Die aktuelle Ausgabe des jährlich erstellten Data Security Confidence Index (DSCI) von Gemalto liefert Einblicke in die Situation in Unternehmen nach dem Ende der Übergangsfrist für die DSGVO am 25. Mai 2018. Für die Studie wurden 1.050 IT-Entscheider und 10.500 Verbraucher in den wichtigsten Wirtschaftsräumen weltweit befragt. Demnach erfüllen eigener Einschätzung nach 68 Prozent aller Organisationen die aktuellen rechtlichen Anforderungen im Bereich Datenschutz nicht. Nur 54 Prozent wissen, wo alle ihre vertraulichen Daten gespeichert sind.
Dagegen glauben 90 Prozent der Verbraucher, dass Unternehmen geltende Datenschutzvorgaben fristgerecht umgesetzt haben und ihre Kundendaten geschützt sind. Die Einhaltung der Datenschutzbestimmungen durch Unternehmen halten ebenfalls 90 Prozent der befragten Verbraucher für wichtig.
Über die Hälfte der Verbraucher glaubt zudem zu wissen, wie Verbraucherdaten geschützt werden sollten. Es ist also zu erwarten, dass sie dieses Wissen - unabhängig davon, ob es dem tatsächlichen Sachstand entspricht - in der Kommunikation mit Unternehmen und in möglichen Unstimmigkeiten zur Datenverwendung, anwenden werden.
In Deutschland ist die Situation etwas besser. Dennoch sind eigener Einschätzung zufolge auch hier 32 Prozent der Firmen immer noch nicht DSGVO-konform. 37 Prozent der hierzulande befragten Organisationen gaben an, dass sich der Firmenalltag durch die DSGVO stark verändert hat.
Lesetipp: EU-Datenschutz-Grundverordnung - Potenzial für Systemhäuser
Generell zeigt der Gemalto Data Security Confidence Index (DSCI), dass Firmen nur etwa ein Drittel der von ihnen erhobenen Nutzerdaten wirklich benötigen und auch darauf zurückgreifen. Dennoch werden weitere Daten nach wie vor erhoben und gespeichert. Das verstößt gegen den Grundsatz der Datensparsamkeit. Dafür schreibt die EU "Privacy by Design" und "Privacy by Default" vor.
Daten klassifizieren und Risiken bewerten
In Vorbereitung auf das Ende der DSGVO-Übergangsfrist hatte zum Beispiel Erwin Ritter, Datenschutzbeauftragter für Axians Deutschland und Leiter Organisation und Prozesse bei Axians Infoma GmbH, empfohlen: "Als erstes müssen sich Unternehmen klar machen, welche personenbezogenen Daten sie speichern und verarbeiten. Das bildet die Grundlage, um überhaupt Daten zu klassifizieren und Risiken zu bewerten."
Lesetipp: Eine Woche DSGVO - "Und die Welt steht noch"
"Wenn Unternehmen nicht in der Lage sind, alle von ihnen gesammelten Daten zu analysieren, können sie auch deren Wert nicht verstehen - und das bedeutet, dass sie nicht wissen, wie sie die geeigneten Sicherheitskontrollen für diese Daten anwenden können", kommentiert Jason Hart, Vice President und CTO für Data Protection bei Gemalto, die Umfrageergebnisse.
Hart fordert daher einen Kurswechsel. "Unternehmen müssen erkennen, dass es nicht mehr die Frage ist, ob eine Datenschutzverletzung eintritt, sondern wann diese erfolgt, und ihr wertvollstes Gut - ihre Daten - durch Encryption, Zwei-Faktor-Authentifizierung und Key-Managment schützen, statt sich nur auf den Perimeter-Schutz zu konzentrieren."