Zwei Studien zur GDPR-Readiness der Unternehmen

Nur zwei Prozent der Firmen sind wirklich auf die DSGVO vorbereitet

27.07.2017 von Jürgen Hill

Kaum ein Unternehmen scheint auf die GDPR wirklich vorbereitet zu sein. Das zeigen zwei Studien und die Mythen die sich um die EU-DSGVO ranken. Noch ist Zeit zum Handeln, ab Mai 2018 drohen Geldstrafen.

Ab 25. Mai 2018 wird es teuer - ab dann drohen Strafzahlungen, wenn gegen die GDPR der EU verstossen wird.
Foto: kb-photodesign - shutterstock.com

Nur zwei Prozent der Unternehmen sind wirklich auf die ab 25. Mai 2018 vollzogene General Data Protection Regulation (GDPR) der EU wirklich vorbereitet. Und dies, obwohl fast ein Drittel (31 Prozent) der Befragten angab, das eigene Unternehmen erfülle die wichtigsten Regelungen der EU-Datenschutzgrundverordnung (DSGVO) längst. Zu der Studie im Auftrag von Veritas Technologies befragte der Marktforscher Vanson Bourne im Februar und März 2017 wurden 900 Führungskräfte aus Australien, Deutschland, Frankreich, Japan, Singapur, Südkorea, den USA und dem Vereinigten Königreich interviewt.

Eine Erklärung für diese Situation könnte eine andere Studie des Beratungshauses Carmao im Auftrag von OpenText geben: danach erfüllen noch nicht einmal 38 Prozent der Unternehmen die bereits bestehenden Vorgaben des Bundesdatenschutzgesetzes. Und mehr als die Hälfte der befragten Unternehmen zweifelt daran, die Auflagen der europäischen Datenschutz-Grundverordnung fristgerecht erfüllen zu können. Eine Ursache hierfür könnte darin liegen, dass sich Fehlinformationen zur GDPR hartnäckig in Unternehmen und Gesellschaft halten. Laut OpenText sind folgende fünf Mythen die gängigsten Fehleinschätzungen rund um das Thema DSGVO:

Die Verordnung tritt in Deutschland noch lange nicht in Kraft - Irrtum!

Obowhl die Richtlinie bereits seit einem Jahr gültig ist, sieht es mit der GDPR-Readiness nicht gut aus.
Foto: Photon photo - shutterstock.com

Die Verordnung ist bereits seit über einem Jahr gültig, gesetzliche Verfolgung und Strafen werden jedoch erst ab Mai 2018 vollzogen. Sie ist momentan im gesamten EU-Raum sowie in Großbritannien (trotz Brexit) in Kraft. Behörden müssen aber erst ab dem nächsten Jahr rechtliche Schritte bei Verstößen einleiten. Die damit einhergehenden Geldstrafen sind sehr hoch.

Die DSGVO gilt nur für Firmen mit Sitz in der EU

Das ist ebenfalls ein Irrglaube, denn jedes Unternehmen weltweit, das personenbezogene Daten von EU-Bürgern behandelt, muss sich an die neue Regelung halten. Dabei kann es sich beispielsweise um Kunden oder Mitarbeiter aus dem EU-Raum handeln.

Die verwendete Technologie zum Datenschutz macht keinerlei Unterschiede

Der Veritas 2017 GDPR Report zeigt, dass viele meinen, die Regeln der DSGVO einzuhalten, damit jedoch falsch liegen.
Foto: Veritas

Auch dabei handelt es sich um Falschinformation. Unternehmen dürfen nur jene Technologien in allen relevanten Bereichen verwenden, die auf dem aktuellen Stand sind. Die DSGVO schreibt hierbei sogar einige Technologien vor, wie beispielsweise Verschlüsselung, Data Leakage Prevention oder Schutzmaßnahmen zur Abwehr von Malware. Außerdem muss bestimmte Software zur Anonymisierung von Daten oder zu effektiven Zugangsberechtigungen vorhanden sein.

Es wird nur große und bekannte Firmen treffen

Dies ist ebenfalls ein Mythos, denn die Verordnung gilt für alle Unternehmen, unabhängig welcher Größe oder Branche. Unter anderem sind Firmen dazu verpflichtet, Verstöße gegen Datenschutz binnen 72 Stunden zu melden. Damit erhöht sich das Risiko, den eigenen Ruf aufs Spiel zu setzen.

