Definition und rechtliche Grundlagen des Audits
Ein Audit stellt eine systematische, unabhängige und dokumentierte Untersuchung dar, mit deren Hilfe überprüft wird, ob Tätigkeiten, Prozesse oder Ergebnisse mit vorgegebenen Anforderungen, Richtlinien oder gesetzlichen Vorgaben übereinstimmen. Audits spielen eine wesentliche Rolle in den Bereichen Unternehmensführung, Qualitätssicherung, Datenschutz, Umweltmanagement sowie Rechnungslegung und sind vielfach gesetzlich vorgeschrieben oder regulatorisch geregelt. Dieser Artikel beleuchtet den Begriff „Audit“ mit Schwerpunkt auf dessen rechtlichen Rahmenbedingungen.
Arten von Audits und ihre rechtliche Einordnung
Interne und externe Audits
Unter dem Begriff „Audit“ werden sowohl interne als auch externe Audits verstanden.
- Interne Audits (System-, Prozess- und Compliance-Audits) werden durch unternehmensinterne Stellen durchgeführt und dienen der Selbstüberwachung sowie der Vorbereitung auf externe Überprüfungen.
- Externe Audits werden von unabhängigen Dritten – meist akkreditierten Stellen oder Prüfunternehmen – im Auftrag von Unternehmen, Behörden oder aufgrund gesetzlicher Anforderungen durchgeführt.
Gesetzlich vorgeschriebene Audits
Verschiedene Gesetze und Verordnungen schreiben Audits in unterschiedlichen Bereichen zwingend vor, beispielsweise:
- Das Handelsgesetzbuch (HGB) verlangt die jährliche Abschlussprüfung durch einen Wirtschaftsprüfer für mittelgroße und große Kapitalgesellschaften (§§ 316 ff. HGB).
- Das Bundesdatenschutzgesetz (BDSG) und die Datenschutz-Grundverordnung (DSGVO) enthalten Anforderungen an die Überprüfung technischer und organisatorischer Maßnahmen durch Datenschutz-Audits.
- Das Umweltauditgesetz (UAG) regelt Umwelt-Audits und deren Anerkennung nach EMAS.
- Das Lieferkettensorgfaltspflichtengesetz (LkSG) schreibt für bestimmte Unternehmen die Durchführung von Risikoanalysen und Audits entlang der Lieferkette vor.
Freiwillige und branchenspezifische Audits
Neben den gesetzlich verpflichtenden sind auch zahlreiche freiwillige Audits verbreitet, etwa im Bereich (Informations-)Sicherheitsmanagement nach ISO/IEC 27001, Qualitätsmanagement gemäß ISO 9001 oder Energiemanagement nach ISO 50001. Obwohl diese Audits nicht zwingend vorgeschrieben sind, entfalten sie durch vertragliche Vereinbarungen oder branchenspezifische Reglements häufig rechtliche Bedeutung.
Ablauf, Durchführung und rechtliche Anforderungen an Audits
Vorbereitung und Planung
Die rechtssichere Durchführung eines Audits beginnt mit einer strukturierten Planung. Rechtlich relevant ist die Definition von Ziel, Umfang und Kriterien des Audits. Die Auditplanung orientiert sich entweder an gesetzlichen Vorgaben oder an unternehmensinternen Regelungen.
Unabhängigkeit und Qualifikation der Auditoren
Für gesetzlich vorgeschriebene Audits ist die Unabhängigkeit der durchführenden Auditoren von zentraler rechtlicher Bedeutung. Voraussetzungen für Unabhängigkeit und Sachkunde sind vielfach detailliert geregelt, beispielsweise für Abschlussprüfer im § 319 HGB. Verstöße gegen diese Anforderungen führen unter Umständen zur Nichtigkeit von Prüfungsergebnissen oder zu berufsrechtlichen Sanktionen.
