Laut Studie [1] decken nur zwei Prozent der Unternehmen die Kernanforderungen tatsächlich ab. Viele Unternehmen weltweit sind der Meinung, die Pflichten aus der EU-Datenschutzgrundverordnung (DSGVO, Engl. General Data Protection Regulation GDPR) bereits abzudecken. Sie liegen falsch. Das ist eines der Ergebnisse einer Umfrage von Veritas Technologies.
Illustration: Absmeier
Der Veritas 2017 GDPR Report zeigt: Weltweit erklärte fast ein Drittel (31 Prozent) der Befragten, das eigene Unternehmen erfülle die wichtigsten Regelungen der Verordnung längst. Als dieselben Firmen nach spezifischen Regelungen aus der DSGVO befragt wurden, sahen sie bei sich allerdings Nachholbedarf, so dass sie sehr wahrscheinlich nicht compliant sind. Berücksichtigt man auch diese Antworten, sind unter dem Strich nur noch zwei Prozent der Unternehmen weltweit tatsächlich auf die Verordnung vorbereitet.
Die größten Schwierigkeiten haben Firmen damit, bei Datenverlusten den Überblick zu behalten. Von den Befragten, die eigenen Angaben zufolge längst auf die Verordnung vorbereitet sind, hat fast die Hälfte (48 Prozent) keine Einsicht in sämtliche Vorfälle, bei denen personenbezogene Daten verloren gehen. Ganze 60 Prozent sehen sich nicht in der Lage, ein Datenleck binnen 72 Stunden zu entdecken und zu melden – dabei ist das eine essenzielle Forderung aus der DSGVO. Ob Krankenakte, E-Mail-Adresse oder Passwort – meldet eine Organisation den Verlust von personenbezogenen Daten zu spät, handelt sie nicht konform zu den neuen Regelungen.
Die Studienergebnisse zeigen, dass Organisationen, die sich bereits als compliant einstufen, ihre Strategien überdenken sollten. Handeln sie nicht entsprechend, drohen hohe Bußgelder, die sich auf bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro belaufen können – je nachdem, welcher Betrag größer ist.
Gefahr durch ehemalige Mitarbeiter
Verlässt ein Mitarbeiter das Unternehmen, sollte er auf keine Unternehmensdaten mehr zugreifen dürfen. Das geschieht meist, indem seine Systemzugänge und -Profile gelöscht werden. Dies ist ein wichtiger Prozess, um finanzielle oder Image-Schäden zu vermeiden. Trotzdem erklärte die Hälfte der »DSGVO-konformen« Unternehmen, dass ihre ehemaligen Mitarbeiter weiterhin Zugriff auf Unternehmensdaten hätten. Dieses Ergebnis zeigt, dass auch die Firmen, die von ihrer DSGVO-Compliance überzeugt sind, anfällig sind für mögliche Sicherheitslücken.
»Recht auf Vergessenwerden« bereitet Probleme
Laut DSGVO haben alle Verbraucher das Recht zu fordern, dass ihre eigenen personenbezogenen Daten aus Datenbanken von Unternehmen gelöscht werden. Das wird jedoch zum Problem – auch für Organisationen, die sich nach eigenen Angaben bestens vorbereitet fühlen. 18 Prozent räumten ein, personenbezogene Daten nicht zeitnah suchen, finden und löschen zu können. Weitere 13 Prozent sind nicht in der Lage, ihre Daten daraufhin zu untersuchen, ob sie Referenzen zu Einzelpersonen enthalten und zu visualisieren, wo Daten gespeichert werden.
Ebenfalls 13 Prozent gestanden, dass die Quellen der Daten und ihr Verwendungszweck nicht klar definiert sind. Auch das verstößt gegen die DSGVO. Organisationen müssen sicherstellen, dass personenbezogene Daten ausschließlich für den ursprünglichen Verwendungszweck verwendet und danach gelöscht werden.
Wer ist wofür verantwortlich?
Ein weiteres Ergebnis: Organisationen schätzen falsch ein, wer für die Daten in Cloud-Umgebungen verantwortlich ist. 49 Prozent der Befragten, die sich bereit für die DSGVO halten, sehen die Verantwortung für Daten-Compliance komplett beim Cloud-Anbieter (Cloud Service Provider CSP). Allerdings ist das Unternehmen selbst als der »Besitzer« der Daten oder als der »Data Controller«, wie es in der Verordnung heißt, verantwortlich und muss sicher stellen, dass ein CSP als sogenannter Datenverarbeiter oder »Data Processor« entsprechend den Vorgaben handelt. Diese Fehleinschätzung kann ihnen teuer zu stehen kommen, sobald die DSGVO-Regelungen in Kraft treten.
Datenmanagement ernst nehmen
»Die DSGVO will Unternehmen zwingen, Datenmanagement ernst zu nehmen. Unsere Umfrage zeigt jedoch: Es besteht große Unsicherheit darüber, was getan werden muss, um die Vorgaben zu erfüllen. Doch der Countdown läuft und alle Missverständnisse sollten ausgeräumt sein, wenn die Verordnung nächstes Jahr gültig wird«, sagt Andreas Bechter, Regional Product Manager EMEA bei Veritas.
»Für Regelungen wie die DSGVO ist es wichtig zu verstehen, welche Daten in der Organisation vorhanden sind. Doch das ist nicht genug. Die Daten müssen so klassifiziert sein, dass Richtlinien auf sie angewendet werden können. Geschieht das nicht, kann es auch keine Compliance geben. Die Ergebnisse unserer Umfrage sollten genutzt werden, um Unternehmen über Irrglauben aufzuklären, die sie das Geschäft kosten könnten.«
Die DSGVO harmonisiert die Regelungen, wie mit personenbezogenen Daten innerhalb des EU-Raums umzugehen ist. Organisationen müssen sicherstellen, dass ausreichende technische und organisatorische Maßnahmen getroffen und die notwendigen Prozesse installiert wurden, um unmittelbar festzustellen, ob personenbezogene Daten verloren gingen. Die DSGVO tritt am 25. Mai 2018 in Kraft und betrifft jede Organisation, die Waren oder Dienstleistungen an EU-Bürger vertreibt oder ihr Verhalten beobachtet. Der Sitz der Organisation ist irrelevant.
[1] Veritas hat den unabhängigen Marktforscher Vanson Bourne beauftragt, eine Studie durchzuführen. Dieser Report basiert auf den Ergebnissen. Im Februar und März 2017 wurden 900 Führungskräfte aus Australien, Deutschland, Frankreich, Japan, Singapur, Südkorea, den USA und dem Vereinigten Königreich interviewt. Die Befragten kamen aus Organisationen mit mindestens 1000 Mitarbeitern aus verschiedenen Sektoren. Ein Kriterium war eine geschäftliche Beziehung Organisation im EU-Raum.
Mehr Informationen darüber, wie Unternehmen die DSGVO erfüllen können, finden Sie hier: https://www.veritas.com/de/de/solution/general-data-protection-regulation
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
Verschlüsselung oder Tokenisierung: Nur noch 11 Monate bis zur EU-DSGVO
Die meisten Unternehmen können die Fristen der EU-DSGVO nicht einhalten
DSGVO: Vier von fünf deutschen Unternehmen läuft die Zeit davon
Schlusslicht Deutschland: Unternehmen fühlen sich schlecht auf DSGVO vorbereitet
EU-DSGVO: Datenschutz-Grundverordnung der EU verunsichert Unternehmen
DSGVO und SIEM – Bedeutung für Krankenhäuser in Zeiten von Locky & Co.
EU-DSGVO: Vom neuen EU-Datenschutz nicht verängstigen lassen
Cloud-Anbieter haften künftig für den Datenschutz ihrer Kunden
Studie deckt stiefmütterliche Behandlung der IT-Sicherheit auf