Nur zwei Prozent decken EU-DSGVO-Kernanforderungen abTrugschluss: Unternehmen sehen sich bereit für DSGVO

Viele Unternehmen weltweit sind der Meinung, die Pflichten aus der Europäischen Datenschutzgrundverordnung (EU-DSGVO, engl. General Data Protection Regulation: GDPR) bereits abzudecken. Doch viele liegen mit dieser Einschätzung falsch. Das ist eines der Ergebnisse einer Umfrage von Veritas Technologies, die sich dem Thema Datenmanagement in der Multi-Cloud verschrieben haben.

Compliant?

Weltweit erklärte fast ein Drittel (31 Prozent) der Befragten, das eigene Unternehmen erfülle die wichtigsten Regelungen der Verordnung längst. Zu diesem Ergebnis kommt der Veritas 2017 GDPR Report. Als dieselben Firmen nach spezifischen Regelungen aus der DSGVO befragt wurden, sahen sie bei sich allerdings Nachholbedarf, so dass sie sehr wahrscheinlich nicht „compliant“ sind. Berücksichtigt man auch diese Antworten, sind unter dem Strich nur noch zwei Prozent der Unternehmen weltweit tatsächlich auf die Verordnung vorbereitet.

Die größten Schwierigkeiten haben Firmen damit, bei Datenverlusten den Überblick zu behalten. Von den Befragten, die eigenen Angaben zufolge längst auf die Verordnung vorbereitet sind, hat fast die Hälfte (48 Prozent) keine Einsicht in sämtliche Vorfälle, bei denen personenbezogene Daten verloren gehen.

Ganze 60 Prozent sehen sich nicht in der Lage, ein Datenleck binnen 72 Stunden zu entdecken und zu melden – dabei ist das eine essenzielle Forderung aus der DSGVO. Ob Krankenakte, Email-Adresse oder Passwort – meldet eine Organisation den Verlust von personenbezogenen Daten zu spät, handelt sie nicht konform zu den neuen Regelungen.

Die Studienergebnisse zeigen, dass Organisationen, die sich bereits als „compliant“ einstufen, ihre Stategien überdenken sollten. Handeln sie nicht entsprechend, drohen hohe Bußgelder, die sich auf bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro belaufen können – je nachdem, welcher Betrag größer ist.

Gefahr durch Ehemalige

Verlässt ein Mitarbeiter das Unternehmen, sollte er auf keine Unternehmensdaten mehr zugreifen dürfen. Das geschieht meist, indem seine Systemzugänge und –Profile gelöscht werden. Dies ist ein wichtiger Prozess, um finanzielle oder Image-Schäden zu vermeiden. Trotzdem erklärte die Hälfte der „EU-DSGVO-konformen“ Unternehmen, dass ihre ehemaligen Mitarbeiter weiterhin Zugriff auf Unternehmensdaten hätten. Dieses Ergebniszeigt, dass auch die Firmen, die von ihrer EU-DSGVO-Compliance überzeugt sind, anfällig sind für mögliche Sicherheitslücken.

Laut EU-DSGVO haben alle Verbraucher das Recht zu fordern, dass ihre eigenen personenbezogenen Daten aus Datenbanken von Unternehmen gelöscht werden. Das wird jedoch zum Problem – auch für Organisationen, die sich nach eigenen Angaben bestens vorbereitet fühlen. 18 Prozent räumten ein, personenbezogene Daten nicht zeitnah suchen, finden und löschen zu können. Weitere 13 Prozent sind nicht in der Lage,
•    ihre Daten daraufhin zu untersuchen, ob sie Referenzen zu Einzelpersonen enthalten oder
•    zu visualisieren, wo Daten gespeichert werden.

Ebenfalls 13 Prozent gestanden, dass die Quellen der Daten und ihr Verwendungszweck nicht klar definiert sind. Auch das verstößt gegen die DSGVO. Organisationen müssen sicherstellen, dass personenbezogene Daten ausschließlich für den ursprünglichen Verwendungszweck verwendet und danach gelöscht werden.

Verantwortlichkeiten

Ein weiteres Ergebnis der Studie zeigt, dass es Organisationen falsch einschätzen, wer für die Daten in Cloud-Umgebungen verantwortlich ist. 49 Prozent der Befragten, die sich bereit für die EU-DSGVO halten, sehen die Verantwortung für Daten-Compliance komplett beim Cloud-Anbieter (Cloud Service Provider CSP).

Allerdings ist das Unternehmen selbst als der “Besitzer” der Daten oder als der „Data Controller“, wie es in der Verordnung heißt, verantwortlich und muss sicher stellen, dass ein CSP als so genannter Datenverarbeiter oder „Data Processor“ entsprechend den Vorgaben handelt. Diese Fehleinschätzung kann ihnen teuer zu stehen kommen, sobald die DSGVO-Regelungen in Kraft treten.

„Die DSGVO will Unternehmen zwingen, Datenmanagement ernst zu nehmen. Unsere Umfrage zeigt jedoch: Es besteht große Unsicherheit darüber, was getan werden muss, um die Vorgaben zu erfüllen. Doch der Countdown läuft und alle Missverständnisse sollten ausgeräumt sein, wenn die Verordnung nächstes Jahr gültig wird”, sagt Andreas Bechter. Der Regional Product Manager EMEA bei Veritas ergänzt: „Für Regelungen wie die EU-DSGVO ist es wichtig zu verstehen, welche Daten in der Organisation vorhanden sind. Doch das ist nicht genug. Die Daten müssen so klassifiziert sein, dass Richtlinien auf sie angewendet werden können. Geschieht das nicht, kann es auch keine Compliance geben. Die Ergebnisse unserer Umfrage sollten genutzt werden, um Unternehmen über Irrglauben aufzuklären, die sie das Geschäft kosten könnten.”

Generell harmonisiert die EU-DSGVO die Regelungen, wie mit personenbezogenen Daten innerhalb des EU-Raums umzugehen ist. Organisationen müssen sicherstellen, dass ausreichende technische und organisatorische Maßnahmen getroffen und die notwendigen Prozesse installiert wurden, um unmittelbar festzustellen, ob personenbezogene Daten verloren gingen. Die EU-DSGVO tritt am 25. Mai 2018 in Kraft und betrifft jede Organisation, die Waren oder Dienstleistungen an EU-Bürger vertreibt oder ihr Verhalten beobachtet. Der Sitz der Organisation ist irrelevant.

Veritas hat den unabhängigen Marktforscher Vanson Bourne beauftragt, eine Studie durchzuführen. Dieser Report basiert auf den Ergebnissen. Im Februar und März 2017 wurden 900 Führungskräfte aus Australien, Deutschland, Frankreich, Japan, Singapur, Südkorea, den USA und dem Vereinigten Königreich interviewt. Die Befragten kamen aus Organisationen mit mindestens 1000 Mitarbeitern aus verschiedenen Sektoren. Ein Kriterium war eine geschäftliche Beziehung Organisation im EU-Raum. (rhh)

Hier finden sich weitere Informationen zum Thema EU-DSGVO von Veritas