Eigentlich wollte ich Freitag Morgen mit dem werten Karl Fröhlich von speicherguide.de via Skype ein Treffen vereinbaren. Am Ende des kurzen Chats stand die Einsicht, dass ich mich spontan ins Münchner Hotel „Le Meridien“ begeben sollte. Dort fand nämlich eine IDC-Veranstaltung zum Thema EU-DSGVO statt. Ein sehr spannendes Thema, in dessen Kontext IDC eine aktuelle Studie vorstellen wollte.

Und ich habe es nicht bereut, alleine schon wegen des sehr informativen und interaktiven Charakters der Veranstaltung. So wurden zunächst die Ergebnisse der Auguststudie von IDC zum Thema EU-DSGVO vorgestellt, anschließend nahmen drei Vertreter namhafter Firmen auf Hockern Platz, um sich den Fragen der IDC-Moderatorin und der anwesenden KollegInnen zu stellen.

Erkenntnis: Viele Firmen sind in Sachen DSGVO deutlich in Verzug

Das Gute an solch einer aktuellen Studie (Erhebungszeitraum: August 2017) ist deren Relevanz, denn man weiß sofort: Wenn im Rahmen der Umfrage 44 Prozent aller Probanden angaben, auf die EU-DSGVO noch nicht vorbereitet zu sein, dann wirft das ein eher erschütterndes Bild auf den aktuellen Status Quo der befragten Firmen. Und das waren genau 251 Unternehmen mit mehr als 20 Mitarbeitern, über alle Branchen hinweg.

Damit befinden sich 110 Unternehmen rund neun Monate im Verzug, was das Ergreifen der notwendigen Maßnahmen in Sachen Datenschutz betrifft. Dabei wird bereits seit Mai 2016 eine zweijährige Übergangsfrist gewährt, und trotzdem sind gerade einmal 15 Prozent (oder 38 von 251 der befragten Unternehmen) zu 100 Prozent auf die neue Datenschutzgrundverordnung vorbereitet.

Doch was ist für das hundertprozentige Erfüllen aller DSGVO-Kriterien überhaupt erforderlich? Nun, das betrifft vor allem vier Bereiche:

Organisation: Bestellung eines Datenschutzbeauftragten

Prozesse: Benachrichtigung bei Datenschutzverletzungen innerhalb von 72 Stunden

Technik: Berücksichtigung von „Privacy by Design“ und „Privacy by Default“

Recht: Gesonderte Einwilligung pro Verwendungszweck

Sieht man sich dazu die Ergebnisse der Studie an, fallen vor allem folgende Dinge auf:

„Datenschutzbeauftragter?! Damit warten wir noch ein bisschen…“

Gerade einmal 17 Prozent aller befragten Unternehmen beschäftigen (Stand heute) einen externen bzw. internen Datenschutzbeauftragten. Und das, obwohl sie allesamt zu der Bestellung eines Verantwortlichen verpflichtet wären, was sich aus der Größe der Studienteilnehmer ergibt.

„Stand der Technik?! Nun, wo sollen wir denn da anfangen?!“

Die Vielzahl an technischen Voraussetzungen in Sachen DSGVO ist derart unüberschaubar, dass wohl alleine wegen dieser enormen Komplexität zahlreiche Unternehmen wie das Kaninchen vor der Schlange stehen und mit weit geöffneten Augen starr vor Schreck ob dieser Herausforderungen im Nichtstun verharren.

„Wie sollen wir all diese notwendigen Maßnahmen umsetzen können?!“

Und sieht man sich die folgende Folie an, bekommt man eine leise Ahnung davon, warum so viele Unternehmen im DSGVO-Zeitplan ein Dreiviertel Jahr und mehr hinterher hinken. So gaben die Befragten an, vor allem hinsichtlich des Umbaus der IT-Systeme, hinsichtlich der Klassifizierung von Daten und bei der Schulung von Mitarbeitern an ihre Grenzen zu stoßen.

„Verschlüsselung?! Ja, da sind wir gerade dran…“

Doch die Studie offenbart noch weitere Schwächen in der aktuellen Umsetzung vieler Unternehmen in Sachen DSGVO. So sind zahlreiche Firmen beim Thema „Privacy by Design“ und „Privacy by Default“ deutlich hinter dem Zeitplan zurück. Es gaben mehr als 30 Prozent an, ihre Daten erst in den nächsten 12 Monaten DSGVO-konform verschlüsseln zu können, und das sowohl auf Datenbank- als auch auf Speicherebene. Zudem stellt die zweckgebundene Datenverarbeitung viele Unternehmen vor Probleme: Hier sind es fast die Hälfte, die noch keine entsprechenden Maßnahmen ergriffen haben.

Zahlreiche Rückstände in Sachen DSGVO

Exkurs: „Privacy by Design“ und „Privacy by Default“

Zwei Schlagworte, eine Forderung: Im Rahmen des europäischen Datenschutzes, der in der DSGVO geregelt ist, müssen alle betroffenen Firmen dafür sorgen, dass die zum Einsatz kommende Hard- und Software den hohen datenschutzrechtlichen Anforderungen genügt. Das bedeutet konkret, das die Unternehmenstechnik zum einen die Grundsätze der DSGVO vollständig unterstützen muss („by Design“) und zum anderen datenschutzkonforme Grundeinstellungen aufweist („by Default“).

Teil zwei der IDC-Veranstaltung: Fragen und Antworten

Im Anschluss an die Vorstellung der Studie wurden fünf Hocker aufgestellt, auf denen drei Vertreter namhafter Unternehmen Platz nahmen, die allesamt eine Menge zum Thema (Daten)Sicherheit zu sagen haben. Namentlich waren das Hans-Peter Bauer von McAfee, Tommy Grosche von Fortinet und Milad Aslaner von Microsoft. Ergänzt wurde die Runde von Matthias Zacher als IDC-Vertreter und Lynn-Kristin Thorenz, ebenfalls IDC, die für die Moderation zuständig war.

Kategorien: EventsHightech

Michael Hülskötter

Ich bin vornehmlich Techblogger, der IT-Firmen hilft, ihre Produkte und Lösungen am Markt mithilfe aussagekräftiger Texte und Videobeiträge zu präsentieren. Ich schreibe seit 1999 und blogge seit 2006, und das immer noch mit sehr viel Spaß.

3 Kommentare

Fortinet-Umfrage: CEOs unterschätzen IT-Sicherheit ihres Unternehmens nach wie vor – IT-techBlog.de · Mittwoch, 18. Oktober 2017 um 15:53

[…] Am letzten Freitag war ich auf einer sehr interessanten IDC-Veranstaltung zum Thema DSGVO, und so ergab es sich, dass eine Einladung der Firma Fortinet folgte, die ihrerseits eine in Auftrag gegebene Umfrage präsentieren wollten. Die zugehörige Auswertung ist überschrieben mit dem Titel „The attitudes towards cybersecurity in organizations“. […]

Darum sind CAST-Analysetools echte DSVGO-Helfer – IT-techBlog.de · Freitag, 20. Oktober 2017 um 12:05

[…] Letzten Freitag war ich auf einer IDC-Veranstaltung zum Thema DSGVO. Dabei habe ich zahlreiche Dinge gelernt: […]

IDC-Event-Rückschau: Was man über DevOps wissen sollte – IT-techBlog.de · Freitag, 20. Oktober 2017 um 13:19

[…] man von Event zu Event, und genau so war es bei mir die letzten Tage. Freitag vor einer Woche bei IDC zum Thema DSGVO, dann am Mittwoch beim Fortinet-Pressefrühstück zum Thema Sicherheit, tja, und gestern war ich […]

Kommentare sind geschlossen.