Die we­nigs­ten Fir­men sind auf die neu­en Da­ten­schutz­re­geln vor­be­rei­tet

Vie­le Un­ter­neh­men schei­nen die EU-Da­ten­schutz-Gr­und­ver­ord­nung (DSGVO) nicht ernst ge­nug zu neh­men. Das zei­gen zwei Stu­di­en, aber auch die zahl­rei­chen My­then, die sich um die künf­ti­gen Da­ten­schutz­re­geln ran­ken. Noch ist Zeit zum Han­deln, aber ab Mai 2018 d

Computerwoche - - Praxis - Von Jür­gen Hill, Team­lei­ter Tech­no­lo­gie

Nur zwei Pro­zent der Un­ter­neh­men sind aus­rei­chend auf die ab 25. Mai 2018 gel­ten­de Da­ten­schutz-Gr­und­ver­ord­nung (DSGVO) der EU vor­be­rei­tet, die auch als Ge­ne­ral Da­ta Pro­tec­tion Re­gu­la­ti­on (GDPR) be­zeich­net wird. Zu die­sem Er­geb­nis kommt der „Ve­ri­tas 2017 GDPR Re­port“, für den die Markt­for­scher von Van­son Bourne im Fe­bru­ar und März die­ses Jah­res 900 Füh­rungs­kräf­te aus Aus­tra­li­en, Deutsch­land, Frank­reich, Ja­pan, Sin­ga­pur, Süd­ko­rea, den USA und Groß­bri­tan­ni­en be­frag­ten. In­ter­es­san­ter­wei­se zeig­ten sich aber 31 Pro­zent über­zeugt, das ei­ge­ne Un­ter­neh­men er­fül­le die wich­tigs­ten Re­ge­lun­gen der DSGVO längst. Für ei­ne Er­klä­rung die­ses Miss­ver­hält­nis­ses bie­tet sich ein Blick auf ei­ne an­de­re Stu­die des Be­ra­tungs­hau­ses Car­mao an, die im Auf­trag von OpenText er­stellt wur­de. Dem­nach er­fül­len heute nicht ein­mal 38 Pro­zent der Un­ter­neh­men die der­zeit be­ste­hen­den Vor­ga­ben des Bun­des­da­ten­schutz­ge­set­zes. Und mehr als die Hälf­te zwei­felt da­ran, die Auf­la­gen der eu­ro­päi­schen Da­ten­schutz-Gr­und­ver­ord­nung frist­ge­recht er­fül­len zu kön­nen.

Ei­ne Ur­sa­che hier­für könn­te dar­in lie­gen, dass sich Fehl­in­for­ma­tio­nen zu den künf­tig gel­ten­den Da­ten­schutz­re­geln hart­nä­ckig in Un­ter­neh­men und Ge­sell­schaft hal­ten. Laut OpenText sind fol­gen­de fünf My­then die gän­gigs­ten Fal­schan­nah­men rund um das The­ma DSGVO:

1. Die Ver­ord­nung tritt in Deutsch­land noch

lan­ge nicht in Kraft Die Ver­ord­nung ist be­reits seit über ei­nem Jahr gül­tig, ge­setz­li­che Ver­fol­gung und Stra­fen wer­den je­doch erst ab Mai 2018 voll­zo­gen. Die DSGVO ist im ge­sam­ten EU-Raum so­wie in Groß­bri­tan­ni­en (trotz Br­ex­it) in Kraft. Be­hör­den müs­sen aber erst vom kom­men­den Jahr an recht­li­che Schrit­te bei Ver­stö­ßen ein­lei­ten. Die zu er­war­ten­den Geld­stra­fen sind hoch: bis

zu 20 Mil­lio­nen Eu­ro oder vier Pro­zent vom Jah­res­um­satz des Un­ter­neh­mens.

2. Die DSGVO gilt nur für Fir­men in der EU Auch das ist ein Irr­glau­be! Je­des Un­ter­neh­men welt­weit, das per­so­nen­be­zo­ge­ne Da­ten von EU-Bür­gern ver­wal­tet, muss sich an die neue Re­ge­lung hal­ten.

3. Die ver­wen­de­te Tech­no­lo­gie zum

Da­ten­schutz macht kei­nen Un­ter­schied Auch das ist nicht rich­tig. Un­ter­neh­men dür­fen in al­len re­le­van­ten Be­rei­chen nur Tech­no­lo­gi­en ver­wen­den, die auf dem ak­tu­el­len Stand sind. Die DSGVO schreibt so­gar ei­ni­ge Tech­no­lo­gi­en vor, wie bei­spiels­wei­se Ver­schlüs­se­lung, Da­ta Le­a­ka­ge Preven­ti­on oder Schutz­maß­nah­men zur Ab­wehr von Mal­wa­re. Au­ßer­dem muss be­stimm­te Soft­ware zur An­ony­mi­sie­rung von Da­ten be­zie­hungs­wei­se für ef­fek­ti­ve Zu­gangs­be­rech­ti­gun­gen vor­han­den sein.

4. Es wird nur gro­ße und be­kann­te Fir­men

tref­fen Die Ver­ord­nung gilt für al­le Un­ter­neh­men, un­ab­hän­gig wel­cher Grö­ße oder Bran­che. Un­ter an­de­rem sind Fir­men ver­pflich­tet, Ver­stö­ße ge­gen den Da­ten­schutz bin­nen 72 St­un­den zu mel­den. Wer al­so nicht auf­passt, er­höht das Ri­si­ko, die neu­en Re­geln zu ver­let­zen und den ei­ge­nen Ruf aufs Spiel zu set­zen.

5. Die Da­ten­schutz-Gr­und­ver­ord­nung ist ein

Pro­blem der IT Nein, die DSGVO liegt nicht in der Ver­ant­wor­tung der IT-Ex­per­ten, son­dern ist Auf­ga­be des Ma­nage­ments. Da­ten­schutz muss dem­nach Teil der Un­ter­neh­mens­kul­tur wer­den, was ho­he Kos­ten und in­ter­ne In­ter­es­sen­kon­flik­te im­pli­ziert.

Fir­men fehlt der Über­blick

Wie groß der Nach­hol­be­darf in den Un­ter­neh­men ist, zei­gen in der von Ve­ri­tas be­auf­trag­ten Stu­die die Ant­wor­ten auf Fra­gen zur Ein­hal­tung spe­zi­fi­scher GDPR-Re­geln. Die größ­ten Schwie­rig­kei­ten ha­ben Fir­men dem­nach da­mit, im Fall von Da­ten­ver­lus­ten den Über­blick zu be­hal­ten. Al­lein un­ter den Be­frag­ten, die ei­ge­ner Ein­schät­zung nach auf die Ver­ord­nung vor­be­rei­tet sind, hat fast die Hälf­te (48 Pro­zent) kei­nen Ein­blick in sämt­li­che Vor­fäl­le, bei de­nen per­so­nen­be­zo­ge­ne Da­ten ver­lo­ren ge­hen.

Sechs von zehn Be­frag­ten se­hen sich dem­zu­fol­ge nicht in der La­ge, ein Da­ten­leck bin­nen 72 St­un­den zu ent­de­cken und zu mel­den – da­bei ist ge­nau das ei­ne es­sen­zi­el­le For­de­rung aus der DSGVO. Ob Kran­ken­ak­te, E-Mail-Adres­se oder Pass­wort – mel­det ein Un­ter­neh­men den Ver­lust von per­so­nen­be­zo­ge­nen Da­ten zu spät, ver­letzt es die neu­en Re­ge­lun­gen.

Ge­fahr durch ehe­ma­li­ge Mit­ar­bei­ter

Ver­lässt ein Mit­ar­bei­ter das Un­ter­neh­men, darf er nicht län­ger auf Un­ter­neh­mens­da­ten zu­grei­fen kön­nen – so schreibt es das neue Da­ten­schutz­recht vor. Das funk­tio­niert in al­ler Re­gel, in­dem sei­ne Sys­tem­zu­gän­ge und -Pro­fi­le ge­löscht wer­den. Ei­gent­lich soll­te dies Teil ei­nes stan­dar­di­sier­ten und au­to­ma­ti­sier­ten Pro­zes­ses sein, der beim Aus­schei­den ei­nes Mit­ar­bei­ters an­ge­sto­ßen wird, um fi­nan­zi­el­le oder Image-Schä­den zu ver­mei­den. Trotz­dem er­klärt die Hälf­te der nach ei­ge­nen An­ga­ben DSGVO-kon­for­men Un­ter­neh­men, dass ih­re ehe­ma­li­gen Mit­ar­bei­ter wei­ter­hin auf Un­ter­neh­mens­da­ten zu­grei­fen kön­nen. Auch Fir­men, die von ih­rer DSGVO-Com­p­li­an­ce über­zeugt sind, sind dem­nach al­so wei­ter­hin an­fäl­lig für mög­li­che Si­cher­heits­lü­cken.

