EU-Datenschutz-Grundverordnung: Vorbereitung kommt nur schleppend voran

Mehr als 70 Prozent der IT-Entscheider haben Bedenken, dass es ihre Organisation fristgerecht bis zum 25. Mai 2018 schafft, sich entsprechend der einheitlichen EU-Datenschutz-Vorgaben aufzustellen. Die Vorbereitung auf die EU-DSGVO (EU-Datenschutz-Grundverordnung, englisch: GDPR – General Data Protection Regulation) kommt vielfach nur langsam voran. Häufig fehlt ein umfassendes Verständnis der EU-DSGVO-Zusammenhänge und die Verantwortlichkeit für die Einhaltung der gesetzlichen Vorgaben im Umgang mit Daten ist nicht immer klar. Unternehmen ringen zudem mit den Zuständigkeiten.

Das sind die wichtigsten Ergebnisse einer aktuellen Umfrage unter 750 europäischen CIOs und IT-Managern aus Deutschland, Frankreich und Großbritannien zur EU-DSGVO, die im Dezember 2016 von Opinion Matters im Auftrag von NetApp durchgeführt wurde und die NetApp jetzt vorgestellt hat. Die Studie „NetApp Cloud GDPR Response Survey EMEA Findings IIbildet neben dem Vorbereitungsstand zur EU-DSGVO auch aktuelle Entwicklungen zum Cloud-Einsatz und zur Sicherheit ab.

So zeichnet die Untersuchung gravierende Unterschiede auf, wie sich Unternehmen auf den 25. Mai 2018 vorbereiten. An dem Stichtag endet die Übergangsfrist – und die EU-DSGVO ist im europäischen Binnenmarkt verbindlich, wodurch sich eigentlich ein Handlungsdruck für viele Wirtschaftsakteure abzeichnen müsste. Aber nur 37 Prozent der Befragten haben laut der Studie bisher zusätzlich investiert, um gesetzeskonforme Datenschutzprozesse zu realisieren. Dieser Wert sollte weit höher ausfallen. Denn Unternehmen müssen ihr Geschäft auf eine datengetriebene Zukunft ausrichten und außerdem drakonischen Geldstrafen vorbeugen, die bei Verstößen gegen die EU-DSGVO drohen.

NetApp zufolge besteht der Knackpunkt, die EU-DSGVO fristgerecht umzusetzen, in der Compliance. Der Urheber der Daten bleibt der Eigentümer. Gemäß EU-DSGVO ist darüber hinaus jeder, der Daten verarbeitet, verantwortlich und kann bei Verstößen haftbar gemacht werden. Allerdings liegt für 51 Prozent der Befragten die Compliance-Verantwortung bei dem Unternehmen, das die Daten erzeugt. Für 46 Prozent der IT-Manager ist das Unternehmen verantwortlich, das die Daten verarbeitet.

Wiederum 37 Prozent der Umfrageteilnehmer sehen es als Aufgabe der Cloud-Anbieter an, die Daten-Compliance sicherzustellen. Laut NetApp ist es richtig, dass all die genannten Gruppen individuell für die Daten, die sie handhaben, verantwortlich sein werden. Positiv betrachtet weisen die Mehrfachantworten in der Umfrage also auf ein grundlegendes Verständnis der „geteilten Verantwortung“ hin, die im Umgang mit personenbezogenen Daten gelten wird. Jedoch veranschaulichen die niedrigen Antwortquoten die Unsicherheit, die unter den CIOs und IT-Managern im Wirtschaftsraum EMEA (Europa, Naher Osten und Afrika) herrscht.

Die Verwirrung über die Verantwortlichkeiten in Sachen Compliance lässt sich der Studie zufolge auf fehlendes Wissen darüber zurückführen, was alles mit dem neuen EU-Regelwerk zum Datenschutz verbunden ist. Zwar ist das Wissen hierzu in Deutschland am höchsten, jedoch gaben nur 17 Prozent der in Deutschland Befragten an, die EU-DSGVO komplett verstanden zu haben. Frankreich belegt mit 15 Prozent Platz zwei, gefolgt von Großbritannien, wo sich zwölf Prozent umfassendes Know-how attestierten. 47 Prozent aller Umfrageteilnehmer räumten ein, „etwas“ über die Verordnung zu wissen. Obwohl nur noch ein Jahr Zeit für die Umsetzung bleibt, wissen neun Prozent noch nicht, was die EU-DSGVO ist. Der geringe Grad an Informiertheit äußert sich in Bedenken. So bereitet der Stichtag 73 Prozent aller Befragten Sorge, weil sie ihr Geschäft durch drastische Geldbußen bedroht sehen, wenn sie die Datenschutzvorgaben nicht fristgerecht erfüllen.

Nur 37 Prozent der europäischen IT-Leiter an geben an, dass ihr Unternehmen zusätzlich investiert hat, um sich auf die Deadline vorzubereiten. Deutschland steht hier noch am besten da. So haben 27 Prozent der deutschen Studienteilnehmer dafür Spezialisten eingestellt, die über Datenschutz-Expertise verfügen. In Frankreich handelten 20 Prozent und in Großbritannien 17 Prozent der Befragten so. 14 Prozent aller Teilnehmer haben jedoch noch gar keine Vorkehrungen getroffen.

Dabei sind diese Vorbereitungen entscheidend – gerade angesichts der wachsenden Bedeutung von Daten für den Geschäftserfolg. So sagt das Marktforschungsinstitut IDC ein exponentielles Datenwachstum voraus, resultierend aus 80 Milliarden vernetzter Geräte im Internet der Dinge (IoT) im Jahr 2025.

Für 29 Prozent der Befragten ist das Erfüllen von gesetzlichen Vorgaben ein wesentlicher Beweggrund für den Cloud-Einsatz. Das deutet darauf hin, dass Compliance für Unternehmen noch immer keine herausragende Rolle spielt, selbst wenn es um geschäftskritische Entscheidungen wie den Cloud-Einsatz geht.

„Die Cloud verändert weiterhin kontinuierlich das Handeln im Geschäftsumfeld. Hierbei erweist sich die Datenschutzgrundverordnung als wegweisende Rechtsvorschrift. Sie legt das Fundament für unsere daten-getriebene Zukunft. Außerdem stecken in ihr starke Anreize für alle Unternehmen, die persönliche Daten von EU-Bürgern verarbeiten, einen robusten Rahmen für den Datenschutz zu geben. Vorstände und IT-Manager sind sich jedoch beim vorschriftsmäßigen Umgang mit Daten unsicher. Das ist sowohl erstaunlich wie beunruhigend, weil die ‚Daten-Compliance‘ das Herzstück der EU-DSGVO bildet. Das Compliance-Verständnis der Unternehmen und ihre Fähigkeit, die Verantwortung für alle Daten zu übernehmen, die sie handhaben, wirken sich unmittelbar darauf aus, ob sie künftige Strafzahlungen vermeiden können. Wenn nur die Hälfte der NetApp-Umfrageteilnehmer etwas davon versteht, was die EU-DSGVO ist, sagt uns das klipp und klar: Wir haben noch einen langen Weg vor uns – und es bleibt nur ein Jahr, ihn zu meistern“, so Dr. Dierk Schindler, Head of EMEA Legal & Global Legal Shared Services bei NetApp, zu den Umfrageergebnissen.