Unternehmen in Deutschland bleibt nicht mehr viel Zeit, um sich auf die EU-Datenschutz-Grundverordnung (DSGVO) vorzubereiten - im Mai 2018 endet die zweijährige Übergangsfrist. Organisationen, die bis dahin die Anforderungen nicht erfüllen, drohen hohe Bußgelder.
Umso überraschender erscheinen die Ergebnisse einer aktuellen Umfrage von IDC unter 251 Unternehmen und Organisationen in Deutschland mit mehr als 20 Mitarbeitern. Hier gaben zwar immerhin 15 Prozent an, ihre Company sei bereits vollständig "compliant", weitere 41 Prozent haben bereits vereinzelte Maßnahmen umgesetzt.
Auf der anderen Seite erklärten jedoch 44 Prozent der befragten Unternehmen, dass sie noch keine konkreten technologischen oder organisatorischen Maßnahmen zur Vorbereitung auf die DSGVO getroffen haben. Aus Sicht von IDC sind diese Unternehmen damit mindestens neun Monate in Verzug und laufen Gefahr, alle relevanten Maßnahmen bis zum 25. Mai 2018 noch umsetzen zu können.
Wie sich an den Ergebnissen der Studie ablesen lässt, scheint dies aber vielen Entscheidern egal zu sein. Viele Unternehmen seien sich der Tragweite eines Verstoßes demnach offensichtlich nicht bewusst, folgert das Analystenhaus: Sie rechnen offenbar nicht mit Kontrollen und schätzen Konsequenzen wie Strafzahlungen, Reputationsverlust oder das Verbot der Datenverarbeitung als nicht besonders "bedrohlich" ein.
Ganzheitlicher Überblick über personenbezogene Daten fehlt
Dabei hätten viele Unternehmen alle Hände voll zu tun, die Frist einzuhalten, wenn man Datentransparenz als Basis für eine sichere Verarbeitung und die Einhaltung der Compliance nimmt: Der Umfrage zufolge wissen knapp ein Viertel (23 Prozent) der Befragten nicht, wo ihre Daten gespeichert werden, 27 Prozent können nicht genau sagen, wer Zugriff auf personenbezogene Daten hat und 34 Prozent sind die Löschfristen nicht bekannt.
Darüber hinaus geben 37 Prozent der Umfrageteilnehmer an, dass Dokumente unkontrolliert auf den Fileservern unter der Obhut der Mitarbeiter liegen. Und obwohl der Großteil der Unternehmen nach dem aktuell gültigen Bundesdatenschutzgesetz (BSDG) bereits einen Datenschutzbeauftragten beschäftigen müsste, ist diese Position erst bei 17 Prozent der befragten Unternehmen besetzt. Immerhin: 50 Prozent der befragten Unternehmen planen in den nächsten Monaten die Bestellung, einer der Treiber wird dabei sicher die Angst vor stärkeren Sanktionen resultierend aus der DSGVO sein.
Deutliche Lücken bei DSGVO-relevanten Prozessen
Neben Veränderungen in der Organisationsstruktur müssen Unternehmen allerdings auch DSGVO-relevante Prozesse einführen oder anpassen. Immerhin sind hier in den meisten Organisationen Prozesse, die beispielsweise für die Einhaltung des Datenschutzgrundsatzes der Datenminimierung notwendig sind, bereits vorhanden. Laut Umfrage sind Firmen bei der Löschung der Daten nach Ablauf der Speicherfrist (67 Prozent), der Lokalisierung, Identifizierung und Verwaltung der Daten (66 Prozent) sowie der Löschung der Daten nach Widerruf der Einwilligung (65 Prozent) bereits ganz gut aufgestellt.
Dennoch gibt es unter den Befragten immer noch nicht wenige Unternehmen, die keine Einführung aller relevanten Prozesse planen. Dies gilt insbesondere für extern ausgerichtete Prozesse, wie beispielweise die Benachrichtigung der betroffenen Person (53 Prozent) und der Aufsichtsbehörden (47 Prozent). Aus Sicht von IDC muss sehr genau geprüft werden, welche Prozesse im jeweiligen Unternehmenskontext relevant sind und wie diese Prozesse in IT-Lösungen abgebildet werden können.
Umstellung der IT-Systeme ist die größte Herausforderung
Dringender Handlungsbedarf besteht bei vielen Unternehmen auch, wenn es um den von der DSGVO geforderten Einsatz von State-of-the-Art-Technologie geht. So sind Next-Gen-Security-Lösungen wie Breach und Leakage Detection, Intrusion Detection und Threat Intelligence wertvolle Tools, um Datenlecks möglichst schnell aufzudecken. Diese sind laut IDC jedoch in der Fläche noch nicht umfassend im Einsatz. Der Anpassung der IT-Systeme kommt somit eine zentrale Rolle zu, gleichzeitig wird sie von jedem Fünften als größte Herausforderung empfunden.