Recht auf Ver­ges­sen­wer­den macht Kum­mer

Laut DSGVO ha­ben al­le Ver­brau­cher das Recht, zu for­dern, dass ih­re per­so­nen­be­zo­ge­nen Da­ten aus Da­ten­ban­ken von Un­ter­neh­men ge­löscht wer­den. Das kann je­doch zu ei­nem Pro­blem wer­den – auch für Or­ga­ni­sa­tio­nen, die sich nach ei­ge­nen An­ga­ben bes­tens vor­be­rei­tet füh­len. 18 Pro­zent der be­frag­ten Ma­na­ger räu­men ein, per­so­nen­be­zo­ge­ne Da­ten nicht zeit­nah fin­den und lö­schen zu kön­nen.

Wei­te­re 13 Pro­zent se­hen sich nicht in der La­ge, ih­re Da­ten dar­auf­hin zu un­ter­su­chen, ob sie Re­fe­ren­zen zu Ein­zel­per­so­nen ent­hal­ten, oder zu vi­sua­li­sie­ren, wo Da­ten ge­spei­chert wer­den. Eben­falls 13 Pro­zent ge­ste­hen, dass die Qu­el- len der Da­ten und ihr Ver­wen­dungs­zweck in den ei­ge­nen Sys­te­men nicht klar de­fi­niert sind. Auch das ver­stößt ge­gen die DSGVO. Or­ga­ni­sa­tio­nen müs­sen si­cher­stel­len, dass per­so­nen­be­zo­ge­ne Da­ten aus­schließ­lich für den ur­sprüng­li­chen Ver­wen­dungs­zweck ver­wen­det und da­nach ge­löscht wer­den.

Gret­chen­fra­ge: Wer ist wo­für ver­ant­wort­lich?

Ein wei­te­res Er­geb­nis der Stu­die: Es wird falsch ein­ge­schätzt, wer für Da­ten in Cloud-Um­ge­bun­gen ver­ant­wort­lich ist. 49 Pro­zent der Be­frag­ten, die sich für DSGVO-com­p­li­ant hal­ten, se­hen die Ver­ant­wor­tung kom­plett beim Cloud-An­bie­ter (Cloud-Ser­vice-Pro­vi­der/CSP). Es ist je­doch ein Trug­schluss, an­zu­neh­men, mit der Über­ga­be der Da­ten an den Cloud-Be­trei­ber sei man aus dem Schnei­der. Das Un­ter­neh­men selbst als der „Be­sit­zer“der Da­ten oder als der „Da­ta Con­trol­ler“, wie es in der Ver­ord­nung heißt, bleibt ver­ant­wort­lich und muss si­cher­stel­len, dass ein CSP als so­ge­nann­ter Da­ten­ver­ar­bei­ter oder „Da­ta Pro­ces­sor“ent­spre­chend den Vor­ga­ben han­delt.

Letzt­lich zei­gen die Er­geb­nis­se, dass Or­ga­ni­sa­tio­nen, die sich be­reits als ge­set­zes­kon­form ein­stu­fen, ih­re Stra­te­gi­en über­den­ken soll­ten. „Es be­steht gro­ße Un­si­cher­heit dar­über, was ge­tan wer­den muss, um die Vor­ga­ben zu er­fül­len“, re­sü­miert Andre­as Bech­ter, Re­gio­nal Pro­duct Ma­na­ger EMEA bei Ve­ri­tas, mit Blick auf die Stu­di­en­er­geb­nis­se. „Doch der Count­down läuft, und al­le Miss­ver­ständ­nis­se soll­ten aus­ge­räumt sein, wenn die Ver­ord­nung nächs­tes Jahr gül­tig wird.“

Die Ver­ant­wort­li­chen in den Un­ter­neh­men müss­ten ver­ste­hen, wel­che Da­ten in der Or­ga­ni­sa­ti­on vor­han­den sind, rät der Ma­na­ger den Un­ter­neh­men. Zu­dem müss­ten die Da­ten so klas­si­fi­ziert sein, dass Richt­li­ni­en auf sie an­ge­wen­det wer­den kön­nen. „Ge­schieht das nicht, kann es auch kei­ne Com­p­li­an­ce ge­ben“, fol­gert Bech­ter.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.