IDC-Expertentalk

Unternehmen schlecht auf DSGVO vorbereitet

Wafa Moussavi-Amin ist Analyst und Geschäftsführer bei IDC in Frankfurt. In seiner Funktion als Geschäftsführer verantwortet Wafa Moussavi-Amin seit Oktober 2004 die Strategie und Geschäftsentwicklung der International Data Corporation (IDC) in Deutschland und der Schweiz, seit 2013 zeichnet er zudem verantwortlich für die Region Benelux.
Sehr viele Unternehmen haben noch keine Maßnahmen für die Datenschutz-Grundverordnung (DSGVO) angestoßen. Dabei ist das Gesetz auch ein Schlüsselfaktor zur digitalen Transformation. Das ergab ein IDC-Expertentalk zur EU-Datenschutz-Grundverordnung.
  • Einer IDC-Studie zufolge haben 44 Prozent der befragten Unternehmen noch keine Maßnahmen gestartet, 27 Prozent glauben auch nicht, bis zum Stichtag im Mai compliant zu sein.
  • IDC schätzt, dass Organisationen, die erst jetzt mit der Bewertung ihres DSGVO-Reifgrads beginnen, mindestens neun Monate zu spät starten.
  • Die Umsetzung der DSGVO ist weniger ein Technik-Thema als vielmehr ein Prozess-Thema.
  • Das positive Potenzial der DSGVO: Transparente personenbezogene Daten erleichtern und fördern die Automatisierung vieler Geschäftsprozesse und treiben damit die Digitalisierung voran.

Den Unternehmen läuft die Zeit davon, im Mai 2018 läuft die Übergangsfrist der bereits in Kraft getretenen EU-Datenschutz-Grundverordnung (kurz: DSGVO) ab. Die angekündigten Strafzahlungen bei Verstößen gegen die neuen gesetzlichen Vorgaben sind immens und können durchaus existenzbedrohend sein. Dennoch wird die DSGVO vielerorts auf die leichte Schulter genommen.

Anders ist es nicht zu erklären, das 44 Prozent der von IDC befragten Organisationen noch keine Maßnahmen gestartet haben. Fast ein Drittel, konkret 27 Prozent, gaben zu Protokoll, dass sie nicht davon ausgehen, bis zum Stichtag compliant zu sein. Besonders der Mittelstand hinkt hinterher, hier zeigen sich 39 Prozent skeptisch, die erforderlichen Prozesse und Maßnahmen rechtzeitig umgesetzt zu haben.

Was ist also der Grund dafür, warum Unternehmen die Vorbereitungen auf die DSGVO nicht nachhaltig genug verfolgen? Geht das Konzept der Abschreckung durch hohe Strafzahlungen, etwaigen Reputationsverlust oder das Verbot der Datenverarbeitung – und damit einhergehen der zwangsweisen Einstellung der Geschäftstätigkeit – nicht auf?

Um herauszufinden, wo deutsche Unternehmen im Hinblick auf Informationstechnologie und IT-Security genau stehen, welche Strategien und Ansätze sie künftig verfolgt und auf welche Lösungen sie sich dabei stützen, hat IDC für die Studie "EU-Datenschutz-Grundverordnung in Deutschland 2018" im August 2017 rund 250 Entscheider aus Unternehmen mit mehr als 20 Mitarbeitern in Deutschland befragt.

Die Ergebnisse wurden der IT-Fachpresse im Oktober 2017 in München vorgestellt. Neben den beiden Studienautoren Laura Hopp und Matthias ZacherMatthias Zacher teilten Tommy GroscheTommy Grosche (Fortinet), Hans-Peter Bauer (McAfee) und Milad Aslaner (Microsoft) ihre Sicht auf die Situation mit den anwesenden Journalisten. Moderiert wurde die kontroverse wie kurzweilige Diskussionsrunde von Lynn Thorenz, Leiterin des Bereichs Research und Consulting bei IDC. Profil von Matthias Zacher im CIO-Netzwerk Profil von Tommy Grosche im CIO-Netzwerk

Unternehmen nehmen DSGVO auf die leichte Schulter

IDC schätzt, dass Organisationen, die erst jetzt mit der Bewertung ihres DSGVO-Reifgrads beginnen, mindestens neun Monate zu spät starten. Die verbleibende Zeit muss intensiv genutzt werden, um die Vorbereitungen auf die ComplianceCompliance voranzutreiben. Alles zu Compliance auf CIO.de

Verantwortliche sollten besser gestern als heute mit der Bewertung des DSGVO-Reifegrads, einer GAP-Analyse sowie die Etablierung einer Steuerungsgruppe starten. Die nächsten Schritte wären dann die Umsetzung organisatorischer und technologischer Maßnahmen – sowie in der Folge und zwar weit über 2018 hinaus – die kontinuierliche Überprüfung umgesetzter Maßnahmen. Doch von solchen Überlegungen sind viele Organisationen noch Lichtjahre entfernt.

Austausch beim IDC-Expertengespräch zur EU-DSGVO mit Matthias Zacher (IDC), Hans-Peter Bauer (McAfee), Tommy Grosche (Fortinet), Milad Aslaner (Microsoft) und Lynn Thorenz (IDC).
Austausch beim IDC-Expertengespräch zur EU-DSGVO mit Matthias Zacher (IDC), Hans-Peter Bauer (McAfee), Tommy Grosche (Fortinet), Milad Aslaner (Microsoft) und Lynn Thorenz (IDC).
Foto: IDC

Immerhin: 15 Prozent der Unternehmen schätzen sich selbst bereits heute als vollständig compliant ein. Ob sie es tatsächlich zu 100 Prozent sind, sei einmal dahingestellt. Und der Rest? Für den wird es unter Umständen schwierig, wenn nicht völlig unmöglich, die Anforderungen am Stichtag umgesetzt zu haben. Unglaubliche 44 Prozent der befragten Unternehmen erklärten nämlich, dass sie noch keine konkreten technologischen oder organisatorischen Maßnahmen zur Vorbereitung auf die DSGVO getroffen haben, 41 Prozent gaben an, zumindest vereinzelte Maßnahmen initiiert zu haben.

Jahr 2000 Problem vs. 25. Mai 2018: Ein Vergleich, der hinkt

Befinden wir uns in einer ähnlichen Situation wie damals, 1999, kurz vor der Jahrtausendwende? Wenn es darum geht, dass viele Unternehmen dem gesamten Thema nicht mit dem gebotenen Respekt begegnen oder wie das sprichwörtliche Kaninchen vor der Schlange sitzen: ja, vielleicht. Bei einem ganz wichtigen Aspekt hinkt der Vergleich allerdings. Während am 1. Januar 2000 bei der Mehrheit der Unternehmen aufgeatmet werden konnte und schon am Tag darauf kaum mehr jemand vom sogenannten Millenium-Bug sprach – es war schließlich vorbei, alles gutgegangen, nächstes Thema – wird uns die Herausforderung EU-DSGVO weit über den 25. Mai 2018 hinaus beschäftigen.

Zur Startseite