Unabhängiges Magazin für Wirtschaft und Bildung

22. November 2017

Search form

Search form

Neue EU-Datenschutzverodnung (DSGVO): Unwissenheit und Verwirrtheit bei IT-Entscheidern

Neue EU-Datenschutzverodnung (DSGVO): Unwissenheit und Verwirrtheit bei IT-Entscheidern© Bilderbox.com

Viele Unternehmen achten stärker auf die Kosten einer Sicherheitslösung anstatt auf die Erfüllung der kommenden neuen Datenschutz-Grundverordnung und viele sind noch völlig unvorbereitet, so die Ergebnisse einer internationalen Trend-Micro-Studie.

Ab dem 25. Mai 2018 findet die neue EU-Datenschutzgrundverordnung (DSGVO) Anwendung. Unternehmen bleiben damit noch etwa sechs Monate Zeit, um die Regelungen rechtskonform umzusetzen. Eine aktuelle Studie von Trend Micro bei IT-Entscheidern zeigt nun dahingehend oftmals noch Unwissenheit und Verwirrung sowie auseinandergehende Sichtweisen was Sicherheitsmaßnahmen entsprechend dem „Stand der Technik“ konkret bedeutet.
Die Formulierung „Stand der Technik“ im Hinblick auf Sicherheitsmaßnahmen wird in der Studie entsprechend unterschiedlich interpretiert: 29 Prozent der Unternehmen verstehen darunter Lösungen von etablierten Marktführern, 17 Prozent setzen auf Start-Ups mit innovativen Technologien, 15 Prozent orientieren sich an Reports von Analysten und 8 Prozent vertrauen auf die Bewertung unabhängiger Testinstitute. Für 25 Prozent der IT-Entscheider wiederum ist der Preis ihrer IT- Sicherheitslösungen wichtiger als ob sie die Anforderungen der DSGVO erfüllen. Und sechs Prozent können die Frage gar nicht beantworten.

Empfehlungen von Behörden wie ENISA
„Unternehmen müssen zahlreiche Hindernisse überwinden, um die Anforderungen der DSGVO zu erfüllen. Eine davon ist, sich darüber klar zu werden, was ‚Stand der Technik‘ eigentlich bedeutet“, sagt Richard Werner von Trend Micro. „Hierbei können beispielsweise Empfehlungen von Behörden wie der European Union Agency for Network and Information Security (ENISA) hilfreich sein,“ so Werner.
Und: „Wichtig ist vor allem, dass Unternehmen eine Strategie entwickeln, wie der ‚Stand der Technik‘ erreicht und kontinuierlich gehalten werden kann. IT-Sicherheit ist keine abgeschlossene Aufgabe, sondern ein Prozess, der auch über den 25. Mai 2018 hinaus betrieben werden muss. Deshalb sollte auch das zukünftige Management der Sicherheitsarchitektur in die Überlegungen einfließen,“ erläutert IT-Experte Werner.

Unzureichende Maßnahmen
Eine weitere Hürde stellen die Fristen dar, innerhalb derer Unternehmen im Falle eines Datenverlusts die zuständigen Datenschutzbehörden und ihre Kunden informieren müssen. Nur 35 Prozent der befragten Unternehmen in Österreich haben aktuell einen Benachrichtigungsprozess für ihre Kunden definiert. In anderen Ländern ist die Lage oftmals sogar noch komplizierter. Beispielsweise ist es in den USA vom jeweiligen Bundesstaat abhängig, ob die Kunden informiert werden müssen. Auch US-amerikanische Unternehmen müssen jedoch zukünftig die Vorgaben der DSGVO erfüllen, wenn sie Daten von EU-Bürgern sammeln oder verarbeiten.
15 Prozent der Befragten haben einen Prozess eingerichtet, bei dem zwar die Datenschutzbehörden, nicht aber die Kunden, informiert werden. Dies stellt etwa bereits einen Verstoß gegen die DSGVO dar. Viele Unternehmen sind zudem aktuell noch nicht darauf vorbereitet, das Recht auf Vergessenwerden ihrer Kunden zu erfüllen. Dabei erhalten 52 Prozent bereits verstärkte Forderungen nach mehr Transparenz seitens der Kunden. 
67 Prozent der Unternehmen erfassen bereits, welche Daten sie sammeln. Darüber, welche Daten ihre Partner erheben, können hingegen nur 56 Prozent Auskunft geben. Zudem können nur 52 Prozent sagen, welche Daten ihre Cloud Service Provider besitzen und nur 48 Prozent beantworten, welche Daten Dienstleister wie Agenturen sammeln.

Drohende Strafen bei Nichterfüllung
Durch die Forderung nach Sicherheitslösungen entsprechend dem „Stand der Technik“ kann die DSGVO trotz stetigen technologischen Fortschritts immer aktuell bleiben. Die Tatsache, dass der Gesetzgeber keine spezifischen Technologien vorschreibt, sorgt aber auch für Verwirrung und Schwierigkeiten bei der Priorisierung. Aktuell werden besonders Technologien zur Erkennung von Eindringlingen eingerichtet. Trotz dieser Beschaffungsmaßnahmen zeigt die Trend-Micro-Studie, dass die Mehrheit der Unternehmen noch nicht alle notwendigen Schritte unternommen hat, um dem „Stand der Technik“ zu entsprechen.
Dies legt den Schluss nahe, dass diese Unternehmen entweder auf veraltete oder einschichtige Sicherheitslösungen setzen und noch keinen ganzheitlichen Schutz besitzen. Ein solcher ist jedoch nötig, um alle Ebenen der IT-Umgebung wirksam abzusichern. „Um moderne Angreifer abzuwehren, müssen Unternehmen verschiedene Technologien einsetzen, die sich gegenseitig ergänzen. Wer dies nicht tut, wird die Vorgaben der DSGVO nicht erfüllen können,“ mahnt Richard Werner von Trend Micro.

Die Trend-Micro-Studie
In Zusammenarbeit mit dem Marktforscher Opinium hat Trend Micro diese Umfrage zwischen dem 22. Mai und dem 28. Juni 2017 durchgeführt. Die vorliegenden Ergebnisse wurden mittels 1.132 Online-Umfragen unter IT-Entscheidern von Unternehmen mit 500 und mehr Mitarbeitern erhoben.
Die Befragten stammen aus den USA, dem Vereinigten Königreich, Frankreich, Italien, Spanien, den Niederlanden, Deutschland, Polen, Schweden, Österreich und der Schweiz. Sie sind in Unternehmensvorständen sowie im oberen und mittleren Management in verschiedenen Branchen tätig, darunter Einzelhandel, Finanzdienstleistungen, Öffentlicher Sektor, Medien und Baugewerbe. (red/cc)

red/cc, Economy Ausgabe Webartikel, 14.11.2017