Rund um den Jahreswechsel ist die Zeit, das alte Jahr in der Buchhaltung abzuschließen. In den Rechtsabteilungen der Unternehmen werden im Dezember und Januar Rückstellungen für rechtliche Risiken beziffert, um sie in der Bilanz zu berücksichtigen. Für Unternehmensjuristen ist das ein wichtiges Mittel, um im eigenen Unternehmen die erforderliche Aufmerksamkeit für rechtliche Compliance sicherzustellen – denn Rechtsverletzungen können teuer werden. Der Datenschutz bleibt dabei bisher meistens noch unberücksichtigt. Das könnte sich ändern. Denn auch Verletzungen des Datenschutzes bergen beträchtliche Risiken. Das zeigen zum einen die erheblichen Bußgelder von Aufsichtsbehörden, aber auch die Verluste wegen Datenschutzverletzungen, die Unternehmen bereits hinnehmen mussten.
Ungewisse Verbindlichkeiten = Rückstellung
Rückstellungen müssen wegen ungewisser Verbindlichkeiten gebildet werden (Handelsgesetzbuch (HGB), §249). Sie sind eine Verbindlichkeit in der Bilanz, Rückstellungen mindern einen möglichen Gewinn bzw. erhöhen den Verlust. Normalerweise werden schwebende Geschäfte in der Bilanz nicht ausgewiesen. D.h. noch nicht abgeschlossene Rechtsverhältnisse werden nicht berücksichtigt. Wenn aber im laufenden Geschäft Verluste drohen, müssen diese nach § 249 HGB in Form von Rückstellungen in die Bilanz eingestellt werden. Das führt dazu, dass sich z.B. der Gewinn einer Abteilung oder eines Standorts vermindert, wenn sie rechtliche Risiken in Kauf nehmen. Wenn die Mitarbeiter dort teilweise nach dem Ergebnis entlohnt werden, dann wirken sich die Risiken, die Führungskräfte und Mitarbeiter eingegangen sind, durch die erforderlichen Rückstellungen unmittelbar im Portemonnaie der Verantwortlichen aus.
Voraussetzung für diese „Drohverlustrückstellungen“ ist, dass die Wahrscheinlichkeit eines Verlusts über 50 % liegt.
Das ist sicherlich der Fall, wenn bereits ein Verfahren der Aufsichtsbehörde wegen Datenschutz-Verletzungen gegen ein Unternehmen eingeleitet wurde und dort der Rechtsverstoß bekannt ist. Es kann aber auch gegeben sein, wenn Datenschutz-Risiken bewusst in Kauf genommen werden, bei denen die Wahrscheinlichkeit sehr hoch ist, dass sie später aufgedeckt werden und zu Schäden führen. In so einem Fall kann eine Rechts- oder Compliance-Abteilung im Unternehmen manchmal schon dadurch Schlimmes verhindern, dass sie den Verantwortlichen die Möglichkeit einer notwendigen Rückstellung erklärt.
Selbstverständlich würde es sich empfehlen, in so einem Fall den Kontakt zum Steuerberater des Unternehmens zu suchen und auf dessen Erfahrung zurückzugreifen.
Wenn irgendwo bewusst größere Datenschutz-Risiken in Kauf genommen werden, sollte das Unternehmen über diese Zusammenhänge Bescheid wissen.