Schlam­pi­ge Vor­be­rei­tung auf DSGVO

Die Hälf­te der deut­schen Fir­men hat sich noch nicht um die Um­set­zung der Da­ten­schutz-Gr­und­ver­ord­nung ge­küm­mert.

Computerwoche - - Vorderseite - Von Man­fred Brem­mer, Se­ni­or Edi­tor IoT & Mo­bi­le

Un­ter­neh­men in Deutsch­land bleibt nur noch ein gu­tes hal­bes Jahr Zeit, um sich auf die DSGVO ein­zu­stel­len: Am 25. Mai 2018 en­det die zwei­jäh­ri­ge Über­gangs­frist. Or­ga­ni­sa­tio­nen, die bis da­hin die An­for­de­run­gen nicht er­füllt ha­ben, müs­sen mit ho­hen Buß­gel­dern rech­nen. Über­ra­schend er­schei­nen da­her die Er­geb­nis­se ei­ner ak­tu­el­len Um­fra­ge von IDC un­ter 251 Un­ter­neh­men in Deutsch­land mit mehr als 20 Mit­ar­bei­tern. Hier ga­ben im­mer­hin 15 Pro­zent an, ih­re Com­pa­ny sei be­reits voll­stän­dig „com­p­li­ant“, wei­te­re 41 Pro­zent ha­ben ver­ein­zel­te Maß­nah­men um­ge­setzt. An­de­rer­seits er­klär­ten je­doch 44 Pro­zent, dass sie noch kei­ne kon­kre­ten tech­no­lo­gi­schen oder or­ga­ni­sa­to­ri­schen Maß­nah­men zur Vor­be­rei­tung auf die DSGVO ge­trof­fen hät­ten. Aus Sicht von IDC sind die­se Un­ter­neh­men da­mit min­des­tens neun Mo­na­te in Ver­zug und lau­fen Ge­fahr, nicht recht­zei­tig fer­tig zu wer­den.

Die Ana­lys­ten ver­mu­ten, dass vie­le Ent­schei­der die­ses Ver­säum­nis mut­wil­lig in Kauf neh­men. Ih­nen sei die Trag­wei­te ei­nes Ver­sto­ßes of­fen­sicht­lich nicht be­wusst. Sie rech­ne­ten nicht mit Kon­trol­len und schätz­ten Kon­se­quen­zen wie Straf­zah­lun­gen, Re­pu­ta­ti­ons­ver­lust oder das Ver­bot der Da­ten­ver­ar­bei­tung als nicht be­son­ders „be­droh­lich“ein.

Laut IDC be­deu­tet es ei­ne Men­ge Ar­beit, wenn Un­ter­neh­men die Com­p­li­an­ce hin­sicht­lich der neu­en Re­gu­la­ri­en si­chern wol­len. Der Um­fra­ge zu­fol­ge kann knapp ein Vier­tel (23 Pro­zent) der Un­ter­neh­men nicht nach­voll­zie­hen, wo es sei­ne Da­ten spei­chert. 27 Pro­zent kön­nen nicht ge­nau sa­gen, wer Zu­griff auf per­so­nen­be­zo­ge­ne Da­ten hat, und 34 Pro­zent sind sich nicht über die Lösch­fris­ten im Kla­ren. Dar­über hin­aus ge­ben 37 Pro­zent der Um­fra­ge­teil­neh­mer an, dass Do­ku­men­te un­kon­trol­liert auf Fi­leSer­vern un­ter der Ob­hut von Mit­ar­bei­tern lä­gen. Und ob­wohl der Groß­teil der Fir­men nach dem ak­tu­ell gül­ti­gen Bun­des­da­ten­schutz­ge­setz (BSDG) be­reits ei­nen Da­ten­schutz­be­auf­trag­ten be­ru­fen ha­ben müss­te, ist die­se Po­si­ti­on nicht ein­mal in je­dem fünf­ten Un­ter­neh­men (17 Pro­zent) be­setzt.

Die DSGVO ver­langt nicht nur ver­än­der­te Or­ga­ni­sa­ti­ons­struk­tu­ren, Un­ter­neh­men müs­sen auch be­stimm­te Pro­zes­se ein­füh­ren oder an­pas­sen. Im­mer­hin sind in den meis­ten Or­ga­ni­sa­tio­nen Ab­läu­fe vor­han­den, die hel­fen, das Da­ten­auf­kom­men zu ver­rin­gern. Auch wenn es gilt, Da­ten nach Ablauf der Spei­cher­frist zu lö­schen, sind 67 Pro­zent gut auf­ge­stellt. Das Lo­ka­li­sie­ren, Iden­ti­fi­zie­ren und Ver­wal­ten der Da­ten ha­ben 66 Pro­zent im Griff, das Lö­schen nach Wi­der­ruf ei­ner Ein­wil­li­gung brin­gen 65 Pro­zent zeit­nah zu­stan­de.

