- Anzeigen -

Sie sind hier: Home » Markt » Hintergrund

Immer wichtig: Verschlüsselung vertraulicher Daten


Non-Compliance beim Datenschutz kann teuer werden: Datenschutzverstöße verursachen für Unternehmen Kosten in Millionenhöhe
Allein die durchschnittlichen Rechtsverteidigungskosten eines Unternehmens für einen Datenschutzverstoß können bei 500.000 Euro angesiedelt werden


(10.05.12) - Ein verlorener Laptop stellt ebenso wie ein abhandengekommener USB-Stick oder ein Hacker-Angriff einen Datenschutzverstoß dar. Ein erfolgreicher Datenschutzvorfall bringt enorme finanzielle Risiken mit sich: für das Unternehmen, die Betroffenen, aber auch für Lieferanten und Kunden.

Neben dem allgemeinen Schaden, der aus der Haftung für unzureichende Datensicherheit entsteht, können Kosten für die Ursachenidentifizierung durch Computerforensiker, Rechtsanwaltskosten für Gerichtsverfahren und nicht zuletzt Ausgaben für die Information aller Beteiligten entstehen. Weitere Aufwendungen fallen für die Einrichtung eines Call Centers und für PR-Experten an, die zur Begrenzung der nachteiligen Auswirkungen auf den Unternehmensruf beauftragt werden müssen.

Laut Jens Krickhahn, Manager für den Bereich Technology, Media & Telecommunication beim Spezialversicherer Hiscox, liegen allein die Kosten einer gerichtsverwertbaren Identifikation personenbezogener Daten für einen abhandengekommenen Laptop (Stichwort: IT-Forensik) zwischen 10.000 und 35.000 Euro. "Die durchschnittlichen Rechtsverteidigungskosten eines Unternehmens für einen Datenschutzverstoß können bei 500.000 Euro angesiedelt werden. Mit rund einer Million schlagen die durchschnittlichen Ansprüche von Dritten nach einem Datenschutzverstoß zu Buche – um nur einige Zahlen zu nennen", so Krickhahn.

Hiscox-Schadenbeispiel
Ein mittelständischer Online-Versandhändler wurde Opfer eines Datendiebstahls. Über mehrere Monate war es Hackern möglich, sich einen illegalen Zugang zu dem streng gesicherten Online-Abrechnungssystem (Payment Processing Tool) zu verschaffen. In diesem Zeitraum kopierten die Täter sensible Daten von mehr als 2 Millionen Kunden.

>> Kriminaltechnische Ermittlungskosten: 150.000 Euro
>> Kosten für juristische Dienstleistungen und Rechtsberatung: 525.000 Euro
>> Mitteilung des Datenverlusts: 470.000 Euro
>> Medien- und PR-Kosten: 253.000 Euro
>> Kosten für das Ausfindigmachen von Zahlungsvorgängen: 120.000 Euro
>> Forderungen der Zahlungskartenindustrie: 980.000 Euro
>> Einnahmeverlust aufgrund der Schließung der Website: 1.500.000 Euro
Gesamtkosten: 3.998.000 Euro

Welche präventiven Maßnahmen gibt es für Unternehmen?
Erfahrungen des Spezialversicherers Hiscox zeigen, dass viele Unternehmen die Sicherheit ihrer (Daten-)Systeme überschätzen. "Zahlreiche Unternehmen denken, dass ihre Systeme bereits sicher seien, wenn sie ein Antivirenprogramm installiert haben und der Zugang zu vertraulichen Daten über – häufig nicht allzu komplizierte – Passwörter reguliert wird. Für einen Profi sind solche Sicherheitsvorkehrungen allerdings keine Herausforderung. Für einen geübten Hacker ist das Umgehen solch begrenzter Sicherheitsmechanismen ein Kinderspiel. Der größte Schaden besteht im Verlust von Daten durch Eingriffe Dritter. Wir als Versicherer empfehlen nicht umsonst die Verschlüsselung vertraulicher Daten und die Beschränkung des Zugangs zu den Daten auf einen eng umgrenzten Personenkreis", sagt Krickhahn.

Krickhahn betont daher, dass es sinnvoll sei, wenn Unternehmen ihre Datenschutzvorkehrungen auf Funktionalität und Verlässlichkeit prüfen. "Insbesondere sollte ein Maßnahmenplan zur Reaktion auf Datenschutzverletzungen abgestimmt sein. Hierbei handelt es sich um eine Art Notfallplan, der Unternehmen hilft, nach einem erfolgreichen Hacker-Angriff Sofortmaßnahmen ergreifen zu können", so der Experte. Auf der anderen Seite sollten sich Unternehmen durch eine Versicherung, die Datenschutzverletzungen abdeckt, gegen die Risiken finanzieller Verluste absichern, nicht zuletzt wegen des Haftungsrisikos. "Unternehmen sollten sich bewusst sein, dass die Kosten für den Diebstahl, den Verlust oder die missbräuchliche Verwendung vertraulicher Kunden- und Zahlungsverkehrsdaten im Haftungsfall leicht den sechsstelligen Bereich erreichen können", so Franka Barsch, Leiterin der Schadenabteilung bei Hiscox. (Hiscox: ra)

Hiscox: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Europäische Kommission

  • Notwendigkeit anonymisierter Daten

    Smartphone-Apps könnten im Kampf gegen Covid-19 helfen. Gemeinsam mit den Mitgliedstaaten arbeitet die EU deshalb an der Entwicklung wirksamer Lösungen. Das Parlament betont, dass die Apps sorgfältig konzipiert sein müssten, da sie sonst sensible Nutzerdaten offenlegen könnten. Die Kommission hat ein gemeinsames EU-Konzept für die Nutzung von Mobil-Apps zur Kontaktnachverfolgung, mit denen Menschen gewarnt werden sollen, wenn sie mit einer infizierten Person in Berührung gekommen sind, vorgelegt. In einer Entschließung vom 17. April und einer Plenardebatte am 15. Mai betonten die Abgeordneten, dass alle gegen die Pandemie eingesetzten digitalen Maßnahmen in vollem Umfang den Rechtsvorschriften zum Datenschutz und zum Schutz der Privatsphäre entsprechen müssten. Die Verwendung von Apps dürfe nicht verpflichtend sein. Diese sollten auch Verfallsklauseln beinhalten, sodass sie deaktiviert werden, sobald die Pandemie vorbei ist.

  • Was ist eine Kontaktnachverfolgungs- und Warn-App?

    Eine Kontaktnachverfolgungs- und Warn-App wird freiwillig installiert und dient dazu, die Nutzer zu warnen, wenn sie sich während einer bestimmten Zeit in der Nähe einer Person befanden, für die ein positives Testergebnis für COVID-19 gemeldet wurde. Im Falle einer Warnmeldung kann die App relevante Informationen der Gesundheitsbehörden bereitstellen, z. B. den Hinweis, dass die/der Betroffene sich testen lassen oder sich selbst isolieren sollte, und Ansprechpartner nennen. Die Kontaktnachverfolgung ist neben Tests und Selbstisolierung eine wesentliche Maßnahme, um die Pandemie unter Kontrolle zu bringen. Die Kontaktnachverfolgung über Mobil-Apps wird die herkömmliche Nachverfolgung ergänzen, die von den Gesundheitsbehörden analog durchgeführt wird, wenn sie Patienten mit Symptomen üblicherweise über das Telefon befragen, um nachzuvollziehen, mit wem sie in den letzten 48 Stunden in Kontakt gekommen sind.

