Datenschutzgesetze machen Datenpannen teuer


Internationale Vergleichsstudie zu den Kosten von Datenmissbrauchsfällen
Gesetzesregelungen haben signifikante Auswirkungen auf die Schadenshöhe


(10.05.10) - Das auf die Technologiethemen Datenschutz und Informationsmanagement spezialisierte Marktanalyseunternehmen Ponemon Institute hat erstmals eine internationale Vergleichsstudie zu den Kosten von Datenmissbrauchsfällen durchgeführt. Die "2009 Annual Study: Global Cost of a Data Breach" erfasst die Auswirkungen von mehr als einhundert realen Fällen von Datenmissbrauch aus dem Jahr 2009. Unterstützt wurde diese Studie, an der 133 Unternehmen und Organisationen 18 unterschiedlicher Branchen aus den fünf Ländern Australien, Frankreich, Großbritannien, Deutschland und USA teilnahmen, von der PGP Corporation.

Die Untersuchung ergab international eine durchschnittliche Gesamtkostensumme von 3,43 Millionen US-Dollar für jeden einzelnen Fall von Datenmissbrauch; der Schaden lag damit im Schnitt bei 142 US-Dollar pro betroffenen Datensatz. Dabei ergaben sich deutliche Unterschiede zwischen den Ergebnissen für die einzelnen Länder - während beispielsweise in Großbritannien lediglich Kosten in Höhe von 98 US-Dollar pro kompromittierten Datensatz anfielen, lag dieser Wert in den USA bei 204 US-Dollar.

Als durchschnittliche Kosten eines Falles von Datenmissbrauch konnten für die an der Studie beteiligten Länder folgende Werte ermittelt werden:

Bild: PGP


Gesetzliche Vorgaben erhöhen die Kosten bei Datenpannen signifikant
Die Studie zeigt, dass die durch Datenpannen entstandenen Kosten in Ländern mit einer gesetzlich verankerten Veröffentlichungspflicht bei Datenmissbrauchsfällen signifikant höher sind als in Ländern ohne solche Gesetze. So lagen die Kosten pro betroffenen Datensatz beispielsweise in den USA, wo mittlerweile 46 der 50 Bundesstaaten eine Veröffentlichungspflicht eingeführt haben, um 43 Prozent über dem globalen Durchschnittswert. Die zweithöchsten Kosten entstanden in Deutschland, wo adäquate Gesetze seit Juli 2009 gelten; hier lag der Durchschnitt 25 Prozent über dem internationalen Vergleichswert. Dagegen wiesen die Länder Australien, Frankreich und Großbritannien, in denen die Veröffentlichungspflicht bei Datenpannen gesetzlich noch nicht festgeschrieben ist, im internationalen Vergleich unterdurchschnittliche Kosten pro kompromittierten Datensatz auf.

"Eine zentrale Schlussfolgerung aus den Ergebnissen dieser Studie ist, dass regulative Vorschriften deutlichste Auswirkungen auf die Höhe der Kosten von Datenpannen haben", so Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institutes. "Die Situation in den USA belegt dies und es ist klar, dass die Kosten auch in den anderen Ländern der Welt steigen werden, wenn dort eine Veröffentlichungspflicht bei Datenmissbrauchsfällen gesetzlich verankert wird."

In Großbritannien, wo bislang lediglich der öffentliche Dienst und Finanzorganisationen mit gesetzlichen Auflagen bei Datenmissbrauchsfällen konfrontiert sind, liegen die Kosten 45 Prozent unterhalb des globalen Durchschnitts und damit bei weniger als der Hälfte dessen, was US-Unternehmen im Schadensfall pro Datensatz durchschnittlich aufwenden müssen.

"Es kann kaum überraschen, dass die finanziellen Folgen einer Datenpanne in den USA, wo die Datenschutzgesetze nicht nur streng, sondern auch ausgereift sind, am schwersten wiegen. Wundern darf man sich dagegen über das relativ niedrige Kostenniveau in Großbritannien", so der Kommentar von Jonathan Armstrong, ein auf den Bereich Technologie spezialisierter Anwalt der international renommierten Anwaltskanzlei Duane Morris. "Es wird interessant sein, zu sehen, wie steil die Kosten in Großbritannien zukünftig ansteigen werden, wenn die dortige Datenschutzbehörde - das U.K. Information Commissioner's Office - ihre Vorgaben für den Datenschutz einschließlich der avisierten hohen Geldstrafen bei Verstößen für alle Unternehmen konsequent umsetzt."

Umsatzeinbußen durch Vertrauensverluste verursachen den Großteil der Kosten
Mit einem Anteil von rund 44 Prozent an den durch Fälle von Datenmissbrauch verursachten Kosten bilden die entgangenen Umsätze den Hauptposten in der Schadensbilanz der betroffenen Unternehmen. Dies zeigt die Sensibilisierung der Verbraucher beim Thema Datenschutz auf und belegt die Auswirkungen der durch Datenpannen verursachten Imageverluste von Unternehmen bei der Bemühung um neue Kunden. Im Ländervergleich zeigten sich dabei deutliche Unterschiede - am stärksten betroffen waren US-amerikanische Unternehmen, bei denen entgangene Umsätze durchschnittlich 66 Prozent der Gesamtkosten eines Datenmissbrauchsfalls ausmachten.

Bild: PGP


"Unabhängig vom Standort eines Unternehmens leidet sein Ruf, wenn bekannt wird, dass es fahrlässig mit vertraulichen Daten umgeht", so Phillip Dunkelberger, President und CEO der PGP Corporation. "Daten sind ein wichtiges Kapital, das geschützt werden muss. Immer mehr Länder verabschieden verschärfte Datenschutzvorschriften und Gesetze, die Unternehmen eine Veröffentlichungspflicht im Falle einer Datenpanne auferlegen. Denn sie haben erkannt, dass Kunden das Vertrauen in Unternehmen verlieren und abwandern, wenn es zu einer Datenpanne kommt."

Datenschutzgesetze beeinflussen die Kosten für die Aufdeckung und Aufarbeitung von Datenpannen maßgeblich
Die durch die Aufdeckung und Aufarbeitung verursachten Kosten im Falle eines Datenmissbrauchs lagen in Deutschland mit 52 US-Dollar pro betroffenen Datensatz am höchsten, was die Aufwendungen der Unternehmen und Organisationen in neue Sicherheitstechnologien und -prozesse aufgrund der erfolgten Novellierung der Datenschutzgesetze reflektiert.

In den USA, wo entsprechende Gesetze bereits seit 2005 gelten, nahmen die Kosten dagegen in den letzten Jahren ab und lagen 2009 bei 8 US-Dollar pro betroffenen Datensatz. Dies legt nahe, dass US-amerikanische Unternehmen die Zeit genutzt haben, effizientere Erkennungs- und Aufarbeitungsprozesse zu etablieren. Es ist davon auszugehen, dass sich die Kosten auch in den anderen Ländern reduzieren werden, wenn die initialen Aktivitäten zur Einhaltung verschärfter gesetzlicher und branchenspezifischer Regelungen absolviert und die entsprechenden Prozesse auf die Arbeitsabläufe besser abgestimmt wurden.

Bild: PGP


Mehr Kosten durch Pannen mit externer Beteiligung oder kriminellem Hintergrund
Wenn externe Partner oder Dienstleister für einen Datenmissbrauchsfall verantwortlich waren, stieg in allen fünf Ländern die Schadenshöhe aufgrund der für die Aufklärung notwendigen zusätzlichen Forensik- und Ermittlungskosten. Dabei zeigte es sich, dass die Steigerungsrate bei der Beteiligung Dritter in den einzelnen Ländern höchst unterschiedlich war - am niedrigsten in den USA mit 12 Prozent und am höchsten in Frankreich mit 116 Prozent.

