Die EU-DSGVO sorgt auch fast ein Jahr nach Inkrafttreten für Verunsicherung. Nicht zuletzt die existenzgefährdenden Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes haben das Thema Datenschutz zu einer ernstzunehmenden Angelegenheit werden lassen. Allerdings gibt es noch gravierende Defizite bei der Umsetzung der technischen und organisatorischen Maßnahmen (TOM), die im Rahmen der DSGVO die Datensicherheit sicherstellen sollen.
Die DSGVO bezweckt mithilfe der TOM den Schutz der personenbezogenen Daten vor unbefugter oder unbeabsichtigter Verarbeitung, Schädigung oder Löschung. Dazu müssen Unternehmen gewährleisten, dass nur berechtigte Personen Zutritt bzw. Zugang zu sensiblen Bereichen des Unternehmens haben. Das gilt sowohl für den physischen Zutritt zu Räumen als auch für den Zugang auf Systeme. Laut der Studie „DSGVO-Index“, die vom Research- und Analystenhaus techconsult und dem IT Verlag durchgeführt wurde, führen allerdings 31 Prozent keine erweiterte Zugangskontrolle durch. Dies könnte dazu führen, dass sich Unbefugte Zutritt zu sensiblen Unternehmensbereichen und zu personenbezogenen Daten verschaffen – ein klarer Verstoß gegen das Schutzziel der Vertraulichkeit.
Mangelnde Datenintegrität und Vertraulichkeit
Darüber hinaus haben 19 Prozent der Unternehmen keinerlei Maßnahmen zur Weitergabekontrolle getroffen und versenden sensible personenbezogene Daten unverschlüsselt. Solche technischen Maßnahmen nach dem Stand der Technik sollen im Rahmen der Weitergabekontrolle verhindern, dass Daten bei der Übermittlung von Unbefugten eingesehen oder verarbeitet werden können. Zudem müssen die Speichersysteme stets geschützt sein und hohen Belastungen standhalten. Nur knapp die Hälfte (48 %) der Unternehmen gewährleisten die permanente Verfügbarkeit ihrer Systeme. In diesem Zusammenhang müssen Unternehmen Reparaturstrategien für den Fall einer belastungsbedingten Störung entwickeln, die durch Überhitzung oder DDoS-Angriffe entstehen können. Zur Sicherstellung der Datenintegrität und Vertraulichkeit müssten Unternehmen hier dringend aufrüsten.
Über ein Drittel nicht für den Ernstfall gewappnet
Bei den technischen Maßnahmen zur Evaluierung des Datenschutzmanagements besteht bei den befragten Unternehmen ebenfalls Nachholbedarf. So geben lediglich 33 Prozent der Befragten an, eine Datenschutzmanagement-Lösung zur Steuerung relevanter Prozesse einzusetzen. Eine automatisierte Kontrolle datenschutzrelevanter Vorgänge kann die DSGVO-Umsetzung beschleunigen und maßgeblich zur Compliance beitragen.
Darüber hinaus sollten Unternehmen mögliche Risiken proaktiv berücksichtigen und diesen entgegenwirken. Knapp ein Viertel der Befragten geben jedoch an, keinerlei Software für das Risikomanagement zu verwenden.
Eine weitere organisatorische Maßnahme ist das Incident-Response-Management, wodurch auf Störungen und Sicherheitsvorfälle angemessen reagiert werden kann. Dennoch haben 37 Prozent der befragten Unternehmen keine Prozesse für den Ernstfall eingeführt, um im Falle von Datenschutzverstößen bestmöglich zu reagieren. Unternehmen riskieren somit hohe Bußgelder, wenn sie die zuständige Behörde nicht innerhalb von 72 Stunden über meldepflichtige Datenschutzverletzungen in Kenntnis setzen. Daraus resultierende Ausfälle können zudem schnell zu Umsatzeinbußen führen, der Reputation schaden und maßgeblich den Unternehmenserfolg beeinträchtigen.
Damit einhergehend müssen im Zuge der organisatorischen Maßnahmen auch die Mitarbeiter hinsichtlich datenschutzrelevanter Thematiken sensibilisiert werden. Von den Befragten haben 34 Prozent keine Schulung erhalten und wissen deshalb nicht, wie sie mit personenbezogenen Daten genau umzugehen haben, obwohl sie mit diesen arbeiten. Zudem wird in 23 Prozent der befragten Unternehmen der Grundsatz der Datenminimierung nicht berücksichtigt, also mehr Daten als für den Zweck nötig erhoben und verarbeitet.
TOM als fortlaufender Prozess
Die vorliegenden Studienergebnisse zeigen, dass Unternehmen noch weit von vollständiger DSGVO-Konformität entfernt sind. Vor allem bei der Gewährleistung der technischen Datensicherheit hapere es in nahezu allen Bereichen. Im DSGVO-Umsetzungsprozess müssen Unternehmen zudem proaktiv im Umgang mit möglichen Gefahren sein. Nur ein solides technisches und organisatorisches Fundament der Datensicherheit könne langfristig gegen Datenschutzrisiken schützen und die Einhaltung der DSGVO gewährleisten. Trotz der Gefahr durch Bußgelder müssten die Maßnahmen nicht um jeden Preis umgesetzt werden, sondern nur nach Abwägung von Risiko, Stand der Technik und entsprechenden Implementierungskosten.