Schwer kalkulierbare Kosten

Laut Anton Grashion, Senior Director Product Marketing EMEA beim Cyber-Security-Anbieter Cylance, gibt es „im Wesentlichen zwei Arten von Kosten, wenn es um die DSGVO geht: Zum einen die unumgänglichen Fixkosten und zum anderen die variablen Kosten“. Zu den Fixkosten gehören die Aufwendungen, die ein Unternehmen etwa für ein Audit seiner PII-Daten aufbringen muss. Die Abkürzung PII steht für Personally Identifiable Information beziehungsweise personenbezogene Daten. Zum Bereich der Fixkosten sind Grashion zufolge auch alle Arten von notwendig werdenden Assessments zu rechnen. Dazu zählen unter anderem der administrative und operationale Aufwand, der mit der Benennung und Etablierung eines Datenschutzbeauftragten verbunden ist, ebenso wie ein Berichtswesen, das sicherstellen soll, die individuellen Verbraucherrechtsanforderungen und Nachweispflichten zu gewährleisten. „Das sind Vorschriften, denen jede Firma Folge leisten muss“, so Grashion.

Bei den variablen Kosten sieht er dagegen eine regelrechte „Panikmache“. Bei ihnen handele es sich um diejenigen Aufwendungen, die entstehen können, wenn es zu einem sogenannten Datenschutzvorfall kommt, bei dem personenbezogene Daten betroffen sind. Als Beispiele für diese Art von Kosten nennt Grashion aber auch „Folgekosten durch entgangene Geschäfte, den entstandenen Ruf­schaden und natürlich die eigentlichen mit der Datenschutzverletzung assoziierten Strafen“. Regulierer und Regulierungsbehörden seien allerdings „sicherlich nicht dazu da, Firmen unnötig zu bestrafen, die Opfer einer Datenschutzverletzung geworden sind“.

Grashion ermahnt die Unternehmen aber nicht nur, alle nötigen Voraussetzungen für die DSGVO zu schaffen, sondern auch ihre Einhaltung zu überwachen. „Sie müssen die entsprechenden Berichte zur Verfügung stellen können“, betont der Cylance-Manager. Die Aufgabe der Regulierungsbehörden sei es, „den Forderungen der DSGVO Nachdruck zu verleihen“. Wie weit das dann konkret kontrolliert werden kann und wie weit es auch tatsächlich kontrolliert wird, sei aber noch unklar: „Wie sich das tatsächlich auswirkt, wenn die ersten Fälle in der Praxis auftreten, das ist eine ganz andere Sache.“ So genau weiß momentan also noch niemand, was nach dem Stichtag wirklich passiert.

Den IT-Abteilungen in Unternehmen rät Grashion: „Ganz platt gesprochen, verhindern Sie so weit als möglich, dass personenbezogene Daten von einer Datenschutzverletzung betroffen sind.“ Als Beispiel nennt er Bestimmungen der DSGVO, in denen es „um einige spezifische Reporting-Empfehlungen bei der Anzeigepflicht“ etwa von Ransomware gehe. Grashion weist darauf hin, dass es in Zukunft auch meldepflichtig sei, „wenn es einer Ransomware gelingt, personenbezogene Daten zu verschlüsseln“. Ebenso sei es meldepflichtig, wenn ein Unternehmen in diesem Fall „kein ausreichendes Backup gefahren“ habe.

Aber auch damit sei es noch nicht getan: „Selbst wenn Sie ein Backup haben, können die Regulierungsbehörden an dieser Stelle nachfassen“, so Grashion. Überprüft werde dann möglicherweise, „ob Sie ausreichende Datenschutzvorkehrungen getroffen haben, was insbesondere den Schutz vor Malware anbelangt“. Deswegen müssen eingesetzte Lösungen nachweislich einen ausreichenden Malware-Schutz bieten.