EU-DSGVO: Laut Veritas-Umfrage decken nur zwei Prozent die Kernanforderungen ab

München, Starnberg, 25. Juli 2017 - Die größten Schwierigkeiten haben Firmen damit, bei Datenverlusten den Überblick zu behalten...

Zum Hintergrund: Viele Unternehmen weltweit sind der Meinung, die Pflichten aus der EU-Datenschutzgrundverordnung (DSGVO, Engl. General Data Protection Regulation GDPR) bereits abzudecken. Sie liegen falsch. Das jedenfalls offenbart die Auswertung der Ergebnisse einer Umfrage von Veritas Technologies. Der neue Veritas 2017 GDPR Report (1) zeigt: Weltweit erklärte fast ein Drittel (31 Prozent) der Befragten, das eigene Unternehmen erfülle die wichtigsten Regelungen der Verordnung längst. Als dieselben Firmen nach spezifischen Regelungen aus der DSGVO befragt wurden, sahen sie bei sich allerdings Nachholbedarf, so dass sie sehr wahrscheinlich nicht "compliant" sind. Berücksichtigt man auch diese Antworten, sind laut Veritas unter dem Strich nur noch zwei Prozent der befragten Unternehmen weltweit tatsächlich auf die kommende Verordnung vorbereitet.


Die DSGVO harmonisiert die Regelungen, wie mit personenbezogenen Daten innerhalb des EU-Raums umzugehen ist. Organisationen müssen sicherstellen, dass ausreichende technische und organisatorische Maßnahmen getroffen und die notwendigen Prozesse installiert wurden, um unmittelbar festzustellen, ob personenbezogene Daten verloren gingen. Die DSGVO tritt am 25. Mai 2018 in Kraft und betrifft jede Organisation, die Waren oder Dienstleistungen an EU-Bürger vertreibt oder ihr Verhalten beobachtet. Der Sitz der Organisation ist irrelevant.


Die größten Schwierigkeiten haben Firmen damit, bei Datenverlusten den Überblick zu behalten

  • Von den Befragten, die eigenen Angaben zufolge längst auf die Verordnung vorbereitet sind, hat fast die Hälfte (48 Prozent) keine Einsicht in sämtliche Vorfälle, bei denen personenbezogene Daten verloren gehen. Ganze 60 Prozent sehen sich nicht in der Lage, ein Datenleck binnen 72 Stunden zu entdecken und zu melden – dabei ist das eine essenzielle Forderung aus der DSGVO. Ob Krankenakte, Email-Adresse oder Passwort – meldet eine Organisation den Verlust von personenbezogenen Daten zu spät, handelt sie nicht konform zu den neuen Regelungen. Die Ergebnisse zeigen, dass Organisationen, die sich bereits als compliant einstufen, ihre Strategien überdenken sollten. Handeln sie nicht entsprechend, drohen wie mehrfach erwähnt, hohe Bußgelder.

Gefahr durch ehemalige Mitarbeiter

  • Verlässt ein Mitarbeiter das Unternehmen, sollte er auf keine Unternehmensdaten mehr zugreifen dürfen. Das geschieht meist, indem seine Systemzugänge und -Profile gelöscht werden. Dies ist ein wichtiger Prozess, um finanzielle oder Image-Schäden zu vermeiden. Trotzdem erklärte die Hälfte der „DSGVO-konformen“ Unternehmen, dass ihre ehemaligen Mitarbeiter weiterhin Zugriff auf Unternehmensdaten hätten. Dieses Ergebnis zeigt, dass auch die Firmen, die von ihrer DSGVO-Compliance überzeugt sind, anfällig sind für mögliche Sicherheitslücken.

„Recht auf Vergessenwerden” bereitet Probleme

  • Laut DSGVO haben alle Verbraucher das Recht zu fordern, dass ihre eigenen personenbezogenen Daten aus Datenbanken von Unternehmen gelöscht werden. Das wird jedoch zum Problem – auch für Organisationen, die sich nach eigenen Angaben bestens vorbereitet fühlen. 18 Prozent räumten ein, personenbezogene Daten nicht zeitnah suchen, finden und löschen zu können. Weitere 13 Prozent sind nicht in der Lage, ihre Daten daraufhin zu untersuchen, ob sie Referenzen zu Einzelpersonen enthalten zu visualisieren, wo Daten gespeichert werden.

  • Ebenfalls 13 Prozent sagten aus, dass die Quellen der Daten und ihr Verwendungszweck nicht klar definiert sind. Auch das verstößt gegen die DSGVO. Organisationen müssen sicherstellen, dass personenbezogene Daten ausschließlich für den ursprünglichen Verwendungszweck verwendet und danach gelöscht werden.

Wer ist wofür verantwortlich?

  • Ein weiteres Ergebnis: Organisationen schätzen falsch ein, wer für die Daten in Cloud-Umgebungen verantwortlich ist. 49 Prozent der Befragten, die sich bereit für die DSGVO halten, sehen die Verantwortung für Daten-Compliance komplett beim Cloud-Anbieter (Cloud Service Provider CSP). Allerdings ist das Unternehmen selbst als der “Besitzer” der Daten oder als der „Data Controller“, wie es in der Verordnung heißt, verantwortlich und muss sicher stellen, dass ein CSP als so genannter Datenverarbeiter oder „Data Processor“ entsprechend den Vorgaben handelt. Diese Fehleinschätzung kann ihnen teuer zu stehen kommen, sobald die DSGVO-Regelungen in Kraft treten.


Abb. 1: Wo liegt die Verantwortung für Daten-Compliance (Quelle: Veritas 2017 Report)

Kommentar Andreas Bechter, Regional Product Manager EMEA bei Veritas: „...Für Regelungen wie die DSGVO ist es wichtig zu verstehen, welche Daten in der Organisation vorhanden sind. Doch das ist nicht genug. Die Daten müssen so klassifiziert sein, dass Richtlinien auf sie angewendet werden können. Geschieht das nicht, kann es auch keine Compliance geben. Die Ergebnisse unserer Umfrage sollten genutzt werden, um Unternehmen über Irrglauben aufzuklären, die sie das Geschäft kosten könnten.”


In Form eines Blogposts stellt Veritas seine neue 360 Data Management Suite vor, laut Hersteller "eine Lösung für effektiveres Datenmanagement in der Multi-Cloud und On-Premise." Das neue Abo-Modell orientiert sich dabei an den Bedürfnissen der Unternehmen und soll sich einfach verwalten und erweitern lassen. Integriert sind Produkte der Suite wie NetBackup 8.0 und Information Map (siehe Abb. unten). Die Veritas 360 Management Suite ist ab sofort in den Abstufungen „Bronze“, „Silber“ und „Gold“ bei Veritas und seinen weltweiten Partnern erhältlich. Weitere Informationen finden Sie unter diesem Veritas Blog.

Abb.: 360 Data Management Suite (Bildquelle: Veritas)


(1) Quellenangabe / Methodologie: Es wurde das Marktforschungsunternehmen Vanson Bourne beauftragt, den Veritas 2017 Report durchzuführen. Im Februar und März 2017 sind dazu 900 Führungskräfte aus Australien, Deutschland, Frankreich, Japan, Singapur, Südkorea, den USA und dem Vereinigten Königreich interviewt worden. Die Befragten kamen aus Organisationen mit mindestens 1000 Mitarbeitern aus verschiedenen Sektoren. Ein Kriterium war eine geschäftliche Beziehung-/Organisation im EU-Raum.

Herstellerlink > https://www.veritas.com/de/de/solution/general-data-protection-regulation

AnhangGröße
PDF icon veritas_gdpr-report-ch2-en.pdf303.35 KB