Einfluss der DSGVO auf Jahresabschluss und Tätigkeit des Wirtschaftsprüfers
Berücksichtigung von Bußgeldrisiken im Jahresabschluss sowie Prüfung von nach der DS-GVO einzurichtenden Maßnahmen
Auf die Tätigkeit des Wirtschaftsprüfers hat die DS-GVO großen Einfluss. Bußgeldrisiken können entsprechende Relevanz für den zu prüfenden Jahresabschluss entwickeln. Zudem hat das Institut der Wirtschaftsprüfer (IDW) kürzlich ein Konzept zur Prüfung von Maßnahmen nach der DS-GVO geschaffen.
Die Datenschutzgrundverordnung (DS-GVO) ist spätestens seit Mai 2018 in aller Munde und beschäftigt insbesondere die für den Datenschutz Verantwortlichen in den Unternehmen. Auch auf die Tätigkeit des Wirtschaftsprüfers hat die DS-GVO indirekt einen großen Einfluss. Einerseits können Bußgeldrisiken entsprechende Relevanz für den zu prüfenden Jahresabschluss und Lagebericht entwickeln. Zum anderen hat das Institut der Wirtschaftsprüfer (IDW) kürzlich ein Konzept zur Prüfung von Grundsätzen, Verfahren und Maßnahmen nach der DS-GVO geschaffen (IDW PH 9.860.1).
Auf den ersten Blick entfaltet die Datenschutzgrundverordnung (DS-GVO) zunächst keine für den Abschlussprüfer relevante Bedeutung, da die Anforderungen der DS-GVO grundsätzlich kein Prüfungsgegenstand im Rahmen der Jahresabschlussprüfung sind. Insofern enthält das Prüfungsurteil des Abschlussprüfers grundsätzlich auch keine Aussage dazu, ob die geprüfte Gesellschaft die Anforderungen der DS-GVO erfüllt. Bei genauerem Hinsehen wird jedoch schnell klar, dass die DS-GVO auch die Tätigkeit des Wirtschaftsprüfers in verschiedenen Belangen beeinflusst. Dies soll im Folgenden erläutert werden.
Auswirkungen der DS-GVO auf die Jahresabschlussprüfung
Im Rahmen der Abschlussprüfung muss sich der Abschlussprüfer ein Bild über das rechnungslegungsbezogene interne Kontrollsystem (IKS) machen. Dabei stellt die Funktion des Datenschutzbeauftragten eine wichtige Komponente des IKS dar, da der Datenschutzbeauftragte sich mit der Einhaltung und Überwachung der Anforderungen der DS-GVO auseinandersetzt.
Der Abschlussprüfer muss sich gemäß dem „IDW Prüfungsstandard: Abschlussprüfung bei Einsatz von Informationstechnologie“ (IDW PS 330) auch mit den Anforderungen an die IT-Sicherheit auseinandersetzen. Dabei kann der Abschlussprüfer gegebenenfalls auch die Ergebnisse der Überwachungstätigkeit des Datenschutzbeauftragten verwerten, da die Anforderungen der DS-GVO und des IDW PS 330 hinsichtlich der Datensicherheit Großteils übereinstimmen.
Stellt der Abschlussprüfer fest, dass wichtige Anforderungen an die IT-Sicherheit nicht eingehalten werden und sich somit bedeutsame Schwächen im IKS ergeben, hat er unter Umständen hierüber im Prüfungsbericht zu berichten.
Auswirkungen der DS-GVO auf Jahresabschluss und Lagebericht
Im Rahmen der DS-GVO wurden auch zahlreiche Anforderungen eingeführt, die in hohem Maße bußgeldbewährt sind. Das Bußgeld kann dabei bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes pro Einzelfall betragen. Diesbezüglich können im Rahmen einer behördlichen Prüfung auch mehrere Einzelfälle aufgedeckt werden und sich die Bußgelder so schnell zu noch deutlich höheren Beträgen kumulieren.
