DSGVO: Jedes fünfte IT-Unternehmen hat sich noch nicht damit beschäftigt

Die EU-Datenschutzgrundverordnung ist eigentlich schon in Kraft, nur die Übergangsfrist endet am 25. Mai 2018. Ab dann drohen Unternehmen, die die Vorgaben missachten, hohe Strafen. Das Bewusstsein für die Dringlichkeit ist aber auch bei IT-Firmen noch gering, wie eine Umfrage des Bitkom jetzt gezeigt hat.

Laut Umfrage hat sich jedes fünfte der befragten IT- und Digitalunternehmen noch überhaupt nicht mit dem Thema auseinandergesetzt. Ein Drittel hat immerhin schon erste Maßnahmen eingeleitet oder umgesetzt. 42 Prozent der befragten Firmen beschäftigen sich aktuell mit dem Thema, haben aber noch keine Maßnahmen ergriffen. 5 Prozent wollten oder konnten keine Angaben machen.

Der Bitkom hatte im Herbst vergangenen Jahres Unternehmen mit mehr als 20 Mitarbeitern aus allen Branchen befragt. Damals hatten 32 Prozent der Befragten erklärt, sich mit der DSGVO noch nicht beschäftigt zu haben. 12 Prozent wussten überhaupt nicht, worum es dabei geht. Zu ähnlichen Ergebnissen kommen auch andere Umfragen.

In einer von NetApp durchgeführten Umfrage unter jeweils 750 IT-Entscheidern in Deutschland, Frankreich und UK haben nur 37 Prozent der Befragten angegeben, dass sie zusätzlich investiert haben, um gesetzeskonforme Datenschutzprozesse zu realisieren. Und mehr als 70 Prozent der befragten IT-Entscheider in Deutschland, Frankreich und UK hatten Bedenken, ob ihre Organisation die einheitlichen EU-Datenschutz-Vorgaben bis zum 25. Mai 2018 erfüllen kann.

Auch von den vom Bitkom befragten IT- und Digitalunternehmen, die bereits erste Maßnahmen begonnen haben, haben nach eigener Einschätzung erst 31 Prozent höchstens 20 Prozent der notwendigen Arbeiten erledigt.

Nach Ansicht von Dr. Dierk Schindler, Head of EMEA Legal & Deal Management sowie Head of Global Legal Shared Services bei NetApp, werden den Unvorbereiteten auch zwei Vorschriften für IT-Services Schwierigkeiten bereiten. Beide sollen das bereits nach bisheriger Gesetzeslage bestehende Prinzip der Datensparsamkeit verbessern.

Zum einen handelt es sich um „Privacy by Design“. Demnach muss jede Datenhaltungsapplikation, die mit personenbezogenen Daten umgeht, so konzipiert sein, dass sie den Datenschutz sicherstellt.

Die zweite zentrale Vorgabe ist „Privacy by Default“. Sie schreibt für Anwendungen vor, im Grundzustand, also im Rahmen der Voreinstellungen, den Datenschutz zu gewährleisten. Unternehmen müssen demnach den Datenschutz also bereits beim Produktdesign berücksichtigen. Für all diejenigen, die sich zu beiden, in vielen Fällen meist komplexen Umsetzungsszenarien noch keine Gedanken gemacht hat, wird es höchste Zeit.

Kein gutes Zeugnis stellt auch eine von Vanson Bourne im Auftrag von Veritas Ende 2016 durchgeführte Umfrage den Verantwortlichen aus. Dieser Umfrage nach waren damals rund die Hälfte der Unternehmen nicht auf die EU-Datenschutz-Grundverordnung vorbereitet. Ein wichtiges, in den anderen Umfragen nicht so zutage getretenes Problem ist der Untersuchung zufolge Unklarheit darüber, wer denn in den Unternehmen eigentlich für die Einhaltung von Datenschutzrichtlinien verantwortlich sein soll.

Ein wichtiges, oft aber noch nicht in seinem ganzen Ausmaß erkanntes Problem der EU-DSGVO ist die Datenfragmentierung (Bild: Shutterstock).

Den Angaben zufolgen sehen 32 Prozent der Umfrageteilnehmer den Chief Information Officer in der Pflicht, 21 Prozent den Chief Information Security Officer. Für 14 Prozent der Befragten ist das eine Aufgabe des Chief Executive Officer, rund zehn Prozent sind der Meinung, die Verantwortung liege in den Händen des Chief Data Officer – sofern es den denn gibt. Insgesamt sorgten sich 40 Prozent aller Befragten, dass die DSGVO für ihr Unternehmen Compliance-Probleme verursachen könnte.

Die DSGVO stellt Firmen nach Ansicht von Veritas vor allem aufgrund der Fragmentierung von Daten und dem fehlende Einblick in die Daten vor Probleme. Insbesondere die zunehmende Verwendung schwer kontrollierbarer Speicherorte in der Cloud und die Nutzung von File-Sharing-Diensten von Kunden bereite Unternehmen im Hinblick auf Compliance schlaflose Nächte.

Einer Studie vom Compuware zufolge, die nicht nur allgemein nach der DSGVO gefragt, sondern auch Details dazu abgeklopft hat, sind deutsche Firmen noch unvorbereiteter. Demnach haben vor allem Organisationen, die komplexe Daten verarbeiten, derzeit erst selten Antworten darauf, wie sie sicherstellen können, zu jeder Zeit angeben zu können, wo sich Daten befinden.

Nur 59 Prozent der Unternehmen können sämtliche Daten zu einer Person schnell lokalisieren. Das aber ist eine wichtige Voraussetzung für die Gewährleistung des „Rechts auf Vergessen werden“, das die DSGVO ab dem 25. Mai 2018 vorschreibt. Etwa ein Drittel der Befragten kann nicht garantieren, dass sie alle Kundendaten so finden können, wie es die EU-DSGVO fordert.

Gartner-Analyst Jürgen Fritsch wies auf dem CIO-Summit in München Mitte Mai zudem darauf hin, dass vor allem die so genannten „Dark Data“ für Unternehmen ein Risiko darstellen. “Wenn Sie wüssten, dass sie diese Daten haben, dann wären es keine Dark Data“, so Fritsch. Fakt aber sei, dass es solche Daten in jedem Unternehmen gebe. Sie kämen beispielsweise dadurch zustande, dass Mitarbeiter komplexe Abfragen kopieren und in einem „Dump“ speichern, um die investierte Arbeit nicht zu löschen.

„Allmählich wird die Zeit knapp, um die Vorgaben der Datenschutz-Grundverordnung umzusetzen. Die Übergangsfrist bis Mai 2018 war dafür gedacht, dass die IT-Unternehmen bis dahin die teilweise aufwändigen Vorarbeiten leisten können – dies setzt aber eine aktive Beschäftigung mit dem Thema voraus“, erklärt Susanne Dehmel, Geschäftsleiterin Vertrauen und Sicherheit beim Bitkom. Wie diverse Verpflichtungen aus der Verordnung praktisch umgesetzt werden können erklärt der Verband in Praxisleitfäden zu den Themen „Verarbeitungsverzeichnis“, „Risk Assessment und Datenschutzfolgenschutzabschätzung“ sowie „Mustervertragsanlage zur Auftragsverarbeitung“. Sie stehen auf der Bitkom-Webseite kostenlos zum Download bereit.

[Mit Material von Peter Marwan, silicon.de]