DSGVO-Index: Technische und organisatorische Maßnahmen
Unternehmen vernachlässigen technische Datensicherheit
Um den Vorgaben der europäischen Datenschutz-Grundverordnung gerecht zu werden, müssen Unternehmen bei der Gewährleistung der Datensicherheit durch technische und organisatorische Maßnahmen noch deutlich aufrüsten – so das Ergebnis einer neuen Studie.
Die EU-DSGVO sorgt auch fast ein Jahr nach Inkrafttreten für Verunsicherung in Unternehmen, Vereinen und Verwaltungen. Nicht zuletzt die existenzgefährdenden Bußgelder von bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes haben das Thema Datenschutz zu einer ernstzunehmenden Angelegenheit werden lassen. Die vom Research- und Analystenhaus techconsult und dem IT Verlag durchgeführte Studie „DSGVO-Index“ zeigt allerdings gravierende Defizite bei der Umsetzung der sogenannten technischen und organisatorischen Maßnahmen (TOM), die im Rahmen der DSGVO die Datensicherheit auf technischer und organisatorischer Ebene sicherstellen sollen.
Mangelnde Datenintegrität und Vertraulichkeit
Die DSGVO bezweckt mithilfe der TOM den Schutz der personenbezogenen Daten vor unbefugter oder unbeabsichtigter Verarbeitung, Schädigung oder Löschung. Dazu müssen Unternehmen gewährleisten, dass nur berechtigte Personen Zutritt bzw. Zugang zu sensiblen Bereichen des Unternehmens haben. Das gilt sowohl für den physischen Zutritt zu Räumen als auch für den Zugang auf Systeme. Von den in der Studie befragten Unternehmen führen 31 Prozent keine erweiterte Zugangskontrolle durch. Dies könnte dazu führen, dass sich Unbefugte Zutritt zu sensiblen Unternehmensbereichen und zu personenbezogenen Daten verschaffen – ein klarer Verstoß gegen das Schutzziel der Vertraulichkeit.
Darüber hinaus haben 19 Prozent der Unternehmen keinerlei Maßnahmen zur Weitergabekontrolle getroffen und versenden sensible personenbezogene Daten unverschlüsselt. Solche technischen Maßnahmen nach dem Stand der Technik sollen im Rahmen der Weitergabekontrolle verhindern, dass Daten bei der Übermittlung von Unbefugten eingesehen oder verarbeitet werden können. Zudem müssen die Speichersysteme stets geschützt sein und hohen Belastungen standhalten. Nur knapp die Hälfte (48 Prozent) der Unternehmen gewährleisten die permanente Verfügbarkeit ihrer Systeme. In diesem Zusammenhang müssen Unternehmen Reparaturstrategien für den Fall einer belastungsbedingten Störung entwickeln, die durch Überhitzung oder DDoS-Angriffe entstehen können. Zur Sicherstellung der Datenintegrität und Vertraulichkeit müssen Unternehmen hier dringend aufrüsten.
Über ein Drittel nicht für den Ernstfall gewappnet
Bei den technischen Maßnahmen zur Evaluierung des Datenschutzmanagements besteht bei den befragten Unternehmen ebenfalls Nachholbedarf. So geben lediglich 33 Prozent der Befragten an, eine Datenschutzmanagement-Lösung zur Steuerung relevanter Prozesse einzusetzen. Eine automatisierte Kontrolle datenschutzrelevanter Vorgänge kann die DSGVO-Umsetzung beschleunigen und maßgeblich zur Compliance beitragen. Darüber hinaus sollten Unternehmen mögliche Risiken proaktiv berücksichtigen und diesen entgegenwirken. Knapp ein Viertel der Befragten geben jedoch an, keinerlei Software für das Risikomanagement zu verwenden.
Eine weitere organisatorische Maßnahme ist das Incident-Response-Management, wodurch auf Störungen und Sicherheitsvorfälle angemessen reagiert werden kann. Dennoch haben 37 Prozent der befragten Unternehmen keine Prozesse für den Ernstfall eingeführt, um im Falle von Datenschutzverstößen bestmöglich zu reagieren. Unternehmen riskieren somit hohe Bußgelder, wenn sie die zuständige Behörde nicht innerhalb von 72 Stunden über meldepflichtige Datenschutzverletzungen in Kenntnis setzen. Daraus resultierende Ausfälle können zudem schnell zu Umsatzeinbußen führen, der Reputation schaden und maßgeblich den Unternehmenserfolg beeinträchtigen.
Damit einhergehend müssen im Zuge der organisatorischen Maßnahmen auch die Mitarbeiter hinsichtlich datenschutzrelevanter Thematiken sensibilisiert werden. Von den Befragten haben 34 Prozent keine Schulung erhalten und wissen deshalb nicht, wie sie mit personenbezogenen Daten genau umzugehen haben, obwohl sie mit diesen arbeiten. Zudem wird in 23 Prozent der befragten Unternehmen der Grundsatz der Datenminimierung nicht berücksichtigt, also mehr Daten als für den Zweck nötig erhoben und verarbeitet.
TOM als fortlaufender Prozess
Die vorliegenden Studienergebnisse zeigen deutlich, dass Unternehmen noch weit von vollständiger DSGVO-Konformität entfernt sind. Vor allem bei der Gewährleistung der technischen Datensicherheit hapert es in nahezu allen Bereichen. Im DSGVO-Umsetzungsprozess müssen Unternehmen zudem proaktiv im Umgang mit möglichen Gefahren sein. Nur ein solides technisches und organisatorisches Fundament der Datensicherheit kann langfristig gegen Datenschutzrisiken schützen und die Einhaltung der DSGVO gewährleisten. Trotz der Gefahr durch Bußgelder müssen die Maßnahmen nicht um jeden Preis umgesetzt werden, sondern nur nach Abwägung von Risiko, Stand der Technik und entsprechenden Implementierungskosten.
Über die Studie
Die Studie „DSGVO-Index – Umsetzung der technischen und organisatorischen Maßnahmen zur Einhaltung der DSGVO“ umfasst die branchen- und größenklassenübergreifenden Ergebnisse der Befragung von 259 Unternehmen aus Deutschland. Die im November 2018 durchgeführte Befragung wurde mithilfe der kompetenten Unterstützung von Microsoft, Tarox, avedos, SEP und QSC durchgeführt.
Ercan Hayvali
– Junior Analyst –