FIDES Treuhand GmbH & Co. KG Datenschutz aus Sicht des Wirtschaftsprüfers Hamburg, 17.02.2015 Bremen, 24.02.2015 Osnabrück, 25.02.2015 WP/StB Harm Dodenhoff
k k k Wirtschaftsprüfung IT Audit Steuerberatung Corporate Finance Mandantenservice Herstellerunabhängige, ganzheitliche IT-Beratung IT-Strategie/IT-Due Diligence IT-Projektmanagement IT-Sicherheit/IT-Infrastruktur Controlling/ Informationssysteme Rechtsberatung mit den Schwerpunkten Privates und Öffentliches Wirtschaftsrecht, Kapitalmarktrecht, Energierecht, Erneuerbare Energien Bremen Hamburg Berlin Bremerhaven Leer Osnabrück Rostock Köln Bremen Hamburg Bremen FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 2
Name Harm Dodenhoff Foto einfügen Position bei FIDES Partner Kurzvita Studium der Wirtschaftswissenschaften, 1982-1986 Eintritt bei FIDES 1986 Steuerberater seit 1991 Wirtschaftsprüfer seit 1995 Partner der FIDES seit 1999 Kontaktdaten T +49 (421) 3013-123 M +49 (162) 2338-123 F +49 (421) 3013-100 h.dodenhoff@fides-treuhand.de Qualifikation Relevante Erfahrungen Wirtschaftsprüfer, Steuerberater, Diplom-Kaufmann Wahrnehmung von Querschnittsaufgaben in der FIDES-Geschäftsführung Prüfung und Beratung von Mittelständlern, Kreditinstituten, Krankenhäusern und Unternehmen der öffentlichen Hand Prüfer für Qualitätskontrolle gemäß 57a Wirtschaftsprüferordnung FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 3
Inhalt A. Begriffsabgrenzung B. Pflicht zur Einhaltung der Berufsgrundsätze C. Datenschutz im Rahmen der Organisation der Wirtschaftsprüferpraxis D. Datenschutzaspekte im Zusammenhang mit gesetzlich vorgeschriebenen Jahresabschlussprüfungen I. Prüfungsdurchführung II. Prüfungsfeststellungen zum Datenschutz E. Datenschutzaspekte im Zusammenhang mit freiwilligen Jahresabschlussprüfungen F. Datenschutzaspekte im Zusammenhang mit Sonderprüfungen G. Zusammenfassung und Fazit FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 4
A. Begriffsabgrenzung (1) Abzugrenzende Begriffe sind Datensicherheit und Datenschutz, wobei es Überschneidungen gibt Datensicherheit ist der Schutz von Daten vor Verlust, Verfälschung oder Beschädigung durch organisatorische Maßnahmen wie z. B. Arbeitsanweisungen Datensicherung (-skonzept) Zugangskontrollen Verlaufsprotokolle technische Maßnahmen wie z. B. Firewall Antivirenprogramm Benutzerberechtigungen Notstromversorgung Brandschutz FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 5
A. Begriffsabgrenzung (2) Datenschutz ist der Schutz von personenbezogenen Daten vor unberechtigtem Zugriff von personenbezogenen Daten vor missbräuchlicher Datenverarbeitung des Rechts auf informationelle Selbstbestimmung der Privatsphäre durch organisatorische Maßnahmen wie z. B. Arbeitsanweisungen Zugangskontrollen Bestellung eines Datenschutzbeauftragten technische Maßnahmen wie z. B. Firewall Benutzerberechtigungen Überwachungskameras FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 6
B. Pflicht zur Einhaltung der Berufsgrundsätze 43 WPO Allgemeine Berufspflichten (1)Der Wirtschaftsprüfer hat seinen Beruf unabhängig, gewissenhaft, verschwiegen und eigenverantwortlich auszuüben. Er hat sich insbesondere bei der Erstattung von Prüfungsberichten und Gutachten unparteiisch zu verhalten. (2).. 9 Berufssatzung WP/vBP (1)WP/vBP dürfen Tatsachen und Umstände, die ihnen bei ihrer Berufstätigkeit anvertraut oder bekannt werden, nicht unbefugt offenbaren. (2)WP/vBP haben dafür Sorge zu tragen, dass Tatsachen und Umstände im Sinne von Absatz 1 Unbefugten nicht bekannt werden. Sie haben entsprechende Vorkehrungen zu treffen. (3)Die Pflichten nach Absatz 1 und 2 bestehen nach Beendigung eines Auftragsverhältnisses fort. FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 7
C. Datenschutz im Rahmen der Organisation der Wirtschaftsprüferpraxis (1) Organisatorische Maßnahmen Zutrittskontrollen und -beschränkungen Verschwiegenheitserklärung (auch für "Externe") Informationsschutzrichtlinie Aktenhaltung und -vernichtung Datenschutzbeauftragter FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 8
C. Datenschutz im Rahmen der Organisation der Wirtschaftsprüferpraxis (2) Technische Maßnahmen Elektronische Zugangskontrollen Alarmanlage Firewall Benutzerberechtigungen Verschlüsselungstechniken Sicherheitstests (Penetrationstests) FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 9
D. Datenschutzaspekte im Zusammenhang mit gesetzlich vorgeschriebenen Jahresabschlussprüfungen I. Prüfungsdurchführung (1) Grundsätzlich keine explizite Ausrichtung der Jahresabschlussprüfung auf Verstöße gegen Datenschutzbestimmungen aber 317 HGB Gegenstand Art und Umfang der Prüfung (1) In die Prüfung des Jahresabschlusses ist die Buchführung einzubeziehen. Die Prüfung des Jahresabschlusses und des Konzernabschlusses hat sich darauf zu erstrecken, ob die gesetzlichen Vorschriften und die ergänzenden Bestimmungen des Gesellschaftsvertrags oder der Satzung eingehalten worden sind. Die Prüfung ist so anzulegen, dass Unrichtigkeiten und Verstöße gegen die in Satz 2 aufgeführten Bestimmungen, die sich auf die Darstellung des sich nach 264 Absatz 2 ergebenden Bildes der Vermögens-, Finanz- und Ertragslage des Unternehmens wesentlich auswirken, bei gewissenhafter Berufsausübung erkannt werden. (2) Das führt in den Prüfungsberichten zu dem Satz: Die Prüfung der Einhaltung anderer gesetzlicher Vorschriften ist nur insoweit Gegenstand der Abschlussprüfung, als sich aus diesen anderen Vorschriften üblicherweise Auswirkungen auf den Jahresabschluss (oder den Lagebericht) ergeben. FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 10
D. Datenschutzaspekte im Zusammenhang mit gesetzlich vorgeschriebenen Jahresabschlussprüfungen I. Prüfungsdurchführung (2) Der Abschlussprüfer hat, soweit es für die Durchführung der Prüfung erforderlich ist, ein nahezu uneingeschränktes Auskunftsrecht 320 HGB Vorlagepflicht. Auskunftsrecht (1) Die gesetzlichen Vertreter der Kapitalgesellschaft haben dem Abschlussprüfer den Jahresabschluss und den Lagebericht unverzüglich nach der Aufstellung vorzulegen. Sie haben ihm zu gestatten, die Bücher und Schriften der Kapitalgesellschaft sowie die Vermögensgegenstände und Schulden, namentlich die Kasse und die Bestände an Wertpapieren und Waren zu prüfen. (2) Der Abschlussprüfer kann von den gesetzlichen Vertretern alle Aufklärungen und Nachweise verlangen, die für eine sorgfältige Prüfung notwendig sind. Das führt in den Prüfungsberichten zu den Absätzen: Alle erbetenen Aufklärungen und Nachweise wurden uns bereitwillig gewährt. In der üblichen Vollständigkeitserklärung hat uns (die Geschäftsführung/der Vorstand) bestätigt, dass in der Buchführung und im Jahresabschluss zum TT. Monat JJJJ alle bilanzierungspflichtigen Vermögenswerte, Verpflichtungen, Wagnisse und Abgrenzungen berücksichtigt, sämtliche Aufwendungen und Erträge enthalten sowie alle erforderlichen Angaben gemacht worden sind. FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 11
