24. Mai 2010 - Datenschutz-Kennzahlen

Lassen Sie auch im Datenschutz die Zahlen sprechen!

Den Datenschutz messbar zu machen, hilft Ihnen nicht nur bei Ihren Gesprächen mit der Geschäftsleitung, die es gewohnt ist, ihre Entscheidungen mit Kennzahlen zu untermauern. Ein messbarer Datenschutz hilft auch Ihnen selbst: Kennzahlen für Datenschutz und Datensicherheit sind ein wesentliches Mittel, um z.B. Ihre bestehenden Datenschutz-Programme beurteilen zu können.

lassen-sie-auch-im-datenschutz-die-zahlen-sprechen.jpeg
Argumentieren Sie auch im Datenschutz mit Kennzahlen (Bild: Thinkstock)

Kennzahlen liefern Argumente

Wenn Sie wieder einmal von der Geschäftsleitung gefragt werden, warum denn dieser Aufwand für den Schutz personenbezogener Daten sein muss, können Sie zum einen auf den möglichen Imageverlust für Ihr Unternehmen hinweisen, wenn eine Datenpanne des eigenen Unternehmens in die Schlagzeilen geraten würde.

Zum anderen können Sie natürlich auch auf mögliche Bußgelder hinweisen. Aber auch konkrete Zahlen zu den Schadenshöhen durch Datenpannen sind ein gewichtiges Argument. Und nicht zuletzt eigene Kennzahlen zu Datenschutz und Datensicherheit helfen Ihnen im Gespräch mit der Geschäftsleitung, die es gewohnt ist, Kennzahlen als Entscheidungsgrundlage zu nutzen.

Kennzahlen machen den Datenschutz-Bericht noch greifbarer

Diese Kennzahlen sind auch ein wichtiger Bestandteil Ihres Datenschutz-Berichts, den Sie regelmäßig für Ihre Geschäftsleitung erstellen. Auf einen Blick können dadurch Erfolge im Datenschutz erkannt, aber auch der weitere Bedarf für Datenschutz-Maßnahmen abgeschätzt werden.

Allerdings wollen die Kennzahlen auch im Datenschutz und in der Datensicherheit gut ausgewählt und bestimmt sein, um keine Fehleinschätzung zu verursachen oder um nicht eher für Verwirrung zu sorgen als für Klarheit.

Kennzahlen wollen gut gewählt sein

Eine falsche Wahl der Kennzahlen kann den Blick auf den Datenschutz trüben. Wenn Sie zum Beispiel die bisherige Schadenshöhe durch Datenpannen oder die Anzahl der eigenen Datenpannen in den Medien als Kennzahlen wählen würden, hätten Sie vielfach zweimal den Wert Null.

Das ist erfreulich, täuscht aber über das echte Datenschutz-Niveau hinweg. So können sich die Schadenshöhe und die Zahl der negativen Schlagzeilen schnell nach oben verändern, wenn es in den Prozessen und Maßnahmen des Datenschutzes nicht stimmt.

Anforderungen an Kennzahlen

Bei Ihrer Wahl der Kennzahlen für Datenschutz und Datensicherheit sollten Sie zuerst die prinzipiellen Anforderungen an Kennzahlen beachten: Kennzahlen müssen sich insbesondere messen lassen. Sie müssen vergleichsweise einfach zu ermitteln sein. Sie müssen aussagekräftig und spezifisch sein.

Beispiele für Kennzahlen

Hilfreiche Kennzahlen, die Auskunft über Ihre Arbeit als Datenschutzbeauftragter geben und auch das Sicherheitsniveau in der IT berücksichtigen, sind zum Beispiel:

Bereich Verfahren und Prozesse

  • Prozentsatz der Verfahren, die nachweisbar freigegeben wurden
  • Prozentsatz der Verfahren, die bereits durch den Datenschutzbeauftragten geprüft wurden
  • Prozentsatz der Verfahren, die im Verfahrensverzeichnis bereits abgebildet sind
  • Prozentsatz der Verfahren, für die es schon eine eigene Datenschutz- und Sicherheitsrichtlinie gibt
  • Anzahl der beantworteten Datenschutz-Anfragen
  • Anzahl der Datenschutz-Schulungstage je Mitarbeiter

Bereich IT-Sicherheit und Sicherheitssoftware

  • Anzahl Installationen Anti-Malware-Software im Vergleich zu Anzahl Endgeräte im Unternehmen
  • Anzahl Tage seit den letzten Updates bei Sicherheitssoftware-Lösungen
  • Anzahl der Sicherheitswarnungen durch Sicherheitssoftware
  • Durchschnittliche Anzahl der Warnungen pro Endgeräte-Nutzer
  • Anzahl Meldungen zu Sicherheitsverstößen laut Sicherheitssoftware (wie Blockieren von E-Mails mit vertraulichem Inhalt bei DLP-Lösungen, Data Loss Prevention)
  • Durchschnittliche Dauer des Einspielens eines neuen Patches
  • Anzahl entdeckter Schwachstellen im Berichtszeitraum (mit Hilfe eines Schwachstellen-Scanners bestimmbar)

Budgets

  • Anteil des Datensicherheitsbudgets am IT-Budget
  • Anteil des Datensicherheitsbudgets am Gesamtbudget

Praxishinweise zum Kennzahlensystem

  • Um solche Kennzahlen ermitteln zu können, brauchen Sie insbesondere leicht auswertbare Berichte und Log-Dateien aus der IT-Sicherheit und von den Administratoren. Lassen Sie sich dabei nicht mit solchen Daten zuschütten, sondern bitten Sie um aufbereitete Informationen aus den Sicherheitssystemen, die in aller Regel eine unkomplizierte Anpassung der Berichte erlauben.
  • Betrachten Sie insbesondere auch die zeitliche Entwicklung der Kennzahlen, um Trends und Tendenzen ersehen zu können. Sie erhalten dann auch Informationen zum Erfolg Ihrer aktuellen Datenschutz-Maßnahmen und zum Bedarf für neue Datenschutz-Aktivitäten.

Mithilfe unserer Checkliste: Datenschutz und Datensicherheit messen können Sie Ihr Kennzahlen-System für Datenschutz und Datensicherheit überprüfen, damit auch im Datenschutz die Zahlen wirklich sprechend werden.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln