DSGVO: Unternehmen glauben nur, gut vorbereitet zu sein

Rund 31 Prozent der Unternehmen weltweit gehen davon aus, dass sie aktuell bereits die Anforderungen der Datenschutz-Grundverordnung der EU (DSGVO) erfüllen, deren Übergangsfrist im Mai 2018 endet. Das geht aus einer vom Marktforschungsunternehmen Vanson Bourne im Auftrag von Veritas durchgeführten Umfrage hervor. Dafür wurden 900 Führungskräfte von Firmen mit mindestens 1000 Mitarbeitern und Geschäftsbeziehung im EU-Raum aus Australien, Deutschland, Frankreich, Japan, Singapur, Südkorea, den USA und Großbritannien befragt. Am unvorbereitetsten zeigten sich generell Firmen aus Singapur, Japan und Korea.

Die im “Veritas 2017 GDPR Report” (PDF) veröffentlichten Ergebnisse zeigen jedoch auch, dass sich die meisten der in Bezug auf die Erfüllung der Compliance-Vorgaben optimistischen Chefs wahrscheinlich täuschen. Denn bei den Möglichkeiten, spezifischen Regelungen der DSGVO erfüllen zu könne, mussten viele dann doch passen. “Berücksichtigt man auch diese Antworten, sind unter dem Strich nur noch zwei Prozent der Unternehmen weltweit tatsächlich auf die Verordnung vorbereitet”, teilt Veritas mit.

Von den Befragten, die in ihrer Selbsteinschätzung auf die Vorgaben der Verordnung bereits vorbereitet sind, sind sich zum Beispiel 48 Prozent nicht sicher, ob sie Einsicht in sämtliche Vorfälle haben, bei denen personenbezogene Daten verloren gehen können. 60 Prozent gehen davon aus, dass sie länger als 72 Stunden benötigen, um ein Datenleck zu entdecken und zu melden. Genau das ist aber eine wichtige Anforderung der DSGVO.

“Recht auf Vergessenwerden” nur unzureichend erfüllbar

Eine weitere wichtige Anforderung der DSGVO ist, dass Verbraucher das Recht haben, ihre personenbezogenen Daten aus Datenbanken von Unternehmen löschen zu lassen. Da derartige Daten oft in mehreren Systemen liegen oder mehrfach und teilweise unter unterschiedlichen Gesichtspunkten abgelegt wurden ist das Löschen dieser Daten “auf Knopfdruck” meist nahezu unmöglich. Das gilt der Veritas-Umfrage zufolge auch für Unternehmen, die sich bereits gut vorbereitet fühlen. 18 Prozent von ihnen gaben auf Nachfrage zu, personenbezogene Daten nicht zeitnah suchen, finden und löschen zu können.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Weitere 13 Prozent können Daten nicht im Hinblick darauf untersuchen, ob sie Referenzen zu Einzelpersonen enthalten und somit von der DSGVO erfasst werden. Veritas empfiehlt als Unterstützung hier den von ihm verfolgten Ansatz, mit dem visuell dargestellt wird, wo Daten überhaupt gespeichert werden.

“Für Regelungen wie die DSGVO ist es wichtig zu verstehen, welche Daten in der Organisation vorhanden sind. Doch das ist nicht genug. Die Daten müssen so klassifiziert sein, dass Richtlinien auf sie angewendet werden können. Geschieht das nicht, kann es auch keine Compliance geben”, sagt Andreas Bechter, Regional Product Manager EMEA bei Veritas. (Bild: Veritas)

Ebenfalls bei 13 Prozent sind die Quellen der Daten und ihr Verwendungszweck nicht klar definiert. Damit erfüllen auch diese Firmen nicht die Vorgaben der DSGVO, wonach sicherzustellen ist, dass personenbezogene Daten ausschließlich für den ursprünglichen Verwendungszweck genutzt und danach gelöscht werden.

