Aspekte der IT-Prüfung: Konsequenzen der Safe-Harbor-Entscheidung des EuGH

Bisherige Vorgehensweise

Im Rahmen der Jahresabschlussprüfung ist der Wirtschaftsprüfer verpflichtet, über Feststellungen in Bezug auf die Datensicherheit sowie über sonstige Gesetzesverstöße – sofern ihm diese im Rahmen der Abschlussprüfung bekannt werden – zu berichten. Bislang wurde unter datenschutzrechtlichen Gesichtspunkten der Transfer personenbezogener Daten in die USA (beispielsweise im Zuge sogenannter Cloud-Lösungen oder Client-Server-Lösungen deutscher Tochtergesellschaften zur Nutzung von Speicher-/Serverkapazitäten der US-amerikanischen Muttergesellschaft) durch die sogenannte Safe Harbor-Entscheidung der EU-Kommission legitimiert.<(p>

Was ändert sich?

Der EuGH hat mit Urteil vom 06.10.2015 (Az. C-362/14) entschieden, dass die USA aus europäischer Sicht kein angemessenes Schutzniveau für personenbezogene Daten bieten. Die Safe Harbor-Entscheidung der EU-Kommission kann ab sofort nicht mehr als Rechtfertigung herangezogen werden, personenbezogene Daten in die USA zu übermitteln. Unternehmen ist daher dringend zu empfehlen, ihre datenschutzrechtlichen Vereinbarungen mit US-Unternehmen daraufhin zu überprüfen, ob sie den Anforderungen der Richtlinie 95/46/EG und des aktuellen Urteilsspruchs des EuGH entsprechen.

Worauf müssen Wirtschaftsprüfer jetzt achten?

Der Wirtschaftsprüfer sollte daher bei Abschlussprüfungsmandaten, die von den Auswirkungen des Urteils aufgrund der Übermittlung personenbezogener Daten in die USA betroffen sind, von seiner „Redepflicht“ Gebrauch machen und betroffene Unternehmen auf entsprechenden Handlungsbedarf hinweisen. Dabei wird auch zu berücksichtigen sein, welche Konsequenzen die nationalen Datenschutzaufsichtsbehörden aus der Urteilsentscheidung ziehen.