Ein solches Datenleck kann aber auch den Mittelstand treffen. Laut PwC [3] hatten 60 Prozent der kleinen bis mittelständischen Unternehmen im Jahr 2013 eine Datenpanne erlebt. Diese sind aber nicht ausreichend auf die größten Informationsrisiken vorbereitet. Zum Thema Informationsrisiko führen PwC und der Informationsmanagement-Dienstleister Iron Mountain jährlich eine Studie [4] durch. Im letzten Jahr kam man zu dem Ergebnis, dass nur 45 Prozent der Unternehmen über eine Informationsrisiko-Strategie verfügen, während derselbe Prozentsatz an Befragten davon ausgeht, dass das Risiko von Datenpannen steigen wird.
Verlust von Bankdaten besonders kritisch
Die durchschnittlichen Kosten für eine Datenpanne betrugen in schweren Fällen zwischen 80.000 und 140.00 Euro pro Panne. Bei größeren Unternehmen stiegen die durchschnittlichen Kosten pro Panne auf bis zu 1,4 Millionen Euro [3]. Unbefugte Dritte erhalten durch einen solchen Vorfall Zugriff auf sensible Kundeninformationen wie etwa Bank- oder Kreditkartendaten. Einer Studie von Kaspersky Lab [5] zufolge stellt der Verlust von Bankdaten für sechs von zehn Verbrauchern den schlimmsten Datenverlust dar. Kommt es zu einem solchen Vorfall, ist der Kundensupport kleinerer Unternehmen aufgrund des Ansturms besorgter Kunden schnell lahmgelegt.
Wütende Kunden
Datenpannen schließen auch aber auch Fälle ein, bei denen die eigenen Mitarbeiter die Daten aus Fahrlässigkeit oder Frustration weitergeben. Es reicht bereits, wenn E-Mails an Bewerber in das CC anstatt des BCC-Feldes kopiert werden. In jedem Fall ist es unerheblich, ob die Daten digital oder in Papierform vorliegen. Der Effekt ist der gleiche: Wenn sensible Kundeninformationen verloren gehen, stellt dies einen Verstoß gegen den Datenschutz dar. Abgesehen von den Geldstrafen – der Entwurf zur neuen EU-Datenschutzverordnung sieht bis zu zwei Prozent des Jahresumsatzes bei einem Datenschutzverstoß vor [6] – leidet die Reputation einer Marke. Ein solcher Vorfall verbreitet sich heutzutage viral über Facebook und Co. Der Umsatz leidet schnell unter den Protesten der Social Community. Laut einer Studie des Branchenverbands BITKOM [7] verfügt fast die Hälfte (45 Prozent) der Unternehmen in der IT-Branche über keinen Krisenplan zur Kommunikation auf Facebook, um auf digitale Empörungswellen – so genannte ‚Shitstorms‘ - zu reagieren.
[1] http://www.heise.de/newsticker/meldung/Datenpanne-bei-Facebook-1894855.html
[2] http://www.spiegel.de/netzwelt/netzpolitik/vodafone-hacker-stehlen-daten-von-millionen-kunden-a-921790.html
[3] PwC Information Security Breaches Survey 2014: http://www.pwc.co.uk/audit-assurance/publications/2014-information-security-breaches-survey.jhtml
[4] http://www.ironmountain.de/risikomanagement/
[5] http://www.kaspersky.com/downloads/pdf/kaspersky_lab_consumer_survey_report_eng_final.pdf
[6] Entwurf zur Datenschutz-Grundverordnung (KOM/2012/011 endgültig), Artikel 78: http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52012PC0011&from=EN
[7] http://www.bitkom.org/de/themen/36444_73173.aspx
