Deutsche Unternehmen fühlen sich auf die im Mai nächsten Jahres in Kraft tretende europäische Datenschutz-Grundverordnung (DSVGO) hervorragend vorbereitet. Allerdings sind die IT-Verantwortlichen noch nicht ganz am Ziel: Denn viele wissen nicht, wo welche Kundendaten überhaupt gespeichert sind.
87 Prozent der Unternehmen, die an Befragung von Citrix teilgenommen haben, würden sich in Bezug auf den Umgang mit personenbezogenen Daten laut eigener Angaben schon jetzt regelkonform verhalten. Weitere Antworten lassen jedoch darauf schließen, dass die IT-Verantwortlichen noch nicht ganz soweit sind: 86 Prozent der Befragten geben beispielsweise an, Kundendaten auf Anfrage schnell löschen zu können – aber lediglich etwas weniger als ein Drittel hat eine „sehr gute“ Übersicht darüber, wo welche Daten überhaupt gespeichert werden.
Auch in Bezug auf die technischen Voraussetzungen ist nur etwas mehr als die Hälfte bereit für das Gesetzeswerk zum Schutz von personenbezogenen Daten. „Je besser der Überblick über die Unternehmensanwendungen und die Prozesse zur Datenspeicherung und -verarbeitung, desto leichter können die Verantwortlichen die neuen EU-Vorgaben erfüllen“, so Dirk Pfefferle, Area Vice President Central Europe und Geschäftsführer von Citrix Systems.
IT-Entscheider geben sich selbstbewusst
Genau 90 Prozent der Befragten gaben an, dass ihre Unternehmen persönliche Daten speichern. Mehr als 80 Prozent der Befragten erfassen mehr als 100 Datensätze pro Tag, meist für Marketing-Zwecke und speichern diese auch für mindestens sechs Monate. Bei der Mehrzahl der befragten Unternehmen (51 %) sind zehn oder mehr Systeme und Anwendungen an der Speicherung, Verarbeitung oder Nutzung der personenbezogenen Daten beteiligt.
Was die aktuelle Konformität mit der neuen EU-Richtlinie betrifft, geben sich die IT-Entscheider selbstbewusst: 87 Prozent der Befragten sind sich sicher, dass ihr Umgang mit personenbezogenen Daten schon heute den neuen Vorgaben entspricht. Mehr als 70 Prozent der Befragten bestätigen, dass vor allem die Zugriffskontrolle bereits regelkonform ist. Je ein Drittel gibt an, im Hinblick auf die Richtlinie unter „besten IT-Bedingungen zu arbeiten“ (36 %) oder hält Infrastruktur und Datenschutz für „gut“ (39 %).
Reality Check: Wo nachgebessert werden muss
Citrix hat nachgehakt, um herauszufinden, wie gut die Teilnehmer ihre Unternehmen in Bezug auf State-of-the-Art Technologien zum Schutz personenbezogener Daten einschätzen. Das Ergebnis: Längst nicht alle Unternehmen sind am Ziel. Es fehlen unter anderem
Zentrale Übersicht, wo welche Daten gespeichert werden: 36 Prozent der Unternehmen schätzen sich in Bezug auf diesen Aspekt als „sehr schlecht“, „schlecht“ oder „befriedigend“ ein, lediglich 32 Prozent gaben sich die Bestnote „sehr gut“.
Single-Sign-On Zugriffskontrolle über alle On-Premise und Cloud-Systeme hinweg: Knapp mehr als die Hälfte schätzt die eigenen Fähigkeiten hier als „gut“ oder „sehr gut“ ein (52 %). Interne und externe Zugriffe sollten Unternehmen im Griff haben, um EU-konform zu arbeiten.
Auch in Bezug auf das Rollen- und Rechtemanagement beim internen Filesharing ist mehr als ein Drittel (38 %) nicht zufrieden mit dem Status Quo im eigenen Unternehmen. Auch bei der zentralen Verwaltung von virtuellen digitalen Arbeitsplätzen und beim übergreifenden Monitoring und der Sicherheit von Mobilgeräten und Anwendungen geben sich nur etwas mehr als die Hälfte ein „gut“ oder „sehr gut“ (je 53 %).
„Aus unserer Sicht sind die genannten Aspekte sehr wichtig, wenn es darum geht, die Kontrolle über personenbezogene Daten zu behalten“, so Dirk Pfefferle. In den allermeisten Unternehmen liegt die Verantwortung für die DSGVO-Compliance bei den Datenschutzbeauftragten (38 %) oder den CISO/IT-Sicherheitsverantwortlichen (30 %). Einen dedizierten Chief Privacy Officer haben nur fünf Prozent der Unternehmen.
Methodik: Die Umfrage unter 500 IT-Entscheidern in Unternehmen ab 250 Mitarbeitern wurde im August 2017 durchgeführt.