Ohne Vorkehrungen für die Datenschutz-Grundverordnung (DSGVO) der EU innerhalb von 18 Monaten drohen hohe Geldbußen bei Compliance-Verstößen.
Cover: Veritas
Die DSGVO wird im Mai 2018 in Kraft treten und das Datenschutzrecht in der EU mit Blick auf Datensicherheit, Speicherung und Governance vereinheitlichen. Dafür müssen Unternehmen genauer offenlegen, wie und wo sensible, personenbezogene Daten weitergegeben und gespeichert werden. Dazu zählt, wie Organisationen den Zugriff auf diese Informationen überwachen und kontrollieren. Die DSGVO betrifft nicht nur Unternehmen innerhalb der EU. Auch für Firmen, die außerhalb der EU ansässig sind, gelten die Regeln.
Im Rahmen einer Erhebung für den Global Databerg Report von Veritas wurden 2016 mehr als 2.500 IT-Verantwortliche aus Europa, dem Mittleren Osten, Afrika, den Vereinigten Staaten und der Region Asien-Pazifik befragt. Die von der Meinungsforschungsfirma Vanson Bourne durchgeführte Studie untersuchte, wie Unternehmen ihre Daten speichern und verwalten. Demnach haben sich 54 Prozent der Organisationen noch nicht damit befasst, eine DSGVO-Compliance bereitzustellen. Die Antworten zeigen, dass vor allem Fragen zu operativen Maßnahmen, Compliance und Planung im Vordergrund stehen. So geht es insbesondere um Prozess-Ownership und die Fähigkeit, Richtlinien für die Datenbereinigung zu implementieren sowie Löschpflichten einzuhalten.
Wer ist für die Implementierung der DSGVO verantwortlich?
Die Resultate der Studie belegen, dass viele Unternehmen nicht auf die DSGVO vorbereitet sind und auch nicht genau wissen, wer im Endeffekt für deren Einhaltung und Konformität verantwortlich ist. 32 Prozent sehen den Chief Information Officer in dieser Rolle. 21 Prozent gaben den Chief Information Security Officer an, 14 Prozent setzten den Haken beim Chief Executive Officer und rund zehn Prozent sind der Meinung, die Verantwortung liege in den Händen vom Chief Data Officer. Sollten die Anforderungen der DSGVO nicht richtig umgesetzt werden, erwarten die für die Prozesse verantwortliche Person viele Probleme. Besorgt um eine Rufschädigung für ihr Unternehmen, die aus schlechten Datenrichtlinien entstehen könnte, waren nur 31 Prozent. Allerdings bangen 40 Prozent darum, dass die Compliance in ihrem Unternehmen scheitern könnte.
Schwierigkeiten beim Datenmanagement
Die größten Herausforderungen im Rahmen von DSGVO sind die Fragmentierung von Daten und der fehlende Einblick in die Daten. Diese Probleme gaben rund 35 Prozent der Befragten als ihre größte Sorge an, erschweren sie doch die Einhaltung der Richtlinien erheblich. Insbesondere die zunehmende Nutzung von schwer kontrollierbaren Speicherorten in der Cloud und File-Sharing-Diensten von Kunden lässt Unternehmen im Hinblick auf die Compliance keine Ruhe. Immerhin benutzt ein Viertel der Studienteilnehmer Cloud-basierte Dienste wie Box, Google Drive, Dropbox, EMC Simplicity oder Microsoft OneDrive, obwohl es nicht konform zu den Unternehmensrichtlinien ist. Weitere 25 Prozent bestätigten, dass sie nicht anerkannte Speicherdienste außerhalb des Unternehmens verwenden. Das macht es der IT noch schwerer, diese Daten mit typischen Werkzeugen zu verwalten.
Zusätzlich wiesen die Befragten auf weitere Risikofaktoren hin, die in Hinsicht auf Sicherheits- und Regulierungsvorschriften wichtig werden. Über die Hälfte der Teilnehmer zeigte sich besorgt darüber, dass dem Unternehmen Daten verloren gehen könnten; 48 Prozent äußerten vor allem die Sorge über den Verlust bei der Übermittlung zwischen Standorten und Systemen. Auch der Umstand, dass Mitarbeiter Daten missbrauchen und Compliance-Bemühungen untergraben könnten, beschäftigt vier von zehn Befragten.
Das Recht darauf, vergessen zu werden
Existiert kein legitimer Grund für eine Speicherung und besteht eine Person darauf, dass ihre Daten gelöscht werden, muss das Unternehmen laut DSGVO der Aufforderung innerhalb einer festgelegten Zeit nachkommen. Die Fragmentierung von Daten und die angehäuften Datenberge machen es Firmen allerdings fast unmöglich, das rechtzeitig zu bewerkstelligen. Ferner erschweren fehlende Einsichten in Dark Data und in Informationen, die außerhalb der Unternehmenssysteme gespeichert werden, die Einhaltung der Compliance. Das setzt Unternehmen erheblichen finanziellen und rechtlichen Risiken aus. Es droht ein Bußgeld in Höhe von maximal 20 Millionen Euro oder von bis zu vier Prozent des globalen Umsatzes – je nachdem, welcher Betrag größer ist.
»Die DSGVO ist die wichtigste Veränderung beim Datenschutz seit langem und ein dringendes globales Projekt. Sie wird 2017 die Diskussionen rund um Datenschutz, -management und -regulierung befeuern«, so Mike Palmer, Executive Vice President and Chief Product Officer bei Veritas. »Globale Unternehmen müssen sich jetzt darum kümmern, zu wissen, wo ihre Daten liegen und wie sie sie schützen müssen. Nur so lassen sich potenzielle Bußgelder oder eine Schädigung der Marke und des Rufes vermeiden.«
Veritas unterstützt Organisationen weltweit dabei, Datenrisiken zu verringern. Hier bekommen Kunden Best-Practice-Lösungen für die Datenverwaltung in der Cloud oder in internen Systemen sowie für eine Bestandsaufnahme der existierenden Daten. Zusätzlich können sie dann die Daten löschen, die nicht rechtens behalten werden dürfen und können Datenpolicen etablieren und durchsetzen. Weitere Informationen zum Thema DSGVO (oder »General Data Protection Regulation«/GDPR), erhalten Sie hier. https://www.veritas.com/product/information-governance/general-data-protection-regulation
Best Practices, die helfen, die Anforderungen der GDPR zu erfüllen
Europäische Datenschutzrichtlinie GDPR: Compliance-Countdown
Die komplexe Europäische Datenschutzrichtlinie GDPR umzusetzen
IT-Security-Anbieter unter Druck: Kunden erwarten Sicherheitsgarantien
Acht Praxistipps: Kosten und Performance von SIEM-Systemen optimieren
2017: Digital Business, Personalization und Datenschutz sind Top-Trends
IT-Sicherheitstrends 2017: Datenschutz ist für die Wirtschaft am wichtigsten
Datenschutz: Ist ein deutscher Serverstandort allein vertrauensbildend?