München, Starnberg, 3. Mai 2017 - Veritas Technologies zufolge bezweifeln 48% der dt. Unternehmen, die EU-Datenschutzgrundverordnung rechtzeitig umsetzen zu können...

Zum Hintergrund: Eine weltweit durchgeführte Umfrage (1) von Veritas kommt zu einem beunruhigenden Ergebnis für deutsche Unternehmen: Fast die Hälfte (48%) sieht sich nicht gerüstet für die EU-Datenschutzgrundverordnung (DSGVO, engl.: General Data Protection Regulation GDPR), die im Mai 2018 in Kraft tritt. Das ist demnach der schlechteste Wert in der EMEA-Region. Wer gegen die Vorgaben verstößt, dem drohen im Ernstfall Strafzahlungen in Höhe von 20 Millionen Euro oder vier Prozent des Gesamtumsatzes – die höhere Summe ist ausschlaggebend. Zweck der DSGVO ist es, die Datenschutz-, Aufbewahrungs- und Governance-Gesetzgebung innerhalb der Europäischen Union zu vereinheitlichen. Besonders bei personenbezogenen Daten muss transparent sein, wo Unternehmen diese speichern und wer sie auf welche Weise verarbeitet. Die DSGVO, die am 25. Mai 2018 rechtswirksam wird, gilt nicht nur innerhalb der EU, sondern für alle Organisationen, die Daten von EU-Bürgern speichern. Dies betrifft jegliche Unternehmen, die Produkte und Services in der EU anbieten oder das Kundenverhalten beobachten, wie zum Beispiel bei Online-Käufen. Die Studie bestätigt, dass nicht weniger als 47 Prozent weltweit große Zweifel daran hegen, die Deadline einhalten zu können.

Für den Veritas 2017 GDPR Report wurden Anfang dieses Jahres 900 Führungskräfte in Europa, Asien und den USA befragt. Sollten die Befragten tatsächlich hohe Strafen zahlen müssen, so befürchten 21 Prozent global und in Deutschland, Stellen abbauen zu müssen. 18 Prozent sehen gar die Gefahr, in diesem Fall sogar vom Markt zu verschwinden.

Kommentar Thomas Kranig*, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht :  „Wir stellen eine deutliche Steigerung der Beratungsanfragen fest, die sich fast ausschließlich auf die Anwendung der in nächstem Jahr wirksam werdenden Datenschutz-Grundverordnung (DSGVO) beziehen. Das neue Recht bringt insofern einen Paradigmenwechsel mit sich, als die Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nachweisen und dafür ausdrücklich geeignete Prozesse vorhalten müssen. Unternehmen, die sich schon bisher an das geltende Recht gehalten, d.h. zum Beispiel nicht mehr erforderliche Daten aus ihren Beständen gelöscht haben oder vorbereitet waren, entsprechende Auskunftsverlangen zu erfüllen, haben nicht das ganz große Problem. Bei den großen Unternehmen sind die Bemühungen, sich auf die DSGVO vorzubereiten, nach unserer Erfahrung recht weit fortgeschritten. Viel problematischer ist die Situation bei kleinen und mittleren Unternehmen, die zum Teil noch gar nicht realisiert haben, dass und welche Anforderungen in Zukunft auf sie zukommen. Für einen Betroffenen macht es keinen Unterschied, ob sein Persönlichkeitsrecht durch ein großes oder kleineres Unternehmen verletzt wird. Er wird seine – durch die DSGVO deutlich gestärkten - Betroffenenrechte gegenüber allen Verantwortlichen, wie die Unternehmen, die mit personenbezogenen Daten umgehen, in der DSGVO genannt werden, geltend machen. Auch die Datenschutzaufsichtsbehörden stehen in den Startlöchern, um zeitnah nach Wirksamwerden der DSGVO im Mai 2018 ihre Prüfungsaktivitäten zu intensivieren. Abwarten und nichts tun, ist mehr als riskant“.

*Foto: Thomas Kranig

Mangel an Technologie hemmt DSGVO-Compliance

Viele Unternehmen scheitern schon am ersten Schritt in Richtung DSGVO-Compliance: am Wissen, wo Daten lagern, was sie enthalten und inwieweit sie relevant sind. Den Organisationen fehlt die richtige Technologie, um Compliance-Regulierungen umzusetzen. Fast ein Drittel (32%) der Befragten gaben an, dass ihr Unternehmen keine Technologie besitzt, mit der es Daten effektiv verwalten könnte. Das beeinträchtigt wiederum die Fähigkeit von Unternehmen, Daten effektiv zu suchen, zu finden und zu prüfen – essenzielle Kriterien für die Einhaltung der DSGVO.

Zusätzlich befürchten 39 Prozent, dass ihr Unternehmen Daten nicht treffsicher identifizieren und in der IT-Landschaft lokalisieren kann. Die Richtlinie schreibt aber Unternehmen vor, personenbezogene Daten auf Anfrage innerhalb einer sehr kurzen Frist zu lokalisieren und dem Antragsteller innerhalb von 30 Tagen eine Kopie seiner Daten zur Verfügung zu stellen oder diese, falls gewünscht, zu löschen.

Eine weitere große Sorge betrifft die Vorratsspeicherung von Daten. 42 Prozent der befragten Unternehmen weltweit gaben an, keinen Prozess zu haben, nach dem Daten klassifiziert werden. Dies ist aber notwendig, um zu entscheiden, ob Daten gespeichert oder gelöscht werden müssen. Laut DSGVO haben Unternehmen das Recht, Daten zu behalten – allerdings nur, wenn die betroffene Person über die Gründe informiert wurde. Die Informationen müssen jedoch sofort gelöscht werden, sobald ihr Zweck erfüllt ist.

