Wenn man die Diskussion in den Medien verfolgt, wird niemand bestreiten, dass die EU Datenschutzgrundverordnung (DSGVO / GDPR) und deren Umsetzung ein riesiges Thema ist. Unterschiedliche Studien bezeugen, dass den neuen Vorgaben von Entscheiderseite massive Relevanz zugesprochen wird und dass auch alle Betroffenen schon recht bald recht viel dafür tun wollen, recht zeitnah gesetzeskonform zu handeln. Zu diesem Schluss kommt unter anderem die Studie von Veritas Technologies, umgesetzt von Vanson Bourne. Wir haben dazu berichtet. Hier gaben zwei Prozent der 900 befragten Führungskräfte an, vollumfänglich auf die Umsetzung bis 25. Mai 2018 vorbereitet zu sein. Weitere 31 Prozent erklärten, die wichtigsten Regelungen aktuell zu erfüllen.
5 Mythen, die aufs Glatteis führen
Eine aktuelle Befragung von Carmao im Auftrag von OpenText geht jetzt tiefer an das Thema heran und kommt zu dem Ergebnis, dass 10 Monate vor Fristende gerade einmal etwa ein Drittel der angehörten betroffenen Organisationen überhaupt die Vorgaben des aktuellen Bundesdatenschutzgesetzes erfüllen. Weitere 50 Prozent haben arge Zweifel daran, die Vorgaben der DSGVO zeitgerecht umsetzen zu können. Ein Grund dafür könnte in Fehlinformationen liegen, die die involvierten Entscheider in die Irre führen. Demnach gehören zu den 5 am meisten verbreiteten Mythen im Hinblick auf DSGVO / GDPR folgende:
1. Viele Betroffene sind der Ansicht, dass die DSGVO in Deutschland erst zu einem späteren Zeitpunkt in Kraft tritt. Fakt ist, dass die Regelung bereits seit über einem Jahr in Kraft ist und verbindlich in allen EU-Staaten, auch im Brexit-Land Großbritannien, ab Mai 2018 umgesetzt werden muss. Bei Nicht-Befolgung drohen Geldstrafen bis zu 20 Millionen Euro bzw. bis zu vier Prozent des weltweiten Umsatzes des Vorjahres.
2. Die DSGVO gilt nicht nur für Unternehmen aus der EU, sondern für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Hierunter fallen beispielsweise auch Kunden oder Mitarbeiter, die im EU-Raum ansässig sind.
3. Unternehmen dürfen nicht beliebige Technologie zur Einhaltung der Regelungen einsetzen. Diese muss auf dem aktuellen Stand der Technik sein, wobei das Niveau hier grundsätzlich hoch anzusetzen ist. Dies betrifft unter anderem die Bereiche Verschlüsselung, Data Leakage Prevention sowie die Anonymisierung von Daten und die Etablierung von Zugangsberechtigungen.
4. Die DSGVO gilt nicht nur für Konzerne, sondern für Organisationen unterschiedlicher Größe und Branchenherkunft. Diese müssen Verstöße binnen einer Frist von 72 Stunden melden, sodass die Einhaltung der Regelung nicht nur Geldstrafen, sondern ggf. auch massive Image-Schäden mit sich bringt.
5. Compliance im Bereich der DSGVO kann nicht ausschließlich das Thema der IT-Verantwortlichen sein – es ist eine Managementaufgabe. Hier geht es vielmehr um eine Anpassung der Unternehmenskultur im Hinblick auf den Umgang mit Daten, als um Bits und Bytes.
Laut Studie haben die Unternehmen die größten Herausforderungen damit, den Überblick bei Datenverlusten zu wahren und fast die Hälfte hat keine Einsicht in alle Vorkommnisse, bei denen personenbezogene Daten verloren gehen. Zudem gehen nicht weniger als 60 Prozent der Befragten davon aus, dass sie Datenlecks innerhalb von 72 Stunden entdecken und melden können.
Vergissmeinnicht ist passé
Ein neues Element, dass die DSGVO mit sich bringt, ist das „Recht auf Vergessenwerden“. Hier geht es um das Recht von EU-Bürgern, aus den Datenbanken von Organisationen gelöscht zu werden. In Bezug auf diese Fragestellung geht fast jedes fünfte Unternehmen davon aus, diese Daten nicht zeitgerecht suchen, finden und löschen zu können. Zudem werden 13 Prozent nicht imstande sein, Daten im Hinblick auf Referenzen zu Einzelpersonen zu untersuchen und zu bestimmen, wo diese Daten gespeichert sind. Dies gilt bei weiteren 13 Prozent auch für die Quellen, aus denen die Daten stammen und für die Verwendungsbestimmung. All dies ist aus Sicht der DSGVO nicht zulässig.
DARZ ist als Full IT Service Provider nach ISO 27001 zertifiziert und erfüllt seit März 2017 die Vorgaben der DSGVO / GDPR. Weitere Informationen zu unserem Angebot erhalten Sie hier.