Start Nachrichten Datenschutz-Grundverordnung: Bedrohung wird verkannt

Datenschutz-Grundverordnung: Bedrohung wird verkannt

Laut einer aktuellen Studie von IDC gaben 44 Prozent der in Deutschland befragten Unternehmen an, dass sie noch keine konkreten technologischen oder organisatorischen Maßnahmen zur Vorbereitung auf die EU-Datenschutz-Grundverordnung (DSGVO) getroffen haben. Im Mai 2018 läuft die Übergangsfrist für die DSGVO ab. Unternehmen drohen empfindliche Strafen, wenn sie bis dahin nicht deren Anforderungen genügen.

NICHT MEHR VIEL ZEIT bleibt Unternehmen in Deutschland, um sich auf die EU-Datenschutz-Grundverordnung (DSGVO) vorzubereiten – im Mai 2018 endet die Übergangsfrist. Organisationen, die bis dahin nicht compliant sind, müssen künftig mit hohen Bußgeldern rechnen.

Um Einblicke in die aktuelle Situation, Herausforderungen sowie die zu erwartenden Aktivitäten zur Anpassung der Organisationsstrukturen, Prozesse und Technologien an die neuen gesetzlichen Anforderungen hinsichtlich der DSGVO zu erhalten, hat IDC im August 2017 insgesamt 251 Unternehmen und Organisationen in Deutschland mit mehr als 20 Mitarbeitern befragt.

Fristgerechte Umsetzung ist oft gefährdet

44 Prozent der befragten Unternehmen geben an, dass sie noch keine konkreten technologischen oder organisatorischen Maßnahmen zur Vorbereitung auf die DSGVO getroffen haben. „Dieses Ergebnis ist alarmierend“, sagt Laura Hopp, Consultant bei IDC. „Wir gehen davon aus, dass Unternehmen, die erst jetzt damit beginnen, sich mit dem Thema auseinanderzusetzen, mindestens neun Monate in Verzug sind. Es bleibt abzuwarten, ob die Firmen diese Herkulesaufgabe bis zum 25. Mai 2018 noch stemmen können“, so Hopp weiter. Mittelständische Unternehmen tun sich offenbar besonders schwer. Hier gaben 40 Prozent der Befragten zu Protokoll, dass sie skeptisch sind, alle relevanten Maßnahmen fristgerecht umsetzen zu können.

Tragweite der Bedrohung wird verkannt

An den Ergebnissen der Studie lässt sich ablesen, dass die Vorbereitungen auf die DSGVO offenbar nicht mit der erforderlichen Ernsthaftigkeit angegangen werden. Ein Grund hierfür ist, dass viele Unternehmen offenbar nicht mit Kontrollen rechnen und Konsequenzen wie Strafzahlungen, Reputationsverlust oder das Verbot der Datenverarbeitung als nicht besonders „bedrohlich“ einschätzen. Viele Entscheider sind sich der Tragweite eines Verstoßes demnach offensichtlich nicht bewusst.

Datentransparenz bildet die Grundlage

Datentransparenz ist die Basis für eine sichere Verarbeitung und die Einhaltung der Compliance. Umso erschreckender, dass 23 Prozent der Befragten nicht wissen, wo ihre Daten gespeichert werden. 27 Prozent können nicht genau sagen, wer Zugriff auf personenbezogene Daten hat und 34 Prozent sind die Löschfristen nicht bekannt. Darüber hinaus geben 37 Prozent der Befragten an, dass Dokumente unkontrolliert auf den Fileservern unter der Obhut der Mitarbeiter liegen. Um die Grundsätze der DSGVO wie das „Recht auf Vergessenwerden“ oder die Datenminimierung überhaupt erfüllen zu können, ist ein ganzheitlicher Überblick auf die Daten zwingend notwendig. „Hier muss deutlich nachgebessert werden“, betont Hopp. „Neben der Pflichterfüllung im Hinblick auf die DSGVO vereinfachen gut aufbereitete Daten die Digitalisierung aller Geschäftsprozesse und sorgen für eine bessere Verknüpfung von Prozessketten.“

Datenschutzbeauftragten kommt Schlüsselrolle zu

Obwohl dem Datenschutzbeauftragten bei der Überwachung der Einhaltung der DSGVO eine Schlüsselrolle zukommt, ist diese Position erst bei 17 Prozent der befragten Unternehmen besetzt. Dieses Ergebnis ist mehr als überraschend, da der Großteil der Unternehmen nach dem aktuell gültigen Bundesdatenschutzgesetz bereits einen Datenschutzbeauftragten beschäftigen müsste. Immerhin planen 50 Prozent der befragten Unternehmen in den nächsten Monaten die Bestellung. Stärkere Sanktionen resultierend aus der DSGVO werden hierbei einer der Treiber sein. Hinzu kommt, dass die steigende Flut an Daten im Rahmen der Digitalisierung diese Position für Organisationen immer wichtiger macht.

