Schlampige Vorbereitung auf DSGVO
Die Hälfte der deutschen Firmen hat sich noch nicht um die Umsetzung der Datenschutz-Grundverordnung gekümmert.
Unternehmen in Deutschland bleibt nur noch ein gutes halbes Jahr Zeit, um sich auf die DSGVO einzustellen: Am 25. Mai 2018 endet die zweijährige Übergangsfrist. Organisationen, die bis dahin die Anforderungen nicht erfüllt haben, müssen mit hohen Bußgeldern rechnen. Überraschend erscheinen daher die Ergebnisse einer aktuellen Umfrage von IDC unter 251 Unternehmen in Deutschland mit mehr als 20 Mitarbeitern. Hier gaben immerhin 15 Prozent an, ihre Company sei bereits vollständig „compliant“, weitere 41 Prozent haben vereinzelte Maßnahmen umgesetzt. Andererseits erklärten jedoch 44 Prozent, dass sie noch keine konkreten technologischen oder organisatorischen Maßnahmen zur Vorbereitung auf die DSGVO getroffen hätten. Aus Sicht von IDC sind diese Unternehmen damit mindestens neun Monate in Verzug und laufen Gefahr, nicht rechtzeitig fertig zu werden.
Die Analysten vermuten, dass viele Entscheider dieses Versäumnis mutwillig in Kauf nehmen. Ihnen sei die Tragweite eines Verstoßes offensichtlich nicht bewusst. Sie rechneten nicht mit Kontrollen und schätzten Konsequenzen wie Strafzahlungen, Reputationsverlust oder das Verbot der Datenverarbeitung als nicht besonders „bedrohlich“ein.
Laut IDC bedeutet es eine Menge Arbeit, wenn Unternehmen die Compliance hinsichtlich der neuen Regularien sichern wollen. Der Umfrage zufolge kann knapp ein Viertel (23 Prozent) der Unternehmen nicht nachvollziehen, wo es seine Daten speichert. 27 Prozent können nicht genau sagen, wer Zugriff auf personenbezogene Daten hat, und 34 Prozent sind sich nicht über die Löschfristen im Klaren. Darüber hinaus geben 37 Prozent der Umfrageteilnehmer an, dass Dokumente unkontrolliert auf FileServern unter der Obhut von Mitarbeitern lägen. Und obwohl der Großteil der Firmen nach dem aktuell gültigen Bundesdatenschutzgesetz (BSDG) bereits einen Datenschutzbeauftragten berufen haben müsste, ist diese Position nicht einmal in jedem fünften Unternehmen (17 Prozent) besetzt.
Die DSGVO verlangt nicht nur veränderte Organisationsstrukturen, Unternehmen müssen auch bestimmte Prozesse einführen oder anpassen. Immerhin sind in den meisten Organisationen Abläufe vorhanden, die helfen, das Datenaufkommen zu verringern. Auch wenn es gilt, Daten nach Ablauf der Speicherfrist zu löschen, sind 67 Prozent gut aufgestellt. Das Lokalisieren, Identifizieren und Verwalten der Daten haben 66 Prozent im Griff, das Löschen nach Widerruf einer Einwilligung bringen 65 Prozent zeitnah zustande.
Dennoch gibt es immer noch eine Reihe von Firmen, die keine regelkonformen Prozesse einführen wollen. Dies gilt vor allem für extern ausgerichtete Abläufe wie beispielweise das Benachrichtigen von betroffenen Personen (53 Prozent) oder von Aufsichtsbehörden (47 Prozent). Aus Sicht von IDC muss genau überprüft werden, welche Prozesse im jeweiligen Unternehmenskontext relevant sind und wie sie sich in IT-Lösungen abbilden lassen.
Dringender Handlungsbedarf besteht in vielen Unternehmen auch, wenn es um den von der DSGVO geforderten Einsatz von State-of-theArt-Technologie geht. So sind Security-Lösungen wie Breach und Leakage Detection, Intrusion Detection und Threat Intelligence wertvolle Tools, um Datenlecks schnell aufzudecken. Laut IDC sind diese Werkzeuge jedoch in der Fläche noch nicht umfassend im Einsatz. Der Anpassung der IT-Systeme kommt somit eine zentrale Rolle zu, gleichzeitig wird sie von jedem Fünften als größte Herausforderung empfunden.
Den Marktforschern zufolge werden die Firmen um Investitionen vor allem im IT-Sicherheitsbereich kaum herumkommen. Grundlegende Anforderungen sind hierbei der sichere Betrieb der IT, ihre permanente Überwachung in Echtzeit sowie Maßnahmen als Reaktion auf Auffälligkeiten im System. Fast die Hälfte der befragten Unternehmen (47 Prozent) plant denn auch, verstärkt in Cybersecurity zu investieren. Laut IDC fehlt es ihnen vor allem an umfassenden Schutzmechanismen, um den ungewollten Abfluss von personenbezogenen Daten zu verhindern. Laut Umfrage haben die befragten Betriebe zwar einige Maßnahmen umgesetzt, etwa die Vergabe von Zugriffsrechten nur an relevante Personen (68 Prozent) sowie den Entzug von nicht mehr benötigten Zugriffsrechten (62 Prozent). Eine unkontrollierte Vervielfältigung der Daten ist hingegen noch in vielen Fällen möglich. So wird das Kopieren von vertraulichen Daten in andere Dateien nur bei 47 Prozent blockiert. Auch das Versenden kritischer Daten per E-Mail verhindern erst 42 Prozent der Unternehmen. Mitarbeiter, die unachtsam mit den Daten umgehen und diese leichtsinnig weitergeben und vervielfältigen, können in vielen Firmen also nach wie vor großen Schaden anrichten. Damit ist aus Sicht von IDC Ärger programmiert: Verantwortliche, die keine modernen Lösungen einsetzen und somit das State-ofthe-Art-Prinzip nicht erfüllen, müssen dies künftig gut begründen können. Die DSGVO fordert eindeutig, dass Technologien, die dem Stand der Technik entsprechen, bei der Auswahl berücksichtigt werden müssen.
Es liegt somit auf der Hand, dass Unternehmen gegenüber Partnern, Kunden und Aufsichtsbehörden in Erklärungsnot geraten können, wenn Mechanismen zur Vermeidung und Erkennung von Datenlecks nicht vorhanden oder veraltet sind und die Datentransparenz nicht gewährleistet ist. Aus diesem Grund müssen die gesamte Informationstechnologie und auch Partner, die personenbezogene Daten verarbeiten, auf ihre Datensicherheit geprüft werden.