  • Versorgung der Krankenhäuser mit Arzneimitteln

    Die Europäische Kommission hat eine Mitteilung über einen Befristeten Rahmen für die Prüfung kartellrechtlicher Fragen veröffentlicht. Konkret geht es dabei um die Zusammenarbeit von Unternehmen in Notsituationen, die durch die Coronavirus-Pandemie verursacht wurden. In diesem Zusammenhang hat sie auch eine Bescheinigung ("Comfort Letter") für ein konkretes Kooperationsvorhaben erstellt, mit dem Engpässe bei der Versorgung der Krankenhäuser mit wichtigen Arzneimitteln vermieden werden sollen. Die für Wettbewerbspolitik zuständige Exekutiv-Vizepräsidentin der Kommission Margrethe Vestager erklärte dazu: "Wir müssen eine ausreichende Versorgung der Krankenhäuser mit Arzneimitteln, die für die Behandlung von Coronaviruspatienten wichtig sind, sicherstellen. Um Engpässe bei unentbehrlichen, knappen Waren und Dienstleistungen zu vermeiden, die aufgrund des beispiellosen Anstiegs der Nachfrage infolge der Pandemie drohen, ist die Zusammenarbeit von Unternehmen im Einklang mit den europäischen Wettbewerbsregeln erforderlich.

  • Bundesregelung Kleinbeihilfen 2020

    Die Europäische Kommission hat festgestellt, dass die Änderungen an zwei deutschen Beihilferegelungen zur Unterstützung von Unternehmen, die von dem Ausbruch des Coronavirus betroffen sind ("Bundesregelung Kleinbeihilfen 2020" und "Bundesregelung Darlehen 2020"), mit den EU-Beihilfevorschriften im Einklang stehen. Die Äderungsregelungen wurden auf der Grundlage des am 19. März 2020 von der Kommission erlassenen Befristeten Rahmens in der am 3. April 2020 geänderten Fassung genehmigt. Die für Wettbewerbspolitik zuständige Exekutiv-Vizepräsidentin der Kommission Margrethe Vestager erklärte dazu: "Die auf der Neufassung unseres Befristeten Rahmens fußenden Änderungen an zwei zuvor genehmigten deutschen Regelungen werden Deutschland weitere Möglichkeiten eröffnen, von dem Ausbruch des Coronavirus betroffene Unternehmen zu unterstützen. Die Änderungen werden von Unternehmen die Überwindung von Liquiditätsengpässen weiter erleichtern, beispielsweise durch Darlehen von bis zu 800-000 EUR je Unternehmen. Wir werden weiterhin in enger Zusammenarbeit mit den Mitgliedstaaten gewährleisten, dass nationale Unterstützungsmaßnahmen wirksam und abgestimmt im Einklang mit den EU-Vorschriften eingeführt werden können."

  • Bewältigung der wirtschaftlichen Auswirkungen

    Die Europäische Kommission hat Leitlinien zum Datenschutz im Zusammenhang mit der Entwicklung neuer Apps zur Unterstützung der Bekämpfung des Coronavirus veröffentlicht. Die Entwicklung solcher Apps und ihre Nutzung durch die Bürger können einen erheblichen Beitrag zur Eindämmung des Virus leisten und somit, in Ergänzung zu anderen Maßnahmen wie der Erhöhung der Testkapazitäten, eine wichtige Rolle im Hinblick auf die Strategie zur Lockerung der Ausgangsbeschränkungen spielen. Es muss jedoch sichergestellt werden, dass die Bürgerinnen und Bürger der EU solchen innovativen digitalen Lösungen uneingeschränkt vertrauen und sie ohne Bedenken verwenden können. Das Potenzial von Apps zur Kontaktnachverfolgung kann nur dann voll ausgeschöpft werden, wenn sie von einem Großteil der Bürgerinnen und Bürger genutzt werden. Die EU-Vorschriften, insbesondere die Datenschutz-Grundverordnung (DSGVO) und die e-Datenschutzrichtlinie, bieten die besten Garantien für Vertrauenswürdigkeit (freiwillige Verwendung, Datenminimierung und Befristung), auf deren Grundlage solche Apps umfassend und zweckmäßig verwendet werden können. Mit den neuen Leitlinien soll der erforderliche Rahmen geschaffen werden, um sicherzustellen, dass die personenbezogenen Daten der betroffenen Bürger bei Verwendung solcher Apps hinreichend geschützt werden und der Eingriff in ihre Privatsphäre beschränkt bleibt. Zu dem Leitlinienentwurf wurde eine Stellungnahme des Europäischen Datenschutzausschusses eingeholt. Durch die Erfüllung dieser Standards können die volle Wirksamkeit und Einhaltung der Vorschriften auch in Krisenzeiten gewährleistet werden.