Rückstellungen für Verbindlichkeiten aus Datenschutzverstößen
Mit der Einführung der Europäischen Datenschutzgrundverordnung (DSGVO) hat der Datenschutz Zähne bekommen. Die Datenschutzbehörden sind vom Gesetzgeber mit neuen Kompetenzen und Sanktionsmöglichkeiten für Datenpannen ausgestattet worden; die vorhandenen Werkzeuge wurden geschärft.
Insbesondere die Bußgelder für Datenschutzverstöße sind drastisch erhöht worden, weshalb die Folgen der Verletzung von Datenschutzbestimmungen neben Cyberangriffen derzeit die größten Risiken für Unternehmen darstellen. Welche Risiken aus unternehmerischer Sicht konkret drohen und wie sie im Kontext der bilanziellen Bewertung durch den Steuerberater berücksichtigt werden müssen, zeigt der Beitrag auf.
Eine Kurzfassung des Beitrags finden Sie .
I. Rückstellungen für Verbindlichkeiten
Buchführungspflichtige Einzelkaufleute sowie Personen- und Kapitalgesellschaften sind grds. und mit nur wenigen Ausnahmen verpflichtet, als Bestandteil des Jahresabschlusses eine Bilanz zu erstellen (§ 242 HGB), die „sämtliche [...] Schulden“ (vgl. § 246 Abs. 1 HGB) und somit auch alle Rückstellungen enthalten muss.
Aus der Verletzung von Datenschutzbestimmungen ergeben sich verschiedene Risiken, wobei das Bußgeldrisiko das vermeintlich größte Risiko sein dürfte. Bußgeldrisiken sind Verbindlichkeiten aus öffentlich-rechtlichen Verpflichtungen, die hinsichtlich ihres Bestehens und ihrer Höhe ungewiss sind; für sie sind daher Rückstellungen zu bilden (§ 249 Abs. 1 Satz 1 HGB). Damit hat eine Bewertung dieser (Bußgeld-)Risiken spätestens bei der Bilanzierung zum Jahresabschluss zu erfolgen.
Auch rückstellungsrelevante Begebenheiten wie Gesetze, Verordnungen und behördliche Auflagen sind zu berücksichtigen, wobei nicht schon die bloße Existenz eines Gesetzes zu einer Rückstellungsverpflichtung führt. Vielmehr muss eine gewisse Wahrscheinlichkeit für eine Inanspruchnahme aufgrund des Gesetzes bestehen, die im Rahmen der Risikobewertung eingeschätzt wird.
In die Risikobewertung sind u. a. einzustellen
-
der Grad der Umsetzung des Datenschutzes im Unternehmen,
-
laufende Verfahren,
-
ggf. zu erwartende Verfahren,
-
die Aktivität der Datenschutzbehörde im jeweiligen Bundesland.
Da in den nächsten Jahren mit einer steigenden Verfolgungsintensität durch die Datenschutzbehörden zu rechnen ist, sollte die Risikobewertung dem Grunde nach sehr ernst genommen werden.
Führt diese zu einer überwiegenden Wahrscheinlichkeit der Inanspruchnahme, ist die „spannende“ Frage, in welcher Höhe Rückstellungen zu bilden sind.
Den vollständigen Beitrag finden Sie in der Datenbank.