Datenschutzrechtliche Vorschriften müssen beachtet werden
von K. Schiefer
Bei der Erstellung des Jahresabschlusses nehmen Wirtschaftsprüfer Einblick in eine Vielzahl von Unternehmensunterlagen. Dabei sind auch datenschutzrechtliche Vorschriften zu beachten.
Grundsätzlich steht dem Wirtschaftsprüfer ein Einsichtsrecht nach § 320 Abs. 2 S. 1 HGB zu. Diese Norm besagt, dass der Abschlussprüfer von den gesetzlichen Vertretern alle Aufklärungen und Nachweise verlangen kann, die für eine sorgfältige Prüfung notwendig sind. In beinahe alle Unternehmensunterlagen finden sich allerdings personenbezogene Daten nach § 3 Abs. 1 BDSG, nicht nur der Kunden des Unternehmens sondern insbesondere auch der Mitarbeiter.
Auch wenn § 320 Abs. 2 S. 1 HGB dem Wirtschaftsprüfer ein gemäß den handelsrechtlichen Kommentierungen (bspw. Baumbach/Hopt, HGB, § 320) sehr umfassendes Einsichtsrecht eröffnet, ist dieses dennoch an den datenschutzrechtlichen Zulässigkeitsnormen zu messen.
Die Übergabe von Unternehmensunterlagen an Wirtschaftsprüfer ist datenschutzrechtlich als Übermittlung einzustufen. Zulässig könnte diese Übermittlung sein, wenn alle Mitarbeiter in die Übermittlung der Listen eingewilligt haben. Dies wird in der Regel nicht der Fall sein, so dass eine datenschutzrechtliche Erlaubnisnorm einschlägig sein muss. In Betracht kommt als solche § 28 Abs. 1 S. 1 Nr. 2 BDSG.
Ein berechtigtes Interesse des Unternehmens liegt in der Erstellung eines korrekten und gesetzeskonformen Jahresabschlusses. Dabei ist vor allem auch der Erforderlichkeitsgrundsatz zu beachten – es darf also kein milderes Mittel geben, durch das der Jahresabschluss mit gleichem Erfolg erstellt werden kann.
So können für bestimmte Angaben auch anhand anonymisierter statistischer Daten nachgewiesen werden. Allerdings ist hier auch zu berücksichtigen, dass es dem Wirtschaftsprüfer selbstverständlich möglich sein muss, die statistischen Angaben zu prüfen. Unternehmen sollten beachten, dass § 320 Abs. 2 S.1 HGB kein dem BDSG vorgehendes Spezialgesetz ist, da es nicht explizit die Verarbeitung personenbezogener Daten regelt. Dies ist für die Subsidiarität des BDSG allerdings zwingend notwendig. Unternehmen sollten sich mit ihrem Datenschutzbeauftragten beraten, welche Informationen für welche Zwecke notwendig sind. Dazu sind von den Wirtschaftsprüfern vor allem die genauen Zwecke zu den angeforderten Daten einzuholen.