Die DSGVO stärkt nicht nur die Rechte von Betroffenen, sondern beinhaltet auch einen Pflichtenkatalog für Unternehmen. Verstöße können Bußgelder in Millionenhöhe nach sich ziehen. Das wirkt sich auch auf die Bilanz betroffener Unternehmen aus. Unter bestimmten Voraussetzungen können Unternehmen verpflichtet sein, für drohende DSGVO-Bußgelder Rückstellungen zu bilden.
Ausgangslage: Pflichten und Bußgelder unter der DSGVO
Unter der DSGVO wird es kaum ein Unternehmen geben, das nicht von (einigen) Datenschutzplichten betroffen ist, da im Regelfall jedes Unternehmen personenbezogene Daten – zumindest die von Mitarbeitenden – verarbeitet. Als Folge dessen wird es kaum möglich sein, sich der Implementierung einzelner Schutzkonzepte – ggf. sogar der Implementierung eines Datenschutz-Managementsystems (DSMS) – zu entziehen. Bei Verstößen drohen empfindliche Strafen:
- bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für weniger schwerwiegende Verstöße;
- bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes für schwerwiegende Verstöße.
Die Bußgelder werden von Aufsichtsbehörden zunehmend konsequent verhängt, wie aktuelle Entscheidungen in mehreren EU-Mitgliedsstaaten zeigen.
Welche Risiken erzwingen bilanzielle Rückstellungen?
Der weite Umfang der Pflichten und die Höhe der korrespondierenden Bußgelder haben weitreichende Auswirkung auf alle Bereiche unternehmerischer Tätigkeit. Daher sollte ihnen in der unternehmerischen Risikobewertung eine hohe Bedeutung beigemessen werden.
Es stellt sich insbesondere die Frage, unter welchen Voraussetzungen Datenschutzverstöße oder die Non-Compliance mit datenschutzrechtlichen Pflichten in Form von Rückstellungen gem. § 249 HGB (Handelsgesetzbuch) in der Bilanz zu berücksichtigen sind. An dieser Stelle sei vorsorglich darauf hingewiesen, dass es im Rahmen des Jahresabschlusses für Aktiengesellschaften weitergehende Pflichten geben kann, auf die hier nicht eingegangen wird.
Nach § 249 HGB – der für alle Kaufleute gilt (!) – sind Rückstellungen für ungewisse Verbindlichkeiten zu bilden. Eine ungewisse Verbindlichkeit im Sinne der Norm liegt dann vor, wenn der Bilanzierende ernsthaft mit der Inanspruchnahme wegen einer Verbindlichkeit, die wirtschaftlich in der Zeit vor dem Bilanzstichtag verursacht wurde, rechnen muss.
Bei ungewissen Verbindlichkeiten ist zwischen
- der Wahrscheinlichkeit des Bestehens der Verbindlichkeit und
- der Wahrscheinlichkeit der tatsächlichen Inanspruchnahme hieraus
zu unterscheiden. Konkret auf das Datenschutzrecht angewendet bedeutet dies: Ein Unternehmen hat im Rahmen des Jahresabschlusses zu entscheiden, ob wegen einer vermeintlichen Verletzung von Datenschutzrecht eine Rückstellung für ein Bußgeld der zuständigen Behörde zu bilden ist:
- Einerseits besteht die Unsicherheit, ob überhaupt eine rechtlich belangbare Verletzung von Datenschutzrecht vorliegt.
- Anderseits besteht die Unsicherheit, ob die Aufsichtsbehörde den Fall aufgreifen und ein Bußgeldverfahren einleiten wird.
Wie wahrscheinlich ist eine bußgeldbewehrte Rechtsverletzung?
Um eine mögliche Pflicht zur Rückstellung für Bußgelder aufgrund von Datenschutzverstößen ermitteln zu können, muss zunächst geprüft werden, wie wahrscheinlich letztere vorliegen. Hier sind im Wesentlichen zwei mögliche Szenarien zu unterscheiden:
- Unternehmen, die bisher gar keine Risikoanalyse und keine Maßnahmen hinsichtlich datenschutzrechtlicher Verpflichtungen eingeleitet haben, und
- Unternehmen, die eine Risikoanalyse durchgeführt und bereits (erste) Maßnahmen ergriffen haben.
In erstem Fall wird in Zukunft mit sehr großer Wahrscheinlichkeit von datenschutzrechtlichen Regelverstößen bzw. Non-Compliance mit der DSGVO in irgendeiner Art auszugehen sein. Wer seine Pflichten nicht kennt, wird sich in der Regel schwertun, diese (kurzfristig) zu erfüllen.
Unternehmen der zweiten Kategorie, die bereits aufgrund einer Risikoanalyse um ihre Verpflichtungen wissen, können entweder Verstöße oder Non-Compliance vermuten oder positive Kenntnis davon haben. Bei positiver Kenntnis eines Verstoßes entfällt der Wahrscheinlichkeitsmaßstab.
Wie wahrscheinlich ist eine Ahndung durch die Aufsichtsbehörde?
Die Wahrscheinlichkeit, dass Datenschutzverstöße geahndet werden, ist seit der Einführung der DSGVO deutlich gestiegen. Behörden sind verpflichtet, Hinweisen und Meldungen nachzugehen und bei bestätigten Verstößen entsprechende Maßnahmen zu ergreifen – bis hin zur Verhängung hoher Bußgelder.
Neben geplanten Prüfungen spielen auch externe Hinweise eine große Rolle. Unzufriedene Kunden, abgelehnte Bewerber oder Wettbewerber melden Datenschutzverletzungen zunehmend gezielt. Zudem machen Meldepflichten bei Datenpannen es wahrscheinlicher, dass Verstöße bekannt werden.
Kurz gesagt: Die Zeiten, in denen Datenschutzverstöße unentdeckt bleiben, sind vorbei. Wer Risiken nicht aktiv managt, muss mit einer wachsenden Wahrscheinlichkeit rechnen, dass die Behörde eingreift.
Fazit: Bilanzielle Rückstellung dürften für viele Unternehmen verpflichtend werden
Je nach datenschutzrechtlichem Risikobewusstsein und Umsetzungsstand von Maßnahmen in Unternehmen ist die Gefahr von Non-Compliance oder Regelverstößen unterschiedlich hoch. Für Unternehmen, die bisher nicht einmal eine Risikoanalyse durchgeführt und gar keine datenschutzrechtlichen Maßnahmen ergriffen haben, dürfte die Wahrscheinlichkeit einer Pflichtverletzung immens hoch sein. Für Unternehmen, die um Ihre Non-Compliance oder Verstöße wissen, ersetzt Kenntnis die Wahrscheinlichkeit.
Die Möglichkeit der Ahndung von Verstößen durch die Aufsichtsbehörden ist stets gegeben. Vieles spricht dafür, dass u.a. aufgrund der Ahndungs- bzw. Verfolgungspflicht von Meldungen, die Wahrscheinlichkeit von Ahndungen hoch anzusiedeln ist.
Dies wiederum erhöht bei Kenntnis eines Verstoßes oder DSGVO-Non-Compliance oder bei bisheriger Tatenlosigkeit im Datenschutz die Wahrscheinlichkeit, zu Rückstellungen verpflichtet zu sein. Fest steht in jedem Fall: Wenn es eine Pflicht zu bilanziellen Rückstellungen für Verpflichtungen aus Bußgeldbescheiden wegen Datenschutzverletzungen gibt, dann in potentiell erheblicher Höhe.