Eigentlich wollte ich Freitag Morgen mit dem werten Karl Fröhlich von speicherguide.de via Skype ein Treffen vereinbaren. Am Ende des kurzen Chats stand die Einsicht, dass ich mich spontan ins Münchner Hotel „Le Meridien“ begeben sollte. Dort fand nämlich eine IDC-Veranstaltung zum Thema EU-DSGVO statt. Ein sehr spannendes Thema, in dessen Kontext IDC eine aktuelle Studie vorstellen wollte.
Und ich habe es nicht bereut, alleine schon wegen des sehr informativen und interaktiven Charakters der Veranstaltung. So wurden zunächst die Ergebnisse der Auguststudie von IDC zum Thema EU-DSGVO vorgestellt, anschließend nahmen drei Vertreter namhafter Firmen auf Hockern Platz, um sich den Fragen der IDC-Moderatorin und der anwesenden KollegInnen zu stellen.
Erkenntnis: Viele Firmen sind in Sachen DSGVO deutlich in Verzug
Das Gute an solch einer aktuellen Studie (Erhebungszeitraum: August 2017) ist deren Relevanz, denn man weiß sofort: Wenn im Rahmen der Umfrage 44 Prozent aller Probanden angaben, auf die EU-DSGVO noch nicht vorbereitet zu sein, dann wirft das ein eher erschütterndes Bild auf den aktuellen Status Quo der befragten Firmen. Und das waren genau 251 Unternehmen mit mehr als 20 Mitarbeitern, über alle Branchen hinweg.
[irp posts=“33107″ ]
Damit befinden sich 110 Unternehmen rund neun Monate im Verzug, was das Ergreifen der notwendigen Maßnahmen in Sachen Datenschutz betrifft. Dabei wird bereits seit Mai 2016 eine zweijährige Übergangsfrist gewährt, und trotzdem sind gerade einmal 15 Prozent (oder 38 von 251 der befragten Unternehmen) zu 100 Prozent auf die neue Datenschutzgrundverordnung vorbereitet.
Doch was ist für das hundertprozentige Erfüllen aller DSGVO-Kriterien überhaupt erforderlich? Nun, das betrifft vor allem vier Bereiche:
Organisation: Bestellung eines Datenschutzbeauftragten
Prozesse: Benachrichtigung bei Datenschutzverletzungen innerhalb von 72 Stunden
Technik: Berücksichtigung von „Privacy by Design“ und „Privacy by Default“
Recht: Gesonderte Einwilligung pro Verwendungszweck
Sieht man sich dazu die Ergebnisse der Studie an, fallen vor allem folgende Dinge auf:
„Datenschutzbeauftragter?! Damit warten wir noch ein bisschen…“
Gerade einmal 17 Prozent aller befragten Unternehmen beschäftigen (Stand heute) einen externen bzw. internen Datenschutzbeauftragten. Und das, obwohl sie allesamt zu der Bestellung eines Verantwortlichen verpflichtet wären, was sich aus der Größe der Studienteilnehmer ergibt.
„Stand der Technik?! Nun, wo sollen wir denn da anfangen?!“
Die Vielzahl an technischen Voraussetzungen in Sachen DSGVO ist derart unüberschaubar, dass wohl alleine wegen dieser enormen Komplexität zahlreiche Unternehmen wie das Kaninchen vor der Schlange stehen und mit weit geöffneten Augen starr vor Schreck ob dieser Herausforderungen im Nichtstun verharren.
[irp posts=“32285″ ]
„Wie sollen wir all diese notwendigen Maßnahmen umsetzen können?!“
Und sieht man sich die folgende Folie an, bekommt man eine leise Ahnung davon, warum so viele Unternehmen im DSGVO-Zeitplan ein Dreiviertel Jahr und mehr hinterher hinken. So gaben die Befragten an, vor allem hinsichtlich des Umbaus der IT-Systeme, hinsichtlich der Klassifizierung von Daten und bei der Schulung von Mitarbeitern an ihre Grenzen zu stoßen.
„Verschlüsselung?! Ja, da sind wir gerade dran…“
Doch die Studie offenbart noch weitere Schwächen in der aktuellen Umsetzung vieler Unternehmen in Sachen DSGVO. So sind zahlreiche Firmen beim Thema „Privacy by Design“ und „Privacy by Default“ deutlich hinter dem Zeitplan zurück. Es gaben mehr als 30 Prozent an, ihre Daten erst in den nächsten 12 Monaten DSGVO-konform verschlüsseln zu können, und das sowohl auf Datenbank- als auch auf Speicherebene. Zudem stellt die zweckgebundene Datenverarbeitung viele Unternehmen vor Probleme: Hier sind es fast die Hälfte, die noch keine entsprechenden Maßnahmen ergriffen haben.
[irp posts=“32761″ ]
Exkurs: „Privacy by Design“ und „Privacy by Default“
Zwei Schlagworte, eine Forderung: Im Rahmen des europäischen Datenschutzes, der in der DSGVO geregelt ist, müssen alle betroffenen Firmen dafür sorgen, dass die zum Einsatz kommende Hard- und Software den hohen datenschutzrechtlichen Anforderungen genügt. Das bedeutet konkret, das die Unternehmenstechnik zum einen die Grundsätze der DSGVO vollständig unterstützen muss („by Design“) und zum anderen datenschutzkonforme Grundeinstellungen aufweist („by Default“).
Teil zwei der IDC-Veranstaltung: Fragen und Antworten
Im Anschluss an die Vorstellung der Studie wurden fünf Hocker aufgestellt, auf denen drei Vertreter namhafter Unternehmen Platz nahmen, die allesamt eine Menge zum Thema (Daten)Sicherheit zu sagen haben. Namentlich waren das Hans-Peter Bauer von McAfee, Tommy Grosche von Fortinet und Milad Aslaner von Microsoft. Ergänzt wurde die Runde von Matthias Zacher als IDC-Vertreter und Lynn-Kristin Thorenz, ebenfalls IDC, die für die Moderation zuständig war.
[irp posts=“159688″ ]
Pingback:Fortinet-Umfrage: CEOs unterschätzen IT-Sicherheit ihres Unternehmens nach wie vor – IT-techBlog.de
Pingback:Darum sind CAST-Analysetools echte DSVGO-Helfer – IT-techBlog.de
Pingback:IDC-Event-Rückschau: Was man über DevOps wissen sollte – IT-techBlog.de
Pingback:Data Residency: eperi-Techniken helfen bei der Umsetzung – IT-techBlog: Künstliche Intelligenz, IoT, Cloud & Co.