DSGVO und Abschlussprüfung – Veränderungen nicht nur für den Datenschutzbeauftragten

PrintMailRate-it
veröffentlicht am 7. Februar 2018, von Armin Wilting
 

Grundsätzlich könnte man sagen, dass die Datenschutz-Grundverordnung (DSGVO) und die Abschlussprüfung keine Gemeinsamkeiten aufweisen und daher das Thema DSGVO für den Abschlussprüfer nicht relevant ist. Durch die DSGVO ändern sich aber die Aufgaben des Datenschutzbeauftragten: Er muss künftig eine aktivere Rolle im Unternehmen übernehmen. Aus Sicht der Abschlussprüfer ist er ein Bestandteil des internen Kontrollsystems. Zudem sind die möglichen Bußgelder deutlich erhöht worden und können somit auch für den Abschluss relevant werden.
 

 

Die Prüfung der Einhaltung datenschutzrechtlicher Vorschriften ist auch nach Inkrafttreten der DSGVO keine Aufgabe der Abschlussprüfung. Allerdings setzt sich der Abschlussprüfer im Rahmen des risikoorientierten Prüfungsansatzes auch mit dem rechnungslegungsbezogenen internen Kontrollsystem des Mandanten auseinander. Der Datenschutzbeauftragte ist ein Teil des internen Kontrollsystems, genauer gesagt, des internen Überwachungssystems. Nach der DSGVO zählt zu den internen Aufgaben des Datenschutzbeauftragten auch die Überwachung der Einhaltung von Vorgaben. Dabei muss sich der Datenschutzbeauftragte auch mit den technischen Maßnahmen zur Einhaltung des Datenschutzes beschäftigen. 

 

 

Gleiche Ziele bei Abschlussprüfung und Datenschutz

Im Rahmen der Abschlussprüfung muss sich der Abschlussprüfer gemäß dem „IDW Prüfungsstandard: Abschlussprüfung bei Einsatz von Informationstechnologie” (IDW PS 330) mit der IT-Sicherheit beschäftigen. 
Konkret zu prüfen ist die Einhaltung der in der „IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie” (IDW RS FAIT 1) definierten Anforderungen:
  • Authentizität,
  • Vertraulichkeit,
  • Integrität,
  • Verfügbarkeit,
  • Autorisierung und
  • Verbindlichkeit.
      

Hierbei handelt es sich um Anforderungen, die sich weitgehend mit denen des Datenschutzes decken. Somit bekommt der Abschlussprüfer auch einen Einblick in die Maßnahmen zum Datenschutz und kann bei seinen Prüfungshandlungen auch Probleme feststellen, die den Datenschutz betreffen.
 

Nutzung der Ergebnisse des Datenschutzbeauftragten

Der Abschlussprüfer kann überlegen, ob er sich bei der Abschlussprüfung auf Überwachungsmaßnahmen des Datenschutzbeauftragten stützt. Dabei könnten die gleichen Überlegungen angestellt werden, die auch bei der Verwertung der Ergebnisse der internen Revision gelten – danach wäre etwa zu beurteilen, ob Vorgehen und Umfang der Arbeiten des Datenschutzbeauftragten angemessen waren.
 

Berichtspflichten des Abschlussprüfers

Sofern der Abschlussprüfer feststellt, dass Anforderungen des Datenschutzes nicht eingehalten werden, muss er überlegen, ob es sich um schwerwiegende Gesetzesverstöße oder bedeutsame Schwächen des internen Kontrollsystems handelt. Ist das der Fall, muss er gemäß dem „IDW Prüfungsstandard: Grundsätze ordnungsmäßiger Erstellung von Prüfungsberichten” (IDW PS 450 n.F.) im Prüfungsbericht darüber berichten.
 

Outsourcing

Immer häufiger werden Teilbereiche der Unternehmen ausgelagert. Dabei liegt häufig Auftragsdaten­verarbeitung vor, bei der die Anforderungen von § 11 Abs. 2 BDSG zu beachten sind. Dort sind konkrete Vorgaben für die Vertragsgestaltung definiert. Da der Abschlussprüfer bei Auslagerungen ein Verständnis darüber erlangen muss, ob sie für die Abschlussprüfung relevant sind, wird er sich auch mit diesem Thema beschäftigen. Wir stellen während der Abschlussprüfung sehr häufig – insbesondere bei Auslagerungen innerhalb von Konzernen – fest, dass die vertragliche Gestaltung nicht den rechtlichen Anforderungen entspricht. Solche Verstöße bedeuten immer auch Verstöße gegen den Datenschutz.
 

Auswirkungen der Veränderungen im Datenschutz

Wesentliche Veränderungen aufgrund der DSGVO betreffen
  • die Informationspflichten der Unternehmen,
  • das Recht auf Vergessenwerden,
  • die Rechenschaftspflichten und
  • die Datenschutz-Folgenabschätzung mit den Informationspflichten gegenüber den Behörden.
     

Das führt zu einer Ausweitung der Aufgaben des Datenschutzbeauftragten.
 
Aus dem Blickwinkel des Abschlussprüfers ist eine weitere Veränderung von Relevanz, nämlich die Verschärfung der Sanktionen. In der Vergangenheit war das maximale Bußgeld (300.000 Euro) häufig für den Jahresabschluss unwesentlich. Durch die Änderung können jetzt bis zu 4 Prozent des weltweiten Konzernumsatzes als Strafzahlung verhängt werden. Bestehen entsprechende Risiken und werden sie nicht zutreffend im Abschluss abgebildet, muss der Abschlussprüfer ggf. Konsequenzen für den Bestätigungsvermerk in Erwägung ziehen.   
 

Bitte beachten Sie:

  • Unternehmen müssen sich rechtzeitig an die geänderten Anforderungen aufgrund der DSGVO anpassen.
  • Auch vor dem Hintergrund der deutlich erhöhten Strafzahlungen sollte der Datenschutz erheblich an Gewicht gewinnen. 
  • Sprechen Sie mit Ihrem Abschlussprüfer, sofern Sie Bedenken bei der Einhaltung und Umsetzung von Anforderungen des Datenschutzes haben.
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu