IDC-Studie

Schlecht vorbereitet auf die DSGVO

| Autor: Heidemarie Schuster

Bei der Einführung DSGVO-relevanter Prozesse und Technologien gibt es immer noch große Lücken.
Bei der Einführung DSGVO-relevanter Prozesse und Technologien gibt es immer noch große Lücken. (Bild: © sdecoret - stock.adobe.com)

Es sind nur noch rund sieben Monate bis die Übergangsfrist der Datenschutz-Grundverordnung abläuft. Dennoch haben erst 44 Prozent der von IDC befragten Unternehmen konkrete Maßnahmen zur Erfüllung der Anforderungen gestartet.

Viel Zeit bleibt für Unternehmen nicht mehr, um sich auf die EU-Datenschutz-Grundverordnung (DSGVO) vorzubereiten, denn im Mai 2018 endet die Übergangsfrist. Wer der neuen Verordnung nicht nachkommt, muss mit hohen Strafen rechnen. Um Einblicke in die aktuelle Situation, Herausforderungen sowie die zu erwartenden Aktivitäten zur Anpassung der Organisationsstrukturen, Prozesse und Technologien an die neuen gesetzlichen Anforderungen hinsichtlich der DSGVO zu erhalten, hat IDC im August 2017 251 Unternehmen und Organisationen in Deutschland mit mehr als 20 Mitarbeitern befragt.

Mittelständler tun sich schwer

44 Prozent der befragten Unternehmen geben an, dass sie noch keine konkreten technologischen oder organisatorischen Maßnahmen zur Vorbereitung auf die DSGVO getroffen haben.

„Dieses Ergebnis ist alarmierend“, sagt Laura Hopp, Consultant bei IDC. „Wir gehen davon aus, dass Unternehmen, die erst jetzt damit beginnen, sich mit dem Thema auseinanderzusetzen, mindestens neun Monate in Verzug sind. Es bleibt abzuwarten, ob die Firmen diese Herkulesaufgabe bis zum 25. Mai 2018 noch stemmen können.“ Mittelständische Unternehmen tun sich offenbar besonders schwer. Hier gaben 40 Prozent der Befragten zu Protokoll, dass sie skeptisch sind, alle relevanten Maßnahmen fristgerecht umsetzen zu können.

Der Überblick fehlt

Datentransparenz ist die Basis für eine sichere Verarbeitung und die Einhaltung der Compliance. Umso erschreckender, dass 23 Prozent der Befragten nicht wissen, wo ihre Daten gespeichert werden. 27 Prozent können nicht genau sagen, wer Zugriff auf personenbezogene Daten hat und 34 Prozent sind die Löschfristen nicht bekannt. Darüber hinaus geben 37 Prozent der Studienteilnehmer an, dass Dokumente unkontrolliert auf den Fileservern unter der Obhut der Mitarbeiter liegen.

Datenschutzbeauftragter

Obwohl dem Datenschutzbeauftragten bei der Überwachung der Einhaltung der DSGVO eine Schlüsselrolle zukommt, ist diese Position erst bei 17 Prozent der befragten Unternehmen besetzt. Dieses Ergebnis ist mehr als überraschend, da der Großteil der Unternehmen nach dem aktuell gültigen Bundesdatenschutzgesetz bereits einen Datenschutzbeauftragten beschäftigen müsste, so IDC. Immerhin planen 50 Prozent der befragten Unternehmen in den nächsten Monaten die Bestellung.

Lücken erkennbar

Prozesse, die beispielsweise für die Einhaltung des Datenschutzgrundsatzes der Datenminimierung notwendig sind, sind in den meisten Organisationen bereits vorhanden, so sind Firmen bei der Löschung der Daten nach Ablauf der Speicherfrist (67 Prozent), der Lokalisierung, Identifizierung und Verwaltung der Daten (66 Prozent) sowie der Löschung der Daten nach Widerruf der Einwilligung (65 Prozent) bereits ganz gut aufgestellt.

Dennoch gibt es unter den Befragten immer noch nicht wenige Unternehmen, die keine Einführung aller relevanter Prozesse planen. Dies gilt insbesondere für extern ausgerichtete Prozesse, wie beispielsweise die Benachrichtigung der betroffenen Person (53 Prozent) und der Aufsichtsbehörden (47 Prozent). Aus Sicht von IDC muss sehr genau geprüft werden, welche Prozesse im jeweiligen Unternehmenskontext relevant sind und wie diese Prozesse in IT-Lösungen abgebildet werden können.

Fehlende Schutzmaßnahmen

Der ungewollte Abfluss von personenbezogenen Daten muss zwingend verhindert werden. Dafür fehlt es allerdings noch eindeutig an umfassenden Schutzmechanismen, so die Marktforscher von IDC. Zwar haben die befragten Unternehmen einige Maßnahmen bereits umgesetzt: Vergabe von Zugriffsrechte nur an relevante Personen (68 Prozent) sowie Entzug von nicht mehr benötigten Zugriffsrechten (62 Prozent). Eine unkontrollierte Vervielfältigung der Daten ist hingegen noch in vielen Fällen möglich. So wird das Kopieren von vertraulichen Daten in andere Dateien nur bei 47 Prozent blockiert. Auch das Versenden vertraulicher Daten per E-Mail verhindern erst 42 Prozent der Unternehmen.

Fazit von IDC

Die DSGVO ist ein wichtiges Regelwerk, um den Datenschutz in Europa zu verbessern und zu vereinheitlichen. Sie adressiert aktuelle Anforderungen an den Datenschutz, die sich im Zuge der Digitalisierung aus neuen Geschäftsmodellen, unterschiedlichen Nutzungsszenarien und einer veränderten Haltung gegenüber personenbezogenen Daten ergeben. Genau das haben viele Unternehmen in Deutschland noch nicht erkannt oder verstanden. Sie unterschätzen die Komplexität der Anforderungen, die sich aus der Verordnung ergeben und die Tragweite von Verstößen gegen den Datenschutz.

Viele Entscheider arbeiten seit Jahren an einer Verbesserung der Daten-Governance und Datentransparenz als Grundvoraussetzung für funktionierende Prozesse. Die mangelhafte Umsetzung der DSGVO zeigt aber sehr deutlich auf, das dies zahlreichen Firmen bis jetzt nicht gelungen ist. Die wachsende Menge personenbezogener Daten und ihre vielfältige Nutzung stellen somit deutlich höhere Anforderungen an die Datenarchitektur und alle datenbezogenen Prozesse.

Die Gewährleistung der DSGVO-Compliance sollte mehr sein als nur lästige Pflicht mit Blick auf den Datenschutz. Transparente personenbezogene Daten erleichtern und fördern die Automatisierung vieler Geschäftsprozesse und treiben damit die Digitalisierung voran – ein echter Mehrwert für die Stärkung der Firmen im Wettbewerb. Unternehmen, die diesen Schritt schon gegangen sind – das zeigen zahlreiche IDC Studien – konnten sich hier bereits Vorteile verschaffen.

Der umfassende Schutz der Daten und der sichere IT-Betrieb sind entscheidende Voraussetzungen, um als vertrauenswürdiger Partner in digitalen Ökosystemen agieren zu können. Die DSGVO wird somit zu einem Schlüsselfaktor der digitalen Transformation in Deutschland, in Europa und darüber hinaus.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44958716 / Compliance)