DSGVO ist Problem der IT

Nein, die DSGVO liegt nicht in der Verantwortung der IT-Experten, sondern ist die Aufgabe des Managements. Datenschutz muss demnach Teil der Unternehmenskultur werden, was hohe Kosten und interne Interessenskonflikte impliziert.

Die Detailanalyse offenbart die Diskrepanz zwischen Anspruch und Wirklichkeit,
Foto: Veritas

Wie hoch der Nachholbedarf in den Unternehmen ist, zeigen nicht nur obige Mythen, sondern auch die Fragen nach spezifischen GDPR-Regeln, die häufig nicht erfüllt werden. Die größten Schwierigkeiten haben Firmen damit, bei Datenverlusten den Überblick zu behalten. Von den Befragten, die eigenen Angaben zufolge längst auf die Verordnung vorbereitet sind, hat fast die Hälfte (48 Prozent) keine Einsicht in sämtliche Vorfälle, bei denen personenbezogene Daten verloren gehen. Ganze 60 Prozent sehen sich nicht in der Lage, ein Datenleck binnen 72 Stunden zu entdecken und zu melden - dabei ist das eine essenzielle Forderung aus der DSGVO. Ob Krankenakte, Email-Adresse oder Passwort - meldet eine Organisation den Verlust von personenbezogenen Daten zu spät, handelt sie nicht konform zu den neuen Regelungen.

Gefahr durch ehemalige Mitarbeiter

Verlässt ein Mitarbeiter das Unternehmen, sollte er auf keine Unternehmensdaten mehr zugreifen dürfen. Das geschieht meist, indem seine Systemzugänge und -Profile gelöscht werden. Dies ist ein wichtiger Prozess, um finanzielle oder Image-Schäden zu vermeiden. Trotzdem erklärte die Hälfte der "DSGVO-konformen" Unternehmen, dass ihre ehemaligen Mitarbeiter weiterhin Zugriff auf Unternehmensdaten hätten. Dieses Ergebnis zeigt, dass auch die Firmen, die von ihrer DSGVO-Compliance überzeugt sind, anfällig für mögliche Sicherheitslücken sind.

"Recht auf Vergessenwerden" bereitet Probleme

Laut DSGVO haben alle Verbraucher das Recht zu fordern, dass ihre eigenen personenbezogenen Daten aus Datenbanken von Unternehmen gelöscht werden. Das wird jedoch zum Problem - auch für Organisationen, die sich nach eigenen Angaben bestens vorbereitet fühlen. 18 Prozent räumten ein, personenbezogene Daten nicht zeitnah suchen, finden und löschen zu können. Weitere 13 Prozent sind nicht in der Lage, ihre Daten daraufhin zu untersuchen, ob sie Referenzen zu Einzelpersonen enthalten oder zu visualisieren, wo Daten gespeichert werden. Ebenfalls 13 Prozent gestanden, dass die Quellen der Daten und ihr Verwendungszweck nicht klar definiert sind. Auch das verstößt gegen die DSGVO. Organisationen müssen sicherstellen, dass personenbezogene Daten ausschließlich für den ursprünglichen Verwendungszweck verwendet und danach gelöscht werden.

Ist Ihr Unternehmen bereit für die Datenschutzgrundverordnung?
Foto: Ronnie Chua - shutterstock.com

Wer ist wofür verantwortlich?

Ein weiteres Ergebnis: Organisationen schätzen falsch ein, wer für die Daten in Cloud-Umgebungen verantwortlich ist. 49 Prozent der Befragten, die sich bereit für die DSGVO halten, sehen die Verantwortung für Daten-Compliance komplett beim Cloud-Anbieter (Cloud Service Provider CSP). Allerdings ist das Unternehmen selbst als der "Besitzer" der Daten oder als der "Data Controller", wie es in der Verordnung heißt, verantwortlich und muss sicherstellen, dass ein CSP als so genannter Datenverarbeiter oder "Data Processor" entsprechend den Vorgaben handelt.

Letztlich zeigen die Ergebnisse, dass Organisationen, die sich bereits als compliant einstufen, ihre Strategien überdenken sollten. Handeln sie nicht entsprechend, drohen hohe Bußgelder, die sich auf bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro belaufen können - je nachdem, welcher Betrag größer ist.