Jedes Unternehmen, das personenbezogene Daten verarbeitet, erhebt oder nutzt ist in der Haftungsfalle für mögliche Bußgelder beim Verstoß gegen die DSGVO.
Im Verlauf des Hackerangriffs auf meinen Kollegen habe ich mir die Kostenzusammensetzung eines solchen Vorfalls mal genauer angeschaut.
Dazu hat mir der Cyber-Sicherheitsexperte Michael Trabert ein Beispiel zukommen lassen:
Ein Dienstleister mit 50 Mitarbeitern und einem Jahresumsatz von 2.500.000 € hat 3.000 Datensätze in seiner Datenbank zu verzeichnen. Er hat einen formellen Verstoß begangen, mittelschwer, es ist sein erster Verstoß. Er trifft zwar normale Gegenmaßnahmen, führt aber eine schlechte Zusammenarbeit mit den Behörden. Zudem hat er auch die 72h Pflicht nicht eingehalten. Unser Experte erklärt: „Die 72h Pflicht besagt, dass der betroffene Dienstleister den Datenschutzvorfall binnen 72 Stunden an seine Kunden gemeldet haben muss. In Zuge dessen muss er die Betroffenen auch über die Risiken informieren. Darüber hinaus hat er die Datenschutzbehörde über all seine Maßnahmen in Kenntnis zu setzen. Passiert dies nicht, kostet das richtig Geld!“. Ohne Versicherung und umfänglichen Dokumentation entsteht ein wirtschaftlicher Grundwert gemäß DSGVO von 9.722,00 €.
Dieser Grundwert multipliziert sich mit dem Multiplikator gemäß der Schwere des Verstoßes. In diesem Fall mit dem Faktor 6. Dies ergibt vorläufig ein Grundwert Bußgeld in Höhe von 58.332,00 €. Im weiteren Verlauf wirken die Variablen ein. Dazu zählen der Grad der Fahrlässigkeit in Höhe von 25%, der Zusammenarbeit mit den Behörden mit 50%. Die getroffenen Gegenmaßnahmen wirken ebenfalls mit einem Faktor von 25% und der Anzahl der Verstöße. Alles in allem ergibt sich bei diesem Beispiel ein mögliches Bußgeld von 116.664,00€.
Ich verstehe, dass es eine Menge Aspekte gibt, die es innerhalb kürzester Zeit zu bewältigen gilt.
Woher weiß ich als Laie, was ich alles zu tun habe, wenn ich solch einem Hackerangriff zum Opfer gefallen bin?
Ich recherchiere weiter und finde zwar offizielle Seiten, die mich über die Vorgänge, sowie die Bußgeldvorschriften bei einem Datenschutzvorfall aufklären, aber so richtig schlau werde ich daraus nicht. Ich weiß nur: Ich hätte eine Menge zu tun und ein Bußgeld, dass individuell von der Datenschutzbehörde berechnet und verhängt würde. Wenn ich einen Verstoß im Straßenverkehr begehe, habe ich einen Bußgeldkatalog, den jeder, der Auto fährt einsehen und verstehen kann. Jeder Unternehmer, der personenbezogene Daten verarbeitet, erhebt oder nutzt, ist also zwangsweise, wie im Straßenverkehr, einem Gesetz unterlegen – trotzdem erweist sich dieses Gebiet als eher unverständlich.
Im Verlauf der Gespräche, erzählt mir unser Sicherheitsexperte Michael Trabert, dass die Höhe des Bußgeldes auf Grundlage des Umsatzes des Unternehmens und vielen weiteren Faktoren erheblich geprägt wird. Genau aus diesem Grund berät das Expertenteam rund um Trabert in diesem Bereich. „Mit unserer Bußgeldsimulation können Unternehmer ihr mögliches Bußgeld beim Verstoß gegen die DSGVO abschätzen.“ Dieser Bußgeldsimulator errechnet anhand der Schwere des Verstoßes gegen die DSGVO das anfallende Bußgeld. Variabel ist hierbei der Grad der Fahrlässigkeit, die Zusammenarbeit mit den Behörden und die bereits getroffenen Gegenmaßnahmen, sowie die Häufigkeit der Verstöße. So können rasend schnell hohe Summen entstehen, die durch eine Cyber-Schutz-Versicherung und geeignete Präventionsmaßnahmen wie bspw. durch das DSGVO Cyberschutz-Paket, reduziert werden können.
Trabert errechnet mir das zuvor aufgeführte Beispiel mit Versicherung, umfänglicher Dokumentation und DSGVO-Cyberschutz-Paket. Der Grundwert von 58.332,00 € des Bußgeldes und auch der Grad der Fahrlässigkeit bleiben bestehen. Allerdings liegt die Zusammenarbeit mit den Behörden und die getroffenen Gegenmaßnahmen bei -25% und ergibt somit lediglich ein Bußgeld von 43.749,00 €. Eine Differenz des Bußgeldes von -72.915,00€ und das nur, weil die fachkundigen Experten Maßnahmen getroffen haben. Im Falle des Falles werden dem Unternehmer eine Menge an Arbeit, die Kommunikation mit den Behörden und auch Verantwortung abgenommen.
Mein Fazit zum Bußgeldsimulator:
Wer nicht anhand seiner Angaben mögliche Bußgeldszenarien ermittelt und dieses Risiko mit passenden Maßnahmen minimiert, der handelt grob fahrlässig! Um den zweiten wichtigen Schritt in Richtung Cybersicherheit zu machen, sind die Experten bereits mit meiner Simulation beauftragt. Ich bleibe gespannt, welches Bußgeld auf mich zukommen würde.
