicherung Ihrer personenbezogenen Daten, wobei jedoch keine automatisierte Entscheidungsfindung und kein Profiling stattfindet.
Je nach Kategorie der Dokumente speichert Deloitte personenbezogenen Daten zur Aktenführung/Dokumentation und zu Archivierungszwecken im Einklang mit den einschlägigen gesetzlichen Vorschriften für einen unterschiedlich langen Zeitraum:
Im Regelfall erhält Deloitte die erforderlichen personenbezogenen Daten von den Kunden. Insofern besteht für Deloitte gemäß Art. 6 Abs. 1 lit. f) DSGVO ein berechtigtes Interesse an der Verarbeitung dieser personenbezogenen Daten, da Deloitte aus der zugrundeliegenden Auftragsvereinbarung zur Durchführung der beauftragten Dienstleistung verpflichtet ist. In diesem Zusammenhang ist es für Deloitte unerlässlich, etwaige personenbezogene Daten der Kontaktpersonen und Ansprechpartner unseres Kunden (auch bereits im Rahmen der Angebotserstellung) zu verarbeiten.
Sofern Sie selbst Deloitte zur Durchführung bestimmter Dienstleistungen beauftragt haben, werden über Ihre Kontaktdaten hinaus solche weiteren personenbezogenen Daten von Ihnen im Rahmen der Auftragsbearbeitung verarbeitet, soweit diese für die Erbringung der mit Ihnen vereinbarten Dienstleistung erforderlich sind und Sie uns diese übermittelt haben. Insofern ist die Verarbeitung Ihrer personenbezogenen Daten für die Erfüllung des zwischen Ihnen und Deloitte geschlossenen Auftrags erforderlich und gemäß Art. 6 Abs. 1 lit. b) DSGVO gerechtfertigt.
Bitte beachten Sie, dass die Allgemeinen Auftragsbedingungen von Deloitte in der Regel eine Mitwirkungspflicht des jeweiligen Kunden vorsehen, Deloitte alle für die Durchführung des Auftrags erforderlichen Unterlagen und Informationen zu übermitteln. Insofern ist die Bearbeitung des jeweiligen Auftrags und die damit verbundene Erfüllung der vertraglich vereinbarten Dienstleistung durch Deloitte nicht oder nur noch eingeschränkt möglich, wenn und soweit die notwendigen Informationen nicht bereitgestellt werden.
Da Deloitte gesetzlich zu einer ordnungsgemäßen Aktenführung, umfangreichen Dokumentation seiner Mandate und Aufträge (auch über den Abschluss eines Auftrags hinaus) sowie zur Einhaltung weiterer Aufbewahrungs- und Dokumentationspflichten (u.a. aufgrund von berufsrechtlichen, buchhalterischen oder handels-und gesellschaftsrechtlichen Vorgaben) verpflichtet ist, verarbeitet Deloitte Ihre personenbezogenen Daten im Rahmen von zu dokumentierenden Unterlagen, Arbeitsergebnissen oder zugehöriger kundenbezogener Korrespondenz zudem zum Zwecke der Aktenführung, der Dokumentation sowie der Archivierung sowohl in Form von Papierakten als auch im Rahmen von hierzu eingesetzten IT-Systemen auf der Grundlage von Art. 6 Abs. 1 lit. c) DSGVO zur Erfüllung unserer vorgenannten gesetzlichen Pflichten.
Ungeachtet der vorstehenden Zwecke verarbeitet Deloitte im Rahmen des gesetzlich Zulässigen Ihre Kontaktdaten (insbesondere Name, Anschrift, E-Mail-Adresse) darüber hinaus zu Marketing- und Webezwecken, d.h. bspw. um Ihnen Informationen zu unseren weiteren -Angeboten oder Veranstaltungen zukommen zu lassen. Dies erfolgt auf der Grundlage von Einwilligungen und/oder eines berechtigten wirtschaftlichen Interesses von Deloitte Sinne des Art. 6 Abs. 1 lit. f), ihre Kunden über weitere eigene Angebote und Veranstaltungen zu informieren und somit eine langfristige Kundenbeziehung aufbauen und aufrechterhalten zu können.
Schließlich verarbeitet Deloitte Ihre Kontaktdaten auch zur Pflege unserer Geschäftskontakte, wenn wir diese im Rahmen einer geschäftlichen Veranstaltung, im Rahmen eines geschäftlichen Termins (bspw. durch Austausch von Visitenkarten) oder im Rahmen eines Auftrags erhalten haben, und übertragen diese in das von uns genutzte CRM-System (Customer-Relationship-Management-System).
Da Deloitte ein berechtigtes wirtschaftliches Interesse daran hat, im Rahmen des Geschäftsverkehrs entstandene Kontakte auch über den Erstkontakt hinaus zu pflegen, zum Aufbau einer Geschäftsbeziehung zu nutzen und hierfür mit den Betroffenen in Kontakt zu bleiben, erfolgt die vorgenannte Verarbeitung Ihrer personenbezogenen Daten auf der Grundlage von Art. 6 Abs. 1 lit. f) DSGVO.
Kategorien von Datenempfängern und Übermittlung in Drittländer
Im Zusammenhang mit der Durchführung der oben genannten Verarbeitung können personenbezogene Daten, wie nachfolgend konkretisiert, ggf. auch von Dritten empfangen werden. So können Ihre personenbezogenen Daten innerhalb und außerhalb der EU/ des Europäischen Wirtschaftsraums (EWR), gespeichert werden. Ein Datentransfer kann sowohl in das europäische als auch das außereuropäische Ausland erfolgen, dabei kann die Übermittlung der Daten temporär sein und muss nicht zwingend zu einer Speicherung führen.
An andere Deloitte-Mitgliedsunternehmen1 für die Zusammenarbeit bei der Erbringung unserer Dienstleistungen
Soweit es für die Erbringung der Dienstleistung erforderlich ist, d.h. im Falle eines Auslandseinsatzes oder wenn die Expertise eines ausländischen Kollegen benötigt wird, arbeitet Deloitte mit anderen Unternehmen aus dem weltweiten Deloitte-Netzwerk zusammen. Erfolgt eine solche Übermittlung an eine Netzwerkgesellschaft außerhalb der EU/ des EWR, haben die Mitgliedsunternehmen des Deloitte-Netzwerks eine interne Datenschutzvereinbarung abgeschlossen, die die EU-Standarddatenschutzklauseln der EU-Kommission im Sinne von Art. 46 Abs. 2 lit c) DSGVO enthält. Diese Vereinbarung erfordert ein einheitliches Datenschutzniveau in allen Deloitte-Gesellschaften weltweit. Es ermöglicht die globale Datenübermittlungen in Übereinstimmung mit dem geltenden europäischen Datenschutzrecht.
An interne IT-Dienstleister von Deloitte und externe IT-Dienstleister innerhalb der EU/des EWR
Deloitte nutzt im Rahmen seiner Tätigkeit in Einzelfällen weitere in- oder ausländischer Deloitte-Netzwerkgesellschaften. Diese IT-Dienstleister können interne oder externe Dritter sein, die Dienstleistungen für den Betrieb, die Wartung und Pflege der von den Deloitte-Netzwerkgesellschaften genutzten IT-Systeme und Anwendungen erbringen. Sowohl interne als auch externe IT-Dienstleister arbeiten weisungsgebunden.
An Deloittes interne IT-Dienstleister und externe IT-Dienstleister außerhalb der EU/des EWR
Soweit der Zugriff durch einen internen IT-Dienstleister außerhalb der EU/des EWR erfolgt, ist ein angemessenes Datenschutzniveau durch interne Datenschutzvereinbarung gewährleistet. Diese enthalten die EU-Standarddatenschutzklauseln der EU-Kommission im Sinne von Art. 46 Abs. 2 lit c) DSGVO.
Bei der Beauftragung von externen IT-Dienstleistern außerhalb der EU/des EWR wird ein angemessenes Datenschutzniveau durch die Verwendung von Standarddatenschutzklauseln (SCC) der Europäischen Kommission im Sinne von Sinne von Art. 46 (2) (c) GDPR gewährleistet.
Je nach Empfängerland wird bei einer Datenübermittlungen zusätzlich ein Transfer Impact Assessments durchgeführt, um die rechtlichen und praktischen Auswirkungen im Empfängerland zu bewerten. Diese Bewertung umfasst eine Prüfung der lokalen Gesetze und Praktiken, um festzustellen, ob zusätzliche Schutzmaßnahmen erforderlich sind.
