DSGVO: Erst ein Drittel der IT- und Digitalunternehmen bereitet sich vor

Datenflut (Bild: Shutterstock/Nomad_Soul)

Das geht aus einer Umfrage des Bitkom hervor. Auch andere Umfragen und Studien kommen zu ähnlichen Werten. Dabei drängt die Zeit: In gut elf Monaten endet die Übergangsfrist, dann drohen empfindliche Strafen. Umsetzungsmuffeln will der Bitkom mit Praxisleitfäden auf die Sprünge helfen.

Die EU-Datenschutzgrundverordnung (EU-DSGVO, englisch GDPR) ist eine der umfassendsten Regelungen zum Umgang mit personenbezogenen Daten und zum Datenschutz. Die Regelung ist eigentlich schon in Kraft, lediglich die Übergangsfrist endet am 25. Mai 2018. Ab dann drohen Firmen, die die Vorgaben missachten, empfindliche Strafen. Dennoch ist das Bewusstsein für die Dringlichkeit auch bei IT-Firmen noch gering, wie eine Umfrage des Bitkom jetzt gezeigt hat.

Bitkom (Bild: Bitkom)

Darin hat jedes fünfte der befragten IT- und Digitalunternehmen angegeben, dass es sich noch gar nicht mit dem Thema beschäftigt hat. Ein Drittel hat zumindest erste Maßnahmen eingeleitet oder umgesetzt. 42 Prozent der befragten Firmen beschäftigen sich aktuell mit dem Thema, haben aber noch keine Maßnahmen ergriffen. 5 Prozent wollten oder konnten keine Angaben machen.

Im Herbst vergangenen Jahres hatte der Bitkom Unternehmen mit mehr als 20 Mitarbeitern aus allen Branchen befragt. Damals hatten 32 Prozent der Befragten erklärt, sich mit der DSGVO noch nicht beschäftigt zu haben. 12 Prozent wussten überhaupt nicht, worum es dabei geht.

PartnerZone

Effektive Meeting-und Kollaboration-Lösungen

Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.

Andere Umfragen kommen zu ähnlichen Ergebnissen. In einer von NetApp durchgeführten Umfrage unter jeweils 750 IT-Entscheidern in Deutschland, Frankreich und UK haben nur 37 Prozent der Befragten angegeben, dass sie zusätzlich investiert haben, um gesetzeskonforme Datenschutzprozesse zu realisieren. Und mehr als 70 Prozent der befragten IT-Entscheider in Deutschland, Frankreich und UK hatten Bedenken, ob ihre Organisation die einheitlichen EU-Datenschutz-Vorgaben bis zum 25. Mai 2018 erfüllen kann. Auch von den vom Bitkom befragten IT- und Digitalunternehmen, die bereits erste Maßnahmen begonnen haben, haben nach eigener Einschätzung erst 31 Prozent höchstens 20 Prozent der notwendigen Arbeiten erledigt.

DSGVO bringt auch “Privacy by Design” und “Privacy by Default”

Mühe werden den Unvorbereiteten nach Ansicht von Dr. Dierk Schindler, Head of EMEA Legal & Deal Management sowie Head of Global Legal Shared Services bei NetApp, auch zwei Vorschriften für IT-Services machen. Beide sollen das bereits nach bisheriger Gesetzeslage bestehende Prinzip der Datensparsamkeit verbessern.

Zum einen handelt es sich um “Privacy by Design”. Demnach muss jede Datenhaltungsapplikation, die mit personenbezogenen Daten umgeht, so konzipiert sein, dass sie den Datenschutz sicherstellt. Die zweite zentrale Vorgabe ist “Privacy by Default”. Sie schreibt für Anwendungen vor, im Grundzustand, also im Rahmen der Voreinstellungen, den Datenschutz zu gewährleisten. Demnach müssen Unternehmen den Datenschutz also bereits beim Produktdesign berücksichtigen. Wer sich zu beiden, in vielen Fällen meist komplexen Umsetzungsszenarien noch keine Gedanken gemacht hat, für den wird es langsam höchste Zeit.

Auch eine von Vanson Bourne im Auftrag von Veritas Ende 2016 durchgeführte Umfrage stellte den Verantwortlichen kein gute Zeugnis aus. Demnach waren damals rund die Hälfte der Unternehmen nicht auf die EU-Datenschutz-Grundverordnung vorbereitet. Ein wichtiges, in den anderen Umfragen nicht so zutage getretenes Problem ist der Untersuchung zufolge Unklarheit darüber, wer denn in den Unternehmen eigentlich für die Einhaltung von Datenschutzrichtlinien verantwortlich sein soll.

 Datenfragmentierung (Bild: Shutterstock)
Ein wichtiges, oft aber noch nicht in seinem ganzen Ausmaß erkanntes Problem der EU-DSGVO ist die Datenfragmentierung (Bild: Shutterstock)

So sehen 32 Prozent der Befragten den Chief Information Officer in der Pflicht, 21 Prozent den Chief Information Security Officer. Für 14 Prozent der Umfrageteilnehmer ist das eine Aufgabe des Chief Executive Officer, rund zehn Prozent sind der Meinung, die Verantwortung liege in den Händen des Chief Data Officer – sofern es den denn gibt. Insgesamt sorgten sich 40 Prozent aller Befragten, dass die DSGVO für ihr Unternehmen Compliance-Probleme verursachen könnte.

Unterschätzte Fallstricke der DSGVO

Nach Ansicht von Veritas stellt die DSGVO Firmen vor allem aufgrund der Fragmentierung von Daten und dem fehlende Einblick in die Daten vor Probleme. Insbesondere die zunehmende Verwendung schwer kontrollierbarer Speicherorte in der Cloud und die Nutzung von File-Sharing-Diensten von Kunden bereite Unternehmen im Hinblick auf Compliance schlaflose Nächte.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Noch unvorbereiteter sind deutsche Firmen einer Studie vom Compuware zufolge, die nicht nur allgemein nach der DSGVO gefragt, sondern auch Details dazu abgeklopft hat. Demnach haben vor allem Organisationen, die komplexe Daten verarbeiten, derzeit erst selten Antworten darauf, wie sie sicherstellen können, zu jeder Zeit angeben zu können, wo sich Daten befinden.

Nur 59 Prozent der Unternehmen können sämtliche Daten zu einer Person schnell lokalisieren. Das aber ist eine wichtige Voraussetzung für die Gewährleistung des “Rechts auf Vergessen werden”, das die DSGVO ab dem 25. Mai 2018 vorschreibt. Etwa ein Drittel der Befragten kann nicht garantieren, dass sie alle Kundendaten so finden können, wie es die EU-DSGVO fordert.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

Gartner-Analyst Jürgen Fritsch wies auf dem CIO-Summit in München Mitte Mai zudem darauf hin, dass vor allem die so genannten “Dark Data” für Unternehmen ein Risiko darstellen. “Wenn Sie wüssten, dass sie diese Daten haben, dann wären es keine Dark Data”, so Fritsch. Fakt aber sei, dass es solche Daten in jedem Unternehmen gebe. Sie kämen beispielsweise dadurch zustande, dass Mitarbeiter komplexe Abfragen kopieren und in einem “Dump” speichern, um die investierte Arbeit nicht zu löschen.

“Allmählich wird die Zeit knapp, um die Vorgaben der Datenschutz-Grundverordnung umzusetzen. Die Übergangsfrist bis Mai 2018 war dafür gedacht, dass die IT-Unternehmen bis dahin die teilweise aufwändigen Vorarbeiten leisten können – dies setzt aber eine aktive Beschäftigung mit dem Thema voraus”, erklärt Susanne Dehmel, Geschäftsleiterin Vertrauen und Sicherheit beim Bitkom. Wie diverse Verpflichtungen aus der Verordnung praktisch umgesetzt werden können erklärt der Verband in Praxisleitfäden zu den Themen “Verarbeitungsverzeichnis”, “Risk Assessment und Datenschutzfolgenschutzabschätzung” sowie “Mustervertragsanlage zur Auftragsverarbeitung”. Sie stehen auf der Bitkom-Webseite kostenlos zum Download bereit.