Ein heikles Thema für KMUs
- Was versteht man eigentlich unter einer Datenpanne?
- Warum können Sie Unternehmen gefährlich sein?
- Wie akut ist die Gefahr aktuell für KMUs in Deutschland?
- Wie lassen sich Datenpannen vermeiden, welche Vorkehrungen sind zu empfehlen?
Auch in kleinen und mittleren Unternehmen schreitet die Digitalisierung mit großen Schritten voran. Hierbei gibt es viel zu lernen, was bekanntermaßen mit dem Auftreten von Fehlern einhergeht. Leider gehört hierzu unter anderem der nicht ordnungsgemäße Umgang mit personenbezogenen Daten. So ist auch 2022 die Anzahl der in Deutschland an die Aufsichtsbehörden (gemäß Art. 33 DSGVO) gemeldeten Datenpannen wieder empfindlich hoch. Während die Zahl zwar das Rekordjahr 2021 (26 Tsd. Meldungen) nicht übertrifft, stieg sie doch im Vergleich zum Vorjahr wieder um 152 % auf über 21 Tsd. an.
Was ist unter einer Datenpanne zu verstehen?
Das DSGVO spricht von einer Datenpanne, wenn es zum Verlust, Diebstahl, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten gekommen ist, die „wahrscheinlich ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt“. Das kann zum Beispiel der Fall sein, wenn Kundendaten gestohlen werden, oder Mitarbeiter versehentlich Zugriff auf Daten haben, auf die sie nicht zugreifen sollten. Oft auftretende Fälle sind dabei so simpel wie vermeidbar: Falsch adressierte E-Mails, offen einsehbare Mailverteiler oder schlichter Verlust eines USB-Datenträgers ohne Passwortschutz. In erster Linie geht es hier darum, dass schützenswerte Informationen, deren Veröffentlichung oder Missbrauch für die betroffenen Personen sehr unangenehme Folgen haben kann, nun ungeschützt sind. Für diese Personen sowie für das Unternehmen, dessen Verantwortung es war, diesen Schutz sicherzustellen, kann dies fatale Auswirkungen haben.
Warum können Datenpannen für Unternehmen gefährlich sein?
Einerseits können sie das Vertrauen von Kunden und Geschäftspartnern in das Unternehmen beeinträchtigen was unmittelbar einen Rückgang der Umsätze zur Folge hat. Insbesondere, wenn es sich um personenbezogene Daten handelt, geraten Unternehmen schnell in den Verdacht, nicht ausreichend für den Schutz der Daten gesorgt zu haben. Das hat schnell negative Auswirkungen auf die Reputation, die wirtschaftliche Stabilität und die rechtliche Lage des Unternehmens. Auch der Verlust von Geschäftsgeheimnissen kann zu erheblichen Schäden führen, wenn zum Beispiel die Konkurrenz Zugriff auf sensible Informationen erhält.
Andererseits können Datenpannen auch rechtliche Konsequenzen haben. In Deutschland sind Unternehmen dazu verpflichtet, personenbezogene Daten zu schützen. Kommt es zu einer Datenpanne, kann das zu Bußgeldern oder sogar strafrechtlichen Konsequenzen führen.
Speziell dann, wenn mit einem Verstoß nicht ordnungsgemäß umgegangen wird (bspw. Meldung an Aufsichtsbehörden innerhalb 72h nach Kenntnis des Vorfalls). Auch Schadensersatzforderungen betroffener Personen und Unternehmen sind dann nicht selten.
Wie akut ist die Gefahr von Datenpannen aktuell für KMUs in Deutschland?
Laut dem Cyber Security Report 2021 des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist die Anzahl der gemeldeten Cyber-Angriffe auf Unternehmen in Deutschland in den letzten Jahren gestiegen. Insbesondere KMUs sind von Cyber-Angriffen betroffen. Oftmals sind sie nicht ausreichend geschützt, da sie nicht über die Ressourcen verfügen, um umfassende Sicherheitsmaßnahmen umzusetzen. Das macht sie zu einem beliebten Ziel für Cyber-Kriminelle.
Daneben besteht das Risiko der hausgemachten Fehler, das oft auf unzureichende Auseinandersetzung mit der DSGVO und dem Treffen erforderlicher Maßnahmen zusammenhängt. Schnell unterlaufen Fehler und Versäumnisse, die erhebliche finanzielle Folgen für die Unternehmen nach sich ziehen. Während geschäftliche Verluste durch Reputationsschäden oder Schadensersatz schwer zu beziffern sind, so vermittelt bereits die Vergabe von Busgeldern durch deutsche Datenschutzbehörden einen klaren Eindruck: So kam es im vergangenen Jahr erneut zu einem Anstieg von verhängten Bußgeldern an deutsche Unternehmen. Die Datenschutzbehörden mussten daher im Jahr 2022 über 450 Bußgelder in Höhe von mehr als 5,8 Mio. EUR verhängen. Dass es hier einen nicht unerheblichen Anteil nicht gemeldeter Vorfälle gibt, ist anzunehmen.
Wie lassen sich Datenpannen vermeiden, welche Vorkehrungen sind zu empfehlen?
Durch eine gute IT-Sicherheitsstrategie können KMUs das Risiko einer Datenpanne erheblich reduzieren und Ihre Existenz langfristig sichern. Dabei sollten Unternehmen in erster Linie auf Prävention setzen. Hierzu gehört zum Beispiel die Schulung von Mitarbeitern im Umgang mit sensiblen Daten. Auch der Einsatz von Verschlüsselungstechnologien und der Einsatz von Sicherheitssoftware und richtige Umgang mit Backups können dazu beitragen, Risiken effektiv zu managen. Eine weitere wichtige Maßnahme ist das regelmäßige Durchführen von Sicherheitsaudits. Dabei werden Schwachstellen im IT-System des Unternehmens aufgedeckt und können behoben werden, bevor es zu einem Angriff kommt.
Ebenso kann eine Cyberversicherung für Unternehmen in diesem Zusammenhang sehr wertvoll sein, da sie finanzielle Unterstützung vor den Auswirkungen einer Datenpanne bietet. Sie kann beispielsweise für die Kosten der Wiederherstellung von Daten und Systemen aufkommen. Auch eventuelle Forderungen im Rahmen eines Verstoßes gegen die DSGVO können von einer Cyberversicherung abgedeckt sein. Eine solche Versicherung kann daher eine wichtige Ergänzung zu den bereits genannten Sicherheitsmaßnahmen sein und sollte von KMUs in Betracht gezogen werden. Hierbei lohnt es sich, die verschiedenen Angebote von Versicherern miteinander vergleichen, um den idealen Tarif für das individuelle Risiko ausfindig machen. Die Experten von CyberDirekt stehen hierbei unterstützend zur Seite.
Wenn Sie hierzu Fragen haben oder Beratung wünschen ist Ihr Team der CyberDirekt gern an Ihrer Seite. Einen Termin können Sie einfach unter folgendem Link vereinbaren oder uns direkt telefonisch kontaktieren:
Terminkalender: Beratung vereinbaren
Telefon: 030 403 660 36
Website: CyberDirekt GmbH