definitiv nicht Stand der Technik. Es gab Meinungen, dass in dem Moment, wo ein Hersteller ein Produkt am Markt hat, das die funktionalen Anforderungen erfüllt, diese Umsetzung Stand der Technik sei. Beziehen wir uns auf das Kalkar-Urteil, ist dem sicher nicht so. Es muss schon mehrere Produkte geben, welche die fragliche Funktionalität beherrschen.
Implementierungskosten
Die Berücksichtigung von Implementierungskosten ist eine neue Formulierung, die eine Verhältnismäßigkeit zwischen Schutzbedarf der Daten und dem finanziellen Aufwand für den Schutz erlaubt. Die Liste der Käufer eines Buches über Informationssicherheit ist sicher weniger sensibel als die Liste der Mitglieder einer Selbsthilfegruppe zum Thema »Burn-out«. Der technische Aufwand zum Schutz der Buchkäuferliste darf geringer sein und damit weniger Kosten verursachen als beim Mitgliederverzeichnis der Selbsthilfegruppe.
Im Bereich der Informationssicherheit ist es für Sie relativ einfach, die Kosten für eine Sicherheitsmaßnahme als angemessen zu beurteilen. Sie vergleichen die Betriebskosten der Sicherheitslösung mit dem mittleren Schaden pro Jahr, der ohne die Sicherheitslösung entstehen würde. Ist der abgeschätzte Schaden pro Jahr höher als die Betriebskosten pro Jahr, fällt die Entscheidung für die Sicherheitslösung leicht.
In Anlehnung an die klassische Rentabilitätsbetrachtung »Return on Investment« (RoI), die in der Betriebswirtschaftslehre etabliert ist, definieren wir einen »Return on Security Investment« (RoSI) [ENISA12]. Beim RoI werden die Kosten der Investition mit dem Ertrag der Investition verglichen. Bei RoSI vergleicht man die Kosten der Investition mit dem verhinderten Schaden.
Die Kosten der Investition in eine Sicherheitslösung, sei es nun die Beschaffung einer Firewall, einer Antivirenlösung oder einer Festplattenverschlüsselung, können Sie sehr gut beziffern. Der Anschaffungspreis steht auf der Rechnung und die Kosten des Rollouts sowie die jährlichen Betriebskosten sind auch bestimmbar. Das Finanzcontrolling beziehungsweise das IT-Controlling sollte da gute Zahlen liefern können. Schwieriger wird es, den verhinderten Schaden zu bestimmen. Sie können sich dort nur auf veröffentlichte Statistiken anderer Unternehmen beziehen, da Ihnen ja die eigenen Zahlen fehlen.
| 1. Jahr | 2. Jahr | 3. Jahr | 4. Jahr | |
|---|---|---|---|---|
| verhinderter Schaden | 240.000 € | 240.000 € | 240.000 € | 240.000 € |
| Lizenzkosten | 100.000 € | - | - | - |
| Betrieb und Rollout | 40.000 € | 20.000 € | 20.000 € | 20.000 € |
| RoSI | 100.000 € | 220.000 € | 220.000 € | 220.000 € |
Bereits im ersten Jahr ergibt sich ein RoSI von 100.000 €. In den folgenden Jahren sind es sogar 220.000 €. Also eine lohnende Investition in die Sicherheit. Wichtig ist natürlich, dass Sie bei derartigen Rechnungen mit realistischen Zahlen rechnen.
Die Kosten für die verlorenen Notebooks und die Ersatzbeschaffungen müssen Sie bei dieser Betrachtung nicht berücksichtigen, da die Verschlüsselungslösung den Verlust der Notebooks nicht beeinflusst. Die Lösung verhindert nur den Missbrauch der Daten auf den verlorenen Notebooks. Höchstens wenn die Daten auf den Notebooks so wertvoll sein sollten, dass die Notebooks wegen der Daten gestohlen werden, beeinflusst die Verschlüsselungslösung vielleicht doch die Diebstahlrate.
Den einfachen quantitativen Kostenvergleich zur Bestimmung des RoSI können Sie im Bereich Datenschutz nicht anwenden. Das Schutzziel, das Sie in der Abwägung betrachten, ist das Risiko für die Rechte und Freiheiten der betroffenen Personen. Das ist eher ein qualitativer Vergleich.
Die Implementierungskosten sind nicht nur die Kosten der Beschaffung der Sicherheitslösung, sondern auch die Kosten für deren Betrieb. Nicht zu den Implementierungskosten der Sicherheitslösung gehören die Kosten der eigentlichen Verarbeitung, also zum Beispiel die Beschaffungs- und Betriebskosten der Server für die Verarbeitung, der zugehörigen Datenbanksoftware und so weiter. Nur die Kosten der Sicherheitsmaßnahmen, die zusätzlich beschafft und betrieben werden, dürfen Sie berücksichtigen.
Grundsätzlich dürfen Sie jedoch, wenn es mehrere Maßnahmen gibt, die den gleichen Schutz liefern, die günstigste der Maßnahmen auswählen. Die schlichte Tatsache, dass Schutzmaßnahmen Kosten verursachen, ist kein Grund, von Schutzmaßnahmen abzusehen. Wenn sie personenbezogene Daten verarbeiten, müssen sie die Kosten der Schutzmaßnahmen tragen.
Sie müssen noch einen weiteren wichtigen Aspekt berücksichtigen: Wenn die Implementierungskosten der Sicherheitsmaßnahmen den Wert, den Sie den personenbezogenen Daten zurechnen, oder den potenziellen Schaden für Ihr Unternehmen übersteigen, müssen Sie diese trotzdem in Kauf nehmen, wenn das Risiko für die Rechte und Freiheiten der Betroffenen entsprechend hoch ist.
Geht es nur um materielle Schäden für die Betroffenen, sind Sie wieder im Bereich eines quantitativen Vergleichs. Spielen jedoch zusätzlich immaterielle Schäden für die Betroffenen (zum Beispiel schwerwiegende Rufschädigungen) eine Rolle, ist ein alleiniger quantitativer Vergleich nicht mehr möglich.
Um hier eine ordentliche Risikobetrachtung zu »erzwingen«, ist bei hohen Risiken eine Datenschutzfolgenabschätzung (DSFA) gemäß Art. 35 DS-GVO vor Aufnahme der Verarbeitungstätigkeit verbindlich vorgeschrieben. Dabei sind neben der Herausarbeitung und Bewertung der Risiken auch eine Beschreibung der zur Bewältigung der Risiken geplanten Maßnahmen ein erforderlicher Inhalt. Darüber hinaus müssen Sie aufschreiben, warum die Verarbeitung notwendig und verhältnismäßig ist. Eine DSFA muss vor Beginn der Verarbeitung