Ein weiterer, seit vielen Jahren wunder Punkt in vielen Unternehmen und nicht nur wegen der DSGVO problematisch ist der Umfrage zufolge das Löschen von Zugriffsrechten. Wenn Mitarbeiter aus dem Unternehmen ausscheiden, sollten sie schließlich keinen Zugriff auf Unternehmensdaten mehr haben. Dazu werden in der Regel seine Systemzugänge und Systemprofile gelöscht. Das funktioniert aber natürlich nur, wenn erstens dieser Vorgang auch zuverlässig angestoßen wird und zweitens alle zu löschenden Nutzerkonten und Zugriffsrechte auch bekannt sind.

Ungeklärte Verantwortlichkeiten

Genau an diesen beiden Punkten scheitert die Umsetzung in der Praxis aber oft. Erschwert wird das noch durch die zunehmende Anzahl an Log-ins zum Beispiel bei Cloud-Diensten. Werden die zum Beispiel nur von einer bestimmten Abteilung genutzt, dann weiß der für die Löschung der Zugriffsrechte Zuständige oft gar nichts davon. Auch bei der Hälfte der Unternehmen, die sich in der Veritas-Umfrage als “DSGVO-konform” bezeichneten, haben ehemalige Mitarbeiter weiterhin Zugriff auf Unternehmensdaten.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

49 Prozent der Befragten, die sich als selbst “DSGVO-ready” sehen, sind zudem nicht wirklich darüber im Bilde, wird die Verantwortung dafür trägt, dass Daten normgerecht aufbewahrt und verarbeitet werden. Sie sehen die Verantwortung dafür beim Cloud-Anbieter. Doch auch das ist ein Trugschluss. Denn das Unternehmen als Besitzer (Data Controller, wie es in der Verordnung heißt) bleibt immer verantwortlich und muss sicherstellen, dass der Datenverarbeiter (respektive “Data Processor”) entsprechend den Vorgaben handelt. Das hatte zum Beispiel die schwedische Transportbehörde bei der Übertragung von Daten an IBM und NCR nicht getan. Als das nach der Entlassung der Verantwortlichen jetzt herauskam, entwickelte sich daraus der bislang größte Datenskandal in der Geschichte Schwedens.

Peter Marwan

Peter Marwan ist Chefredakteur von silicon.de und immer auf der Suche nach Möglichkeiten, wie Firmen den rasanten Fortschritt in der IT-Branche in der Praxis nutzen können. Dabei geht es nicht nur darum, Vorhandenes zu optimieren, sondern vor allem auch um Ansätze und Strategien, mit denen sich neue, durch die IT unterstützte Geschäftsmodellle entwickeln lassen.

View Comments

  • Das Ganze wundert uns nicht. Die meisten deutschen Unternehmen, vor allem KMU, sind bei der DSGVO genauso schlecht aufgestellt wie bei Industrie 4.0, IOT und Abwehr von cybercrime! Hier werden langfristig nur Unternehmen überleben, welche diese Themen auch ernst nehmen, ihre Prozesse umstellen und Mitarbeiter schulen und fördern.

Recent Posts

Bericht: Apple verschiebt Pläne für VR/AR-Headset

Die Entwicklung verzögert sich um mehrere Monate. Apple kämpft angeblich mit der Kamera und zu…

16 Stunden ago

Russische Behörden zerschlagen Ransomware-Gang REvil

Ermittler durchsuchen 25 Objekte und beschlagnahmen Computer, Kryptowährungen und Bargeld in Millionenhöhe. Ein Gericht in…

17 Stunden ago

Spezifikationen für PCIe 6.0 versprechen doppelte Bandbreite

Sie steigt bei 16 Lanes auf bis zu 128 GByte/s. Pro Lane sind bis zu…

4 Tagen ago

Windows 11: Jüngste Vorabversion aktualisiert Bedienoberfläche

Elemente wie Lautstärke und Helligkeit erhalten neue Flyouts im Design von Windows 11. Bei der…

4 Tagen ago

Apple beseitigt Zero-Day-Lücke in HomeKit

Der Fehler betrifft alle unterstützten iPhones und iPads. Die Schwachstelle in HomeKit ist Apple schon…

5 Tagen ago

Canalys: PC-Markt wächst 2021 um 15 Prozent

Es ist das größte Jahreswachstum seit 2012. Im vierten Quartal legt der Markt allerdings nur…

5 Tagen ago