Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Compliance-bezogene Kosten


Was kostet eine Datenschutzverletzung? Versuch einer Einschätzung
Datenschutzverletzungen mit einem genauen Preisschild zu versehen ist keine ganz triviale Aufgabe



Von Zoltan Bakos, One Identity

Datenschutzverletzungen mit einem genauen Preisschild zu versehen, ist keine ganz triviale Aufgabe. Es wurden schon einige Berichte veröffentlicht, in denen versucht wurde, die durchschnittlichen Kosten einer Datenschutzverletzung zu berechnen. Aber inwieweit sind diese Zahlen aussagekräftig und geben uns Aufschluss für ein einzelnes Unternehmen? Sicherheitsvorfälle sind heute für jedes Unternehmen so gut wie unausweichlich. Deshalb verwenden Sicherheitsexperten solche Kennzahlen gerne als Unterstützung bei der Entscheidungsfindung. Man muss eine ungefähre Vorstellung davon haben, was eine potenzielle Datenschutzverletzung kosten kann, um in etwa einschätzen zu können wie viel man ausgeben muss, um sie zu verhindern. Und nicht zuletzt, um die Ausgaben auf der Geschäftsleitungsebene oder der Vorstandsetage zu rechtfertigen.

Sich allein auf solche Kennzahlen zu verlassen halte ich allerdings für einen Fehler. Die Kosten für eine mögliche Datenschutzverletzung kann man nur berechnen, wenn man die individuellen Umstände eines Unternehmens berücksichtigt. Es ist offensichtlich, dass diese Kosten für ein multinationales Finanzinstitut anders ausfallen als für eine Gemeindebibliothek. Eine Risikobewertung der unternehmensspezifischen Situation, hilft Führungskräften, fundierte Entscheidungen zu treffen.

Die tatsächlichen Kosten einer Datenschutzverletzung berechnen
Stellen Sie sich als Analogie eine Erhebung zum durchschnittlich weltweit entstehenden Sachschaden vor, der durch einen Einbruch entsteht, wenn Sie in eine Alarmanlageinvestieren wollen.

Dazu existiert mit ziemlicher Sicherheit eine Zahl. Nur gibt uns diese nicht unbedingt Informationen über die Kriminalitätsrate in der Nachbarschaft. Die Zahl kann auch nicht berücksichtigen, ob Sie gerade teure Wertsachen angeschafft haben, ebenso wenig wie sie regionale Besonderheiten abbildet. Die solchen Erhebungen zugrunde liegenden Zahlen, sehen zwar interessant aus, sind aber für den konkreten Einzelfall nichtssagend. Sie taugen als wissenschaftliche Grundlage, aber für alltägliche Sicherheitsentscheidungen helfen sie wenig. Ungleich nützlicher als ein globaler Durchschnittswert wäre ein Instrument mit dem Sicherheitsfachleute und

Entscheidungsträger ermitteln könnten, was eine Datenschutzverletzung für ihr Unternehmen bedeuten könnte.
Hier hilft eine konkrete Risikobewertung. Die berücksichtigt bei der Einschätzung der Kosten für eine mögliche Datenschutzverletzung die Kunden und Daten genau dieses Unternehmens und die damit verbundenen Prozesse und Aktivitäten. Die Auswirkungen abzuschätzen ist allerdings nur die halbe Miete bei einer Risikobewertung. Die andere Hälfte dient dazu, die Wahrscheinlichkeit einzuschätzen mit der eine Datenschutzverletzung tatsächlich passiert.

Es lohnt sich, einen genaueren Blick auf einige Bereiche zu werfen, wenn man die Kosten realistisch einschätzen will:

Technologie
Nach einer Datenschutzverletzung muss ein Unternehmen wahrscheinlich zumindest einige der betroffenen IT-Systeme neu aufbauen und die Integrität der Daten verifizieren. In einer Bewertung sollten die damit verbundenen Kosten berechnet werden, wie die Hardware-Miete, der Arbeitsaufwand, Zeit und Material sowie die Umsatzausfälle, wenn das kompromittierte System offline genommen werden muss.

Kommunikation der Kosten einer Datenschutzverletzung
Man sollte berücksichtigen, welche Konsequenzen es hat, dem Kunden eine Datenschutzverletzung offenzulegen, und wie sich das in Bezug auf Manpower und praktische Ressourcen auswirkt. Etwa bei der Bearbeitung eingehender Anfragen und Kosten für zusätzliche Anrufe beim technischen Support. Kann das Unternehmen jeden zehnten - oder sogar jeden fünften - Kundenanruf bearbeiten? Das würde darauf hinauslaufen, die Anzahl der Kundenbetreuer zwischenzeitlich zu erhöhen, was sich auf die Personalkosten auswirkt.

Rechtliche Anforderungen
Ist das Unternehmen gesetzlich verpflichtet, seine Kunden zu benachrichtigen, und wie genau soll das passieren? Per E-Mail, Telefon oder sogar per Einschreiben? Was kostet das an Zeit und zusätzlicher Arbeit? Führt die Datenschutzverletzung zu einem finanziellen Schaden für die Kunden, kann das Unternehmen verpflichtet sein, die betroffenen Kunden zu entschädigen. Aus rechtlicher Sicht sollten Sie Gesetze, die eine persönliche Haftung vorschreiben, oder den Prozentsatz der Kunden, die im Falle einer Datenschutzverletzung wahrscheinlich klagen werden sowie die Kosten für eine anwaltliche Betreuung und mögliche Schadensersatzforderungen berücksichtigen.

Compliance-bezogene Kosten
Die seitens der Aufsichtsbehörden und Gerichte verhängten Bußgelder haben inzwischen auch in Deutschland gerade in den letzten Monaten deutlich angezogen. In einer Checkliste sollten die Compliance-bezogenen Kosten wie Geldbußen und deren Höhe im Worst-Case-Szenario berücksichtigt werden. Zur Erinnerung: Mit der Einführung der DSGVO (Datenschutz-Grundverordnung) im Jahr 2018 können Bußgelder bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen. Berücksichtigen Sie auch Vertragsstrafen, die im Falle einer Datenschutzverletzung zu zahlen sind, z. B. an einen Geschäftspartner, Kunden, Verkäufer/ Lieferanten oder ein Kreditkartenunternehmen.

Aber es gibt Faktoren, die weit schwieriger zu prognostizieren sind wie etwa die Auswirkungen auf den kurzfristigen Aktienkurs eines Unternehmens: Welche finanziellen Auswirkungen hat ein plötzlicher Kursverfall? Was passiert, wenn die Datenschutzverletzung bei Gesprächen zu einer Fusion oder Übernahme passiert?

Je nachdem, wie ein Datenschutzvorfall kommuniziert wird, kann er durchaus nur marginale und vorübergehende Folgen haben, jedenfalls gemessen am Aktienkurs eines Unternehmens. In jedem Fall muss man genauer hinsehen. Ein Unternehmen kann hinsichtlich seiner Reputation oder Kompetenz, die es bei der Bewältigung des Vorfalls gezeigt hat, gestärkt aus einer solchen Krise hervorgehen. Trotzdem kann die Lektion kostspielig gewesen sein.

Von Sicherheitsbeauftragten und Geschäftsführern wird erwartet, dass sie ihre Entscheidungen mit der gebotenen Sorgfalt treffen. Eine detaillierte Analyse ist schwieriger und zeitaufwendiger als die bequeme Abkürzung zu nehmen und sich auf durchschnittliche globale Werte zu stützen. Besser fundierte Entscheidungen sind aber in der Regel auch tatsächlich bessere Entscheidungen. Nehmen Sie also globale Zahlen als Benchmark, aber nicht mehr als das.

