Unternehmen in Deutschland bleibt nicht mehr viel Zeit, um sich auf die EU-Datenschutz-Grundverordnung (DSGVO) vorzubereiten - im Mai 2018 endet die zweijährige Übergangsfrist. Organisationen, die bis dahin die Anforderungen nicht erfüllen, drohen hohe Bußgelder.
Umso überraschender erscheinen die Ergebnisse einer aktuellen Umfrage von IDC unter 251 Unternehmen und Organisationen in Deutschland mit mehr als 20 Mitarbeitern. Hier gaben zwar immerhin 15 Prozent an, ihre Company sei bereits vollständig "compliant", weitere 41 Prozent haben bereits vereinzelte Maßnahmen umgesetzt.
Auf der anderen Seite erklärten jedoch 44 Prozent der befragten Unternehmen, dass sie noch keine konkreten technologischen oder organisatorischen Maßnahmen zur Vorbereitung auf die DSGVO getroffen haben. Aus Sicht von IDC sind diese Unternehmen damit mindestens neun Monate in Verzug und laufen Gefahr, alle relevanten Maßnahmen bis zum 25. Mai 2018 noch umsetzen zu können.
Wie sich an den Ergebnissen der Studie ablesen lässt, scheint dies aber vielen Entscheidern egal zu sein. Viele Unternehmen seien sich der Tragweite eines Verstoßes demnach offensichtlich nicht bewusst, folgert das Analystenhaus: Sie rechnen offenbar nicht mit Kontrollen und schätzen Konsequenzen wie Strafzahlungen, Reputationsverlust oder das Verbot der Datenverarbeitung als nicht besonders "bedrohlich" ein.
Ganzheitlicher Überblick über personenbezogene Daten fehlt
Dabei hätten viele Unternehmen alle Hände voll zu tun, die Frist einzuhalten, wenn man Datentransparenz als Basis für eine sichere Verarbeitung und die Einhaltung der Compliance nimmt: Der Umfrage zufolge wissen knapp ein Viertel (23 Prozent) der Befragten nicht, wo ihre Daten gespeichert werden, 27 Prozent können nicht genau sagen, wer Zugriff auf personenbezogene Daten hat und 34 Prozent sind die Löschfristen nicht bekannt.
Darüber hinaus geben 37 Prozent der Umfrageteilnehmer an, dass Dokumente unkontrolliert auf den Fileservern unter der Obhut der Mitarbeiter liegen. Und obwohl der Großteil der Unternehmen nach dem aktuell gültigen Bundesdatenschutzgesetz (BSDG) bereits einen Datenschutzbeauftragten beschäftigen müsste, ist diese Position erst bei 17 Prozent der befragten Unternehmen besetzt. Immerhin: 50 Prozent der befragten Unternehmen planen in den nächsten Monaten die Bestellung, einer der Treiber wird dabei sicher die Angst vor stärkeren Sanktionen resultierend aus der DSGVO sein.
Deutliche Lücken bei DSGVO-relevanten Prozessen
Neben Veränderungen in der Organisationsstruktur müssen Unternehmen allerdings auch DSGVO-relevante Prozesse einführen oder anpassen. Immerhin sind hier in den meisten Organisationen Prozesse, die beispielsweise für die Einhaltung des Datenschutzgrundsatzes der Datenminimierung notwendig sind, bereits vorhanden. Laut Umfrage sind Firmen bei der Löschung der Daten nach Ablauf der Speicherfrist (67 Prozent), der Lokalisierung, Identifizierung und Verwaltung der Daten (66 Prozent) sowie der Löschung der Daten nach Widerruf der Einwilligung (65 Prozent) bereits ganz gut aufgestellt.
Dennoch gibt es unter den Befragten immer noch nicht wenige Unternehmen, die keine Einführung aller relevanten Prozesse planen. Dies gilt insbesondere für extern ausgerichtete Prozesse, wie beispielweise die Benachrichtigung der betroffenen Person (53 Prozent) und der Aufsichtsbehörden (47 Prozent). Aus Sicht von IDC muss sehr genau geprüft werden, welche Prozesse im jeweiligen Unternehmenskontext relevant sind und wie diese Prozesse in IT-Lösungen abgebildet werden können.
Umstellung der IT-Systeme ist die größte Herausforderung
Dringender Handlungsbedarf besteht bei vielen Unternehmen auch, wenn es um den von der DSGVO geforderten Einsatz von State-of-the-Art-Technologie geht. So sind Next-Gen-Security-Lösungen wie Breach und Leakage Detection, Intrusion Detection und Threat Intelligence wertvolle Tools, um Datenlecks möglichst schnell aufzudecken. Diese sind laut IDC jedoch in der Fläche noch nicht umfassend im Einsatz. Der Anpassung der IT-Systeme kommt somit eine zentrale Rolle zu, gleichzeitig wird sie von jedem Fünften als größte Herausforderung empfunden.
Nach IDC-Einschätzungen sind Investitionen in den meisten Fällen dennoch erforderlich, besonderen Handlungsbedarf sehen die Marktforscher im Hinblick auf IT-Security. Grundlegende Anforderungen sind hierbei der sichere Betrieb der IT, ihre permanente Überwachung in Echtzeit und Maßnahmen als Reaktion auf Auffälligkeiten im System.
Fast die Hälfte der befragten Unternehmen - konkret sind es 47 Prozent - planen in den kommenden Monaten verstärkt in Cyber Security zu investieren. Aus IDC-Sicht ist dies auch dringend notwendig, denn Sicherheitsrisiken und Angriffsszenarien auf personenbezogene Daten lassen sich nur mit moderner Technologie effizient abwehren. Dem Erkennen und Beseitigen von Datenlecks sowie dem Aufspüren und Bekämpfen von Sicherheitsverletzungen kommt dabei eine zentrale Bedeutung zu.