Den Unternehmen läuft die Zeit davon, im Mai 2018 läuft die Übergangsfrist der bereits in Kraft getretenen EU-Datenschutz-Grundverordnung (kurz: DSGVO) ab. Die angekündigten Strafzahlungen bei Verstößen gegen die neuen gesetzlichen Vorgaben sind immens und können durchaus existenzbedrohend sein. Dennoch wird die DSGVO vielerorts auf die leichte Schulter genommen.
Anders ist es nicht zu erklären, das 44 Prozent der von IDC befragten Organisationen noch keine Maßnahmen gestartet haben. Fast ein Drittel, konkret 27 Prozent, gaben zu Protokoll, dass sie nicht davon ausgehen, bis zum Stichtag compliant zu sein. Besonders der Mittelstand hinkt hinterher, hier zeigen sich 39 Prozent skeptisch, die erforderlichen Prozesse und Maßnahmen rechtzeitig umgesetzt zu haben.
Was ist also der Grund dafür, warum Unternehmen die Vorbereitungen auf die DSGVO nicht nachhaltig genug verfolgen? Geht das Konzept der Abschreckung durch hohe Strafzahlungen, etwaigen Reputationsverlust oder das Verbot der Datenverarbeitung – und damit einhergehen der zwangsweisen Einstellung der Geschäftstätigkeit – nicht auf?
Um herauszufinden, wo deutsche Unternehmen im Hinblick auf Informationstechnologie und IT-Security genau stehen, welche Strategien und Ansätze sie künftig verfolgt und auf welche Lösungen sie sich dabei stützen, hat IDC für die Studie "EU-Datenschutz-Grundverordnung in Deutschland 2018" im August 2017 rund 250 Entscheider aus Unternehmen mit mehr als 20 Mitarbeitern in Deutschland befragt.
Die Ergebnisse wurden der IT-Fachpresse im Oktober 2017 in München vorgestellt. Neben den beiden Studienautoren Laura Hopp und Matthias Zacher teilten Tommy Grosche (Fortinet), Hans-Peter Bauer (McAfee) und Milad Aslaner (Microsoft) ihre Sicht auf die Situation mit den anwesenden Journalisten. Moderiert wurde die kontroverse wie kurzweilige Diskussionsrunde von Lynn Thorenz, Leiterin des Bereichs Research und Consulting bei IDC.
Unternehmen nehmen DSGVO auf die leichte Schulter
IDC schätzt, dass Organisationen, die erst jetzt mit der Bewertung ihres DSGVO-Reifgrads beginnen, mindestens neun Monate zu spät starten. Die verbleibende Zeit muss intensiv genutzt werden, um die Vorbereitungen auf die Compliance voranzutreiben.
Verantwortliche sollten besser gestern als heute mit der Bewertung des DSGVO-Reifegrads, einer GAP-Analyse sowie die Etablierung einer Steuerungsgruppe starten. Die nächsten Schritte wären dann die Umsetzung organisatorischer und technologischer Maßnahmen – sowie in der Folge und zwar weit über 2018 hinaus – die kontinuierliche Überprüfung umgesetzter Maßnahmen. Doch von solchen Überlegungen sind viele Organisationen noch Lichtjahre entfernt.
Foto: IDC
Immerhin: 15 Prozent der Unternehmen schätzen sich selbst bereits heute als vollständig compliant ein. Ob sie es tatsächlich zu 100 Prozent sind, sei einmal dahingestellt. Und der Rest? Für den wird es unter Umständen schwierig, wenn nicht völlig unmöglich, die Anforderungen am Stichtag umgesetzt zu haben. Unglaubliche 44 Prozent der befragten Unternehmen erklärten nämlich, dass sie noch keine konkreten technologischen oder organisatorischen Maßnahmen zur Vorbereitung auf die DSGVO getroffen haben, 41 Prozent gaben an, zumindest vereinzelte Maßnahmen initiiert zu haben.
Jahr 2000 Problem vs. 25. Mai 2018: Ein Vergleich, der hinkt
Befinden wir uns in einer ähnlichen Situation wie damals, 1999, kurz vor der Jahrtausendwende? Wenn es darum geht, dass viele Unternehmen dem gesamten Thema nicht mit dem gebotenen Respekt begegnen oder wie das sprichwörtliche Kaninchen vor der Schlange sitzen: ja, vielleicht. Bei einem ganz wichtigen Aspekt hinkt der Vergleich allerdings. Während am 1. Januar 2000 bei der Mehrheit der Unternehmen aufgeatmet werden konnte und schon am Tag darauf kaum mehr jemand vom sogenannten Millenium-Bug sprach – es war schließlich vorbei, alles gutgegangen, nächstes Thema – wird uns die Herausforderung EU-DSGVO weit über den 25. Mai 2018 hinaus beschäftigen.
