Frankfurt, Starnberg, 27. Mai 2020 - Seit 2 Jahren (und 2 Tagen) ist die EU-DSGVO jetzt anzuwenden; Bitkom Research, das IW-Köln und Commvault zum Stand der Umsetzung...
Zum Hintergrund: Seit rund zwei Jahren sind die Maßgaben der europäischen Datenschutz-Grundverordnung (DSGVO) verbindlich von allen Unternehmen anzuwenden, die Daten europäischer Bürger erheben oder verarbeiten – und noch immer ist sie nicht flächendeckend umgesetzt. In Wirtschafts- und Technologiekreisen galt der 25. Mai 2018 als wichtiger Meilenstein im Umgang mit personenbezogenen Daten. Das Ziel: Die Rechte des Einzelnen zu stärken und einen Best-Practice-Rahmen für das nachhaltige Wachstum der digitalen Wirtschaft zu schaffen. Doch wie ist der aktuelle Stand und wie bewerten Untersuchungen von Instititutionen wie Bitkom (Research), das Institut der deutschen Wirtschaft (IW) sowie ein in diesem Umfeld aktiver Anbieter wie Commvault den aktuellen Stand zur Umsetzung der (EU-)DSGVO und wo besteht noch Nachholbedarf?
Haben Unternehmen in zwei Jahren alles umgesetzt, was sie sich an Compliance-Maßnahmen vorgenommen hatten? Kurz und knapp: nein. Seit Beginn 2018 versuchten Unternehmen, Mitarbeiter, Pressevertreter und externe Beratungsunternehmen, kurzfristig die neuen Richtlinien umzusetzen – mit mäßigem Erfolg. Zwei Jahre später setzt die erwartete Welle von Geldbußen langsam ein, nachdem sie im ersten Jahr nach Wirksamwerden der DSGVO noch weitestgehend ausgeblieben war.
Ende vergangenen Jahres beispielsweise traf es bereits den größten Immobilienvermieter in Berlin: Die „Deutsche Wohnen“ wurde mit einer Strafe von 14,5 Millionen Euro belegt, da sie Mieterdaten unsachgemäß gespeichert hatte. Die Berliner Datenschutzbehörde hatte bei Prüfungen bemerkt, dass Daten zu persönlichen und finanziellen Verhältnissen von Mietern archiviert worden waren, obwohl dies gemäß Datenschutzverordnung verboten ist.
In Österreich wurde demnach über die Post eine Strafe von 18 Millionen Euro verhängt, sie hatte unerlaubterweise Daten zur Parteiaffinität ihrer Kunden gespeichert.
Umfragen belegen: Compliance ist und bleibt ein Stiefkind
Dass dies keine Einzelfälle sind (und bleiben werden) und längst nicht alle Unternehmen die Vorgaben der DSGVO erfüllt haben, zeigt auch eine Bitkom-Umfrage (1) in Deutschland.
Laut Bitkom Research klagten Firmen unter anderem über Rechtsunsicherheit (68 Prozent), mangelnde personelle Ressourcen (37 Prozent) und Schwierigkeiten bei der technischen Umsetzung (34 Prozent). Hier kommt die Relevanz technologischer Unterstützung für Unternehmen zum Vorschein.
Auch das Institut der deutschen Wirtschaft hat zu Beginn des Jahres Unternehmen befragt. (2) Ganze 86 Prozent der Befragten verneinten danach die Frage danach, ob die DSGVO ihnen zu Vorteilen im Wettbewerb verhelfe, insbesondere Unternehmen aus der Industrie. Am ehesten sahen Sie noch einen Vorteil darin, durch ein hohes Datenschutzniveau bei Kunden und Partnern zu punkten.
Bei einer Deloitte-Umfrage in Österreich kam zum Vorschein: Hinsichtlich der Implementierung ist ein Großteil der in Österreich ansässigen Unternehmen im Rückstand, 54 Prozent der befragten Firmen gaben an, „auf der Zielgerade“ zu sein – ganze zwölf Prozent befinden sich gar noch „mitten in der Umsetzung“. Der Grund hierfür ist jedoch weniger die falsche Herangehensweise des Unternehmens als solches als vielmehr der falsche Umgang mit Daten seitens der Mitarbeiter. Neun von zehn der befragten Unternehmen beziehen zwar die DSGVO in unternehmensweite Entscheidungen sowie Projekte mit ein, rund ein Drittel stellte jedoch fest, dass Mitarbeiter unsicher im Umgang mit Daten sind.
Unternehmen tun sich leichter, die ständig wechselnden und steigenden Compliance-Anforderungen zu erfüllen, wenn sie über möglichst wenige Zugangspunkte sensible Daten verwalten und sie bei Bedarf auch anonymisiert aufrufen können. Indexierung, Automatisierung und Konsolidierung schaffen Transparenz. So lassen sich Verstöße gegen den Datenschutz rechtzeitig erkennen und effizient beheben oder verhindern.
Abb. 1 Bildquelle: Bitkom Research
Kommentar Olaf Dünnweller, Area Vice President Territory Sales EMEA bei Commvault: „Bemerkenswert ist, dass die Befragten neben personellen auch wirtschaftliche Gründe für Verfehlungen beim Einhalten der DSGVO hatten: Die DSGVO zwingt Unternehmen, sich abteilungsübergreifend einen Überblick über ihre Daten zu verschaffen, Daten zu hinterfragen und zu bereinigen und letztendlich deren Wert zu ermitteln. In den letzten zweieinhalb Jahren wurde der Markt von einer Reihe neuer Angebote überschwemmt, die alle für sich behaupteten, die Königsklasse im Bereich der DSGVO zu sein. Tatsache ist jedoch, dass es keine einheitliche oder einfache Lösung gibt, die alle regulatorischen Anforderungen im Zusammenhang mit der DSGVO löst.”
Praxisbeispiel:
Lösungen wie Commvault Activate und Commvault Orchestrate ermöglichen laut Anbieter eine effektivere Identifizierung, Indizierung, Sortierung und Verwaltung von Daten, so dass Unternehmen leichter Auskunft geben, personenbezogene Daten löschen und Datenschutzverletzungen erkennen können. Stefan Hellweger, Head of IT der Südtiroler Agentur für Bevölkerungsschutz, nutzt Commvault in diesem Zusammenhang. Mit 210 Mitarbeitern und 19.000 Freiwilligen reagiert die Agentur jedes Jahr auf Tausende von Hilfsanfragen – bei Bränden, Lawinen, Verkehrsunfällen und Erdbeben. Jedes Jahr besuchen Millionen von Touristen den Alpenraum, um die Natur zu genießen. Das führt zu enormen Datenmengen, die seit dem 25. Mai 2018 gemäß den Anforderungen der DSGVO erstellt und verwaltet werden müssen. Zitat: „Mit Commvault können wir schnell und einfach nach persönlichen Daten suchen, die auf physischen und virtuellen Servern sowie in Backup-Dateien gespeichert sind”, sagt Hellweger. „Das hat das Tempo, in dem wir auf DSGVO-Anfragen reagieren, beschleunigt und unser Datenmanagement transparenter gemacht.“
Fazit
Unabhängig von Unternehmensstruktur und -größe sollten Organisationen überprüfen, wie weit sie bei der Umsetzung ihrer Compliance-Ziele gekommen sind – und welche Maßnahmen zurück auf die Agenda gehören.
Quellen:
(3) Querverweise:
| Anhang | Größe |
|---|---|
 Bildquelle: Bitkom Research zur Umsetzung der DSGVO, 2019 | 80.15 KB |
