Unternehmen in Deutschland bleibt nicht mehr viel Zeit, um sich auf die EU-Datenschutz-Grundverordnung (DSGVO) vorzubereiten – im Mai 2018 endet die Übergangsfrist. Organisationen, die bis dahin nicht compliant sind, müssen künftig mit hohen Bußgeldern rechnen. Um Einblicke in die aktuelle Situation, Herausforderungen sowie die zu erwartenden Aktivitäten zur Anpassung der Organisationsstrukturen, Prozesse und Technologien an die neuen gesetzlichen Anforderungen hinsichtlich der DSGVO zu erhalten, hat IDC im August 2017 251 Unternehmen und Organisationen in Deutschland mit mehr als 20 Mitarbeitern befragt.
Die DSGVO wird auf die leichte Schulter genommen: Vor allem der Mittelstand hat noch keine Maßnahmen gestartet
44 Prozent der befragten Unternehmen geben an, dass sie noch keine konkreten technologischen oder organisatorischen Maßnahmen zur Vorbereitung auf die DSGVO getroffen haben. „Dieses Ergebnis ist alarmierend“, sagt Laura Hopp, Consultant bei IDC. „Wir gehen davon aus, dass Unternehmen, die erst jetzt damit beginnen, sich mit dem Thema auseinanderzusetzen, mindestens neun Monate in Verzug sind. Es bleibt abzuwarten, ob die Firmen diese Herkulesaufgabe bis zum 25. Mai 2018 noch stemmen können“, so Hopp weiter. Mittelständische Unternehmen tun sich offenbar besonders schwer. Hier gaben 40 Prozent der Befragten zu Protokoll, dass sie skeptisch sind, alle relevanten Maßnahmen fristgerecht umsetzen zu können.
An den Ergebnissen der Studie lässt sich ablesen, dass die Vorbereitungen auf die DSGVO offenbar nicht mit der erforderlichen Ernsthaftigkeit angegangen werden. Ein Grund hierfür ist, dass viele Unternehmen offenbar nicht mit Kontrollen rechnen und Konsequenzen wie Strafzahlungen, Reputationsverlust oder das Verbot der Datenverarbeitung als nicht besonders „bedrohlich“ einschätzen. Viele Entscheider sind sich der Tragweite eines Verstoßes demnach offensichtlich nicht bewusst.
Der ganzheitliche Überblick über personenbezogene Daten im Unternehmen fehlt
Datentransparenz ist die Basis für eine sichere Verarbeitung und die Einhaltung der Compliance. Umso erschreckender, dass 23 Prozent der Befragten nicht wissen, wo ihre Daten gespeichert werden. 27 Prozent können nicht genau sagen, wer Zugriff auf personenbezogene Daten hat und 34 Prozent sind die Löschfristen nicht bekannt. Darüber hinaus geben 37 Prozent der Befragten an, dass Dokumente unkontrolliert auf den Fileservern unter der Obhut der Mitarbeiter liegen. Um die Grundsätze der DSGVO wie das „Recht auf Vergessenwerden“ oder die Datenminimierung überhaupt erfüllen zu können, ist ein ganzheitlicher Überblick auf die Daten zwingend notwendig. „Hier muss deutlich nachgebessert werden“, betont Hopp. „Neben der Pflichterfüllung im Hinblick auf die DSGVO vereinfachen gut aufbereitete Daten die Digitalisierung aller Geschäftsprozesse und sorgen für eine bessere Verknüpfung von Prozessketten.“
Lediglich 17 Prozent der Unternehmen haben einen Datenschutzbeauftragten bestellt
Obwohl dem Datenschutzbeauftragten bei der Überwachung der Einhaltung der DSGVO eine Schlüsselrolle zukommt, ist diese Position erst bei 17 Prozent der befragten Unternehmen besetzt. Dieses Ergebnis ist mehr als überraschend, da der Großteil der Unternehmen nach dem aktuell gültigen Bundesdatenschutzgesetz bereits einen Datenschutzbeauftragten beschäftigen müsste. Immerhin planen 50 Prozent der befragten Unternehmen in den nächsten Monaten die Bestellung. Stärkere Sanktionen resultierend aus der DSGVO werden hierbei einer der Treiber sein. Hinzu kommt, dass die steigende Flut an Daten im Rahmen der Digitalisierung diese Position für Organisationen immer wichtiger macht.
