Genau ein Jahr vor Inkrafttreten der DSGVO sieht die überwiegende Mehrheit der Unternehmen weltweit (75 Prozent) große Herausforderungen in der pünktlichen Umsetzung der Vorgaben. Dies ist eines der Ergebnisse einer repräsentativen Umfrage, die von Varonis Systems, Anbieter von Softwarelösungen zum Schutz von Daten vor Insiderbedrohungen und Cyberangriffen, in Auftrag gegeben wurde.
Dazu wurden 500 IT-Entscheidungsträger aus den USA, UK, Frankreich und Deutschland befragt. Hierzulande stellt sich die Situation sogar noch ein wenig angespannter dar: 81 Prozent der Befragten zweifeln an der fristgerechten Einführung in ihren Unternehmen. Gleichzeitig betrachten 58 Prozent die Umsetzung nicht als Priorität in ihrem Handeln - trotz empfindlicher Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes (je nachdem, was höher ist).
"Diese Diskrepanz zwischen Problembewusstsein auf der einen und mangelndem Engagement auf der anderen Seite ist überaus alarmierend, da die Einführung einer DSGVO-konformen Datenbehandlung eine gewisse Zeit und Commitment des gesamten Unternehmens - und nicht nur der IT-Abteilung - benötigt", sagt Thomas Ehrlich, Country Manager DACH bei Varonis. "Die Verantwortlichen sollten begreifen, dass gerade jetzt die Zeit ist, die Problematik anzugehen und dadurch auch schnell von den Chancen zu profitieren, die das neue Gesetz zweifellos schafft."
Deutsche Unternehmen sehen folgende Punkte als größte Problemfelder:
Gut ein Drittel (35 Prozent) der befragten Unternehmen hat in den vergangenen zwölf Monaten keine Datenbewertung (Data Impact Assessment) durchgeführt, um auf diese Weise herauszufinden, wer Zugriff auf personenbezogene Daten hat. "Dies bedeutet auch, dass viele Unternehmen schlicht und einfach nicht wissen, wo ihre sensiblen Daten gespeichert sind", so Ehrlich. "Durch die DSGVO wird es jedoch wichtiger denn je, seine Daten zu kennen: Wo sind die vertraulichen Informationen gespeichert? Wer hat Zugriff auf sie? Und vor allem: Wer sollte Zugriff auf sie haben?"
Das neue Gesetz setze dabei einen "Privacy by Design"-Ansatz um: Die Sammlung persönlicher Daten soll dabei minimiert, nicht mehr benötigte gelöscht, der Zugriff nach dem "need-to-know"-Prinzip eingeschränkt und damit die Daten in ihrem gesamten Lebenszyklus geschützt werden. Die neuen Meldepflichten erfordern zudem eine erhöhte Überwachung und schnelle Alarmierungen, deren Grundlage die Erkennung von abnormalem Nutzer- und Zugriffsverhalten ist.
Weitere Ergebnisse der Befragung:
Die kompletten Ergebnisse stehen hier zum Download zur Verfügung.