Nur noch zwei Monate bis zur DSGVO
Keiner kann so tun, als hätte er von nichts gewusst
Es sind nur noch zwei Monate, bis am 25. Mai europaweit die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt. Dennoch gehen deutsche Unternehmen die Vorbereitungen für die Umsetzung offenbar nicht mit der erforderlichen Ernsthaftigkeit an. Anders ist es wohl nicht zu erklären, dass knapp die Hälfte der hierzulande ansässigen Unternehmen (44 Prozent) noch keine konkreten technologischen oder organisatorischen Maßnahmen zur Erfüllung der Anforderungen getroffen haben. 27 Prozent der deutschen Unternehmen glauben auch nicht, bis zum Stichtag „compliant“ zu sein. Der Mittelstand tut sich offenbar besonders schwer: Hier gaben sogar 40 Prozent der Befragten an, dass sie skeptisch sind, alle relevanten Maßnahmen fristgerecht umsetzen zu können.
Das zumindest ergab eine Umfrage des Analystenhauses IDC unter 251 Unternehmen und Organisationen in Deutschland mit mehr als 20 Mitarbeitern. Das Ergebnis der Studie „EU-Datenschutz-Grundverordnung in Deutschland – Der Countdown läuft!“ stellen wir Ihnen heute vor.
Lichtblicke
Immerhin, es gibt auch Gutes zu vermelden: 15 Prozent der befragten Unternehmen schätzen sich schon heute als vollständig compliant ein. Ob sie es tatsächlich in vollem Umfang sind, sei dahingestellt. 41 Prozent der Befragten gaben an, zumindest vereinzelte Maßnahmen initiiert zu haben.
DSGVO umsetzen: Es gibt viel zu tun …
Dabei gibt es viel zu tun. Ohne an dieser Stelle auf Einzelheiten einzugehen, müssen Unternehmen ihre Datenschutzpraxis überprüfen und ihr Datenschutzmanagement an die Vorgaben der DSGVO anpassen und weiterentwickeln. Da jedes Unternehmen sein eigenes Geschäftsmodell verfolgt und damit auch unterschiedliche Datenverarbeitungsvorgänge durchführt, gibt es jedoch nicht die eine Musterlösung. Stehen also beispielsweise für Anbieter einer Gesundheits-App die Vorschriften für Gesundheitsdaten im Vordergrund, muss sich ein Cloud-Anbieter genauer mit den neuen Haftungsregeln auseinandersetzen.
Dabei ist die Umsetzung der DSGVO weniger ein Technik-Thema als vielmehr ein Prozess. Wer jetzt schon hinterherhinkt, wird es kaum schaffen, alle relevanten Maßnahmen bis zum 25. Mai noch umsetzen zu können. Das Problem bei der ganzen Sache aber ist: Organisationen, die bis zum Starttermin im Mai die Anforderungen der DSGVO nicht erfüllen, drohen existenzvernichtende Bußgelder: Strafzahlungen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro können verhängt werden, je nachdem welcher Wert höher ist
… Warten wir´s ab?
Unterschätzen deutsche Unternehmen etwa die Anforderungen der DSGVO? Ist ihnen vielleicht das Ausmaß der Verstöße nicht bewusst? Genau das wollte auch die IDC wissen und fragte konkret nach. Die Antworten dürften selbst die Analysten nicht kalt gelassen haben: Es scheint vielen Entscheidern schlicht und einfach egal zu sein. Unternehmen rechnen offenbar nicht mit Kontrollen und schätzen Konsequenzen wie Strafzahlungen, Reputationsverlust oder das Verbot der Datenverarbeitung als nicht besonders „bedrohlich“ ein. Fakt ist: Aktuell bauen die meisten Bundesländer die Prüfstellen noch auf. Darauf zu hoffen, »wo kein Kläger, da kein Richter«, wird nicht funktionieren, denn die Behörden sind gehalten, streng zu kontrollieren.
Fehlender Überblick über personenbezogene Daten
Dabei hätten viele Unternehmen alle Hände voll zu tun, die Frist einzuhalten, wenn man Datentransparenz als Basis für eine sichere Verarbeitung und die Einhaltung der Compliance nimmt: Der Umfrage zufolge, wissen 23 Prozent der Befragten nicht, wo ihre Daten gespeichert werden, ein Viertel kann nicht genau sagen, wer Zugriff auf personenbezogene Daten hat und einem Drittel der Umfrageteilnehmer sind die Löschfristen nicht bekannt. Außerdem gaben 37 Prozent an, dass Dokumente unkontrolliert auf den Fileservern der Mitarbeiter liegen.
Wo ist eigentlich der Datenschutzbeauftragte?
Alle für die Studie befragten Unternehmen müssten schon nach dem derzeit gültigen Bundesdatenschutzgesetz (BSDG) einen Datenschutzbeauftragten stellen – Unternehmen ab 10 Mitarbeitern brauchen ihn schließlich. Und doch ist diese Position erst bei 17 Prozent der Befragten besetzt! Weitere 50 Prozent planen die Bestellung eines Datenschutzbeauftragten in den nächsten Monaten. Liegt dieser Sinneswandel vielleicht doch in der Angst vor den verschärften Sanktionen der DSGVO begründet?
Das klappt schon: Datenminimierung
Um für die DSGVO gewappnet zu sein, müssen Unternehmen etliche DSGVO-relevante Prozesse einführen oder ihre bestehenden Prozesse anpassen. Dazu gehört auch das Prinzip der Datenminimierung: „Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden“ heißt es dazu in der Verordnung. Die IDC fand heraus, dass in den meisten Organisationen bereits entsprechende Prozesse vorhanden sind: Die befragten Unternehmen sind bei der Löschung der Daten nach Ablauf der Speicherfrist (67 Prozent), der Lokalisierung, Identifizierung und Verwaltung der Daten (66 Prozent) sowie der Löschung der Daten nach Widerruf der Einwilligung (65 Prozent) bereits gut aufgestellt.
Luft nach oben bei extern ausgerichteten Prozessen
Dennoch gibt es eine Reihe von Unternehmen, die nicht alle DSGVO-relevanten Prozesse einführen wollen. Dazu zählen insbesondere Prozesse, die nach außen gerichtet sind: Mehr als die Hälfe der Befragten (53 Prozent) plant keine Einführung relevanter Prozesse bei der Benachrichtigung betroffener Personen im Falle von Verletzungen des Schutzes personenbezogener Daten. Ähnliche Zahlen zeigen sich auch für die Einführung von Prozessen zur Benachrichtigung von Aufsichtsbehörden bei Datenpannen: 47 Prozent der befragten Unternehmen plant hier keine konkreten Prozesse.
Beides sind eigentlich wesentliche Aspekte im Hinblick auf die DSGVO-Konformität! Nach Ansicht von IDC muss genau geprüft werden, welche Prozesse im jeweiligen Unternehmenskontext relevant sind und wie diese Prozesse in IT-Lösungen abgebildet werden können.
Wollen Sie
hohe Bußgelder bei Verstößen gegen die neue DSGVO verhindern? Dann melden Sie sich zu unseren
Webinaren und
Workshops an, um zu erfahren, welche gezielten Maßnahmen Sie in den nächsten Monaten ergreifen sollten. Lesen Sie auch in unserem
neuesten Whitepaper, welche juristischen Facetten besonders zu beachten sind.
Herausforderung: IT-Systeme nach Stand der Technik
Die DSGVO fordert von Unternehmen die Ergreifung technisch-organisatorische Maßnahmen, die dem Stand der Technik entsprechen, um Datenlecks effektiv aufzudecken. IT-Verantwortliche, die künftig keine modernen Lösungen einsetzen und damit das „State of the Art“-Prinzip nicht erfüllen, müssen dies gut begründen können. Dass Unternehmen gegenüber Partnern, Kunden und Aufsichtsbehörden in Erklärungsnot kommen werden, wenn Mechanismen zur Vermeidung und Erkennung von Datenlecks nicht vorhanden oder veraltet sind und die Datentransparenz nicht gewährleistet ist, ist eine logische Konsequenz.
IDC verweist in diesem Zusammenhang auf Next-Gen-Security-Lösungen wie Breach und Leakage Detection, Intrusion Detection und Threat Intelligence. Laut Umfrageergebnissen sind diese jedoch noch nicht flächendeckend im Einsatz – ein Umstand, der sich nach Einschätzung von IDC schnellstens ändern muss. Allerdings empfindet jedes Fünfte befragte Unternehmen genau das aber auch als Herausforderung.
Nachholbedarf bei Data Loss Prevention und Breach Detection
Besonderen Handlungsbedarf sehen die Marktforscher bei der IT-Security. Knapp die Hälfte der befragten Unternehmen (47 Prozent) plant in den kommenden Monaten verstärkt in IT-Sicherheit zu investieren. Ein Vorhaben, dass aus Sicht von IDC auch dringend notwendig ist. Denn Sicherheitsrisiken und Angriffsszenarien auf personenbezogene Daten lassen sich nur mit moderner Technologie effizient abwehren. Die zentrale Rolle kommt dabei der Erkennung und Beseitigung von Datenlecks sowie dem Aufspüren und Bekämpfen von Sicherheitsverletzungen zu.
Ausgerechnet hier fehlt es allerdings noch an umfassenden Schutzmechanismen. Wenngleich einige Maßnahmen bereits umgesetzt wurden – zum Beispiel bestätigten 68 Prozent der Befragten dass Zugriffsrechte nur an relevante Personen vergeben werden und 62 Prozent nicht mehr benötigte Zugriffsrechte entzogen haben – ist eine unkontrollierte Vervielfältigung von Daten in vielen Fällen noch möglich. So wird nur bei 47 Prozent der Befragten das Kopieren von vertraulichen Daten blockiert und nur 42 Prozent haben Mechanismen eingeführt, die das Versenden vertraulicher Daten per E-Mail verhindern. Wir kommen nicht umhin, an dieser Stelle noch einmal warnend den Finger zu heben und dringend um Nachbesserung zu ersuchen. Denn Mitarbeiter, die unachtsam mit Firmen- und Kundendaten umgehen, können großen Schaden anrichten.
Der Countdown läuft – die neue DSGVO kommt. Ab Mai 2018 gibt es
keine Ausreden mehr, wenn die neuen EU-Datenschutzanforderungen in den Unternehmen nicht umgesetzt wurden.
Aufsichtbehörden prüfen dies rigoros und bei Nichteinhaltung drohen empfindliche Geldstrafen. Wie Sie sich konsequent auf die neue Gesetzgebung vorbereiten, erfahren Sie in diesem Artikel.
Der Beitrag DSGVO umsetzen – Unternehmen sind nicht ausreichend vorbereitet erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.