Die Datenschutz-Grundverordnung (DSGVO) hat nicht nur die Rechte von Betroffenen gestärkt, sondern auch einen umfangreichen Pflichtenkatalog für Unternehmen geschaffen. Verstöße können Bußgelder in Millionenhöhe nach sich ziehen, was direkte Auswirkungen auf die Bilanz eines Unternehmens haben kann. Unter bestimmten Umständen sind Unternehmen sogar verpflichtet, für drohende DSGVO-Bußgelder Rückstellungen zu bilden.
Das Risiko ist real: Hohe Bußgelder und konsequente Verfolgung
Da praktisch jedes Unternehmen personenbezogene Daten verarbeitet – und seien es nur die der eigenen Mitarbeiter – sind fast alle von den Pflichten der DSGVO betroffen. Bei Verstößen drohen empfindliche Strafen:
• Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für weniger schwerwiegende Verstöße.
• Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes für schwerwiegende Verstöße.
Die Aufsichtsbehörden verhängen diese Bußgelder zunehmend konsequent, wie aktuelle Entscheidungen in der EU zeigen. Angesichts dieser weitreichenden Auswirkungen sollten Datenschutzrisiken in der unternehmerischen Risikobewertung eine hohe Bedeutung beigemessen werden.
Die Pflicht zur Rückstellung nach § 249 HGB
Die entscheidende Frage lautet: Wann müssen Datenschutzverstöße als Rückstellungen in der Bilanz berücksichtigt werden? Nach § 249 des Handelsgesetzbuches (HGB), der für alle Kaufleute gilt, müssen Rückstellungen für ungewisse Verbindlichkeiten gebildet werden. Dies ist der Fall, wenn ein Unternehmen ernsthaft damit rechnen muss, wegen einer Verbindlichkeit in Anspruch genommen zu werden, die wirtschaftlich vor dem Bilanzstichtag verursacht wurde.
Im Kontext des Datenschutzes bedeutet das, es muss eine zweifache Unsicherheit bewertet werden:
1. Besteht überhaupt eine rechtlich belangbare Verletzung von Datenschutzrecht?
2. Wie wahrscheinlich ist es, dass die Aufsichtsbehörde den Fall aufgreift und ein Bußgeldverfahren einleitet?
Wie wahrscheinlich ist ein Verstoß?
Um die Notwendigkeit einer Rückstellung zu prüfen, muss die Wahrscheinlichkeit eines Datenschutzverstoßes bewertet werden. Hier lassen sich zwei Szenarien unterscheiden:
1. Unternehmen ohne jegliche Datenschutzmaßnahmen: Wer bisher keine Risikoanalyse durchgeführt und keinerlei Maßnahmen ergriffen hat, wird mit sehr großer Wahrscheinlichkeit gegen die DSGVO verstoßen. Wer seine Pflichten nicht kennt, kann sie kaum erfüllen. Für diese Unternehmen ist die Wahrscheinlichkeit einer Pflichtverletzung immens hoch.
2. Unternehmen mit ersten Maßnahmen: Firmen, die bereits eine Risikoanalyse durchgeführt haben, können entweder Verstöße vermuten oder sogar positive Kenntnis davon haben. Bei positiver Kenntnis eines Verstoßes entfällt die Wahrscheinlichkeitsprüfung – der Verstoß ist ein Fakt.
Wie wahrscheinlich ist die Ahndung durch die Behörde?
Die Zeiten, in denen Datenschutzverstöße unentdeckt blieben, sind vorbei. Seit Einführung der DSGVO ist die Wahrscheinlichkeit einer Ahndung deutlich gestiegen. Die Gründe dafür sind vielfältig:
• Verfolgungspflicht: Behörden sind verpflichtet, Hinweisen und Meldungen nachzugehen.
• Externe Hinweise: Unzufriedene Kunden, abgelehnte Bewerber oder Wettbewerber melden Verstöße gezielt.
• Meldepflichten: Unternehmen müssen Datenpannen selbst melden, wodurch Verstöße bekannt werden.
Kurz gesagt: Die Möglichkeit, dass eine Aufsichtsbehörde einen Verstoß ahndet, ist stets gegeben und die Wahrscheinlichkeit dafür ist hoch anzusiedeln.
Fazit: Rückstellungen werden für viele Unternehmen zur Pflicht
Für Unternehmen, die im Datenschutz bisher untätig waren oder die sogar Kenntnis von eigenen Verstößen haben, erhöht sich die Wahrscheinlichkeit erheblich, zu bilanziellen Rückstellungen verpflichtet zu sein.
Wenn eine solche Pflicht besteht, dann geht es potenziell um Rückstellungen in erheblicher Höhe. Die Implementierung eines soliden Datenschutz-Managementsystems (DSMS) ist daher nicht nur eine Frage der Compliance, sondern auch eine wichtige Maßnahme zur kaufmännischen Risikovorsorge. Wer Risiken nicht aktiv managt, muss damit rechnen, dass sich dies nicht nur in Form von Bußgeldern, sondern auch direkt in der Bilanz niederschlägt.
