Deutsche Unternehmen sind angeblich bestens auf die kommenden Änderungen der Europäischen Datenschutzregelung vorbereitet. Letztes Jahr wussten sie noch nicht einmal davon. Wie geht das zusammen?
2016 befragte die Bitkom deutsche Unternehmen, was sie von der anstehenden neuen EU-Datenschutzgrundverordnung halten. Die Hälfte gab an, davon noch gar nichts zu wissen. Dabei ist die Verordnung schon seit Mai 2016 in Kraft — wir befinden uns lediglich in einer Übergangsphase bis zum Mai 2018. Ab diesem Datum werden die angedrohten Strafen aktiv: Bei Verletzung der Vorschriften zu personenbezogenen Daten in der EU sind bis zu vier Prozent des Jahresumsatzes eines Unternehmens als Buße fällig. Das ist kein Pappenstiel.
Deutsche Unternehmen: „Wir sind bereit…“
Bei Citrix beschäftigen wir uns natürlich beruflich mit Datenschutz und sensiblen Daten, daher fand ich die Ergebnisse der Bitkom befremdlich. Es kann doch nicht sein, dass gerade in Deutschland, dem Land der Ordnung und der Vorschriften, eine EU-Regulierung noch nicht bekannt ist. Citrix hat deshalb dieses Jahr nochmal nachgehakt und dazu 500 deutsche IT-Entscheider befragt, die meinten: Die EU-Verordnung ist gar kein Problem, wir sind längst auf alles vorbereitet. Das war zugleich erleichternd und etwas seltsam. Gestern unbekannt und heute bereits gelöst — ein interessanter Ansatz, mit Herausforderungen umzugehen.
Ganze 87 Prozent der Entscheider in unserer Umfrage waren sich sicher, dass ihr Umgang mit personenbezogenen Daten schon jetzt den neuen Vorgaben entspricht. Besonders die Zugriffskontrollen sollen laut 70 Prozent der Befragten bereits regelkonform sein. Und auch in Bezug auf die Löschung von personenbezogenen Daten fühlen sich deutsche Unternehmen vorbereitet. Auf Anfrage ist das für 86 Prozent kein Problem.
„…wenn wir die Daten finden können“
Problematisch wird es, wenn die zu löschenden Daten zusammengesucht werden müssen. Denn ein zentraler Aspekt der digitalen Wirtschaft ist die Übersicht. Weiß ein Unternehmen nicht exakt, wo welche Daten liegen und verarbeitet werden, kann es sie folglich auch nicht löschen, geschweige denn verwalten. Und an dieser Stelle zeigen sich die Deutschen leider nicht so selbstbewusst. Unsere Umfrage hat ergeben, dass mehr als ein Drittel (36%) ihre Übersicht als „sehr schlecht“, „schlecht“ oder „befriedigend“ einstufen, nur knapp 32 Prozent bewerten sich selbst mit „sehr gut“.
An dieser Stelle müssen deutsche Unternehmen also noch nachbessern, um wirklich bereit für die Änderungen zum Schutz der personenbezogenen Daten zu sein. Doch der Ehrgeiz der deutschen Unternehmen ist deutlich zu spüren. Mehr und mehr Unternehmen im deutschsprachigen Raum erkennen, was mit der EU-DSGVO auf sie zukommt und fangen bereits jetzt an, sich für die Neurungen zu rüsten — und ihre IT-Sicherheit zu erhöhen. Wenn sie so weitermachen, bin ich zuversichtlich, dass sie auch dieser Herausforderung gewachsen sind.
Ausblick: Jetzt vorsorgen
Wer für die EU-DSGVO vorsorgt, tut sich selbst einen Gefallen. Themen wie Cloud und Big Data sind jetzt schon in den meisten Bereichen Vorstandsthemen – und das ist gut so. Das bedeutet für personenbezogene Daten: Mehr Daten werden in Zukunft entstehen und verteilt bearbeitet werden, etwa in Hybrid-Cloud-Umgebungen. Hinzu kommen mobilere, flexible Arbeitsmodelle, in denen Mitarbeiter diese Daten nun auch auf mehr Geräten an noch mehr Orte tragen. Wer sich also heute schon eine Übersicht über die Daten im Unternehmen verschafft, der kann in Zukunft etwas gelassener mit dem Thema Datenkontrolle umgehen.