Datenschutzgesetze machen Datenpannen teuer


Internationale Vergleichsstudie zu den Kosten von Datenmissbrauchsfällen
Gesetzesregelungen haben signifikante Auswirkungen auf die Schadenshöhe

(10.05.10) - Das auf die Technologiethemen Datenschutz und Informationsmanagement spezialisierte Marktanalyseunternehmen Ponemon Institute hat erstmals eine internationale Vergleichsstudie zu den Kosten von Datenmissbrauchsfällen durchgeführt. Die "2009 Annual Study: Global Cost of a Data Breach" erfasst die Auswirkungen von mehr als einhundert realen Fällen von Datenmissbrauch aus dem Jahr 2009. Unterstützt wurde diese Studie, an der 133 Unternehmen und Organisationen 18 unterschiedlicher Branchen aus den fünf Ländern Australien, Frankreich, Großbritannien, Deutschland und USA teilnahmen, von der PGP Corporation.

Die Untersuchung ergab international eine durchschnittliche Gesamtkostensumme von 3,43 Millionen US-Dollar für jeden einzelnen Fall von Datenmissbrauch; der Schaden lag damit im Schnitt bei 142 US-Dollar pro betroffenen Datensatz. Dabei ergaben sich deutliche Unterschiede zwischen den Ergebnissen für die einzelnen Länder - während beispielsweise in Großbritannien lediglich Kosten in Höhe von 98 US-Dollar pro kompromittierten Datensatz anfielen, lag dieser Wert in den USA bei 204 US-Dollar.

Als durchschnittliche Kosten eines Falles von Datenmissbrauch konnten für die an der Studie beteiligten Länder folgende Werte ermittelt werden:

Bild: PGP


Gesetzliche Vorgaben erhöhen die Kosten bei Datenpannen signifikant
Die Studie zeigt, dass die durch Datenpannen entstandenen Kosten in Ländern mit einer gesetzlich verankerten Veröffentlichungspflicht bei Datenmissbrauchsfällen signifikant höher sind als in Ländern ohne solche Gesetze. So lagen die Kosten pro betroffenen Datensatz beispielsweise in den USA, wo mittlerweile 46 der 50 Bundesstaaten eine Veröffentlichungspflicht eingeführt haben, um 43 Prozent über dem globalen Durchschnittswert. Die zweithöchsten Kosten entstanden in Deutschland, wo adäquate Gesetze seit Juli 2009 gelten; hier lag der Durchschnitt 25 Prozent über dem internationalen Vergleichswert. Dagegen wiesen die Länder Australien, Frankreich und Großbritannien, in denen die Veröffentlichungspflicht bei Datenpannen gesetzlich noch nicht festgeschrieben ist, im internationalen Vergleich unterdurchschnittliche Kosten pro kompromittierten Datensatz auf.

"Eine zentrale Schlussfolgerung aus den Ergebnissen dieser Studie ist, dass regulative Vorschriften deutlichste Auswirkungen auf die Höhe der Kosten von Datenpannen haben", so Dr. Larry Ponemon, Vorsitzender und Gründer des Ponemon Institutes. "Die Situation in den USA belegt dies und es ist klar, dass die Kosten auch in den anderen Ländern der Welt steigen werden, wenn dort eine Veröffentlichungspflicht bei Datenmissbrauchsfällen gesetzlich verankert wird."

In Großbritannien, wo bislang lediglich der öffentliche Dienst und Finanzorganisationen mit gesetzlichen Auflagen bei Datenmissbrauchsfällen konfrontiert sind, liegen die Kosten 45 Prozent unterhalb des globalen Durchschnitts und damit bei weniger als der Hälfte dessen, was US-Unternehmen im Schadensfall pro Datensatz durchschnittlich aufwenden müssen.

"Es kann kaum überraschen, dass die finanziellen Folgen einer Datenpanne in den USA, wo die Datenschutzgesetze nicht nur streng, sondern auch ausgereift sind, am schwersten wiegen. Wundern darf man sich dagegen über das relativ niedrige Kostenniveau in Großbritannien", so der Kommentar von Jonathan Armstrong, ein auf den Bereich Technologie spezialisierter Anwalt der international renommierten Anwaltskanzlei Duane Morris. "Es wird interessant sein, zu sehen, wie steil die Kosten in Großbritannien zukünftig ansteigen werden, wenn die dortige Datenschutzbehörde - das U.K. Information Commissioner's Office - ihre Vorgaben für den Datenschutz einschließlich der avisierten hohen Geldstrafen bei Verstößen für alle Unternehmen konsequent umsetzt."

Umsatzeinbußen durch Vertrauensverluste verursachen den Großteil der Kosten
Mit einem Anteil von rund 44 Prozent an den durch Fälle von Datenmissbrauch verursachten Kosten bilden die entgangenen Umsätze den Hauptposten in der Schadensbilanz der betroffenen Unternehmen. Dies zeigt die Sensibilisierung der Verbraucher beim Thema Datenschutz auf und belegt die Auswirkungen der durch Datenpannen verursachten Imageverluste von Unternehmen bei der Bemühung um neue Kunden. Im Ländervergleich zeigten sich dabei deutliche Unterschiede - am stärksten betroffen waren US-amerikanische Unternehmen, bei denen entgangene Umsätze durchschnittlich 66 Prozent der Gesamtkosten eines Datenmissbrauchsfalls ausmachten.

Bild: PGP


"Unabhängig vom Standort eines Unternehmens leidet sein Ruf, wenn bekannt wird, dass es fahrlässig mit vertraulichen Daten umgeht", so Phillip Dunkelberger, President und CEO der PGP Corporation. "Daten sind ein wichtiges Kapital, das geschützt werden muss. Immer mehr Länder verabschieden verschärfte Datenschutzvorschriften und Gesetze, die Unternehmen eine Veröffentlichungspflicht im Falle einer Datenpanne auferlegen. Denn sie haben erkannt, dass Kunden das Vertrauen in Unternehmen verlieren und abwandern, wenn es zu einer Datenpanne kommt."

Datenschutzgesetze beeinflussen die Kosten für die Aufdeckung und Aufarbeitung von Datenpannen maßgeblich
Die durch die Aufdeckung und Aufarbeitung verursachten Kosten im Falle eines Datenmissbrauchs lagen in Deutschland mit 52 US-Dollar pro betroffenen Datensatz am höchsten, was die Aufwendungen der Unternehmen und Organisationen in neue Sicherheitstechnologien und -prozesse aufgrund der erfolgten Novellierung der Datenschutzgesetze reflektiert.

In den USA, wo entsprechende Gesetze bereits seit 2005 gelten, nahmen die Kosten dagegen in den letzten Jahren ab und lagen 2009 bei 8 US-Dollar pro betroffenen Datensatz. Dies legt nahe, dass US-amerikanische Unternehmen die Zeit genutzt haben, effizientere Erkennungs- und Aufarbeitungsprozesse zu etablieren. Es ist davon auszugehen, dass sich die Kosten auch in den anderen Ländern reduzieren werden, wenn die initialen Aktivitäten zur Einhaltung verschärfter gesetzlicher und branchenspezifischer Regelungen absolviert und die entsprechenden Prozesse auf die Arbeitsabläufe besser abgestimmt wurden.

Bild: PGP


Mehr Kosten durch Pannen mit externer Beteiligung oder kriminellem Hintergrund
Wenn externe Partner oder Dienstleister für einen Datenmissbrauchsfall verantwortlich waren, stieg in allen fünf Ländern die Schadenshöhe aufgrund der für die Aufklärung notwendigen zusätzlichen Forensik- und Ermittlungskosten. Dabei zeigte es sich, dass die Steigerungsrate bei der Beteiligung Dritter in den einzelnen Ländern höchst unterschiedlich war - am niedrigsten in den USA mit 12 Prozent und am höchsten in Frankreich mit 116 Prozent.

Bild: PGP


Fälle von Datenverlust, resultierend aus bösartigen oder kriminellen Aktivitäten, verursachen ebenfalls höhere Kosten als der Durchschnitt, wobei französische Unternehmen die größten negativen Auswirkungen erfahren mussten. Der Anteil der Fälle von Datenmissbrauch ausgehend von böswilligen oder kriminellen Attacken nahm in allen Ländern zu und liegt im Bereich zwischen 24 und 54 Prozent der Gesamtfälle. Dies lässt die Schlussfolgerungen zu, dass IT-Organisationen mehr in geeignete proaktive Schutzmaßnahmen investieren sollten, um insgesamt die Kosten zu reduzieren.

Bild: PGP


Klare Kompetenzzuordnung reduziert Kosten von Datenpannen
In Fällen, in denen die Verantwortung für die Datensicherheit und die Abwicklung der Schadensbehebung klar an einen Datenschutzbeauftragten oder an ein Mitglied der Unternehmensleitung mit adäquater Funktion delegiert war, konnten Unternehmen oder Organisationen in allen fünf Ländern die durch Datenpannen entstehenden Kosten reduzieren. Allerdings verzichtet der Großteil der untersuchten Unternehmen bislang auf eine derartige Position innerhalb der Geschäftsführung oder auf die klare Zuordnung der Verantwortlichkeiten.

Bild: 6


"Mit der Tatsache, dass die Kosten im Falle eines Datenmissbrauchs unabhängig vom Standort des Unternehmens und der einzuhaltenden Gesetze dann sinken, wenn die Verantwortlichkeiten klar an ein Mitglied der Unternehmensleitung delegiert sind, zeigt diese Studie einen positiven Aspekt auf", so Dunkelberger weiter. "Unternehmen sind also gut beraten, solch eine Position möglichst umgehend in ihren Führungsreihen zu etablieren." (PGP: ra)

PGP: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Studien

  • Detaillierte Einblicke in die Gehaltsstrukturen

    APSCo (Association of Professional Staffing Companies) Deutschland veröffentlicht den ersten umfassenden Gehaltscheck für die Staffing-Branche und schafft damit eine wichtige Grundlage für mehr Gehaltstransparenz. Die Ergebnisse unterstützen Staffing-Unternehmen in ihrer Vorbereitung auf die bevorstehenden Anforderungen der EU-Richtlinie zur Gehaltstransparenz, die ab 2026 verpflichtend wird.

  • Gute Bedingungen für GenAI-Anwendungen

    Ein Großteil der weltweiten KI-Investitionen fließt in den Finanzsektor. 2023 wurden in der Branche 87 Milliarden US-Dollar in KI investiert - deutlich mehr als im Gesundheitswesen (76 Milliarden) oder in der Telekommunikations- und Medienbranche (75 Milliarden).

  • 9 Prozent der Unternehmen nutzen generative KI

    Die deutsche Wirtschaft nimmt bei Künstlicher Intelligenz Fahrt auf. Erstmals beschäftigt sich mehr als die Hälfte (57 Prozent) der Unternehmen mit KI. Jedes fünfte Unternehmen (20 Prozent) nutzt bereits KI. Vor einem Jahr waren es erst 15 Prozent, 2022 nur 9 Prozent. Mehr als jedes Dritte (37 Prozent) plant oder diskutiert derzeit den KI-Einsatz, nach 28 Prozent 2023 und 25 Prozent 2022.

  • Studie zu Lieferkettengesetzen

    Für neun von zehn Unternehmen in Deutschland ist Personalmangel die größte Hürde bei der Umsetzung des Lieferkettensorgfaltspflichtengesetzes (LkSG). Das zeigt eine neue Studie der EQS Group in Zusammenarbeit mit der Hochschule für angewandte Wissenschaften Ansbach. Während Unternehmen in ihrem eigenen Geschäftsbereich nur ein geringes Risiko für LkSG-Verstöße sehen, schätzen sie dieses bei ihren mittelbaren Lieferanten deutlich höher ein.

  • Unternehmen evaluieren Krisenmanagementpläne

    Das Business Continuity Institute (BCI) hat seinen aktuellen Crisis Management Report 2024 veröffentlicht. Untersucht wurde der globalen Status des Krisenmanagements im vergangenen Jahr. Der von F24 gesponserte Report stützt sich auf Umfragen und strukturierte Interviews mit leitenden Resilienz-Experten und ermöglicht dadurch detaillierte Einblicke in den aktuellen Stand des Krisenmanagements.

Compliance-Maßnahmen in Unternehmen Kaum ein Thema: Datenschutz in Unternehmen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen