IDC-Expertentalk

Unternehmen schlecht auf DSGVO vorbereitet

14.12.2017
Von 
Wafa Moussavi-Amin ist Analyst und Geschäftsführer bei IDC in Frankfurt. In seiner Funktion als Geschäftsführer verantwortet Wafa Moussavi-Amin seit Oktober 2004 die Strategie und Geschäftsentwicklung der International Data Corporation (IDC) in Deutschland und der Schweiz, seit 2013 zeichnet er zudem verantwortlich für die Region Benelux.
Weitere Artikel des Autors

Hinzu kommt, dass das "Jahr 2000 Problem" ein rein technisches war und auch als solches gelöst werden konnte. Die Umsetzung der DSGVO hingegen ist zuallererst mal ein Prozess-Thema. "Bevor es um den Einsatz von Technologie geht, um DSGVO-Konformität zu erreichen, müssen Unternehmen Prozesse und Strukturen definieren", gibt Hans-Peter Bauer, Vice President Central Europe bei McAfee zu bedenken. "Zunächst steht die Identifizierung von personenbezogenen Daten an und wo diese in der Organisation überhaupt gespeichert sind", so Bauer weiter. Und genau das ist offenbar für viele der befragten Unternehmen schon eine Riesenherausforderung.

Ganzheitlicher Blick auf die eigene Datenbasis? Fehlanzeige!

Der Umfrage zufolge wissen knapp ein Viertel (23 Prozent) der Befragten nicht, wo ihre Daten gespeichert werden, 27 Prozent können nicht genau sagen, wer Zugriff auf personenbezogene Daten hat und 34 Prozent sind die Löschfristen nicht bekannt. Dass es diesen Unternehmen unter diesen Umständen schwerfallen wird, den nächsten logischen Schritt zu unternehmen, nämlich die Strukturierung und Bewertung von Daten, dürfte wenig überraschen.

Cloud und Netzwerk-Infrastruktur

Könnte es also die Lösung sein, personenbezogene Daten bei einem DSGVO-konformem Cloud-Anbieter zu hosten? Milad Aslaner, Senior Product Manager Cyber SecuritySecurity bei Microsoft, jedenfalls ist davon überzeugt: "Mit einem Cloud-Angebot wie beispielsweise dem unseren können Unternehmen ihren EU-DSGVO-Verpflichtungen in Bereichen wie dem Löschen, Richtigstellen, Verarbeiten oder Übertragen von personenbezogenen Daten nachkommen". Klingt gut. Dass aber kein Unternehmen wirklich alle personenbezogenen Daten in die Wolke schieben kann, will und vielleicht auch darf, liegt leider auf der Hand. Alles zu Security auf CIO.de

Für Tommy Grosche, Channel Sales Director bei Fortinet fängt daher effektiver DatenschutzDatenschutz woanders an. So berühre die Umsetzung einer gesetzlichen Vorgabe viele Bereiche eines Unternehmens und hinge auch gar nicht einmal mit einer spezifischen Technologie zusammen, so Grosche. "Jede Strategie für einen wirksamen Datenschutz muss meiner Meinung nach bei einer sicheren Netzwerkinfrastruktur ansetzen, und zwar unabhängig von der Größe des Unternehmens oder der Art des Geschäfts." Alles zu Datenschutz auf CIO.de

Für den sicheren IT-Betrieb ist die IT verantwortlich, für die Einhaltung von Prozessen hingegen der Datenschutzbeauftragte, den die meisten Unternehmen schon unter dem geltenden Bundesdatenschutzgesetz obligatorisch bestellt haben müssten. Die folgende Zahl überrascht dann doch: In nur 17 Prozent der Unternehmen ist die Position tatsächlich besetzt. Stärkere Sanktionen resultierend aus der DSGVO in Kombination mit der stetig steigenden Flut an Daten im Rahmen derDigitalisierungDigitalisierung sind dann jetzt doch für immerhin 50 Prozent der Befragten offenbar Motivation genug, die Stelle des Datenschutzbeauftragten in den nächsten Monaten in- oder extern zu besetzen oder auszulagern. Alles zu Digitalisierung auf CIO.de

DSGVO-relevante Prozesse ausbaufähig

Man muss es immer wieder betonen: Neben Organisationsstrukturen müssen auch DSGVO-relevante Prozesse eingeführt oder angepasst werden. Prozesse, die beispielsweise für die Einhaltung des Datenschutzgrundsatzes der Datenminimierung notwendig sind, existieren in den meisten Organisationen, viele sind bei der Löschung der Daten nach Ablauf der Speicherfrist bzw. Widerruf, aber auch der Lokalisierung, Identifizierung und Verwaltung auch ganz gut aufgestellt.

Wo sich deutliche Lücken zeigen, ist bei extern ausgerichteten Prozessen wie etwa der Benachrichtig der Aufsichtsbehörde nach einem Data Breach – einem ganz essentiellen Aspekt im Hinblick auf die DSGVO-Konformität. Hier gibt es viel Luft nach oben, Unternehmen müssen dringend nachbessern. Milad Aslaner sieht hier ganz klar das Top-Management in der Pflicht. "Die Unternehmensführung muss dafür Sorge tragen, dass die Einhaltung der Vorgaben nicht als reines IT- bzw. Rechtsthema gesehen wird. So müsse auch der Aufruf zur Datensparsamkeit aus der Führungsetage kommen, betont Aslaner.

Ohne State-of-the-Art-Technologie keine DSGVO-Konformität

Der Anpassung der IT-Systeme kommt eine zentrale Rolle zu, gleichzeitig wird sie von jedem Fünften als größte Herausforderung empfunden. Keine Frage: Der effiziente Schutz personenbezogener Daten ist ohne Informationstechnologie nicht realisierbar, die DSGVO fordert den Einsatz von State-of-the-Art-Technologie.

Gemeint sind damit neben Storage, Back-Up und Tools für Information Governance vor allem Next-Gen-Security-Lösungen wie etwa Breach und Leakage Detection, Intrusion Detection und Threat Intelligence. Und genau diese sind in der Fläche noch nicht umfassend im Einsatz. Hier muss sich schnell etwas tun, nach IDC Einschätzungen muss branchenübergreifend investiert werden.

Zur Startseite