IT Compliance

09:55 23 September in Compliance

WPNO ist spezialisiert auf die Einrichtung, Prüfung, Beurteilung und Verbesserung von Internen Kontrollsystemen (IKS), Prozessen, IT-Systemen und Softwareanwendungen. WPNO führt für Sie darüber hinaus Prüfungen nach dem Prüfungsstandard 330 des Instituts der Wirtschaftsprüfer (IDW PS 330) unter Berücksichtigung der MaRisk oder SOX-404 durch und zertifiziert Softwareprodukte nach IDW PS 880 und Service Provider nach IDW PS 951 n.F. / ISAE 3402 / SSAE16.

Anforderungen aus Handels- und Steuerrecht

Die Basis für handels- und steuerrechtliche Anforderungen an IT-Service-Prozesse, IT-Management, Anwendungen und Systeme bilden die gesetzlichen Grundlagen, inbesondere das Handelsgesetzbuch (HGB), das Aktiengesetz (AktG), das Umsatzsteuergesetz (UstG) und die Abgabenordnung (AO), , welche ihrerseits durch Verordnungen und Stellungnahmen der Finanzverwaltung konkretisiert werden. Im Rahmen der Prüfung von von IT-Systemen kommt den Prüfungsstandards des Instituts für Wirtschaftsprüfer (IDW PS 330, IDW PS  850, IDW PS 880 und IDW PS  951 n.F.), den Anforderungen des Fachausschusses für Informationstechnik (FAIT) und den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) primäre Bedeutung zu. Darüber hinaus müssen weitere rechtlichen Vorgaben des Bilanzmodernisierungsgesetzes (BilMog), des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sowie handels- und steuerrechtliche Pflichten, welche im Rahmen von IT-Compliance-Projekten auf ihre Relevanz zu prüfen sind, beachtet werden.

WPNO ist ein interdisziplinärer Zusammenschluss von Wirtschaftsprüfern, Steuerberatern, Rechtsanwälten, IT- und Datenschutz-Spezialisten, externen BSI-IT-Grundschutz-Auditoren, hauseigenen ISO 27001 Lead-Auditoren sowie spezialisierten CISA- und CISM-IT-Fachkräften. Wir unterstützen und begleiten unsere Mandanten bei der Bewältigung der sich stellenden Herausforderungen infolge des fortlaufenden Wandels der rechtlichen Rahmenbedingungen, insbesondere der handels- und steuerrechtlichen Vorschriften. WPNO unterstützt und begleitet Sie bei der Einrichtung und Optimierung von ordnungsmäßigen Archivierungsprozessen durch Archivierungs- und Dokumenten-Management-Systeme (DMS)

  • WPNO unterstützt und begleitet Sie bei Vorbereitungen auf eine digitale Betriebsprüfung (GoBD). Wir prüfen die Bereitstellungsfähigkeit Ihrer digitalen Daten und deren Qualität, führen Ist-Aufnahmen zur Datenhaltung durch und vermitteln Ihnen Konzepte zur Identifizierung der steuerlichen Relevanz von Daten und deren Vorhaltung.
  • WPNO führt für Sie Ist-Aufnahmen durch und formuliert Stellungnahmen hinsichtlich von Optimierungsmöglichkeiten zu Themen wie elektronischen Rechnungen, die Aufbewahrung digitaler Unterlagen bei Bargeschäften, der qualifizierten elektronischen Signatur, der Archivierung von E-Mails und Electronic Data Interchange (EDI).
  • WPNO begleitet und unterstützt Sie im Rahmen der Umsetzung von Anforderungen von E-Bilanzen
Projektbegleitende Prüfungen nach IDW PS 850

Durch unsere projektbegleitend Prüfung auf Basis des Prüfungsstandards IDW PS 850 sind wir in der Lage, die gesetzlichen, regulativen und unternehmensinternen Anforderungen in die Organisation, Durchführung und Zielsetzung des Projekt einzubringen. Dies ermöglicht es uns, die Projektleitung und andere berechtigte Adressaten frühzeitig und fortlaufend über die Entwicklungen, Sachstände und identifizierten Risiken im Rahmen der Durchführung des Projekts zu informieren und zeitnah Empfehlungen für Optimierungen auszusprechen.

Interne Kontrollsysteme (IKS)

Die Einführung eines internen Kontrollsystemens (IKS) ist für die Erfüllung von Aufsichtspflichten, die frühzeitige Erkennung von Risken sowie eine effiziente und strukturierte Bearbeitung und Dokumentation von Arbeitsabläufen unerlässlich.

WPNO unterstützt und begleitet Sie bei der Entwicklung und dem Aufbau eines internen Kontrollsystems unter Berücksichtigung Ihrer vorhandenen IT-Systeme, IT-Prozesse und Software-Anwendungen sowie der bei Ihnen etablierten Geschäftsprozesse. Die Geschäftsleitung wird hierdurch signifikant entlastet und kann sich intensiver dem operativen Geschäft widmen. Bei Bedarf testieren wir Ihr IKS nach IDW PS 261 n.F..

BaFin-Anforderungen an das Risikomanagement (MaRisk)

WPNO unterstützt und begleitet Mandanten im Rahmen der Umsetzung der von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) definierten Mindestanforderungen an das Risikomanagement (MaRisk). Vor dem Hintergrund der mit MaRisk einhergehenden Herausforderungen und Fragestellungen unterstützen wir Sie beispielsweise bei der Erarbeitung von Notfallkonzepten (MaRisk 7.3.), bei der technisch-organisatorischen Ausstattung (MaRisk 7.2.) und bei geplanten Outsourcing-Projekten (MaRisk 9).

Das Bundesamts für Sicherheit in der Informationstechnik (BSI) übernimmt die Funktion der nationalen IT- und Cyber-Sicherheitsbehörde. Das Ziel des BSI ist die Wahrung und Förderung der IT-Sicherheit in Deutschland. Dies verfolgt das BSI durch Maßnahmen und Angebote, die zum einen der Prävention gelten, zum anderen aber auch hilfreich bei der Abwehr von aktuellen Bedrohungen und Angriffen sein können. Das IT-Sicherheitsgesetz (IT-SicherheitsG) ist am 25.07.2015 in Kraft getreten. Als sogenantes Artikelgesetz dient es lediglich der Änderung diverser anderer Gesetze. Das IT-SicherheitsG führte zu konkreten Änderungen in insgesamt acht Gesetzen, u.a. dem Gesetz über das Bundesamt für die Sicherheit in der Informationstechnik (BSIG). Das IT-SicherheitsG zielt darauf ab, den Grundproblemen im Bereich von IT- bzw. Cybersicherheit zu begegnen und einen rechtlichen Rahmen für die Gewährleistung von Sicherheit im IT- bzw. Cyber-Sektor zu schaffen.

Durch das IT-Sicherheitsgesetz wird die zentrale Rolle des BSI im Bereich IT-Sicherheit gestärkt. Die BaFin ist demzufolge verpflichtet, sich bei den Themen IT-Sicherheit und IT-Risikomanagement an die Vorgaben des BSI zu halten.

WPNO bietet Ihnen mit einer akkreditierten Zertifizierungs- und Prüfungsgesellschaft, mit dem WPNO Team aus Wirtschaftsprüfern, Steuerberatern, Rechtsanwälten, IT- und Datenschutz-Spezialisten und unseren externen BSI-IT-Grundschutz-Auditoren, den hauseigenen ISO 27001 Lead-Auditoren sowie den spezialisierten CISA- und CISM-IT-Fachkräften die Zertifizierung Ihres ISMS nach DIN ISO/IEC 27001-2:2015 an. Wissend, dass eine Zertifizierung nach DIN ISO/IEC 27001-2.2015 nicht mehr ausreicht, um die hohen Anforderungen des in mehreren Gesetzen (z.B. BDSG, BSIG, TKG, TMG) vorausgesetzten Standards „Stand der Technik“ zu erfüllen, orientieren wir uns darüber hinaus am IT-Grundschutz des BSI (d.h. die BSI-Standards zum Sicherheitsmanagement, BSI-Standard 100-1 bis 100-4 sowie die IT-Grundschutzkataloge), sowie den Wirtschaftsprüfertestaten IDW PS 330, IDW PS 951 n.F. und IDW PS 980, IDW EPS 981, IDW EPS 982. Wir berücksichtigen u.a. auch die ISO Standards DIN EN ISO 9001:2015, DIN ISO/IEC 20000-1:2011, DIN EN ISO 22301:2014 sowie CobiT. Im Rahmen der Zertifizierung erarbeiten wir zudem mit Ihnen ein rechtskonformes Sicherheits- und Datenschutzkonzept auf Basis M 2.500 ff.

Basis unserer Zertifizierung ist eine Kombination aus „Stand der Technik“ und „Stand von Wissenschaft und Technik“.

Im Rahmen der Zertifizierung stellen wir Ihnen zudem auch Tools zur Seite, welche die Erlangung der Zertifizierung signifikant vereinfachen. Die Tools entsprechen dabei der GoBD und sind darüber hinaus IDW RS FAIT 1, IDW PS 261 n.F., 330, 880, 951 n.F. sowie ISAE 3402 konform.

Wir empfehlen bereits bei der Implementierung des ISMS ein Pre-Audit durchzuführen. Dies ermöglicht Ihnen die zeitnahe Zertifizierung Ihres ISMS und vermeidet womöglich doppelten Aufwand.

Zertifizierungen nach ISAE 3402, SSAE 16 und PS 951 n.F.

Zertifizierungen durch WPNO Wirtschaftsprüfer stellen einen entscheidenden Wettbewerbsvorteil In dem primär von IT-Dienstleistungsgesellschaften beherrschten Markt dar.

Nur Wirtschaftsprüfer können vor dem Hintergrund zunehmender regulatorischer Anforderungen auf Basis von gesetzlichen Normen und branchenüblichen Standards glaubhaft die Qualität Ihrer Dienstleistungen dokumentieren

Oftmals lagern Unternehmen rechnungsrelevante Prozesse, welche Einfluss auf die externe Rechnungslegung oder die Finanzberichterstattung ausüben, an externe Dienstleistungsunternehmen aus.

Diese spezialisierten IT-Dienstleistungsunternehmen stellen gleichfalls die benötigte Informationstechnologie.

Die Unternehmensleitung des auslagernden Unternehmens ist dafür verantwortlich, dass ein wirksames internes Kontrollsystem und ein angemessenes Risikomanagement im eigenen Unternehmen implementiert ist, welches auch die ausgelagerten Funktionen umfasst.

Zur Sicherstellung der Wirksamkeit und Angemessenheit des internen Kontrollsystems in Bezug auf Rechnungslegung und Finanzberichterstattung finden entsprechende Prüfungen durch WPNO Wirtschaftsprüfer statt.

Die Prüfung muss hierbei die Dienstleistungsunternehmen der ausgelagerten Geschäfts- und IT –Prozesse und das dazugehörige dienstleistungsbezogene interne Kontrollsystem mitumfassen.

Die Betreiber von Rechenzentren sowie IT-Dienstleister werden von verschiedenen Wirtschaftsprüfungsgesellschaften geprüft, da sie in der Regel ihre Dienstleistungen einer Vielzahl von Kunden anbieten, welche wiederum von anderen Wirtschaftsprüfungsgesellschaften geprüft werden. Dies führt in der Konsequenz zu regelmäßigen Prüfungen des dienstleistungsbezogenen internen Kontrollsystems beim Dienstleistungsunternehmen.

Im Interesse einer Reduzierung des insgesamt zu erwartenden Prüfungsaufwandes für das Dienstleistungsunternehmen durch die Bereitstellung personeller Ressourcen und das Bereitstellen von Systemzugriffen und Unterlagen, empfiehlt sich eine separate Prüfung durch einen WPNO Wirtschaftsprüfer. Dessen standardisierter Prüfbericht nebst zusammenfassender Darstellung kann im Anschluss Kunden und deren Wirtschaftsprüfern zur Verfügung gestellt werden, so dass nur ein externer Prüfer in das Umfeld und die Charakteristiken und Funktionen der Dienstleistung und das Unternehmens eingewiesen werden muss. Auch ergänzende Informationen und Änderungen müssen nur an einen externen Prüfer kommuniziert werden, der diese bei entsprechender Relevanz weiterleitet.

Unsere Mandanten, die IT-Dienstleistungen oder rechnungslegungsrelevante Geschäftsprozesse anbieten, profitieren von unseren Prüfungen und Beratungen zum Nachweis eines funktionierenden internen Kontrollsystems nach den Prüfungsstandards IDW PS 331 und IDW PS 951 n.F. oder den international anerkannten Prüfungsstandards ISAE 3402 und ISAE SSAE 16.

SAS 70

Der vom American Institute of Certified Public Accountants (AICPA) veröffentlichte Prüfungsstandard Statement on Auditing Standards No. 70 (SAS 70) regelt detailliert, welche Anforderungen und welche Form die Prüfung eines dienstleistungsbezogenen internen Kontrollsystems zu erfüllen und wie und mit welchen Inhalten die Berichterstattung zu erfolgen hat.

Die Prüfung des dienstleistungsbezogenen internen Kontrollsystems (IKS) wird durch den Dienstleister beauftragt und kann je nach Beauftragung in zwei sogenannten Typen erfolgen.

Im Rahmen der Prüfung von Type 1 erfolgt die Beurteilung der Beschreibung, der Implementierung und der Angemessenheit des IKS, während bei Type 2 zusätzlich zu Type 1 die Beurteilung der Wirksamkeit des IKS erfolgt. Entscheidend für die Prüfung ist dabei die Sichtweise des auslagernden Unternehmens und dessen Abschlussprüfers. Das durch den Dienstleister eingeführte und beschriebene IKS dient als Grundlage der Prüfung und die durch den Dienstleister bereitgestellte Beschreibung des IKS ist Bestandteil der Berichterstattung.

Internationale Standards ISAE 3402 und SSAE 16

Das International Auditing and Assurance Standards Board (IAASB) hat im Dezember 2009 den International Standard on Assurance Engagements No. 3402 (ISAE 3402), “Assurance Reports on Controls at a Service Organization“ herausgegeben.

Der amerikanische SAS 70 wurde zur Vereinheitlichung mit Bezug auf den ISAE 3402 überarbeitet und durch den „Statement on Standards for Attestation Engagements No. 16 (SSAE 16) „Reporting on Controls at a Service Organization SSAE 16“ ersetzt.

Beide Standards sind für geprüfte Zeiträume ab dem 15.06.2011 anzuwenden.

Wenn beide Standards auch in Bezug auf Anforderungen, Berichterstattung und in der Unterscheidung nach Type 1 und Type 2 dem originären SAS 70 sehr ähnlich sind, so beinhalten sie zusätzlich eine signifikante Einbeziehung der Geschäftsführung in Bezug auf deren Verantwortung zur Sicherstellung der Angemessenheit und Wirksamkeit des internen Kontrollsystems.

Aufgrund der weitgehenden inhaltlichen Nähe decken Prüfungen und Berichte oftmals beide Standards ab.

Nationaler Prüfungsstandard IDW PS 951 n.F.

In Deutschland bilden die Prüfungsstandards des IDW eine anerkannte Grundlage für die Prüfung des dienstleistungsbezogenen internen Kontrollsystems durch externe Prüfer.

Hierbei finden insbesondere die „Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken“ nach IDW PS 261 n.F., die „Abschlussprüfung bei teilweiser Auslagerung der Rechnungslegung auf Dienstleistungsunternehmen“ nach IDW PS 331 und die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen“ nach IDW PS 951 n.F. Anwendung.

Der Standard IDW PS 951 wurde im Jahr 2007 in Anlehnung an den amerikanischen SAS 70 erstellt und herausgegeben. IDW PS 951 wurde 2013 überarbeitet und nimmt nunmehr Bezug auf den internationalen Standard ISAE 3402, beinhaltet aber auch landessspezifische Anforderungen wie die Einhaltung der Ordnungsmäßigkeit über Hinweise auf die  IDW Stellungnahme  „Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie“ (IDW RS FAIT 1). Auch der IDW PS 951 n.F. differenziert zwischen den Prüfungen nach Typ 1 und Typ 2.

Der Prüfer beurteilt grundsätzlich, ob die bei dem Dienstleistungsunternehmen zur Ausgestaltung des dienstleistungsbezogenen internen Kontrollsystems zugrunde gelegten Kriterien für den vorgesehehen Anwendungszweck geeignet und in der IKS-Beschreibung sachgerecht dargestellt sind. Zudem wird geprüft,, ob die in der IKS-Beschreibung dargestellten Kontrollziele den festgelegten Kriterien entsprechen.

Im Falle vom Typ 1 hat der Prüfer zu beurteilen, ob die IKS-Beschreibung die tatsächliche Ausgestaltung und Einrichtung des dienstleistungsbezogenen internen Kontrollsystems zu dem zu prüfenden Zeitpunkt sachgerecht darstellt und die dargestellten Kontrollen angemessen ausgestaltet sind. Diese Zertifizierung kann nur als Grundlage für eine zu einem späteren Zeitpunkt folgende Zertifizierung nach Typ 2 dienen.

Im Falle von Typ 2 hat der Prüfer hingegen sowohl Aussagen zur Angemessenheit des IKS zu treffen, als auch insbesondere zu dessen Wirksamkeit.

Ausschließlich eine Zertifizierung nach Typ 2 ist geeignet vor Gericht eine exkulpierende Wirkung herbeizuführen, da nur Sie eine wesentliche Basis für die Einschätzung des Fehlerrisikos sein kann.

Softwarebescheinigung nach IDW PS 880

Softwarebescheinigungen stellen für Hersteller von Software ein signifikantes Qualitätsmerkmal für ihre Anwendungssoftware dar.

WPNO prüft Ihre betriebswirtschaftliche Software auf Basis des speziell auf die Erfüllung der rechnungslegungsrelevanten Anforderungen ausgerichteten IDW PS 880 („Prüfung von Softwareprodukten“).

Der Prüfungsgegenstand kann Softwareprodukte insgesamt, einzelne Module oder einzelne Funktionen umfassen. Im Rahmen der Softwareprüfung werden die für das jeweilige Einsatzgebiet der Software relevanten Programmfunktionen (Verarbeitungsfunktionen und programminternes Kontrollsystem) beurteilt. Das programminterne Kontrollsystem umfasst dabei u.a. die Eingabe-, Verarbeitungs- und Ausgabekontrollen und die programmierte Ablaufsteuerung einschließlich des programminternen Zugriffsschutzsystems.

Gegenstand einer solchen Prüfung sind auch die Qualität der Prozesse zur Softwareentwicklung, die Versionsführung, die Testverfahren und die Problembehebung.

Zunächst unterziehen wir die wesentlichen Voraussetzungen, wie die Regelungen zur Software-Entwicklung und die Verfahrens- und Anwenderdokumentationen zu Test- und Problembehebungen im Rahmen eines Quickchecks zur Beurteilung der Prüfungsbereitschaft einer kurzen Durchsicht.

Liegen die entsprechenden Voraussetzungen vor, schließt sich eine auf unseren Checklisten und bisherigen Testergebnissen basierende effiziente Prüfung an. In diesem Rahmen erstellen wir eine Fehlerdatenbank, in welcher sämtliche Ergebnisse und Feststellungen dokumentiert werden. Vor diesem Hintergrund können identifizierte Schwachstellen und Fehler bereits im Verlauf der Prüfung behoben und nachgetestet werden.

Profitieren Sie von unserer Expertise und unserem Vorgehensmodell bei der Prüfung von IT-Prozessen und Anwendungssystemen.

Ihre Vorteile mit WPNO

WPNO bietet Ihnen die Möglichkeit, mit unserer Softwareprüfung die Qualität Ihrer unternehmensinternen Prozesse und Ihrer betriebswirtschaftlichen Anwendungen signifikant zu verbessern.

Externe Prüfungen bieten Ihnen als Unternehmen zwei Vorteile. Sie stärken durch externe Prüfungen Ihre Marktposition und können durch eine objektive Stelle Ihre Qualitätssicherung nachweisen. Externe Softwareprüfungen stellen dementsprechend ein wichtiges Entscheidungskriterium bei der Auswahl einer Software für das Rechnungswesen dar.

Sie können die Erfüllung rechnungslegungsrelevanter Anforderungen und Ihr Qualitätsbewusstsein durch unsere Softwarebescheinigung und den begleitenden Bericht im Sinne Ihres Wettbewerbsvorteils dokumentieren, denn eine Softwarebescheinigung nach IDW PS 880 kann ein entscheidendes Kriterium für Ihre Bestands- und Ihre Neukunden darstellen.

Im Rahmen unser Prüfung Ihrer Software prüfen wir diese zudem auf Konformität mit den Stellungnahmen des IDW zur Rechnungslegung, den IDW RS FAIT 1-5.

Datenschutz

WPNO berät Sie in allen datenschutzrechtlichen Belangen und unterstützt Sie bei der Einhaltung sämtlicher gesetzlicher und regulatorischer Pflichten.

Der europäische Gesetzgeber hat mit der DSGVO umfassende Regelungen zum Datenschutz für sämtliche Mitgliedsstaaten der EU kodifiziert, die am 25.05.2018 verbindlich in Kraft treten werden. Mit der DSGVO werden gravierende Änderungen im geltenden Datenschutzrecht einhergehen und Datenschutzverstöße werden zukünftig mit sehr hohen Bußgeldern sanktioniert.

Geschäftsführer, Unternehmensvorstände und Aufsichtsräte sind nach Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) dringend angehalten, umfangreiche Datenschutzmaßnahmen zu ergreifen.

Andernfalls drohen betroffenen Unternehmen erhebliche Bußgelder, die bis zu 20 Mio. Euro bzw. bis zu vier Prozent des gesamten weltweiten Jahresumsatzes betragen können.

Unternehmen, welche in Folge der Untätigkeit oder Nachlässigkeit ihrer Führungsorgane mit Bußgeldern in derartigen Höhen sanktioniert werden, stehen wiederum in der Pflicht , die entsprechenden Führungsorgane persönlich in Anspruch zu nehmen.

Es dürfte vor dem Hintergrund publizierter Pflichten aus der DSGVO mehr als zweifelhaft sein, ob D&O Versicherungen für Schäden einstehen werden, welche von Geschäftsführern und Vorständen in diesem Zusammenhang unmittelbar oder mittelbar verursacht wurden.

Ihnen als Vorstand, Aufsichtsrat oder Geschäftsführer eines Unternehmens droht darüber hinaus neben der persönlichen Inanspruchnahme Ihres Vermögens eine strafrechtliche Verfolgung, wenn Sie nicht die notwendigen Maßnahmen ergreifen, welche das verschärfte Datenschutzrecht und hier insbesondere die DSGVO von Ihnen einfordern.

Vor dem Hintergrund, dass die DSGVO diverse Pflichten nicht mehr dem betrieblichen Datenschutzbeauftragten auferlegt, sondern der verantwortlichen Stelle, müssen Sie als Mitglied der Geschäftsführung oder dem Vorstand des Unternehmens beispielsweise künftig gewährleisten, dass Ihr Unternehmen seiner Pflicht zur Führung eines Verfahrensverzeichnisses gemäß Art. 30 Abs. 1 DSGVO oder der Pflicht zur Durchführung der Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO adäquat nachkommt.

Geschäftsführer und Vorstände unterliegen bereits jetzt der Verpflichtung zur Einrichtung eines Compliance Management Systems (CMS), welches im Hinblick auf die DSGVO und die damit verbundene Pflicht zur Einhaltung datenschutzrechtlicher Vorschriften eng mit der Installation eines Datenschutzmanagementsystems verknüpft werden sollte.

In einem richtungsweisenden Urteil hatte das LG München (LG München I, Urteil v. 10.12.2013 – 5 HK O 1387/10) ein Mitglied eines Unternehmensvorstands im Zusammenhang mit § 93 AktG wegen der Verletzung der Legalitätspflicht bei mangelnder Einrichtung eines CMS zu einer Schadensersatzzahlung in Höhe von 15 Millionen Euro verurteilt.

Einzelnen Vorstandsmitgliedern von Aktiengesellschaften werden in ihren Unternehmen regelmäßig bestimmte Ressorts, wie beispielsweise die Bereiche Compliance oder IT, zugewiesen. Eine solche Ressortzuständigkeit führt aber nicht dazu, dass das entsprechende Vorstandsmitglied allein oder ausschließlich für das zugewiesene Aufgabengebiet verantwortlich ist, unterliegen doch die verbleibenden Vorstandsmitglieder insoweit weiterhin einer allgemeinen Überwachungspflicht.

Bei Vorliegen von Anhaltspunkten dahingehend, dass ein Vorstandsmitglied die ihm zugewiesenen Aufgaben nicht ordnungsgemäß wahrnimmt, besteht eine Pflicht zum Einschreiten der übrigen Vorstandsmitglieder.

Dabei korrespondiert die allgemeine Überwachungspflicht der übrigen Vorstandsmitglieder mit der Informationspflicht des für das Ressort zuständigen Vorstandsmitglieds.

Auch als Mitglied des Aufsichtsrats unterliegen Sie entsprechenden Pflichten. Schließlich obliegt Ihnen die Überwachung des Vorstands.

Entsteht dem Unternehmen ein Schaden, weil Sie ihren Pflichten zur Überwachung nicht oder nicht ordnungsgemäß nachkommen oder weil Sie es beispielsweise unterlassen, ein Mitglied der Geschäftsführung nach einer Pflichtverletzung im Namen des geschädigten Unternehmens zu belangen, können Sie als Mitglied des Aufsichtsrat ebenfalls zur persönlichen Verantwortung gezogen werden. Der BGH hat bereits mit Urteil vom 21.04.1997 (BGH II ZR 175/95) entschieden, dass die Kernaufgabe des Aufsichtsrats darin bestehe, eine sorgfältige Prognose hinsichtlich des Bestehens eines Schadensersatzanspruchs gegen Vorstandsmitglieder vorzunehmen.

Bei entsprechender Existenz und Durchsetzbarkeit eines solchen Schadensersatzanspruchs sei dieser grundsätzlich vom Aufsichtsrat gegenüber dem jeweiligen Vorstandsmitglied geltend zu machen. Der Aufsichtsrat mache sich selber schadenersatzpflichtig , wenn er es unterlässt, seiner Pflicht zur Inanspruchnahme von pflichtwidrig handelnden Vorstandsmitgliedern nachzukommen.

Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten ist für Unternehmen in § 4f Abs. 1 BDSG/ Art. 37 Abs. 1 DSGVO geregelt.

Profitieren Sie von der ausgeprägten Expertise der WPNO Wirtschaftsprüfer und Rechtsanwälte, deren Datenschutz-Fachkunde nach GDDcert zertifiziert ist. Ein WPNO Wirtschaftsprüfer oder Rechtsanwalt als externer betrieblicher Datenschutzbeauftragter verfügt über fundierte Kenntnisse zum technisch-organisatorischen Datenschutz und zum Datenschutz-Management. Gleichermaßen weisen Sie durch Ihn sowohl gegenüber der Aufsichtsbehörde und Bundesnetzagentur als auch gegenüber Ihren Kunden, Geschäftspartnern und der Öffentlichkeit Ihre Datenschutzqualifikation und -qualität nach. Zudem bietet sein den Vorteil, dass er eine attestierte Datenschutzqualifikation vorweisen kann, die im Rahmen des Risikomanagements (Basel II, KonTraG, SOX) gefordert wird.

WPNO Wirtschaftsprüfer oder Rechtsanwälte als externe betriebliche Datenschutzbeauftragte:

  • können auf umfangreiches Schulungsmaterial und sog. Praxis-Cases zurückgreifen, verringern betriebsinterne Spannungspunkte aufgrund von Konkurrenz unter Kollegen, genießen bessere Akzeptanz beim Betriebsrat und verfügen über eine genaue Vorstellung, was unter einer marktüblichen Umsetzung zu verstehen ist.
  • versetzen Sie in die Lage, bis zum Inkrafttreten der DSGVO die Gewährung des erweiterten Kündigungsschutzes für den betrieblichen Datenschutzbeauftragten zu vermeiden
  • können durch einen individuellen Vertrag bestellt werden
  • ermöglichen Ihnen Konflikte mit dem Benachteiligungsverbot des § 4f Abs. 3 S. 3 BDSG/Art. 38 Abs. 3 S. 2 DSGVO zu vermeiden, wonach der betriebliche Datenschutzbeauftragte nicht benachteiligt werden darf
    • Dem betrieblichen Datenschutzbeauftragten müssen in gleichem Maße Gehaltserhöhungen, Prämien und sonstige Vergünstigungen wie Firmenwagen, Notebook, Smartphone oder Heimarbeitsplatz gewährt werden, wie sie anderen nach Qualifikation und Verantwortungsbereich vergleichbaren Mitarbeitern zugestanden werden
  • Benötigen von Ihnen keine Hilfsmittel oder Räume, um die ihnen übertragenen Aufgaben vertraulich im Sinne der 4f Abs. 5 S. 1 BDSG/Art. 38 Abs. 2 DSGVO zu erfüllen
    • Die Gewährleistung der Verschwiegenheitspflicht erfordert bei einem internen betrieblichen Datenschutzbeauftragten eine entsprechende interne Organisation, die u.a. sicherstellt, dass E- Mails, Internetlogfiles oder Telekommunikationsverbindungsdaten eines internen betrieblichen Datenschutzbeauftragten nicht vom Unternehmen überwacht werde können
  • ermöglichen es Ihrem Unternehmen, erforderliche Maßnahmen schneller und mit geringerem Aufwand praxisgerecht umzusetzen.

Auch wenn dem betrieblichen Datenschutzbeauftragten derzeit eine Daseinsberechtigung noch nicht abgesprochen wird, bleibt abzuwarten, wie Gerichte und Datenschutzbehörden ab Geltung der DSGVO die Bestellung eines Mitarbeiters ohne spezifische Fachkenntnisse und Expertise zum betrieblichen Datenschutzbeauftragten bewerten werden.

Infolge dieser Ungewissheit kann nicht ausgeschlossen werden kann, dass Richter eine derartige Auswahlentscheidung, im Gegensatz zu der Bestellung eines externen Vorbehaltsberufsträgers als betrieblichen Datenschutzbeauftragten, als fahrlässig erachten, woraus sich für Sie ein signifikant höheres Haftungsrisiko ergibt.

Vor diesem Hintergrund sind Unternehmen bereits jetzt aufgefordert, sich adäquat auf die geänderten Rahmenbedingungen vorzubereiten und einzustellen, um das Risiko von Datenschutzverstößen unter den verschärften Vorschriften der DSGVO zu vermeiden.

WPNO – Unsere Leistungen für Ihr Unternehmen

  • führt Compliance-Checks hinsichtlich des Datenschutzes in Ihrem Unternehmen durch
  • entwickelt für Sie unternehmensweite Datenschutz-Compliance-Programme
  • unterstützt und begleitet Sie beim Aufbau einer Datenschutz Organisationen im Unternehmen
  • berät und begleitet Sie bei der datenschutzkonformen Umsetzung neuer Geschäftsmodelle
  • begleitet Sie datenschutzrechtlich im Rahmen von Werbe- und Marketing-Maßnahmen (z.B. durch Telefax, E-Mail, SMS, Messenger, Social Media)
  • entwickelt für Sie Vertragsklauseln (z.B. Einwilligungserklärungen zur Datennutzung)
  • berät Sie im Rahmen der Erhebung und Verwendung von Kundendaten im Internet
  • erstellt Gutachten zum Nachweis rechtskonformer Verfahren
  • berät Sie in Bezug auf Big Data Analysen wie Predictive Analytics etc.
  • entwickelt datenschutzrechtliche Unternehmensrichtlinien und Betriebsvereinbarungen
  • unterstützt und moderiert im Rahmen von Konflikten auf dem Gebiet des Arbeitnehmerdatenschutzes zwischen Unternehmensführung und Betriebsrat
  • verhandelt in Konfliktfällen mit den zuständigen Aufsichtsbehörden
  • berät Sie bei Fragen zu internationalen Datentransfers, insbesondere Nicht-EU-Staaten („Privacy-Shield“) sowie Datenverarbeitungen innerhalb Ihres Konzerns
  • berät Sie datenschutzrechtlich in Bezug auf Outsourcing-Projekte
  • berät Sie in Bezug zu CRM Systemen
  • schult Ihre Mitarbeiter in den erforderlichen Aspekten des Datenschutzes
  • berät Sie datenschutzrechtlich zu sensiblen Gesundheitsdaten
  • berät Sie in Bezug auf das Bank- und Fernmeldegeheimnis
  • führt als Wirtschaftsprüfungsgesellschaft bei Ihnen Datenschutzaudits durch

WPNO führt in einem ersten Schritt eine Bestandsaufnahme datenschutzrelevanter Prozesse in Ihrem Unternehmen durch. Auf diese Weise erfassen wir Ihre sämtlichen Prozesse, in denen personenbezogene Daten erhoben, gespeichert und verarbeitet werden und können diese einer Bewertung zuführen.

Gemäß § 4g Abs. 2 S. 1 BDSG i.V.m. § 4e S. 1 BDSG/Art. 30 Abs. 1 DSGVO Aufgabe des betrieblichen Datenschutzbeauftragten, ein Verfahrensverzeichnis vorzuhalten, welches Auskunft über den Umfang und die Rechtsgrundlage der Datenverarbeitung gibt. Nach Art. 30 Abs. 1 S. 1 DSGVO wird hingegen zukünftig nicht mehr der betriebliche Datenschutzbeauftragte, sondern Sie als Vorstand, Aufsichtsrat oder Geschäftsführer (Unternehmensleitung) für das Verfahrensverzeichnis verantwortlich sein.

WPNO erstellt für Sie ein Verfahrensverzeichnis oder steht Ihnen alternativ beratend bei der Erstellung Ihres Verfahrensverzeichnisses zur Verfügung.

WPNO sichtet und analysiert Ihre Verträge, Ihre Videoüberwachungssysteme, Ihren Internetauftritt bzw. Webportale und Ihre externen Dienstleister.

Daran anschließend stellen wir Ihnen ein Datenschutz-Handbuch zur Verfügung, welches neben den Ergebnissen der Bestandsaufnahme auch Merkblätter zum Thema Datenschutz, Musterverträge und Verpflichtungs- und Einwilligungserklärungen enthält.

WPNO schult Sie und Ihre Mitarbeiter in regelmäßigen Abständen und führt entsprechende Sensibilisierungen für datenschutzrechtliche Erfordernisse des BDSG und DSGVO durch.

Wir führen Vorabkontrollen durch und stehen als Ansprechpartner bei auftretenden datenschutzrechtlichen Fragestellungen des BDSG und DSGVO zur Verfügung. Wir stehen Ihnen insbesondere in Bezug auf die Veränderungen durch Art. 35 DSGVO beratend zur Seite. Dieser regelt die Datenschutz-Folgenabschätzung, welche an die Stelle der Vorabkontrolle tritt und in den Verantwortungsbereich der verantwortlichen Stelle fallen wird.

Wir helfen Ihnen zudem sog. Datenschutz-Richtlinien aufzustellen und zeigen Ihnen Möglichkeiten zur ordnungsgemäßen Dokumentation der Befolgung dieser Richtlinien auf. Ausschließlich diese Vorgehensweise erfüllt Ihre Pflichten des Art. 24 Abs. 1 DSGVO und dient als angemessener Nachweis gegenüber den Aufsichtsbehörden.

WPNO begleitet Sie bei der Sichtung der für die Verfahren getroffenen technischen und organisatorischen Maßnahmen in Bezug auf die Identifizierung von Schwachstellen hinsichtlich der Anforderungen gemäß BDSG, beziehungsweise gegebener Best Practice-Vorgaben.  Im Anschluss wird in Abstimmung mit Ihnen eine tabellarische Darstellung der diagnostizierten Schwachstellen, Regelungsanforderungen und Verbesserungspotentiale generiert.

WPNO unterstützt und begleitet Sie bei der Optimierung der organisatorischen und technischen Maßnahmen hinsichtlich einer abgestimmten Auswahl diagnostizierter Schwachstellen gemäß dem BDSG und Best Practices durch die gemeinsame Erstellung und Optimierung von IT-Policies und IT-Richtlinien.

Das WPNO-Leistungsportfolio umfasst weiterhin die Durchführung von Datenschutz-Audits, die wir sowohl in Ihrem Unternehmen als auch bei den von Ihnen eingesetzten Dienstleistern durchführen.

9a S. 1 BDSG bzw. § 78c SGB X sehen vor, dass Unternehmen und insb. Anbieter von Datenverarbeitungssystemen und -programmen zur Verbesserung des Datenschutzes und der Datensicherheit ihr Datenschutzkonzept sowie ihre technischen Einrichtungen freiwillig durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen können. Nach S. 2 dieser Vorschrift sind die näheren Anforderungen an die Prüfung, die Bewertung, das Verfahren, die Zertifizierung sowie die Auswahl und Zulassung der unabhängigen Gutachter durch ein Datenschutz-Audit-Ausführungsgesetz zu regeln. Trotz intensiver Debatte steht die Verabschiedung dieses wesentlichen Ausführungsgesetzes zum heutigen Stand (Juli 2016) immer noch aus. Die Landesgesetze enthalten entsprechende Regelungen. Ausführungsvorschriften sind bisher allerdings nur in Schleswig-Holstein erlassen worden. Bis zu einer gesetzlichen Festlegung, welche Anforderungen an ein Audit zu stellen sind, bedarf es aktuell lediglich der Vereinbarung eines nach allgemeinen Maßstäben geeigneten Auftragsinhalts. Dabei kann der Wirtschaftsprüfer die Rolle des Datenschutz-Auditors übernehmen.

Den Aufbau, die Struktur und die wesentlichen inhaltlichen Gegenstände eines Datenschutzaudits können aus einer Vielzahl verschiedener, nebeneinander bestehender Standards abgeleitet werden, die für die Rechnungslegung relevanten Standards IDW RS FAIT 1, IDW PS 330, IDW PS 331, außerhalb der Rechnungslegung der Baustein B 1.5 „Datenschutz“ im Grundschutzkatalog des BSI.

Das systematische Prüfverfahren versetzt den Datenschutz-Auditor in die Lage, die Schwachstellen Ihres Datenschutzkonzepts festzustellen und notwendige Anpassungen vorzunehmen. Darüber hinaus ist er aber auch befähigt, eine Bewertung über die Wirksamkeit Ihres Datenschutzkonzepts abzugeben.

Hinsichtlich der Planung und der Durchführung eines Datenschutzaudits bietet es sich an, eine Ausrichtung am IDW PS 330 in Betracht zu ziehen. Die Anforderungen an eine solche Prüfung hat das Institut der Wirtschaftsprüfer (IDW) in der Richtlinie IDW PS 330 festgelegt. Die 9 Prüfungsschwerpunkte beinhalten rund 350 zu behandelnde Einzelfragen.

In unserer Eigenschaft als Wirtschaftsprüfungsgesellschaft gewährleisten wir die Einhaltung sämtlicher relevanten datenschutzrechtlichen Vorschriften und sichern auf diese Weise den beständigen Fortschritt und Erfolg Ihres Unternehmens. Insbesondere die Möglichkeit einen Wirtschaftsprüfer von WPNO zum Datenschutz-Auditor zu bestellen ist nochmals hervorzuheben.

Die Bestellung eines WPNO Wirtschaftsprüfers als externen betrieblichen Datenschutzbeauftragten bietet zudem den Vorteil, dass dieser für Sie ein Compliance Management System (CMS) einrichten kann, welches nach IDW PS 980 testiert werden kann.

WPNO bietet Ihnen mit einer akkreditierten Zertifizierungs- und Prüfungsgesellschaft die Zertifizierung Ihres ISMS nach DIN ISO/IEC 27001-2:2015 an. Vor dem Hintergrund, dass diese allein keinesfalls ausreicht, um die hohen Anforderungen des in mehreren Gesetzen (z.B. BDSG, BSIG, TKG, TMG) vorausgesetzten Standards „Stand der Technik“ zu erfüllen, orientieren wir uns darüber hinaus am IT-Grundschutz des BSI Grundschutz (d.h. die BSI-Standards zum Sicherheitsmanagement, BSI-Standard 100-1 bis 100-4 sowie die IT-Grundschutzkataloge), sowie den Wirtschaftsprüfertestaten IDW PS 330, IDW PS 951 n.F. und IDW PS 980, IDW EPS 981, IDW EPS 982. Bedarfsweise greifen wir darüber hinaus auf Best Practice-Modelle zurück.

Sarbanes-Oxley-Act SOX-404

WPNO unterstützt und begleitet seine an der New Yorker Börse (SEC) notierten Mandanten in den speziellen Fragestellungen und Anforderungen des Sarbanes-Oxley-Act SOX-404.

Im Rahmen der SOX-konformen Einführung, Prüfung und Verbesserung der Anwendungskontrollen (Application Controls), allgemeinen IT-Kontrollen (IT General Controls) und Geschäftsprozesse unterstützen wir unsere Mandanten in Aspekten wie Management Testing oder interner Revision.