Deutliche Lücken bei DSGVO-relevanten Prozessen sind erkennbar
Neben Organisationsstrukturen müssen auch DSGVO-relevante Prozesse eingeführt oder angepasst werden. Prozesse, die beispielsweise für die Einhaltung des Datenschutzgrundsatzes der Datenminimierung notwendig sind, sind in den meisten Organisationen bereits vorhanden, so sind Firmen bei der Löschung der Daten nach Ablauf der Speicherfrist (67 Prozent), der Lokalisierung, Identifizierung und Verwaltung der Daten (66 Prozent) sowie der Löschung der Daten nach Widerruf der Einwilligung (65 Prozent) bereits ganz gut aufgestellt.
Dennoch gibt es unter den Befragten immer noch nicht wenige Unternehmen, die keine Einführung aller relevanter Prozesse planen. Dies gilt insbesondere für extern ausgerichtete Prozesse, wie beispielweise die Benachrichtigung der betroffenen Person (53 Prozent) und der Aufsichtsbehörden (47 Prozent). Aus Sicht von IDC muss sehr genau geprüft werden, welche Prozesse im jeweiligen Unternehmenskontext relevant sind und wie diese Prozesse in IT-Lösungen abgebildet werden können.
DSGVO treibt Investitionen in Technologie, gleichzeitig ist die Umstellung der IT-Systeme die größte Herausforderung
Keine Frage: Der effiziente Schutz personenbezogener Daten ist ohne Informationstechnologie nicht realisierbar. „Die DSGVO fordert den Einsatz von State-of-the-Art-Technologie. Next-Gen-Security-Lösungen wie Breach und Leakage Detection, Intrusion Detection und Threat Intelligence sind wertvolle Tools, um Datenlecks möglichst schnell aufzudecken. Diese sind jedoch in der Fläche noch nicht umfassend im Einsatz. Hier sehen wir dringenden Handlungsbedarf.“ sagt Matthias Zacher, Manager Research & Consulting bei IDC. Der Anpassung der IT-Systeme kommt somit eine zentrale Rolle zu, gleichzeitig wird sie von jedem Fünften als größte Herausforderung empfunden. Nach IDC Einschätzungen sind Investitionen in den meisten Fällen erforderlich, besonderen Handlungsbedarf sieht IDC im Hinblick auf IT-Security. Grundlegende Anforderungen sind hierbei der sichere Betrieb der IT, ihre permanente Überwachung in Echtzeit und Maßnahmen als Reaktion auf Auffälligkeiten im System. Fast die Hälfte der befragten Unternehmen – konkret sind es 47 Prozent – planen in den kommenden Monaten verstärkt in Cyber Security zu investieren. Aus IDC Sicht ist dies auch dringend notwendig, denn Sicherheitsrisiken und Angriffsszenarien auf personenbezogene Daten lassen sich nur mit moderner Technologie effizient abwehren. Dem Erkennen und Beseitigen von Datenlecks sowie dem Aufspüren und Bekämpfen von Sicherheitsverletzungen kommt dabei eine zentrale Bedeutung zu.
Es fehlt an Schutzmaßnahmen: Deutlicher Nachholbedarf bei Data Loss Prevention und Breach Detection
Der ungewollte Abfluss von personenbezogenen Daten muss zwingend verhindert werden. Dafür fehlt es allerdings noch eindeutig an umfassenden Schutzmechanismen. Zwar haben die befragten Unternehmen einige Maßnahmen bereits umgesetzt: Vergabe von Zugriffsrechte nur an relevante Personen (68 Prozent) sowie Entzug von nicht mehr benötigten Zugriffsrechten (62 Prozent). Eine unkontrollierte Vervielfältigung der Daten ist hingegen noch in vielen Fällen möglich. So wird das Kopieren von vertraulichen Daten in andere Dateien nur bei 47 Prozent blockiert. Auch das Versenden vertraulicher Daten per E-Mail verhindern erst 42 Prozent der Unternehmen. Mitarbeiter, die unachtsam mit den Daten umgehen und diese leichtsinnig weitergeben und vervielfältigen, können in vielen Firmen also nach wie vor großen Schaden anrichten. Verantwortliche, die keine moderne Lösungen einsetzen und somit das „State of the Art“-Prinzip nicht erfüllen, müssen dies künftig gut begründen können. Denn die DSGVO fordert eindeutig, dass Technologien, die dem Stand der Technik entsprechen bei der Auswahl berücksichtigt werden. Dabei liegt es auf der Hand, dass Unternehmen gegenüber Partnern, Kunden und Aufsichtsbehörden in Erklärungsnot kommen, wenn Mechanismen zur Vermeidung und Erkennung von Datenlecks nicht vorhanden oder veraltet sind und die Datentransparenz nicht gewährleistet ist. Aus diesem Grund müssen die gesamte Informationstechnologie und auch Partner, die personenbezogene Daten verarbeiten, auf ihre Datensicherheit geprüft werden.
Fazit
Die DSGVO ist ein wichtiges Regelwerk, um den Datenschutz in Europa zu verbessern und zu vereinheitlichen. Sie adressiert aktuelle Anforderungen an den Datenschutz, die sich im Zuge der Digitalisierung aus neuen Geschäftsmodellen, unterschiedlichen Nutzungsszenarien und einer veränderten Haltung gegenüber personenbezogenen Daten ergeben. Genau das haben viele Unternehmen in Deutschland noch nicht erkannt oder verstanden. Sie unterschätzen die Komplexität der Anforderungen, die sich aus der Verordnung ergeben und die Tragweite von Verstößen gegen den Datenschutz.
Viele Entscheider arbeiten seit Jahren an einer Verbesserung der Daten-Governance und Datentransparenz als Grundvoraussetzung für funktionierende Prozesse. Die mangelhafte Umsetzung der DSGVO zeigt aber sehr deutlich auf, das dies zahlreichen Firmen bis jetzt nicht gelungen ist. Die wachsende Menge personenbezogener Daten und ihre vielfältige Nutzung stellen somit deutlich höhere Anforderungen an die Datenarchitektur und alle datenbezogenen Prozesse.
Die Gewährleistung der DSGVO-Compliance sollte mehr sein als nur lästige Pflicht mit Blick auf den Datenschutz. Transparente personenbezogene Daten erleichtern und fördern die Automatisierung vieler Geschäftsprozesse und treiben damit die Digitalisierung voran – ein echter Mehrwert für die Stärkung der Firmen im Wettbewerb. Unternehmen, die diesen Schritt schon gegangen sind – das zeigen zahlreiche IDC Studien – konnten sich hier bereits Vorteile verschaffen.
Der umfassende Schutz der Daten und der sichere IT-Betrieb sind entscheidende Voraussetzungen, um als vertrauenswürdiger Partner in digitalen Ökosystemen agieren zu können. Die DSGVO wird somit zu einem Schlüsselfaktor der digitalen Transformation in Deutschland, in Europa und darüber hinaus.
Eine Zusammenfassung der aktuellen Studie können Anwenderunternehmen kostenfrei hier anfordern.
Die Biografien der Autoren finden Sie unter folgenden Links:
IDC Central Europe GmbH
Hanauer Landstraße 182 D
60314 Frankfurt am Main
Telefon: +49 (69) 90502-0
Telefax: +49 (69) 90502-100
http://www.idc.de
Director Marketing & PR
Telefon: +49 (69) 90502-115
Fax: +49 (69) 90502-100
E-Mail: kschmalen@idc.com