Die Datenschutz-Grundverordnung (DSGVO) ist für Banken und Finanzdienstleister ein zentrales Regelungsinstrument. Mit Stand vom 16. April 2025 hat das Institut der Wirtschaftsprüfer (IDW) seinen bewährten Fragen-Antworten-Katalog aktualisiert, um insbesondere neue rechtliche Entwicklungen und praktische Anwendungsfragen abzudecken.
Aktualisierungsbedarf durch neue Rechtsprechung und Behördenpraxis
Die IDW-Arbeitsgruppe „EU-Regulierung/Datenschutz“ reagiert mit der Überarbeitung auf geänderte Rahmenbedingungen. Grundlage der Anpassungen sind:
- aktuelle Urteile europäischer und nationaler Gerichte,
- Entscheidungen der EU-Kommission,
- sowie Veröffentlichungen der Datenschutzkonferenz (DSK).
Die wichtigsten Aktualisierungen betreffen die Kapitel zur Auftragsverarbeitung, zum Datenschutzmanagement, zur Rolle des Datenschutzbeauftragten, zur Einwilligung sowie zum Datenaustausch mit den USA.
Wesentliche Inhalte der überarbeiteten IDW-Arbeitshilfe
Die Arbeitshilfe ist modular aufgebaut und adressiert spezifische Fragestellungen, die sich aus der Anwendung der DSGVO in der Praxis ergeben. Die Neuerungen betreffen insbesondere folgende Themenbereiche:
1. Auftragsverarbeitung
Die Ausführungen konkretisieren, unter welchen Bedingungen ein Wirtschaftsprüfer (WP) oder eine Wirtschaftsprüfungsgesellschaft (WPG) als Auftragsverarbeiter agieren kann. Dabei wird erneut hervorgehoben, dass WP in der Regel datenschutzrechtlich eigene Verantwortliche sind und nicht weisungsgebunden arbeiten – was eine Einordnung als Auftragsverarbeiter ausschließt.
2. Datenschutzmanagement
Die Rolle des Datenschutzmanagementsystems (DSM) wird als Bestandteil der Corporate Governance betont. Ergänzt wurden Hinweise auf das Prinzip der Datenminimierung, das in Artikel 5 Abs. 1 Buchstabe c DSGVO verankert ist.
3. Datenschutzbeauftragte
Neu präzisiert wird, in welchen Fällen eine WPG einen internen oder externen Datenschutzbeauftragten bestellen muss und welche Anforderungen dabei zu beachten sind – insbesondere im Hinblick auf Unabhängigkeit und Fachkunde.
4. Einwilligung
Die überarbeiteten Ausführungen widmen sich den Bedingungen einer wirksamen Einwilligung und der Frage, wann eine solche erforderlich ist. Dabei wird auch der Umgang mit bereits erteilten Einwilligungen nach dem 25. Mai 2018 thematisiert.
5. Datentransfer in Drittstaaten – Fokus USA
Die Anforderungen an den Datentransfer in Drittstaaten – speziell die USA – wurden angesichts aktueller Entwicklungen (z. B. Angemessenheitsbeschlüsse, Standardvertragsklauseln) aktualisiert. Die Arbeitsunterlage geht unter anderem auf die Nutzung von Cloud-Anbietern ein, die Daten außerhalb der EU verarbeiten.
Praktische Relevanz für Wirtschaftsprüfungsgesellschaften und Finanzinstitute
Die Arbeitsunterlage dient nicht nur als juristische Orientierungshilfe, sondern auch als praktisches Nachschlagewerk für interne Datenschutzverantwortliche, Compliance-Beauftragte und IT-Verantwortliche in Finanzunternehmen. Sie unterstützt dabei, datenschutzrechtliche Anforderungen korrekt einzuordnen und umzusetzen – insbesondere bei der Zusammenarbeit mit Mandanten, beim Outsourcing sowie im grenzüberschreitenden Kontext.
Bezugsquelle
Die aktualisierte Arbeitshilfe steht unter dem Titel „Fragen und Antworten zur EU-Datenschutz-Grundverordnung und zum Bundesdatenschutzgesetz“ auf der Website des IDW zum Download bereit (Stand: 16.04.2025).
Veröffentlicht in Allgemein, Rechtsberatung, Wirtschaftsprüfung