D. Datenschutzaspekte im Zusammenhang mit gesetzlich vorgeschriebenen Jahresabschlussprüfungen I. Prüfungsdurchführung (3) Schlussfolgerung: 320 HGB geht den Vorschriften des Bundesdatenschutzgesetzes grundsätzlich vor, soweit die Datenerhebung und verarbeitung für die Prüfung erforderlich ist! Beispiele: - Rückstellungen im Personalbereich (Listen zu Pensionen, Urlaub, Überstunden und Jubiläen) - Personalaufwand (Einsicht in Personalakten bzw. Arbeitsverträge) - Debitoren- und Kreditorenauswertungen - Journal Entry Test (JET) - Umsatzerlöse bei Krankenhäusern - Kreditprüfung bei Kreditinstituten FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 12
D. Datenschutzaspekte im Zusammenhang mit gesetzlich vorgeschriebenen Jahresabschlussprüfungen II. Prüfungsfeststellungen zum Datenschutz (1) A. PRÜFUNGSAUFTRAG B. GRUNDSÄTZLICHE FESTSTELLUNGEN I. Stellungnahme zur Lagebeurteilung der gesetzlichen Vertreter II. Feststellungen gemäß 321 Absatz 1 Satz 3 HGB C. GEGENSTAND, ART UND UMFANG DER PRÜFUNG D. FESTSTELLUNGEN UND ERLÄUTERUNGEN ZUR RECHNUNGSLEGUNG I. Ordnungsmäßigkeit der Rechnungslegung II. Gesamtaussage des Jahresabschlusses III. Analyse des Jahresabschlusses E. WIEDERGABE DES BESTÄTIGUNGSVERMERKS FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 13
D. Datenschutzaspekte im Zusammenhang mit gesetzlich vorgeschriebenen Jahresabschlussprüfungen II. Prüfungsfeststellungen zum Datenschutz (2) B. I. Stellungnahme zur Lagebeurteilung der gesetzlichen Vertreter 321 HGB Prüfungsbericht (1)Der Abschlussprüfer hat über Art und Umfang sowie über das Ergebnis der Prüfung schriftlich und mit der gebotenen Klarheit zu berichten. In dem Bericht ist vorweg zu der Beurteilung der Lage des Unternehmens durch die gesetzlichen Vertreter Stellung zu nehmen, wobei insbesondere auf die Beurteilung des Fortbestands und der künftigen Entwicklung des Unternehmens unter Berücksichtigung des Lageberichts.. einzugehen ist.. 289 HGB Lagebericht (1)Im Lagebericht sind der Geschäftsverlauf einschließlich der Geschäftsergebnisse und die Lage der Kapitalgesellschaft so darzustellen, dass ein den tatsächlichen Verhältnissen entsprechendes Bild vermittelt wird... Ferner ist im Lagebericht die voraussichtliche Entwicklung mit ihren wesentlichen Chancen und Risiken zu beurteilen und zu erläutern; zugrunde liegende Annahmen sind anzugeben. Nennung der relevanten Sachverhalte mit Bezug zum Datenschutz und Stellungnahme durch den Abschlussprüfer! FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 14
D. Datenschutzaspekte im Zusammenhang mit gesetzlich vorgeschriebenen Jahresabschlussprüfungen II. Prüfungsfeststellungen zum Datenschutz (3) B. II. Feststellungen gemäß 321 Absatz 1 Satz 3 HGB 321 HGB Prüfungsbericht (1). Außerdem hat der Abschlussprüfer über bei Durchführung der Prüfung festgestellte Unrichtigkeiten oder Verstöße gegen gesetzliche Vorschriften sowie Tatsachen zu berichten, die den Bestand des geprüften Unternehmens. gefährden oder seine Entwicklung wesentlich beeinträchtigen können oder die schwerwiegende Verstöße der gesetzlichen Vertreter oder von Arbeitnehmern gegen Gesetz, Gesellschaftsvertrag oder die Satzung erkennen lassen. (2). Beurteilung von festgestellten Verstößen im Hinblick auf Bestandsgefährdung, Entwicklungsbeeinträchtigung und Gewichtigkeit sowie Berichterstattung in den relevanten Fällen. Aufgrund der Warnfunktion des 321 Absatz 1 Satz 3 HGB liegt die Schwelle für eine Berichterstattung sehr niedrig. FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 15
