Information Security Management System
In Schutz investieren oder Bußgeld riskieren?
Fortsetzung des Artikels von Teil 1
Hohe Bußgelder sollen abschrecken
Kommt es zu einer Datenpanne, sieht die EU-DSGVO im Vergleich zum bisherigen Bundesdatenschutzgesetz deutlich härtere Sanktionen vor: von bis zu 20 Millionen Euro ist die Rede oder zwei beziehungsweise vier Prozent des Jahresumsatzes – je nachdem welche Strafe für das Unternehmen schmerzlicher ist. Die hohen Bußgelder sollen laut Gesetzestext der EU-DSGVO „abschreckend“ (Artikel 83, EU-DSGVO) wirken. Mit Erfolg: Eine Umfrage der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) von Dezember 2017 zeigt: 61 Prozent der Teilnehmer gehen davon aus, dass die EU-DSGVO aufgrund dieser drohenden, hohen Strafen eher befolgt wird, als das Bundesdatenschutzgesetz bisher. Dennoch läuft vielen die Zeit davon. Experten befürchten zusätzlich eine Abmahnwelle gegen Unternehmen, denen eine Umsetzung der EU-DSGVO bis zum Stichtag im Mai nicht gelingt.
Mit der EU-DSGVO verändern sich gleichzeitig die Vorschriften der Meldepflicht: Nicht nur der Ernstfall wird innerhalb von 72 Stunden meldepflichtig, sondern auch der Umstand, dass die Gegebenheiten bereits eine Datenpanne zulassen – unabhängig ob diese eingetreten ist oder nicht. Dafür gilt es, angemessene Strukturen und Prozesse zu etablieren, um Verstöße fristgerecht an die Aufsichtsbehörden zu melden. Prinzipiell sollte es im Eigeninteresse der Unternehmen liegen, die Daten und ihre IT-Landschaft entsprechend abzusichern – und dafür die notwendigen Investitionen aufzubringen. Durch die strengeren Meldepflichten werden Sicherheitslücken voraussichtlich viel schneller öffentlich. Die Folgen wären in der Relation sehr wahrscheinlich schädigender und kostspieliger als der Invest in ein EU-DSGVO-konformes Sicherheitskonzept. Bei einer Datenpanne beginnen die finanziellen Konsequenzen bei Bußgeldern und gehen über Schmerzensgeldforderungen von Privatpersonen bis hin zu Vertragsstrafen, wenn ein Datendiebstahl stattgefunden hat. Dieser kann zusätzlich die eigene Business Continuity gefährden. Nicht zu vergessen der Verlust von Image und Kundenvertrauen, der sich unter Umständen langfristig negativ auf die Geschäfte auswirkt. Solche Werte sind zwar schwer zu beziffern, aber einen Eindruck gibt das Beispiel Yahoo: Das Unternehmen sorgte in den letzten Jahren durch mehrere große Datenpannen für Aufsehen. Mehrere Hundert Millionen Nutzerkonten waren gehackt worden. Aufgrund dieser Enthüllungen sank der Unternehmenswert und letztlich die Verkaufssumme um schätzungsweise 350 Millionen Dollar. Das Ponemon Institut untersucht jährlich in seiner Studie „Cost of Data Breach“ die finanziellen Schäden für Datenpannen. Für 2017 ermittelte sie für Deutschland einen Wert von durchschnittlich 149 Euro pro verlorenem Datensatz. Eine vermeintlich kleine Zahl, die sich in Zeiten von datengetriebenen Geschäftsmodellen allerdings sehr schnell summiert.
Geld in die Hand nehmen
So oder so: Datenschutz kostet Geld. Für ihre wirtschaftliche Existenz ist es für Unternehmen allerdings ratsamer, dieses Geld in die notwendigen Maßnahmen und Technologien zum Datenschutz entsprechend der neuen EU-Verordnung zu investieren. Andernfalls machen sie sich angreifbar und die Rechnung für ihre Nachlässigkeit flattert mit dem nächsten Bußgeldbescheid ins Haus. Unternehmen sollten die EU-DSGVO nicht auf die leichte Schulter nehmen. Auch wenn eine fristgerechte Umsetzung kaum mehr möglich erscheint, gilt es, diese über den Stichtag hinaus trotzdem anzuvisieren. Unternehmen profitieren insgesamt von einem höheren Sicherheitsniveau und schützen damit aktiv zentrale Unternehmenswerte.
André Neumann ist Director Supplier Management & Data Privacy bei Nexinto
- In Schutz investieren oder Bußgeld riskieren?
- Hohe Bußgelder sollen abschrecken
Lesen Sie mehr zum Thema
