DSGVO: Sind Unternehmen bereit?

Spätestens im Mai 2018, wenn die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt, müssen Unternehmen alle dort vorgesehenen Datenschutzmaßnahmen umgesetzt haben, um sich nicht dem Risiko hoher Geldstrafen auszusetzen. [...]

Die Geldstrafen können durchaus hoch ausfallen, nämlich bis zu vier Prozent des jährlichen Gesamtumsatzes im Falle mancher Verstöße. Die DSGVO erfordert beispielsweise die Durchführung von Datenschutz-Folgenabschätzungen vor Inbetriebnahme besonders komplexer oder umfangreicher Verarbeitungstätigkeiten oder das Führen eines Verfahrensverzeichnisses. Diese datenschutzrechtlichen Compliance-Maßnahmen setzen aber zunächst eine umfassende Kenntnis über den Status Quo der verarbeiteten Daten und über die exakten Strukturen und Datenflüsse innerhalb des Unternehmens voraus.

Vor allem Unternehmen sind daher bereits jetzt gefordert, mit der Evaluierung ihrer verarbeiteten Daten zu beginnen und das damit verbundene Risiko abzuschätzen. Rechtzeitiger Start mit der Evaluierungstätigkeit erleichtert und beschleunigt die rechtzeitige Umsetzung der Anforderungen nach der Datenschutz-Grundverordnung.

DLA Piper hat anlässlich der bevorstehenden Herausforderungen durch die Datenschutz-Grundverordnung ein Umfragetool, die sogenannte „Privacy Scorebox“ gelauncht. Die Privacy Scorebox bietet Unternehmen die Möglichkeit ihren Status quo hinsichtlich der Umsetzung von Datenschutzvorschriften im Vergleich zum Branchendurchschnitt zu ermitteln. Die Privacy Scorebox ist ein Online-Tool, in welchen eine Reihe von Fragen zu zwölf Bereichen des Datenschutzes gestellt werden, wie etwa zu Privacy Policies, Verwendung von Daten, Sicherheitsmaßnahmen und Betroffenenrechte. Die Teilnehmer an der Umfrage können im Wege eines Multiple Choice Verfahrens die für sie jeweils passendste Antwort anklicken.

Allein im ersten Jahr nach dem Launch der Privacy Scorebox haben über 250 Unternehmen diese Selbstevaluierung durchgeführt. Sie stellt somit derzeit eine der umfassendsten Quellen zum Stand der Datenschutz-Compliance dar. Allgemein wissen wir nun, dass nahezu in allen Geschäftsbereichen Datenschutz ein Thema ist und den regulatorischen Anforderungen der Datenschutz-Grundverordnung entsprochen werden muss. Allein der bereits erzielte Umsetzungsgrad ist gering. Nahezu alle Unternehmen gaben an, dass ihnen noch umfassende Umsetzungsarbeiten bevorstehen.

Die Herausforderungen der Umsetzung der Datenschutz-Grundverordnung bestehen in einer strategischen Herangehensweise anstelle von ad hoc Lösungen sowie vorausschauenden Planung. Schwachstellen sind herauszuarbeiten, Lücken sind zu finden, zu überprüfen und zu schließen. Vor allem in innovativeren Geschäftsfeldern oder in global tätigen Unternehmen sind Risiken aus der Verwendung von personenbezogenen Daten sorgfältig zu evaluieren, um sie rechtzeitig zu identifizieren und zu bewältigen.  

Aktueller Umsetzungsgrad
Anhand der Privacy Scorebox wurden Ergebnisse anhand verschiedener Branchen, Größe (Jahresumsatz) der Unternehmen und der geografische Wirkungsbereich ermittelt. Die Studie belegt recht eindeutig, dass der geografische Wirkungsbereich von Unternehmen nur sehr geringen Einfluss auf den Umsetzungsstand von Datenschutzvorschriften hat. Der Umsetzungsgrad von national (72 Unternehmen), regional (40 Unternehmen) und global tätigen Unternehmen (136 Unternehmen) liegt bei 36,6, 32,2 beziehungsweise 37,3 Prozent, sohin recht knapp beieinander.

Bezogen auf die Größe des Unternehmens (Jahresumsatz) zeigen sich jedoch signifikante Unterschiede im Umsetzungsgrad mit einer Schwankungsbreite von etwa zehn Prozent. Jene Unternehmen mit einem Jahresumsatz zwischen 500 Millionen und einer Milliarde Dollar zeigen sich mit einem Umsetzungsgrad von durchschnittlich 42,4 Prozent am fortschrittlichsten während Unternehmen mit einem Jahresumsatz zwischen 150 und 500 Millionen Dollar gerade einmal einen Umsetzungsgrad von 32,5 Prozent haben und somit das Schlusslicht im Umsetzungsgrad bilden.

Unternehmen mit einem Jahresumsatz von weniger als fünf Millionen Dollar haben den gleichen Umsetzungsgrad wie Unternehmen mit einem Jahresumsatz von über einer Milliarde Dollar, nämlich 39,5 Prozent. Diese Ergebnisse lassen sich damit erklären, dass kleine Unternehmen zumeist einen besseren Überblick über die innerhalb ihres Unternehmens stattfindenden Datenverarbeitungen haben, als dies in vielen großen Unternehmen der Fall ist.

Der Branchenvergleich zeigt die deutlichsten Unterschiede mit einer Schwankungsbreite von etwa 18 Prozent. Unerwartet schlecht schneidet hier die Gesundheits- und Life Sciences-Sparte mit einem Umsetzungsgrad von gerade einmal 33,6 Prozent ab. Die besten Ergebnisse erzielen die Tourismus- und Freizeitsparte mit 48,8 Prozent und die Finanzdienstleistungsbranche mit 42,6 beziehungsweise  die Versicherungsbranche mit 40,3 Prozent. Im Mittelfeld befinden sich – überraschend – die Technologie- und Telekommunikationsbranche mit 37,5 Prozent, die Immobilienbranche mit 34,8 und die Produktionsunternehmen mit 34,7 Prozent.

In der sensiblen Gesundheits- und Life Sciences-Sparte unterscheiden 45 Prozent der Unternehmen nicht nach dem Grad der Sensibilität der Daten, sondern behandeln alle Datenarten gleich. Desgleichen haben nur 15 Prozent Verfahren, um Anfragen von Betroffenen zu ihren Daten zu beantworten, bzw. Verfahren über die Dauer der Datenspeicherung.

Großer Aufholbedarf
Auch der Finanzdienstleistungssektor hat noch viel aufzuarbeiten. 19 Prozent überprüfen nicht regelmäßig die Richtigkeit und Vollständigkeit ihrer Daten und 50 Prozent machen Updates auf einer ad-hoc Basis. Letztendlich haben nur 19 Prozent solide Verfahren, um die Daten richtig zu halten; ganze 11 Prozent wissen gar nicht, ob hinsichtlich ihrer Daten regelmäßige Updates erfolgen. Nur 44 Prozent der Finanzdienstleister haben vollständig implementierte Verfahren für Fälle von Datenlecks.

Im Technologiesektor war der Rückfluss an Informationen am größten. Vollkommen überraschend haben derzeit aber nur ein Drittel der Technologieunternehmen ein hohes Level in der Umsetzung der Datenschutz-Grundverordnung erreicht. Als Risiko im Technologiebereich wurde insbesondere die Cloud Technologie identifiziert. Das durch die Datenschutz-Grundverordnung ins Leben gerufene „Privacy by Design“ wird zudem in allen Entwicklungsstadien neuer Produkte und Dienstleistungen die Berücksichtigung datenschutzrechtlicher Vorgaben erfordern.

Wenngleich im Technologiesektor bereits ein hohes Bewusstsein für Datenschutz besteht, fehlt es nach wie vor in der Umsetzung. Nur 33 Prozent haben vollständig implementierte Verfahren für Fälle von Datenlecks. Nur etwa die Hälfte der Technologieunternehmen führen Datenschutzschulungen für Mitarbeiter durch, sodass unter den Mitarbeitern keine umfassende Sensibilisierung für Datenschutz stattfinden kann und somit auch die Einhaltung der Datenschutzstandards nicht gewährleistet werden kann. Bedenklich ist, dass ein Viertel der Technologieunternehmen die Entscheidung über die Art und Weise der Datenaufbewahrung auf Basis von wirtschaftlichen Faktoren (insbesondere Kosten) trifft. Dies führt durchaus zu einer Speicherung der verarbeiteten Daten auf einem Server und/oder in einem Land mit einem geringen Datenschutzniveau.
 
Zusammenfassend ist eine vollkommene Umsetzung der Datenschutz-Grundverordnung noch weit. Sollten Unternehmen ihren Umsetzungsgrad der Datenschutzgrundverordnung wissen wollen, finden Sie die Data Privacy Scorebox hier.

*Die Autorin Sabine Fehringer ist Rechtsanwältin und Partnerin, Co-Autorin Carolina Arnezeder ist Rechtsanwaltsanwärterin, beide bei DLA Piper Weiss-Tessbach Rechtsanwälte.


Mehr Artikel

News

Fünf Mythen über Managed Services 

Managed Services sind ein Erfolgsmodell. Trotzdem existieren nach wie vor einige Vorbehalte gegenüber externen IT-Services. Der IT-Dienstleister CGI beschreibt die fünf hartnäckigsten Mythen und erklärt, warum diese längst überholt sind. […]

No Picture
News

ESET: MDR-Lösungen für Managed Service Provider

ESET erweitert sein Angebot für seine Managed Service Provider (MSP) und Channel-Partner, um sie angesichts der zunehmend komplexen Bedrohungslandschaft gezielt zu unterstützen. Die neuesten Ergänzungen umfassen den Service „ESET MDR für MSPs“, eine erweiterte KI-gestützte Bedrohungsanalyse durch den ESET AI Advisor sowie flexible Preismodelle für MSP. […]

No Picture
News

Geniale Handy-Tricks

Smartphones haben etliche Funktionen, die kaum jemand nutzt, aber Ihren digitalen Alltag bereichern können. Wir stellen Ihnen eine Auswahl der besten Geheimtipps vor – sowohl für Android-Smartphones als auch für Apples iPhones. […]

Die Kombination aus interner Mobilität und Ressourcenbeschränkungen führt schnell zu einem Wildwuchs bei den vergebenen Privilegien. (c) Unsplash
Kommentar

6 Wege, wie Privilege Management die Sicherheitslage verbessert

Identitäten, Konten, Computer, Gruppen und andere Objekte benötigen gleichermaßen Zugang zu Ressourcen – limitiert auf die jeweilige Rolle und nur solange der Zugriff tatsächlich gebraucht wird. Dies ist ein grundlegender Bestandteil eines Zero Trust Least Privilege-Modelles und als solcher von AD-Administratoren, IT-Leitern, dem höheren Management und CISOs anerkannt. […]

David Blum, Defense & Security Lead bei Accenture, im Gespräch mit der ITWELT.at. (c) timeline / Rudi Handl
Interview

„Ein resilientes Unternehmen zeichnet sich durch größtmögliche Transparenz aus“

Transparenz, soweit im Sicherheitskontext möglich, ist für David Blum, Defense & Security Lead bei Accenture, ein wichtiger Bestandteil von Unternehmensresilienz. Das fördere die aus dem Verständnis folgende Unterstützung der Mitarbeitenden. Die unternehmerische Resilienz müsse nicht nur technisch, sondern auch kulturell verankert werden: „Denn Resilienz beginnt im Kopf jedes Einzelnen“, sagt Blum im Gespräch mit der ITWELT.at. […]

News

Klassifizierung von KI-Systemen gemäß EU AI Act

Unternehmen, die KI nutzen, sollten die rechtlichen Rahmenbedingungen kennen, um teure Bußgelder zu vermeiden. Der EU AI Act stellt den ersten umfassenden Rechtsrahmen zur Regulierung von KI dar und zielt darauf ab, die Grundrechte der Bürger innerhalb der Europäischen Union zu schützen. Da der EU AI Act KI-Systeme nach Risikostufen klassifiziert und damit spezifische rechtliche Verpflichtungen beinhaltet, ist es für Unternehmen unerlässlich, ihre Systeme korrekt zu kategorisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*