EU-Datenschutz-Grundverordnung zu streng für deutsche Unternehmen
15.12.2015 von Manfred Bremmer
Mit der neuen EU-Datenschutz-Grundverordnung (GDPR –General Data Protection Regulation) kommt für viele Unternehmen – in und außerhalb Europas - das böse Erwachen – das zeigt eine Analyse von Ovum im Auftrag von Intralinks. Unter anderem glaubt die Mehrheit der deutschen Unternehmen (58 Prozent), dass sie nicht in der Lage sind, die neuen Anforderungen der EU zu erfüllen.
Viele Unternehmen befürchten, die Auflagen der kommenden EU-Datenschutz-Grundverordnung nicht erfüllen zu können. Foto: Wolfilser - shutterstock.com
Der Studie zufolge geht mehr als die Hälfte (52 Prozent) der 366 befragten IT-Entscheider in Europa, Nord- und Südamerika, Australien und Asien davon aus, dass die europäische Datenschutz-Grundverordnung (GDPR -General Data Protection Regulation) Geldstrafen für ihre Unternehmen nach sich zieht. Dabei herrscht bei den Befragten in und außerhalb Europas eine ähnliche Skepsis: So glauben 53 Prozent der Umfrageteilnehmer aus Großbritannien, 62 Prozent aus Deutschland und 58 Prozent aus den USA, dass sie Strafen zahlen müssen. US-Unternehmen sehen weitere Nachteile: 63 Prozent glauben, dass amerikanische Unternehmen es schwerer haben, auf dem europäischen Markt zu bestehen werden. 70 Prozent denken sogar, dass die neuen Vorschriften Unternehmen mit Sitz in Europa begünstigen.
Was Unternehmen zur EU-Datenschutzreform beachten müssen
Was Unternehmen zur EU-Datenschutzreform beachten müssen Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps.
Einwilligung Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden.
"Recht auf Vergessen" Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können.
Technische und organisatorische Maßnahmen Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor.
Anzeige bei Verstößen Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können.
Umsetzung und Strafen Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.
Darüber hinaus wird erwartet, dass mit den neuen Datenschutzbestimmungen erhebliche Kosten auf die Unternehmen zukommen. 79 Prozent der deutschen Befragten rechnen mit einem Anstieg der Ausgaben, um die Anforderungen erfüllen zu können - über 30 Prozent gehen sogar von einem Anstieg von mehr als zehn Prozent in den nächsten beiden Jahren aus. 38 Prozent der Unternehmen, die in den nächsten drei Jahren ihre Datenschutz-Strategie anpassen, wollen Experten zu Rate ziehen - 27 Prozent überlegen sogar, einen Chief Privacy Officer einzustellen.
Kein Verzicht auf Cloud-Umgebungen
Trotz des allgemeinen Pessimismus gegenüber GDPR und den anstehenden Datenschutzbestimmungen wollen die Befragten bis 2018 folgende Technologien verwenden, um regulierte und sensible Daten zu speichern: IoT-Implementierungen (66 Prozent), mobile Anwendungen (70 Prozent), Infrastructure as a Service (73 Prozent), Platform as a Service (70 Prozent) und Software as a Service (78 Prozent). Dies deutet laut Ovum darauf hin, dass globale Unternehmen unabhängig von Regulierungen in eine Cloud-basierte Umgebung migrieren. Allerdings werden viele global agierende Unternehmen ihr Europageschäft aufgrund der mit den Verordnungen verbundenen Kosten neu bewerten müssen.
"Neue Regulierungen wie die europäische Datenschutz-Grundverordnung bereiten globalen Unternehmen ernsthafte Sorgen", so Alan Rodger, Senior Analyst bei Ovum. So seien unterschiedliche Rechtsprechungen oft inkonsistent und hätten widersprüchliche Anforderungen daran, wie persönliche Daten gespeichert, verarbeitet und geteilt werden. Dies allein sorge schon für Verwirrung sowie Unsicherheit und lasse grundlegende Fragen offen, wie zum Beispiel die Interpretation der Anforderungen für den Standort von Daten.
Den vollständigen Report stellt Intralinks hier zum Download bereit. (mb)