Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 16

Thema: Finanz/Steuerprüfer -> ADV?

  1. #1
    Registriert seit
    15.07.2009
    Ort
    Niederrhein
    Beiträge
    285

    Standard Finanz/Steuerprüfer -> ADV?

    Liebe Datenschützer,

    mir ist bewusst, dass wir das Thema ADV hier schon reichlich abgehandelt haben, aus konretem Anlass möchte ich trotzdem noch eine Frage in den Raum stellen:
    Wir haben z. Zt. einen Wirtschaftsprüfer im Unternehmen, der schwerpunktmäßig die Sicherheit der IT-Infrastruktur und der ERP-Software analysiert. Dazu wird er auch Zugriff zum Produktivsystem und zwangsläufig auch zu pb Daten haben.
    Nun macht mir seine Verschwiegenheit (sicher vertraglich vereinbart) keine Sorgen, aber der § 11 BDSG. Wenn ich den Absatz 5 wörtlich nehme -

    Die Absätze 1 bis 4 gelten entsprechend, wenn die
    Prüfung oder Wartung automatisierter Verfahren oder von
    Datenverarbeitungsanlagen durch andere Stellen im Auftrag
    vorgenommen wird und dabei ein Zugriff auf personenbezogene
    Daten nicht ausgeschlossen werden kann.


    müsste eigentlich mit der WiPrü-Firma ein ADV-Vertrag geschlossen werden?!
    Falls das BDSG als Auffanggesetz hier denn zum Tragen kommt - oder kann man sagen,
    dass hier höhere Rechtsvorschriften Vorrang haben, zu den verschiedenen Prüfungen sind Unternehmen ja verpflichtet..

    Bin gespannt auf Eure Meinung.

    Gruß
    DSBext

  2. #2
    Registriert seit
    21.09.2009
    Beiträge
    894

    Standard

    Wenn der Wirtschaftsprüfer (WP) nicht im Rahmen der Jahresabschlussprüfung tätig wird, ist das nach meiner Auffassung ein separater Auftrag, der unter § 11 Absatz 5 fällt. Die Regel ist, dass WP bei ihren Prüfungen Zugriffsberechtigungen eingeräumt bekommen. Die Wahrscheinlichkeit ist gross, dass auch personenbezogene Daten im Zusammenhang mit dem Untersuchungsauftrag auf dem Notebook des WP gespeichert werden. Deshalb kommt man wohl nicht umhin, die gesamte Palette an §11-Anforderungen abzuarbeiten.

    Das Berufsgeheimnis der WP nach § 43 WPO geht nicht so weit wie die Verpflichtung auf das Datengeheimnis nach § 5 BDSG.
    Nach § 50 WPO hat der WP seine Gehilfen und Mitarbeiter, soweit sie nicht bereits durch Gesetz zur Verschwiegenheit verpflichtet sind, zur Verschwiegenheit zu verpflichten. Nach § 323 HGB sind Abschlussprüfer und Gehilfen zur Verschwiegenheit verpflichtet. Das Wort "Verschwiegenheit" bedeutet lediglich Schutz vor Übermittlung oder unberechtigter Datenweitergabe.

    Allein schon nach § 5 BDSG ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Schutzbereich geht also weiter und muss in Fällen des § 11 (5) BDSG entsprechend formuliert werden.

    Auch in den – nicht nur für gesetzliche Aufträge geltenden - allgemeinen Auftragsbedingungen der Wirtschaftsprüfer ist nur die Schweigepflicht gegenüber Dritten geregelt sowie ein Datenschutzpassus: „Der Wirtschaftsprüfer ist befugt, ihm anvertraute personenbezogene Daten im Rahmen der Zweckbestimmung des Auftraggebers zu verarbeiten oder durch Dritte verarbeiten zu lassen“. Weiteres ist zum Thema Datenschutz nicht gesagt und damit ist das im Hinblick auf § 11 BDSG eindeutig zu wenig. Das Recht der Weiterverarbeitung durch Dritte kann selbst bei gesetzlichen Prüfungsaufträgen nach § 316 HGB nicht Bestand haben.

    Es ist nicht immer einfach, die WP davon zu überzeugen, dass neben der allgemeinen Auftragsbedingungen ergänzend auch die Weisungen des Auftraggebers im Hinblick auf den Umgang mit personenbezogenen Daten gemäß § 11 BDSG zur Geltung kommen.

  3. #3
    Registriert seit
    08.07.2009
    Beiträge
    2.085

    Standard

    Hierzu vielleicht folgender Link:

    https://www.datenschutzzentrum.de/wi...uerberater.htm

    Dort heisst es u. a.:

    'Steuerberater und Wirtschaftspruefer unterliegen eigenen berufsrechtlichen Regelungen, die auch den Schutz personenbezogener Daten bewirken. '

  4. #4
    Registriert seit
    15.07.2009
    Ort
    Niederrhein
    Beiträge
    285

    Standard

    Vielen Dank für die umfangreiche Stellungnahme und den Link!

    Der Prüfer agiert schon im Rahmen einer Jahresabschlussprüfung - allerdings einer freiwilligen Prüfung, denn der Mandant gehört zu den "kleinen Kapitalgesellschaften"
    gem. § 267 HGB. Allerdings ist die GmbH 100%-Tochter einer prüfpflichtigen AG...
    Bleibt die Frage ob es reicht, sich hier auf die vorgelagerten DS-Bestimmungen für WiPrüs zu berufen.
    Ich denke, dass ich bei dieser Frage mal unsere Aufsichtsbehörde um Stellungnahme bitten sollte.
    Werde dann berichten..

    Gruß
    DSBext

  5. #5
    Registriert seit
    21.09.2009
    Beiträge
    894

    Standard

    @bdsb:

    Danke auch für den Link. Diese Stellungnahme kannte ich nicht.

    "Steuerberater und Wirtschaftsprüfer unterliegen eigenen berufsrechtlichen Regelungen, die auch den Schutz personenbezogener Daten bewirken."
    "Das BDSG betrachtet die berufsrechtlichen Geheimhaltungspflichten (so z.B. die Verschwiegenheitspflichten der Wirtschaftsprüfer, § 50 WPO und Steuerberater, § 62 StBerG) also als eine spezielle, zusätzliche Schutzebene.

    Die Betonung liegt auf den Wörtern "auch" und "zusätzlich".

    "Bestehen für bestimmte Bereiche keine berufsrechtlichen Vorgaben, so gelten allgemein die Regelungen des Bundesdatenschutzgesetzes". Ich denke, da sind wir einer Meinung.

    Letzteres bedeutet: Ist etwas im Berufsrecht nicht geregelt (wie hier z.B. über die Verschwiegenheitspflicht hinaus das unbefugte Erheben, Speichern und Nutzen personenbezogener Daten), gilt BDSG. Nach meiner Kenntnis werden auch bei WP-Gesellschaften die Mitarbeiter auf § 5 BDSG verpflichtet, was ja dann nicht nötig wäre, wenn man meint, das Berufsrecht decke das schon ab.

  6. #6
    Registriert seit
    15.07.2009
    Ort
    Niederrhein
    Beiträge
    285

    Standard

    Hier nun die Stellungnahme des LDI / NRW zu dem Thema. Diese kam übrigens bereits am 2. Werktag nach meiner Anfrage,
    das sollte man auch mal erwähnen!

    Meine Fragestellung:
    Sehr geehrte Damen und Herren,
    im Rahmen einer Abschlussprüfung meines Mandanten durch eine Wirtschaftsprüfungsgesellschaft stellte sich mir die Frage,
    inwieweit hier der § 11 BDSG zum Tragen kommt..

    Die Absätze 1 bis 4 gelten entsprechend, wenn die
    Prüfung oder Wartung automatisierter Verfahren oder von
    Datenverarbeitungsanlagen durch andere Stellen im Auftrag
    vorgenommen wird und dabei ein Zugriff auf personenbezogene
    Daten nicht ausgeschlossen werden kann.


    Ein Zugriff auf pb Daten kann im Rahmen einer solchen Prüfung nicht ausgeschlossen werden.
    Reichen hier die vorrangigen Vorschriften (HGB, Verordnungen für WiPrü), so dass das BDSG als Auffanggesetz nicht zum Tragen kommt?
    Zur weiteren Information: Es handelt sich um eine freiwillige Abschlussprüfung,
    da der Mandant (GmbH) gem. § 267 HGB zu den "kleinen Kapitalgesellschaften" gehört.
    Allerdings ist diese GmbH wiederum 100%-Tochter einer prüfpflichtigen AG..
    Ich bedanke mich im Voraus für Ihre Stellungnahme.

    Antwort LDI:
    Sehr geehrter Herr DSBext,
    Sie fragten an, ob § 11 Bundesdatenschutzgesetz (BDSG) auf Wirtschaftsprüfer anwendbar sei.
    Hierzu kann ich Ihnen mitteilen, dass eine Datenverarbeitung im Auftrag gem. § 11 BDSG nur vorliegt,
    wenn die beauftragte Stelle strikten Weisungen des Auftraggebers im Hinblick auf ihren Auftrag unterliegt.
    Das ist bei einer Wirtschaftsprüfung regelmäßig nicht der Fall. Eine unabhängige Prüfung ist nur möglich,
    wenn der Wirtschaftsprüfer oder die Wirtschaftsprüferin selbst über die Art und Weise der Prüfung entscheidet und
    nicht an die Weisungen des Auftraggebers gebunden ist. Daher ist es ausgeschlossen,
    eine Wirtschaftsprüfung als Auftragsdatenverarbeitung zu gestalten.
    Weiterhin wollten Sie wissen, ob das Handelsgesetzbuch und Verordnungen für Wirtschaftsprüfer
    gegenüber dem BDSG vorrangige Vorschriften seien. Ich möchte Sie hierzu zunächst bitten,
    welche Vorschriften in den von Ihnen genannten Gesetzen bzw. Verordnungen aus Ihrer Sicht konkret
    eine Datenverarbeitungsbefugnis für den Wirtschaftsprüfer enthalten oder anderweitige Datenschutzregelungen treffen.
    Dann will ich gern prüfen, ob es sich um abschließende, dem BDSG vorgehende Regelungen handelt.
    Mit freundlichen Grüßen

    ----------------------------------------
    Der Argumentation, dass hier keine ADV vorliegt, kann ich gut folgen.
    Ansonsten betrachte ich mein Problem damit als erledigt, denn falls das BDSG hier noch zum Tragen kommt,
    sehe ich den Vorgang durch § 28 Abs.1 Satz 2 voll gedeckt...

    Gruß
    DSBext

  7. #7
    Registriert seit
    08.07.2009
    Beiträge
    2.085

    Standard

    Hallo DSBext,

    Danke fuer die Info, sicher grundsaetzlich sehr hilfreich. Ich denke, das laesst sich analog auch auf Zertifizierungen uebertragen (z. B. ISO 27001), da hier der Auditor/die Zertifizierungsfirma den jeweiligen Standards/Normen folgt, und nicht den Vorgaben/Weisungen des Unternehmens.

  8. #8
    Registriert seit
    21.09.2009
    Beiträge
    894

    Standard

    Ich will mich noch einmal zitieren:
    "Wenn der Wirtschaftsprüfer (WP) nicht im Rahmen der Jahresabschlussprüfung tätig wird, ist das nach meiner Auffassung ein separater Auftrag, der unter § 11 Absatz 5 fällt."

    Es war für mich unstrittig, das die Abschlussprüfung keine Auftragsdatenverarbeitung ist. Der Absatz 5 des § 11 BDSG besagt nicht, dass die Prüfung automatisierter Verfahren und von DV-Anlagen eine Auftrags-DV ist, sondern nur, dass sie analog zu behandeln ist. Damit soll sichergestellt werden, dass - auch wenn kein Auftrag zur zielgerichteten Verarbeitung von personenbezogenen Daten vorliegt - bei zufälliger Kenntnisnahme von Daten diese nicht zweckfremd weiterverarbeitet oder genutzt werden.

    Ziel der Abschlussprüfung ist es u.a., Geschäftsvorfälle auf die Richtigkeit ihrer Verbuchung zu überprüfen. Dabei kommt es zum Datentransfer auch personenbezogener Daten an den WP entweder durch Abruf (§10 BDSG) oder aktive Übermittlung über Datenträger oder online. § 28 Absatz 5 BDSG verlangt, dass die übermittelnde Stelle auf den Zweck der Verarbeitung hinweist. Mit der Übermittlung wird der WP Herr der Daten. Eine Benachrichtigung der Betroffenen durch den WP muss nicht erfolgen, weil entsprechend § 33 (2) Nr. 3 die Beziehung des WP zu seinen Mandanten ein Berufsgeheimnis darstellt.

    Entsprechend der AAB der WP ist er befugt, "ihm anvertraute personenbezogene Daten im Rahmen der Zweckbestimmung des Auftraggebers zu verarbeiten oder durch Dritte verarbeiten zu lassen“. Im Rahmen der Abschlussprüfung könnten z. B. Daten von Beschäftigten des (Nicht-nach-§ 11)Auftraggebers an ein anderes Unternehmen zur Überprüfung der Berechnung der Pensionsrückstellungen weitergegeben werden. Wie das der WP macht - ob als Auftrags-DV oder als Übermittlung - ist seine Sache.

    Die Antwort der Behörde NRW gibt aber keinen Aufschluss darüber, ob § 11 Absatz 5 BDSG anzuwenden ist für die Daten, die nicht offiziell dem WP zur Abschlussprüfung und der damit verbunden Datenverarbeitung und -nutzung übermittelt werden, sondern anlässlich einer Prüfung der Datenverarbeitungsanlage vor Ort zur Kenntnis gelangen.

    Im übrigen bin ich der Meinung, dass Audits soviel eigene geistige Leistungen erfordern, die den Begriff der Funktionsübertragung und damit Übermittlung erfüllen. Wenn ein Unternehmer einen Vertrag mit einem Dritten schließt über die Prüfung, Auditierung oder Zertifizierung seines eigenen Unternehmens , übermittelt er u.U. im Rahmen des Vertrags auch personenbezogene Daten.

    Es gibt aber auch den Fall, dass ein Unternehmen im Rahmen der echten § 11 - Auftragsdatenverarbeitung einen WP bittet, beim einem fremden Unternehmen (Auftragnehmer) eine Prüfung vorzunehmen, die er auch selbst hätte durchführen können. Dann gibt er im Unterschied zu den gesetzlich vorgeschriebenen Abschlussprüfungen dem WP Weisungen, was, wie und ggf. welche personenbezogenen Daten er auf die Richtigkeit der Verarbeitung beim Auftragnehmer zu prüfen hat. Da wird es schon schwieriger, die Grenze zwischen Auftrags-DV und Funktionsübertragung zu ziehen.

    Die Behörde fragt nun ihrerseits, "welche Vorschriften in den von Ihnen genannten Gesetzen bzw. Verordnungen konkret eine Datenverarbeitungsbefugnis für den Wirtschaftsprüfer enthalten". Die Behörde scheint keine zu kennen. Im Gegensatz zu dem für die Finanzverwaltung geltenden § 147 (6) AO kenne ich auch keine Vorschrift. Die allgemeine Befugnis, Daten aus Datenverarbeitungssystemen zu nutzen, wird man aber auch aus den handelsrechtlichen Vorschriften ableiten können.

  9. #9
    Registriert seit
    08.07.2009
    Beiträge
    2.085

    Standard

    Hallo ewuryba,

    so sehe ich es nach den vorliegenden Informationen auch bzw. so hatte ich es auch verstanden.

  10. #10
    Registriert seit
    03.07.2010
    Beiträge
    121

    Standard

    Hallo,

    ich möchte das Thema gerne nochmal aufwärmen.

    § 11 Absatz 5 spricht im einen von Prüfung oder Wartung und zum anderen von automatisierten Verfahren oder Datenverarbeitungsanlagen.

    Unter einer "Wartung von Datenverarbeitungsanlagen" kann ich mir klar den technischen Umgang von Hard- und Software vorstellen, der nicht in den Tätigkeitskreis eines Wirtschaftsprüfers fällt.

    Nimmt man aber die Konstellation "Prüfung von automatisierten Verfahren" zur Hand, bin ich geneigt Teile dieser Tätigkeit einem Wirtschaftsprüfer zuzusprechen.

    Und nun?

    Ist die "Prüfung von automatisierten Verfahren" nun Bestandteil der Tätigkeit eines Wirtschaftsprüfers oder befasst sich der Absatz 5 des §11 BDSG nur mit dem technischen Umgang von DV-Anlagen (was auch die Sicht der meisten Datenschutzliteratur-Kommentatoren zu sein scheint)?

    sZs

Seite 1 von 2 12 LetzteLetzte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •