Datenschutzverletzungen mit einem genauen Preisschild zu versehen ist keine ganz triviale Aufgabe. Es wurden schon einige Berichte veröffentlicht, in denen versucht wurde, die durchschnittlichen Kosten einer Datenschutzverletzung zu berechnen. Aber inwieweit sind diese Zahlen aussagekräftig und geben uns Aufschluss für ein einzelnes Unternehmen?
Sicherheitsvorfälle sind heute für jedes Unternehmen so gut wie unausweichlich. Deshalb verwenden Sicherheitsexperten solche Kennzahlen gerne als Unterstützung bei der Entscheidungsfindung.
Man muss eine ungefähre Vorstellung davon haben, was eine potenzielle Datenschutzverletzung kosten kann, um in etwa einschätzen zu können wie viel man ausgeben muss, um sie zu verhindern. Und nicht zuletzt, um die Ausgaben auf der Geschäftsleitungsebene oder der Vorstandsetage zu rechtfertigen.
Sich allein auf solche Kennzahlen zu verlassen halte ich allerdings für einen Fehler. Die Kosten für eine mögliche Datenschutzverletzung kann man nur berechnen, wenn man die individuellen Umstände eines Unternehmens berücksichtigt. Es ist offensichtlich, dass diese Kosten für ein multinationales Finanzinstitut anders ausfallen als für eine Gemeindebibliothek. Eine Risikobewertung der unternehmensspezifischen Situation, hilft Führungskräften, fundierte Entscheidungen zu treffen.
Die tatsächlichen Kosten einer Datenschutzverletzung berechnen
Stellen Sie sich als Analogie eine Erhebung zum durchschnittlich weltweit entstehenden Sachschaden vor, der durch einen Einbruch entsteht, wenn Sie in eine Alarmanlageinvestieren wollen.
Dazu existiert mit ziemlicher Sicherheit eine Zahl. Nur gibt uns diese nicht unbedingt Informationen über die Kriminalitätsrate in der Nachbarschaft. Die Zahl kann auch nicht berücksichtigen, ob Sie gerade teure Wertsachen angeschafft haben, ebenso wenig wie sie regionale Besonderheiten abbildet. Die solchen Erhebungen zugrunde liegenden Zahlen, sehen zwar interessant aus, sind aber für den konkreten Einzelfall nichtssagend. Sie taugen als wissenschaftliche Grundlage, aber für alltägliche Sicherheitsentscheidungen helfen sie wenig. Ungleich nützlicher als ein globaler Durchschnittswert wäre ein Instrument mit dem Sicherheitsfachleute und
Entscheidungsträger ermitteln könnten, was eine Datenschutzverletzung für ihr Unternehmen bedeuten könnte.
Hier hilft eine konkrete Risikobewertung. Die berücksichtigt bei der Einschätzung der Kosten für eine mögliche Datenschutzverletzung die Kunden und Daten genau dieses Unternehmens und die damit verbundenen Prozesse und Aktivitäten. Die Auswirkungen abzuschätzen ist allerdings nur die halbe Miete bei einer Risikobewertung. Die andere Hälfte dient dazu, die Wahrscheinlichkeit einzuschätzen mit der eine Datenschutzverletzung tatsächlich passiert.
Es lohnt sich, einen genaueren Blick auf einige Bereiche zu werfen, wenn man die Kosten realistisch einschätzen will:
Technologie
Nach einer Datenschutzverletzung muss ein Unternehmen wahrscheinlich zumindest einige der betroffenen IT-Systeme neu aufbauen und die Integrität der Daten verifizieren. In einer Bewertung sollten die damit verbundenen Kosten berechnet werden, wie die Hardware-Miete, der Arbeitsaufwand, Zeit und Material sowie die Umsatzausfälle, wenn das kompromittierte System offline genommen werden muss.
Kommunikation der Kosten einer Datenschutzverletzung
Man sollte berücksichtigen, welche Konsequenzen es hat, dem Kunden eine Datenschutzverletzung offenzulegen, und wie sich das in Bezug auf Manpower und praktische Ressourcen auswirkt. Etwa bei der Bearbeitung eingehender Anfragen und Kosten für zusätzliche Anrufe beim technischen Support. Kann das Unternehmen jeden zehnten – oder sogar jeden fünften – Kundenanruf bearbeiten? Das würde darauf hinauslaufen, die Anzahl der Kundenbetreuer zwischenzeitlich zu erhöhen, was sich auf die Personalkosten auswirkt.
Rechtliche Anforderungen
Ist das Unternehmen gesetzlich verpflichtet, seine Kunden zu benachrichtigen, und wie genau soll das passieren? Per E-Mail, Telefon oder sogar per Einschreiben? Was kostet das an Zeit und zusätzlicher Arbeit? Führt die Datenschutzverletzung zu einem finanziellen Schaden für die Kunden, kann das Unternehmen verpflichtet sein, die betroffenen Kunden zu entschädigen. Aus rechtlicher Sicht sollten Sie Gesetze, die eine persönliche Haftung vorschreiben, oder den Prozentsatz der Kunden, die im Falle einer Datenschutzverletzung wahrscheinlich klagen werden sowie die Kosten für eine anwaltliche Betreuung und mögliche Schadensersatzforderungen berücksichtigen.