D. Datenschutzaspekte im Zusammenhang mit gesetzlich vorgeschriebenen Jahresabschlussprüfungen II. Prüfungsfeststellungen zum Datenschutz (4) D. II. Gesamtaussage des Jahresabschlusses 321 HGB Prüfungsbericht (2) Es ist auch darauf einzugehen, ob der Abschluss insgesamt unter Beachtung der Grundsätze ordnungsmäßiger Buchführung oder sonstiger maßgeblicher Rechnungslegungsgrundsätze ein den tatsächlichen Verhältnissen entsprechendes Bild der Vermögens-, Finanz- und Ertragslage der Kapitalgesellschaft... vermittelt. Dazu ist auch auf wesentliche Bewertungsgrundlagen sowie darauf einzugehen, welchen Einfluss Änderungen in den Bewertungsgrundlagen einschließlich der Ausübung von Bilanzierungs- und Bewertungswahlrechten und der Ausübung von Ermessensspielräumen sowie sachverhaltsgestaltende Maßnahmen insgesamt auf die Darstellung der Vermögens-, Finanz- und Ertragslage haben. Darstellung der Ermessensausübung bei der Beurteilung eines bedeutsamen tatsächlichen oder behaupteten Verstoßes gegen Datenschutzbestimmungen und dessen Abbildung in der Rechnungslegung, auch wenn keine Einwendungen zu erheben sind. FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 16
E. Datenschutzaspekte im Zusammenhang mit freiwilligen Jahresabschlussprüfungen Bei freiwilligen, d. h. nicht gesetzlich vorgeschriebenen Jahresabschlussprüfungen greift 320 HGB nicht. Wenn eine freiwillige Abschlussprüfung durchgeführt wird, ist zur ordnungsgemäßen Durchführung der Prüfung erforderlich, dass die gesetzlichen Vertreter des Unternehmens entsprechende Prüfungshandlungen zulassen und Auskünfte erteilen. Vereinbarung einer sinngemäßen Geltung des 320 HGB im Prüfungsauftrag zweckmäßig. FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 17
F. Datenschutzaspekte im Zusammenhang mit Sonderprüfungen I. d. R. keine gesetzliche Grundlage für die Informationsbereitstellung und -verarbeitung Sorgfältige Auftragsplanung im Hinblick auf das generelle Prüfungserfordernis die Notwendigkeit der einzelnen Prüfungshandlungen die Angemessenheit des Umfangs der für Prüfungszwecke verwendeten Daten FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 18
G. Zusammenfassung und Fazit Datenschutz ist für Wirtschaftsprüfer ein wichtiges Thema Weitreichenden Auskunftsrechten steht eine strenge Verschwiegenheitspflicht gegenüber Der Zugriff und die Verarbeitung der (personenbezogenen) Daten sind strikt an den betrieblichen Erfordernissen und den daraus abgeleiteten notwendigen Prüfungshandlungen auszurichten Datenschutzverstöße können auf die betreffenden Jahresabschlüsse und die entsprechenden Jahresabschlussprüfungen erhebliche Auswirkungen haben FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 19
Auf den Punkt FIDES Treuhand GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Harm Dodenhoff WP/StB h.dodenhoff@fides-treuhand.de Birkenstraße 37 28195 Bremen Tel. +49 (421) 3013-123 Fax +49 (421) 3013-100 www.fides-treuhand.de FIDES Treuhand GmbH & Co. KG - Vertraulich Seite 20