Unterschätzte Prävention

HMDATA Datenschutz-Newsletter 12/2024, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Es gibt unterschiedliche Ansätze, um einen modernen, betriebswirtschaftlich orientierten und praxistauglichen Datenschutz zu betrachten.
Zum einen wären das die interessanten Fragestellungen aus dem Datenschutz, die bestehende Prozesse und Workflows in einem anderen Licht erscheinen lassen und somit unmittelbar zu Effizienz und Effektivität bei bisherigen Prozessen führen können. Wer optimierte Prozesse hat, bekommt den Datenschutz nebenher mit dazu, wer seine Prozesse aus Datenschutzsicht beleuchtet, erhält optimierte Prozesse – in jedem Fall betriebswirtschaftlich sinnvoll.
Ein weiterer Ansatz wäre, die gesetzlichen Compliance-Anforderungen zu erfüllen. Das mag im ersten Blick als nicht wertschöpfender Zusatzaufwand erscheinen, aus Sicht der Gesamtbilanz wird der Aufwand aber auch hier sicherlich neutralisiert, wenn man denn praxistauglich seine DSGVO-Dokumentation erstellt und pflegt.

There's glory in prevention

Nun gibt es aber auch die Präventionssicht des Datenschutzes. Es geht also darum, den Aufwand zu minimieren, den man hätte, wann man nichts unternehmen würde.
Kann man jetzt als Optimist wegdiskutieren, da man ja hinterher – solange nichts passiert ist - nicht wissen kann, was passiert wäre, wenn man nichts unternommen hätte.
Für alle Nichthazardeure mag aber gerne hier ein Blick in die praktische Statistik hilfreich sein und genug Argumentation liefern.

Dazu ein paar Thesen aus der täglichen Statistik eines Datenschutzbeauftragten:

• pro Betrieb pro 10 Mitarbeiter eine relevante Datenpanne im Jahr
• pro 1.000 Kunden ein Betroffenenrecht pro Jahr
• pro 1 Mio. Euro Umsatz einen Hackerangriff pro Jahr (mit Wirkung)
• pro Woche pro Mitarbeiter eine fehlgeleitete E-Mail mit personenbezogenen Daten
• jede 5. Datenpanne führt zu Behördenkontakt
• jeder 3. Mitarbeiter klickt fahrlässig auf kompromittierte Links in E-Mails
• jeder 10. Mitarbeiter gibt auf manipulierten Seiten Zugangsdaten preis
• 90% aller Datenpannen beruhen auf Fahrlässigkeit beim E-Mail-Verkehr
• Ransomware-Attacken führen im Schnitt lt. Bitkom zu durchschnittlich 50.000 Euro Schaden

Nun sind alle o.a. aufgeführten Punkte lediglich empirisch aus der alltäglichen Datenschutzpraxis hervorgehend, allerdings bleibt bis heute auch der Gegenbeweis schuldig und somit sind die Daten vorläufig sinnvolle Ausgangsbasis für die tägliche Risikobetrachtung.

Demgegenüber stehen die reduzierten Aufwände und Schäden bei präventiver Sicht. Die Aufwände für Behandlung von Betroffenenrechten, Datenpannen und Behördenanfragen liegen bei sinnvoller Präventionsarbeit nur bei ca. 25% gegenüber vernachlässigter oder ignorierter DSGVO-Compliance.
Zudem sinken die Eintrittswahrscheinlichkeiten um 50 bis 75%.
Insofern kann man die durch datenschutzrechtliche Compliance anfallenden Anforderungen demgegenüber kalkulieren, dass Aufwände für Beseitigung bei Nichtbeachtung um 75 bis 90% reduziert werden.
Ergänzend um regelmäßige Maßnahmen in die technische IT-Sicherheit erhält man hier dann auf lange Sicht gesehen die DSGVO-Compliance aufwandsneutral.

Risikomanagement als betriebswirtschaflich datenschutzrechtliche Königsdisziplin

Wenn man nun den Datenschutz so versteht, dass der größte Nutzen in der Prävention zur Vermeidung von Reputationsschäden, Bußgeldern, Schadenersatz, Wiederherstellungskosten und Betriebsunterbrechung besteht, hat man alle notwendigen Parameter um eine Risikobetrachtung durchzuführen.
Technische Stabilität, Mitarbeiter- und Kundenzufriedenheit, Seriosität, Vertrauen, Performance, Stressfreiheit und Compliance-Konformität sind dann als softe Faktoren gern gesehene Beigaben.
Ganz abgesehen von der Pflicht des Verantwortlichen zur Einhaltung der gesetzlichen Vorschriften und der Haftungsfrage im Schadenfall.

Was heißt das für meinen Betrieb?

Regelmäßige Investition in IT-Sicherheit, Evaluierung laufender Prozesse und Compliance und Mitarbeiterqualifizierung zahlt sich aus. Insb. bei den Mitarbeiter gilt, was diese nicht kennen oder ausführen oder nicht praxistauglich reguliert wird, findet im Datenschutz nicht statt.

Insofern wären aus Präventionssicht die besten Hebel folgend anzusetzen

• Jährliche Mitarbeitersensibilisierung
• IT-Nutzungs- und Sicherheitsrichtlinie
• Regelmäßige IT-Sicherheitsevaluierung
• Check der datenschutzrechtlichen Anforderungen der Dokumente am POS
• Evaluierung Cyber-Versicherung
• Risikoevaluierung der datenschutzrechtlichen Prozesse
• Notfallplan (Hotline Cyber-Assistence, IT-Leiter / Administrator, Verantwortlicher, DSB)

Bei entsprechend praxistauglichen Maßnahmen im o.a. Sinne bleibt im Regelfall das Restrisiko sowohl datenschutzrechtlich als auch betriebswirtschaftlich akzeptabel und beherrschbar.