Datenschutzgesetze machen Datenpannen teuer


Internationale Vergleichsstudie zu den Kosten von Datenmissbrauchsfällen
Gesetzesregelungen haben signifikante Auswirkungen auf die Schadenshöhe


(10.05.10) - Das auf die Technologiethemen Datenschutz und Informationsmanagement spezialisierte Marktanalyseunternehmen Ponemon Institute hat erstmals eine internationale Vergleichsstudie zu den Kosten von Datenmissbrauchsfällen durchgeführt. Die "2009 Annual Study: Global Cost of a Data Breach" erfasst die Auswirkungen von mehr als einhundert realen Fällen von Datenmissbrauch aus dem Jahr 2009. Unterstützt wurde diese Studie, an der 133 Unternehmen und Organisationen 18 unterschiedlicher Branchen aus den fünf Ländern Australien, Frankreich, Großbritannien, Deutschland und USA teilnahmen, von der PGP Corporation.

Die Untersuchung ergab international eine durchschnittliche Gesamtkostensumme von 3,43 Millionen US-Dollar für jeden einzelnen Fall von Datenmissbrauch; der Schaden lag damit im Schnitt bei 142 US-Dollar pro betroffenen Datensatz. Dabei ergaben sich deutliche Unterschiede zwischen den Ergebnissen für die einzelnen Länder - während beispielsweise in Großbritannien lediglich Kosten in Höhe von 98 US-Dollar pro kompromittierten Datensatz anfielen, lag dieser Wert in den USA bei 204 US-Dollar.

Als durchschnittliche Kosten eines Falles von Datenmissbrauch konnten für die an der Studie beteiligten Länder folgende Werte ermittelt werden:

Bild: PGP


Gesetzliche Vorgaben erhöhen die Kosten bei Datenpannen signifikant
Die Studie zeigt, dass die durch Datenpannen entstandenen Kosten in Ländern mit einer gesetzlich verankerten Veröffentlichungspflicht bei Datenmissbrauchsfällen signifikant höher sind als in Ländern ohne solche Gesetze. So lagen die Kosten pro betroffenen Datensatz beispielsweise in den USA, wo mittlerweile 46 der 50 Bundesstaaten eine Veröffentlichungspflicht eingeführt haben, um 43 Prozent über dem globalen Durchschnittswert. Die zweithöchsten Kosten entstanden in Deutschland, wo adäquate Gesetze seit Juli 2009 gelten; hier lag der Durchschnitt 25 Prozent über dem internationalen Vergleichswert. Dagegen wiesen die Länder Australien, Frankreich und Großbritannien, in denen die Veröffentlichungspflicht bei Datenpannen gesetzlich noch nicht festgeschrieben ist, im internationalen Vergleich unterdurchschnittliche Kosten pro kompromittierten Datensatz auf.

"Eine zentrale Schlussfolgerung aus den Ergebnissen dieser Studie ist, dass regulative Vorschriften deutlichste Auswirkungen auf die Höhe der Kosten von Datenpannen haben", so Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institutes. "Die Situation in den USA belegt dies und es ist klar, dass die Kosten auch in den anderen Ländern der Welt steigen werden, wenn dort eine Veröffentlichungspflicht bei Datenmissbrauchsfällen gesetzlich verankert wird."

In Großbritannien, wo bislang lediglich der öffentliche Dienst und Finanzorganisationen mit gesetzlichen Auflagen bei Datenmissbrauchsfällen konfrontiert sind, liegen die Kosten 45 Prozent unterhalb des globalen Durchschnitts und damit bei weniger als der Hälfte dessen, was US-Unternehmen im Schadensfall pro Datensatz durchschnittlich aufwenden müssen.

