DSGVO: Unternehmen glauben nur, gut vorbereitet zu sein

Checkliste (Bild: Shutterstock/Karuka)

Das geht aus einer Umfrage im Auftrag von Veritas hervor. Demnach decken lediglich zwei Prozent der Unternehmen die Kernanforderungen tatsächlich ab. In der Selbsteinschätzung ging fast ein Drittel der Befragten davon aus. Probleme bereitet nicht zuletzt das in der DSGVO vorgesehene “Recht auf Vergessenwerden”.

Rund 31 Prozent der Unternehmen weltweit gehen davon aus, dass sie aktuell bereits die Anforderungen der Datenschutz-Grundverordnung der EU (DSGVO) erfüllen, deren Übergangsfrist im Mai 2018 endet. Das geht aus einer vom Marktforschungsunternehmen Vanson Bourne im Auftrag von Veritas durchgeführten Umfrage hervor. Dafür wurden 900 Führungskräfte von Firmen mit mindestens 1000 Mitarbeitern und Geschäftsbeziehung im EU-Raum aus Australien, Deutschland, Frankreich, Japan, Singapur, Südkorea, den USA und Großbritannien befragt. Am unvorbereitetsten zeigten sich generell Firmen aus Singapur, Japan und Korea.

Veritas (Bild: Veritas)

Die im “Veritas 2017 GDPR Report” (PDF) veröffentlichten Ergebnisse zeigen jedoch auch, dass sich die meisten der in Bezug auf die Erfüllung der Compliance-Vorgaben optimistischen Chefs wahrscheinlich täuschen. Denn bei den Möglichkeiten, spezifischen Regelungen der DSGVO erfüllen zu könne, mussten viele dann doch passen. “Berücksichtigt man auch diese Antworten, sind unter dem Strich nur noch zwei Prozent der Unternehmen weltweit tatsächlich auf die Verordnung vorbereitet”, teilt Veritas mit.

Von den Befragten, die in ihrer Selbsteinschätzung auf die Vorgaben der Verordnung bereits vorbereitet sind, sind sich zum Beispiel 48 Prozent nicht sicher, ob sie Einsicht in sämtliche Vorfälle haben, bei denen personenbezogene Daten verloren gehen können. 60 Prozent gehen davon aus, dass sie länger als 72 Stunden benötigen, um ein Datenleck zu entdecken und zu melden. Genau das ist aber eine wichtige Anforderung der DSGVO.

“Recht auf Vergessenwerden” nur unzureichend erfüllbar

Eine weitere wichtige Anforderung der DSGVO ist, dass Verbraucher das Recht haben, ihre personenbezogenen Daten aus Datenbanken von Unternehmen löschen zu lassen. Da derartige Daten oft in mehreren Systemen liegen oder mehrfach und teilweise unter unterschiedlichen Gesichtspunkten abgelegt wurden ist das Löschen dieser Daten “auf Knopfdruck” meist nahezu unmöglich. Das gilt der Veritas-Umfrage zufolge auch für Unternehmen, die sich bereits gut vorbereitet fühlen. 18 Prozent von ihnen gaben auf Nachfrage zu, personenbezogene Daten nicht zeitnah suchen, finden und löschen zu können.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Weitere 13 Prozent können Daten nicht im Hinblick darauf untersuchen, ob sie Referenzen zu Einzelpersonen enthalten und somit von der DSGVO erfasst werden. Veritas empfiehlt als Unterstützung hier den von ihm verfolgten Ansatz, mit dem visuell dargestellt wird, wo Daten überhaupt gespeichert werden.

Andreas Bechter, Regional Product Manager EMEA bei Veritas. (Bild: Veritas)
“Für Regelungen wie die DSGVO ist es wichtig zu verstehen, welche Daten in der Organisation vorhanden sind. Doch das ist nicht genug. Die Daten müssen so klassifiziert sein, dass Richtlinien auf sie angewendet werden können. Geschieht das nicht, kann es auch keine Compliance geben”, sagt Andreas Bechter, Regional Product Manager EMEA bei Veritas. (Bild: Veritas)

Ebenfalls bei 13 Prozent sind die Quellen der Daten und ihr Verwendungszweck nicht klar definiert. Damit erfüllen auch diese Firmen nicht die Vorgaben der DSGVO, wonach sicherzustellen ist, dass personenbezogene Daten ausschließlich für den ursprünglichen Verwendungszweck genutzt und danach gelöscht werden.

Ein weiterer, seit vielen Jahren wunder Punkt in vielen Unternehmen und nicht nur wegen der DSGVO problematisch ist der Umfrage zufolge das Löschen von Zugriffsrechten. Wenn Mitarbeiter aus dem Unternehmen ausscheiden, sollten sie schließlich keinen Zugriff auf Unternehmensdaten mehr haben. Dazu werden in der Regel seine Systemzugänge und Systemprofile gelöscht. Das funktioniert aber natürlich nur, wenn erstens dieser Vorgang auch zuverlässig angestoßen wird und zweitens alle zu löschenden Nutzerkonten und Zugriffsrechte auch bekannt sind.

Ungeklärte Verantwortlichkeiten

Genau an diesen beiden Punkten scheitert die Umsetzung in der Praxis aber oft. Erschwert wird das noch durch die zunehmende Anzahl an Log-ins zum Beispiel bei Cloud-Diensten. Werden die zum Beispiel nur von einer bestimmten Abteilung genutzt, dann weiß der für die Löschung der Zugriffsrechte Zuständige oft gar nichts davon. Auch bei der Hälfte der Unternehmen, die sich in der Veritas-Umfrage als “DSGVO-konform” bezeichneten, haben ehemalige Mitarbeiter weiterhin Zugriff auf Unternehmensdaten.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

49 Prozent der Befragten, die sich als selbst “DSGVO-ready” sehen, sind zudem nicht wirklich darüber im Bilde, wird die Verantwortung dafür trägt, dass Daten normgerecht aufbewahrt und verarbeitet werden. Sie sehen die Verantwortung dafür beim Cloud-Anbieter. Doch auch das ist ein Trugschluss. Denn das Unternehmen als Besitzer (Data Controller, wie es in der Verordnung heißt) bleibt immer verantwortlich und muss sicherstellen, dass der Datenverarbeiter (respektive “Data Processor”) entsprechend den Vorgaben handelt. Das hatte zum Beispiel die schwedische Transportbehörde bei der Übertragung von Daten an IBM und NCR nicht getan. Als das nach der Entlassung der Verantwortlichen jetzt herauskam, entwickelte sich daraus der bislang größte Datenskandal in der Geschichte Schwedens.