Daten­schutz für Wirtschaftsprüfer

Gene­rell hat ein Wirt­schafts­prü­fer das Recht (§ 320 Abs. 2 S. 1 HGB), im Rah­men sei­ner Abschluss­prü­fung alle Auf­klä­run­gen und Nach­wei­se ein­zu­se­hen, die für eine sorg­fäl­ti­ge Prü­fung not­wen­dig sind. Der Prü­fer darf die­se jedoch nur für die Umset­zung der Prü­fung ver­wen­den und nicht für ande­re Zwe­cke zu verarbeiten.

Eine „betrof­fe­ne Per­son“ ist jede natür­li­che Per­son, deren per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den.  Dazu zäh­len in der Pra­xis ins­be­son­de­re die fol­gen­den Personen:

• - die Beschäf­tig­ten (z. B. Ange­stell­te oder freie Mit­ar­bei­ter) des WP / WPG,
• - Man­dan­ten, sofern es sich um natür­li­che Per­so­nen handelt,
• - Inter­es­sen­ten im Rah­men der Anbah­nung eines Vertrages
• - Kon­takt­per­so­nen, Ansprech­part­ner und z. B. Geschäfts­füh­rer bei Man­dan­ten, die juris­ti­sche Per­so­nen sind,
• - die Ansprech­part­ner und Beschäf­tig­ten von sons­ti­gen Ver­trags­part­nern des WP oder der WPG (z.B. Beschäf­tig­te der Dienst­leis­ter, Lie­fe­ran­ten, IT Ser­vice Pro­vi­der usw.).
• - Geschäfts­part­ner und Beschäf­tig­te des Mandanten

Geschützt wer­den nur per­so­nen­be­zo­ge­ne Daten der leben­den, natür­li­chen Per­so­nen. Unter­neh­mens­da­ten gehö­ren nicht dazu. Erfolgt hin­ge­gen die Ver­ar­bei­tung erkenn­bar mit Inhalts‑, Zweck- oder Ergeb­nis­be­zug zu der hin­ter der juris­ti­schen Per­son ste­hen­den natür­li­chen Per­son, sind die daten­schutz­recht­li­chen Vor­ga­ben der DSGVO auf die­se Ver­ar­bei­tung anzuwenden.

Die Daten­schutz-Grund­ver­ord­nung und das Bun­des­da­ten­schutz­ge­setz wer­den durch das Berufs­recht für Wirt­schafts­prü­fer und Wirt­schafts­prü­fungs­ge­sell­schaf­ten nicht ver­drängt. Grund­sätz­lich kann gesagt wer­den: Bei der Ver­ar­bei­tung von Daten der Man­dan­ten geht das Berufs­recht im Fal­le einer Kol­li­si­on mit der Daten­schutz­ge­setz­ge­bung vor. 

Wer­den die per­so­nen­be­zo­ge­nen Daten z. B. von Beschäf­tig­ten des Wirt­schafts­prü­fers oder von Beschäf­tig­ten der ein­ge­setz­ten Dienst­leis­ter oder Lie­fe­ran­ten ver­ar­bei­tet (also außer­halb eines Man­dats­ver­hält­nis­ses) – müs­sen die Vor­ga­ben der Daten­schutz­ge­set­ze beach­tet werden.

Die beruf­li­che Ver­schwie­gen­heits­pflicht der Wirt­schafts­prü­fer wird nicht geän­dert. Bei der Umset­zung des Daten­schut­zes im Unter­neh­men wur­den im Bun­des­da­ten­schutz­ge­setz jedoch Aus­nah­men bei der Umset­zung der Betrof­fe­nen­rech­te  (z. B. bei einer Aus­kunft oder Infor­ma­ti­ons­pflich­ten) defi­niert, damit das Berufs­ge­heim­nis nicht gefähr­det oder ver­letzt wird.

Füh­ren Daten­schutz­auf­sichts­be­hör­den Unter­su­chun­gen bei einem Wirt­schafts­prü­fer durch, kann ein Ein­blick in per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den, die der Geheim­hal­tung unter­lie­gen. Dazu gehö­ren z. B.

• - Zugriff auf IT-Sys­te­me, Daten­ban­ken oder struk­tu­rier­te Abla­gen (Akten), in denen Infor­ma­tio­nen von Man­dan­ten ver­ar­bei­tet werden.
• - Zugriff auf IT-Sys­te­me, die zur Abrech­nung für Man­da­ten genutzt werden
• - Zugriff auf E‑Mail Sys­te­me, wenn dort die Kor­re­spon­denz mit Man­dan­ten erfolgt.

Übli­cher­wei­se ist der Wirt­schafts­prü­fer auf­grund sei­ner Wei­sungs­frei­heit und Eigen­ver­ant­wort­lich­keit bei der Durch­füh­rung sei­ner in § 2 der Wirt­schafts­prü­fer­ord­nung fest­ge­leg­ten Auf­ga­ben ein Ver­ant­wort­li­cher im Sin­ne der DSGVO. 

Betreibt der Wirt­schafts­prü­fer aber ande­re Tätig­kei­ten, kann dies anders zu beur­tei­len sein. Dies könn­te z. B. der Betrieb einer Aus­tausch­platt­form sein, mit dem man­dan­ten­be­zo­ge­ne Daten aus­ge­tauscht wer­den. Dies ist im Ein­zel­fall zu prü­fen und dann fach­ge­recht umzusetzen.