Aufrufe
vor 4 Monaten

Studie zum Krisenmanagement

Datenschutz Top-Risiko für Unternehmen

2. Krisensituationen und

2. Krisensituationen und -auswirkungen Bei der Betroffenheit von Krisensituationen auf der einen und bloßen Befürchtungen auf der anderen Seite zeigt sich: Bislang nicht betroffene Unternehmen identifizieren vorrangig die Bereiche Datenschutzrecht und Cyber Risks als potenzielle Krisen (hierzu 2.1). Bei kapitalmarktorientierten Unternehmen verschiebt sich der Fokus erwartungsgemäß in Richtung kapitalmarkt- und aufsichtsrechtlicher Vorgaben. Unabhängig von der Kapitalmarktorientierung gehen Krisen bei den meisten befragten Unternehmen mit Umsatzeinbußen und Imageschäden einher (hierzu 2.2). 2.1 Besonderer Fokus auf Data Security & Cyber Risks als potenzielle Krisensituationen Die Verletzung von Datenschutzbestimmungen ist auf Basis der Risikoeinschätzung für die nächsten zwei Jahre das Unternehmensrisiko mit dem größten Bedrohungspotenzial. Knapp die Hälfte der Befragten befürchtet hier Verstöße. Dies stellt die größte Steigerung gegenüber tatsächlichen Verstößen dar. So hat es nur in 6 Prozent der befragten Unternehmen in den letzten beiden Jahren Verstöße gegen Datenschutzbestimmungen gegeben. Die ab Mai 2018 geltenden EU-weiten Datenschutzbestimmungen im Rahmen der Datenschutz-Grundverordnung (DSGVO) werden einen nicht unwesentlichen Beitrag zu dieser ausgeprägten Verunsicherung leisten. In den letzten zwei Jahren davon betroffen (%) Arbeitsrechtliche Konflikte Cyber-Security-Vorfälle (z.B. Hacker-Angriffe) Operative Risiken Produktfehler Ermittlungen der Staatsanwaltschaft etc. Verstöße gegen interne Sicherheitsbestimmungen Betrug und Untreue Naturkatastrophen Verletzung von Datenschutzbestimmungen Korruption von innen Korruption von außen Umweltverstöße Kartellverstöße Verstöße gegen Sanktionen, Embargos etc. Verstöße gegen nachhaltige Unternehmensführung Verstöße gegen Bauvorschriften Insiderhandel und Marktmanipulation Steuerhinterziehung oder Beihilfe Verstöße gegen Geldwäschevorschriften 41 36 30 22 20 17 15 12 6 6 4 3 3 3 2 2 1 1 1 Frage: Ich nenne Ihnen jetzt einige Situationen, die in Unternehmen als „Krisensituationen“ aufgefasst werden können. Sagen Sie mir bitte jeweils, ob Ihr Unternehmen in den letzten zwei Jahren davon betroffen war oder ob Sie den Eintritt dieser Situation in den nächsten zwei Jahren für möglich halten. Basis: 201 Unternehmen, Angaben in Prozent. 6

In den nächsten zwei Jahren möglich (%) Verletzung von Datenschutzbestimmungen Cyber-Security-Vorfälle (z.B. Hacker-Angriffe) Operative Risiken Naturkatastrophen Verstöße gegen interne Sicherheitsbestimmungen Betrug und Untreue Arbeitsrechtliche Konflikte Korruption von außen Produktfehler Ermittlungen der Staatsanwaltschaft etc. Korruption von innen Umweltverstöße Verstöße gegen nachhaltige Unternehmensführung Verstöße gegen Bauvorschriften Kartellverstöße Verstöße gegen Sanktionen, Embargos etc. Insiderhandel und Marktmanipulation Steuerhinterziehung oder Beihilfe Verstöße gegen Geldwäschevorschriften 48 47 43 40 33 31 27 26 24 23 22 22 22 18 14 11 11 9 8 Frage: Ich nenne Ihnen jetzt einige Situationen, die in Unternehmen als „Krisensituationen“ aufgefasst werden können. Sagen Sie mir bitte jeweils, ob Ihr Unternehmen in den letzten zwei Jahren davon betroffen war oder ob Sie den Eintritt dieser Situation in den nächsten zwei Jahren für möglich halten. Basis: 201 Unternehmen, Angaben in Prozent. Legt man die Erfahrungen der Unternehmen in den letzten zwei Jahren und ihre Risikoeinschätzung für die nächsten zwei Jahre zugrunde, ist Cyber Security aus Sicht der Großunternehmen in Deutschland das Risiko mit dem zweitgrößten Bedrohungspotenzial. Mehr als jedes dritte Unternehmen ist in den letzten beiden Jahren bereits einmal Opfer einer Hacker-Attacke oder anderer Cyber-Security-Vorfälle geworden. Hinzu kommen noch einmal fast 50 Prozent, die dies in den nächsten zwei Jahren für möglich halten, auch wenn sie in den letzten zwei Jahren nicht betroffen waren. Insgesamt gelten damit in gut vier von fünf Unternehmen Cyber-Security-Risiken als potenzielle Auslöser von Unternehmenskrisen. Das durch operative Risiken bedingte Versagen technischer Einrichtungen oder betrieblicher Verfahren ist die am dritthäufigsten genannte Krisensituation in deutschen Großunternehmen: Fast drei Viertel der Unternehmen waren in den letzten zwei Jahren davon betroffen oder schließen dies für die nächsten zwei Jahre nicht aus. Jedes fünfte Unternehmen war in den letzten Jahren schon einmal von staatsanwaltlichen oder aufsichtsbehördlichen Ermittlungen, wie z.B. der Bundesanstalt für Finanzdienstleistungsaufsicht oder ausländischer Aufsichtsbehörden, betroffen. Mit Ausnahme von Naturkatastrophen und Produktfehlern, die entweder mehrheitlich oder von knapp jedem zweiten Unternehmen als Risiko wahrgenommen werden, handelt es sich bei allen übrigen Szenarien um Krisensituationen, die in der einen oder anderen Form durch Non-Compliance mit Gesetzen, Vorschriften und Richtlinien ausgelöst werden. In der Summe der verschiedenen Spielarten von Non-Compliance stellen sie ein großes Risiko für Unternehmenskrisen dar: Mehr als vier von fünf Unternehmen (83 Prozent) haben solche Krisensituationen in der einen oder anderen Form in der jüngeren Vergangenheit bereits durchgestanden oder halten sie in den nächsten beiden Jahren im eigenen Unternehmen für möglich. Damit ist das Gesamtrisikopotenzial von Non-Compliance in etwa so groß wie das von Cyber-Security-Vorfällen. Insgesamt lässt sich feststellen, dass fast alle Bedrohungsszenarien von größeren Unternehmen ab 1.000 Mitarbeitern deutlich häufiger wahrgenommen werden als von kleineren Unternehmen (in der Regel rund 10 Prozentpunkte höhere Nennungsanteile). 7

Deutsch

Arbeitsrecht
Studie: M&A Treiber für die digitale Transformation
Studie zum Krisenmanagement
Studie: Krisenkommunikation Aufsichtsrat
Leitfaden Datennutzung
Public M&A Report H1/2018
Legal issues of digitalisation in Europe
Whitepaper: Die EU-Strategie für einen digitalen Binnenmarkt