Hälfte der Unternehmen nicht auf Datenschutz-Grundverordnung vorbereitet

Bislang haben sich nicht einmal die Hälfte der Unternehmen Gedanken darüber gemacht, wie sie wenigstens ein Mindestmaß an Compliance mit der Datenschutz-Grundverordnung (DSGVO) der EU erreichen können. Das geht aus einer von Vanson Bourne im Auftrag von Veritas durchgeführten Studie hervor, für die 2500 IT-Verantwortliche in Europa, dem Nahen Osten, Afrika, den Vereinigten Staaten und dem Pazifikraum befragt wurden.

Die Datenschutz-Grundverordnung ist bereits seit dem 25. Mai 2016 offiziell in Kraft. Die Umsetzung in den EU-Mitgliedstaaten ist auf zwei Jahre ausgelegt. Mit dem Stichtag 25. Mai 2018 endet die Übergangsfrist. Bis dahin müssen Unternehmen die Umsetzung in die Praxis abgeschlossen haben. Nach diesem Datum können Datenschutzbehörden Bußgelder verhängen.

Die DSGVO hinsichtlich Datensicherheit, Speicherung und Governance vereinheitlichen. Unternehmen müssen dafür transparenter als bisher darlegen, wie und wo vertrauliche, personenbezogene Daten weitergegeben und gespeichert werden. Außerdem muss dokumentiert sein, wie der Zugriff auf diese Informationen überwacht und kontrolliert wird. Die DSGVO gilt auch für Firmen, die außerhalb der EU ansässig sind, aber innerhalb der EU Dienst anbieten.

Der Veritas-Umfrage zufolge haben sich jedoch 54 Prozent aller Organisationen noch nicht damit befasst, wie sie DSGVO-Compliance herstellen können. Die Ergebnisse decken sich zum großen Teil mit denen anderer Untersuchungen, auf die zum Beispiel auch Trend Micro verweist. Aus den Antworten der für Veritas befragten IT-Verantwortlichen geht zudem hervor, dass vor allem Fragen zu operativen Maßnahmen, Compliance und Planung noch offen sind. Insbesondere wer letztendlich für den Prozess verantwortlich zeichnet, wer die Richtlinien für die Datenbereinigung festlegt und wer dafür sorgt, dass Löschpflichten eingehalten werden ist meist noch offen.

32 Prozent der Befragten sehen den Chief Information Officer in der Pflicht, 21 Prozent dagegen den Chief Information Security Officer. Für 14 Prozent soll der Chief Executive Officer diese Aufgabe übernehmen und rund zehn Prozent sind der Meinung, die Verantwortung liege in den Händen des Chief Data Officer. Da 40 Prozent aller Befragten sich sorgen, dass ihr Unternehmen Probleme mit der DSGVO-Compliance bekommen könnte ist ihnen wohl vielfach auch bewusst, dass die Zeit nicht mehr lang ist, bis die Regelung dann im Mai 2018 auch greift – und dass bis dahin noch viel zu tun ist.

Nach Ansicht von Veritas stellt die DSGVO Firmen vor allem aufgrund der Fragmentierung von Daten und dem fehlende Einblick in die Daten vor Probleme. Für 35 Prozent der Befragten ist das die größte Sorge. Insbesondere die zunehmende Verwendung schwer kontrollierbarer Speicherorte in der Cloud und die Nutzung von File-Sharing-Diensten von Kunden bereite Unternehmen im Hinblick auf Compliance schlaflose Nächte.

Das wundert nicht: Ein Viertel der Umfrageteilnehmer verwendet Cloud-basierte Dienste wie Box, Google Drive, Dropbox, EMC Simplicity oder Microsoft OneDrive, obwohl diese nicht zu den Unternehmensrichtlinien konform sind. Darauf, das hier durch die kommenden Datenschutzregelungen Ungemach droht, hat im Herbst bereits der Cloud-Security-Spezialist Skyhigh Networks hingewiesen. Er berief sich dabei auf Zahlen einer von ihm durchgeführten Analyse von 20.000 Cloud-Services.

Davon entsprachen im September lediglich 6 Prozent den Vorgaben der EU-Datenschutz-Grundverordnung. Die anderen fielen aufgrund Datenspeicherort, nicht fristgerechten Information nach Sicherheitsvorfällen oder unzureichenden Praktiken bei der Datenlöschung nach Vertragskündigung durch. Auch Vorgaben wie die Berücksichtigung des Datenschutzes bei der Produktentwicklung (Privacy by Design) und Durchführung einer Datenschutz-Folgenabschätzung wurden nicht eingehalten.

48 Prozent der im Auftrag von Veritas befragten IT-Verantwortlichen sorgen sich denn auch, dass bei der Übermittlung zwischen Standorten und Systemen Daten verloren gehen könnten. 40 Prozent fürchten, dass Mitarbeiter Daten missbrauchen und Compliance-Bemühungen untergraben könnten.

Spannend wird es bei den personenbezogenen Daten durch die DSGVO vor allem, wenn es keinen legitimen Grund für eine Speicherung gibt und der Betroffene darauf besteht, dass seine Daten gelöscht werden. Dieser Aufforderung müssen Unternehmen dann innerhalb einer bestimmten Frist nachkommen.

Ähnliche Probleme bereiten Firmen künftig Datenverluste durch erfolgreiche Hackerangriffe. Da reicht es dann nicht mehr, sich pauschal zu entschuldigen, vielmehr müssen die Betroffenen genau darüber informiert werden, welche ihrer Daten Unbefugte in die Hände gefallen sind. Sind sie dazu nicht in der Lage, drohen ab 2018 empfindliche Strafen. Es droht ein Bußgeld in Höhe von maximal 20 Millionen Euro oder von bis zu vier Prozent des globalen Umsatzes – je nachdem, welcher Betrag größer ist.

In beiden Fällen sieht Veritas die Fragmentierung von Daten und die angehäuften Datenberge als Hauptprobleme. Ferner erschwerten fehlende Einsichten in “Dark Data” und in Informationen, die außerhalb der Unternehmenssysteme gespeichert werden, die Einhaltung der Compliance.