Hinzu kommt, dass das "Jahr 2000 Problem" ein rein technisches war und auch als solches gelöst werden konnte. Die Umsetzung der DSGVO hingegen ist zuallererst mal ein Prozess-Thema. "Bevor es um den Einsatz von Technologie geht, um DSGVO-Konformität zu erreichen, müssen Unternehmen Prozesse und Strukturen definieren", gibt Hans-Peter Bauer, Vice President Central Europe bei McAfee zu bedenken. "Zunächst steht die Identifizierung von personenbezogenen Daten an und wo diese in der Organisation überhaupt gespeichert sind", so Bauer weiter. Und genau das ist offenbar für viele der befragten Unternehmen schon eine Riesenherausforderung.
Ganzheitlicher Blick auf die eigene Datenbasis? Fehlanzeige!
Der Umfrage zufolge wissen knapp ein Viertel (23 Prozent) der Befragten nicht, wo ihre Daten gespeichert werden, 27 Prozent können nicht genau sagen, wer Zugriff auf personenbezogene Daten hat und 34 Prozent sind die Löschfristen nicht bekannt. Dass es diesen Unternehmen unter diesen Umständen schwerfallen wird, den nächsten logischen Schritt zu unternehmen, nämlich die Strukturierung und Bewertung von Daten, dürfte wenig überraschen.
Cloud und Netzwerk-Infrastruktur
Könnte es also die Lösung sein, personenbezogene Daten bei einem DSGVO-konformem Cloud-Anbieter zu hosten? Milad Aslaner, Senior Product Manager Cyber Security bei Microsoft, jedenfalls ist davon überzeugt: "Mit einem Cloud-Angebot wie beispielsweise dem unseren können Unternehmen ihren EU-DSGVO-Verpflichtungen in Bereichen wie dem Löschen, Richtigstellen, Verarbeiten oder Übertragen von personenbezogenen Daten nachkommen". Klingt gut. Dass aber kein Unternehmen wirklich alle personenbezogenen Daten in die Wolke schieben kann, will und vielleicht auch darf, liegt leider auf der Hand.
Für Tommy Grosche, Channel Sales Director bei Fortinet fängt daher effektiver Datenschutz woanders an. So berühre die Umsetzung einer gesetzlichen Vorgabe viele Bereiche eines Unternehmens und hinge auch gar nicht einmal mit einer spezifischen Technologie zusammen, so Grosche. "Jede Strategie für einen wirksamen Datenschutz muss meiner Meinung nach bei einer sicheren Netzwerkinfrastruktur ansetzen, und zwar unabhängig von der Größe des Unternehmens oder der Art des Geschäfts."
Für den sicheren IT-Betrieb ist die IT verantwortlich, für die Einhaltung von Prozessen hingegen der Datenschutzbeauftragte, den die meisten Unternehmen schon unter dem geltenden Bundesdatenschutzgesetz obligatorisch bestellt haben müssten. Die folgende Zahl überrascht dann doch: In nur 17 Prozent der Unternehmen ist die Position tatsächlich besetzt. Stärkere Sanktionen resultierend aus der DSGVO in Kombination mit der stetig steigenden Flut an Daten im Rahmen derDigitalisierung sind dann jetzt doch für immerhin 50 Prozent der Befragten offenbar Motivation genug, die Stelle des Datenschutzbeauftragten in den nächsten Monaten in- oder extern zu besetzen oder auszulagern.
DSGVO-relevante Prozesse ausbaufähig
Man muss es immer wieder betonen: Neben Organisationsstrukturen müssen auch DSGVO-relevante Prozesse eingeführt oder angepasst werden. Prozesse, die beispielsweise für die Einhaltung des Datenschutzgrundsatzes der Datenminimierung notwendig sind, existieren in den meisten Organisationen, viele sind bei der Löschung der Daten nach Ablauf der Speicherfrist bzw. Widerruf, aber auch der Lokalisierung, Identifizierung und Verwaltung auch ganz gut aufgestellt.
Wo sich deutliche Lücken zeigen, ist bei extern ausgerichteten Prozessen wie etwa der Benachrichtig der Aufsichtsbehörde nach einem Data Breach – einem ganz essentiellen Aspekt im Hinblick auf die DSGVO-Konformität. Hier gibt es viel Luft nach oben, Unternehmen müssen dringend nachbessern. Milad Aslaner sieht hier ganz klar das Top-Management in der Pflicht. "Die Unternehmensführung muss dafür Sorge tragen, dass die Einhaltung der Vorgaben nicht als reines IT- bzw. Rechtsthema gesehen wird. So müsse auch der Aufruf zur Datensparsamkeit aus der Führungsetage kommen, betont Aslaner.
Ohne State-of-the-Art-Technologie keine DSGVO-Konformität
Der Anpassung der IT-Systeme kommt eine zentrale Rolle zu, gleichzeitig wird sie von jedem Fünften als größte Herausforderung empfunden. Keine Frage: Der effiziente Schutz personenbezogener Daten ist ohne Informationstechnologie nicht realisierbar, die DSGVO fordert den Einsatz von State-of-the-Art-Technologie.
Gemeint sind damit neben Storage, Back-Up und Tools für Information Governance vor allem Next-Gen-Security-Lösungen wie etwa Breach und Leakage Detection, Intrusion Detection und Threat Intelligence. Und genau diese sind in der Fläche noch nicht umfassend im Einsatz. Hier muss sich schnell etwas tun, nach IDC Einschätzungen muss branchenübergreifend investiert werden.
Besonderen Handlungsbedarf sehen wir im Hinblick auf IT-Security, denn da beißt die Maus keinen Faden ab: Sicherheitsrisiken und Angriffsszenarien auf personenbezogene Daten lassen sich einfach nur mit modernster Technologie effizient abwehren. "Die kontinuierliche Entwicklung neuer Produkte, Features sowie ein lückenloses Monitoring der Bedrohungslandschaft ist hier eine absolute Kernanforderung, um auf dem Stand der Technik zu sein. Anwenderunternehmen sollte bei der Auswahl von DSGVO-Lösungsanbietern auf diese Kriterien Wert legen", sagt Tommy Grosche.
Auch die Kooperationen mit anderen Herstellern sei im Hinblick auf den Stand der Technik maßgeblich wichtig, betont Hans-Peter Bauer. "Wir sind der Meinung, dass nur eine Strategie der gebündelten Intelligenz eine gemeinsame Front gegen die wachsende Zahl der Bedrohungen bilden kann."
Verantwortliche in den Unternehmen, die keine modernen Lösungen einsetzen und somit das "State-of-the-Art"-Prinzip nicht erfüllen, müssen dies künftig sehr gut begründen können. Dabei liegt es auf der Hand, dass Unternehmen gegenüber Partnern, Kunden und Aufsichtsbehörden in Erklärungsnot kommen, wenn Mechanismen zur Vermeidung und Erkennung von Datenlecks nicht vorhanden oder veraltet sind und die Datentransparenz nicht gewährleistet ist.
Es gibt viel zu tun, warten wir es ab?
Viele Entscheider arbeiten seit Jahren an einer Verbesserung der Daten-Governance und Datentransparenz als Grundvoraussetzung für funktionierende Prozesse. Die mangelhafte Umsetzung der DSGVO stellt allerdings unter Beweis, dass dies vielen Unternehmen bis jetzt schlicht und ergreifend nicht gelungen ist. Sie waren stets bemüht, würde der Ketzer sagen.
Dass das nun für viele zum Bumerang wird, ist absehbar. Die wachsende Menge personenbezogener Daten und ihre vielfältige Nutzung wird immer weiter zunehmen, das bringt stetig steigende Anforderungen an die Datenarchitektur sowie an alle datenbezogenen Prozesse mit sich. Von der Illusion, dass sich die DSGVO irgendwann in Luft auflöst oder dass es "schon nicht so schlimm werden wird" – so wie es tatsächlich einige unserer Studienteilnehmer formuliert haben – sollten wir uns langsam verabschieden.
Vielleicht wird tatsächlich nichts so heiß gegessen, wie es gekocht wird. Darauf zu spekulieren, ist allerdings ein Spiel mit dem Feuer, das schnell zum Flächenbrand für die Unternehmen werden kann. Für einige wird es am Ende um nicht mehr als eine saftige Geldstrafe gehen, für andere um nicht weniger als die Existenz.
DSGVO ist Basisarbeit für Automatisierung von Geschäftsprozessen und Digitalisierung
Was aber in der gesamten Diskussion um die DSGVO und Compliance fast immer zu kurz kommt, sind die immensen Chancen, die sich für jedes einzelne Unternehmen aus der Umsetzung ergeben. Auch die Diskutanten unserer Runde sind sich einig: Die Gewährleistung der DSGVO-Compliance sollte viel mehr sein als nur lästige Pflicht mit Blick auf den Datenschutz. Transparente personenbezogene Daten erleichtern und fördern die Automatisierung vieler Geschäftsprozesse und treiben damit die Digitalisierung voran – ein echter Mehrwert für die Stärkung der Unternehmen im Wettbewerb.
Unternehmen, die diesen Schritt schon gegangen sind – das zeigen zahlreiche IDC Studien – konnten sich hier bereits Vorteile verschaffen. Die DSGVO wird somit zu einem Schlüsselfaktor der digitalen Transformation in Deutschland, in Europa und darüber hinaus.
Der Wettlauf gegen die Zeit hat begonnen. Wir von IDC werden die Entwicklung weiterhin gespannt verfolgen und einordnen.