München, Starnberg, 20. Aug. 2018 - Mangelhafte Vorbereitung lässt deutsche Unternehmen ins Hintertreffen geraten; so jedenfalls laut einer Studie von NetApp...
Zum Hintergrund: Seit dem 25. Mai 2018 wird in Europa die neue Datenschutz-Grundverordnung umgesetzt. Medienberichten zufolge ist die allseits befürchtete Abmahnwelle nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) bislang ausgeblieben – doch stellt dies insbesondere für deutsche Unternehmen keinen Grund zur Erleichterung dar, denn vor allem bei IT-Entscheidern in Deutschland dürfte die Verunsicherung noch nicht gewichen sein. Vorübergehend abgeschaltete Webseiten, gesperrte Medienangebote sowie tausendfache Konsultationen bei Rechtsanwälten und Datenschutzbehörden – die europäische Datenschutz-Grundverordnung (EU-DSGVO) treibt zudem Unternehmen / Organisationen aller Branchen um.
Nach der jüngsten Untersuchung des Datenmanagementspezialisten NetApp sind vor allem Unternehmen in Deutschland schlecht auf die neue Verordnung vorbereitet – und dementsprechend auch besonders anfällig für Abmahnungen. Nachfolgend ein Beitrag von Dr. Dierk Schindler, Head of EMEA Legal & Global Legal Shared Services bei NetApp (1):
Deutsche Unternehmen werden DSGVO-Anforderungen am wenigsten gerecht
Dies legt eine Untersuchung von NetApp nahe, an der sich 1.106 IT-Entscheider aus Deutschland, Frankreich, Großbritannien und den USA beteiligt haben. Sie offenbart, dass deutsche Unternehmen im internationalen Vergleich am schlechtesten auf die neue Verordnung vorbereitet sind: So sahen sich kurz vor dem Stichtag lediglich 57 Prozent der deutschen Befragten in der Lage, die Verschlüsselung von persönlichen Daten gewährleisten zu können – nach den britischen (69 Prozent), US-amerikanischen (64 Prozent) und französischen (63 Prozent) Unternehmen der mit Abstand niedrigste Wert! Daran dürfte sich bis heute wenig geändert haben. Zudem sind laut Umfrage die Deutschen am wenigsten davon überzeugt, die Datenintegrität sicherstellen (55 Prozent) sowie die ergriffenen Sicherheitsmaßnahmen regelmäßig auf ihre Wirksamkeit hin überprüfen zu können (49 Prozent). Und mit 35 Prozent Zustimmung sehen sich deutsche Unternehmen ebenfalls am wenigsten imstande, Datenpannen binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Lediglich die Pseudonymisierung personenbezogener Daten glauben die IT-Entscheider hierzulande am ehesten leisten zu können (42 Prozent).
Abb. 1: Im internationalen Vergleich sind deutsche Unternehmen am wenigsten für wichtige DSGVO-Anforderungen gerüstet (Quelle: NetApp)
Querverweis: Siehe unser Beitrag vom 13. Juli 2018 > DSGVO erschwert den Erfolg von Cloud-Computing-Initiativen in Deutschland. Laut NetApp-Umfrage erwägen 37 Prozent der befragten deutschen Unternehmen, Investitionen in Public-Cloud-Services zurückzufahren…
Mangelhafte Vorbereitung lässt deutsche Unternehmen ins Hintertreffen geraten
Doch woher rührt diese missliche Lage der deutschen Unternehmen – und das trotz zweijähriger Vorlaufzeit? Die weiteren Ergebnisse der Studie legen nahe, dass dies auf eine unzureichende Vorbereitung zurückzuführen ist: So gaben im Frühjahr 2018 nur 40 Prozent der deutschen Firmen an, in den letzten 24 Monaten externe DSGVO-Experten konsultiert und deren Empfehlungen umgesetzt zu haben – weit weniger als Unternehmen in den USA (63 Prozent) und in Frankreich (48 Prozent). Und jeweils nur gut ein Drittel der deutschen IT-Entscheider gibt zu verstehen, im gleichen Zeitraum eine DSGVO-Strategie auf Basis einer internen Überprüfung eingeführt beziehungsweise zumindest externe Experten zu Rate gezogen zu haben – länderübergreifend in beiden Fällen die geringste Zustimmung. Ebenso abgeschlagen zeigen sich deutsche Unternehmen bei Investitionen in geschultes Personal (16 Prozent), IT-Infrastrukturen und Datentechnologien (29 Prozent). Gar zwei Prozent der deutschen IT-Entscheider räumen ein, nichts für eine DSGVO-Konformität unternommen zu haben.
Deutsche Unternehmen sehen ihre Agilität weniger gefährdet
Angesprochen auf mögliche negative Auswirkungen der DSGVO auf die Agilität der Unternehmen, zeigen sich deutsche IT-Entscheider indes vergleichsweise optimistisch: Während im internationalen Vergleich im Schnitt 44 Prozent aller Befragten derartige Einschränkungen befürchten, sind es in Deutschland unterdurchschnittliche 39 Prozent. Und auch die Agilität ihrer IT-Infrastruktur sehen deutsche Unternehmen weniger durch die Anforderungen der Verordnung bedroht: Gut ein Drittel teilt hierzulande diese Befürchtung. Zum Vergleich: In den USA sind es 53 Prozent! Darüber hinaus fürchten die Deutschen auch weniger Konsequenzen für ihr eigenes Personal: So glaubt nicht mal ein Drittel daran, dass sich die DSGVO negativ auf die Agilität des auf Recht und Compliance geschulten Personals auswirken werde. Nur gut ein Fünftel macht entsprechende Auswirkungen auf andere Abteilungen wie Marketing und Vertrieb aus.
Keine Frage von Pessimismus
Fazit: Dass die Ergebnisse der Studie von NetApp in erster Linie dem oftmals beschworenen, ausgeprägten Pessimismus der Deutschen geschuldet sind, erscheint nur wenig überzeugend. Vielmehr zeigen sie den enormen Aufholbedarf deutscher Unternehmen in puncto DSGVO-Konformität. Angesichts der etwaigen drakonischen Sanktionsmaßnahmen ein großes Risiko. Auch wenn die Rechtmäßigkeit von Abmahnungen umstritten bleiben mag, kann es für die Unternehmen eine Fortführung ihres bisherigen Kurses nicht geben. Stattdessen müssen IT-Entscheider so schnell wie möglich ein DSGVO-konformes Datenmanagement forcieren, wollen sie nicht doch noch von einer möglichen Abmahnungswelle in den Abgrund gerissen werden.
(1) Das Foto zeigt Dr. Dierk Schindler, Head of EMEA Legal & Global Legal Shared Services bei NetApp (Quelle: NetApp)