Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Studie Datenschutz belastet Unternehmen kräftig

Das Bundesdatenschutzgesetz sieht weitreichende Informationspflichten vor. Jetzt nennt eine Studie erstmals konkrete Zahlen über Kosten, die bei den Betroffenen entstehen könnten.
  • Daniel Delhaes und Thomas Siegmund
Stets im Blick: Sensible Daten - ihr Schutz könnte die Unternehmen viel Geld kosten. Quelle: dpa

Stets im Blick: Sensible Daten - ihr Schutz könnte die Unternehmen viel Geld kosten.

(Foto: dpa)

BERLIN. Union und SPD wollen sich in der kommenden Woche über das neue Bundesdatenschutzgesetz verständigen. "Die Formulierungshilfen befinden sich in der Abstimmung zwischen den Ministerien und liegen Anfang kommender Woche den Fraktionen vor", sagte eine Sprecherin des federführenden Bundesinnenministeriums dem Handelsblatt.

In dem Entwurf befinden sich etliche Vorschriften, die bei den Unternehmen Kosten verursachen werden. Insgesamt sieht das Gesetz weitreichende Informationspflichten vor. Die Beamten von Bundesinnenminister Wolfgang Schäuble schätzen die Kosten für die Wirtschaft auf 10,14 Mio. Euro.

Unkalkulierbare Kosten kann allerdings der neu geschaffene Paragraph 42a des Bundesdatenschutzgesetzes verursachen: Danach müssten Unternehmen künftig bei Datenschutzpannen umfassend informieren. Dies gilt, wenn Unternehmen die Daten ihrer eigenen Mitarbeiter nicht schützen, aber auch in Fällen, in denen etwa umfangreiche Kundendateien verloren gehen. Entsprechende Skandale gab es in den vergangenen Monaten immer wieder.

Im Detail sollen Unternehmen bei Pannen "unverzüglich" die Aufsichtsbehörden sowie die Betroffenen informieren - dazu zählen auch Kunden. Das Gesetz sieht vor, dass die Benachrichtigung im Zweifel auch per Zeitungsanzeigen erfolgen kann, "die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen."

Gesicherte Zahlen über die Kosten von Datenschutzpannen bei Unternehmen ergeben sich bisher nur aus einer Studie des Ponemon Institutes, die in der aktuellen Ausgabe des Fachmagazins "Datenschutzberater" veröffentlicht wurde. Die US-Einrichtung zur Förderung des Datenschutzes befragte 18 Firmen aus zehn Branchen in Deutschland, überwiegend Tourismus- und Einzelhandelsunternehmen. Dabei ging es um Datenverluste von weniger als 3 750 Datensätzen bis zu Fällen mit mehr als 90 000 Datensätzen.

Laut Studie betragen die durchschnittlichen Kosten - entgangener Umsatz, Aufdeckung der Panne, Benachrichtigung der Betroffenen - pro Datensatz 112 Euro. Die Gesamtkosten betrugen pro Vorfall rund 2,4 Mio. Euro. Verlorene oder gestohlene Laptops machten rund 28 Prozent der Fälle aus. In 39 Prozent der Fälle waren die Firmen mehr als nur einmal betroffen. Zudem verlören die Unternehmen nach Datenpannen überproportional viele Kunden - gegenüber der normalen Fluktuation um 3,24 Prozent.

"Die Folgekosten können schnell in die Millionen gehen", sagt auch Berthold Stoppelkamp, Geschäftsführer der Arbeitgemeinschaft für Sicherheit der Wirtschaft. Nach einem Datenverlust entstünden allein schon Kosten, um die Daten erneut zu sammeln - aber auch, wenn nach dem Verlust Aufträge verloren gehen. Zudem sei das Image des Unternehmens bei Geschäftspartnern und in der Branche beschädigt, wenn der Datenverlust bekannt wird. Repräsentative Erhebungen dazu gebe es bis auf die aktuelle Studie aber nicht.

Der Datenschutzbeauftragte des Bundes, Peter Schaar, glaubt nicht daran, dass künftig mehr Datenpannen öffentlich werden. "Das Gesetz sieht etliche Hürden vor, bevor es überhaupt zur Veröffentlichung von Datenschutzpannen kommt", sagt er. Dazu zählt er unter anderem, dass die Betroffenen nur dann sofort informiert werden müssen, wenn ihnen "schwerwiegende Beeinträchtigungen" drohen. Dies eröffne Auslegungsspielräume. "Ich gehe davon aus, dass die Unternehmen die Ausnahmebestimmungen zu ihren Gunsten weit auslegen werden", sagt Schaar.

Die Datenschützer gehen davon aus, dass Fälle wie bei der Telekom oder der Berliner Bank, bei denen Kundendaten verloren gegangen sind, künftig veröffentlicht werden müssten. Schaar kritisiert dagegen, dass die Informationspflichten nur für private Unternehmen gelten sollen, nicht aber für öffentliche Stellen. "Das Gesetz ist ein Schritt in die richtige Richtung - nicht mehr, aber auch nicht weniger."

Die wichtigsten Neuigkeiten jeden Morgen in Ihrem Posteingang.
Startseite