Besitzen Sie diesen Inhalt bereits, melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.

Dokumentvorschau
WP Praxis Nr. 3 vom Seite 70

Die Auswirkungen der DSGVO auf Prüfungsdienstleistungen

Verarbeitung personenbezogener Daten im Rahmen der gesetzlichen Abschlussprüfung

WP/StB/CISA/CMA Dr. Jonas Tritschler

Das seit dem Inkrafttreten der DSGVO verschärfte Datenschutzrecht in Europa hat auch im „Prüferalltag“ Einzug erhalten. Inwieweit es sich tatsächlich auch für die Dienstleistungen eines Wirtschaftsprüfers auswirkt und problematisch sein kann, wird in diesem Artikel diskutiert.

Zülch, Risikoorientierter Prüfungsansatz, infoCenter NWB UAAAE-25224

Kernaussagen
  • Der Abschlussprüfer ist datenschutzrechtlich Verantwortlicher. Offenkundige Verstöße gegen die DSGVO muss der Abschlussprüfer berichten.

  • Die Verarbeitung personenbezogener Daten im Rahmen der gesetzlichen Abschlussprüfung ist zulässig. Bei sonstigen Prüfungsleistungen ist die Verarbeitung personenbezogener Daten durch den Prüfer zulässig, wenn ein berechtigtes Interesse vorliegt.

  • Prüfer, die außerhalb der EU ansässig sind und für die ein vergleichbares Datenschutzniveau nicht gegeben ist, haben Standardvertragsklauseln mit dem zu prüfenden Unternehmen abzuschließen.

I. Ausgangssituation und Fragestellungen

Mit der verbindlichen Anwendung der EU-Datenschutzgrundverordnung (DSGVO) seit dem haben sich im Rahmen der Durchführung von Prüfungsleistungen (insbesondere Abschlussprüfungen) in der Praxis datenschutzrechtliche Diskussionen entfacht, die folgende Fragestellungen betreffen:

  1. Hat das zu prüfende Unternehmen zum Schutz personenbezogener Daten eine datenschutzrechtliche Vereinbarung mit dem Wirtschaftsprüfer zu vereinbaren?

  2. Kann das geprüfte Unternehmen (oder muss es sogar) die Auskunft über personenbezogene Daten (z. B. beim Verlangen nach Gehaltsnachweisen) verweigern und kann es Daten vor Durchführung der Prüfung anonymisieren oder schwärzen/zensieren?

  3. Wie stehen DSGVO und HGB im Verhältnis zueinander? Welches von beiden ist das höherwertige Gesetz?

  4. Ist eine Rechtmäßigkeit der Prüfung personenbezogener Daten auch bei freiwilligen Prüfungen oder sonstigen Prüfungsleistungen gegeben?

  5. Wie ist er Fall zu behandeln, wenn der Abschlussprüfer außerhalb der EU seinen Sitz hat (z. B. ein US-amerikanischer CPA) und er im Rahmen einer Konzernprüfung ein deutsches Unternehmen prüft (und damit verbunden unvermeidlich personenbezogene Daten von Bürgern, die in der EU ansässig sind, verarbeitet)?