Zum Zeitpunkt der Befragung waren lediglich 31 Prozent der weltweit Befragten für die DSGVO bereit. In Deutschland liegt der Wert mit 36 Prozent etwas höher. Die Unternehmen, die noch auf dieses Ziel hinarbeiten, werden hohe Investitionen tätigen müssen. Durchschnittlich rechnen die Firmen damit, bis Mai 2018 etwa 1,3 Millionen Euro auszugeben, um die DSGVO zu erfüllen. In Deutschland liegt das Budget mit rund 820.000 Euro deutlich niedriger. Veritas geht davon aus, dass diese Zahlen noch steigen werden – denn fast die Hälfte der Befragten erklärt, bis zum Mai 2018 nicht alle Vorgaben der DSGVO erfüllen zu können.

Am besten vorbereitet sehen sich Unternehmen im Vereinigten Königreich, den USA und Frankreich. Hier geben jeweils über 60 Prozent der Befragten an, rechtzeitig alle Regelungen zu erfüllen.

Veritas 360 Data Management for GDPR - Systematische Methode von Veritas zur Vorbereitung auf die DSGVO

Die neue Lösung beinhaltet Beratungsleistungen und integrierte Software-Technologien. Schlüsselkomponenten der 360 Data Management for GDPR für das Erreichen von Compliance sind:

1. Professionelle Beratung: Veritas hat einen neuen Beratungsdienst ins Leben gerufen, der Wissen an Rechts-, Compliance- und Privacy-Teams weitergibt. Damit erfahren Unternehmen, wie sie die Herausforderung DSGVO am besten angehen. Dieses Expertenteam kann Workshops durchführen, den Status quo beurteilen und wichtige DSGVO-spezifische Technologien implementieren.

2. Daten lokalisieren: Die neuen Regelungen sehen vor, dass Unternehmen personenbezogene Daten innerhalb kürzester Zeit ausfindig machen müssen. Veritas Metadaten Analytics stellt eine akkurate Information Map zur Verfügung, mit der Unternehmen einfach Informationen zu ihren Daten bekommen können. Damit finden sie heraus, wo persönliche und sensible Informationen gespeichert sind, wer Zugriff auf sie hat und wie lange die Daten schon gespeichert sind. Unternehmen können auf Daten zugreifen und entsprechend handeln.

3. Daten suchen: Tritt die DSGVO in Kraft, haben EU-Bürger ein Recht darauf, eine persönliche Kopie der Daten zu erhalten, die ein Unternehmen über sie besitzt. Die Veritas Machine Learning-Technologie ist in der Lage, direkte und indirekte personenbezogene Daten freizulegen und so sicherzustellen, dass die Rechte eingehalten werden. Dieses Verfahren wird auch bei Ansprüchen auf das „Recht auf Vergessen werden“ angewendet. Zusätzlich helfen die eDiscovery - Tools Unternehmen beim Suchen, Analysieren und Liefern relevanter Daten. So werden auch Anfragen bezüglich regulatorischer und rechtlicher Aspekte schneller bearbeitet.

4. Datensatz minimieren: Unternehmen müssen regulierte Informationen speichern, um konform der DSGVO zu handeln. Allerdings ist es notwendig, unwichtige Daten regelmäßig zu löschen. Mit den Angeboten zur persönlichen Datenklassifizierung von Veritas können Firmen Policies zum Speichern wichtiger und zum Löschen irrelevanter Daten aufsetzen. So handeln sie konform der strikten Compliance-Richtlinien.

5. Daten schützen: Es ist entscheidend für Unternehmen, über die richtigen Tools für den Schutz von Daten vor Lecks, Beschädigung oder Verlust zu verfügen. Die einheitliche Datensicherung NetBackup 8 bietet einen ganzheitlichen Prüfpfad, mit dem sich Datenschutz und Resiliency einhalten lassen. Diese Lösungen sind laut Veritas unabhängig von IT-Infrastrukturen und arbeiten vor Ort, in der Cloud oder im hybriden Umfeld. Unternehmen sind so flexibler im Erreichen ihrer Compliance.

6. Daten überwachen: Sobald die DSGVO in Kraft tritt, sind Datenverantwortliche und Datenverarbeiter verpflichtet, ein Datenleck innerhalb von 72 Stunden zu melden. Mit Veritas Predictive Threat Analytics sollen Unternehmen anormales Verhalten automatisch identifizieren und eine Untersuchung per einmaligem Klick durchführen können.

Abb. 1: Automated Resiliency for Amazon Web Services (Quelle: Veritas)

Fazit: Organisationen erhalten mit Veritas 360 Data Management for GDPR einen Überblick über personenbezogene Daten von EU-Bürgern, die sie in ihren Systemen abgespeichert haben. Gleichzeitig können sie diese Informationen abrufen, wenn sie von Kunden dazu aufgefordert oder von Mitarbeitern angefragt werden. Zudem bietet die Lösung eine Möglichkeit, personenbezogene Daten systematisch vorDatenlecks, Verlust oder Beschädigung zu schützen. Diese Elemente sind wichtige Eckpunkte der neuen Regelung.

(1) Quelle und Methodologie: Veritas hat Vanson Bourne beauftragt, die Studie durchzuführen. Im Februar und März 2017 wurden danach 900 Führungskräfte aus Australien, Deutschland, Frankreich, Japan, Singapur, Südkorea, den USA und dem Vereinigten Königreich interviewt. Die Befragten kamen aus Organisationen mit mindestens 1000 Mitarbeitern aus verschiedenen Sektoren. Ein Kriterium war eine geschäftliche Beziehung Organisation im EU-Raum.