Startseite » Allgemein »

Was kostet mich eine Datenschutzverletzung? Versuch einer Einschätzung

Datenschutz
Was kostet mich eine Datenschutzverletzung? Versuch einer Einschätzung

Was kostet mich eine Datenschutzverletzung? Versuch einer Einschätzung
Eine Datenschutzverletzung kann teuer werden. Bild: Pixelot / stock.adobe.com

Datenschutzverletzungen mit einem genauen Preisschild zu versehen, ist keine ganz triviale Aufgabe. Es wurden schon einige Berichte veröffentlicht, in denen versucht wurde, die durchschnittlichen Kosten einer Datenschutzverletzung zu berechnen. Aber inwieweit sind diese Zahlen aussagekräftig und geben uns Aufschluss für ein einzelnes Unternehmen?

Der Autor Zoltan Bakos ist Solution Architect bei One Identity

Sicherheitsvorfälle kommen heute in fast jedem Unternehmen vor. Sicherheitsexperten verwenden solche Kennzahlen gerne als Unterstützung bei der Entscheidungsfindung. Man muss eine ungefähre Vorstellung davon haben, was eine potenzielle Datenschutzverletzung kosten kann, um in etwa einschätzen zu können, wie viel man ausgeben muss, um sie zu verhindern. Und nicht zuletzt, um die Ausgaben vor der Geschäftsleitung oder der Vorstandsetage zu rechtfertigen.

Sich allein auf solche Kennzahlen zu verlassen, hält Zoltan Bakos, Senior Privileged Solution Architect beim Software-Unternehmen One Identity, allerdings für einen Fehler. Die Kosten für eine mögliche Datenschutzverletzung kann man nur berechnen, wenn man die individuellen Umstände eines Unternehmens berücksichtigt. Es ist offensichtlich, dass diese Kosten für ein multinationales Finanzinstitut anders ausfallen als für eine Gemeindebibliothek. Eine Risikobewertung der Unternehmenssituation hilft Führungskräften, fundierte Entscheidungen zu treffen.

Tatsächliche Kosten einer Datenschutzverletzung berechnen

Stellen Sie sich als Analogie eine Erhebung zum durchschnittlich weltweit entstehenden Sachschaden vor, der durch einen Einbruch entsteht, wenn Sie in eine Alarmanlage investieren wollen.
Dazu existiert mit ziemlicher Sicherheit eine Zahl. Nur gibt uns diese nicht unbedingt Informationen über die Kriminalitätsrate in der Nachbarschaft. Die Zahl berücksichtigt ebenfalls nicht, ob Sie gerade teure Wertsachen angeschafft haben, ebenso wenig wie regionale Besonderheiten. Die Zahlen, die solchen Erhebungen zugrunde liegen, sehen zwar interessant aus, sind aber für den konkreten Einzelfall nichtssagend. Sie taugen als wissenschaftliche Grundlage, aber für alltägliche Sicherheitsentscheidungen helfen sie wenig. Ungleich nützlicher als ein globaler Durchschnittswert wäre ein Instrument, mit dem Sicherheitsfachleute und Entscheidungsträger ermitteln könnten, was eine Datenschutzverletzung für ihr Unternehmen bedeuten könnte.

Hier hilft eine konkrete Risikobewertung. Diese berücksichtigt bei der Kostenschätzung für Datenschutzverletzungen die Kunden und Daten des betrachteten Unternehmens und die damit verbundenen Prozesse und Aktivitäten. Die Auswirkungen abzuschätzen ist allerdings nur die halbe Miete bei einer Risikobewertung. Die andere Hälfte dient dazu, die Wahrscheinlichkeit einzuschätzen mit der eine Datenschutzverletzung tatsächlich passiert.

Es lohnt sich, einen genaueren Blick auf einige Bereiche zu werfen, wenn man die Kosten realistisch einschätzen will:

Technologie: Nach einer Datenschutzverletzung muss ein Unternehmen sehr wahrscheinlich einige der betroffenen IT-Systeme neu aufbauen und die Integrität der Daten verifizieren. In einer Bewertung sollten die damit verbundenen Kosten wie etwa Hardware-Miete, Arbeitsaufwand, Zeit und Material sowie die Umsatzausfälle, wenn das kompromittierte System offline genommen werden muss, berechnet werden.

Kommunikation der Kosten einer Datenschutzverletzung: Man sollte berücksichtigen, welche Konsequenzen es hat, dem Kunden eine Datenschutzverletzung offenzulegen, und wie sich das in Bezug auf Manpower und praktische Ressourcen auswirkt. Etwa bei der Bearbeitung eingehender Anfragen und Kosten für zusätzliche Anrufe beim technischen Support. Kann das Unternehmen jeden zehnten – oder sogar jeden fünften – Kundenanruf bearbeiten? Das würde darauf hinauslaufen, die Anzahl der Kundenbetreuer zwischenzeitlich zu erhöhen, was sich auf die Personalkosten auswirkt.

Rechtliche Anforderungen: Ist das Unternehmen gesetzlich verpflichtet, seine Kunden zu benachrichtigen, und wie genau soll das passieren? Per E-Mail, Telefon oder sogar per Einschreiben? Was kostet das an Zeit und zusätzlicher Arbeit? Führt die Datenschutzverletzung zu einem finanziellen Schaden für die Kunden, kann das Unternehmen verpflichtet sein, die betroffenen Kunden zu entschädigen. Aus rechtlicher Sicht sollten Sie Gesetze, die eine persönliche Haftung vorschreiben, oder den Prozentsatz der Kunden, die im Falle einer Datenschutzverletzung wahrscheinlich klagen werden sowie die Kosten für eine anwaltliche Betreuung und mögliche Schadensersatzforderungen berücksichtigen.

Compliance-bezogene Kosten: Die seitens der Aufsichtsbehörden und Gerichte verhängten Bußgelder haben inzwischen auch in Deutschland – gerade in den letzten Monaten – deutlich angezogen. In einer Checkliste sollten die Compliance-bezogenen Kosten wie Geldbußen und deren Höhe im Worst-Case-Szenario berücksichtigt werden. Zur Erinnerung: Mit der Einführung der DSGVO (Datenschutz-Grundverordnung) im Jahr 2018 können Bußgelder bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen. Berücksichtigen Sie auch Vertragsstrafen, die im Falle einer Datenschutzverletzung zu zahlen sind, etwa an einen Geschäftspartner, Kunden, Verkäufer, Lieferanten oder ein Kreditkartenunternehmen. Aber es gibt Faktoren, die weit schwieriger zu prognostizieren sind, wie etwa die Auswirkungen auf den kurzfristigen Aktienkurs eines Unternehmens: Welche finanziellen Auswirkungen hat ein plötzlicher Kursverfall? Was passiert, wenn die Datenschutzverletzung bei Gesprächen zu einer Fusion oder Übernahme passiert? Je nachdem, wie ein Datenschutzvorfall kommuniziert wird, kann er durchaus nur marginale und vorübergehende Folgen haben, jedenfalls gemessen am Aktienkurs eines Unternehmens. In jedem Fall muss man genauer hinsehen. Ein Unternehmen kann hinsichtlich seiner Reputation oder Kompetenz, die es bei der Bewältigung des Vorfalls gezeigt hat, gestärkt aus einer solchen Krise hervorgehen. Trotzdem kann die Lektion kostspielig gewesen sein.

Von Sicherheitsbeauftragten und Geschäftsführern wird erwartet, dass sie ihre Entscheidungen mit der gebotenen Sorgfalt treffen. Eine detaillierte Analyse ist schwieriger und zeitaufwendiger als die bequeme Abkürzung zu nehmen und sich auf durchschnittliche globale Werte zu stützen. Besser fundierte Entscheidungen sind aber in der Regel auch tatsächlich bessere Entscheidungen. Nehmen Sie also globale Zahlen als Benchmark, aber nicht mehr als das.

Nutzen Sie eine Checkliste mit diesen oder ähnliche Fragen:

  1. Sind wir im Falle einer Datenschutzverletzung gesetzlich verpflichtet, unsere Kunden zu benachrichtigen? Wie machen wir das (E-Mail, Telefon, Post, Einschreiben)? Was kostet uns das an Zeit, Arbeit und Material?
  2. Wenn wir unsere Kunden benachrichtigen und jeder zehnte den technischen Support anruft, müssen wir die Anzahl der Kundenbetreuer vorübergehend erhöhen? Was kostet das (z. B. Personalkosten, Überstunden usw.)? Was passiert, wenn sogar jeder fünfte anruft? Was, wenn jeder zweite anruft?
  3. Wenn durch die Datenschutzverletzung ein finanzieller Schaden beim Kunden entsteht – ist das Unternehmen verpflichtet, den betreffenden Kunden zu entschädigen?
  4. Wenn wir es mit Kreditkarten zu tun haben und diese gekündigt werden müssen, was kostet die Kündigung beziehungsweise die Neuausgabe der Karten?
  5. Wie hoch sind unsere durchschnittlichen Kosten für die Akquise eines neuen Kunden? Wenn sich diese Zahl für das kommen Jahr um X Prozent erhöht, was kostet es das Unternehmen?
  6. Wie hoch ist die aktuelle Abwanderungsrate? Wie viel kostet es das Unternehmen, wenn sie aufgrund des Datenschutzvorfalls um X Prozent steigt?
  7. Sind wir bereit, betroffenen Kunden eine Entschädigung anzubieten? Wenn ja, in welcher Höhe?
  8. Wird im Falle eines Identitätsdiebstahls betroffenen Kunden eine Kreditüberwachung angeboten? Für wie lange? Mit welchen Kosten?
  9. Muss das Unternehmen damit rechnen, seitens einer Aufsichtsbehörde mit einer Geldstrafe belegt zu werden? Wenn ja, wie hoch ist diese im schlimmsten Fall?
  10. Gibt es ein Gesetz, das die persönliche Haftung der Geschäftsführung vorschreibt? Ist mit einer Strafverfolgung zu rechnen?
  11. Gibt es eine Vertragsstrafe, die im Falle einer Datenschutzverletzung zu zahlen ist (z. B. an einen Geschäftspartner, Kunden, Verkäufer/Lieferanten, Kreditkartenunternehmen)? Wenn ja, an wen ist diese zu bezahlen und in welcher Höhe?
  12. Müssen externe Forensik-Experten hinzugezogen werden, um bei der Untersuchung der Datenschutzverletzung zu helfen?
  13. Kann das Unternehmen während einer Nachuntersuchung oder laufenden forensischen Analysen seinen Betrieb wie gewohnt aufrechterhalten? Wie hoch sind die Umsatzeinbußen bei einem teilweisen oder kompletten Ausfall für einen bestimmten Zeitraum?
  14. Wie hoch sind die Kosten für den Wiederaufbau der Hardware und die Verifikation der Daten (Hardware-Miete, Arbeitsaufwand, Zeit und Material sowie die Umsatzausfälle, wenn das kompromittierte System offline genommen werden muss usw.)
  15. Ist das Unternehmen auf externe anwaltliche Unterstützung angewiesen? Wie hoch sind die geschätzten Kosten?
  16. Müssen externe PR-/Kommunikationsexperten hinzugezogen werden, um den Schaden einzudämmen? Wie hoch sind die Kosten?
  17. Wie hoch ist der Prozentsatz an Kunden, die im Falle einer Datenschutzverletzung wahrscheinlich klagen werden? Wie hoch sind die geschätzten anwaltlichen Kosten, Gerichtskosten und wie hoch mögliche Schadensersatzforderungen?
  18. Wie wird sich die Datenschutzverletzung auf den kurzfristigen Aktienkurs des Unternehmens auswirken? Welche finanziellen Auswirkungen hat ein plötzlicher Kursverfall?
  19. Was passiert, wenn die Datenschutzverletzung während einer Fusion oder Übernahmeverhandlungen passiert?
  20. Bei Banken und Finanzdienstleistern: Was passiert, wenn das Vertrauen der Kunden grundlegend erodiert ist und es zu massenhaften Abhebungen kommt – welche Auswirkungen hat das auf die Liquidität des Unternehmens?

Kontakt zu One Identity

One Identity Software International Limited
32 Molesworth Street
Dublin 2, D02Y512
Irland
Tel.: +353 21 2064 000
E-Mail: infomail.Ireland@quest.com
Website: www.oneidentity.com

Ebenfalls interessant:

Realistische Blockchain-Projekte sind auf dem Vormarsch

Unsere Webinar-Empfehlung
Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de