Rechts­sicherheit bei der Nutzung externer Dienst­leistungen für Wirtschafts­prüfer (WP) und vereidigte Buchprüfer (vBP)

Der neue § 50a i.V.m. § 55b Abs. 2 Nr. 9 WPO erlaubt dem WP/vBP nunmehr das Auslagern wichtiger Prüfungstätigkeiten auf externe Dienstleister.

Zum Begriff des externen Dienstleisters

Von den berufsmäßig tätigen Gehilfen und den in Vorbereitung auf den Beruf tätigen Personen sind die „sonstigen mitwirkenden Personen“ (externe Dienstleister) zu unterscheiden. Dabei handelt es sich um Personen, die zwar an der beruflichen Tätigkeit des Berufsgeheimnisträgers mitwirken, indem sie in irgendeiner Weise in diese Tätigkeit eingebunden sind und Beiträge dazu leisten, jedoch ohne dabei in die Sphäre des Berufsgeheimnisträgers eingegliedert zu sein.

§ 203 Abs. 3 Satz 2 Halbsatz 1 StGB erfasst diese Dienstleister. Gemeint sind die „Dienstleister“ i.S.v. § 50a Abs. 1 WPO. Da die Mitwirkung auf Basis eines (i.d.R. Dienst- oder Werk-)Vertrags erfolgt, werden Dienstleister vom abgeleiteten Zeugnisverweigerungsrecht des § 53a Abs. 1 Satz 1 Nr. 1 StPO erfasst.

In § 203 Abs. 3 Satz 2 Halbsatz 2 StGB werden auch die beim Dienstleister Beschäftigten und Subunternehmer des Dienstleisters erfasst. Diese Personen i.S.v. § 50a Abs. 3 Satz 2 Nr. 3 WPO (Subunternehmer) werden ebenfalls regelmäßig auf Basis eines Vertragsverhältnisses tätig und sind damit vom abgeleiteten Zeugnisverweigerungsrecht des § 53a Abs. 1 Satz 1 Nr. 1 StPO erfasst.

WP/vBP können zur Unterstützung ihrer Tätigkeiten, wie dargestellt, Dienstleister in Anspruch nehmen. Dies betrifft auch personell erbrachte Dienstleistungen sowohl bei administrativen Tätigkeiten (z.B. Call-Center-Leistungen oder Schreibarbeiten), als auch bei fachlichen Dienstleistungen innerhalb der Auftragsabwicklung (z.B. Mandantenumfeldanalysen, Datenanalysen).

Keine Mandanten-Einwilligung bei standardisierten, fachlich-inhaltlichen Prüfungstätigkeiten notwendig

Für Dienstleistungen, die unmittelbar einem einzelnen Mandat dienen, darf dem Dienstleister der Zugang zu den betreffenden fallbezogenen Mandantendaten nur mit Einwilligung des Mandanten eröffnet werden (§ 50a Abs. 5 WPO). Allerdings bedürfen Dienstleistungen, die allgemeine Fragen der Praxisorganisation betreffen, keiner Einwilligung des Mandanten (vgl. Abschn. 4.2.6. und WPKPraxishinweis „Mitwirkung Dritter an der Berufsausübung (§§ 50, 50a WPO)“, Stand: 26.07.2018).

Beispiele für derartige Dienstleistungen, für die kein „besonderer Bedarf im einzelnen Mandat besteht“ und die typischerweise auch von Shared Service Centern erbracht werden können, sind z.B.:

  • Auslagerung der Honorarabrechnung
  • Einholung von Saldenbestätigungen für eine Vielzahl von Mandaten
  • Erstellen/Überarbeiten von Standard-Präsentationen
  • Druckerei

Quellen: IDW Hilfestellung zur Beauftragung von Dienstleistern, Stand 10.04.2019/ IDW Life 01.2019, S. 13

Verschwiegenheit und Datenschutz

Was passiert mit den Daten Ihrer Mandanten?
Die Daten werden ausschließlich zur Erstellung unserer Arbeitsergebnisse verwendet. Die Daten werden als passwortgeschütze ZIP-Datei über die scalestaar private cloud ausgetauscht, gesichert, gespeichert und für einen Zeitraum von max. zwei Jahren aufbewahrt

Wie ist die Vertraulichkeit gewährleistet?
Wir sind Ihnen gegenüber Dienstleister nach § 50a WPO und schützen das Vertrauen zwischen Ihnen und Ihren Mandanten. Sie erhalten von uns als erstes eine Verschwiegenheitserklärung und Passwörter zum Schutz der sensiblen Mandantendaten

Wer hat Zugriff auf die Daten?
Es haben nur zur Verschwiegenheit vepflichtete Personen Zugriff auf die Daten. Sämtliche Zugriffe werden durch organisatorische technische Maßnahmen fortlaufend überwacht.