Bild: PGP


Fälle von Datenverlust, resultierend aus bösartigen oder kriminellen Aktivitäten, verursachen ebenfalls höhere Kosten als der Durchschnitt, wobei französische Unternehmen die größten negativen Auswirkungen erfahren mussten. Der Anteil der Fälle von Datenmissbrauch ausgehend von böswilligen oder kriminellen Attacken nahm in allen Ländern zu und liegt im Bereich zwischen 24 und 54 Prozent der Gesamtfälle. Dies lässt die Schlussfolgerungen zu, dass IT-Organisationen mehr in geeignete proaktive Schutzmaßnahmen investieren sollten, um insgesamt die Kosten zu reduzieren.

Bild: PGP


Klare Kompetenzzuordnung reduziert Kosten von Datenpannen
In Fällen, in denen die Verantwortung für die Datensicherheit und die Abwicklung der Schadensbehebung klar an einen Datenschutzbeauftragten oder an ein Mitglied der Unternehmensleitung mit adäquater Funktion delegiert war, konnten Unternehmen oder Organisationen in allen fünf Ländern die durch Datenpannen entstehenden Kosten reduzieren. Allerdings verzichtet der Großteil der untersuchten Unternehmen bislang auf eine derartige Position innerhalb der Geschäftsführung oder auf die klare Zuordnung der Verantwortlichkeiten.

Bild: 6


"Mit der Tatsache, dass die Kosten im Falle eines Datenmissbrauchs unabhängig vom Standort des Unternehmens und der einzuhaltenden Gesetze dann sinken, wenn die Verantwortlichkeiten klar an ein Mitglied der Unternehmensleitung delegiert sind, zeigt diese Studie einen positiven Aspekt auf", so Dunkelberger weiter. "Unternehmen sind also gut beraten, solch eine Position möglichst umgehend in ihren Führungsreihen zu etablieren." (PGP: ra)

PGP: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Studien

  • Gefährliche Lücken in der Finanzbildung

    Die Finanzwelt ist für viele Deutsche wie ein Minenfeld, das man besser meidet. Eine repräsentative Bevölkerungsumfrage des Bankenverbands zeigt, dass sich ein Großteil der Befragten nicht ausreichend mit ihren Finanzen beschäftigt und wichtige Begriffe nicht versteht.

  • Motivation und Bindung der Beschäftigten

    Startups in Deutschland beteiligen ihre Mitarbeiterinnen und Mitarbeiter verstärkt am Unternehmen. Aktuell geben 44 Prozent an, Beschäftigte am Startup zu beteiligen, vor einem Jahr waren es noch 38 Prozent. Weitere 42 Prozent können sich eine Mitarbeiterbeteiligung in der Zukunft vorstellen. Nur 6 Prozent der Startups setzen nicht auf Mitarbeiterbeteiligung und schließen das auch für die Zukunft aus.

  • Angriffe auf deutsche Wirtschaft nehmen zu

    Deutsche Unternehmen rücken verstärkt in den Fokus von Angreifern aus dem In- und Ausland. In den vergangenen zwölf Monaten waren 81 Prozent aller Unternehmen vom Diebstahl von Daten und IT-Geräten sowie von digitaler und analoger Industriespionage oder Sabotage betroffen.

  • Lobby- und Transparenzregeln

    Anlässlich der Veröffentlichung des Lobbyrankings 2024 wirft Transparency International Deutschland e.V. einen vergleichenden Blick auf die Regeln für eine integre und transparente Politik in den Bundesländern und im Bund.

  • KI-Skepsis vorherrschend

    Nur 3 Prozent der Unternehmen im DACH-Raum beschreiben sich als fortgeschritten bei der Einführung generativer KI (GenAI). Das zeigt eine aktuelle Lünendonk-Studie. Trotz hohem Potenzial und zahlreichen Anwendungsfeldern ist die Skepsis gegenüber der neuen Technologie bei Anwendern wie Entscheidern hoch. Unsicherheit und die Angst vor Schatten-KI hemmen die Einführung. Gleichzeitig erhofft sich jedes zweite Unternehmen durch GenAI Hilfe bei der digitalen Transformation.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen