Elektronische Prüfungsvermerke und -berichte

  • Um einen Prüfungsvermerk oder -bericht als „elektronisches Original“ auszufertigen, bedarf es einer qualifizierten elektronischen Signatur und der Einfügung eines elektronischen Abbildes des Berufssiegels.
  • Elektronische Kopien von Prüfungsberichten (unverbindliche Ansichtsexemplare) können – wie bislang – auch ohne qualifizierte elektronische Signatur zur Verfügung gestellt werden.
  • Bei jeglicher E-Mail-Kommunikation mit Mandanten ist die Verschwiegenheitspflicht zu wahren.

I. Allgemeines zum Ersatz der Schriftform bei elektronischen Prüfungsvermerken und -berichten

1. Wie kann die Schriftform in einem elektronischen Dokument ersetzt werden?

Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur versehen (§ 126a Abs. 1 BGB).

Seit 1. Juli 2016 gilt die sogenannte eIDAS-Verordnung (VO [EU] Nr. 910/2014) in allen EU-Mitgliedstaaten direkt und regelt verbindlich die Anforderungen an elektronische Signaturen.

Voraussetzungen für den Ersatz der Schriftform sind also:

  • Der Aussteller muss der Erklärung seinen Namen hinzufügen und
  • das elektronische Dokument muss mit der qualifizierten elektronischen Signatur des Ausstellers versehen sein.

2. Wie sind elektronische Prüfungsvermerke und -berichte mit den Ausführungen der Gesetzesbegründung des AReG vereinbar?

In der Gesetzesbegründung zum AReG, konkret zur Einfügung des Wortes „schriftlich“ in § 322 Abs. 1 Satz 1 HGB (Bestätigungsvermerk), führt die Bundesregierung aus, dass durch das ergänzende Schriftformerfordernis klargestellt werde, dass die Unterzeichnung eigenhändig und auf dem in Papierform vorliegenden Jahres- oder Konzernabschluss oder einem Dokument, das damit fest verbunden ist, zu erfolgen hat.

Wird durch ein Gesetz ein Schriftformerfordernis vorgesehen, muss eigenhändig unterzeichnet werden. Daraus folgt, dass dies auf dem in Papierform vorliegenden Prüfungsbericht und Bestätigungsvermerk zu erfolgen hat. Die Gesetzesbegründung ist insoweit also zutreffend.

Nicht erwähnt wird jedoch die Möglichkeit, dass die durch ein Gesetz angeordnete Schriftform durch die elektronische Form ersetzt werden kann, wenn sich aus dem Gesetz nichts anderes ergibt (§ 126 Abs. 3 BGB). Da die §§ 321, 322 HGB zwar die schriftliche Form vorsehen, jedoch die elektronische Ersetzung nicht ausschließen, kann diese nach den Vorgaben des § 126a BGB erfolgen, also mittels qualifizierter elektronischer Signatur. Auch die eIDAS-Verordnung sieht vor, dass eine qualifizierte elektronische Signatur, die auf einem in einem EU-Mitgliedstaat ausgestellten qualifizierten Zertifikat beruht, die gleiche Rechtswirkung hat wie eine handschriftliche Unterschrift (Art. 25 Abs. 2, 3 eIDAS-Verordnung).

II. Anforderungen an die qualifizierte elektronische Signatur

3. Was ist eine qualifizierte elektronische Signatur?

Was eine qualifizierte elektronische Signatur ist, bestimmt sich nach der eIDAS-Verordnung. Danach handelt es sich um Daten in elektronischer Form, die anderen elektronischen Daten (etwa der Datei eines Prüfungsberichts) beigefügt oder logisch mit ihnen verbunden sind. Dabei gibt es Sicherheitsabstufungen.

Die „elektronische Signatur“ sind lediglich Daten im vorgenannten Sinne, die der Unterzeichner zum Unterzeichnen verwendet. Praktisch dient die elektronische Signatur allgemein der Authentifizierung.

Bei der sogenannten „fortgeschrittenen elektronischen Signatur“ tritt hinzu, dass

  • diese eindeutig dem Unterzeichner zugeordnet ist
  • sie die Identifizierung des Unterzeichners ermöglicht
  • sie unter Verwendung elektronischer Signaturerstellungsdaten erstellt wird, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann, und
  • sie so mit den auf diese Weise unterzeichneten Daten verbunden ist, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Die „qualifizierte elektronische Signatur“, also diejenige, die zum Ersatz der Schriftform benötigt wird, muss zusätzlich zu den Anforderungen an die elektronische Signatur und die fortgeschrittene elektronische Signatur

  • von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt werden und
  • auf einem qualifizierten Zertifikat für elektronische Signaturen beruhen.

Klarstellende Hinweise

Eine qualifizierte elektronische Signatur ist nicht eine bloße Bilddatei der eingescannten Unterschrift.

Auch wenn eine Gesellschaft handelt, wird die Erklärung stets von einer natürlichen Person mit eigenem Namen unterzeichnet. Entsprechend ist bei elektronischen Erklärungen stets die Signatur einer natürlichen Person, nämlich des jeweils Erklärenden, und nicht etwa die Signatur einer Gesellschaft erforderlich.

4. Also brauche ich immer ein Kartenlesegerät und eine Signaturkarte?

Die bisherige technische Umsetzung qualifizierter elektronischer Signaturen basierte auf dem Einsatz von Signaturkarten, für deren Verwendung Sie ein Kartenlesegerät benötigten. Als Signaturkarte soll perspektivisch auch der seit 2010 ausgegebene neue Personalausweis genutzt werden können, wenn er mit einem entsprechenden Signaturzertifikat aufgeladen wird. Derzeit gibt es allerdings noch keinen Vertrauensdiensteanbieter, der dies unterstützt.

Die eIDAS-Verordnung lässt beispielsweise auch Fernsignaturen zu. Hier wird die qualifizierte elektronische Signatur nicht mit einer Signaturkarte, sondern von einem qualifizierten Vertrauensdiensteanbieter im Auftrag der unterzeichnenden Person erstellt. Müssen dem Anbieter hierfür Daten zur Verfügung gestellt werden, die der Verschwiegenheitspflicht unterliegen, ist er unter Belehrung über die strafrechtlichen Folgen einer Pflichtverletzung zur Verschwiegenheit zu verpflichten (§ 50a Abs. 3 Nr. 1 WPO).

5. Welche Anbieter für qualifizierte elektronische Signaturen gibt es?

Eine Liste der aktuellen Anbieter ist gegliedert nach den EU-Mitgliedsstaaten auf der Internetseite der Europäischen Kommission abrufbar. Eine qualifizierte elektronische Signatur, die auf einem in einem Mitgliedstaat ausgestellten qualifizierten Zertifikat beruht, wird in allen anderen Mitgliedstaaten als qualifizierte elektronische Signatur anerkannt (Art. 25 Abs. 3 der eIDAS-Verordnung (EU) Nr. 910/2014).

6. Kann ich auch unsichtbare Signaturfelder verwenden, die lediglich mit einer Signatursoftware, nicht aber im ausgedruckten Dokument sichtbar sind? Aus optischen Gründen würde ich gern eingescannte Unterschriften ans Ende der Erklärung setzen.

Es kommt nicht darauf an, ob die Signatur im ausgedruckten Dokument sichtbar ist oder nicht. Maßgebend ist allein, dass das Dokument qualifiziert elektronisch signiert wurde. Um die dem Rechtsverkehr geläufige Optik eines unterschriebenen Dokuments herzustellen, ist es zulässig, an die Stelle der Unterschrift im Bericht eine bildliche Wiedergabe der Unterschrift des bzw. der Signierenden einzufügen.

Sofern Sie so verfahren, wird – gerade im Falle einer farbig eingescannten Unterschrift – bei einem Farbausdruck nicht ohne weiteres erkennbar, dass das ausgedruckte Exemplar lediglich eine „Kopie“ des elektronischen Originals ist. Vor diesem Hintergrund erscheint eine Kennzeichnung als „Kopie“ sinnvoll, ggf. ergänzt um den Hinweis, dass das (elektronische) Original qualifiziert elektronisch signiert ist.

7. Ist es notwendig, eine qualifizierte elektronische Signatur mit Berufsattribut zu verwenden?

Nein, es ist nicht erforderlich, die qualifizierte elektronische Signatur mit einem Berufsattribut zu verbinden. Hiervon raten wir jedenfalls Mehrfach-Berufsträgern auch ab, weil der Umgang mit einer solchen Signatur fehleranfällig ist.

Es genügt, wenn im WP/vBP-Vorbehaltsbereich die Berufsbezeichnung „Wirtschaftsprüfer“ oder „vereidigter Buchprüfer“ mittels der Schreibsoftware in Druckschrift hinzugefügt wird (außerhalb des WP/vBP-Vorbehaltsbereichs können weitere Berufsbezeichnungen mittels Druckschrift hinzugefügt werden).

Hintergrund ist, dass der WP/vBP im beruflichen Verkehr die Berufsbezeichnung „Wirtschaftsprüfer“ bzw. "vereidigter Buchprüfer" führen muss. Gibt er eine Erklärung ab, die WP/vBP gesetzlich vorbehalten ist, darf er daneben keine andere Berufsbezeichnung führen (§ 18 Abs. 1 WPO). Handelt dagegen bspw. ein WP/StB außerhalb des WP/vBP-Vorbehaltsbereichs (z. B. bei freiwilligen Abschlussprüfungen), verpflichtet ihn das Berufsrecht der StB zur Führung der Berufsbezeichnung „Steuerberater“ (§ 43 Abs. 1 Satz 3 StBerG).

8. Ist es sinnvoll, eine qualifizierte elektronische Signatur zu verwenden, die ein Vertretungsverhältnis für eine bestimmte Gesellschaft erkennen lässt?

Nach § 126a BGB in Verbindung mit der eIDAS-Verordnung ist es nicht notwendig, dass die qualifizierte elektronische Signatur mit der Information über Vertretungsverhältnisse verbunden wird, um die eigenhändige Unterschrift zu ersetzen.

Es mag im Einzelfall von der Praxisleitung als wünschenswert empfunden werden, dass sich aus einer qualifizierten elektronischen Signatur unmittelbar ein Vertretungsverhältnis des Signierenden für diese Praxis entnehmen lässt. Allerdings schränkt dies die Nutzbarkeit der Signatur ein. Beispielsweise sind Fälle denkbar, in denen ein WP/vBP die Signatur nicht nur für diese Praxis, sondern auch für seine Tätigkeit in einer Verbunds- oder Netzwerkgesellschaft oder in seiner eigenen Praxis nutzen möchte (hier würde zwar ein bestehendes Vertretungsverhältnis wiedergegeben, allerdings ist dieses für die konkrete Nutzung der Signatur nicht relevant und kann zu Irritationen führen).

Praxishinweis zu den Ziffern 7 und 8

Soll die qualifizierte elektronische Signatur universell einsetzbar sein, empfiehlt es sich, dem qualifizierten elektronischen Zertifikat optionale Angaben wie z. B. das Berufsattribut oder Vertretungsverhältnisse für bestimmte Gesellschaften nicht beizufügen.

III. Besonderheiten bei Erstellung des Prüfungsvermerks/-berichts unter Nutzung der qualifizierten elektronischen Signatur

9. Der Aussteller muss der Erklärung seinen Namen hinzufügen (vgl. Ziffer 1.). Was ist damit gemeint?

Wie bei einer Erklärung in Papierform sollte der Aussteller seinen Namen nebst qualifizierter elektronischer Signatur ans Ende seiner Erklärung setzen. Damit wird deutlich, wer Urheber der Erklärung beziehungsweise des Dokumentes ist. Damit ist auch der Anforderung des § 126a Abs. 1 BGB entsprochen, der Erklärung den Ausstellernamen hinzuzufügen. Berufsrechtlich hat der WP/vBP seine Berufsbezeichnung hinzuzufügen. Wird die Erklärung für eine WPG/BPG abgegeben, ist zusätzlich deren Firma in das Dokument aufzunehmen (vgl. Beispiel in der Anlage).

10. Wer darf die elektronische Signatur mit der Erklärung verbinden?

Die Anbringung der qualifizierten elektronischen Signatur als Surrogat für die handschriftliche Unterzeichnung ist ein höchstpersönliches Recht des Inhabers der Signaturkarte. Auch wenn es technisch nicht ausgeschlossen wäre, ist es unzulässig, diesen Akt an Dritte zu delegieren. Entsprechende Sorgfalt ist im Umgang mit der Signaturkarte geboten.

11. Kann ein Dokument von mehreren Personen signiert werden? Und können die Signaturen auch untereinander statt nebeneinander eingefügt werden?

Ja, ein Dokument kann von mehreren Personen mit einer qualifizierten elektronischen Signatur versehen werden. In der Praxis ist dies häufig auch erforderlich, da bei vielen WPG/BPG eine Gesamtvertretung der Gesellschaft durch zwei Vertreter vorgesehen ist (vgl. Beispiel in der Anlage). Ebenso müssen im Falle eines Joint Audit alle bestellten Abschlussprüfer Prüfungsvermerk und -bericht signieren.

Die Anordnung der Signaturen untereinander, statt nebeneinander, ist rechtlich unproblematisch möglich (zum Ort der Einfügung siehe Ziffer 9).

12. Reicht es, wenn die E-Mail, mit der der elektronische Prüfungsvermerk oder -bericht übermittelt wird, qualifiziert elektronisch signiert wird?

Es genügt nicht, wenn eine bloße Übersendungs-E-Mail qualifiziert elektronisch signiert wird. Maßgebend ist das elektronische Dokument, also die Datei, die etwa den Prüfungsbericht oder Bestätigungsvermerk enthält. Eine Signatur der E-Mail wäre dagegen lediglich vergleichbar mit der Unterzeichnung des Übersendungsschreibens.

13. Wenn ich ein Dokument mit einer qualifizierten elektronischen Signatur versehe, wird auch ein Datum eingefügt. Welche Bedeutung hat dieses Datum?

Beim Einfügen einer qualifizierten elektronischen Signatur wird der Zeitpunkt des Einfügens der Signatur kenntlich gemacht. Prüfungsvermerke und -berichte sind Willenserklärungen. Das technisch eingefügte Datum macht den Zeitpunkt der Abgabe dieser Erklärung transparent.

14. Aus organisatorischen Gründen vergehen oft ein paar Tage zwischen dem Ende der materiellen Prüfungshandlungen und der Unterzeichnung des Prüfungsvermerks. In der Papierform zeigt das manuell eingefügte Datum nach allgemeinem Verständnis auf, wann die materiellen Prüfungshandlungen beendet wurden. Dieses Datum ist zugleich das Datum des Bestätigungsvermerks, auch wenn die handschriftliche Unterzeichnung erst kurze Zeit später erfolgt.

Wenn dieses tatsächliche „Unterzeichnungsdatum“ bei Ersatz der Schriftform durch die elektronische Form transparent wird, stellen sich die Fragen, welches das für die Erteilung des Prüfungsvermerks maßgebende Datum ist und wie auf das Ende der materiellen Prüfungshandlungen hingewiesen werden kann.

Der Abschlussprüfer hat den Bestätigungsvermerk oder den Vermerk über seine Versagung unter anderem "unter Angabe des Tages der Unterzeichnung" zu unterzeichnen (§ 322 Abs. 7 Satz 1 HGB). Der Prüfungsvermerk ist als formbedürftige Willenserklärung also erst mit der Unterzeichnung wirksam abgegeben. Wird mit der Hinzufügung der qualifizierten elektronischen Signatur automatisch das "Unterzeichnungsdatum" eingefügt, wird damit das Datum der rechtswirksamen Abgabe dieser Willenserklärung transparent.

DDavon zu unterscheiden ist das Datum, an dem der Abschlussprüfer ausreichende geeignete Prüfungsnachweise als Grundlage für das Prüfungsurteil zum Abschluss erlangt hat, also das Ende der materiellen Prüfungshandlungen (ISA 700, Tz. 49; IDW PS 400 n.F. (10.2021), Tz. 74). Dieses informiert den Nutzer des Vermerks darüber, dass der Abschlussprüfer die Auswirkungen von Ereignissen und Geschäftsvorfällen berücksichtigt hat, die bis zu diesem Datum eingetreten und ihm bekannt geworden sind (vgl. ISA 700, Tz. A66). Wegen der materiellen Bedeutung dieses Datums ist zu empfehlen, es wie bisher ans Ende des Prüfungsvermerks aufzunehmen (vgl. Beispiel in der Anlage).

15. In unserer Praxis werden Prüfungsvermerke und -berichte immer von zwei WP/vBP unterzeichnet. Aus organisatorischen Gründen vergehen gelegentlich ein paar Tage zwischen beiden Unterzeichnungen. Welche Folgen hat dies?

Werden zwei Personen zur Vertretung der Praxis benötigt, ist die Willenserklärung erst dann wirksam abgegeben, wenn beide Personen unterzeichnet haben. Wird das Unterzeichnungsdatum durch das technisch mit der Signatur generierte Systemdatum transparent, ist dieses für den Empfänger als Datum der Abgabe der Willenserklärung erkennbar. Maßgeblich ist das spätere Datum.

16. Ist es zulässig, den elektronischen Prüfungsberichts ein paar Tage nach dem elektronischen Prüfungsvermerk zu signieren?

Der Prüfungsvermerk ist in den Prüfungsbericht aufzunehmen (§ 322 Abs. 7 Satz 2 HGB). Demnach ist der Bestätigungsvermerk zeitlich vor dem Prüfungsbericht oder spätestens zeitgleich mit diesem zu erteilen. Das HGB verbietet nicht, den Prüfungsbericht zu einem späteren Zeitpunkt zu unterschreiben oder qualifiziert elektronisch zu signieren.

Gleichwohl ist es zur Vermeidung von Fehlern und damit im Sinne einer gewissenhaften Berufsausübung erforderlich, den Prüfungsbericht bei Erteilung des Prüfungsvermerks bereits weitestgehend finalisiert zu haben. Entsprechend sehen die fachlichen Regeln vor, dass der Abschlussprüfer den Prüfungsbericht nicht später als den Prüfungsvermerk vorzulegen hat (IDW PS 400 n. F. (10.2021), Tz. 72, und IDW PS 450 n. F. (10.2021), Tz. 117).

Vor diesem Hintergrund sollten die qualifizierten elektronischen Signaturen in Prüfungsvermerk und Prüfungsbericht nach Möglichkeit am selben Tag oder zumindest zeitnah mit den Dokumenten verknüpft werden. Außerdem sollte das vom Datum der qualifizierten elektronischen Signatur abweichende Ende der materiellen Prüfungshandlungen (vgl. Ziffer 14) auch im Prüfungsbericht vermerkt werden.

17. Wird die Verwendung eines qualifizierten elektronischen Zeitstempels empfohlen?

Während qualifizierte elektronische Signaturen klassischerweise lediglich auf die (manipulierbare) Systemzeit eines Computers zugreifen, dient ein qualifizierter elektronischer Zeitstempel dem Nachweis, dass ein Dokument zu einem bestimmten Zeitpunkt in der gegebenen Form vorlag. Diese Zeitstempel werden von einem vertrauenswürdigen Drittanbieter mit einer Hardware generiert, auf die der lokale Nutzer keinen Einfluss nehmen kann, und schaffen damit ein erhöhtes Maß an Sicherheit über den Zeitpunkt der Signatur.

§ 126a BGB setzt zum Ersatz der Schriftform durch die elektronische Form allerdings lediglich voraus, dass der Aussteller der Erklärung seinen Namen hinzufügt und er das elektronische Dokument mit einer qualifizierten elektronischen Signatur versieht. Die Verwendung eines elektronischen Zeitstempels ist rechtlich nicht erforderlich.

18. Gibt es eine Pflicht, elektronische Prüfungsberichte und -vermerke nachzusignieren?

§ 15 VDG sieht vor, dass, sofern hierfür Bedarf besteht, qualifiziert elektronisch signierte Daten durch geeignete Maßnahmen neu zu schützen sind, bevor der Sicherheitswert der vorhandenen Signaturen durch Zeitablauf geringer wird. Denkbar ist dies z. B. durch das sog. Nachsignieren, also durch Verknüpfung der ursprünglich qualifiziert elektronisch signierten Datei mit einer neuen qualifizierten Signatur des Ausstellers. Dies müsste zu einem Zeitpunkt geschehen, in dem die verwendeten Signaturschlüssel noch die erforderliche Sicherheit gewährleisten.

Hintergrund ist die Erhaltung des Beweiswerts der Daten. Signaturschlüssel, die heute als unüberwindbar gelten, können in einigen Jahren aufgrund höherer Rechenleistung von Computern möglicherweise deutlich leichter gebrochen werden.

Zwar sinkt auch der Sicherheitswert der Signaturschlüssel von Prüfungsvermerken und -berichten im Laufe der Zeit, allerdings lässt sich der Erhalt der Beweiskraft der elektronischen Dokumente auch damit begründen, dass die entsprechende Datei unverändert in der Handakte des WP/vBP und im Rechensystem des Mandanten vorliegt. Außerdem wird der Bestätigungsvermerk zeitnah im Bundesanzeiger veröffentlicht (§ 325 HGB).

Aus Sicht der WPK ist es daher nicht erforderlich, elektronische Prüfungsberichte und -vermerke nachzusignieren.

IV. Elektronische Führung des Berufssiegels

19. Wie kann ich das Berufssiegel elektronisch führen? Was ist bei der Erstellung der Siegeldatei zu beachten?

Geben WP/vBP Erklärungen im Vorbehaltsbereich ab, sind sie verpflichtet, ein Siegel zu benutzen (§ 19 Abs. 1 BS WP/vBP). Seit Neufassung der Berufssatzung kann das Siegel auch elektronisch geführt werden (§ 20 Abs. 2 Satz 2 BS WP/vBP). Hierzu muss der Siegelabdruck elektronisch-bildlich wiedergegeben werden. Wie das elektronische Siegelabbild technisch zu erstellen ist, ist in der BS WP/vBP nicht vorgegeben. Im einfachsten Fall wird ein Abdruck des Berufssiegels eingescannt.

Mit Blick auf Aufbau und Erscheinungsbild muss das elektronische Abbild des Berufssiegels ebenso wie das drucktechnisch geführte oder das physische Berufssiegel den Vorgaben des § 20 BS WP/vBP und der zugehörigen Anlage entsprechen (vgl. Beispiel in der Anlage).

20. Neben dem elektronischen Abbild des Berufssiegels gibt es noch das elektronische Siegel, das mit der eIDAS-Verordnung eingeführt wurde. Was ist das?

Elektronische Siegel nach der eIDAS-Verordnung sollen als Nachweis dafür dienen, dass ein elektronisches Dokument von einer juristischen Person ausgestellt wurde, und den Ursprung und die Unversehrtheit des Dokuments belegen. Während mit elektronischen Signaturen (wie der qualifizierten elektronischen Signatur) eine Willenserklärung abgegeben werden kann, dient das elektronische Siegel einer Institution als Herkunftsnachweis: Es kann überall dort eingesetzt werden, wo eine persönliche Unterschrift nicht notwendig, aber der Nachweis der Authentizität gewünscht ist (zum Beispiel bei amtlichen Bescheiden, Urkunden, Kontoauszügen etc.).Für WP/vBP-Praxen sollte es daher keine Praxisrelevanz haben.

V. Originalausfertigungen und Kopien

21. In der Papierform wird regelmäßig ein Testatsexemplar erstellt, wobei der vom WP/vBP unterzeichnete Prüfungsvermerk fest mit dem vom gesetzlichen Vertreter des Mandanten unterzeichneten Jahresabschluss verbunden wird. Wie mache ich das bei einem elektronischen Prüfungsvermerk?

Wird der Prüfungsvermerk als elektronisches Original mit qualifizierter elektronischer Signatur ausgefertigt, ist eine Verbindung mit einem handschriftlich unterschriebenen Jahresabschluss wegen des Medienbruchs nicht möglich. Die Verbindung des Prüfungsvermerks mit dem Jahresabschluss dient dem Zweck, einen eindeutigen Bezug des Prüfungsvermerks zum Prüfgegenstand herzustellen. Diesem Zweck genügt es, wenn der unterschriebene Jahresabschluss nebst Lagebericht eingescannt und in einer Datei mit dem Prüfungsvermerk zusammengeführt wird. Hierbei ist es nicht erforderlich, dass der Mandant den eingescannten Jahresabschluss seinerseits qualifiziert elektronisch signiert.

Wird die Testatsexemplar-Datei durch den WP/vBP qualifiziert elektronisch signiert, übernimmt dieser damit nicht die inhaltliche Verantwortlichkeit für Jahresabschluss und Lagebericht, wohl aber die Gewähr dafür, dass es sich hierbei um den Jahresabschluss und Lagebericht handelt, den er vom Mandanten zum Zwecke der Prüfung erhalten hat, und dass er genau diesen als Scan beigefügten Jahresabschluss nebst Lagebericht seiner Prüfung zugrunde gelegt hat. Entsprechend bietet es sich an, zu Nachweiszwecken ein Papier-Original des Jahresabschlusses in der Handakte aufzubewahren.

22. Darf ich neben dem qualifiziert elektronisch signierten Prüfungsvermerk oder -bericht weiterhin ein handschriftlich unterzeichnetes Papierexemplar an den Mandanten herausgeben?

Die qualifizierte elektronische Signatur dient dem Ersatz der Unterschrift. War es bislang möglich, mehrere (i. d. R. durchnummerierte) Berichte in Papierform abzugeben, dürfte nach unserer Einschätzung auch die Herausgabe eines elektronischen „Originals“ neben einem Papierexemplar möglich sein. Um Medienbrüche zu vermeiden, wird jedoch die Beschränkung auf ein Medium empfohlen. Auch ist auf eine einheitliche Datierung zu achten.

23. Kann ich meinem Mandanten auch einen Ausdruck des elektronischen Prüfungsberichts zur Verfügung stellen? Genügt die Übergabe des Ausdrucks, um meinen vertraglichen Pflichten nachzukommen?

Es spielt keine Rolle, ob Sie Ihrem Mandanten den Ausdruck eines Prüfungsvermerks oder -berichts, der qualifiziert elektronisch signiert wurde, zur Verfügung stellen oder er sich selbst bei Bedarf einen Ausdruck erstellt. Sie müssen sich jedoch darüber im Klaren sein, dass es sich bei den Ausdrucken lediglich um „Kopien“ des elektronischen Originals handelt.

Um Ihren vertraglichen Pflichten zu genügen, müssen Sie Ihrem Mandanten also das elektronische Original zur Verfügung stellen.

24. Kann ich meinen Mandanten – wie bisher – auch ohne qualifizierte elektronische Signatur ein elektronisches Exemplar des Prüfungsberichts zur Jahresabschlussprüfung zur Verfügung stellen?

Wünscht der Mandant neben dem eigenhändig unterzeichneten Papierexemplar des Prüfungsberichts auch ein elektronisches Exemplar (zum Beispiel als PDF-Datei), so ist dies berufsrechtlich ohne weiteres möglich. Da es sich hierbei rechtlich nur um eine Kopie handelt, ist die Verknüpfung mit einer qualifizierten elektronischen Signatur entbehrlich. Ausführungen hierzu – insbesondere zu haftungsrechtlichen Gesichtspunkten – finden sich in WPK Magazin 4/2008, Seite 37. Dort wird insbesondere empfohlen, die Datei mit dem Hinweis zu versehen, dass es sich bei der Kopie lediglich um ein unverbindliches Ansichtsexemplar handle.

VI. Sonstige Fragen

25. Welche Kosten sind mit der elektronischen Signatur verbunden?

Einerseits fallen Kosten für die erforderliche Hard- und Software an. Beispielhaft sind die Kosten für den Computer, ein Kartenlesegerät und die Signatursoftware zu nennen. Außerdem fallen Kosten für das qualifizierte elektronische Zertifikat an. Diese richten sich insbesondere nach dessen Gültigkeitsdauer. Außerdem können Kosten durch die Internetverbindung entstehen.

Genaue Auskünfte können die jeweiligen Anbieter beantworten (vgl. Ziffer 5).

26. Muss ich im Auftragsbestätigungsschreiben etwas beachten, wenn ich elektronische Prüfungsvermerke und -berichte erteile?

Wird der Prüfungsbericht ausschließlich in elektronischer Form ausgeliefert, sind etwaige AAB-Regelungen über die Anzahl der auszuliefernden Berichte nicht erforderlich, da sich diese auf Papierexemplare beziehen. Entsprechend sollte im Auftragsbestätigungsschreiben die Auslieferung ausschließlich einer elektronischen Ausfertigung vereinbart werden. Ggf. bietet sich an, eine Regelung hinsichtlich der Kosten zu treffen für den Fall, dass der Mandant zusätzlich oder nachträglich Papierausfertigungen wünscht.

27. Wie kann ein bereits versandter elektronischer Prüfungsvermerk in technischer Hinsicht zurückgenommen werden, wenn eine Korrektur erforderlich ist oder der Vermerk widerrufen wird?

Anders als im Falle von Prüfungsvermerken in Schriftform können in der elektronischen Form nicht einfach die durchnummerierten Papierexemplare eingezogen und durch Exemplare des neuen Prüfungsvermerks ersetzt werden. Selbst wenn der Mandant die Datei zurücksendet, verbleibt eine Kopie in seinem System.

Es bietet sich an, zunächst den Mandanten aufzufordern, die ihm übersandte Datei sowie sämtliche Kopien und etwaig erstellte Ausdrucke zu vernichten. Entsprechend sollte er aufgefordert werden, etwaige Dritte, die den Prüfungsvermerk erhalten haben, über die Rücknahme des Vermerks zu informieren und sie ihrerseits zur Löschung aufzufordern. Es erscheint sinnvoll, eine entsprechende Erklärung über die erfolgte Vernichtung der Datensätze und die Aufforderung an alle Empfänger des Prüfungsvermerks, die Daten zu vernichten, vor Übermittlung des neuen Prüfungsvermerks einzuholen, bspw. als Bedingung für die Auslieferung des neuen Prüfungsvermerks.

Es könnte sich auch anbieten, solche Regelungen bereits ins Auftragsbestätigungsschreiben oder in die Allgemeinen Auftragsbedingungen aufzunehmen.

28. NEU: Der Aufsichtsrat des Mandanten bemängelt einen (gravierenden) redaktionellen Fehler im elektronischen Prüfungsbericht und bittet um Korrektur. Wie kann der dem Mandanten zur Verfügung gestellte Bericht korrigiert werden?

Zunächst sollte der fehlerhafte Bericht entsprechend dem unter Ziffer 27 dargestellten Verfahren eingezogen werden. Es bietet sich an, die ursprünglich ausgelieferte Datei zu ändern. Hierbei ist zu beachten, dass nur derjenige, der das Dokument ursprünglich signiert hat, die Verschlüsselung aufheben und das Dokument ändern kann. Jede Änderung wird in der Datei protokolliert und damit transparent. Ergänzend sollte ein Zusatz ans Ende des Prüfungsberichts aufgenommen werden, der auf die Korrektur hinweist. Die Korrektur lässt sich im Übrigen der Änderungshistorie der PDF-Datei entnehmen.

Lässt das Signaturprogramm keine Änderungen zu, sollte die korrigierte unsignierte Berichtsdatei um den Hinweis ergänzt werden, dass es sich bei dem Dokument um eine korrigierte Version des Prüfungsberichts vom xx.xx.xxxx handelt. Sodann ist zur Wahrung der Form die Verknüpfung mit einer qualifizierten elektronischen Signatur erforderlich.

29. Welche zusätzlichen Haftungsgefahren bestehen bei Herausgabe eines ausschließlich elektronischen Testatsexemplars oder Prüfungsberichts?

Um das Zustandekommen eines Auskunftsvertrags mit Dritten zu verhindern, sollte der WP/vBP in der digitalen ebenso wie bereits in der Papierwelt tunlichst vermeiden, seinerseits Prüfungsvermerke und -berichte an Dritte (wie etwa Banken) zu übermitteln.

In der digitalen Welt ist es jedoch leichter als in der analogen Papierwelt, dass der Mandant, dem ein „elektronisches Original“ in die Hand gegeben wird, in die Lage versetzt wird, das Original in großer Zahl und ohne Kenntnis des WP/vBP zu vervielfältigen und seinen Vertragspartnern weiterzuleiten. Hierbei wird den Empfängern regelmäßig nicht ohne weiteres erkennbar, ob der Mandant im Verhältnis zum WP/vBP zur Weiterleitung des Berichts oder Vermerks berechtigt war.

Vor diesem Hintergrund kommt einer vertraglichen Regelung zur Weitergabe beruflicher Äußerungen des WP/vBP ein besonderes Gewicht zu (vgl. Ziffer 6 Abs. 1 der AAB des IDW vom 1. Januar 2024). Der Vorbehalt der Zustimmung des WP/vBP zur Weitergabe seiner beruflichen Äußerungen an Dritte sollte daher vereinbart werden, sei es mittels allgemeiner Geschäftsbedingungen oder mittels einzelvertraglicher Vereinbarung. Hiermit wird das Risiko einer möglichen Dritthaftung vermindert.

30. Gibt es Besonderheiten bei der Aufbewahrung von elektronischen Prüfungsvermerken und -berichten?

Da es WP/vBP gestattet ist, sich zur Führung der Handakten der elektronischen Datenverarbeitung zu bedienen (§ 51b Abs. 7 WPO), können elektronische Prüfungsvermerke und -berichte auch ausschließlich elektronisch abgespeichert und aufbewahrt werden. Ein zusätzlicher Ausdruck ist (rechtlich) nicht erforderlich. Zu den Aufbewahrungsfristen gibt es keine Besonderheiten im Vergleich zur analogen Welt; die Dokumente einer elektronischen Handakte müssen allerdings auch entsprechend lange abrufbar bzw. lesbar sein. Dies setzt insbesondere voraus, dass sie entweder in einem gängigen, auch nach längerem Zeitablauf noch lesbaren Dateiformat gespeichert werden oder aber dass Ihre Praxis die entsprechenden Software-Versionen vorhält, um die Dateien auch noch nach Jahren aufrufen zu können.

31. Muss der E-Mail-Verkehr im Rahmen der Abschlussprüfung verschlüsselt erfolgen?

Im Kontext des Versandes elektronischer Unterlagen sind stets die berufsrechtliche Verschwiegenheitspflicht und der strafrechtliche Geheimnisschutz zu berücksichtigen.

Jedenfalls berufsrechtlich sehen wir die unverschlüsselte E-Mailkommunikation, auch wenn diese vertrauliche Informationen enthält, als zulässig, wenn der Mandant nach entsprechender Aufklärung durch den WP in die Nutzung dieses Kommunikationswegs einwilligt.

Datenschutzrechtlich ist hier etwas weiter auszuholen. Über Art. 32 Abs. 1 Datenschutzgrundverordnung (DSGVO) haben auch WP/vBP bei der Verarbeitung von Daten, zu der auch deren Übermittlung zählt, die Pflicht geeignete technische und organisatorischen Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dies umfasst nach allgemeinem Verständnis auch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

Die Auswahl der zu treffenden Maßnahmen ist nach Einschätzung der WPK durch eine Abwägung zwischen Schutzbedarf und Aufwand zu treffen: Ein höherer Schutzbedarf der Daten erfordert einen höheren Aufwand zum Schutz vor Zugriffen Dritter.

Eine generelle Pflicht zur Verschlüsselung jeglicher personenbezogener Daten im Mandantenverkehr können wir Art. 32 DSGVO nicht entnehmen. Gleichwohl handelt es sich bei den in Prüfungsvermerk und -bericht enthaltenen Daten aus unserer Sicht um Daten, die einen vergleichsweise hohen Schutzbedarf haben. Es spricht daher viel dafür, dass für die Weitergabe elektronischer Berichte, ob mit oder ohne qualifizierte elektronische Signatur, per E-Mail der verschlüsselte Weg vorzuziehen ist.

Aus Sicht der WPK ist nicht ausgeschlossen, dass diese Vorgaben (etwa durch Einwilligung des Mandanten) abbedungen werden können. Dies wurde in der Vergangenheit allerdings auch bereits von einzelnen Datenschutzaufsichtsbehörden verneint.

Vor dem Hintergrund, dass Verstöße gegen Art. 32 DSGVO mit empfindlichen Geldbußen bewehrt sind (Art. 83 Abs. 4 Buchstabe a DSGVO), empfehlen wir, diesbezüglich die jeweilige für den Datenschutz zuständige Aufsichtsbehörde zu konsultieren.

Stand: 13. Februar 2024

Downloads

  • Anlage: Beispiel für einen Bestätigungsvermerk, der mit qualifizierten elektronischen Signaturen und einem elektronischen Abbild des Berufssiegels versehen wurde (pdf 239 KB)