Mit der ab dem 25. Mai 2018 anwendbaren EU-Datenschutz-Grundverordnung (DSGVO) soll der Datenschutz als personenbezogenes Grundrecht gestärkt werden. Weil sich dadurch der Pflichtenkatalog für Unternehmen maßgeblich erweitert, sollten Sie den Datenschutz zu einem zentralen Aspekt unternehmerischer Tätigkeit machen und ihm in der Risikobewertung eine höhere Bedeutung beimessen. Für etwaige Bußgelder bei Datenschutzverstößen können Sie sogar zu bilanziellen Rückstellungen verpflichtet sein. Dieser Artikel hilft Ihnen, die Risiken einzuschätzen.
Ausgangslage: Pflichten und Bußgelder unter der DSGVO
Unter der DSGVO wird es kaum ein Unternehmen geben, das nicht von (einigen) Datenschutzplichten betroffen ist, da im Regelfall jedes Unternehmen personenbezogene Daten – zumindest die von Mitarbeitern – verarbeitet. Als Folge dessen wird es kaum möglich sein, sich der Implementierung einzelner Schutzkonzepte – ggf. sogar der Implementierung eines Datenschutzmanagementsystems – zu entziehen.
Gleichzeitig werden die möglichen Bußgelder für Verstöße mit der DSGVO drastisch erhöht. Für geringfügigere Verstöße sind Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten (Konzern-)Umsatzes der verantwortlichen Stelle möglich. Bei schwerwiegenderen Verstößen erhöhen sich die jeweiligen Maximalstrafen auf 20 Millionen Euro bzw. 4 % des Umsatzes (siehe auch unser Artikel zu Bußgeldern unter der DSGVO).
Welche Risiken erzwingen bilanzielle Rückstellungen?
Die Erweiterung des Pflichtenumfangs und gleichzeitige Erhöhung der korrespondierenden Bußgelder werden weitreichende Auswirkung auf alle Bereiche unternehmerischer Tätigkeit haben. Daher sollte ihnen in der unternehmerischen Risikobewertung eine höhere Bedeutung beigemessen werden.
Es stellt sich insbesondere die Frage, unter welchen Voraussetzungen Datenschutzverstöße oder die Non-Compliance mit datenschutzrechtlichen Pflichten in Form von Rückstellungen gem. § 249 HGB (Handelsgesetzbuch) in der Bilanz zu berücksichtigen sind. An dieser Stelle sei vorsorglich darauf hingewiesen, dass es im Rahmen des Jahresabschlusses für Aktiengesellschaften weitergehende Pflichten geben kann, auf die hier nicht eingegangen wird.
Nach § 249 HGB – der für alle Kaufleute gilt (!) – sind Rückstellungen für ungewisse Verbindlichkeiten zu bilden. Eine ungewisse Verbindlichkeit im Sinne der Norm liegt dann vor, wenn der Bilanzierende ernsthaft mit der Inanspruchnahme wegen einer Verbindlichkeit, die wirtschaftlich in der Zeit vor dem Bilanzstichtag verursacht wurde, rechnen muss.
Bei ungewissen Verbindlichkeiten ist zwischen
- der Wahrscheinlichkeit des Bestehens der Verbindlichkeit und
- der Wahrscheinlichkeit der tatsächlichen Inanspruchnahme hieraus
zu unterscheiden. Konkret auf das Datenschutzrecht angewendet bedeutet dies: Ein Unternehmen hat im Rahmen des Jahresabschlusses zu entscheiden, ob wegen einer vermeintlichen Verletzung von Datenschutzrecht eine Rückstellung für ein Bußgeld der zuständigen Behörde zu bilden ist:
- Einerseits besteht die Unsicherheit, ob überhaupt eine rechtlich belangbare Verletzung von Datenschutzrechtes vorliegt.
- Anderseits besteht die Unsicherheit, ob die zuständige Behörde den Fall aufgreifen und ein Bußgeldverfahren einleiten wird.
Wie wahrscheinlich ist eine bußgeldbewehrte Rechtsverletzung?
Um eine mögliche Pflicht zur Rückstellung für Bußgelder aufgrund von Datenschutzverstößen ermitteln zu können, muss zunächst geprüft werden, wie wahrscheinlich letztere vorliegen. Hier sind im Wesentlichen zwei mögliche Szenarien zu unterscheiden:
- Unternehmen, die bisher gar keine Risikoanalyse und keine Maßnahmen hinsichtlich datenschutzrechtlicher Verpflichtungen eingeleitet haben, und
- Unternehmen, die eine Risikoanalyse durchgeführt und bereits (erste) Maßnahmen ergriffen haben.
In erstem Fall wird in Zukunft mit sehr großer Wahrscheinlichkeit von datenschutzrechtlichen Regelverstößen bzw. Non-Compliance mit der DSGVO in irgendeiner Art auszugehen sein. Wer seine Pflichten nicht kennt, wird sich in der Regel schwertun, diese (kurzfristig) zu erfüllen.
Unternehmen der zweiten Kategorie, die bereits aufgrund einer Risikoanalyse um ihre Verpflichtungen wissen, können entweder Verstöße oder Non-Compliance vermuten oder positive Kenntnis davon haben. Bei positiver Kenntnis eines Verstoßes entfällt der Wahrscheinlichkeitsmaßstab.
Wie wahrscheinlich ist eine Ahndung durch die Aufsichtsbehörde?
Es kann nicht seriös vorhergesagt werden, wie die Datenschutz-Aufsichtsbehörden in Zukunft ihren Kontrollauftrag ausgestalten. Es sprechen jedoch einige Umstände dafür, dass die Ahndungswahrscheinlichkeit im Vergleich zur Vergangenheit deutlich zunehmen wird.
So sind die jeweiligen Aufsichtsbehörden nach DSGVO verpflichtet, Meldungen nachzugehen und gegebenenfalls vorliegende Verstöße zu ahnden. Da etwa Verstöße gegen Meldepflichten bereits auf Webseiten ersichtlich sein können, tritt neben die Möglichkeit der Zufallskontrolle durch die Behörde auch die Meldung an letztere durch z. B. einen abgelehnten Bewerber oder konkurrierende Marktteilnehmer.
Zusätzlich greift mit der DSGVO eine grundsätzliche Meldepflicht bei Datenpannen innerhalb von 72 Stunden. Um unter diese Meldepflicht zu fallen, reicht es schon, eine E-Mail mit personenbezogenen Daten an einen falschen Adressaten versendet zu haben. Die Pflicht zur Meldung von Datenpannen erhöht demnach zusätzlich das Risiko, dass Verstöße durch die Aufsichtsbehörden aufgedeckt werden.
Fazit: Bilanzielle Rückstellung dürften für viele Unternehmen verpflichtend werden
Je nach datenschutzrechtlichem Risikobewusstsein und Umsetzungsstand von Maßnahmen in Unternehmen ist die Gefahr von Non-Compliance oder Regelverstößen unterschiedlich hoch. Für Unternehmen, die bisher nicht einmal eine Risikoanalyse durchgeführt und gar keine datenschutzrechtlichen Maßnahmen ergriffen haben, dürfte die Wahrscheinlichkeit einer Pflichtverletzung immens hoch sein. Für Unternehmen, die um Ihre Non-Compliance oder Verstöße wissen, ersetzt Kenntnis die Wahrscheinlichkeit.
Die Wahrscheinlichkeit der Ahndung von Verstößen durch die Aufsichtsbehörden ist derzeit eine unbekannte Größe und wird sich erst nach und nach durch die Praxis einordnen lassen. Vieles spricht dafür, dass u. a. aufgrund der Ahndungs- bzw. Verfolgungspflicht von Meldungen, die Wahrscheinlichkeit von Ahndungen hoch anzusiedeln ist.
Dies wiederum erhöht bei Kenntnis eines Verstoßes oder DSGVO-Non-Compliance oder bei bisheriger Tatenlosigkeit im Datenschutz die Wahrscheinlichkeit, zu Rückstellungen verpflichtet zu sein. Fest steht in jedem Fall eines: Wenn es eine Pflicht zu bilanziellen Rückstellungen für Verpflichtungen aus Bußgeldbescheiden wegen Datenschutzverletzungen gibt, dann in potentiell erheblicher Höhe.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.