Compliance-bezogene Kosten
Was kostet eine Datenschutzverletzung? Versuch einer Einschätzung
Datenschutzverletzungen mit einem genauen Preisschild zu versehen ist keine ganz triviale Aufgabe
Von Zoltan Bakos, One Identity
Datenschutzverletzungen mit einem genauen Preisschild zu versehen, ist keine ganz triviale Aufgabe. Es wurden schon einige Berichte veröffentlicht, in denen versucht wurde, die durchschnittlichen Kosten einer Datenschutzverletzung zu berechnen. Aber inwieweit sind diese Zahlen aussagekräftig und geben uns Aufschluss für ein einzelnes Unternehmen? Sicherheitsvorfälle sind heute für jedes Unternehmen so gut wie unausweichlich. Deshalb verwenden Sicherheitsexperten solche Kennzahlen gerne als Unterstützung bei der Entscheidungsfindung. Man muss eine ungefähre Vorstellung davon haben, was eine potenzielle Datenschutzverletzung kosten kann, um in etwa einschätzen zu können wie viel man ausgeben muss, um sie zu verhindern. Und nicht zuletzt, um die Ausgaben auf der Geschäftsleitungsebene oder der Vorstandsetage zu rechtfertigen.
Sich allein auf solche Kennzahlen zu verlassen halte ich allerdings für einen Fehler. Die Kosten für eine mögliche Datenschutzverletzung kann man nur berechnen, wenn man die individuellen Umstände eines Unternehmens berücksichtigt. Es ist offensichtlich, dass diese Kosten für ein multinationales Finanzinstitut anders ausfallen als für eine Gemeindebibliothek. Eine Risikobewertung der unternehmensspezifischen Situation, hilft Führungskräften, fundierte Entscheidungen zu treffen.
Die tatsächlichen Kosten einer Datenschutzverletzung berechnen
Stellen Sie sich als Analogie eine Erhebung zum durchschnittlich weltweit entstehenden Sachschaden vor, der durch einen Einbruch entsteht, wenn Sie in eine Alarmanlageinvestieren wollen.
Dazu existiert mit ziemlicher Sicherheit eine Zahl. Nur gibt uns diese nicht unbedingt Informationen über die Kriminalitätsrate in der Nachbarschaft. Die Zahl kann auch nicht berücksichtigen, ob Sie gerade teure Wertsachen angeschafft haben, ebenso wenig wie sie regionale Besonderheiten abbildet. Die solchen Erhebungen zugrunde liegenden Zahlen, sehen zwar interessant aus, sind aber für den konkreten Einzelfall nichtssagend. Sie taugen als wissenschaftliche Grundlage, aber für alltägliche Sicherheitsentscheidungen helfen sie wenig. Ungleich nützlicher als ein globaler Durchschnittswert wäre ein Instrument mit dem Sicherheitsfachleute und
Entscheidungsträger ermitteln könnten, was eine Datenschutzverletzung für ihr Unternehmen bedeuten könnte.
Hier hilft eine konkrete Risikobewertung. Die berücksichtigt bei der Einschätzung der Kosten für eine mögliche Datenschutzverletzung die Kunden und Daten genau dieses Unternehmens und die damit verbundenen Prozesse und Aktivitäten. Die Auswirkungen abzuschätzen ist allerdings nur die halbe Miete bei einer Risikobewertung. Die andere Hälfte dient dazu, die Wahrscheinlichkeit einzuschätzen mit der eine Datenschutzverletzung tatsächlich passiert.
Es lohnt sich, einen genaueren Blick auf einige Bereiche zu werfen, wenn man die Kosten realistisch einschätzen will:
Technologie
Nach einer Datenschutzverletzung muss ein Unternehmen wahrscheinlich zumindest einige der betroffenen IT-Systeme neu aufbauen und die Integrität der Daten verifizieren. In einer Bewertung sollten die damit verbundenen Kosten berechnet werden, wie die Hardware-Miete, der Arbeitsaufwand, Zeit und Material sowie die Umsatzausfälle, wenn das kompromittierte System offline genommen werden muss.
Kommunikation der Kosten einer Datenschutzverletzung
Man sollte berücksichtigen, welche Konsequenzen es hat, dem Kunden eine Datenschutzverletzung offenzulegen, und wie sich das in Bezug auf Manpower und praktische Ressourcen auswirkt. Etwa bei der Bearbeitung eingehender Anfragen und Kosten für zusätzliche Anrufe beim technischen Support. Kann das Unternehmen jeden zehnten - oder sogar jeden fünften - Kundenanruf bearbeiten? Das würde darauf hinauslaufen, die Anzahl der Kundenbetreuer zwischenzeitlich zu erhöhen, was sich auf die Personalkosten auswirkt.
Rechtliche Anforderungen
Ist das Unternehmen gesetzlich verpflichtet, seine Kunden zu benachrichtigen, und wie genau soll das passieren? Per E-Mail, Telefon oder sogar per Einschreiben? Was kostet das an Zeit und zusätzlicher Arbeit? Führt die Datenschutzverletzung zu einem finanziellen Schaden für die Kunden, kann das Unternehmen verpflichtet sein, die betroffenen Kunden zu entschädigen. Aus rechtlicher Sicht sollten Sie Gesetze, die eine persönliche Haftung vorschreiben, oder den Prozentsatz der Kunden, die im Falle einer Datenschutzverletzung wahrscheinlich klagen werden sowie die Kosten für eine anwaltliche Betreuung und mögliche Schadensersatzforderungen berücksichtigen.
Compliance-bezogene Kosten
Die seitens der Aufsichtsbehörden und Gerichte verhängten Bußgelder haben inzwischen auch in Deutschland gerade in den letzten Monaten deutlich angezogen. In einer Checkliste sollten die Compliance-bezogenen Kosten wie Geldbußen und deren Höhe im Worst-Case-Szenario berücksichtigt werden. Zur Erinnerung: Mit der Einführung der DSGVO (Datenschutz-Grundverordnung) im Jahr 2018 können Bußgelder bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen. Berücksichtigen Sie auch Vertragsstrafen, die im Falle einer Datenschutzverletzung zu zahlen sind, z. B. an einen Geschäftspartner, Kunden, Verkäufer/ Lieferanten oder ein Kreditkartenunternehmen.
Aber es gibt Faktoren, die weit schwieriger zu prognostizieren sind wie etwa die Auswirkungen auf den kurzfristigen Aktienkurs eines Unternehmens: Welche finanziellen Auswirkungen hat ein plötzlicher Kursverfall? Was passiert, wenn die Datenschutzverletzung bei Gesprächen zu einer Fusion oder Übernahme passiert?
Je nachdem, wie ein Datenschutzvorfall kommuniziert wird, kann er durchaus nur marginale und vorübergehende Folgen haben, jedenfalls gemessen am Aktienkurs eines Unternehmens. In jedem Fall muss man genauer hinsehen. Ein Unternehmen kann hinsichtlich seiner Reputation oder Kompetenz, die es bei der Bewältigung des Vorfalls gezeigt hat, gestärkt aus einer solchen Krise hervorgehen. Trotzdem kann die Lektion kostspielig gewesen sein.
Von Sicherheitsbeauftragten und Geschäftsführern wird erwartet, dass sie ihre Entscheidungen mit der gebotenen Sorgfalt treffen. Eine detaillierte Analyse ist schwieriger und zeitaufwendiger als die bequeme Abkürzung zu nehmen und sich auf durchschnittliche globale Werte zu stützen. Besser fundierte Entscheidungen sind aber in der Regel auch tatsächlich bessere Entscheidungen. Nehmen Sie also globale Zahlen als Benchmark, aber nicht mehr als das.
Nutzen Sie eine Checkliste und stellen Sie sich diese oder ähnliche Fragen:
>> Sind wir im Falle einer Datenschutzverletzung gesetzlich verpflichtet, unsere Kunden zu benachrichtigen? Wie machen wir das (E-Mail, Telefon, Post, Einschreiben)? Was kostet uns das an Zeit, Arbeit und Material?
