{"id":970,"date":"2025-09-29T15:44:46","date_gmt":"2025-09-29T13:44:46","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=970"},"modified":"2025-09-29T15:44:46","modified_gmt":"2025-09-29T13:44:46","slug":"dsgvo-bussgelder-und-die-bilanz-wann-unternehmen-rueckstellungen-bilden-muessen","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2025\/09\/29\/dsgvo-bussgelder-und-die-bilanz-wann-unternehmen-rueckstellungen-bilden-muessen\/","title":{"rendered":"DSGVO-Bu\u00dfgelder und die Bilanz: Wann Unternehmen R\u00fcckstellungen bilden m\u00fcssen"},"content":{"rendered":"
\n
Die Datenschutz-Grundverordnung (DSGVO) hat nicht nur die Rechte von Betroffenen gest\u00e4rkt, sondern auch einen umfangreichen Pflichtenkatalog f\u00fcr Unternehmen geschaffen<\/span>. Verst\u00f6\u00dfe k\u00f6nnen Bu\u00dfgelder in Millionenh\u00f6he nach sich ziehen, was direkte Auswirkungen auf die Bilanz eines Unternehmens haben kann<\/span>. Unter bestimmten Umst\u00e4nden sind Unternehmen sogar verpflichtet, f\u00fcr drohende DSGVO-Bu\u00dfgelder R\u00fcckstellungen zu bilden<\/span>.<\/span><\/div>\n
Das Risiko ist real: Hohe Bu\u00dfgelder und konsequente Verfolgung<\/span><\/div>\n
<\/div>\n
Da praktisch jedes Unternehmen personenbezogene Daten verarbeitet \u2013 und seien es nur die der eigenen Mitarbeiter \u2013 sind fast alle von den Pflichten der DSGVO betroffen<\/span>. Bei Verst\u00f6\u00dfen drohen empfindliche Strafen<\/span>:<\/span><\/div>\n
\u2022 <\/span>Bis zu <\/span>10 Millionen Euro<\/b> oder 2 % des weltweiten Jahresumsatzes f\u00fcr weniger schwerwiegende Verst\u00f6\u00dfe<\/span>.<\/span><\/div>\n
\u2022 <\/span>Bis zu <\/span>20 Millionen Euro<\/b> oder 4 % des weltweiten Jahresumsatzes f\u00fcr schwerwiegende Verst\u00f6\u00dfe<\/span>.<\/span><\/div>\n
Die Aufsichtsbeh\u00f6rden verh\u00e4ngen diese Bu\u00dfgelder zunehmend konsequent, wie aktuelle Entscheidungen in der EU zeigen<\/span>. Angesichts dieser weitreichenden Auswirkungen sollten Datenschutzrisiken in der unternehmerischen Risikobewertung eine hohe Bedeutung beigemessen werden<\/span>.<\/span><\/div>\n
<\/div>\n
Die Pflicht zur R\u00fcckstellung nach \u00a7 249 HGB<\/span><\/div>\n
Die entscheidende Frage lautet: Wann m\u00fcssen Datenschutzverst\u00f6\u00dfe als R\u00fcckstellungen in der Bilanz ber\u00fccksichtigt werden?<\/span> Nach \u00a7 249 des Handelsgesetzbuches (HGB), der f\u00fcr alle Kaufleute gilt, m\u00fcssen R\u00fcckstellungen f\u00fcr <\/span>ungewisse Verbindlichkeiten<\/b> gebildet werden<\/span>. Dies ist der Fall, wenn ein Unternehmen ernsthaft damit rechnen muss, wegen einer Verbindlichkeit in Anspruch genommen zu werden, die wirtschaftlich vor dem Bilanzstichtag verursacht wurde<\/span>.<\/span><\/div>\n
Im Kontext des Datenschutzes bedeutet das, es muss eine zweifache Unsicherheit bewertet werden<\/span>:<\/span><\/div>\n
1. <\/span>Besteht \u00fcberhaupt eine rechtlich belangbare Verletzung<\/b> von Datenschutzrecht?<\/span><\/div>\n
2. <\/span>Wie wahrscheinlich ist es, dass die Aufsichtsbeh\u00f6rde den Fall aufgreift<\/b> und ein Bu\u00dfgeldverfahren einleitet?<\/span><\/div>\n
<\/div>\n
Wie wahrscheinlich ist ein Versto\u00df?<\/span><\/div>\n
Um die Notwendigkeit einer R\u00fcckstellung zu pr\u00fcfen, muss die Wahrscheinlichkeit eines Datenschutzversto\u00dfes bewertet werden. Hier lassen sich zwei Szenarien unterscheiden<\/span>:<\/span><\/div>\n
1. <\/span>Unternehmen ohne jegliche Datenschutzma\u00dfnahmen:<\/b> Wer bisher keine Risikoanalyse durchgef\u00fchrt und keinerlei Ma\u00dfnahmen ergriffen hat, wird mit sehr gro\u00dfer Wahrscheinlichkeit gegen die DSGVO versto\u00dfen<\/span>. Wer seine Pflichten nicht kennt, kann sie kaum erf\u00fcllen<\/span>. F\u00fcr diese Unternehmen ist die Wahrscheinlichkeit einer Pflichtverletzung immens hoch<\/span>.<\/span><\/div>\n
2. <\/span>Unternehmen mit ersten Ma\u00dfnahmen:<\/b> Firmen, die bereits eine Risikoanalyse durchgef\u00fchrt haben, k\u00f6nnen entweder Verst\u00f6\u00dfe vermuten oder sogar positive Kenntnis davon haben<\/span>. <\/span>Bei positiver Kenntnis eines Versto\u00dfes entf\u00e4llt die Wahrscheinlichkeitspr\u00fcfung<\/b> \u2013 der Versto\u00df ist ein Fakt<\/span>.<\/span><\/div>\n
Wie wahrscheinlich ist die Ahndung durch die Beh\u00f6rde?<\/span><\/div>\n
Die Zeiten, in denen Datenschutzverst\u00f6\u00dfe unentdeckt blieben, sind vorbei<\/span>. Seit Einf\u00fchrung der DSGVO ist die Wahrscheinlichkeit einer Ahndung deutlich gestiegen<\/span>. Die Gr\u00fcnde daf\u00fcr sind vielf\u00e4ltig:<\/span><\/div>\n
\u2022 <\/span>Verfolgungspflicht:<\/b> Beh\u00f6rden sind verpflichtet, Hinweisen und Meldungen nachzugehen<\/span>.<\/span><\/div>\n
\u2022 <\/span>Externe Hinweise:<\/b> Unzufriedene Kunden, abgelehnte Bewerber oder Wettbewerber melden Verst\u00f6\u00dfe gezielt<\/span>.<\/span><\/div>\n
\u2022 <\/span>Meldepflichten:<\/b> Unternehmen m\u00fcssen Datenpannen selbst melden, wodurch Verst\u00f6\u00dfe bekannt werden<\/span>.<\/span><\/div>\n
Kurz gesagt: Die M\u00f6glichkeit, dass eine Aufsichtsbeh\u00f6rde einen Versto\u00df ahndet, ist stets gegeben und die Wahrscheinlichkeit daf\u00fcr ist hoch anzusiedeln<\/span>.<\/span><\/div>\n
<\/div>\n
<\/div>\n
Fazit: R\u00fcckstellungen werden f\u00fcr viele Unternehmen zur Pflicht<\/span><\/div>\n
F\u00fcr Unternehmen, die im Datenschutz bisher unt\u00e4tig waren oder die sogar Kenntnis von eigenen Verst\u00f6\u00dfen haben, erh\u00f6ht sich die Wahrscheinlichkeit erheblich, zu bilanziellen R\u00fcckstellungen verpflichtet zu sein<\/span>.<\/span><\/div>\n
Wenn eine solche Pflicht besteht, dann geht es potenziell um <\/span>R\u00fcckstellungen in erheblicher H\u00f6he<\/b>. Die Implementierung eines soliden Datenschutz-Managementsystems (DSMS) ist daher nicht nur eine Frage der Compliance, sondern auch eine wichtige Ma\u00dfnahme zur kaufm\u00e4nnischen Risikovorsorge<\/span>. Wer Risiken nicht aktiv managt, muss damit rechnen, dass sich dies nicht nur in Form von Bu\u00dfgeldern, sondern auch direkt in der Bilanz niederschl\u00e4gt<\/span>.<\/span><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Die Datenschutz-Grundverordnung (DSGVO) hat nicht nur die Rechte von Betroffenen gest\u00e4rkt, sondern auch einen umfangreichen…<\/p>\n","protected":false},"author":1,"featured_media":639,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-970","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/970","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=970"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/970\/revisions"}],"predecessor-version":[{"id":971,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/970\/revisions\/971"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/639"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=970"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=970"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=970"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}