Cybersicherheit: der wirtschaftliche Nutzen der DSGVO

24. Juni 2025

Die CNIL veröffentlicht eine Analyse der wirtschaftlichen Auswirkungen der DSGVO auf Cybersicherheit. Durch die Stärkung der Verpflichtungen in diesem Bereich hätte die Verordnung es möglich gemacht, beispielsweise in der Frage des Identitätsdiebstahls zwischen 90 und 219 Millionen Euro an Cyberschäden in Frankreich zu vermeiden.

In ihrer Bewertung der wirtschaftlichen Auswirkungen der DSGVO, fünf Jahre nach ihrer Umsetzung, stellte die CNIL fest, dass sich Wirtschaftsstudien zu den Auswirkungen der DSGVO hauptsächlich auf die Kosten konzentrieren und nur geringfügig mit ihren Vorteilen umgehen. Die CNIL hat sich daher verpflichtet, diese Vorteile zu untersuchen und eine quantifizierte Analyse vorzuschlagen. Die Analyse nutzt den Cybersicherheitswinkel (Artikel 32, 33 und 34 DSGVO), um die Vorteile der DSGVO hervorzuheben.

In der Cybersicherheitswirtschaft wird IT-Sicherheit als Unternehmensinvestitionsentscheidung angesehen. Diese Investitionsentscheidung folgt einer Logik der Rentabilität: Investitionen in die Cybersicherheit werden gegen ihre Kosten und das Risiko von Cyberangriffen abgewogen.

Diese Berechnung, dass das Unternehmen ein entscheidendes Element nicht berücksichtigt, die Auswirkungen seiner Investitionen auf den Rest der Gesellschaft, die als Externalität in der Wirtschaft bezeichnet wird. Aufgrund dieser Externalitäten ist das Niveau der spontanen Investitionen von Unternehmen in die Sicherung von Informationssystemen ohne Regulierung nicht optimal. Vorschriften wie die DSGVO ermöglichen es dann, diese Marktversagen zu beheben, indem sie die Festlegung von Sicherheitsregeln zugunsten der betroffenen Personen, aber auch von Unternehmen und ihren Partnern verlangen.

Die CNIL hat sich daher verpflichtet, den Nutzen der DSGVO durch eine quantifizierte Analyse aus Sicht der Cybersicherheit zu untersuchen. Eine Zusammenfassung der wichtigsten Schlussfolgerungen der vollständigen Analyse wird nachfolgend vorgestellt.

Laden Sie die Studie herunter

Verschiedene Arten von Externalitäten in der Cybersicherheit

Es gibt drei Haupttypen von Externalitäten, abhängig vom betroffenen Wirtschaftsakteur: andere Unternehmen, Cyberkriminelle und Kunden/Nutzer.

Externe Unternehmen betreffen

Das Niveau der Cybersicherheit eines Unternehmens hängt auch von den Cybersicherheitsinvestitionen anderer Unternehmen ab. Ein Computervirus kann sich von Maschine zu Maschine auf die gleiche Weise ausbreiten, wie sich ein echter Virus durch Ansteckung ausbreitet. Wenn ein Unternehmen also in Cybersicherheit investiert, ermöglicht es es, ein globaleres Cyberkriminalitäts-resilientes Umfeld zu schaffen, nach einem Mechanismus, der mit kollektiver Immunität in Einklang gebracht werden kann:

• im Rahmen der Zulieferbeziehung, da die Sicherheit der Daten des Verantwortlichen ist vom Sicherheitsniveau seines Anbieters abhängig;
• mit Partner- oder sogar Wettbewerberunternehmen, die zum Beispiel das hohe Maß an Datensicherheit in einem Sektor, in einer Logik des „Tugendenkreises“ „nutzen“ können.

Ein Unternehmen hat jedoch keinen Anreiz, die Vorteile zu berücksichtigen, die seine Cyber-Sicherheitsinvestitionen seinen Wettbewerbern bringen, was seine Investitionen in diesem Bereich begrenzt.

Externe für Cyberkriminelle

Die Unterinvestition in die Cybersicherheit erhöht die Rentabilität der Cyberkriminalität, auch durch Ransomware (diese Angriffe zielen darauf ab, ein Lösegeld zu erpressen).

Wenn die Sicherheitsmaßnahmen unzureichend sind, sind Angriffe erfolgreicher. Je höher die Zahl der erfolgreichen Angriffe, desto mehr Cyberkriminelle können große Lösegeldforderungen verlangen, während sichergestellt wird, dass sich eine Reihe von Opfern schließlich auszahlen wird. Cyberkriminelle passen die Menge an Lösegeld an, um ihre Gewinne zu maximieren, indem sie zwei Parameter ausgleichen. Auf der einen Seite riskiert ein zu hohes Lösegeld, die Opfer von der Zahlung abzuhalten: Auf der anderen Seite würde ein zu niedriges Lösegeld den Gewinn nicht maximieren.

Da nur wenige Unternehmen bereit sind, sehr hohe Beträge zu zahlen, hängt die optimale Strategie von der Anzahl erfolgreicher Angriffe ab. Wenn diese selten sind, ist es rentabler, moderate Lösegeldforderungen zu verlangen, die die Mehrheit der Opfer zu zahlen bereit ist. Auf der anderen Seite, wenn die Zahl der erfolgreichen Angriffe hoch ist, steigt die Wahrscheinlichkeit, dass ein angegriffenes Unternehmen einer sehr hohen Summe zu zahlen. Es wird dann vorteilhafter für den Cyberkriminellen, hohe Lösegeldersatz zu setzen, um seinen Gewinn bei diesen seltenen Zahlungen zu maximieren.

So schafft der Mangel an Investitionen in die Cybersicherheit einen Teufelskreis: Er fördert den Erfolg von Angriffen, stärkt die Fähigkeit von Cyberkriminellen, steigende Geldsummen zu verlangen, und erhöht letztlich die Rentabilität und Schwere der Cyberkriminalität.

Externe Personen betreffen Kunden

Datenlecks, die Unternehmen betreffen, betreffen regelmäßig die persönlichen Daten ihrer Kunden/Nutzer (natürliche Personen). Diese können zur Durchführung neuer Cyberangriffe gegen die betroffene Person (Phishing, Identitätspäne, Kennenfüllungbourrage d’identifiant) verwendet werden. Menschen, die unter den negativen Folgen eines Datenlecks leiden, können nicht immer wissen, welches Unternehmen hinter dem Leck ihrer persönlichen Daten steckte.

Wenn ein Unternehmen über ein Datenleck berichtet, ist es bestimmten Konsequenzen ausgesetzt: Reputationsverlust, Bewertungsverlust, Verlust des Kundenvertrauens usw. Um diese Auswirkungen zu vermeiden, besteht ihr spontanes Verhalten in Ermangelung einer Regulierung nicht darin, diese Vorfälle aufzudecken.

Dieses Phänomen der negativen Äußerlichkeit ist nicht optimal, da es dazu führt, dass die betroffenen Unternehmen aufgrund ihrer fehlenden Investitionen in die Cybersicherheit außerhalb des Gesichts der negativen Folgen liegen, die ihren Kunden zugefügt werden, wodurch ihr Anreiz, ihren Schutz zu stärken, verringert wird. Damit würden sie auch verhindern, dass der Betroffene wachsam ist und die notwendigen Maßnahmen ergreift, um sich selbst zu schützen.

Die DSGVO hat diese Undurchsichtigkeit illegal gemacht, die Verantwortlichen sind nun verpflichtet, die Datenschutzbehörde über alle Verstöße, aber auch die Betroffenen im Falle eines hohen Risikos einer Datenschutzverletzung zu informieren Persönliche Natur. Bei Nichteinhaltung dieser Verpflichtungen haftet das Unternehmen mit Sanktionen. Durch die Reduzierung dieser Externalität ermöglicht die DSGVO daher Gewinne für die Gesellschaft als Ganzes.

Meistens werden diese unterschiedlichen Externalitäten nicht berücksichtigt, wenn das Unternehmen die in Cybersicherheit investierenden Beträge bestimmt. Die Folge ist daher ein Investitionsniveau in die Sicherung von Informationssystemen ohne regulatorische Verpflichtungen wie die DSGVO.

Zuwächse der DSGVO aus Sicht der Cybersicherheit

Die Einhaltung der DSGVO ermöglicht es so, die Unterinvestition der Cybersicherheit zu bekämpfen.

Beispielsweise können Personen, die die betroffenen Personen ernsthaft über die Datenlecks zwingen, schwerwiegende Datenlecks zu offenbaren (Artikel 34), die Lage, den Umgang mit Unternehmen, die kein ausreichendes Maß an Cybersicherheit haben, einzustellen. Diese Bestimmung ermöglicht es daher, die Externalität, die die Kunden des Unternehmens betrifft, zu verringern. Das Unternehmen steht vor seiner Verantwortung, was es dazu bringt, mehr in die Cybersicherheit zu investieren.

So konzentrierte sich die Wirtschaftsforschung auf die Folgen des Identitätsdiebstahls:

• Durch den Vergleich der Anzahl der Daten-Usurpationen vor und nach der Einführung dieser Richtlinie fanden Ökonomen heraus, dass Datenbruchbenachrichtigungen zu einem Rückgang von 2,5% bis 6,1% in der Identität führen.
• Durch die Heranhebung dieser Kosten für Identitätsdiebstähle in Frankreich kann man berechnen, dass zwischen 90 und 219 Millionen Euro an Verlusten seit 2018 in Frankreich und zwischen 585 Millionen Euro und 1,4 Milliarden Euro auf EU-Ebene vermieden wurden.
• Unter Berücksichtigung der Höhe der Entschädigung für diese Verluste und der Auswirkungen der Identität auf das Vertrauen der Opfer, die online gekauft werden sollen, kann geschätzt werden, dass 82% dieser Verluste Unternehmen zugute kommen.

Diese Gewinne machen nur einen kleinen Teil der Gesamtgewinne der DSGVO bei der Reduzierung der Cyberkriminalität aus. Dies ist nur der Einfluss einer seiner Bestimmungen auf eine bestimmte Art von Cyberkriminalität (Identitätsprome). Hinzu kommt, dass dies auch die positiven Auswirkungen der DSGVO-Compliance auf Ransomware, Botnets (Netzwerke verbundener Programme über das Internet), Malware usw. sein sollten. Es wäre angemessen, dass Ökonomen die Dimension der Cybersicherheit vertiefen, um einen umfassenderen Blick auf das Thema zu geben.

Die vermiedenen Verluste mögen zwar hoch erscheinen, doch die Summe ist vergleichbar mit einer einmaligen Rekordstrafe in Höhe von 1,2 Milliarden Euro, die gegen Meta wegen unsachgemäßer Verarbeitung von Nutzerdaten gemäß der DSGVO verhängt wurde. Meta hat gegen die Entscheidung Berufung eingelegt, das Verfahren ist noch nicht abgeschlossen.

Quelle

---

Bild/Quelle: https://depositphotos.com/de/home.html