Das Einsichtsrecht bei der Abschlussprüfung
Im Rahmen einer Jahresabschlussprüfung erhalten Wirtschaftsprüfer Zugang zu vielen sensiblen Unternehmensunterlagen, die häufig personenbezogene Daten von Mitarbeitern, Kunden oder Geschäftspartnern enthalten. Diese Datenverarbeitung wirft regelmäßig datenschutzrechtliche Fragen auf, insbesondere in Bezug auf die Rechtsgrundlagen und die Pflichten der Prüfer, denn auch für Auskunftsersuchen von Wirtschaftsprüfern und Wahrnehmung von Einsichtsrechten ist diese erforderlich. Um die ordnungsgemäße Prüfung des Jahresabschlusses sicherzustellen, sind Unternehmen verpflichtet, umfassende Unterlagen zur Verfügung zu stellen. Dabei sind jedoch die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und andere rechtliche Rahmenbedingungen zu beachten.
Ein zentraler Aspekt der Abschlussprüfung ist das Einsichtsrecht des Prüfers. Nach § 320 Abs. 2 S. 1 HGB können die Abschlussprüfer von den gesetzlichen Vertretern eines Unternehmens alle Aufklärungen und Nachweise verlangen, die für eine sorgfältige Prüfung notwendig sind. Da viele dieser Nachweise personenbezogene Daten enthalten, muss die Datenverarbeitung im Rahmen der Abschlussprüfung stets auf einer rechtlichen Grundlage beruhen. Die Übermittlung von Daten an den Wirtschaftsprüfer ist dabei datenschutzrechtlich als Datenübermittlung zu qualifizieren, weshalb datenschutzrechtliche Anforderungen der DSGVO zu beachten sind.
Rechtsgrundlagen der Datenverarbeitung bei der Abschlussprüfung
1. Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit §§ 316, 320 HGB)
Für mittelgroße und große Unternehmen besteht nach § 316 HGB die gesetzliche Pflicht zur Prüfung des Jahresabschlusses. Dies bedeutet, dass die Unternehmen die Wirtschaftsprüfer mit allen notwendigen Informationen versorgen müssen. Die rechtliche Verpflichtung zur Bereitstellung der Unterlagen bildet dabei die Grundlage für die Verarbeitung personenbezogener Daten im Rahmen der Prüfung.
Gemäß Art. 6 Abs. 1 lit. c DSGVO ist die Verarbeitung personenbezogener Daten zulässig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Da die Unternehmen gesetzlich verpflichtet sind, die Daten im Rahmen der Abschlussprüfung bereitzustellen, ist diese Rechtsgrundlage hier von zentraler Bedeutung. Der Wirtschaftsprüfer darf die personenbezogenen Daten nur in dem Umfang verarbeiten, wie es für die Durchführung der Prüfung erforderlich ist.
Das Bundesarbeitsgericht (BAG) hat in mehreren Urteilen klargestellt, dass die Bereitstellung von Daten zur Erfüllung gesetzlicher Pflichten, einschließlich der Durchführung einer Abschlussprüfung, grundsätzlich zulässig ist, sofern die Datenverarbeitung auf das notwendige Maß beschränkt wird. Insbesondere das Urteil des BAG vom 20. Juli 2016 (Az. 4 AZR 504/15) unterstreicht, dass betriebliche Prüfungen im Interesse des Unternehmens sowie im Rahmen gesetzlicher Verpflichtungen durchgeführt werden können, auch wenn hierbei personenbezogene Daten betroffen sind.
2. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Neben der Erfüllung gesetzlicher Verpflichtungen kann die Verarbeitung personenbezogener Daten auch auf berechtigte Interessen des Unternehmens oder des Wirtschaftsprüfers gestützt werden. Art. 6 Abs. 1 lit. f DSGVO erlaubt die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen, sofern die Interessen des Verantwortlichen oder Dritten überwiegen und die Grundrechte der betroffenen Person nicht übermäßig beeinträchtigt werden.
Im Fall der Jahresabschlussprüfung liegt das berechtigte Interesse des Unternehmens darin, einen ordnungsgemäßen und gesetzeskonformen Jahresabschluss sicherzustellen. Die korrekte Prüfung ist nicht nur eine gesetzliche Pflicht, sondern dient auch dazu, das Vertrauen von Investoren, Behörden und anderen Stakeholdern zu gewährleisten. In der Praxis ist daher regelmäßig eine Abwägung zwischen den berechtigten Interessen des Unternehmens an der Prüfung und den schutzwürdigen Interessen der betroffenen Personen vorzunehmen. Hierbei überwiegen in der Regel die Interessen des Unternehmens, da die Abschlussprüfung gesetzlich vorgeschrieben ist und die Verarbeitung der Daten ausschließlich für diesen Zweck erfolgt.
3. Verschwiegenheitspflicht der Wirtschaftsprüfer
Ein weiterer wesentlicher Aspekt im Zusammenhang mit der Verarbeitung personenbezogener Daten durch Wirtschaftsprüfer ist die Verschwiegenheitspflicht, die sowohl strafrechtlich als auch berufsrechtlich verankert ist. Die Verschwiegenheitspflicht ist im § 43 WPO (Wirtschaftsprüferordnung) und im § 203 StGB geregelt. Sie verpflichtet Wirtschaftsprüfer, alle Informationen, die sie im Rahmen ihrer Tätigkeit erhalten, vertraulich zu behandeln. Diese Verpflichtung dient dem Schutz der personenbezogenen Daten und soll sicherstellen, dass die erhobenen Daten nur für die Prüfung verwendet und nicht an Dritte weitergegeben werden.
Das Bundesverfassungsgericht hat in mehreren Entscheidungen betont, dass die Verschwiegenheitspflicht einen hohen Schutzstandard für die betroffenen Personen bietet. Insbesondere im Urteil vom 27. Oktober 2010 (Az. 1 BvR 825/08) wurde festgehalten, dass die Verschwiegenheitspflicht eine zentrale Rolle bei der Wahrung der Grundrechte der Betroffenen spielt, wenn es um die Verarbeitung sensibler Informationen im Rahmen von Wirtschaftsprüfungen geht.
Zweckbindung und Datenminimierung
Gemäß Art. 5 Abs. 1 lit. b und c DSGVO müssen personenbezogene Daten zweckgebunden und datenminimierend verarbeitet werden. Für die Abschlussprüfung bedeutet dies, dass nur solche Daten an den Wirtschaftsprüfer übermittelt werden dürfen, die für die Prüfung tatsächlich erforderlich sind. Die Unternehmen sollten daher in Zusammenarbeit mit ihrem Datenschutzbeauftragten prüfen, welche Daten bereitgestellt werden müssen und sicherstellen, dass keine unnötigen oder überschüssigen Daten verarbeitet werden.
Das Oberlandesgericht Düsseldorf entschied in einem Urteil vom 21. Juni 2018 (Az. I-20 U 11/17), dass Wirtschaftsprüfer verpflichtet sind, die Prinzipien der Datenminimierung zu beachten und nur solche Daten zu verarbeiten, die für die Erfüllung ihrer Aufgaben zwingend notwendig sind. Dieses Urteil unterstreicht die Bedeutung der datenschutzrechtlichen Grundsätze, insbesondere der Zweckbindung und Datenminimierung, auch im Rahmen der Abschlussprüfung.
Fazit: Rechtskonforme Datenverarbeitung bei der Abschlussprüfung
Die Datenverarbeitung im Rahmen der Abschlussprüfung durch Wirtschaftsprüfer ist rechtlich gut abgesichert, sofern die Anforderungen der DSGVO und der spezialgesetzlichen Regelungen, wie dem HGB, beachtet werden. Die wichtigsten Rechtsgrundlagen sind die Erfüllung gesetzlicher Pflichten nach Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit den einschlägigen Vorschriften des HGB sowie die berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO. Die Verschwiegenheitspflicht der Prüfer bietet zusätzlichen Schutz für die betroffenen Personen, deren Daten verarbeitet werden.
Unternehmen sollten jedoch sicherstellen, dass die Datenverarbeitung zweckgebunden und datenminimierend erfolgt. Der enge Austausch mit dem Datenschutzbeauftragten des Unternehmens ist dabei unerlässlich, um die datenschutzrechtlichen Anforderungen einzuhalten und den Schutz der personenbezogenen Daten zu gewährleisten. Auch in der Zusammenarbeit mit Steuerberaten können Fragen zur Rechtmäßigkeit und Rechtsgrundlage für eine Zusammenarbeit auftreten. Erfahren Sie dazu mehr in unserem Beitrag: Sind Steuerberater Auftragsverarbeiter?