>> Wenn wir unsere Kunden benachrichtigen und jeder 10. den technischen Support anruft, müssen wir die Anzahl der Kundenbetreuer vorübergehend erhöhen? Was kostet das (z. B. Personalkosten, Überstunden usw.)? Was passiert, wenn sogar jeder 5. anruft? Was, wenn jeder 2. anruft?
>> Wenn durch die Datenschutzverletzung ein finanzieller Schaden beim Kunden entsteht, ist das Unternehmen verpflichtet, den betreffenden Kunden zu entschädigen?
>> Wenn wir es mit Kreditkarten zu tun haben und diese gekündigt werden müssen, was kostet die Kündigung beziehungsweise die Neuausgabe der Karten?
>> Wie hoch sind unsere durchschnittlichen Kosten für die Akquise eines neuen Kunden? Wenn sich diese Zahl für das kommen Jahr um n-Prozent erhöht, was kostet es das Unternehmen?
>> Wie hoch ist die aktuelle Abwanderungsrate? Wie viel kostet es das Unternehmen, wenn sie aufgrund des Datenschutzvorfalls um n-Prozent steigt?
>> Sind wir bereit, betroffenen Kunden eine Entschädigung anzubieten? Wenn ja, in welcher Höhe?
>> Wird im Falle eines Identitätsdiebstahls betroffenen Kunden eine Kreditüberwachung angeboten? Für wie lange? Mit welchen Kosten?
>> Muss das Unternehmen damit rechnen seitens einer Aufsichtsbehörde mit einer Geldstrafe belegt zu werden? Wenn ja, wie hoch ist diese im schlimmsten Fall?
>> Gibt es ein Gesetz, das die persönliche Haftung der Geschäftsführung vorschreibt? Ist mit einer Strafverfolgung zu rechnen?
>> Gibt es eine Vertragsstrafe, die im Falle einer Datenschutzverletzung zu zahlen ist (z. B. an einen Geschäftspartner, Kunden, Verkäufer / Lieferanten oder ein Kreditkartenunternehmen usw.)? Wenn ja, an wen und in welcher Höhe?
>> Müssen externe Forensik-Experten hinzugezogen werden, um bei der Untersuchung der Datenschutzverletzung zu helfen?
>> Kann das Unternehmen während einer Nachuntersuchung oder laufender forensischer Analysen, seinen Betrieb wie gewohnt aufrechterhalten? Wie hoch sind die Umsatzeinbußen bei einem teilweisen oder kompletten Ausfall für einen bestimmten Zeitraum?
Nach einer Datenschutzverletzung ist es normalerweise unvermeidlich, die betroffenen IT-Systeme (zumindest einen Teil von ihnen) neu aufzubauen und die Integrität der Daten zu verifizieren. Wie hoch sind die damit verbundenen Kosten (wie Hardware-Miete, Arbeitsaufwand, Zeit und Material sowie die Umsatzausfälle, wenn das kompromittierte System offline genommen werden muss usw.)
>> Ist das Unternehmen auf externe anwaltliche Unterstützung angewiesen? Wie hoch sind die geschätzten Kosten?
>> Müssen externe PR-/Kommunikationsexperten hinzugezogen werden, um den Schaden einzudämmen? Wie hoch sind die Kosten?
>> Wie hoch ist der Prozentsatz an Kunden, die im Falle einer Datenschutzverletzung wahrscheinlich klagen werden? Wie hoch sind die geschätzten anwaltlichen Kosten, Gerichtskosten und wie hoch mögliche Schadensersatzforderungen?
>> Wie wird sich die Datenschutzverletzung auf den kurzfristigen Aktienkurs des Unternehmens auswirken? Welche finanziellen Auswirkungen hat ein plötzlicher Kursverfall?
>> Was passiert, wenn die Datenschutzverletzung während einer Fusion oder Übernahmeverhandlungen passiert?
>> Bei Banken und Finanzdienstleistern: Was passiert, wenn das Vertrauen der Kunden grundlegend erodiert ist und es zu massenhaften Abhebungen kommt, welche Auswirkungen hat das auf die Liquidität des Unternehmens?
(One Identity: ra)
eingetragen: 14.04.20
Newsletterlauf: 02.06.20
One Identity: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>