Gartner: Unternehmen sind auf die neuen EU-Datenschutzvorschriften ab 2018 nicht vorbereitet

Analysten geben fünf wichtige Handlungsempfehlungen für Kontrolle und Verarbeitung von Daten innerhalb und außerhalb der EU.

Die neue EU-Datenschutz-Grundverordnung (GDPR) wird globale Auswirkungen haben, wenn sie am 25. Mai 2018 in Kraft tritt, so das IT-Research und Beratungsunternehmen Gartner. Gartner prognostiziert, dass bis Ende 2018 mehr als die Hälfte der Unternehmen, die von den Datenschutzvorschriften betroffen sind, diesen nicht voll gerecht werden.

»Die Datenschutz-Grundverordnung wird sich nicht nur auf Unternehmen mit Sitz in der EU auswirken, sondern auch viele betreffen, die außerhalb der EU Daten kontrollieren und verarbeiten«, so Bart Willemsen, Research Director bei Gartner. »Entscheidungsträger in Unternehmen sollten ihre Maßnahmen für die sichere Verarbeitung personenbezogener Daten überprüfen und neu bewerten.«

 


 

Anzeige

Gartner Says Organisations Are Unprepared for the 2018 European Data Protection Regulation

Analysts Identify Five High-Priority Actions for Data Controllers and Processors Inside and Outside of the European Union

The European General Data Protection Regulation (GDPR) will have a global impact when it goes into effect on 25th May, 2018, according to Gartner, Inc. Gartner predicts that by the end of 2018, more than 50 per cent of companies affected by the GDPR will not be in full compliance with its requirements.

»The GDPR will affect not only EU-based organisations, but many data controllers and processors outside the EU as well,« said Bart Willemsen, research director at Gartner. »Threats of hefty fines, as well as the increasingly empowered position of individual data subjects tilt the business case for compliance and should cause decision makers to re-evaluate measures to safely process personal data.

The GDPR replaces the Data Protection Directive 95/46/EC and is designed to support the single market, to harmonise data privacy laws across Europe, to protect and empower European Union (EU) citizens‘ data privacy and reshape the way organisations approach data privacy for EU citizens wherever they work in the world.

Gartner recommends organisations act now to ensure they are in compliance when the regulation goes into effect. They should focus on five high-priority changes to help them to get up to speed with GDPR requirements.

Anzeige

  1. Determine Your Role Under the GDPR

Any organisation that decides on why and how personal data is processed is essentially a »data controller.« The GDPR applies therefore to not only businesses in the European Union, but also to all organisations outside the EU processing personal data for the offering of goods and services to the EU, or monitoring the behaviour of data subjects within the EU. These organisations should appoint a representative to act as a contact point for the data protection authority (DPA) and data subjects.

  1. Appoint a Data Protection Officer

Many organisations are required to appoint a data protection officer (DPO). This is especially important when the organisation is a public body, is processing operations requiring regular and systematic monitoring, or has large-scale processing activities. »Large scale« does not necessarily mean hundreds of thousands of data subjects.

  1. Demonstrate Accountability in All Processing Activities

Very few organisations have identified every single process where personal data is involved. Going forward, purpose limitation, data quality and data relevance should be decided on when starting a new processing activity as this will help to maintain compliance in future personal data processing activities. Organisations must demonstrate an accountable ground posture and transparency in all decisions regarding personal data processing activities. Outside parties must also comply with relevant requirements that can impact supply, change management and procurement processes. It is important to note that accountability under the GDPR requires proper data subject consent acquisition and registration. Prechecked boxes and implied consent will be largely in the past. A clear and express action is needed that will require organisations to implement streamlined techniques to obtain and document consent and consent withdrawal.

  1. Check Cross-Border Data Flows

Data transfers to any of the 28 EU member states* are still allowed, as well as to Norway, Liechtenstein and Iceland. Transfers to any of the other 11 countries** the European Commission (EC) deemed to have an »adequate« level of protection are also still possible. Outside of these areas, appropriate safeguards such as Binding Corporate Rules (BCRs) and standard contractual clauses (i.e., EU »Model Contracts«) should be used. EU-based data controllers should pay specific attention to new mechanisms under the GDPR when selecting or evaluating data processors outside the EU and ensure appropriate controls are in place. Outside of the EU, organisations processing personal data on EU residents should select the appropriate mechanism to ensure compliance with the GDPR.

  1. Prepare for Data Subjects Exercising Their Rights

Data subjects have extended rights under the GDPR. These include the right to be forgotten, to data portability and to be informed (e.g., in case of a data breach). If a business is not yet prepared to adequately handle data breach incidents and subjects exercising their rights, now is the time to start implementing additional controls.

 

*Consequences of a Brexit are still unknown. Possibilities include the UK to receive a positive adequacy decision by the EC, or to be included as a European Economic Area (EEA) member.
**At the time of publication, the 11 countries are Andorra, Argentina, Canada (for commercial organisations), Faroe Islands, Guernsey, Israel, Isle of Man, Jersey, New Zealand, Switzerland and
Uruguay.
Legal disclaimer: The opinions and recommendations in this research should not be construed as legal advice. Gartner recommends that entities subject to legislation seek legal counsel from qualified sources.
Gartner clients can learn more in the report: »Focus on Five High-Priority Changes to Tackle the EU GDPR.«

 


 

Best Practices, die helfen, die Anforderungen der GDPR zu erfüllen

 

Hier sind Tipps und Strategien zusammengestellt, die Organisationen dabei unterstützen, die Anforderungen der EU-Datenschutz-Grundverordnung einzuhalten. Dadurch schützen sie die persönlichen Daten ihrer Kunden und verhindern Datenlecks, hohe Geldstrafen sowie Image-Verlust:

  • Einen Datenschutzbeauftragten einstellen: Der Datenschutzbeauftragte ist eine Voraussetzung in der GDPR. Die Position kann mit einem Vollzeitbeschäftigten oder einem Mitarbeiter besetzt werden, der noch andere Aufgaben hat. Es ist auch möglich, die Aufgabe an externe Dienstleister wie Systemintegratoren oder Reseller auszulagern, wenn sie einen solchen Service anbieten;
  • Eine Access-Governance-Lösung implementieren: Die Möglichkeit, den Zugriff auf Anwendungen zu steuern, die Zugriff auf persönliche Daten von EU-Bürgern – insbesondere die unstrukturierten Daten – haben, ist ein wichtiger Punkt bei der Datensicherheit und den Anforderungen der GDPR. Access-Governance erfordert eine regelmäßige Überprüfung der Zugriffsrechte von Abteilungsleitern. Hier muss bescheinigt werden, dass ihre Berechtigungen mit ihren Job-Beschreibungen übereinstimmen und nicht die Datensicherheit gefährden. Lösungen wie die One-Identity-Familie [3], die Produkte für Identity- und Access-Management enthält, bieten dieses Maß an Transparenz und Kontrolle;
  • Die Zugriffsverwaltung steuern: Zu den Anforderungen der GDPR gehört auch, Mitarbeiter und Vertragspartner nur die Zugriffsberechtigungen zu gewähren, die sie für ihre Arbeit benötigen. Die richtigen Identitäts- und Zugriffsmanagement-Technologien, die dieses Maß an Steuerung zulassen, sind Multi-Faktor-Authentifizierung, sicherer Remote-Zugriff, risikobasierte, adaptive Sicherheit, granulares Passwort-Management und die volle Kontrolle über privilegierte Benutzer-Credentials und deren Aktivität;
  • Die Unternehmensgrenzen schützen: Next Generation Firewalls (NGFWs) schützen das Netzwerk vor Cyber-Bedrohungen. Sie senken das Risiko von Datenlecks, die zu einer Datenschutzverletzung führen und laut GDPR harte Strafen nach sich ziehen. NGFWs liefern umfassende forensische Kenntnisse, die die Einhaltung der Compliance bestätigen und helfen, die Nachbesserungen bei einer Verletzung durchzuführen. Next Generation Firewalls wie Dell SonicWALL [4] schützen vor neuen Bedrohungen, verfügen über Deep Packet Inspection, Echtzeit-Entschlüsselung und Prüfung von SSL-Sitzungen sowie adaptives Multi-Engine-Sandboxing und gestatten die volle Kontrolle von Anwendungen;
  • Den sicheren, mobilen Zugriff [5] erleichtern: Mitarbeiter benötigen sicheren Zugang, wenn sie auf Unternehmensanwendungen und Daten zugreifen, egal, mit welchem Gerät oder auf welche Weise sie dies tun. Die Datensicherheit lässt sich verbessern, wenn Identitäten mit Gerätevariablen und zeitlichen Faktoren (Zeit, Ort et cetera) kombiniert werden. Dieser adaptive, risikobasierte Ansatz gewährleistet zu jeder Zeit den sicheren Zugriff und verbessert gleichzeitig den Datenschutz und die Compliance mit der GDPR;
  • Die E-Mail-Sicherheit [6] garantieren: Die GDPR fordert die volle Kontrolle und Transparenz über alle E-Mail-Aktivitäten, um die Gefahr durch Phishing und E-Mail-Attacken auf geschützte Daten abzumildern, aber gleichzeitig den sicheren und konformen Austausch von sensiblen und vertraulichen Daten zu ermöglichen.

Unternehmen sind schlecht auf die neue EU-Datenschutz-Grundverordnung vorbereitet

Eine internationale Studie liefert wichtige Ergebnisse zum Thema EU-Datenschutz-Grundverordnung (GDPR) [1]: Kleinen, mittleren und großen Unternehmen fehlt das Verständnis dafür, wie man sich auf die Anforderungen der GDPR vorbereitet und welche Strafen bei Nichteinhaltung drohen.

Der Marktforscher Dimensional Research hat die Umfrage im Auftrag von Dell [2] durchgeführt und insgesamt 821 IT- und Business-Professionals befragt, die für den Datenschutz in Unternehmen mit europäischen Kunden zuständig sind. Die Fragen drehten sich darum, wie gut Unternehmen die EU-Datenschutz-Grundverordnung kennen, wie sie sie einschätzen, wie sie darauf vorbereitet sind und wie sie die Auswirkungen bei einer Nichteinhaltung beurteilen. Die Umfrage hat der Marktforscher in Australien, Belgien, Deutschland, Frankreich, Großbritannien, Hongkong, Indien, Italien, Kanada, den Niederlanden, Polen, Schweden, Singapur, Spanien und den Vereinigten Staaten durchgeführt.

Die EU-Datenschutz-Grundverordnung soll den Schutz personenbezogener Daten für alle EU-Bürger stärken. Sie tritt im Mai 2018 in Kraft und betrifft Unternehmen aller Größen und Branchen weltweit. Organisationen, die nicht alle Vorgaben erfüllen, riskieren hohe Bußgelder, potenzielle Datenschutzverstöße und werden die Fälle publik, auch erhebliche Image-Verluste. Die Umfrageergebnisse zeigen, dass weltweit 82 % der Sicherheitsexperten in kleinen, mittleren und großen Unternehmen von der EU-Datenschutz-Grundverordnung betroffen sind, sich aber noch nicht richtig damit auseinandergesetzt haben:

  • mehr als 80 % der Befragten gaben an, dass sie nur wenige bis keine Details darüber kennen;
  • weniger als 30 % der Unternehmen fühlten sich bereits heute auf die Anforderungen der GDPR vorbereitet;
  • fast 70 % sagten, dass sie den Anforderungen nicht gerecht werden oder nicht wissen, ob sie ihnen gerecht werden. Nur 3 % hatten bereits einen Plan, wie sie Konformität herstellen wollen;
  • von den Befragten aus Deutschland fühlten sich 44 % sehr gut auf die GDPR vorbereitet. 26 % der Befragten aus den Benelux-Staaten [Belgien, Luxemburg, Niederlande] hingegen fühlten sich am wenigsten vorbereitet;
  • mehr als 75 % der Befragten außerhalb Europas erklärten, dass sie den Anforderungen nicht gerecht werden oder nicht wissen, ob sie ihnen gerecht werden;
  • fast alle Unternehmen [97 %] haben keinen Plan für den Zeitpunkt, wenn die GDPR in Kraft tritt.

Die Ergebnisse zeigen auch: Organisationen wissen zwar, dass sich die Nichteinhaltung auf die Datensicherheit und die Geschäftsergebnisse auswirkt, aber über das Ausmaß der nötigen Veränderungen sowie über die Schwere der Strafen sind sie sich nicht im Klaren:

  • von den 21 % der Befragten, die angaben, mit einer Strafe zu rechnen, wenn die GDPR bereits jetzt gelte, dachten 36 %, es würde nur einfacher Nachbesserungen bedürfen oder kannten die Höhe der Strafe nicht;
  • knapp 50 % glaubten, dass sie mit einer moderaten Geldstrafe oder überschaubaren Nachbesserungsarbeiten davon kommen würden;
  • fast 25 % erwarteten bedeutende Veränderungen bei den aktuellen Datenschutzpraktiken und -technologien.
  • Weitere Erkenntnisse zeigen, dass sich die meisten Organisationen auf die Anforderungen der GDPR nicht gut vorbereitet fühlen:
  • weniger als die Hälfte der Befragten fühlten sich weitgehend auf jede der Sicherheits-Anforderungen der GDPR vorbereitet;
  • nur 21 % fühlten sich weitgehend vorbereitet für die Access-Governance, die eine wichtige Anforderung der GDPR ist;
  • mehr als 60 % der befragten Unternehmen in Europa waren noch nicht auf die Anforderungen vorbereitet oder wussten nicht, ob sie vorbereitet sind. Bei kleinen und mittleren Unternehmen waren es fast 70 %;
  • mehr als 90 % der Befragten gaben an, dass ihre Unternehmens-Richtlinien den Anforderungen der GDPR nicht genügen;
  • mehr als 80 % erklärten, sie seien in Sachen E-Mail-Sicherheit weitgehend oder zum Teil auf die GDPR vorbereitet;
  • fast 60 % urteilten, sie seien in Sachen Access-Governance weitgehend oder zum Teil auf die GDPR vorbereitet;
  • mehr als 80 % behaupteten, sie seien im Bereich Zugriffsmanagement weitgehend oder zum Teil auf die GDPR vorbereitet;
  • 65 % gaben an, sie seien bei Next Generation Firewalls weitgehend oder zum Teil auf die GDPR vorbereitet.

John Milburn, Vice President und General Manager, Dell One Identity Solutions

»Die EU-Datenschutz-Grundverordnung ist die erste Aktualisierung für die europäischen Datenschutzgesetze seit 1995. Damals steckte das Internet noch in den Kinderschuhen, die sich ständig weiterentwickelnden Cyber-Bedrohungen gab es noch nicht. Die Umfrage zeigt deutlich den globalen Mangel an Verständnis für die GDPR und was getan werden muss, um die strengen Strafen zu vermeiden. Die Ergebnisse zeigen auch, dass einige Organisationen zwar glauben, dass sie den Anforderungen gerecht werden, doch es wird ein böses Erwachen geben, wenn sie einen Verstoß begehen, überprüft werden und die Folgen tragen müssen.«

Patrick Sweeney, Vice President, Product Management und Marketing, Dell Sonicwall

»Die GDPR vereinheitlicht den Datenschutz in Europa. Sowohl europäische als auch außereuropäische Organisationen, die in Europa Geschäfte machen wollen, müssen einen adaptiven, benutzerzentrierten, mehrschichtigen Sicherheitsansatz implementieren, der die Grundsätze Vermeidung, Erkennung, Reaktion und Vorhersage umfasst. Um den GDPR-Anforderungen zu entsprechen, benötigen Unternehmen Sicherheitslösungen, die es ihnen ermöglichen, Angriffe zu verhindern, potenzielle Gefahren in Netzwerken aufzuspüren, schnell auf diese Gefahren zu reagieren sowie den Status ihrer Netze in Echtzeit zu analysieren und auszuwerten.«

IDC

»Trotz der zweijährigen Umsetzungsfrist sollte die GDPR frühzeitig berücksichtigt werden. Der Umfang, die Komplexität, die Kosten und die kritischen Auswirkungen auf das Geschäft bedeuten, dass es für die meisten Unternehmen mindestens zwei Jahre dauern wird, bis sie alle Anforderungen erfüllen. Die meisten Unternehmen sollten daher sofort beginnen.« [7]

[1] https://software.dell.com/whitepaper/gdpr-has-ramification-for-any-company-that-does-business-with-citizens8118437
[2] https://software.dell.com
[3] https://software.dell.com/solutions/identity-and-access-management
[4] https://software.dell.com/solutions/network-security
[5] https://software.dell.com/products/sonicwall-secure-mobile-access-series
[6] https://software.dell.com/solutions/E-Mail-security
[7] »Executive Brief on GDPR: A Primer for Getting Started Towards Compliance” von Duncan Brown, März 2016 https://i.dell.com/sites/doccontent/shared-content/data-sheets/en/Documents/EMEA-IDC-GDPR-Executive-Brief.pdf

 

 

 

 


Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.

 

Studie zeigt: Die Realität ist noch weit von GDPR entfernt

GDPR: Unternehmen erkennen Datenlecks viel zu spät

Unternehmen sind nicht auf GDPR vorbereitet

Europäische Datenschutzrichtlinie GDPR: Compliance-Countdown

Die komplexe Europäische Datenschutzrichtlinie GDPR umzusetzen

Die meisten der Datenschutzverletzungen werden nicht geahndet

Schlusslicht Deutschland: Unternehmen fühlen sich schlecht auf DSGVO vorbereitet

EU-DSGVO: Datenschutz-Grundverordnung der EU verunsichert Unternehmen

EU-Datenschutz-Grundverordnung – Fünf-Punkte-Plan für die Datensicherung