LazyPDF
Anleitungen26. März 2026
Meidy Baffou·LazyPDF

DSGVO-konforme Prüfdokumentation als PDF: Leitfaden für Wirtschaftsprüfer

Wirtschaftsprüfer verarbeiten im Rahmen von Abschlussprüfungen, Sonderprüfungen und Beratungsmandaten umfangreiche und hochsensible Daten. Jahresabschlüsse, interne Kontrollberichte, Personalunterlagen, Vertragswerke und Bankunterlagen des geprüften Unternehmens sind Bestandteil jeder Prüfung. Die Aufbewahrung dieser Daten unterliegt gleich mehreren rechtlichen Anforderungen: der Berufspflicht nach § 43 WPO, der handelsrechtlichen Aufbewahrungspflicht nach § 257 HGB, und den Datenschutzanforderungen der DSGVO. PDF hat sich in Wirtschaftsprüfungskanzleien als bevorzugtes Format für Prüfberichte und Arbeitspapiere etabliert. Es ist unveränderbar, lässt sich mit Wasserzeichen versehen, und ist für digitale Archivierungssysteme geeignet. Gleichzeitig entstehen neue Herausforderungen durch die DSGVO: Prüfakten enthalten personenbezogene Daten von Mitarbeitern des geprüften Unternehmens, die besonders geschützt werden müssen. Dieser Leitfaden gibt Wirtschaftsprüfern und ihren Teams einen Überblick über die PDF-basierte DSGVO-konforme Prüfdokumentation – von der Erstellung des Prüfberichts über die Archivierung der Arbeitspapiere bis zum Löschkonzept nach Ablauf der Aufbewahrungsfristen.

Rechtliche Anforderungen an die Prüfdokumentation für Wirtschaftsprüfer

Die Berufspflichten der Wirtschaftsprüfer nach § 43 WPO verpflichten zur gewissenhaften Berufsausübung und zur Verschwiegenheit. Prüfakten und Arbeitspapiere müssen gemäß § 66 WPO mindestens zehn Jahre aufbewahrt werden – gerechnet ab dem Datum des Bestätigungsvermerks. Die Aufbewahrungspflicht gilt auch für digitale Prüfungsdokumentationen als PDF. Die DSGVO kommt ins Spiel, weil Prüfungsunterlagen personenbezogene Daten der Mitarbeiter des geprüften Unternehmens enthalten können: Gehaltsabrechnungen, Personalaktenausschnitte, Handydaten aus Forensikprüfungen. Diese Daten unterliegen Art. 5 ff. DSGVO und müssen nach dem Grundsatz der Datensparsamkeit auf das notwendige Minimum beschränkt werden. Zusätzlich gilt: Nach Abschluss der Prüfung und nach Ablauf der Aufbewahrungsfristen müssen die Daten gelöscht oder vernichtet werden. Ein klares Löschkonzept, das für jede Dokumentenkategorie eine Frist festlegt, ist daher für Wirtschaftsprüfungskanzleien unerlässlich.

Prüfbericht und Arbeitspapiere als strukturierte PDF-Dokumentation erstellen

Eine Prüfungsdokumentation besteht typischerweise aus mehreren Ebenen: dem Prüfbericht (Bestätigungsvermerk, Management Letter), den Arbeitspapieren (Prüfprogramme, Prüfungshandlungen, Prüfungsnachweise), und den mandantenseitigen Belegen (Jahresabschluss, interne Berichte, Verträge). Jede Ebene erfordert eine andere Aufbereitung. Der Prüfbericht ist das offizielle Dokument, das dem Mandanten übergeben wird. Er muss professionell gestaltet, vollständig und unveränderbar sein. Arbeitspapiere sind interne Dokumente der Prüfungskanzlei und müssen besonders vertraulich behandelt werden. Mandantenseitige Belege sind externe Dokumente, die nur für die Dauer der Prüfung in der Kanzlei verbleiben. Für die PDF-Strukturierung empfiehlt sich eine klare Ordnerstruktur: /Prüfung/[Mandant]/[Jahr]/Prüfbericht/, /Arbeitspapiere/, /Mandantenbelege/. Jeder Bereich hat unterschiedliche Zugriffsrechte und Aufbewahrungsfristen.

  1. 1Prüfungsunterlagen nach Kategorien sortieren: Prüfbericht, Arbeitspapiere (intern), Mandantenbelege (extern) – klare Trennung für unterschiedliche Schutzanforderungen
  2. 2Arbeitspapiere und Nachweise je Prüfgebiet (Umsatz, Debitoren, Kreditoren, etc.) mit LazyPDF Merge zu Kategorie-PDFs zusammenführen
  3. 3Prüfbericht und interne Arbeitspapiere mit LazyPDF Watermark mit 'VERTRAULICH' oder Kanzlei-Wasserzeichen versehen; mit LazyPDF Protect gegen Bearbeitung sperren
  4. 4Vollständige Prüfakte mit LazyPDF Compress auf archivtaugliche Größe komprimieren und versioniert archivieren – Datum des Bestätigungsvermerks als Fristbeginn notieren

Vertraulichkeit von Prüfakten: DSGVO und Berufsgeheimnis schützen

Das Berufsgeheimnis nach § 43 Abs. 1 WPO und die DSGVO schützen Prüfakten von zwei Seiten. Das Berufsgeheimnis verbietet die unbefugte Weitergabe von Mandantendaten an Dritte. Die DSGVO schützt die darin enthaltenen personenbezogenen Daten. Für die PDF-Archivierung bedeutet das konkret: Prüfakten dürfen nur von berechtigten Personen eingesehen werden (nur Prüfer und Prüfungsleiter des jeweiligen Mandats, keine anderen Mitarbeiter). Alle Prüfakten-PDFs müssen verschlüsselt und passwortgeschützt sein. Die Übertragung von Prüfunterlagen an den Mandanten muss über sichere Kanäle erfolgen. Besondere Vorsicht ist bei der Cloud-Speicherung geboten: Nicht jeder Cloud-Dienst ist für Wirtschaftsprüfer geeignet. Es müssen Auftragsverarbeitungsverträge abgeschlossen werden, und der Anbieter muss Datenspeicherung in der EU garantieren. Die WPK (Wirtschaftsprüferkammer) hat Empfehlungen zur sicheren Cloud-Nutzung veröffentlicht, die beachtet werden sollten.

Aufbewahrungsfristen und Löschkonzept für Prüfakten

Die zehnjährige Aufbewahrungspflicht nach § 66 WPO beginnt mit dem Datum des Bestätigungsvermerks. Bei einer Prüfung des Jahresabschlusses 2025 (Bestätigungsvermerk z.B. am 30. April 2026) endet die Aufbewahrungspflicht am 30. April 2036. Nach diesem Datum müssen alle Prüfakten unwiderruflich gelöscht werden. Ein praxistaugliches Löschkonzept: Im Archivierungssystem wird für jede Prüfakte ein Löschdatum hinterlegt. Jährlich – z.B. im Januar – werden alle Akten, bei denen das Löschdatum im vergangenen Jahr lag, identifiziert und gelöscht. Die Löschung wird dokumentiert (Datum, Mandant, Prüfungsjahr, durchführende Person). Die Löschdokumentation selbst wird für weitere zwei bis drei Jahre aufbewahrt, um gegenüber der WPK oder der APAS (Abschlussprüferaufsichtsstelle) nachweisen zu können, dass die Aufbewahrungspflichten eingehalten wurden. Nach Ablauf dieser Frist wird auch die Löschdokumentation vernichtet.

Häufig gestellte Fragen

Wie lange müssen Wirtschaftsprüfer Prüfakten aufbewahren?

Nach § 66 Abs. 1 WPO sind Wirtschaftsprüfer verpflichtet, ihre Arbeitspapiere für einen Zeitraum von mindestens zehn Jahren aufzubewahren. Die Frist beginnt mit dem Datum des Bestätigungsvermerks. Für Prüfungen, die zu einem Rechtsstreit führen, empfiehlt sich eine längere Aufbewahrung bis zum rechtskräftigen Abschluss des Verfahrens. Die WPK kann bei Qualitätskontrollprüfungen oder Berufsaufsichtsverfahren die Vorlage der Arbeitspapiere verlangen.

Darf ich Prüfakten in der Cloud speichern?

Ja, aber nur unter strikten Auflagen. Der Cloud-Anbieter muss einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO anbieten, die Datenspeicherung muss in der EU erfolgen, und die gespeicherten Daten müssen verschlüsselt sein. Außerdem muss die IT-Sicherheit des Anbieters nachgewiesen sein (z.B. ISO 27001 Zertifizierung). US-amerikanische Cloud-Dienste ohne ausreichende Datenschutzgarantien sind für Prüfakten mit personenbezogenen Daten in der Regel nicht geeignet.

Was ist der Unterschied zwischen Prüfbericht und Arbeitspapieren in Bezug auf DSGVO?

Der Prüfbericht (Bestätigungsvermerk und Management Letter) enthält in der Regel keine oder nur wenige personenbezogene Daten – er beschreibt das geprüfte Unternehmen auf aggregierter Ebene. Die Arbeitspapiere hingegen können umfangreiche personenbezogene Daten enthalten: Gehaltsabrechnungen einzelner Mitarbeiter, Personalaktenauszüge, Korrespondenz. Für Arbeitspapiere gelten daher strengere DSGVO-Anforderungen als für den Prüfbericht. Sie müssen besonders geschützt und nach Ablauf der Aufbewahrungsfrist vollständig vernichtet werden.

Prüfdokumentationen professionell als PDF aufbereiten: Wasserzeichen, Schutz und Komprimierung – kostenlos auf LazyPDF.com.

PDF schützen

Ähnliche Artikel

Tipps & Tricks

Wasserzeichen oder Logo zu PDF hinzufügen

Produktivität

PDF-Workflows für Teams automatisieren | Leitfaden

Vergleiche

Beste kostenlose Online-PDF-Tools 2026 | Ratgeber

Zurück zum Blog