Rund die Hälfte der deutschen Unternehmen bezweifeln, die EU-Datenschutzgrundverordnung rechtzeitig umsetzen zu können.
Eine weltweit durchgeführte Umfrage von Veritas kommt zu einem beunruhigenden Ergebnis für deutsche Unternehmen: Fast die Hälfte (48 %) sieht sich nicht gerüstet für die EU-Datenschutzgrundverordnung (DSGVO, engl.: General Data Protection Regulation GDPR), die im Mai 2018 in Kraft tritt [1]. Das ist der schlechteste Wert in der EMEA-Region. Wer gegen die Vorgaben verstößt, dem drohen im Ernstfall Strafzahlungen in Höhe von 20 Millionen Euro oder vier Prozent des Gesamtumsatzes – die höhere Summe ist ausschlaggebend.
Zweck der DSGVO ist es, die Datenschutz-, Aufbewahrungs- und Governance-Gesetzgebung innerhalb der Europäischen Union zu vereinheitlichen.
Besonders bei personenbezogenen Daten muss transparent sein, wo Unternehmen diese speichern und wer sie auf welche Weise verarbeitet. Die DSGVO, die am 25. Mai 2018 rechtswirksam wird, gilt nicht nur innerhalb der EU, sondern für alle Organisationen, die Daten von EU-Bürgern speichern. Dies betrifft jegliche Unternehmen, die Produkte und Services in der EU anbieten oder das Kundenverhalten beobachten, wie zum Beispiel bei Online-Käufen. Die Studie bestätigt, dass nicht weniger als 47 Prozent weltweit große Zweifel daran hegen, die Deadline einhalten zu können.
Für den Veritas 2017 GDPR Report wurden Anfang dieses Jahres 900 Führungskräfte in Europa, Asien und den USA befragt. Sollten die Befragten tatsächlich hohe Strafen zahlen müssen, so befürchten 21 Prozent global und in Deutschland, Stellen abbauen zu müssen. 18 Prozent sehen gar die Gefahr, in diesem Fall sogar vom Markt zu verschwinden.
Abbildung 1: »Wenn es öffentlich wird, dass Ihr Unternehmen die DSGVO nicht einhält – was ist Ihre größte Sorge?« Basis: 900 (alle Befragten)
Auch die Außenwirkung bereitet Unternehmen Kopfzerbrechen. Das gilt vor allem für den Fall, wenn ein Compliance-Verstoß aufgrund der Verpflichtung, Datenlecks zu melden, an die Öffentlichkeit gelangt. 19 Prozent der Befragten gehen davon aus, dass negative Berichte in Medien oder sozialen Netzwerken Kunden veranlassen könnten, zur Konkurrenz zu wechseln. In Deutschland fürchten sich sogar 24 Prozent vor schlechter Presse – der globale Spitzenwert. Weitere zwölf Prozent erwarten den Wertverfall der Unternehmensmarke (Deutschland: 15 Prozent).
Mangel an Technologie hemmt DSGVO-Compliance
Viele Unternehmen scheitern schon am ersten Schritt in Richtung DSGVO-Compliance: am Wissen, wo Daten lagern, was sie enthalten und inwieweit sie relevant sind.
Den Organisationen fehlt die richtige Technologie, um Compliance-Regulierungen umzusetzen. Fast ein Drittel (32 %) der Befragten gaben an, dass ihr Unternehmen keine Technologie besitzt, mit der es Daten effektiv verwalten könnte. Das beeinträchtigt wiederum die Fähigkeit von Unternehmen, Daten effektiv zu suchen, zu finden und zu prüfen – essenzielle Kriterien für die Einhaltung der DSGVO.
Zusätzlich befürchten 39 Prozent, dass ihr Unternehmen Daten nicht treffsicher identifizieren und in der IT-Landschaft lokalisieren kann. Die Richtlinie schreibt aber Unternehmen vor, personenbezogene Daten auf Anfrage innerhalb einer sehr kurzen Frist zu lokalisieren und dem Antragsteller innerhalb von 30 Tagen eine Kopie seiner Daten zur Verfügung zu stellen oder diese, falls gewünscht, zu löschen.
Eine weitere große Sorge betrifft die Vorratsspeicherung von Daten. 42 Prozent der befragten Unternehmen weltweit gaben an, keinen Prozess zu haben, nach dem Daten klassifiziert werden. Dies ist aber notwendig, um zu entscheiden, ob Daten gespeichert oder gelöscht werden müssen. Laut DSGVO haben Unternehmen das Recht, Daten zu behalten – allerdings nur, wenn die betroffene Person über die Gründe informiert wurde. Die Informationen müssen jedoch sofort gelöscht werden, sobald ihr Zweck erfüllt ist.