Welche datenschutzrechtlichen Anforderungen der DSGVO sind zu beachten?

Definitionen
Vertrauliche Informationen sind wirtschaftlich, rechtlich, steuerlich oder technisch sensible oder vorteilhafte Informationen von Ihnen und Ihren Mandanten, die uns bekannt gemacht werden. Vertrauliche Informationen können solche Informationen sein, die in irgendeiner Weise als vertraulich oder gesetzlich geschützt erkennbar bezeichnet werden oder deren vertraulicher Inhalt offensichtlich ist. Der Begriff umfasst jegliche Unterlagen, Schriftstücke, Notizen, Dokumente, digitale Aufzeichnungen etc. sowie mündliche Mitteilungen. Des Weiteren gelten als vertrauliche Informationen das Bestehen eines Vertrags zwischen Ihnen und uns sowie eine Verschwiegenheitsvereinbarung.

Öffentlich bekannte Informationen sind solche, die uns nachweislich vor ihrer Bekanntgabe bereits zugänglich waren bzw. ohne unser Verschulden während der Geltungsdauer dieser Vereinbarung öffentlich bekannt werden.

Verpflichtung zur Vertraulichkeit
Wir verpflichen uns, die von Ihnen erhaltenen vertraulichen Informationen vertraulich zu behandeln. Das bedeutet insbesondere, dass wir diese Informationen an Dritte weder selbst noch durch Mitarbeiter bekanntzugeben oder sonst für andere als die vertraglich zwischen Ihnen und uns vereinbarten Zwecke zu nutzen haben. Eine anderweitige Nutzung oder Weitergabe der Informationen ist nur zulässig, wenn und soweit Sie zuvor schriftlich eingewilligt haben. Wir nutzen die erhaltenen vertraulichen Informationen ausschließlich zur Erfüllung unseres Auftrages. Die Rechte an den Informationen, die wir von Ihnen  erhalten haben, verbleiben bei Ihnen, soweit nichts anderes vertraglich geregelt wird.

Wir verpflichten uns, die von Ihnen erhaltenen vertraulichen Informationen mindestens mit der Sorgfalt zu behandeln, die wir in eigenen Angelegenheiten anwenden und bei der Verarbeitung der vertraulichen Informationen die gesetzlichen und vertraglichen Vorschriften zum Datenschutz einzuhalten. Dies beinhaltet auch dem aktuellen Stand der Technik, angepasste technische Sicherheitsmaßnahmen (Art. 32 DSGVO) und die Verpflichtung der Mitarbeiter auf das Datengeheimnis (Art. 28 Abs. 3 lit. b DSGVO).

Weitergabe an Dritte/Subunternehmer
Die überlassenen Informationen oder Teile hiervon dürfen nur an externe Berater, die zur Vertraulichkeit verpflichtet sind oder solche Vertreter weitergegeben werden, die zur betreffenden Auftragsdurchführung benötigt werden und von der Vertraulichkeit der gegebenen Informationen unterrichtet und gleichlautend verpflichtet wurden. Wir erklären ausdrücklich, für jegliche schuldhafte Verletzung durch die Vertreter einzustehen.

Wir dürfen Subunternehmern lediglich im Rahmen der Erfüllung der beauftragten Tätigkeiten einsetzen. Die sich aus dieser Vereinbarung ergebenden Verpflichtungen sind auch diesen aufzuerlegen.

Kontroll- und Löschrechte
Innerhalb von 14 Tagen nach schriftlicher Aufforderung von Ihnen werden wir alle vorliegenden vertraulichen Informationen und aufgrund dieser Informationen gefertigten weiteren Unterlagen an Sie zurücksenden bzw. Ihnen die Vernichtung der Informationen und Unterlagen nachvollziehbar nachweisen. Dies gilt nicht, soweit eine Verpflichtung zur Aufbewahrung aus Gesetz oder aufgrund behördlicher bzw. gerichtlicher Anordnung besteht. In letztgenanntem Fall ist die weitere Speicherung der vertraulichen Informationen durch uns nur zum Zwecke der Erfüllung dieser Verpflichtungen zulässig.

Sie sind berechtigt, die Einhaltung dieser Vereinbarung im erforderlichen Umfang zu kontrollieren oder kontrollieren zu lassen.

Auftragsdatenverarbeitung
Sofern eine Auftragsdatenverarbeitung erfolgt, die einen weiter gehenden Vertrag erfordert als diese Erklärung, werden wir mit Ihnen eine entsprechende Vereinbarung schließen.

Laufzeit
Die Laufzeit der Vertraulichkeitsvereinbarung beginnt ab Unterzeichnung und entspricht der des Vertrages. Nach dessen Beendigung besteht die Verpflichtung zur Vertraulichkeit fort.