Dokumentations- und Mitwirkungspflichten
Der Gesetzgeber schreibt für manche Audits eine umfassende Dokumentation der Prüfungsschritte und Ergebnisse vor (etwa nach § 321 HGB). Im Rahmen der Prüfung bestehen teilweise auch Mitwirkungspflichten der geprüften Parteien, die etwa Auskünfte erteilen oder Unterlagen bereitstellen müssen. Die Nichtbeachtung kann haftungs- und bußgeldrechtliche Konsequenzen nach sich ziehen.
Besondere rechtliche Aspekte und Folgen von Audits
Vertraulichkeit und Datenschutz
Audits, insbesondere solche mit personenbezogenen Daten, unterliegen strengen Anforderungen an den Datenschutz. Nach Art. 32, 33 und 34 DSGVO müssen Auditprozesse und -berichte angemessen geschützt und Betroffene gegebenenfalls informiert werden. Die Verletzung der Vertraulichkeitspflichten kann zu Schadensersatz- und Bußgeldforderungen führen.
Haftungsfragen beim Audit
Werden im Rahmen eines Audits Fehler gemacht, können zivil- und strafrechtliche Haftungstatbestände entstehen. Beispielsweise kann ein fehlerhafter Bestätigungsvermerk eines Abschlussprüfers nach § 323 HGB zivilrechtliche Schadensersatzansprüche auslösen. Prüfen Auditoren fahrlässig oder vorsätzlich unzutreffend, können strafrechtlich relevante Sachverhalte wie Untreue oder falsche Bestätigung öffentlichen Glaubens (§ 332 HGB) berührt sein.
Rechtsfolgen und Nachweispflichten
Die Ergebnisse eines Audits können rechtlich bindend werden, insbesondere wenn gesetzliche Prüfungsberichte erstellt werden müssen. Im Streitfall, etwa vor Gericht, können Auditergebnisse als Beweismittel herangezogen werden. Darüber hinaus lösen Abweichungen oder Mängel regelmäßig Berichtspflichten, Mitteilungspflichten an Aufsichtsbehörden oder die Pflicht zur Einleitung von Korrekturmaßnahmen aus.
Audits im internationalen und europäischen Recht
Europäische Rechtsgrundlagen
Insbesondere im Zusammenhang mit der Rechnungslegung und Compliance (z. B. der Abschlussprüferrichtlinie 2014/56/EU oder der Datenschutz-Grundverordnung) spielen Audits eine europaweite Rolle. Die EU harmonisiert viele Audit-Anforderungen, etwa durch das Gesetz zur Umsetzung der EU-Abschlussprüferrichtlinie und die DSGVO.
Internationale Standards
Im internationalen Umfeld haben sich Auditstandards etabliert, die über ISO-Normen geregelt werden und teilweise rechtlich verbindlich in nationale Gesetze übernommen wurden. Unternehmen mit globaler Tätigkeit unterliegen dadurch häufig mehreren, kollidierenden oder sich ergänzenden Rechtssystemen.
Literatur und weiterführende Regelungen
Eine rechtssichere und fundierte Umsetzung von Audits erfordert die Beachtung einer Vielzahl von Gesetzen, Normen und Verwaltungsvorschriften. Wichtige Regelwerke sind unter anderem:
- Handelsgesetzbuch (HGB)
- Umweltauditgesetz (UAG)
- Bundesdatenschutzgesetz (BDSG)
- Datenschutz-Grundverordnung (DSGVO)
- Lieferkettensorgfaltspflichtengesetz (LkSG)
- Richtlinien und Verordnungen der Europäischen Union
- Internationale Normenreihen (z. B. ISO 9001, ISO 14001, ISO/IEC 27001)
Fazit: Aus rechtlicher Sicht bildet das Audit ein zentrales Instrument der Kontrolle und Sicherung der Rechtskonformität in verschiedensten Bereichen. Seine Durchführung ist vielfach gesetzlich geregelt und mit weitreichenden Rechten und Pflichten verbunden. Unternehmen und Institutionen sind gefordert, Audits rechtskonform zu planen, unabhängig durchzuführen, vollständig zu dokumentieren und deren Ergebnisse angemessen zu verarbeiten sowie daraus resultierenden Verpflichtungen nachzukommen.
