Datenverlust – ein Unternehmensrisiko mit unterschätzten Folgen

Im Mittelstand werden Datenrisiken noch immer unterschätzt. Rund 40 Prozent der deutschen Unternehmen mit weniger als 500 Mitarbeitern wurden nach Informationen des Verbands Bitkom bereits einmal Opfer eines Hackerangriffs. Die Systeme sind in der Regel einfacher zugänglich, und Angriffe werden oft erst Tage später bemerkt. Doch nicht nur der Fremdangriff von außen, auch der Verlust von Datenträgern oder die Fahrlässigkeit von Mitarbeitern stellen nicht zu unterschätzende Risikopotenziale für Unternehmen dar. So meldet allein der Pariser Flughafen pro Woche über 700 Laptops von Reisenden als gestohlen. 

Michael Sprengel ist Versicherungsexperte für Datenrisiken bei der GGW Gruppe. Er spricht über die Herausforderungen, denen sich Unternehmen im Rahmen ihrer Datenschutzverpflichtungen stellen müssen, und die möglichen kosten- und arbeitsintensiven Folgen des Verlusts personenbezogener Daten.

Herr Sprengel, sind sich die Unternehmen der Relevanz des Themas Datensicherheit in ausreichendem Maße bewusst?

Michael Sprengel (MS): Firewalls, Anti-Virenprogramme und Backups sind für Unternehmen heute selbstverständlich. Allerdings reicht dieser Schutz kaum noch aus, um die Unternehmens- und IT-Umgebung vor professionellen Angriffen von außen zu sichern. Hinzu kommt, dass es intern oft an Konsequenz bei der sicheren Verarbeitung von personenbezogenen Daten und der Nutzung von Passworten geht. Darüber hinaus liegen diese sensiblen Informationen ja auch nicht nur in digitaler Form vor. Im Ernstfall ist eine schnelle Organisation und Umsetzung der notwendigen Maßnahmen gefragt. Gerade im Mittelstand fehlt es hier aber noch an Know-How.

Was kann die Folge sein?

MS: Der Verlustfall verschlingt nicht nur personelle Ressourcen, sondern zieht auch hohe Organisationskosten für das Unternehmen nach sich. Darüber hinaus können Schadenersatzforderungen von Dritten, etwa durch entstandene Vermögensschäden, in empfindlicher Höhe auf das Unternehmen zukommen.

Wo liegen im Umgang mit personenbezogenen Daten die größten Risiken für Unternehmen?

MS: Unternehmen haften für die Sicherheit dieser Daten gegenüber Dritten. Das gilt von den Mitarbeiterdaten in der Personalabteilung, über die Mandantenakten einer Rechtsanwaltskanzlei bis hin zu den Kundendaten von Kreditkarten im Online- oder Einzelhandel. Der Schutzanspruch geht hier zum Teil weit über das IT-System hinaus. Der Verlust von Daten muss auch nicht immer durch Hacker-Angriffe von außen stattfinden – oft genügt eine kleine Nachlässigkeit, die aber weitreichende Folgen mit sich bringt. Da werden Unterlagen unbedacht im Papierkorb oder Müllkontainer entsorgt, eine Windböe fegt einige Blätter mit Kunden- oder Kontodaten durch das offene Fenster oder man hat seinen Laptop wirklich mal eine Sekunde lang nicht im Auge.

Was können Unternehmen tun, damit im Ernstfall die Konsequenzen von Datenverlust oder –diebstahl keine existenzbedrohenden Auswirkungen für sie darstellen?

MS: Wichtig ist zunächst, dass sich Unternehmen über ihre ganz individuellen Risiken in diesem Bereich klar werden. Was passiert, wenn zum Beispiel ein Online-Händler seine Internetseite als Vertriebsplattform aufgrund eines Hackerangriffs nicht mehr benutzen kann? Eine herkömmliche Sach-/Betriebsunterbrechungsversicherung greift bei dieser Art von Ertragsausfall nicht, da diese lediglich im Anschluss an einen entstandenen Sachschaden einspringt. Die Versicherungswirtschaft hat daher auf die verschiedenen Gefahren in dem Bereich reagiert und in der letzten Zeit gezielte Versicherungslösungen entwickelt.

Welche Besonderheiten bieten diese Versicherungslösungen?

MS: Sie decken die aus Verlust oder Diebstahl personenbezogener Daten entstehenden Kosten ab, die ganz unterschiedliche Ursachen haben können. Das gilt für Schäden Dritter, insbesondere einen Vermögensschäden, aber auch bei Schäden, die dem Unternehmen selbst von außen zugefügt werden. Darüber hinaus unterstützen sie jeweils bei der Organisation und Umsetzung notwendiger Maßnahmen im Ernstfall: bei der Meldung bei den zuständigen Regulierungsbehörden oder der Payment Card Industry, bei forensischen Datenuntersuchungen sowie Kreditüberwachungsdienstleistungen, bei der Wiederherstellung von Daten oder gar beim eigenen professionellen Krisenmanagement gegen den drohenden Reputationsverlust durch den Vorfall.

Was raten Sie Unternehmen in Bezug auf ihre Datensicherheit?

MS: Sich über den herkömmlichen IT-Schutz hinaus gut zu überlegen, welche ihrer Datenrisiken sie durch das unternehmenseigene Risikomanagement auffangen können, in welchen Bereichen sie nachbessern sollten und welche Risiken sie vielleicht besser mit einer Versicherung abdecken sollten. Eine genaue Analyse der Datenströme im Unternehmen kann darüber Aufschluss geben.

Vielen Dank für das Gespräch.

Michael Sprengel ist Prokurist und Key Account Manager bei der GGW Gruppe. Vor dem Hintergrund zunehmender IT-Risiken sensibilisiert der Versicherungsexperte seine Kunden für das Thema Datensicherheit. Dabei sind Sprengel eine ganzheitliche Sicht auf alle Risikofelder eines Unternehmens wichtig, um eine umfassende Steuerung zu ermöglichen.