An Behörden, Gerichte oder andere Stellen
Im Zusammenhang mit der Durchführung unserer Leistungen kann es zudem erforderlich sein, Informationen, Arbeitsergebnisse und Unterlagen an Behörden, Gerichte oder andere öffentliche oder private Stellen (im Falle eines Auslandsbezugs auch im Ausland) zu übermitteln. Gleiches gilt für die Fälle, in denen Deloitte einer gesetzlichen, behördlichen oder gerichtlichen Anordnung zur Herausgabe/Offenlegung von personenbezogenen Daten verpflichtet ist. Dies erfolgt nur dann, wenn dem keine berufsrechtlichen Verschwiegenheitspflichten entgegenstehen.
Ihre Rechte im Zusammenhang mit der Datenverarbeitung
Die DSGVO räumt Betroffenen im Wesentlichen die nachfolgenden Rechte ein, welche Sie jederzeit durch Kontaktaufnahme mit dem in diesen Informationen genannten Datenschutzbeauftragten unter privacy@deloitte.de bzw. kontakt@deloitte.de geltend machen können.
Sie können von Deloitte grundsätzlich jederzeit Auskunft darüber verlangen, ob und welche personenbezogenen Daten über Sie bei Deloitte wie verarbeitet werden bzw. gespeichert sind. Bitte beachten Sie, dass Ihr Recht auf Auskunft insoweit eingeschränkt sein kann, als eine solche Auskunft im Widerspruch zum Berufsgeheimnis stehen und insofern geheimhaltungsbedürftige Informationen offenbart würden.
Neben Ihrem Recht auf Auskunft können Sie jederzeit die Berichtigung Ihrer Daten verlangen. Hinzu kommt ein Recht auf Löschung Ihrer Daten, wenn und soweit die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt werden oder, wenn die Verarbeitung auf Ihrer Einwilligung beruht, Sie Ihre Einwilligung aber widerrufen haben. Das vorgenannte Recht auf Löschung Ihrer Daten entfällt, sofern Ihre Daten aufgrund einer gesetzlichen Pflicht nicht gelöscht werden dürfen oder aufgrund einer gesetzlichen Pflicht verarbeitet werden müssen oder eine Datenverarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
Darüber hinaus haben Sie das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten von Deloitte zu verlangen.
Hinzu kommt ein Recht auf Datenübertragbarkeit, d.h. Sie können verlangen, von Deloitte die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und/oder dass diese Daten an einen anderen Verantwortlichen übermittelt werden. Bitte beachten Sie, dass dies nicht gilt, sofern Sie uns die Daten auf der Grundlage einer Einwilligung oder aufgrund eines mit Ihnen abgeschlossenen Vertrages zur Verfügung gestellt haben oder die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
Sofern Deloitte Ihre personenbezogenen Daten auf der Grundlage von Art. 6 Abs. 1 lit. f) DSGVO verarbeitet (z.B. wenn Ihr Arbeitgeber als Kunde von Deloitte uns Ihre personenbezogenen Daten als Ansprechpartner in Ihrem Unternehmen übermittelt hat, oder wenn wir Ihre Kontaktdaten nutzen, um Ihnen Informationen über Angebote und Veranstaltungen von Deloitte zuzusenden), können Sie jederzeit Widerspruch gegen diese Verarbeitung einlegen.
Beschwerderecht bei einer Datenschutzaufsichtsbehörde
Neben den vorstehend aufgezeigten Betroffenenrechte haben Sie zudem gemäß Art. 77 DSGVO das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen das Datenschutzrecht verstößt. Zuständig ist jeweils die Aufsichtsbehörde des Bundeslandes, in dem die verantwortliche Stelle Ihren Sitz hat. Dauer der DatenspeicherungBitte beachten Sie, dass Deloitte Ihre personenbezogenen Daten solange speichert und verarbeitet, wie es für die Erfüllung der vorstehend aufgezeigten Verarbeitungszwecke erforderlich ist. Soweit personenbezogene Daten Gegenstand von gesetzlichen Aufbewahrungspflichten oder Bestandteil von Unterlagen sind, die gesetzlichen Aufbewahrungspflichten unterliegen, wird Deloitte diese Daten für die Dauer der gesetzlich festgelegten Aufbewahrungsfrist speichern.
Je nach Kategorie der Dokumente speichert Deloitte personenbezogene Daten aufgrund anwendbarer gesetzlicher Aufbewahrungspflichten im Wesentlichen für folgende, unterschiedlich lange Zeiträume:
Es ist die längste Aufbewahrungsfrist maßgeblich, soweit die betroffenen Daten verschiedenen Aufbewahrungsfristen unterliegen, und die gesetzlich vorgeschriebene Aufbewahrungsfrist kann sich je nach Einzelfall verlängern, wenn bspw. die Informationen zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen auch nach Ablauf der Aufbewahrungsfrist benötigt werden.
1 Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited (DTTL), ihr weltweites Netzwerk von Mitgliedsunternehmen und ihre verbundenen Unternehmen (zusammen die „Deloitte-Organisation“). DTTL (auch „Deloitte Global“ genannt) und jedes ihrer Mitgliedsunternehmen sowie ihre verbundenen Unternehmen sind rechtlich selbstständige und unabhängige Unternehmen, die sich gegenüber Dritten nicht gegenseitig verpflichten oder binden können. DTTL, jedes DTTL-Mitgliedsunternehmen und verbundene Unternehmen haften nur für ihre eigenen Handlungen und Unterlassungen und nicht für die der anderen. DTTL erbringt selbst keine Leistungen gegenüber Kunden. Weitere Informationen finden Sie unter www.deloitte.com/de/UeberUns.
ENGLISH VERSION
Privacy Notice
„Privacy Policy“ and „Information on the processing of personal data in accordance with Art. 13, 14 DSGVO“
Introduction
The following sections, “Privacy Policy” and “Information about the processing of personal data in accordance with Art. 13, 14 GDPR,” explain what data we collect about you, what we need this data for and to whom we pass on this data. In addition, they also include your rights in relation to your data and the contact persons to whom you can turn for further information or inquiries.
While the “Privacy Policy” is intended primarily to clarify what personal data we process, store and protect if you use “our website” and “Deloitte apps” (as defined below), the “Information about the processing of personal data in accordance with Art. 13, 14 GDPR” essentially describes how your data are processed in the context of our services for you / our customers and in the context of all other activities that are part of the performance of our business activities.
I. Privacy Policy
II. Information about the processing of personal data in accordance with Art. 13, 14 GDPR
Please ensure that, in addition to the information below, you are also familiar with Deloitte’s Privacy Policy. For questions of understanding or other queries, please contact us at privacy@deloitte.de.
Deloitte GmbH Wirtschaftsprüfungsgesellschaft provides services in the areas of auditing, risk advisory, tax consultancy, financial advisory and consulting for companies and institutions from all economic sectors; legal advice is provided in Germany by Deloitte Legal Rechtsanwaltsgesellschaft mbH (“Deloitte Legal”) (collectively “Deloitte” / “we”). As part of the commission to provide the above services, Deloitte processes personal data according to the individual order. This information complements the Privacy Policy above and provides a more concrete description of how Deloitte processes your personal information as part of the provision of the commissioned service.
Please note that this information refers exclusively to personal data within the meaning of Art. 4 No. 1 GDPR, i.e. not all data and information that Deloitte receives in relation to the underlying client relationship, but essentially only information that relates to an identified or identifiable natural person. Notwithstanding this, the professional secrecy and confidentiality obligations to which Deloitte and Deloitte employees are subject by the professional law of tax consultants, certified public accountants and lawyers, as applicable, shall apply in full to all data and information we receive from you under the client relationship, regardless of whether this is personal data within the meaning of the GDPR.
The controller within the meaning of the GDPR
The controller within the meaning of Art. 4 (7) EU General Data Protection Regulation (GDPR), which is responsible for processing your personal data in connection with all services not provided by Deloitte Legal, is:
Deloitte GmbH Wirtschaftsprüfungsgesellschaft
Rosenheimer Platz 4
81669 München
The controller within the meaning of Art. 4 (7) EU General Data Protection Regulation (GDPR), which is responsible for processing your personal data in connection with all services provided by Deloitte Legal is:
Deloitte Legal Rechtsanwaltsgesellschaft mbH
Erna-Scheffler-Straße 2
40476 Düsseldorf
If the contractor of a contract for the performance of our services is another German Deloitte company, then it acts as the responsible body in the case concerned. An overview of the German Deloitte companies can be found here.
Data protection officer & data protection supervisor
All German Deloitte companies have appointed data protection officers. You can contact the respective data protection officer at privacy@deloitte.de. The relevant supervisory authorities can be found here.
Purposes of processing and legal basis for processing
Deloitte processes your personal information for the purpose of fulfilling our (pre)contractual obligation to our customers. In particular, we process your contact details such as name, address, telephone number and e-mail address in this context in order to carry out pre-contractual measures (such as internal pre-contractual compliance checks or within the scope of the client / contract) and to carry out our respective contractual obligations, including administrative execution and settlement of the respective contract on the basis of Art. 6 para. 1 lit. b) GDPR. Deloitte uses IT systems to administer and store your personal information to manage and execute order requests / assignments, but with no automated decision-making or profiling.
Depending on the category of documents, Deloitte will store personal data for record keeping / documentation and archival purposes in accordance with relevant legislation for a varying period of time:
As a rule, Deloitte receives the necessary personal data from the customers. In this respect, Deloitte has, in accordance with Art. 6 para. 1. f) GDPR, a legitimate interest in the processing of this personal data, as Deloitte is obliged to carry out the contracted service on the basis of the underlying contract. In this context, it is essential for Deloitte to process any personal data related to the contact persons of our customer (including at an early stage within the context of the offer preparation).
If you have commissioned Deloitte to perform certain services, such additional personal data relating to you will be processed in the context of order processing in addition to your contact details to the extent that they are necessary for the provision of the service agreed with you and that you have forwarded such information to us. In this respect, the processing of your personal data is justified to ensure the fulfillment of the contract between you and Deloitte and according to Art. 6 para. 1 b) GDPR.
Please note that Deloitte’s General Terms and Conditions generally require the client to be obliged to provide Deloitte with all the documents and information necessary to complete the contract. In this respect, the processing of the respective order and the associated fulfillment of the contractually agreed service by Deloitte is not possible or possible only to a limited extent if and insofar as the necessary information is not provided.
As Deloitte is required by law to ensure proper record keeping, extensive documentation of its clients and assignments (also beyond the conclusion of an order) as well as compliance with further retention and documentation obligations (including due to professional, accounting or commercial and corporate law requirements), Deloitte processes your personal data in the context of documents to be recorded, work results or related customer-related correspondence (also for the purpose of file management), documentation and archiving both in the form of paper files and in the context of IT systems used for this purpose on the basis of Art. 6 para. 1. c) GDPR for the fulfillment of our aforementioned legal obligations.
Notwithstanding the foregoing purposes, Deloitte will, to the extent permitted by applicable law, also process your contact information (including name, address, e-mail address) for marketing and advertising purposes, in other words, for example, to provide you with information about our further offers or events. This is done on the basis of consents and / or a legitimate economic interest of Deloitte as defined in Art. 6 para. 1. f) to inform their customers about further offers and events they provide and thus to establish and maintain a long-term customer relationship.
Finally, Deloitte also processes your contact information for the purpose of maintaining our business contacts when we receive them in the course of a business event, as part of a business appointment (e.g. by exchanging business cards) or as part of an order, and transfer these into the CRM system we use (Customer Relationship Management System).
Because Deloitte has a legitimate commercial interest in maintaining contacts in the context of business relations beyond the initial contact, to use them for establishing a business relationship and to remain in contact with the data subject for this purpose, the above processing of your personal data takes place on the basis of Art. 6 para. 1. f) GDPR.
Categories of data recipients and transfers to third countries
In connection with the implementation of the above-mentioned processing, personal data may also be received from third parties, as specified below. Your personal data may be stored within and outside the EU/European Economic Area (EEA). Data may be transferred to both European and non-European countries, whereby the transfer of data may be temporary and does not necessarily lead to storage.
To other Deloitte member firms1 for the purpose of cooperation in the provision of our services
Where necessary for the provision of the service, i.e. in the case of a foreign assignment or where the expertise of a foreign colleague is required, Deloitte cooperates with other companies from the global Deloitte network. If such a transfer is made to a network company outside the EU/EEA, the member firms of the Deloitte network have entered into an internal data protection agreement, containing the EU standard contractual clauses of the EU Commission within the meaning of Art 46 para 2 lit c) GDPR. This agreement requires a consistent level of data protection across all Deloitte entities worldwide. It therefore allows for global transfers of data in accordance with applicable European privacy laws.
Deloitte's internal IT service providers and external IT service providers within the EU/EEA
Deloitte uses other German or foreign Deloitte network companies as internal network and third parties as external IT service providers, which provide services for the operation, maintenance and care of the IT systems and applications used by the Deloitte network companies. Both internal and external IT service providers are bound by instructions.
To Deloitte's internal IT service providers and external IT service providers outside of the EU/EEA
To the extent that access is provided by an internal IT service provider outside the EU/EEA, an adequate level of data protection is ensured by our internal data protection agreement and contracts we have in place with those network companies. containing Standard Contractual Clauses (SCC) of the EU Commission within the meaning of Art. 46 (2) (c) GDPR.
When using external IT service providers outside the EU/EEA, an adequate level of data protection is ensured through the use of standard contractual clauses (SCC) of the European Commission within the meaning of Art. 46 (2) (c) GDPR.
Depending on the recipient country, external data transfers further undergo a Transfer Impact Assessment to evaluate the legal and practical implications in the recipient country. This assessment includes a review of local laws and practices to determine if additional protective measures are necessary.
To authorities, courts or other bodies
In connection with the performance of our services, it may be necessary to transmit information, work results and documents to authorities, courts or other public or private bodies (including transfers abroad in the case of a foreign assignment). The same applies to cases in which Deloitte is obliged by law, administrative or court order to disclose personal data. This shall only occur if there are no professional secrecy obligations to the contrary.
Your rights in connection with data processing
The GDPR essentially grants data subjects the following rights, which you can assert at any time by contacting the data protection officer named in this information at
In principle, you can request information from Deloitte at any time as to whether personal data about you are processed or stored at Deloitte and which personal data are affected. Please note that your right to information may be restricted to the extent that such information conflicts with professional secrecy and to the extent that information requiring secrecy would be disclosed.
In addition to your right to information, you can request the correction of your data at any time. In addition, you have the right to delete your data if and when the data are no longer needed for the purposes for which it was collected or, if the processing is based on your consent, you have revoked your consent. The aforementioned right to delete your data is waived if your data must not be deleted due to a legal obligation or must be processed due to a legal obligation or if data processing is required for the assertion, exercise or defense of legal rights.
In addition, you have the right to request that Deloitte restrict the processing of your personal information.
Added to this is a right to data portability, i.e. you may request that Deloitte retain the data you provide in a structured, common and machine-readable format and / or that such data be transmitted to another controller. Please note that this does not apply if you have made the data available to us on the basis of consent or on the basis of a contract concluded with you or if the processing is carried out using automated procedures.
If Deloitte processes your personal data on the basis of Art. 6 para. 1. f) GDPR (e.g. if your employer, as a Deloitte customer, has provided us with your personal information as a contact in your company, or if we use your contact information to send you information about offers and events provided by Deloitte), you can object to this processing at any time.
Right of appeal to a data protection supervisory authority
In addition to the data subject rights listed above, you also have the right to complain to a data protection supervisory authority in accordance with Art. 77 GDPR if you believe that the processing of your personal data violates data protection law. In each case, the supervisory authority of the federal state in which the controller has its seat is responsible.
Duration of data storage
Please note that Deloitte will store and process your personal information for as long as it is necessary for the fulfillment of the above mentioned processing purposes. Insofar as personal data are subject to statutory retention obligations or are part of documents subject to statutory retention requirements, Deloitte will store this data for the duration of the statutory retention period.
Depending on the category of documents, Deloitte will generally store personal information for the following varying periods of time, based on applicable statutory retention requirements:
If the data are subject to different retention periods, the longest retention period applies, and the legally required retention period may be extended depending on the individual case, e.g. if the information is required to assert, exercise or defend legal rights even after expiration of the retention period.
1 Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited (DTTL), its global network of member firms, and their related entities (collectively, the “Deloitte organization”). DTTL (also referred to as “Deloitte Global”) and each of its member firms and related entities are legally separate and independent entities, which cannot obligate or bind each other in respect of third parties. DTTL and each DTTL member firm and related entity is liable only for its own acts and omissions, and not those of each other. DTTL does not provide services to clients. Please see www.deloitte.com/de/UeberUns to learn more.