DSGVO – Mehrzahl deutscher Unternehmen noch nicht vorbereitet

Die EU-DSGVO bringt für Unternehmen neue Anforderungen an den Datenschutz. Doch in vielen Fällen reicht es nicht, einfach einen Schalter umzulegen. Prozesse und die Infrastruktur müssen angepasst werden, der organisatorische und technische Aufwand ist in manchen Fällen erheblich.

In einer aktuellen Umfrage zeigt der Spezialist für Datensicherung und Archivierung Commvault, dass 57 Prozent der deutschen Unternehmen noch immer nicht mit der Umsetzung der DSGVO beziehungsweise GDPR begonnen haben. Immerhin noch mehr als die Hälfte aller Anwender habe auch noch nicht evaluiert, wo und im welchen Umfang Anpassungen an die eigene Datenverarbeitung und Archivierung nötig sind. So können auch 52 Prozent der Unternehmen derzeit keine Aussagen darüber treffen, wie lange sie brauchen, um eine Datum zu finden oder eine Anfrage von einem Verbraucher zu beantworten.

Commvault_DSGVO_Grafik

Auf Unternehmen dürften aber im erheblichen Umfang solche Anfragen zukommen, denn viele Verbraucher werden mit dem Inkrafttreten der DSGVO im Mai 2018 auch von ihrem neuen Rechten gebrauch machen und Auskünfte und Lösungen einfordern. Laut einer weiteren Commvault-Studie sollen mehr als zwei Drittel der Verbraucher entsprechende Lösungen einfordern.

Doch kaum ein Unternehmen ist derzeit personell oder auch technisch auf eine Flut von solchen Anfragen vorbereitet. Hinzu kommt, dass 53 Prozent der IT-Abteilungen garnicht alle Speicherorte nennen können, an denen personenbezogene Daten gespeichert sind. Lediglich eine Minderheit der Unternehmen von 14 Prozent sei in der Lage, mit einem Klick sämtliche Daten zu einer Person aufzulisten. Etwa 33 Prozent könnten aktuell nicht angeben, wie lange sie für die Filterung von bestimmten Personendaten brauchen.

35 Prozent der Unternehmen sind zudem noch nicht organisatorisch auf die neuen Aufgaben vorbereitet und es ist nicht klar, wer sich um Anfragen kümmert soll. 45 Prozent der Unternehmen wollen dies dem Datenschutzbeauftragten übertragen. Doch in größeren Organisationen kann dies schnell zu einer Aufgabe werden, die von einer Person nicht mehr gestemmt werden kann. Vor allem dann, wenn IT-Infrastruktur und Prozesse nicht auf den Ansturm vorbereitet sind. Die Verordnung schreibt vor, dass Anfragen binnen Monatsfrist abgearbeitet werden müssen. Bei Überlastung droht Gefahr, dass diese Vorgabe nicht eingehalten werden kann.

Die Meldefrist für Datenlecks ist eine weitere Anforderung. 45 Prozent der Unternehmen können aktuell nicht eindeutig sagen, ob sie einen Vorfall binnen 72 Stunden entdecken und melden können. Organisationen riskieren dann nicht nur hohe Strafen, sondern unter Umständen auch ihren Ruf.

In Anbetracht des ernüchternden Ergebnisses ist es erstaunlich, dass 86 Prozent der Geschäftsführer die Einhaltung dieser Anforderungen an andere Organisationen übergeben, obwohl laut Vorschrift die Geschäftsführer persönlich für die Einhaltung haftbar gemacht werden können. Etwa die Hälfte der Organisationen sieht hier den Datenschutzbeauftragten in der Pflicht.

Noch haben die Verantwortlichen Zeit zu handeln und die aufgedeckten Schwachstellen bei der Umsetzung der Europäischen Datenschutzgrundverordnung zu beseitigen. Mittelfristig drohen allerdings empfindliche Konsequenzen, für die Organisation, den Ruf und den wirtschaftlichen Erfolg.

Newsletter CEO
Die wichtigsten Informationen für das C-Level-Management - melden Sie sich jetzt für unseren Newsletter an.