Die Nichterfüllung von Anforderungen der DS-GVO kann daher zur Pflicht der Bildung einer Rückstellung wegen drohender Bußgelder führen, wenn die Wahrscheinlichkeit der Inanspruchnahme nicht als gering angesehen wird. Dies wird regelmäßig eine Einzelfallentscheidung sein.
Problematisch sind in diesem Zusammenhang insbesondere Fälle, bei denen die zu prüfenden Unternehmen nicht wissen, dass sie gegen Anforderungen der DS-GVO verstoßen. Mögliche Risiken sind hier weder bekannt noch quantifizierbar, so dass ggfs. deutlich negative Konsequenzen drohen. Insbesondere kann in diesen Fällen keine ausreichende Vorsorge getroffen werden.
Darüber hinaus ist im Lagebericht grundsätzlich auch über wesentliche Risiken der künftigen Entwicklung zu berichten. Aufgrund der hohen Bußgeldandrohungen kann auch über Risiken aus der fehlenden Einhaltung von Anforderungen der DS-GVO zu berichten sein. Dies setzt wiederum die Kenntnis der Nichteinhaltung von Vorschriften der DS-GVO voraus. Die Risiken sind dabei auch im unternehmensinternen Risikomanagement zu berücksichtigen.
Der Abschlussprüfer muss sich im Rahmen der Prüfung des Jahresabschlusses und des Lageberichts somit angemessene und ausreichende Kenntnis darüber verschaffen, ob beim geprüften Unternehmen Risiken aus fehlender Einhaltung der Anforderungen der DS-GVO drohen und ob diese zutreffend im Jahresabschluss und Lagebericht abgebildet sind.
Unterstützung durch den WP: Prüfung der Grundsätze, Verfahren und Maßnahmen nach der DS-GVO außerhalb der Abschlussprüfung
Der Wirtschaftsprüfer kann außerhalb der Abschlussprüfung im Rahmen einer Angemessenheits- oder Wirksamkeitsprüfung die vom Unternehmen eingerichteten Grundsätze, Verfahren und Maßnahmen nach der DS-GVO und dem Bundesdatenschutzgesetz (BDSG) prüfen. Das Institut der Wirtschaftsprüfer (IDW) hat hierzu kürzlich den IDW Prüfungshinweis „Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz“ (IDW PH 9.860.1) veröffentlicht. Diese Prüfung bildet die Grundlage für die Erteilung eines entsprechenden Prüfvermerks für das Unternehmen, mit dem sich das Management ggfs. entlasten kann. Zudem können sich Kunden im Falle einer Auftragsverarbeitung von der Datenschutzkonformität überzeugen.
Fazit
Auch wenn sich die DS-GVO zunächst grundsätzlich nicht direkt auf den Jahresabschluss und Lagebericht auswirkt, so können sich dennoch aufgrund der neu eingeführten Bußgeldmöglichkeiten indirekte Auswirkungen ergeben. Dies erfordert auch im Rahmen der Abschlussprüfung eine entsprechende Berücksichtigung dieses Themenkomplexes.
Der Wirtschaftsprüfer kann zudem durch den neuen IDW PH 9.860.1 dem Unternehmen einen Mehrwert liefern, da die eingerichteten Datenschutzsysteme geprüft und mit einem entsprechenden Vermerk versehen werden können. Dadurch können mögliche Risiken frühzeitig erkannt bzw. beseitigt werden.
Gerne unterstützt PSP Sie bei Ihren Fragen zur neuen DS-GVO. Das Angebot geht dabei über die beschriebene Tätigkeit der Wirtschaftsprüfer hinaus. Die DS-GVO ist primär eine mit diversen rechtlichen Zweifelsfragen behaftete Materie. Bei den rechtlichen Zweifelsfragen unterstützt PSP Sie ebenfalls gerne.
Weitere Informationen hierzu finden Sie in folgenden Veröffentlichungen: