Unternehmen setzen die europäische Datenschutzgrundverordnung (DSGVO) langsamer um als angenommen. So kommentiert das Capgemini Research Institute eine Befragung von rund 1.100 Entscheidern aus verschiedenen Branchen weltweit. In der Erhebung erklären 28 Prozent, DSGVO-konform zu arbeiten. Weitere 30 Prozent sehen die Vorgaben in ihrem Unternehmen als "weitgehend" erfüllt an.
Wie ein Blick auf die Länder zeigt, haben die USA die Nase vorn: Hier sehen sich 35 Prozent DSGVO-konform. Es folgen Deutschland und Großbritannien mit jeweils 33 Prozent. Das Schlusslicht bildet Schweden: lediglich 18 Prozent der Unternehmen erklären, compliant zu operieren.
Capgemini wollte auch wissen, woran Compliance-Initiativen scheitern. 38 Prozent nennen dabei Schwierigkeiten mit der Anpassung bestehender IT-Systeme. 36 Prozent scheitern außerdem an der Komplexität der regulatorischen Anforderungen. Weitere 33 Prozent beklagen zu hohe Kosten. Hinzu kommt der Aufwand für Kundenanfragen: Jedes zweite US-amerikanische Unternehmen hat bereits mehr als tausend Anfragen durch Verbraucher erhalten, deren Daten gespeichert sind. In Deutschland gilt das für 36 Prozent der Firmen.
Betrachtet man den Nutzen der DSGVO, zeigen sich 92 Prozent der konformen Unternehmen zufrieden. Sie bescheinigen sich "Vorteile". Konkret sprechen sie von optimierten Maßnahmen zur Cybersicherheit (91 Prozent) und von optimierten Transformationsprozessen (89 Prozent) sowie von verbesserten IT-Systemen (87 Prozent). Als weitere Vorteile nennen sie gestiegenes Kundenvertrauen (84 Prozent), ein besseres Image (81 Prozent) und mehr "Moral" auf Seiten der Mitarbeiter (79 Prozent). 76 Prozent erwirtschaften mehr Umsatz.
Konforme Unternehmen verfügen über modernere IT
Stichwort IT-Systeme: Laut den Studienergebnissen verfügen die bereits konformen Unternehmen über modernere Technologie als der Rest des Feldes. 84 Prozent (versus 73 Prozent) arbeiten mit Cloud-Plattformen. 70 Prozent (versus 55 Prozent) verschlüsseln ihre Daten und 35 Prozent (versus 27 Prozent) nutzen Robotic Process Automation (RPA).
82 Prozent derer, die die DSGVO umsetzen, stellen sicher, dass ihre Technologieanbieter die Datenschutzbestimmungen ebenfalls einhalten. 61 Prozent überprüfen auch, ob ihre Vertragsnehmer das tun.
Capgemini gibt Entscheidern vier Ratschläge in Sachen Compliance:
1. Datenschutz in die Firmenkultur einbetten: Das setzt voraus, dass Jemand als verantwortlich erklärt wird. Wichtig sei, das Verarbeiten personenbezogener Daten genau zu dokumentieren und ein "Datenschutz-Netzwerk" aus "Data Protection" Officers zu implementieren. Außerdem habe eine Firmenkultur, die Datenschutz ausreichend würdigt, auch eine "weiche" Seite: sie adressiere ethische Fragen rund um Daten. Das kann sich zum Beispiel auf Modelle für das Trainieren von KI-Systemen (Künstliche Intelligenz) beziehen.
2. KI (Künstliche Intelligenz) nutzen: Unternehmen müssen den Weg jeder personenbezogenen Information während des Speicherns und Bearbeitens nachverfolgen können. Hier unterstützen KI-Tools. Durch die möglichen hohen Strafen bei DSGVO-Verstößen bekommt auch Sicherheit nochmals mehr Beachtung. KI-Lösungen helfen in Punkten wie Identitäts- und Zugangs-Management, Pseudonymisierung, Verschlüsselung und Schutz vor Datenverlust.
Compliance wird zu iGRC
3. Risiko-Management industrialisieren: Im Gegensatz zu einem Ad hoc-Vorgehen untersucht ein industrialisierter Ansatz beim Risiko-Management ständig die Verletzlichkeit der Systeme. Außerdem priorisiert er Gefährdungen. Capgemini rät, ein SOC (Security Operations Center) einzurichten.
4. Durch integriertes GRC den Schutz erhöhen: Das Kürzel GRC steht für Governance, Risk, Compliance. Ein kleines "i" davor bedeutet integriert. Konkret: Firmen müssen regeln, welches Budget sie freigeben, wann welche Audits anstehen, welche Policies gelten (und wie oft diese aktualisiert werden) und wie sie Bewusstsein für iGRC schaffen. Integriertes GRC schließt alle Partner des Unternehmens ein.