Deutliche Lücken bei DSGVO-relevanten Prozessen erkennbar

Neben Organisationsstrukturen müssen auch DSGVO-relevante Prozesse eingeführt oder angepasst werden. Prozesse, die beispielsweise für die Einhaltung des Datenschutzgrundsatzes der Datenminimierung notwendig sind, sind in den meisten Organisationen bereits vorhanden, so sind Firmen bei der Löschung der Daten nach Ablauf der Speicherfrist (67 Prozent), der Lokalisierung, Identifizierung und Verwaltung der Daten (66 Prozent) sowie der Löschung der Daten nach Widerruf der Einwilligung (65 Prozent) bereits ganz gut aufgestellt.

Dennoch gibt es unter den Befragten immer noch nicht wenige Unternehmen, die keine Einführung aller relevanten Prozesse planen. Dies gilt insbesondere für extern ausgerichtete Prozesse, wie beispielweise die Benachrichtigung der betroffenen Person (53 Prozent) und der Aufsichtsbehörden (47 Prozent). Aus Sicht von IDC muss sehr genau geprüft werden, welche Prozesse im jeweiligen Unternehmenskontext relevant sind und wie diese Prozesse in IT-Lösungen abgebildet werden können.

Umstellung der IT-Systeme bildet größte Herausforderung

Keine Frage: Der effiziente Schutz personenbezogener Daten ist ohne Informationstechnologie nicht realisierbar. „Die DSGVO fordert den Einsatz von State-of-the-Art-Technologie“, sagt Matthias Zacher, Manager Research & Consulting bei IDC . Next-Gen-Security-Lösungen wie Breach und Leakage Detection, Intrusion Detection und Threat Intelligence sind wertvolle Tools, um Datenlecks möglichst schnell aufzudecken. „Diese sind jedoch in der Fläche noch nicht umfassend im Einsatz“, berichtet Zacher und betont: „Hier sehen wir dringenden Handlungsbedarf.“

Der Anpassung der IT-Systeme kommt somit eine zentrale Rolle zu, gleichzeitig wird sie von jedem Fünften als größte Herausforderung empfunden. Nach IDC Einschätzungen sind Investitionen in den meisten Fällen erforderlich, besonderen Handlungsbedarf sieht IDC im Hinblick auf IT-Security.Grundlegende Anforderungen sind hierbei der sichere Betrieb der IT, ihre permanente Überwachung in Echtzeit und Maßnahmen als Reaktion auf Auffälligkeiten im System.

Fast die Hälfte der befragten Unternehmen – konkret sind es 47 Prozent – planen in den kommenden Monaten verstärkt in Cyber Security zu investieren. Aus IDC Sicht ist dies auch dringend notwendig, denn Sicherheitsrisiken und Angriffsszenarien auf personenbezogene Daten lassen sich nur mit moderner Technologie effizient abwehren. Dem Erkennen und Beseitigen von Datenlecks sowie dem Aufspüren und Bekämpfen von Sicherheitsverletzungen kommt dabei eine zentrale Bedeutung zu.

Deutlicher Nachholbedarf bei Data Loss Prevention und Breach Detection

Der ungewollte Abfluss von personenbezogenen Daten muss zwingend verhindert werden. Dafür fehlt es allerdings noch eindeutig an umfassenden Schutzmechanismen. Zwar haben die befragten Unternehmen einige Maßnahmen bereits umgesetzt: Vergabe von Zugriffsrechte nur an relevante Personen (68 Prozent) sowie Entzug von nicht mehr benötigten Zugriffsrechten (62 Prozent).

Eine unkontrollierte Vervielfältigung der Daten ist hingegen noch in vielen Fällen möglich. So wird das Kopieren von vertraulichen Daten in andere Dateien nur bei 47 Prozent blockiert. Auch das Versenden vertraulicher Daten per E-Mail verhindern erst 42 Prozent der Unternehmen. Mitarbeiter, die unachtsam mit den Daten umgehen und diese leichtsinnig weitergeben und vervielfältigen, können in vielen Firmen also nach wie vor großen Schaden anrichten.

Verantwortliche, die keine moderne Lösungen einsetzen und somit das „State of the Art“-Prinzip nicht erfüllen, müssen laut IDC dies künftig gut begründen können. Denn die DSGVO fordere eindeutig, dass Technologien, die dem Stand der Technik entsprechen bei der Auswahl berücksichtigt werden.

Dabei liege es auf der Hand, dass Unternehmen gegenüber Partnern, Kunden und Aufsichtsbehörden in Erklärungsnot kämen, wenn Mechanismen zur Vermeidung und Erkennung von Datenlecks nicht vorhanden oder veraltet seien und die Datentransparenz nicht gewährleistet sei. „Aus diesem Grund müssen die gesamte Informationstechnologie und auch Partner, die personenbezogene Daten verarbeiten, auf ihre Datensicherheit geprüft werden“, empfiehlt IDC-Manager Zacher.
Eine Zusammenfassung der aktuellen Studie können Anwenderunternehmen kostenfrei hier anfordern.
Die Biografien der Autoren finden Sie unter folgenden Links:
Laura Hopp
Matthias Zacher
hei


Anzeige

IT-Matchmaker.guide CRM-Lösungen

Diese Marktübersicht enthält:

  • Produktübersicht mit mehr als 250 Lösungen
  • Anbieterprofile und Anwenderberichte
  • Studienergebnisse „CRM in der Praxis 2017/2018“
  • Fachbeiträge neutraler Experten zu aktuellen Themen

Zum IT-Matchmaker.guide CRM-Lösung 2017 bitte hier klicken