Compliance-bezogene Kosten
Die seitens der Aufsichtsbehörden und Gerichte verhängten Bußgelder haben inzwischen auch in Deutschland gerade in den letzten Monaten deutlich angezogen. In einer Checkliste sollten die Compliance-bezogenen Kosten wie Geldbußen und deren Höhe im Worst-Case-Szenario berücksichtigt werden. Zur Erinnerung: Mit der Einführung der DSGVO (Datenschutz-Grundverordnung) im Jahr 2018 können Bußgelder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen. Berücksichtigen Sie auch Vertragsstrafen, die im Falle einer Datenschutzverletzung zu zahlen sind, z. B. an einen Geschäftspartner, Kunden, Verkäufer/ Lieferanten oder ein Kreditkartenunternehmen.
Aber es gibt Faktoren, die weit schwieriger zu prognostizieren sind wie etwa die Auswirkungen auf den kurzfristigen Aktienkurs eines Unternehmens: Welche finanziellen Auswirkungen hat ein plötzlicher Kursverfall? Was passiert, wenn die Datenschutzverletzung bei Gesprächen zu einer Fusion oder Übernahme passiert?
Je nachdem, wie ein Datenschutzvorfall kommuniziert wird, kann er durchaus nur marginale und vorübergehende Folgen haben, jedenfalls gemessen am Aktienkurs eines Unternehmens. In jedem Fall muss man genauer hinsehen. Ein Unternehmen kann hinsichtlich seiner Reputation oder Kompetenz, die es bei der Bewältigung des Vorfalls gezeigt hat, gestärkt aus einer solchen Krise hervorgehen. Trotzdem kann die Lektion kostspielig gewesen sein.
Von Sicherheitsbeauftragten und Geschäftsführern wird erwartet, dass sie ihre Entscheidungen mit der gebotenen Sorgfalt treffen. Eine detaillierte Analyse ist schwieriger und zeitaufwendiger als die bequeme Abkürzung zu nehmen und sich auf durchschnittliche globale Werte zu stützen. Besser fundierte Entscheidungen sind aber in der Regel auch tatsächlich bessere Entscheidungen. Nehmen Sie also globale Zahlen als Benchmark, aber nicht mehr als das.
Nutzen Sie eine Checkliste und stellen Sie sich diese oder ähnliche Fragen:
- Sind wir im Falle einer Datenschutzverletzung gesetzlich verpflichtet, unsere Kunden zu benachrichtigen? Wie machen wir das (E-Mail, Telefon, Post, Einschreiben)? Was kostet uns das an Zeit, Arbeit und Material?
- Wenn wir unsere Kunden benachrichtigen und jeder 10. den technischen Support anruft, müssen wir die Anzahl der Kundenbetreuer vorübergehend erhöhen? Was kostet das (z. B. Personalkosten, Überstunden usw.)? Was passiert, wenn sogar jeder 5. anruft? Was, wenn jeder 2. anruft?
- Wenn durch die Datenschutzverletzung ein finanzieller Schaden beim Kunden entsteht, ist das Unternehmen verpflichtet, den betreffenden Kunden zu entschädigen?
- Wenn wir es mit Kreditkarten zu tun haben und diese gekündigt werden müssen, was kostet die Kündigung beziehungsweise die Neuausgabe der Karten?
- Wie hoch sind unsere durchschnittlichen Kosten für die Akquise eines neuen Kunden? Wenn sich diese Zahl für das kommen Jahr um n-Prozent erhöht, was kostet es das Unternehmen?
- Wie hoch ist die aktuelle Abwanderungsrate? Wie viel kostet es das Unternehmen, wenn sie aufgrund des Datenschutzvorfalls um n-Prozent steigt?
- Sind wir bereit, betroffenen Kunden eine Entschädigung anzubieten? Wenn ja, in welcher Höhe?
- Wird im Falle eines Identitätsdiebstahls betroffenen Kunden eine Kreditüberwachung angeboten? Für wie lange? Mit welchen Kosten?
- Muss das Unternehmen damit rechnen seitens einer Aufsichtsbehörde mit einer Geldstrafe belegt zu werden? Wenn ja, wie hoch ist diese im schlimmsten Fall?
- Gibt es ein Gesetz, das die persönliche Haftung der Geschäftsführung vorschreibt? Ist mit einer Strafverfolgung zu rechnen?
- Gibt es eine Vertragsstrafe, die im Falle einer Datenschutzverletzung zu zahlen ist (z. B. an einen Geschäftspartner, Kunden, Verkäufer / Lieferanten oder ein Kreditkartenunternehmen usw.)? Wenn ja, an wen und in welcher Höhe?
- Müssen externe Forensik-Experten hinzugezogen werden, um bei der Untersuchung der Datenschutzverletzung zu helfen?
- Kann das Unternehmen während einer Nachuntersuchung oder laufender forensischer Analysen, seinen Betrieb wie gewohnt aufrechterhalten? Wie hoch sind die Umsatzeinbußen bei einem teilweisen oder kompletten Ausfall für einen bestimmten Zeitraum?
- Nach einer Datenschutzverletzung ist es normalerweise unvermeidlich, die betroffenen IT-Systeme (zumindest einen Teil von ihnen) neu aufzubauen und die Integrität der Daten zu verifizieren. Wie hoch sind die damit verbundenen Kosten (wie Hardware-Miete, Arbeitsaufwand, Zeit und Material sowie die Umsatzausfälle, wenn das kompromittierte System offline genommen werden muss usw.)
- Ist das Unternehmen auf externe anwaltliche Unterstützung angewiesen? Wie hoch sind die geschätzten Kosten?
- Müssen externe PR-/Kommunikationsexperten hinzugezogen werden, um den Schaden einzudämmen? Wie hoch sind die Kosten?
- Wie hoch ist der Prozentsatz an Kunden, die im Falle einer Datenschutzverletzung wahrscheinlich klagen werden? Wie hoch sind die geschätzten anwaltlichen Kosten, Gerichtskosten und wie hoch mögliche Schadensersatzforderungen?
- Wie wird sich die Datenschutzverletzung auf den kurzfristigen Aktienkurs des Unternehmens auswirken? Welche finanziellen Auswirkungen hat ein plötzlicher Kursverfall?
- Was passiert, wenn die Datenschutzverletzung während einer Fusion oder Übernahmeverhandlungen passiert?
- Bei Banken und Finanzdienstleistern: Was passiert, wenn das Vertrauen der Kunden grundlegend erodiert ist und es zu massenhaften Abhebungen kommt, welche Auswirkungen hat das auf die Liquidität des Unternehmens?
Zoltan Bakos, One Identity