Anzeige

Kosten Taschenrechner

Datenschutzverletzungen mit einem genauen Preisschild zu versehen ist keine ganz triviale Aufgabe. Es wurden schon einige Berichte veröffentlicht, in denen versucht wurde, die durchschnittlichen Kosten einer Datenschutzverletzung zu berechnen. Aber inwieweit sind diese Zahlen aussagekräftig und geben uns Aufschluss für ein einzelnes Unternehmen?

Sicherheitsvorfälle sind heute für jedes Unternehmen so gut wie unausweichlich. Deshalb verwenden Sicherheitsexperten solche Kennzahlen gerne als Unterstützung bei der Entscheidungsfindung.

Man muss eine ungefähre Vorstellung davon haben, was eine potenzielle Datenschutzverletzung kosten kann, um in etwa einschätzen zu können wie viel man ausgeben muss, um sie zu verhindern. Und nicht zuletzt, um die Ausgaben auf der Geschäftsleitungsebene oder der Vorstandsetage zu rechtfertigen.

Sich allein auf solche Kennzahlen zu verlassen halte ich allerdings für einen Fehler. Die Kosten für eine mögliche Datenschutzverletzung kann man nur berechnen, wenn man die individuellen Umstände eines Unternehmens berücksichtigt. Es ist offensichtlich, dass diese Kosten für ein multinationales Finanzinstitut anders ausfallen als für eine Gemeindebibliothek. Eine Risikobewertung der unternehmensspezifischen Situation, hilft Führungskräften, fundierte Entscheidungen zu treffen.

Die tatsächlichen Kosten einer Datenschutzverletzung berechnen

Stellen Sie sich als Analogie eine Erhebung zum durchschnittlich weltweit entstehenden Sachschaden vor, der durch einen Einbruch entsteht, wenn Sie in eine Alarmanlageinvestieren wollen.

Dazu existiert mit ziemlicher Sicherheit eine Zahl. Nur gibt uns diese nicht unbedingt Informationen über die Kriminalitätsrate in der Nachbarschaft. Die Zahl kann auch nicht berücksichtigen, ob Sie gerade teure Wertsachen angeschafft haben, ebenso wenig wie sie regionale Besonderheiten abbildet. Die solchen Erhebungen zugrunde liegenden Zahlen, sehen zwar interessant aus, sind aber für den konkreten Einzelfall nichtssagend. Sie taugen als wissenschaftliche Grundlage, aber für alltägliche Sicherheitsentscheidungen helfen sie wenig. Ungleich nützlicher als ein globaler Durchschnittswert wäre ein Instrument mit dem Sicherheitsfachleute und
Entscheidungsträger ermitteln könnten, was eine Datenschutzverletzung für ihr Unternehmen bedeuten könnte.

Hier hilft eine konkrete Risikobewertung. Die berücksichtigt bei der Einschätzung der Kosten für eine mögliche Datenschutzverletzung die Kunden und Daten genau dieses Unternehmens und die damit verbundenen Prozesse und Aktivitäten. Die Auswirkungen abzuschätzen ist allerdings nur die halbe Miete bei einer Risikobewertung. Die andere Hälfte dient dazu, die Wahrscheinlichkeit einzuschätzen mit der eine Datenschutzverletzung tatsächlich passiert.

Es lohnt sich, einen genaueren Blick auf einige Bereiche zu werfen, wenn man die Kosten realistisch einschätzen will:

Technologie

Nach einer Datenschutzverletzung muss ein Unternehmen wahrscheinlich zumindest einige der betroffenen IT-Systeme neu aufbauen und die Integrität der Daten verifizieren. In einer Bewertung sollten die damit verbundenen Kosten berechnet werden, wie die Hardware-Miete, der Arbeitsaufwand, Zeit und Material sowie die Umsatzausfälle, wenn das kompromittierte System offline genommen werden muss.

Kommunikation der Kosten einer Datenschutzverletzung

Man sollte berücksichtigen, welche Konsequenzen es hat, dem Kunden eine Datenschutzverletzung offenzulegen, und wie sich das in Bezug auf Manpower und praktische Ressourcen auswirkt. Etwa bei der Bearbeitung eingehender Anfragen und Kosten für zusätzliche Anrufe beim technischen Support. Kann das Unternehmen jeden zehnten - oder sogar jeden fünften - Kundenanruf bearbeiten? Das würde darauf hinauslaufen, die Anzahl der Kundenbetreuer zwischenzeitlich zu erhöhen, was sich auf die Personalkosten auswirkt.

Rechtliche Anforderungen

Ist das Unternehmen gesetzlich verpflichtet, seine Kunden zu benachrichtigen, und wie genau soll das passieren? Per E-Mail, Telefon oder sogar per Einschreiben? Was kostet das an Zeit und zusätzlicher Arbeit? Führt die Datenschutzverletzung zu einem finanziellen Schaden für die Kunden, kann das Unternehmen verpflichtet sein, die betroffenen Kunden zu entschädigen. Aus rechtlicher Sicht sollten Sie Gesetze, die eine persönliche Haftung vorschreiben, oder den Prozentsatz der Kunden, die im Falle einer Datenschutzverletzung wahrscheinlich klagen werden sowie die Kosten für eine anwaltliche Betreuung und mögliche Schadensersatzforderungen berücksichtigen.


Weitere Artikel

DSGVO

Drei Jahre DSGVO: Die fünf größten Fallstricke bei der Umsetzung

Die DSGVO stellt die IT-Verantwortlichen vor die große Herausforderung, einen regelkonformen Umgang mit personenbezogenen Daten sicherzustellen. Auf dem Weg zur Datenschutz-Compliance lauern – ob nun aus Unwissenheit, aus Unklarheit oder aus einer…
Facebook

Datensicherheit bei Facebook: So können Sie das Risiko von Datendiebstahl verringern

Facebook-Mitglieder weltweit schreckten am Osterwochenende auf: Persönliche Daten von mehr als 530 Millionen Nutzer:innen sollen im Internet veröffentlicht worden sein. Darunter sollen auch Daten von rund sechs Millionen Menschen aus Deutschland sein.
Justitia

Warum IT-Experten härtere Regeln für Tech-Konzerne fordern

Die Corona-Pandemie dominierte im Jahr 2020 einen Großteil der Nachrichten und hat einen rasanten Digitalisierungsschub bewirkt. Damit kommt auch das Thema Datenschutz zurück auf die Tagesordnung. So wurde in Niedersachsen zuletzt der IT-Händler…
Post-Brexit Changes

Herkulesaufgabe Datenschutz: Datenaustausch zwischen EU und UK

Der Datenschutz stellt Unternehmen in der EU und Großbritannien vor große Herausforderungen. Sie sind darauf angewiesen, dass ein geregelter und sicherer Datenaustausch zwischen den Ländern bald gewährleistet wird. Vergleichbare Datenschutzverordnungen und…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.