Auswirkungen der DSGVO auf die Jahresabschlussprüfung

Wirtschaftsprüfer sind im Rahmen der Jahresabschlussprüfung verpflichtet, auf die Gesellschaft gefährdende Risiken hinzuweisen. Derartige Risiken können sich u.a. aus der mangelnden Umsetzung der seit 25. Mai 2018 anwendbaren EU-Datenschutz-Grundverordnung (DSGVO) ergeben. Diese Risiken können aufgrund der in der DSGVO vorgesehenen erheblichen Bußgelder zu hohen Rückstellungen führen, schlimmstenfalls zu einer Weigerung des Wirtschaftsprüfers zur Erteilung eines uneingeschränkten Bestätigungsvermerks. Geschäftsführer und Vorstände sollten daher, soweit noch nicht geschehen, Maßnahmen zur Umsetzung der Anforderungen der DSGVO in Unternehmen ergreifen, um so sicherzustellen, dass das Unternehmen spätestens zum Zeitpunkt der Jahresabschlussprüfung DSGVO-konform ist. 

Im Rahmen der Abschlussprüfung eines Unternehmens haben Wirtschaftsprüfer u.a. zu prüfen, ob der Jahresabschluss einer Kapitalgesellschaft den gesetzlichen Vorschriften entspricht und der Lagebericht die Chancen und Risiken der künftigen Entwicklung darstellt. 

Große und mittelgroße Kapitalgesellschaften (§ 267 Abs. 2, 3 HGB) sind verpflichtet, eine Risikoberichterstattung in Form eines Lageberichtes beizufügen. Der Lagebericht soll Aufschluss darüber geben, ob und inwieweit die Gesellschaft gefährdende Entwicklungen erkannt hat. Derartige Risiken können sich u.a. aus einer fehlenden Umsetzung der Anforderungen der DSGVO im Unternehmen ergeben. 

Die DSGVO normiert gegenüber der bis zum 25. Mai 2018 geltenden Rechtslage zahlreiche neue bzw. zusätzliche Anforderungen an Unternehmen, beispielsweise die Erstellung und Vorhaltung eines Verfahrensverzeichnisses, die Durchführung von Datenschutz-Folgenabschätzungen sowie umfangreiche Pflichten des Unternehmens gegenüber betroffenen Personen, deren personenbezogene Daten durch das Unternehmen verarbeitet werden. 

Die Nichteinhaltung dieser Anforderungen kann für Unternehmen weitreichende nachteilige Folgen haben, so beispielsweise die Einschränkung bzw. Untersagung der Datenverarbeitung. Darüber hinaus drohen bei Verstößen gegen die DSGVO Geldbußen, die bis zu 10.000.000 Euro oder 2 % des Jahresumsatzes oder  bei schwerwiegenderen Datenschutzverstößen bis zu 20.000.000 Euro oder 4 % des Jahresumsatzes betragen können. Bei diesen Risiken handelt es sich keineswegs nur um theoretische Risiken, vielmehr spricht viel dafür, dass die Aufsichtsbehörden von den in der DSGVO vorgesehenen Sanktionen Gebrauch machen werden. Ein Verzicht hierauf würde „dem Datenschutzrecht die Zähne ziehen, die er gerade erst bekommt“ teilte die Landesbeauftragte für den Datenschutz Schleswig-Holstein, Marit Hansen, dem Handelsblatt im Mai 2018 mit.

Das Bayerische Landesamt für Datenschutzaufsicht hat nach eigener Aussage im September 2018 begonnen, Unternehmen auf die Einhaltung der datenschutzrechtlichen Anforderungen hin zu überprüfen. Aufsichtsbehörden in anderen EU-Mitgliedsstaaten haben bereits Bußgelder in mittlerer sechsstelliger Euro-Höhe für geringfügige Verstöße verhängt.

Im Rahmen der Jahresabschlussprüfung prüft der Wirtschaftsprüfer u.a., ob das Unternehmen geeignete und wirksame Maßnahmen zur Umsetzung der Anforderungen der EU-Datenschutz-Grundverordnung getroffen hat. Die Anforderungen an eine solche Prüfung hat das Institut der Wirtschaftsprüfer (IDW) in der Verlautbarung „IDW Prüfungsstandard: Abschlussprüfung bei Einsatz von Informationstechnologie” (IDW PS 330) sowie in dem „IDW Prüfungshinweis: Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz“ (IDW PH 9.860.1) festgelegt. Der IDW PH 9.860.1 gilt ausdrücklich nur außerhalb der Jahresabschlussprüfung, die dort festgelegten Grundsätze können aber jedenfalls als Grundlage für die Beurteilung im Rahmen der Jahresabschlussprüfung herangezogen werden. 

Der Prüfungshinweis IDW PH 9.860.1 ermöglicht Wirtschaftsprüfern ein geradezu checklistenartiges Abarbeiten der datenschutzrechtlichen Vorgaben. 

Sofern der Abschlussprüfer feststellt, dass Anforderungen des Datenschutzes nicht eingehalten werden, muss er beurteilen, ob es sich um schwerwiegende Gesetzesverstöße oder erhebliche Schwächen des internen Kontrollsystems handelt. Ist letzteres der Fall, muss er im Rahmen eines abschließenden Bestätigungsvermerks über das Ergebnis seiner Prüfung berichten, und eine Entscheidung darüber treffen, ob letztlich ein eingeschränkter Bestätigungsvermerk ergeht oder dieser sogar gänzlich versagt wird, § 322 Abs. 4 Satz 1 HGB. 

Darüber hinaus kann das Unternehmen gemäß § 249 Abs. 1 HGB verpflichtet sein, Rückstellungen zu bilden, beispielsweise für die Kosten, die dem Unternehmen im Rahmen der Umsetzung der Anforderungen der DSGVO entstehen sowie für eventuelle Bußgelder.

Umgekehrt kann die Kontrolle des Wirtschaftsprüfers, bei Umsetzung der gesetzlichen Vorgaben, auch zu einem positiven Prüfvermerk für das Unternehmen führen. Eine solche positive Bestätigung der DSGVO-Konformität bringt Wettbewerbsvorteile und Vertrauen in Beziehungen mit aktiven aber auch zukünftigen Geschäftspartnern.

Praxishinweise:

Geschäftsführer und Vorstände sollten daher, soweit noch nicht geschehen, unverzüglich Maßnahmen zur Umsetzung der Anforderungen der DSGVO in Unternehmen ergreifen, um negative Feststellungen im Rahmen der Jahresabschlussprüfung zu vermeiden. Es ist unabdingbar, dass der Datenschutz zum festen Bestandteil des Unternehmens-Risikomanagementsystems wird und sich folglich im Jahresabschluss und im  Lagebericht niederschlägt.