Nach IDC-Einschätzungen sind Investitionen in den meisten Fällen dennoch erforderlich, besonderen Handlungsbedarf sehen die Marktforscher im Hinblick auf IT-Security. Grundlegende Anforderungen sind hierbei der sichere Betrieb der IT, ihre permanente Überwachung in Echtzeit und Maßnahmen als Reaktion auf Auffälligkeiten im System.
Fast die Hälfte der befragten Unternehmen - konkret sind es 47 Prozent - planen in den kommenden Monaten verstärkt in Cyber Security zu investieren. Aus IDC-Sicht ist dies auch dringend notwendig, denn Sicherheitsrisiken und Angriffsszenarien auf personenbezogene Daten lassen sich nur mit moderner Technologie effizient abwehren. Dem Erkennen und Beseitigen von Datenlecks sowie dem Aufspüren und Bekämpfen von Sicherheitsverletzungen kommt dabei eine zentrale Bedeutung zu.
Deutlicher Nachholbedarf bei Schutzmaßnahmen
Gleichzeitig fehlt es allerdings noch an umfassenden Schutzmechanismen, um den ungewollten Abfluss von personenbezogenen Daten zu verhindern. Laut Umfrage haben die befragten Unternehmen zwar einige Maßnahmen bereits umgesetzt, etwa die Vergabe von Zugriffsrechte nur an relevante Personen (68 Prozent) sowie den Entzug von nicht mehr benötigten Zugriffsrechten (62 Prozent).
Eine unkontrollierte Vervielfältigung der Daten ist hingegen noch in vielen Fällen möglich. So wird das Kopieren von vertraulichen Daten in andere Dateien nur bei 47 Prozent blockiert. Auch das Versenden vertraulicher Daten per E-Mail verhindern erst 42 Prozent der Unternehmen. Mitarbeiter, die unachtsam mit den Daten umgehen und diese leichtsinnig weitergeben und vervielfältigen, können in vielen Firmen also nach wie vor großen Schaden anrichten.
Damit ist aus Sicht von IDC Ärger vorprogrammiert: Verantwortliche, die keine moderne Lösungen einsetzen und somit das "State of the Art"-Prinzip nicht erfüllen, müssen dies künftig gut begründen können. Die DSGVO fordert nämlich eindeutig, dass Technologien, die dem Stand der Technik entsprechen, bei der Auswahl berücksichtigt werden. Es liegt somit auf der Hand, dass Unternehmen gegenüber Partnern, Kunden und Aufsichtsbehörden in Erklärungsnot kommen, wenn Mechanismen zur Vermeidung und Erkennung von Datenlecks nicht vorhanden oder veraltet sind und die Datentransparenz nicht gewährleistet ist. Aus diesem Grund müssen die gesamte Informationstechnologie und auch Partner, die personenbezogene Daten verarbeiten, auf ihre Datensicherheit geprüft werden.
DSGVO: Mehr als eine lästige Pflicht
Wie die Studie zeigt, haben viele Unternehmen in Deutschland noch nicht erkannt oder verstanden, dass die DSGVO ein wichtiges Regelwerk zur Verbesserung und Vereinheitlichung des Datenschutzes in Europa ist. Sie adressiert aktuelle Anforderungen an den Datenschutz, die sich im Zuge der Digitalisierung aus neuen Geschäftsmodellen, unterschiedlichen Nutzungsszenarien und einer veränderten Haltung gegenüber personenbezogenen Daten ergeben.
Die Gewährleistung der DSGVO-Compliance sollte daher mehr sein als nur lästige Pflicht mit Blick auf den Datenschutz, so IDC. Transparente personenbezogene Daten erleichtern und fördern die Automatisierung vieler Geschäftsprozesse und treiben damit die Digitalisierung voran - ein echter Mehrwert für die Stärkung der Firmen im Wettbewerb. Unternehmen, die diesen Schritt schon gegangen sind - das zeigen zahlreiche IDC Studien - konnten sich hier bereits Vorteile verschaffen.
Und letztendlich werden Organisationen ohnehin nicht um das Thema DSGVO herumkommen, so das Fazit der Studienbetreiber. Der umfassende Schutz der Daten und der sichere IT-Betrieb sind entscheidende Voraussetzungen, um als vertrauenswürdiger Partner in digitalen Ökosystemen agieren zu können. Die DSGVO wird somit zu einem Schlüsselfaktor der digitalen Transformation in Deutschland, in Europa und darüber hinaus.