Anzeige

Kosten Taschenrechner

Datenschutzverletzungen mit einem genauen Preisschild zu versehen ist keine ganz triviale Aufgabe. Es wurden schon einige Berichte veröffentlicht, in denen versucht wurde, die durchschnittlichen Kosten einer Datenschutzverletzung zu berechnen. Aber inwieweit sind diese Zahlen aussagekräftig und geben uns Aufschluss für ein einzelnes Unternehmen?

Sicherheitsvorfälle sind heute für jedes Unternehmen so gut wie unausweichlich. Deshalb verwenden Sicherheitsexperten solche Kennzahlen gerne als Unterstützung bei der Entscheidungsfindung.

Man muss eine ungefähre Vorstellung davon haben, was eine potenzielle Datenschutzverletzung kosten kann, um in etwa einschätzen zu können wie viel man ausgeben muss, um sie zu verhindern. Und nicht zuletzt, um die Ausgaben auf der Geschäftsleitungsebene oder der Vorstandsetage zu rechtfertigen.

Sich allein auf solche Kennzahlen zu verlassen halte ich allerdings für einen Fehler. Die Kosten für eine mögliche Datenschutzverletzung kann man nur berechnen, wenn man die individuellen Umstände eines Unternehmens berücksichtigt. Es ist offensichtlich, dass diese Kosten für ein multinationales Finanzinstitut anders ausfallen als für eine Gemeindebibliothek. Eine Risikobewertung der unternehmensspezifischen Situation, hilft Führungskräften, fundierte Entscheidungen zu treffen.

Die tatsächlichen Kosten einer Datenschutzverletzung berechnen

Stellen Sie sich als Analogie eine Erhebung zum durchschnittlich weltweit entstehenden Sachschaden vor, der durch einen Einbruch entsteht, wenn Sie in eine Alarmanlageinvestieren wollen.

Dazu existiert mit ziemlicher Sicherheit eine Zahl. Nur gibt uns diese nicht unbedingt Informationen über die Kriminalitätsrate in der Nachbarschaft. Die Zahl kann auch nicht berücksichtigen, ob Sie gerade teure Wertsachen angeschafft haben, ebenso wenig wie sie regionale Besonderheiten abbildet. Die solchen Erhebungen zugrunde liegenden Zahlen, sehen zwar interessant aus, sind aber für den konkreten Einzelfall nichtssagend. Sie taugen als wissenschaftliche Grundlage, aber für alltägliche Sicherheitsentscheidungen helfen sie wenig. Ungleich nützlicher als ein globaler Durchschnittswert wäre ein Instrument mit dem Sicherheitsfachleute und
Entscheidungsträger ermitteln könnten, was eine Datenschutzverletzung für ihr Unternehmen bedeuten könnte.

Hier hilft eine konkrete Risikobewertung. Die berücksichtigt bei der Einschätzung der Kosten für eine mögliche Datenschutzverletzung die Kunden und Daten genau dieses Unternehmens und die damit verbundenen Prozesse und Aktivitäten. Die Auswirkungen abzuschätzen ist allerdings nur die halbe Miete bei einer Risikobewertung. Die andere Hälfte dient dazu, die Wahrscheinlichkeit einzuschätzen mit der eine Datenschutzverletzung tatsächlich passiert.

Es lohnt sich, einen genaueren Blick auf einige Bereiche zu werfen, wenn man die Kosten realistisch einschätzen will:

Technologie

Nach einer Datenschutzverletzung muss ein Unternehmen wahrscheinlich zumindest einige der betroffenen IT-Systeme neu aufbauen und die Integrität der Daten verifizieren. In einer Bewertung sollten die damit verbundenen Kosten berechnet werden, wie die Hardware-Miete, der Arbeitsaufwand, Zeit und Material sowie die Umsatzausfälle, wenn das kompromittierte System offline genommen werden muss.

Kommunikation der Kosten einer Datenschutzverletzung

Man sollte berücksichtigen, welche Konsequenzen es hat, dem Kunden eine Datenschutzverletzung offenzulegen, und wie sich das in Bezug auf Manpower und praktische Ressourcen auswirkt. Etwa bei der Bearbeitung eingehender Anfragen und Kosten für zusätzliche Anrufe beim technischen Support. Kann das Unternehmen jeden zehnten - oder sogar jeden fünften - Kundenanruf bearbeiten? Das würde darauf hinauslaufen, die Anzahl der Kundenbetreuer zwischenzeitlich zu erhöhen, was sich auf die Personalkosten auswirkt.

Rechtliche Anforderungen

Ist das Unternehmen gesetzlich verpflichtet, seine Kunden zu benachrichtigen, und wie genau soll das passieren? Per E-Mail, Telefon oder sogar per Einschreiben? Was kostet das an Zeit und zusätzlicher Arbeit? Führt die Datenschutzverletzung zu einem finanziellen Schaden für die Kunden, kann das Unternehmen verpflichtet sein, die betroffenen Kunden zu entschädigen. Aus rechtlicher Sicht sollten Sie Gesetze, die eine persönliche Haftung vorschreiben, oder den Prozentsatz der Kunden, die im Falle einer Datenschutzverletzung wahrscheinlich klagen werden sowie die Kosten für eine anwaltliche Betreuung und mögliche Schadensersatzforderungen berücksichtigen.


Weitere Artikel

EU Datenschutz

So sehen IT-Experten die aktuelle Datenschutzlage in Europa

Am 28. Januar ist Europäischer Datenschutztag. Bereits seit 2007 macht der Aktionstag jedes Jahr auf den hohen Stellenwert des Datenschutzes innerhalb der EU aufmerksam.
EU Flagge

Was beim TIA (Transfer Impact Assessment) beachtet werden muss

Am 04.06.2021 wurden die neuen Standardvertragsklauseln (SCC) für den Datentransfer von personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss verabschiedet.
Justitia

Die wichtigsten IT-Gesetze 2022

Die Gesetzgebung kommt in der digitalen Gegenwart an: 2022 treten zahlreiche gesetzliche Änderungen in Kraft, die den IT-Bereich betreffen. Diese beziehen sich sowohl auf Unternehmen als auch auf öffentliche Einrichtungen.
Prozent Rückgang

Drastischer Rückgang der Datenschutzverletzungen im letzten Quartal 2021

Die Cybersecurity-Firma Surfshark meldet einen starken Rückgang der Verstöße gegen Datenschutz im Zeitraum von Oktober bis Dezember 2021. Die Zahl der betroffenen Benutzerkonten von 44,2 Millionen ist um 81 % im Vergleich zum vorherigen Quartal mit 235,6…
Danger

Datensicherheit 2021: Mitarbeitende stellen großes Risiko dar

Die Western Digital Corporation hat eine Studie zum Umgang mit hochsensiblen Daten im Arbeitsumfeld veröffentlicht. Demnach ist in Deutschland fast jede*r vierte Mitarbeitende der Meinung, hochsensible Daten in Gefahr gebracht zu haben.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.