DSGVO-Compliance hat ihren Preis
Zum Zeitpunkt der Befragung waren lediglich 31 Prozent der weltweit Befragten für die DSGVO bereit. In Deutschland liegt der Wert mit 36 Prozent etwas höher. Die Unternehmen, die noch auf dieses Ziel hinarbeiten, werden hohe Investitionen tätigen müssen. Durchschnittlich rechnen die Firmen damit, bis Mai 2018 etwa 1,3 Millionen Euro auszugeben, um die DSGVO zu erfüllen. In Deutschland liegt das Budget mit rund 820.000 Euro deutlich niedriger. Veritas geht davon aus, dass diese Zahlen noch steigen werden – denn fast die Hälfte der Befragten erklärt, bis zum Mai 2018 nicht alle Vorgaben der DSGVO erfüllen zu können.
Blick in die Welt
Der Weg zur DSGVO-Compliance ist in den meisten Ländern noch weit. Am besten vorbereitet sehen sich Unternehmen im Vereinigten Königreich, den USA und Frankreich. Hier geben jeweils über 60 Prozent der Befragten an, rechtzeitig alle Regelungen zu erfüllen. Trotzdem gibt es auch in diesen Ländern noch einen hohen Prozentsatz an Unternehmen, die sich nicht ausreichend vorbereitet fühlen.
»Wir stellen eine deutliche Steigerung der Beratungsanfragen fest, die sich fast ausschließlich auf die Anwendung der in nächstem Jahr wirksam werdenden Datenschutz-Grundverordnung (DSGVO) beziehen. Das neue Recht bringt insofern einen Paradigmenwechsel mit sich, als die Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nachweisen und dafür ausdrücklich geeignete Prozesse vorhalten müssen. Unternehmen, die sich schon bisher an das geltende Recht gehalten, d.h. zum Beispiel nicht mehr erforderliche Daten aus ihren Beständen gelöscht haben oder vorbereitet waren, entsprechende Auskunftsverlangen zu erfüllen, haben nicht das ganz große Problem. Bei den großen Unternehmen sind die Bemühungen, sich auf die DSGVO vorzubereiten, nach unserer Erfahrung recht weit fortgeschritten. Viel problematischer ist die Situation bei kleinen und mittleren Unternehmen, die zum Teil noch gar nicht realisiert haben, dass und welche Anforderungen in Zukunft auf sie zukommen. Für einen Betroffenen macht es keinen Unterschied, ob sein Persönlichkeitsrecht durch ein großes oder kleineres Unternehmen verletzt wird. Er wird seine – durch die DSGVO deutlich gestärkten – Betroffenenrechte gegenüber allen Verantwortlichen, wie die Unternehmen, die mit personenbezogenen Daten umgehen, in der DSGVO genannt werden, geltend machen. Auch die Datenschutzaufsichtsbehörden stehen in den Startlöchern, um zeitnah nach Wirksamwerden der DSGVO im Mai 2018 ihre Prüfungsaktivitäten zu intensivieren. Abwarten und nichts tun, ist mehr als riskant«, so Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht.
»In etwas mehr als einem Jahr tritt die DSGVO in Kraft, doch weltweit herrscht in Unternehmen noch die ›Aus den Augen, aus dem Sinn‹-Mentalität vor. Dabei macht es keinen Unterschied, ob ein Unternehmen seinen Standort in der EU hat oder nicht. Wenn geschäftliche Beziehungen zur Region existieren, gilt die DSGVO«, erklärt Andreas Bechter, Senior Product Manager bei Veritas. »Jetzt wäre es an der Zeit, einen Berater einzubeziehen, der den aktuellen Stand evaluiert und dem Unternehmen hilft eine Compliance-Strategie zu entwickeln. Den Kopf in den Sand zu stecken ist keine Alternative – es geht um Arbeitsplätze, Reputation und das Wohlergehen des Unternehmens.«
[1] Veritas hat den unabhängigen Marktforscher Vanson Bourne beauftragt, eine Studie durchzuführen. Dieser Report basiert auf den Ergebnissen. Im Februar und März 2017 wurden 900 Führungskräfte aus Australien, Deutschland, Frankreich, Japan, Singapur, Südkorea, den USA und dem Vereinigten Königreich interviewt. Die Befragten kamen aus Organisationen mit mindestens 1000 Mitarbeitern aus verschiedenen Sektoren. Ein Kriterium war eine geschäftliche Beziehung Organisation im EU-Raum.
Mehr Informationen darüber, wie Unternehmen die DSGVO erfüllen können, finden Sie hier: https://www.veritas.com/de/de/solution/general-data-protection-regulation
Am 25. Mai findet außerdem ein Webinar mit IDC und William Fry statt, für das Sie sich hier anmelden können.
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.
EU-DSGVO: Datenschutz-Grundverordnung der EU verunsichert Unternehmen
EU-DSGVO: Vom neuen EU-Datenschutz nicht verängstigen lassen
Der (zu) nachlässige Umgang mit sensiblen Daten am Arbeitsplatz
Sicher und verschlüsselt durch die digitale Welt: ISÆN schützt persönliche Daten im Internet
DSGVO und SIEM – Bedeutung für Krankenhäuser in Zeiten von Locky & Co.
Sicherheit: Die digitale Transformation verändert die Risikolandschaft für Unternehmen