Häufig gestellte Fragen
Welche rechtlichen Pflichten bestehen hinsichtlich der Durchführung eines Audits?
Unternehmen können nach unterschiedlichen Rechtsgrundlagen zur Durchführung von Audits verpflichtet sein. Im Gesellschaftsrecht, etwa nach §§ 316 ff. HGB, sind kapitalmarktorientierte Unternehmen und bestimmte Kapitalgesellschaften verpflichtet, eine externe Abschlussprüfung durchführen zu lassen. Im Bereich des Datenschutzes verlangt die DSGVO – insbesondere Art. 32, 33 und 35 – regelmäßig die Überprüfung der Angemessenheit technischer und organisatorischer Maßnahmen sowie die Durchführung von Datenschutz-Folgenabschätzungen, was faktisch Auditierungen einschließt. Auch das Lieferkettensorgfaltspflichtengesetz (LkSG) schreibt ab 2023 für große Unternehmen eigene und fremde Prozesse vor, die regelmäßig auf Einhaltung menschenrechtlicher und umweltbezogener Sorgfaltspflichten auditiert werden müssen (§ 6 Abs. 3 LkSG). Ergänzend verpflichten spezifische Branchenvorschriften wie das KWG für Banken oder das VAG für Versicherungen zu internen und externen Audits. Verstöße gegen gesetzliche Auditpflichten können zivil-, straf- oder aufsichtsrechtliche Konsequenzen haben, etwa Bußgelder, Schadensersatzforderungen oder die Untersagung von Geschäftsaktivitäten.
Wer darf rechtlich gesehen ein Audit durchführen?
Die gesetzlichen Anforderungen an Auditoren variieren je nach Art des Audits. Bei der gesetzlichen Jahresabschlussprüfung nach HGB dürfen nur Wirtschaftsprüfer oder Prüfungsgesellschaften mit entsprechender Zulassung den Audit vornehmen (§§ 319 ff. HGB). Für interne Audits gibt es keine gesetzliche Qualifikationspflicht; häufig sind interne Auditoren entsprechend geschult und verfügen über anerkannte Zertifizierungen (z. B. Certified Internal Auditor, CIA). Im Datenschutzbereich fordert die DSGVO keine bestimmten Berufsqualifikationen, verlangt aber Fachwissen, das im betreffenden Kontext angemessen sein muss (Art. 37 ff. DSGVO). Spezielle gesetzliche Vorgaben machen z.B. das IT-Sicherheitsgesetz oder branchenspezifische Regelungen (z.B. aufsichtsrechtliche Prüfung in Banken) notwendig, damit zertifizierte Stellen oder genehmigte Prüfer eingesetzt werden. Bei unternehmensinternen Audits liegt die Auswahl im Ermessen der Unternehmensleitung, solange keine gesetzlichen Vorgaben entgegenstehen, wobei Interessenkonflikte ausgeschlossen werden sollten.
Welche rechtlichen Anforderungen bestehen an die Dokumentation eines Audits?
Die Dokumentationspflicht ergibt sich aus unterschiedlichen gesetzlichen Regelungen: Bei Abschlussprüfungen nach HGB ist der Prüfungsbericht nach § 321 HGB zwingend vorgeschrieben und muss die wesentlichen Prüfungsfeststellungen umfassend und nachvollziehbar dokumentieren. Im Bereich Datenschutz verlangt Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) die lückenlose Nachweisführung gegenüber Aufsichtsbehörden, was eine umfassende Auditdokumentation bedingt. Das LkSG verpflichtet Unternehmen, die Ergebnisse ihrer Risikoanalysen und Audits zu dokumentieren und sieben Jahre aufzubewahren (§ 10 Abs. 3 LkSG). Für IT-Sicherheitsaudits gilt gem. Art. 32 DSGVO oder dem IT-Sicherheitsgesetz dieselbe detaillierte Dokumentationspflicht, um im Falle von Vorfällen Rechenschaft ablegen zu können. Fehlende oder unzureichende Auditdokumentationen können als Ordnungswidrigkeit geahndet werden und führen zu Beweisproblemen im Rechtsstreit.
