APAS

Begriff und rechtliche Einordnung von APAS

APAS, die Abkürzung für Abschlussprüferaufsichtsstelle, bezeichnet eine eigenständige Aufsichtsbehörde auf Bundesebene, die in Deutschland maßgeblich für die öffentliche Aufsicht über Abschlussprüfer und Prüfungsgesellschaften zuständig ist. Die APAS ist organisatorisch in das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) integriert. Ihre gesetzliche Grundlage findet sich im Abschlussprüferaufsichtsreformgesetz (APAReG) sowie im Wirtschaftsprüferordnungsgesetz (WPO) und den einschlägigen europäischen Rechtsakten, insbesondere der Verordnung (EU) Nr. 537/2014.

Entstehungsgeschichte und Rechtlicher Hintergrund

Historische Entwicklung

Die Errichtung der APAS erfolgte im Jahr 2016 mit der Umsetzung des APAReG zur Erfüllung der seitens der Europäischen Union vorgegebenen Anforderungen an die Reform und Überwachung des Prüfungswesens. Ziel war eine effektive, unabhängige und von den Berufsständen getrennte Kontrolle der Abschlussprüferinnen, insbesondere im Bereich der Unternehmen von öffentlichem Interesse (Public Interest Entities, PIE).

• Aufsicht über Abschlussprüferinnen, die gesetzliche Abschlussprüfungen durchführen,
• Präventive Überwachung der Einhaltung berufsrechtlicher Vorschriften,
• Durchführung von Qualitätskontrollen bei Prüfungsgesellschaften und Einzelprüfern,
• Kontrolle der Unabhängigkeit und Integrität des Berufsstandes.

Ermittlungs- und Sanktionsbefugnisse

Die APAS ist mit umfassenden Ermittlungs- und Durchsetzungsbefugnissen ausgestattet. Dazu zählen insbesondere:

• Einholung von Auskünften,
• Einsichtnahme in Bücher und Aufzeichnungen,
• Anordnung von Maßnahmen bis hin zum Verbot der Prüfungstätigkeit,
• Festsetzung und Durchsetzung von Bußgeldern,
• Veröffentlichung von getroffenen Maßnahmen im öffentlichen Interesse.

Aufsicht über Unternehmen von öffentlichem Interesse

Ein besonderer Schwerpunkt der APAS liegt in der Aufsicht über Abschlussprüferinnen, die Unternehmen von öffentlichem Interesse prüfen, darunter börsennotierte Gesellschaften, Banken und Versicherungen. Hier gelten verschärfte Anforderungen an Rotation, Unabhängigkeit und Transparenz der Prüfer.

Die Tätigkeit der APAS trägt wesentlich zur Integrität, Vertrauenswürdigkeit und Transparenz des Kapitalmarkts bei. Die effektive Aufsicht über Abschlussprüferinnen gilt als zentraler Bestandteil der Finanzmarktregulierung und der Prävention von Bilanzskandalen und Wirtschaftsdelikten.

Meldepflichten und Berufsaufsicht

Melde- und Auskunftspflichten

Abschlussprüferinnen und Prüfungsgesellschaften sind verpflichtet, der APAS gegenüber relevante Umstände anzuzeigen und auf Aufforderung Auskünfte zu erteilen. Dies umfasst insbesondere berufsrechtliche Verstöße, Sachverhalte im Rahmen von Qualitätskontrollen sowie Änderungen bei der Zulassung.

Die Abschlussprüferaufsichtsstelle (APAS) sichert in Deutschland eine unabhängige, transparente und rechtssichere Überwachung des Berufsstandes der Abschlussprüferinnen. Sie verfolgt das Ziel, das Vertrauen in den Kapitalmarkt und die Ordnungsmäßigkeit der Unternehmensabschlüsse zu stärken. Mit ihren weitreichenden Aufsichts-, Ermittlungs- und Sanktionsbefugnissen sowie der engen Einbindung in europäische und internationale Aufsichtsstrukturen gewährleistet die APAS die Einhaltung hoher professioneller und ethischer Standards in der Abschlussprüfung.

Häufig gestellte Fragen

Welche rechtlichen Anforderungen bestehen an den Betrieb eines APAS-Systems in Deutschland?

Beim Betrieb eines Automatisierten Prozesserfassungssystems (APAS) in Deutschland sind zahlreiche rechtliche Anforderungen zu beachten, die sich hauptsächlich aus dem Datenschutzrecht, dem Betriebsverfassungsrecht sowie technischen Sicherheitsvorschriften ergeben. Nach der Datenschutz-Grundverordnung (DSGVO) müssen personenbezogene Daten rechtmäßig, zweckgebunden und transparent verarbeitet werden. Betreiber eines APAS müssen insbesondere sicherstellen, dass nur diejenigen Daten erfasst werden, die für den definierten Verarbeitungszweck erforderlich sind („Datenminimierung“ gemäß Art. 5 Abs. 1 lit. c DSGVO). Zudem ist eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erforderlich, wenn mit der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen verbunden ist.
Nach dem Betriebsverfassungsgesetz (§ 87 Abs. 1 Nr. 6 BetrVG) steht dem Betriebsrat ein Mitbestimmungsrecht zu, wenn technische Einrichtungen eingesetzt werden, die dazu bestimmt sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Daher ist bei der Einführung von APAS-Systemen stets eine Beteiligung des Betriebsrats notwendig. Ergänzend sind gegebenenfalls auch arbeitsrechtliche Vorgaben, wie Informationspflichten gegenüber den Arbeitnehmern, zu erfüllen. Im Bereich des Produktsicherheitsgesetzes (ProdSG) sind weitere Sicherheitsanforderungen zu beachten, etwa in Bezug auf das Inverkehrbringen und den Betrieb von technischen Anlagen.

Welche Rolle spielt die Einwilligung der betroffenen Personen bei der Nutzung von APAS?

Die Einwilligung der betroffenen Personen ist im Kontext von APAS grundsätzlich nachrangig, da die Verarbeitung überwiegend auf Grundlage berechtigter Interessen des Arbeitgebers oder gesetzlicher Vorschriften erfolgt. Die DSGVO ermöglicht zwar die Verarbeitung personenbezogener Daten auf Basis einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), jedoch ist diese im Arbeitsverhältnis problematisch, weil sie häufig nicht freiwillig erteilt werden kann und jederzeit widerrufbar ist (Art. 7 DSGVO). Viel relevanter ist in der Praxis die Abwägung zwischen dem berechtigten Interesse des Arbeitgebers an der Nutzung des APAS und den Grundrechten der betroffenen Arbeitnehmer (Art. 6 Abs. 1 lit. f DSGVO). Nur wenn keine andere Rechtsgrundlage besteht und die Zwecke klar umrissen, die Einwilligung freiwillig und informativ erfolgt, kann sie unter engen Voraussetzungen angewendet werden.

Was ist im Hinblick auf die Datensicherheit bei der Nutzung von APAS zu beachten?

Datensicherheit ist ein zentraler rechtlicher Aspekt beim Einsatz von APAS. Nach Art. 32 DSGVO sind geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere Zugangskontrollen, Verschlüsselung der erfassten Daten, Protokollierungen von Zugriffen und regelmäßige Sicherheitsüberprüfungen des Systems. Weiterhin müssen die gespeicherten Daten gegen unberechtigten Zugriff, Verlust oder Missbrauch geschützt werden. Betreiber sind zudem verpflichtet, bei einer Verletzung des Schutzes personenbezogener Daten unverzüglich die zuständige Aufsichtsbehörde zu informieren (Art. 33 DSGVO) und Betroffene über erhebliche Risiken für ihre Rechte und Freiheiten zu unterrichten (Art. 34 DSGVO).

Welche rechtlichen Dokumentationspflichten bestehen im Zusammenhang mit APAS?

Die Dokumentationspflichten im Zusammenhang mit APAS ergeben sich maßgeblich aus der DSGVO, insbesondere aus den Artikeln 30 (Verzeichnis von Verarbeitungstätigkeiten) und 5 Abs. 2 (Rechenschaftspflicht). Betreiber müssen ein aktuelles Verzeichnis aller Verarbeitungstätigkeiten führen, in dem unter anderem der Zweck der Datenverarbeitung, die Kategorien der verarbeiteten Daten, technische und organisatorische Maßnahmen sowie die Datenempfänger dokumentiert werden. Dieses Verzeichnis ist der Aufsichtsbehörde auf Verlangen vorzulegen. Darüber hinaus ist nachzuweisen, dass alle Maßnahmen zur Einhaltung der Datenschutzgrundsätze getroffen wurden (accountability). Im Kontext des Betriebsverfassungsrechts ist zudem die Dokumentation und Abstimmung mit dem Betriebsrat im Rahmen einer Betriebsvereinbarung erforderlich.

Gibt es spezielle gesetzliche Aufbewahrungs- und Löschfristen für durch APAS erhobene Daten?

Ja, für durch APAS erhobene Daten gelten konkrete gesetzliche Vorgaben hinsichtlich Aufbewahrung und Löschung. Nach Art. 5 Abs. 1 lit. e DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Nach Wegfall dieses Zwecks sind die Daten unverzüglich zu löschen. Für bestimmte Datenkategorien, wie beispielsweise arbeitsrechtliche Nachweise, können jedoch nationale oder europäische Gesetze abweichende, längere Aufbewahrungsfristen vorschreiben (z. B. nach dem Handelsgesetzbuch oder der Abgabenordnung). Der Betreiber ist verpflichtet, im Rahmen eines Löschkonzepts genau zu regeln, wann und wie die Daten automatisiert gelöscht werden.

Muss bei der Nutzung von APAS eine Datenschutz-Folgenabschätzung durchgeführt werden?

Die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 DSGVO erforderlich, wenn die Verarbeitung mit Hilfe von APAS voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies ist regelmäßig der Fall, wenn automatisierte Systeme zur umfassenden Leistungs- oder Verhaltensüberwachung von Mitarbeitern eingesetzt werden oder umfangreiche personenbezogene Daten verarbeitet werden. Im Rahmen der DSFA müssen Risiken identifiziert, bewertet und geeignete Abhilfemaßnahmen dokumentiert werden. Die DSFA ist vor Inbetriebnahme des Systems durchzuführen und der zuständigen Datenschutzaufsichtsbehörde auf Verlangen bereitzustellen.

Welche Haftungsrisiken bestehen für Unternehmen bei rechtswidriger Nutzung von APAS?

Unternehmen, die APAS rechtswidrig nutzen, sind erheblichen Haftungsrisiken ausgesetzt. Gemäß Art. 82 DSGVO besteht ein Anspruch auf Ersatz immaterieller und materieller Schäden für betroffene Personen bei Datenschutzverstößen. Darüber hinaus drohen empfindliche Bußgelder der Datenschutzaufsichtsbehörden, die sich gemäß Art. 83 DSGVO je nach Schwere des Verstoßes auf bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes belaufen können. Neben zivilrechtlichen und verwaltungsrechtlichen Konsequenzen kann bei vorsätzlichem Verstoß eine strafrechtliche Verantwortlichkeit gemäß § 42 BDSG (Bundesdatenschutzgesetz) hinzukommen. Auch organisatorische Sanktionen, wie behördlich angeordnete Einschränkungen des Betriebs von APAS, sind möglich.

Welche Rolle spielt der Betriebsrat beim Einsatz von APAS-Systemen?

Dem Betriebsrat kommt bei der Einführung und Nutzung von APAS-Systemen eine zentrale rechtliche Rolle zu, insbesondere durch das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Dieses Recht greift immer dann, wenn technische Einrichtungen eingeführt werden, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Die Implementierung eines APAS ohne Betriebsratsbeteiligung ist unzulässig und kann gegebenenfalls zur Unwirksamkeit der Einführung und zu Unterlassungsansprüchen führen. In der Praxis ist regelmäßig der Abschluss einer Betriebsvereinbarung notwendig, die Zweck, Umfang, technische und organisatorische Maßnahmen sowie datenschutzrechtliche Aspekte der Nutzung von APAS regelt. Zudem hat der Betriebsrat ein Überwachungsrecht hinsichtlich der Einhaltung der getroffenen Vereinbarungen.