"Es kann kaum überraschen, dass die finanziellen Folgen einer Datenpanne in den USA, wo die Datenschutzgesetze nicht nur streng, sondern auch ausgereift sind, am schwersten wiegen. Wundern darf man sich dagegen über das relativ niedrige Kostenniveau in Großbritannien", so der Kommentar von Jonathan Armstrong, ein auf den Bereich Technologie spezialisierter Anwalt der international renommierten Anwaltskanzlei Duane Morris. "Es wird interessant sein, zu sehen, wie steil die Kosten in Großbritannien zukünftig ansteigen werden, wenn die dortige Datenschutzbehörde - das U.K. Information Commissioner's Office - ihre Vorgaben für den Datenschutz einschließlich der avisierten hohen Geldstrafen bei Verstößen für alle Unternehmen konsequent umsetzt."

Umsatzeinbußen durch Vertrauensverluste verursachen den Großteil der Kosten
Mit einem Anteil von rund 44 Prozent an den durch Fälle von Datenmissbrauch verursachten Kosten bilden die entgangenen Umsätze den Hauptposten in der Schadensbilanz der betroffenen Unternehmen. Dies zeigt die Sensibilisierung der Verbraucher beim Thema Datenschutz auf und belegt die Auswirkungen der durch Datenpannen verursachten Imageverluste von Unternehmen bei der Bemühung um neue Kunden. Im Ländervergleich zeigten sich dabei deutliche Unterschiede - am stärksten betroffen waren US-amerikanische Unternehmen, bei denen entgangene Umsätze durchschnittlich 66 Prozent der Gesamtkosten eines Datenmissbrauchsfalls ausmachten.

Bild: PGP


"Unabhängig vom Standort eines Unternehmens leidet sein Ruf, wenn bekannt wird, dass es fahrlässig mit vertraulichen Daten umgeht", so Phillip Dunkelberger, President und CEO der PGP Corporation. "Daten sind ein wichtiges Kapital, das geschützt werden muss. Immer mehr Länder verabschieden verschärfte Datenschutzvorschriften und Gesetze, die Unternehmen eine Veröffentlichungspflicht im Falle einer Datenpanne auferlegen. Denn sie haben erkannt, dass Kunden das Vertrauen in Unternehmen verlieren und abwandern, wenn es zu einer Datenpanne kommt."

Datenschutzgesetze beeinflussen die Kosten für die Aufdeckung und Aufarbeitung von Datenpannen maßgeblich
Die durch die Aufdeckung und Aufarbeitung verursachten Kosten im Falle eines Datenmissbrauchs lagen in Deutschland mit 52 US-Dollar pro betroffenen Datensatz am höchsten, was die Aufwendungen der Unternehmen und Organisationen in neue Sicherheitstechnologien und -prozesse aufgrund der erfolgten Novellierung der Datenschutzgesetze reflektiert.

In den USA, wo entsprechende Gesetze bereits seit 2005 gelten, nahmen die Kosten dagegen in den letzten Jahren ab und lagen 2009 bei 8 US-Dollar pro betroffenen Datensatz. Dies legt nahe, dass US-amerikanische Unternehmen die Zeit genutzt haben, effizientere Erkennungs- und Aufarbeitungsprozesse zu etablieren. Es ist davon auszugehen, dass sich die Kosten auch in den anderen Ländern reduzieren werden, wenn die initialen Aktivitäten zur Einhaltung verschärfter gesetzlicher und branchenspezifischer Regelungen absolviert und die entsprechenden Prozesse auf die Arbeitsabläufe besser abgestimmt wurden.

Bild: PGP


Mehr Kosten durch Pannen mit externer Beteiligung oder kriminellem Hintergrund
Wenn externe Partner oder Dienstleister für einen Datenmissbrauchsfall verantwortlich waren, stieg in allen fünf Ländern die Schadenshöhe aufgrund der für die Aufklärung notwendigen zusätzlichen Forensik- und Ermittlungskosten. Dabei zeigte es sich, dass die Steigerungsrate bei der Beteiligung Dritter in den einzelnen Ländern höchst unterschiedlich war - am niedrigsten in den USA mit 12 Prozent und am höchsten in Frankreich mit 116 Prozent.

Bild: PGP


Fälle von Datenverlust, resultierend aus bösartigen oder kriminellen Aktivitäten, verursachen ebenfalls höhere Kosten als der Durchschnitt, wobei französische Unternehmen die größten negativen Auswirkungen erfahren mussten. Der Anteil der Fälle von Datenmissbrauch ausgehend von böswilligen oder kriminellen Attacken nahm in allen Ländern zu und liegt im Bereich zwischen 24 und 54 Prozent der Gesamtfälle. Dies lässt die Schlussfolgerungen zu, dass IT-Organisationen mehr in geeignete proaktive Schutzmaßnahmen investieren sollten, um insgesamt die Kosten zu reduzieren.

Bild: PGP


Klare Kompetenzzuordnung reduziert Kosten von Datenpannen
In Fällen, in denen die Verantwortung für die Datensicherheit und die Abwicklung der Schadensbehebung klar an einen Datenschutzbeauftragten oder an ein Mitglied der Unternehmensleitung mit adäquater Funktion delegiert war, konnten Unternehmen oder Organisationen in allen fünf Ländern die durch Datenpannen entstehenden Kosten reduzieren. Allerdings verzichtet der Großteil der untersuchten Unternehmen bislang auf eine derartige Position innerhalb der Geschäftsführung oder auf die klare Zuordnung der Verantwortlichkeiten.

Bild: 6


"Mit der Tatsache, dass die Kosten im Falle eines Datenmissbrauchs unabhängig vom Standort des Unternehmens und der einzuhaltenden Gesetze dann sinken, wenn die Verantwortlichkeiten klar an ein Mitglied der Unternehmensleitung delegiert sind, zeigt diese Studie einen positiven Aspekt auf", so Dunkelberger weiter. "Unternehmen sind also gut beraten, solch eine Position möglichst umgehend in ihren Führungsreihen zu etablieren." (PGP: ra)

PGP: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Studien

  • Schutz persönlicher Daten

    Thales gab die Ergebnisse des Thales Digital Trust Index 2024 bekannt. Die Studie zeigt, dass der Bankensektor das größte Vertrauen genießt, wenn es um den Schutz persönlicher Daten und die Bereitstellung vertrauenswürdiger digitaler Erfahrungen geht.

  • Compliance am Arbeitsplatz

    Cypher Learning hat eine neue Studie über die Schulung von Mitarbeitenden zur Einhaltung von Vorschriften, Richtlinien und Verfahren am Arbeitsplatz veröffentlicht: The True Cost of Rule Breakers in Workplace Compliance. Die Studie belegt, dass die Nichteinhaltung von Vorschriften Unternehmen im Durchschnitt 1,5 Millionen Euro pro Jahr kostet.

  • Digitale Angebote ermöglichen mehr Transparenz

    Verbraucherinnen und Verbraucher fühlen sich überwiegend online gut informiert und fair behandelt. Zugleich sieht eine Mehrheit keine Notwendigkeit für zusätzliche Vorgaben zum Verbraucherschutz im Internet. Das sind Ergebnisse einer Befragung von 1.013 Internetnutzerinnen und -nutzern ab 16 Jahren, die der Digitalverband Bitkom vorgestellt hat.

  • Geschäftliche & wirtschaftliche Disruption

    Eine neue Studie zeigt, dass fast 40 Prozent der CFOs weltweit und 30 Prozent der CFOs in Deutschland kein volles Vertrauen in die Richtigkeit der Finanzdaten ihres Unternehmens haben - eine Herausforderung für die strategische Entscheidungsfindung in einer Zeit, in der globale Führungskräfte mit einer Vielzahl von externen Herausforderungen konfrontiert sind.

  • Kampf gegen Korruption

    Transparency International hat den Korruptionswahrnehmungsindex 2023 (Corruption Perceptions Index, CPI) veröffentlicht. Der jährlich erscheinende Index ist der weltweit bekannteste Korruptionsindikator. Er umfasst 180 Staaten und Gebiete und bewertet den Grad der in Politik und Verwaltung wahrgenommenen Korruption. Der Meta-Index beruht auf der Einschätzung von Experten sowie Führungskräften.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen