Le norme sulla protezione dei dati devono essere rispettate
da K. Schiefer
Nella preparazione del bilancio annuale, i revisori controllano un gran numero di documenti aziendali. È inoltre necessario rispettare le norme sulla protezione dei dati.
In linea di principio, il revisore ha il diritto di ispezione ai sensi della Sezione 320 (2) frase 1 HGB. Questa norma stabilisce che il revisore può richiedere ai rappresentanti legali tutte le informazioni e le prove necessarie per un audit approfondito. Tuttavia, quasi tutti i documenti aziendali contengono dati personali ai sensi della Sezione 3 (1) BDSG, non solo dei clienti dell'azienda ma anche, in particolare, dei suoi dipendenti.
Anche se l'articolo 320 (2) frase 1 HGB conferisce al revisore un diritto di ispezione molto ampio secondo i commenti sul diritto commerciale (ad esempio Baumbach/Hopt, HGB, sezione 320), questo deve comunque essere valutato rispetto agli standard di ammissibilità della legge sulla protezione dei dati.
Il trasferimento di documenti aziendali ai revisori dei conti deve essere classificato come un trasferimento ai sensi della legge sulla protezione dei dati. Questo trasferimento potrebbe essere consentito se tutti i dipendenti avessero acconsentito al trasferimento degli elenchi. Di norma, ciò non avviene, per cui è necessaria una norma di autorizzazione per la protezione dei dati. L'articolo 28, comma 1, frase 1, n. 2 del BDSG potrebbe essere considerato tale.
La società ha un interesse legittimo alla redazione di un bilancio d'esercizio corretto e conforme alla legge. Soprattutto, deve essere rispettato il principio di necessità: in altre parole, non devono esistere mezzi meno rigorosi con cui il bilancio annuale possa essere preparato con lo stesso successo.
Ad esempio, alcune informazioni possono essere verificate anche utilizzando dati statistici anonimizzati. Tuttavia, anche in questo caso si deve tenere conto del fatto che il revisore deve ovviamente essere in grado di verificare i dati statistici. Le aziende devono notare che la Sezione 320 (2) frase 1 dell'HGB non è una legge speciale che prevale sul BDSG, in quanto non regola esplicitamente il trattamento dei dati personali. Tuttavia, ciò è assolutamente necessario per la sussidiarietà del BDSG. Le aziende dovrebbero consultare il proprio responsabile della protezione dei dati per determinare quali informazioni sono necessarie per quali scopi. In particolare, gli scopi esatti dei dati richiesti devono essere ottenuti dai revisori dei conti.