Welche Haftungsrisiken bestehen aus rechtlicher Sicht bei fehlerhaften oder unterlassenen Audits?
Unterbleibt ein gesetzlich vorgeschriebener Audit oder wird dieser fehlerhaft durchgeführt, drohen dem Unternehmen straf-, zivil- und aufsichtsrechtliche Sanktionen. Geschäftsführer und Vorstände haften im Haftungsfall persönlich (Organhaftung, § 93 AktG, § 43 GmbHG), insbesondere bei Verletzung der Legalitätspflicht und des Sorgfaltsmaßstabs eines ordentlichen Geschäftsmanns. Kommt es infolge mangelhafter Audits zu Vermögensschäden Dritter (z. B. Gläubiger, Kunden oder Arbeitnehmer), kann eine Schadensersatzpflicht – auch gegenüber dem Unternehmen selbst („Innenhaftung“) – entstehen. Werden etwa fehlerhafte Abschlussprüfungen beauftragt oder erstellt, kann der Wirtschaftsprüfer nach § 323 HGB persönlich zur Verantwortung gezogen werden. Datenschutz-Verstöße ziehen nach Art. 83 DSGVO hohe Bußgelder nach sich. Im Einzelfall droht auch strafrechtliche Verfolgung, z. B. bei vorsätzlichem Verschleiern wesentlicher Mängel.
Welche rechtlichen Aspekte der Vertraulichkeit und des Datenschutzes müssen bei Audits beachtet werden?
Im Auditprozess werden häufig sensible Informationen verarbeitet. Unternehmen sind verpflichtet, sämtliche Anforderungen aus dem Datenschutz- und Geheimnisschutzrecht einzuhalten. Nach Art. 32 DSGVO müssen technische und organisatorische Maßnahmen getroffen werden, um personenbezogene Daten während des Audits zu schützen. Auditoren sind regelmäßig auf Vertraulichkeit verpflichtet (berufsrechtlich, z. B. § 43b WPO für Wirtschaftsprüfer oder § 203 StGB bei Geheimnisträgern). Bei Outsourcing von Audit-Tätigkeiten in Drittländer sind Art. 44 ff. DSGVO (Datenübermittlungen) zu beachten. Werden externe Auditoren eingesetzt, sind mit diesen strenge vertragliche Regelungen zur Datenverarbeitung sowie Geheimhaltungsvereinbarungen notwendig, um die Einhaltung gesetzlicher Vorgaben sicherzustellen. Werden Betriebs- oder Geschäftsgeheimnisse offengelegt, greifen ergänzend das Geschäftsgeheimnisgesetz (§ 2 Nr. 1 GeschGehG) sowie die arbeitsrechtlichen Schweigepflichten nach § 17 UWG.
Welche Anforderungen bestehen an die Fristen und Wiederholung von Audits aus rechtlicher Sicht?
Zahlreiche Gesetze schreiben regelmäßige Audits mit konkreten Fristen vor: Der Jahresabschluss ist gemäß § 316 HGB jährlich zu prüfen. Datenschutz- und IT-Sicherheitsaudits sind regelmäßig „angemessen häufig“ zu wiederholen, wobei spezielle Regularien wie das IT-Sicherheitsgesetz oder branchenspezifische Auflagen genaue Zyklen vorgeben können (z. B. jährliche Audits im Bankenbereich nach MaRisk AT 4.4.2). Das LkSG verlangt jährliche Risikoanalysen und fortlaufende Überprüfung der Wirksamkeit ergriffener Maßnahmen gem. § 6 Abs. 4 LkSG. Versäumnisse bei der Durchführung innerhalb der gesetzlich vorgeschriebenen Fristen gelten als Pflichtverletzung und können – etwa im Steuer- oder Sozialversicherungsrecht – Sanktionen wie Zwangsgelder oder Bußgelder nach sich ziehen. Die konkrete Frequenz von freiwilligen Audits sollte unter Risikogesichtspunkten und nach Stand der Technik in den jeweiligen Organisationsrichtlinien festgelegt werden.
