Die Auswirkungen der DSGVO auf Prüfungsdienstleistungen

Das seit dem Inkrafttreten der DSGVO verschärfte Datenschutzrecht in Europa hat auch im „Prüferalltag“ Einzug erhalten. Inwieweit es sich tatsächlich auch für die Dienstleistungen eines Wirtschaftsprüfers auswirkt und problematisch sein kann, wird in diesem Artikel diskutiert.

Zülch, Risikoorientierter Prüfungsansatz, infoCenter NWB UAAAE-25224

Kernaussagen
  • Der Abschlussprüfer ist datenschutzrechtlich Verantwortlicher. Offenkundige Verstöße gegen die DSGVO muss der Abschlussprüfer berichten.

  • Die Verarbeitung personenbezogener Daten im Rahmen der gesetzlichen Abschlussprüfung ist zulässig. Bei sonstigen Prüfungsleistungen ist die Verarbeitung personenbezogener Daten durch den Prüfer zulässig, wenn ein berechtigtes Interesse vorliegt.

  • Prüfer, die außerhalb der EU ansässig sind und für die ein vergleichbares Datenschutzniveau nicht gegeben ist, haben Standardvertragsklauseln mit dem zu prüfenden Unternehmen abzuschließen.

I. Ausgangssituation und Fragestellungen

Mit der verbindlichen Anwendung der EU-Datenschutzgrundverordnung (DSGVO) seit dem  [1] haben sich im Rahmen der Durchführung von Prüfungsleistungen (insbesondere Abschlussprüfungen) in der Praxis datenschutzrechtliche Diskussionen entfacht, die folgende Fragestellungen betreffen:

  1. Hat das zu prüfende Unternehmen zum Schutz personenbezogener Daten eine datenschutzrechtliche Vereinbarung mit dem Wirtschaftsprüfer zu vereinbaren?

  2. Kann das geprüfte Unternehmen (oder muss es sogar) die Auskunft über personenbezogene Daten (z. B. beim Verlangen nach Gehaltsnachweisen) verweigern und kann es Daten vor Durchführung der Prüfung anonymisieren oder schwärzen/zensieren?

  3. Wie stehen DSGVO und HGB im Verhältnis zueinander? Welches von beiden ist das höherwertige Gesetz?

  4. Ist eine Rechtmäßigkeit der Prüfung personenbezogener Daten auch bei freiwilligen Prüfungen oder sonstigen Prüfungsleistungen gegeben?

  5. Wie ist er Fall zu behandeln, wenn der Abschlussprüfer außerhalb der EU seinen Sitz hat (z. B. ein US-amerikanischer CPA) und er im Rahmen einer Konzernprüfung ein deutsches Unternehmen prüft (und damit verbunden unvermeidlich personenbezogene Daten von Bürgern, die in der EU ansässig sind, verarbeitet)?

Unter der Annahme, dass jegliche Formen betriebswirtschaftlicher Prüfungen durch einen Wirtschaftsprüfer ohne Einschränkungen datenschutzrechtlich zulässig sind, ergeben sich Fragen bzgl. der tatsächlichen Prüfungsdurchführung insbesondere bzgl. des Datenaustauschs zwischen Prüfer und geprüftem Unternehmen, wenn dabei Dritte (z. B. Cloud-Dienstleister) eingebunden werden.

Zu guter Letzt stellt sich die Frage, wie der Abschlussprüfer reagieren muss, wenn Verstöße gegen die DSGVO und/oder gegen das BDSG bei einer Abschlussprüfung offenkundig werden (z. B. im Rahmen einer IT-Systemprüfung nach IDW PS 330).

Den vollständigen Beitrag finden Sie in der Datenbank.

Cookies erforderlich

Um fortfahren zu können, müssen Sie die dafür zwingend erforderlichen Cookies zulassen. Diese gewährleisten den vollen Funktionsumfang unserer Seite, ermöglichen die Personalisierung von Inhalten und können für die Ausspielung von Werbung oder zu Analysezwecken genutzt werden. Lesen Sie auch unsere Datenschutzerklärung.