Nutzen Sie eine Checkliste und stellen Sie sich diese oder ähnliche Fragen:
>> Sind wir im Falle einer Datenschutzverletzung gesetzlich verpflichtet, unsere Kunden zu benachrichtigen? Wie machen wir das (E-Mail, Telefon, Post, Einschreiben)? Was kostet uns das an Zeit, Arbeit und Material?
>> Wenn wir unsere Kunden benachrichtigen und jeder 10. den technischen Support anruft, müssen wir die Anzahl der Kundenbetreuer vorübergehend erhöhen? Was kostet das (z. B. Personalkosten, Überstunden usw.)? Was passiert, wenn sogar jeder 5. anruft? Was, wenn jeder 2. anruft?
>> Wenn durch die Datenschutzverletzung ein finanzieller Schaden beim Kunden entsteht, ist das Unternehmen verpflichtet, den betreffenden Kunden zu entschädigen?
>> Wenn wir es mit Kreditkarten zu tun haben und diese gekündigt werden müssen, was kostet die Kündigung beziehungsweise die Neuausgabe der Karten?
>> Wie hoch sind unsere durchschnittlichen Kosten für die Akquise eines neuen Kunden? Wenn sich diese Zahl für das kommen Jahr um n-Prozent erhöht, was kostet es das Unternehmen?
>> Wie hoch ist die aktuelle Abwanderungsrate? Wie viel kostet es das Unternehmen, wenn sie aufgrund des Datenschutzvorfalls um n-Prozent steigt?
>> Sind wir bereit, betroffenen Kunden eine Entschädigung anzubieten? Wenn ja, in welcher Höhe?
>> Wird im Falle eines Identitätsdiebstahls betroffenen Kunden eine Kreditüberwachung angeboten? Für wie lange? Mit welchen Kosten?
>> Muss das Unternehmen damit rechnen seitens einer Aufsichtsbehörde mit einer Geldstrafe belegt zu werden? Wenn ja, wie hoch ist diese im schlimmsten Fall?
>> Gibt es ein Gesetz, das die persönliche Haftung der Geschäftsführung vorschreibt? Ist mit einer Strafverfolgung zu rechnen?
>> Gibt es eine Vertragsstrafe, die im Falle einer Datenschutzverletzung zu zahlen ist (z. B. an einen Geschäftspartner, Kunden, Verkäufer / Lieferanten oder ein Kreditkartenunternehmen usw.)? Wenn ja, an wen und in welcher Höhe?
>> Müssen externe Forensik-Experten hinzugezogen werden, um bei der Untersuchung der Datenschutzverletzung zu helfen?
>> Kann das Unternehmen während einer Nachuntersuchung oder laufender forensischer Analysen, seinen Betrieb wie gewohnt aufrechterhalten? Wie hoch sind die Umsatzeinbußen bei einem teilweisen oder kompletten Ausfall für einen bestimmten Zeitraum?

Nach einer Datenschutzverletzung ist es normalerweise unvermeidlich, die betroffenen IT-Systeme (zumindest einen Teil von ihnen) neu aufzubauen und die Integrität der Daten zu verifizieren. Wie hoch sind die damit verbundenen Kosten (wie Hardware-Miete, Arbeitsaufwand, Zeit und Material sowie die Umsatzausfälle, wenn das kompromittierte System offline genommen werden muss usw.)
>> Ist das Unternehmen auf externe anwaltliche Unterstützung angewiesen? Wie hoch sind die geschätzten Kosten?
>> Müssen externe PR-/Kommunikationsexperten hinzugezogen werden, um den Schaden einzudämmen? Wie hoch sind die Kosten?
>> Wie hoch ist der Prozentsatz an Kunden, die im Falle einer Datenschutzverletzung wahrscheinlich klagen werden? Wie hoch sind die geschätzten anwaltlichen Kosten, Gerichtskosten und wie hoch mögliche Schadensersatzforderungen?
>> Wie wird sich die Datenschutzverletzung auf den kurzfristigen Aktienkurs des Unternehmens auswirken? Welche finanziellen Auswirkungen hat ein plötzlicher Kursverfall?
>> Was passiert, wenn die Datenschutzverletzung während einer Fusion oder Übernahmeverhandlungen passiert?
>> Bei Banken und Finanzdienstleistern: Was passiert, wenn das Vertrauen der Kunden grundlegend erodiert ist und es zu massenhaften Abhebungen kommt, welche Auswirkungen hat das auf die Liquidität des Unternehmens?
(One Identity: ra)

eingetragen: 14.04.20
Newsletterlauf: 02.06.20

One Identity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Administration

  • Erfüllung der hohen Compliance-Anforderungen

    Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema - seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

  • Schritthalten mit der Compliance

    Wir möchten alle glauben, dass unsere Netzwerke vollständig sicher sind und unsere Verfahren und Richtlinien voll und ganz den Vorschriften entsprechen, die unsere Branche regeln. Doch die Sicherheitslandschaft verändert sich viel zu schnell, als dass Organisationen jederzeit gegen alle Bedrohungen geschützt sein könnten. Im Jahr 2012 führten wir eingehende Sicherheitsprüfungen bei Netzwerken von 900 Organisationen weltweit durch und fanden heraus, dass 63 Prozent mit Bots infiziert waren, von denen sie nichts wussten. Diese kommunizierten mindestens alle zwei Stunden mit ihren externen Steuerungszentren - und zogen dabei aktiv Daten von den infizierten Netzwerken der Unternehmen ab.

  • PIM-Lösung: Fluch oder Segen?

    Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts sind umfassend. Für das Unternehmen reichen sie von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Auch der einzelne Administrator profitiert von einer deutlichen Reduzierung seines Verwaltungsaufwandes.

  • Compliance bei der Softwarelizenzierung

    Erfolgreiche Geschäftsbeziehungen beruhen auf dem Vertrauen zwischen Käufern und Verkäufern. Für die Softwarebranche sind die Themen Vertrauen und faire Gegenleistungen traditionell eher schwierige Themen. Denn viele Unternehmen verstoßen trotz bester Absichten immer wieder gegen geltende Nutzungsbestimmungen. Anwendungshersteller stellen ihren Kunden Anwendungen im Rahmen bestimmter Berechtigungen zur Verfügung. Dieser Rahmen gibt vor, wie das Produkt unternehmensweit genutzt werden darf. Diese Nutzungsberechtigungen werden üblicherweise mit einem Lizenzierungsmodell durchgesetzt, das das geistige Eigentum der Softwareapplikationsshersteller gleichzeitig schützt und monetarisiert. Im Laufe der Zeit und je nach avisierten Märkten und Segmenten stellt der Hersteller bisweilen auf ein anderes Lizenzierungsmodell um, das den geänderten Kundenanforderungen besser gerecht wird. Möglicherweise werden auch mehrere Lizenzierungsmodelle zur Wahl gestellt. Diese Dynamik erschwert ein einwandfreies Compliance-Management erheblich.

  • Compliance und Software-Audits

    Software-Audits gelten seit langem als notwendiges "Übel", um sicherzustellen, dass Endkunden nicht gegen Lizenzrechte verstoßen. Denn Softwarehersteller setzen nach wie vor hauptsächlich auf diese Methode, damit Kunden nicht irrtümlich oder vorsätzlich mehr Softwarelizenzen nutzen, als sie erworben haben. In manchen Marktsegmenten werden Kunden von den jeweiligen Herstellern allerdings stärker geprüft als von anderen. Schon die Vorstellung, sich einem Audit unterziehen zu müssen, veranlasst die meisten Endkunden dazu, angemessene Vorkehrungen zur Einhaltung der Lizenzbestimmungen zu treffen.

Beste Liquidität sind vermiedene Ausgaben Triage-Entscheidungen treffen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen