15-12-2016 Gedruckt am 24-03-2017 aus www.monitor.co.at/index.cfm/storyid/17065

Datenschutz-Grundverordnung

Mehr als Hälfte der Unternehmen nicht auf DSGVO vorbereitet

Veritas Technologies, Spezialist für Information Management, hat herausgefunden, dass sich bislang weniger als die Hälfte der Organisationen mit der Datenschutz-Grundverordnung (DSGVO) der EU auseinandergesetzt hat, um ein Mindestmaß an Compliance zu erfüllen. Wenn die Unternehmen nicht innerhalb von 18 Monaten Vorkehrungen treffen, drohen hohe Geldbußen bei Compliance-Verstößen.

CC0 Public Domain - pixabay.com

 Die DSGVO wird im Mai 2018 in Kraft treten und das Datenschutzrecht in der EU mit Blick auf Datensicherheit, Speicherung und Governance vereinheitlichen. Dafür müssen Unternehmen genauer offenlegen, wie und wo sensible, personenbezogene Daten weitergegeben und gespeichert werden. Dazu zählt, wie Organisationen den Zugriff auf diese Informationen überwachen und kontrollieren. Die DSGVO betrifft nicht nur Unternehmen innerhalb der EU. Auch für Firmen, die außerhalb der EU ansässig sind, gelten die Regeln.
 
Im Rahmen einer Erhebung für den Global Databerg Report von Veritas wurden 2016 mehr als 2.500 IT-Verantwortliche aus Europa, dem Mittleren Osten, Afrika, den Vereinigten Staaten und der Region Asien-Pazifik befragt. Die von der Meinungsforschungsfirma Vanson Bourne durchgeführte Studie untersuchte, wie Unternehmen ihre Daten speichern und verwalten. Demnach haben sich 54 Prozent der Organisationen noch nicht damit befasst, eine DSGVO-Compliance bereitzustellen. Die Antworten zeigen, dass vor allem Fragen zu operativen Maßnahmen, Compliance und Planung im Vordergrund stehen. So geht es insbesondere um Prozess-Ownership und die Fähigkeit, Richtlinien für die Datenbereinigung zu implementieren sowie Löschpflichten einzuhalten.
 

Wer ist für die Implementierung der DSGVO verantwortlich?

Die Resultate der Studie belegen, dass viele Unternehmen nicht auf die DSGVO vorbereitet sind und auch nicht genau wissen, wer im Endeffekt für deren Einhaltung und Konformität verantwortlich ist. 32 Prozent sehen den Chief Information Officer in dieser Rolle. 21 Prozent gaben den Chief Information Security Officer an, 14 Prozent setzten den Haken beim Chief Executive Officer und rund zehn Prozent sind der Meinung, die Verantwortung liege in den Händen vom Chief Data Officer. Sollten die Anforderungen der DSGVO nicht richtig umgesetzt werden, erwarten die für die Prozesse verantwortliche Person viele Probleme. Besorgt um eine Rufschädigung für ihr Unternehmen, die aus schlechten Daten-Richtlinien entstehen könnte, waren nur 31 Prozent. Allerdings bangen 40 Prozent darum, dass die Compliance in ihrem Unternehmen scheitern könnte.
 

Schwierigkeiten beim Daten-Management

Die größten Herausforderungen im Rahmen von DSGVO sind die Fragmentierung von Daten und der der fehlende Einblick in die Daten. Diese Probleme gaben rund 35 Prozent der Befragten als ihre größte Sorge an, erschweren sie doch die Einhaltung der Richtlinien erheblich. Insbesondere die zunehmende Nutzung von schwer kontrollierbaren Speicherorten in der Cloud und File-Sharing-Diensten von Kunden lässt Unternehmen im Hinblick auf die Compliance keine Ruhe. Immerhin benutzt ein Viertel der Studienteilnehmer Cloud-basierte Dienste wie Box, Google Drive, Dropbox, EMC Simplicity oder Microsoft OneDrive, obwohl es nicht konform zu den Unternehmensrichtlinien ist. Weitere 25 Prozent bestätigten, dass sie nicht anerkannte Speicherdienste außerhalb des Unternehmens verwenden. Das macht es der IT noch schwerer, diese Daten mit typischen Werkzeugen zu verwalten.
 
Zusätzlich wiesen die Befragten auf weitere Risikofaktoren hin, die in Hinsicht auf Sicherheits- und Regulierungsvorschriften wichtig werden. Über die Hälfte der Teilnehmer zeigte sich besorgt darüber, dass dem Unternehmen Daten verloren gehen könnten; 48 Prozent äußerten vor allem die Sorge über den Verlust bei der Übermittlung zwischen Standorten und Systemen. Auch der Umstand, dass Mitarbeiter Daten missbrauchen und Compliance-Bemühungen untergraben könnten, beschäftigt vier von zehn Befragten.
 

Das Recht darauf, vergessen zu werden

Existiert kein legitimer Grund für eine Speicherung und besteht eine Person darauf, dass ihre Daten gelöscht werden, muss das Unternehmen laut DSGVO der Aufforderung innerhalb einer festgelegten Zeit nachkommen. Die Fragmentierung von Daten und die angehäuften Datenberge machen es Firmen allerdings fast unmöglich, das rechtzeitig zu bewerkstelligen. Ferner erschweren fehlende Einsichten in Dark Data und in Informationen, die außerhalb der Unternehmenssysteme gespeichert werden, die Einhaltung der Compliance. Das setzt Unternehmen erheblichen finanziellen und rechtlichen Risiken aus. Es droht ein Bußgeld in Höhe von maximal 20 Millionen Euro oder von bis zu vier Prozent des globalen Umsatzes – je nachdem, welcher Betrag größer ist.
 
"Die DSGVO ist die wichtigste Veränderung beim Datenschutz seit langem und ein dringendes globales Projekt. Sie wird 2017 die Diskussionen rund um Datenschutz, -management und -regulierung befeuern", so Mike Palmer, Executive Vice President and Chief Product Officer bei Veritas. "Globale Unternehmen müssen sich jetzt darum kümmern, zu wissen, wo ihre Daten liegen und wie sie sie schützen müssen. Nur so lassen sich potentielle Bußgelder oder eine Schädigung der Marke und des Rufes vermeiden."