Den­noch gibt es im­mer noch ei­ne Rei­he von Fir­men, die kei­ne re­gel­kon­for­men Pro­zes­se ein­füh­ren wol­len. Dies gilt vor al­lem für ex­tern aus­ge­rich­te­te Ab­läu­fe wie bei­spiel­wei­se das Be­nach­rich­ti­gen von betroffenen Per­so­nen (53 Pro­zent) oder von Auf­sichts­be­hör­den (47 Pro­zent). Aus Sicht von IDC muss ge­nau über­prüft wer­den, wel­che Pro­zes­se im je­wei­li­gen Un­ter­neh­mens­kon­text re­le­vant sind und wie sie sich in IT-Lö­sun­gen ab­bil­den las­sen.

Drin­gen­der Hand­lungs­be­darf be­steht in vie­len Un­ter­neh­men auch, wenn es um den von der DSGVO ge­for­der­ten Ein­satz von Sta­te-of-theArt-Technologie geht. So sind Se­cu­ri­ty-Lö­sun­gen wie Breach und Le­a­ka­ge De­tec­tion, In­tru­si­on De­tec­tion und Th­re­at In­tel­li­gence wert­vol­le Tools, um Da­ten­lecks schnell auf­zu­de­cken. Laut IDC sind die­se Werk­zeu­ge je­doch in der Flä­che noch nicht um­fas­send im Ein­satz. Der An­pas­sung der IT-Sys­te­me kommt so­mit ei­ne zen­tra­le Rol­le zu, gleich­zei­tig wird sie von je­dem Fünf­ten als größ­te Her­aus­for­de­rung emp­fun­den.

Den Markt­for­schern zu­fol­ge wer­den die Fir­men um In­ves­ti­tio­nen vor al­lem im IT-Si­cher­heits­be­reich kaum her­um­kom­men. Grund­le­gen­de An­for­de­run­gen sind hier­bei der si­che­re Be­trieb der IT, ih­re per­ma­nen­te Über­wa­chung in Echt­zeit so­wie Maß­nah­men als Re­ak­ti­on auf Auf­fäl­lig­kei­ten im Sys­tem. Fast die Hälf­te der be­frag­ten Un­ter­neh­men (47 Pro­zent) plant denn auch, ver­stärkt in Cy­ber­se­cu­ri­ty zu in­ves­tie­ren. Laut IDC fehlt es ih­nen vor al­lem an um­fas­sen­den Schutz­me­cha­nis­men, um den un­ge­woll­ten Ab­fluss von per­so­nen­be­zo­ge­nen Da­ten zu ver­hin­dern. Laut Um­fra­ge ha­ben die be­frag­ten Be­trie­be zwar ei­ni­ge Maß­nah­men um­ge­setzt, et­wa die Ver­ga­be von Zu­griffs­rech­ten nur an re­le­van­te Per­so­nen (68 Pro­zent) so­wie den Ent­zug von nicht mehr be­nö­tig­ten Zu­griffs­rech­ten (62 Pro­zent). Ei­ne un­kon­trol­lier­te Ver­viel­fäl­ti­gung der Da­ten ist hin­ge­gen noch in vie­len Fäl­len mög­lich. So wird das Ko­pie­ren von ver­trau­li­chen Da­ten in an­de­re Da­tei­en nur bei 47 Pro­zent blo­ckiert. Auch das Ver­sen­den kri­ti­scher Da­ten per E-Mail ver­hin­dern erst 42 Pro­zent der Un­ter­neh­men. Mit­ar­bei­ter, die unacht­sam mit den Da­ten um­ge­hen und die­se leicht­sin­nig wei­ter­ge­ben und ver­viel­fäl­ti­gen, kön­nen in vie­len Fir­men al­so nach wie vor gro­ßen Scha­den an­rich­ten. Da­mit ist aus Sicht von IDC Är­ger pro­gram­miert: Ver­ant­wort­li­che, die kei­ne mo­der­nen Lö­sun­gen ein­set­zen und so­mit das Sta­te-of­the-Art-Prin­zip nicht er­fül­len, müs­sen dies künf­tig gut be­grün­den kön­nen. Die DSGVO for­dert ein­deu­tig, dass Tech­no­lo­gi­en, die dem Stand der Tech­nik ent­spre­chen, bei der Aus­wahl be­rück­sich­tigt wer­den müs­sen.

Es liegt so­mit auf der Hand, dass Un­ter­neh­men ge­gen­über Part­nern, Kun­den und Auf­sichts­be­hör­den in Er­klä­rungs­not ge­ra­ten kön­nen, wenn Mecha­nis­men zur Ver­mei­dung und Er­ken­nung von Da­ten­lecks nicht vor­han­den oder ver­al­tet sind und die Da­ten­trans­pa­renz nicht ge­währ­leis­tet ist. Aus die­sem Grund müs­sen die ge­sam­te In­for­ma­ti­ons­tech­no­lo­gie und auch Part­ner, die per­so­nen­be­zo­ge­ne Da­ten ver­ar­bei­ten, auf ih­re Da­ten­si­cher­heit ge­prüft wer­den.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.